Apple Mac OS X Server 10.5 Leopard Manuel du propriétaire

Mac OS X Server
Administration de serveur
Pour Leopard 10.5
K Apple Inc.
© 2007 Apple Inc. Tous droits réservés.
En vertu de la législation en vigueur sur les droits
d’auteur, ce manuel ne peut pas être copié, dans son
intégralité ou partiellement, sans l’accord préalable
écrit d’Apple.
Le logo Apple est une marque d’Apple Inc., déposée aux
États-Unis et dans d’autres pays. En l’absence du consentement écrit d’Apple, l’utilisation à des fins commerciales de ce logo via le clavier (Option + 1) pourra
constituer un acte de contrefaçon et/ou de concurrence
déloyale.
Tous les efforts nécessaires ont été mis en œuvre pour
que les informations contenues dans ce manuel soient
les plus exactes possibles. Apple n’est pas responsable
des erreurs d’impression ou de reproduction.
Apple
1 Infinite Loop
Cupertino, CA 95014-2084
408-996-1010
www.apple.com
Apple, le logo Apple, AirPort, AppleTalk, Final Cut Pro,
FireWire, iCal, iDVD, iMovie, iPhoto, iPod, iTunes, Mac,
Macintosh, le logo Mac, Mac OS, PowerBook, QuickTime
et SuperDrive sont des marques d’Apple Inc., déposées
aux États-Unis et dans d’autres pays.
Finder, le logo FireWire et Safari sont des marques
d’Apple Inc.
AppleCare et Apple Store sont des marques de service
d’Apple Inc., déposées aux États-Unis et dans d’autres
pays. .Mac est une marque de service d’Apple Inc.
PowerPC est une marque d’International Business
Machines Corporation, utilisée sous licence.
Les autres noms de sociétés et de produits mentionnés
ici sont des marques de leurs détenteurs respectifs. La
mention de produits tiers n’est effectuée qu’à des fins
informatives et ne constitue en aucun cas une approbation ni une recommandation. Apple n’assume aucune
responsabilité vis-à-vis des performances ou de l’utilisation de ces produits.
Le produit décrit dans ce manuel incorpore une technologie de protection des droits d’auteur protégée par des
revendications de procédé incluses dans certains brevets et autres droits de propriété intellectuelle détenus
aux États-Unis par Macrovision Corporation et d’autres
propriétaires de droits. L’utilisation de cette technologie
de protection des droits d’auteur doit être autorisée par
Macrovision Corporation et est réservée à un cadre
domestique et à d’autres circonstances limitées, à moins
de disposer d’une autorisation spéciale de la part de
Macrovision Corporation. Tout désassemblage ou ingénierie inverse est interdit.
Revendications de produit des brevets nº 4.631.603,
4.577.216, 4.819.098 et 4.907.093 (États-Unis) sous licence
pour un usage limité.
Publié simultanément aux États-Unis et au Canada.
F019-0932/2007-09-01
1
Table des matières
Préface
11
11
12
12
13
14
14
15
15
À propos de ce guide
Nouveautés d’Admin Serveur
Contenu de ce guide
Utilisation de l’aide à l’écran
Guides d’administration de Mac OS X Server
Visualisation de guides PDF à l’écran
Impression des guides PDF
Obtenir des mises à jour de documentation
Pour obtenir des informations supplémentaires
Chapitre 1
17
17
18
19
20
21
24
Vue d’ensemble du système et normes standard prises en charge
Configuration requise pour l’installation de Mac OS X Server
Description des configurations de serveur
Configuration avancée en action
Améliorations apportées à Mac OS X Server Leopard
Normes standard prises en charge
L’héritage UNIX de Mac OS X Server
Chapitre 2
25
26
26
27
27
28
29
29
30
30
30
31
32
33
34
Planification
Planification
Planification pour la mise à niveau ou la migration vers Mac OS X Server 10.5
Mise en place d’une équipe de planification
Identification des serveurs à mettre en place
Choix des services à héberger sur chaque serveur
Définition d’une stratégie de migration
Mise à niveau et migration à partir d’une version antérieure de Mac OS X Server
Migration à partir de Windows NT
Définition d’une stratégie d’intégration
Définition de la configuration de l’infrastructure matérielle
Définition de l’infrastructure minimale pour la configuration du serveur
Vérification de la disponibilité du matériel nécessaire pour le serveur
Limitation de la nécessité de déplacer des serveurs après la configuration
Définition de politiques de sauvegarde et de restauration
3
34
35
36
37
38
39
4
Description des politiques de sauvegarde et de restauration
Description des types de sauvegarde
Description de la planification de sauvegardes
Description des restaurations
Autres considérations en matière de politique de sauvegarde
Outils de ligne de commande de restauration et de sauvegarde
Chapitre 3
41
42
42
43
45
45
46
47
48
49
50
51
51
53
54
54
55
56
Outils d’administration
Admin Serveur
Ouverture de l’application Admin Serveur et authentification
Interface d’Admin Serveur
Personnalisation de l’environnement d’Admin Serveur
Assistant du serveur
Gestionnaire de groupe de travail
Interface de Gestionnaire de groupe de travail
Personnalisation de l’environnement du Gestionnaire de groupe de travail
Répertoire
Interface de Répertoire
Utilitaire d’annuaire
Contrôle de serveur
Gestion des images système
Gestion de l’enchaînement de données
Utilitaires de ligne de commande
Xgrid Admin
Apple Remote Desktop
Chapitre 4
57
57
58
58
59
59
60
60
61
61
61
62
62
63
64
65
66
Sécurité
À propos de la sécurité physique
À propos de la sécurité du réseau
Coupe-feu et filtres de paquets
Zone démilitarisée réseau
Réseaux locaux virtuels
Filtrage MAC
Chiffrement du transport
Chiffrement de la charge utile
À propos de la sécurité des fichiers
Autorisations d’accès aux fichiers et aux dossiers
À propos du chiffrement des fichiers
Suppression sécurisée
À propos de l’authentification et de l’autorisation
Signature unique
À propos des certificats, de SSL et de l’infrastructure à clé publique
Clés publiques et privées
Table des matières
Chapitre 5
67
67
68
68
68
69
70
71
71
73
74
75
75
75
76
76
77
77
77
77
79
80
80
81
81
84
84
Certificats
Autorités de certificat
Identités
Certificats auto-signés
Gestionnaire de certificats dans Admin Serveur
Préparation des certificats
Demande de certificat auprès d’une autorité de certificat
Création d’un certificat auto-signé
Création d’une autorité de certificat
Utilisation d’une AC pour créer un certificat destiné à quelqu’un d’autre
Importation d’un certificat
Gestion des certificats
Modification d’un certificat
Distribution d’un certificat public d’AC à des clients
Suppression d’un certificat
Renouvellement d’un certificat arrivé à expiration
Utilisation de certificats
SSH et les clés SSH
Ouverture de session SSH à base de clés
Génération d’une paire de clés pour SSH
Sécurité au niveau de l’administration
Définition de privilèges au niveau de l’administration
Sécurité au niveau du service
Définition d’autorisations de liste SACL
Pratiques d’excellence en matière de sécurité
Directives en matière de mots de passe
Création de mots de passe complexes
85
85
87
88
88
88
89
89
89
90
90
90
91
92
93
Installation et déploiement
Vue d’ensemble de l’installation
Configuration requise pour l’installation de Mac OS X Server
Instructions matérielles pour l’installation de Mac OS X Server
Collecte des informations nécessaires
Préparation d’un ordinateur administrateur
À propos du disque d’installation du serveur
Configuration de services réseau
Connexion au répertoire au cours de l’installation
Installation du logiciel serveur sur un ordinateur en réseau
À propos du démarrage pour l’installation
Avant de démarrer
Accès à distance au DVD d’installation
Démarrage à partir du DVD d’installation
Démarrage à partir d’une partition alternative
Table des matières
5
Chapitre 6
97
98
106
107
107
109
111
112
114
115
115
Démarrage à partir d’un environnement NetBoot
Préparation des disques pour l’installation de Mac OS X Server
Identification du serveur distant lors de l’installation de Mac OS X Server
Installation interactive du logiciel serveur
Installation locale à partir du disque d’installation
Installation à distance à l’aide d’Assistant du serveur
Installation à distance à l’aide de VNC
Installation du logiciel serveur à l’aide de l’outil de ligne de commande installer
Installation de plusieurs serveurs
Mise à niveau d’un ordinateur de Mac OS X à Mac OS X Server
Comment rester à jour
117
117
117
118
118
119
120
121
122
122
123
124
125
127
128
130
130
132
133
134
136
137
140
Configuration initiale du serveur
Informations nécessaires
Report de la configuration de serveur après l’installation
Connexion au réseau lors de la configuration initiale du serveur
Configuration de serveurs avec plusieurs ports Ethernet
À propos des réglages établis au cours de la configuration initiale du serveur
Spécification de l’utilisation initiale d’Open Directory
Mise à jour sans changer l’utilisation de répertoire
Configuration d’un serveur comme serveur autonome
Configuration d’un serveur pour la connexion à un système de répertoire
Utilisation de la configuration interactive de serveur
Configuration interactive d’un serveur local
Configuration interactive d’un serveur distant
Configuration interactive d’un lot de serveurs distants
Utilisation de la configuration automatique de serveurs
Création et enregistrement de données de configuration
Données de configuration enregistrées dans un fichier
Données de configuration enregistrées dans un répertoire
Stockage de copies de sauvegarde des données de configuration enregistrées
Transmission des fichiers de données de configuration aux serveurs
Procédure de recherche par un serveur de données de configuration enregistrées
Configuration automatique de serveurs avec des données enregistrées dans un fichier
Configuration automatique de serveurs avec des données enregistrées dans
un répertoire
Détermination de l’état des configurations
Utilisation de la sous-fenêtre Destination pour les informations d’état de configuration
Gestion des échecs de configuration
Gestion des avertissements de configuration
Obtention d’informations d’état sur l’installation de la mise à niveau
Configuration des services
Ajout de services à l’affichage Serveur
143
143
143
144
144
145
145
6
Table des matières
145
146
146
147
148
149
149
149
150
150
150
151
151
Chapitre 7
153
154
154
154
155
155
156
157
157
158
159
159
162
162
163
164
164
165
165
166
167
168
169
170
170
171
171
172
174
Configuration d’Open Directory
Configuration de la gestion des utilisateurs
Configuration des services de fichiers
Configuration du service d’impression
Configuration de service web
Configuration du service de messagerie
Configuration de services réseau
Configuration de services d’image système et de services de mise à jour de logiciels
Configuration de la diffusion de données
Configuration de Podcast Producer
Configuration du service WebObjects
Configuration du service iChat
Configuration du service iCal
Gestion
Ports utilisés pour l’administration
Ports ouverts par défaut
Ordinateurs permettant d’administrer un serveur
Configuration d’un ordinateur administrateur
Administration au moyen d’un ordinateur non Mac OS X
Utilisation des outils d’administration
Ouverture de l’application Admin Serveur et authentification
Ajout et suppression de serveurs dans Admin Serveur
Regroupement manuel de serveurs
Regroupement de serveurs à l’aide de groupes intelligents
Utilisation des réglages d’un serveur spécifique
Modification de l’adresse IP d’un serveur
Modification du nom d’hôte du serveur après la configuration
Modification du type de configuration du serveur
Administration des services
Ajout et suppression de services dans Admin Serveur
Importation et exportation des réglages de service
Contrôle de l’accès aux services
Utilisation de SSL pour l’administration à distance des serveurs
Gestion du partage
Autorisations d’administration par niveaux
Définition des autorisations d’administration
Notions élémentaires sur Gestionnaire de groupe de travail
Ouverture de Gestionnaire de groupe de travail et authentification
Administration de comptes
Gestion des utilisateurs et des groupes
Définition des préférences gérées
Utilisation de données de répertoire
Table des matières
7
174
175
Chapitre 8
8
175
176
180
180
181
181
182
183
183
184
185
185
187
189
190
191
191
191
Personnalisation de l’environnement de Gestionnaire de groupe de travail
Gestion d’ordinateurs de versions antérieures à la version 10.5 à partir de serveurs de
version 10.5
Assistants de configuration des services
Fichiers de données et de configuration critiques
Amélioration de la disponibilité des services
Élimination des points de défaillance uniques
Utilisation de Xserve pour obtenir une haute disponibilité
Utilisation d’une alimentation de réserve
Configuration du redémarrage automatique de votre serveur
Pour assurer de bonnes conditions de fonctionnement
Fourniture de répliques Open Directory
Agrégation de liens
Le protocole d’agrégation de liens (LACP, Link Aggregation Control Protocol)
Scénarios d’agrégation de liens
Configuration de l’agrégation de liens dans Mac OS X Server
Contrôle de l’état de l’agrégation de liens
Équilibrage de la charge
Vue d’ensemble des démons
Visualisation des démons en cours d’exécution
Contrôle des démons
193
193
194
194
195
195
196
196
197
198
199
201
201
201
204
205
205
207
207
208
208
Contrôle
Planification d’une politique de contrôle
Planification d’une réponse de contrôle
Widget d’état du serveur
Contrôle de serveur
RAID Admin
Console
Outils de contrôle de disque
Outils de contrôle de réseau
Notification dans Admin Serveur
Contrôle des aperçus de l’état du serveur à l’aide d’Admin Serveur
Protocole SNMP (Simple Network Management Protocol)
Activation des rapports SNMP
Configuration de snmpd
Démons de notification et de contrôle des événements
Journalisation
Syslog
Journalisation de débogage du service de répertoire
Journalisation Open Directory
Journalisation AFP
Outils de contrôle supplémentaires
Table des matières
Chapitre 9
209
209
210
Exemple de configuration
Un seul Mac OS X Server dans une petite entreprise
Configuration du serveur
Annexe
221
Feuille d’opérations avancées de Mac OS X Server
Glossaire
235
Index
257
Table des matières
9
Préface
À propos de ce guide
Le présent guide constitue le point de départ pour toute
personne souhaitant administrer Mac OS X Leopard Server
en mode de configuration avancée. Il contient des informations sur l’utilisation d’Admin Serveur pour la planification,
les pratiques, les outils, l’installation, le déploiement, etc.
Administration du serveur n’est pas le seul guide nécessaire pour administrer un serveur
en mode avancé, mais il offre une vue d’ensemble sur la planification, l’installation et
la maintenance de Mac OS X Server à l’aide d’Admin Serveur.
Nouveautés d’Admin Serveur
Admin Serveur, outil d’administration de serveur Apple à la fois puissant, flexible et
très complet, est inclus avec Mac OS X Server 10.5. Ses capacités ont été renforcées en
ce qui concerne la fiabilité et la prise en charge des normes standard. Admin Serveur
bénéficie également de plusieurs améliorations :
 Nouvelle interface revue et rationalisée.
 Gestion des points de partage (une fonctionnalité qui provient de Gestionnaire
de groupe de travail).
 Notification des événements.
 Administration par niveaux (autorisations administratives déléguées).
 Possibilité d’afficher ou de masquer les services selon les besoins.
 Vues d’ensemble simples et détaillées de l’état d’un ou de plusieurs serveurs.
 Groupes de serveurs.
 Groupes de serveurs intelligents.
 Possibilité d’enregistrer et de restaurer facilement des configurations de services.
 Possibilité d’enregistrer et de restaurer facilement des préférences Admin Serveur.
11
Contenu de ce guide
Ce guide comprend les chapitres suivants :
 Chapitre 1, « Vue d’ensemble du système et normes standard prises en charge, »
fournit une brève vue d’ensemble des systèmes et des normes standard
Mac OS X Server.
 Chapitre 2, « Planification, » vous aide à planifier l’utilisation de Mac OS X Server.
 Chapitre 3, « Outils d’administration, » constitue une référence sur les outils utilisés
pour administrer des serveurs.
 Chapitre 4, « Sécurité, » est un bref guide sur les politiques et pratiques en matière
de sécurité.
 Chapitre 5, « Installation et déploiement, » est un guide d’installation de
Mac OS X Server.
 Chapitre 6, « Configuration initiale du serveur, » est un guide sur la configuration
de votre serveur après l’installation.
 Chapitre 7, « Gestion, » explique comment utiliser Mac OS X Server et les services.
 Chapitre 8, « Contrôle, » montre comment surveiller Mac OS X Server et comment
y ouvrir une session.
Remarque : étant donné qu’Apple publie régulièrement de nouvelles versions et mises
à jour de ses logiciels, les illustrations de ce document peuvent être différentes de celles qui s’affichent à l’écran.
Utilisation de l’aide à l’écran
Visualisation Aide permet d’obtenir des instructions à l’écran tout en gérant Leopard
Server. L’aide peut être affichée sur un serveur ou sur un ordinateur administrateur
(Un ordinateur administrateur est un ordinateur Mac OS X sur lequel est installé le
logiciel d’administration de serveur Leopard Server.)
Pour obtenir de l’aide dans le cas d’une configuration avancée de
Mac OS X Leopard Server :
m Ouvrez Admin Serveur ou Gestionnaire de groupe de travail, puis :
 Utilisez le menu Aide pour rechercher une tâche à exécuter.
 Choisissez Aide > Aide Admin Serveur ou Aide > Aide Gestionnaire de groupe
de travail avant d’explorer les rubriques d’aide et d’effectuer des recherches.
L’Aide l’écran contient des instructions issues de Administration du serveur et d’autres
guides d’administration avancés décrits dans « Guides d’administration de Mac OS X
Server ».
12
Préface À propos de ce guide
Pour visualiser les rubriques d’aide les plus récentes concernant les serveurs :
m Assurez-vous que le serveur ou l’ordinateur administrateur est connecté à Internet
pendant que vous consultez l’Aide.
Visualisation Aide extrait automatiquement les rubriques d’aide les plus récentes
depuis Internet et les stocke en mémoire cache. Lorsque vous n’êtes pas connecté
à Internet, Visualisation Aide affiche les rubriques d’aide mises en cache.
Guides d’administration de Mac OS X Server
Premiers contacts traite de l’installation et de la configuration des configurations standard et de groupe de travail de Mac OS X Server. Pour les configurations avancées,
consultez Administration du serveur, qui regroupe la planification, l’installation, la configuration et l’administration du serveur en général. Une série de guides supplémentaires, énumérés ci-dessous, décrit la planification, la configuration, ainsi que la gestion
avancée des services individuels. Vous pouvez obtenir ces guides au format PDF sur
le site web de documentation de Mac OS X Server :
www.apple.com/fr/server/documentation
Ce guide...
explique comment :
Premiers contacts et Feuille
d’opération d’installation
et de configuration
Installer Mac OS X Server et le configurer pour la première fois.
Administration de ligne de commande
Installer, configurer et gérer Mac OS X Server à l’aide de fichier
s de configuration et d’outils de ligne de commande UNIX.
Administration des services de
fichier
Partager certains volumes ou dossiers de serveur entre les clients
du serveur, à l’aide des protocoles AFP, NFS, FTP et SMB.
Administration du service iCal
Configurer et gérer le service de calendrier partagé d’iCal.
Administration du service iChat
Configurer et gérer le service de messagerie instantanée d’iChat.
Configuration de la sécurité de
Mac OS X
Renforcer la sécurité des ordinateurs (clients) Mac OS X, comme
l’exigent les entreprises et les organismes publics.
Configuration de la sécurité de
Mac OS X Server
Renforcer la sécurité de Mac OS X Server et de l’ordinateur sur
lequel il est installé, comme l’exigent les entreprises et les organismes publics.
Administration du service de
messagerie
Configurer et gérer les services de messagerie IMAP, POP et SMTP
sur le serveur.
Administration des services de
réseau
Installer, configurer et administrer les services DHCP, DNS, VPN, NTP,
coupe-feu IP, NAT et RADIUS sur le serveur.
Administration d’Open Directory
Configurer et gérer les services de répertoire et d’authentification,
ainsi que configurer les clients autorisés à accéder aux services de
répertoire.
Administration de Podcast Producer Configurer et gérer le service Podcast Producer destiné à enregistrer, traiter et distribuer des podcasts.
Préface À propos de ce guide
13
Ce guide...
explique comment :
Administration du service
d’impression
Héberger les imprimantes partagées et gérer les files d’attente
et travaux d’impression associés.
Administration de QuickTime
Streaming et Broadcasting
Capturer et encoder du contenu QuickTime. Configurer et gérer le
service QuickTime Streaming en vue de diffuser des données multimédias en temps réel ou à la demande.
Administration du serveur
Mettre en place l’installation et la configuration avancées du logiciel serveur et gérer des options qui s’appliquent à plusieurs services ou à l’intégralité du serveur.
Administration de Mise à jour de
logiciels et d’Imagerie système
Utiliser NetBoot, NetInstall et Mise à jour de logiciels pour automatiser la gestion du système d’exploitation et des autres logiciels utilisés par les ordinateurs clients.
Mise à niveau et migration
Utiliser des réglages de données et de services correspondant à
une version antérieure de Mac OS X Server ou de Windows NT.
Gestion des utilisateurs
Créer et gérer des comptes utilisateur, des groupes et des ordinateurs. Configurer les préférences gérées des clients Mac OS X.
Administration des technologies
web
Configurer et gérer des technologies web telles que les blogs,
WebMail, wiki, MySQL, PHP, Ruby on Rails (RoR) et WebDAV.
Xgrid Administration et informati- Configurer et gérer des grappes de calcul de systèmes Xserve et
que à hautes performances
d’ordinateurs Mac.
Glossaire Mac OS X Server
Savoir à quoi correspondent les termes utilisés pour les produits
de serveur et les produits de stockage.
Visualisation de guides PDF à l’écran
Lorsque vous lisez la version PDF d’un guide à l’écran, vous pouvez :
 Afficher les signets pour visualiser le plan du guide et cliquer sur un signet pour
accéder directement à la section correspondante.
 Rechercher un mot ou une phrase pour afficher une liste des endroits où ce mot ou
cette phrase apparaît dans le document. Cliquez sur un de ces endroits pour afficher
la page correspondante.
 Cliquer sur une référence croisée pour accéder directement à la rubrique référencée.
Cliquez sur un lien pour visiter le site web dans votre navigateur.
Impression des guides PDF
Si vous devez imprimer un guide, procédez comme suit pour économiser du papier
et de l’encre :
 Économisez de l’encre ou du toner en évitant d’imprimer la couverture.
 Si vous disposez d’une imprimante couleur, économisez de l’encre en choisissant
une option d’impression en niveaux de gris ou en noir et blanc dans une des sections de la zone de dialogue Imprimer.
14
Préface À propos de ce guide
 Réduisez le volume du document imprimé et économisez du papier en imprimant
plusieurs pages par feuille. Dans la zone de dialogue Imprimer, réglez Échelle sur
115 % (155 % pour Premiers contacts). Choisissez ensuite Mise en page dans le menu
local sans titre. Si votre imprimante prend en charge l’impression recto verso
(duplex), sélectionnez l’une des options proposées. Sinon, choisissez 2 dans le menu
local Pages par feuille et, si vous le souhaitez, Simple extra fine dans le menu Bordure. (Si vous utilisez Mac OS X 10.4 ou antérieur, le réglage Échelle se trouve dans la
zone de dialogue Format d’impression et les réglages relatifs à la mise en page dans
la zone de dialogue Imprimer.)
Il peut s’avérer utile d’agrandir les pages imprimées même si vous n’imprimez pas en
recto verso, car la taille des pages PDF est inférieure à celle du papier d’imprimante
standard. Dans la zone de dialogue Imprimer ou dans la zone de dialogue Format
d’impression, essayez de régler Échelle sur 115 % (155 % pour Premiers contacts qui
possède des pages de la taille d’un CD).
Obtenir des mises à jour de documentation
Apple publie régulièrement des pages d’aide révisées ainsi que de nouvelles éditions
de ses guides. Certaines pages d’aide révisées sont des mises à jour des dernières éditions de ces guides.
 Pour afficher les nouvelles rubriques d’aide à l’écran d’une application de serveur,
assurez-vous que votre serveur ou votre ordinateur administrateur est connecté à
Internet et cliquez sur le lien des dernières rubriques d’aide ou de mise à jour dans
la page d’aide principale de l’application.
 Pour télécharger les guides les plus récents en format PDF, rendez-vous sur le site
web de documentation de Mac OS X Server :
www.apple.com/fr/server/documentation/
Pour obtenir des informations supplémentaires
Pour plus d’informations, consultez les ressources suivantes :
 Documents Ouvrez-moi : mises à jour importantes et informations spécifiques.
Recherchez-les sur les disques du serveur.
 Site web de Mac OS X Server (www.apple.com/fr/server/macosx) : passerelle vers
des informations détaillées sur de nombreux produits et technologies.
 Site web de service et d’assistance Mac OS X Server
(www.apple.com/fr/support/macosxserver) : accès à des centaines d’articles du
service d’assistance d’Apple.
 Groupes de discussions Apple, en anglais, (discussions.apple.com) : un moyen de
partager questions, connaissances et conseils avec d’autres administrateurs.
 Site web des listes d’envoi Apple, en anglais, (www.lists.apple.com) : abonnez-vous
à des listes d’envoi afin de pouvoir communiquer par courrier électronique avec
d’autres administrateurs.
Préface À propos de ce guide
15
1
Vue d’ensemble du système et
normes standard prises en charge
1
Mac OS X Server, qui contient tout ce dont vous avez besoin
pour fournir des services de groupe de travail et Internet
reposant sur des normes standard, constitue une solution
serveur de pointe, basée sur UNIX, facile à déployer et à gérer.
Le présent chapitre contient les informations nécessaires pour prendre des décisions
quant au lieu et à la manière de déployer Mac OS X Server. Il comporte des informations générales sur les options de configuration, sur les protocoles standard utilisés, sur
ses racines UNIX, ainsi que sur les configurations de réseau et de coupe-feu nécessaires
pour l’administration de Mac OS X Server.
Configuration requise pour l’installation de Mac OS X Server
L’ordinateur de bureau ou le serveur Macintosh sur lequel vous installez Mac OS X
Server 10.5 Leopard doit être doté des éléments suivants :
 Un processeur Intel ou PowerPC G4 ou G5 cadencé à 867 MHz ou plus.
 FireWire intégré.
 Au moins 1 Go de mémoire vive (RAM).
 Au moins 10 gigaoctets (Go) d’espace disque disponible.
 Un nouveau numéro de série pour Mac OS X Server 10.5.
Le numéro de série utilisé avec une version antérieure de Mac OS X Server
ne permet pas de s’enregistrer pour la version 10.5.
Un lecteur de DVD intégré est pratique mais pas obligatoire.
Les moniteurs et claviers sont optionnels. Vous pouvez installer le logiciel serveur sur
un ordinateur sans moniteur ni clavier à l’aide d’un ordinateur administrateur. Pour en
savoir plus, consultez la section « Configuration d’un ordinateur administrateur » à la
page 155.
17
Description des configurations de serveur
Mac OS X Server peut adopter trois configurations de fonctionnement distinctes : la
configuration avancée, la configuration de groupe de travail et la configuration standard. Les serveurs en configuration avancée sont plus flexibles et nécessitent davantage de compétences d’administration. Ils peuvent être personnalisés pour toute une
série d’usages et de besoins.
Une configuration avancée de Mac OS X Server donne à l’administrateur système expérimenté un contrôle complet sur la configuration des services pour lui permettre de
faire face à toutes sortes de besoins au sein d’une organisation. Après la configuration
initiale à l’aide d’Assistant réglages, vous pouvez utiliser de puissantes applications
d’administration, telles qu’Admin Serveur et Gestionnaire de groupe de travail, ou des
outils de ligne de commande pour configurer les réglages avancés des services fournis
par le serveur.
Les deux autres configurations constituent des sous-ensembles des services et des
fonctionnalités possibles dans une configuration avancée. Elles disposent d’une application d’administration simplifiée, nommée Préférences du serveur, et sont destinées
à des rôles plus spécifiques au sein d’une organisation.
La configuration de groupe de travail de Mac OS X Server est destinée aux groupes de
travail créés au sein d’organisations possédant déjà un serveur de répertoire. Une configuration de groupe de travail se connecte à un serveur de répertoire existant au sein
de votre organisation et intègre les utilisateurs et groupes du répertoire de l’organisation à un répertoire de serveur de groupe de travail.
La configuration standard de Mac OS X Server offre une configuration automatisée et une
administration simplifiée pour un serveur indépendant au sein d’une petite organisation.
Le tableau qui suit résume les fonctionnalités et les possibilités de chacune des
configurations.
Fonctionnalité
Avancée
Groupe de travail
Standard
Modification des réglages des services à l’aide
de...
Admin Serveur
Préférences serveur
Préférences serveur
Les réglages des services sont...
Non configurés
Préréglés sur quelques
valeurs par défaut courantes
Préréglés sur les valeurs
par défaut courantes
Les utilisateurs et les
groupes sont gérés à
l’aide de...
Gestionnaire de groupe Préférences serveur
de travail
Les réglages des services Non
d’utilisateur sont définis
automatiquement
18
Oui
Chapitre 1 Vue d’ensemble du système et normes standard prises en charge
Préférences serveur
Oui
Fonctionnalité
Avancée
Groupe de travail
Standard
Utilisable comme serveur autonome
Oui
Non
Oui
Utilisable comme maître Open Directory
Oui
Non
Oui
Utilisable comme réplique Open Directory
Oui
Oui
Non
Utilisable comme passe- Oui
relle réseau dédiée
Non
Oui
Utilisable comme réplique Active Directory
Oui
Non
Non
Surveillé et sauvegardé
à l’aide de...
Toute méthode implémentée par l’administrateur système
Préférences du serveur
Préférences du serveur
Dépend d’une infrastructure de services
existante
Non
Oui
Non
Dépend d’un système
DNS existant bien
structuré
Oui
Oui
Non
Pour en savoir plus sur les configurations Standard et Groupe de travail, ainsi que sur les
services activés par défaut pour ces configurations, consultez la section Premiers contacts.
Configuration avancée en action
L’illustration qui suit montre plusieurs configurations avancées de Mac OS X Server
en service au sein d’une grande organisation.
Internet
DCHP, DNS,
RADIUS, VPN
Maître Open Directory
iCal, iChat et messagerie
Web avec wiki et blog
QuickTime Streaming
Dossiers de départ de
partage de fichiers
AirPort
Extreme
Création d’image système
et mise à jour de logiciels
Réplique Open Directory
Chapitre 1 Vue d’ensemble du système et normes standard prises en charge
19
Chaque serveur est configuré pour fournir certains des services. Par exemple, l’un
des serveurs fournit les services iCal, iChat et de messagerie pour toute l’organisation.
Un autre assure la diffusion en continu de données QuickTime et Podcast Producer.
Pour garantir une haute disponibilité des dossiers de départ et des points de partage,
un serveur de fichiers principal et un serveur de fichiers de réserve disposent d’options
de basculement IP configurées de telle sorte qu’en cas de défaillance du serveur principal, le serveur de réserve prend le relais de façon transparente. Le serveur de fichiers
principal et le serveur de réserve utilisent un réseau de stockage Xsan pour accéder
au même système de stockage RAID sans l’endommager.
Pour une haute disponibilité des services de répertoire, des répliques Open Directory
fournissent le service de répertoire si le maître Open Directory est déconnecté.
Le domaine Open Directory dispose de comptes d’utilisateur, de groupe d’utilisateurs,
d’ordinateurs et de groupes d’ordinateurs. Cela permet de gérer les préférences d’utilisateur Mac OS X au niveau du groupe d’utilisateurs et du groupe d’ordinateurs.
Le service web permet d’héberger un site web sur Internet pour l’organisation. Il fournit également des sites web wiki sur un intranet pour les groupes de l’organisation.
Améliorations apportées à Mac OS X Server Leopard
Mac OS X Server comporte plus de 250 nouvelles fonctionnalités, ce qui constitue le
plus grand nombre d’améliorations apportées au système d’exploitation serveur depuis
le lancement de Mac OS X Server. Voici quelques une de ces améliorations :
 Service Xgrid 2 : le service Xgrid 2 permet d’obtenir des performances de super-ordinateur en répartissant les calculs sur des ensembles d’ordinateurs Mac OS X dédiés
ou partagés. Xgrid 2 comprend GridAnywhere, qui permet aux logiciels compatibles
Xgrid de tourner où vous voulez, même si vous n’avez pas configuré de contrôleur ni
d’agents, et Scoreboard, utilisé pour classer par ordre de priorité les agents à utiliser
pour différentes tâches. Le contrôleur de cluster fournit un accès centralisé au pool
de calcul distribué, appelé cluster de calcul.
 Services de fichiers : les services de fichiers améliorés offrent un meilleur niveau de
performances et de sécurité pour chacun des services de fichiers réseau, une prise en
charge du protocole SMB nettement plus perfectionnée et un système NFS version 3
sécurisé à l’aide de l’authentification Kerberos et d’AutoFS.
 iChat Server 2 : iChat Server 2 peut fédérer sa communauté d’utilisateurs avec des
communautés issues d’autres systèmes de messagerie XMPP (Extensible Messaging
and Presence Protocol), tels que Google Talk, pour permettre aux membres de la
communauté du serveur iChat de dialoguer en ligne avec les membres des communautés fédérées.
20
Chapitre 1 Vue d’ensemble du système et normes standard prises en charge
 Service de messagerie : le service de messagerie prend dorénavant en charge la mise
en grappe de systèmes de stockage de courrier lorsqu’il est utilisé avec Xsan. Il comprend également une fonction de messages d’absence. Ses performances dans le
cadre de services de messagerie à 64 bits avec SMTP, IMAP et POP ont été améliorées.
 Open Directory 4 : cette nouvelle version d’Open Directory comporte de nouvelles
possibilités en matière de proxy LDAP, des autorisations couvrant plusieurs domaines, la réplication en cascade et les ensembles de répliques.
 Authentification RADIUS : RADIUS permet l’authentification des clients qui se connectent au réseau via des bornes d’accès AirPort.
 QuickTime Streaming Server 6 : le serveur QuickTime Streaming Server amélioré
prend en charge l’adaptation du taux de bits 3GPP version 6 pour une diffusion en
continu fluide vers des téléphones portables quel que soit l’encombrement du
réseau. Il s’intègre avec Open Directory sur votre serveur lors de l’authentification
de la livraison de contenu et offre de meilleures performances avec le service 64 bits.
 Services web : les administrateurs de serveur web disposent maintenant d’Apache
2.2 (pour les nouvelles installations et les installations de mise à niveau) ou 1.3
(pour les systèmes mis à niveau par un système). MySQL 5, PHP et Apache sont
intégrés. Ruby on Rails with Mongrel a été inclus pour simplifier le développement
d’applications web.
Normes standard prises en charge
Mac OS X Server fournit des services de groupe de travail et Internet basés sur des normes standard. Plutôt que de développer des technologies de serveur propriétaires, Apple
a décidé de s’appuyer sur les meilleurs projets open-source : Samba 3, OpenLDAP, Kerberos, Postfix, Apache, Jabber, SpamAssassin, etc. Mac OS X Server intègre ces technologies
robustes et les améliore grâce à une interface de gestion unifiée et cohérente.
Comme il est construit sur des normes standard ouvertes, Mac OS X Server est compatible avec les infrastructures réseau et informatiques existantes. Il utilise des protocoles
natifs pour fournir des services de répertoire, de fichiers, de partage d’imprimante et
l’accès réseau sécurisé à des clients Mac, Windows et Linux. Une architecture de services
de répertoire basée sur des normes standard permet la gestion centralisée des ressources du réseau à l’aide de n’importe quel serveur LDAP, même des serveurs propriétaires
tels que Microsoft Active Directory. La fondation open-source basée sur UNIX rend le portage et le déploiement d’outils existants sur Mac OS X Server particulièrement faciles.
Chapitre 1 Vue d’ensemble du système et normes standard prises en charge
21
Voici quelques-unes des technologies basées sur des normes standard qui donnent
à Mac OS X Server toute sa puissance :
 Kerberos : Mac OS X Server intègre une autorité d’authentification basée sur la technologie Kerberos du MIT (RFC 1964) pour fournir aux utilisateurs un accès à signature unique à des ressources réseau sécurisées.
L’utilisation de l’authentification Kerberos forte et de la signature unique maximise
la sécurité des ressources réseau tout en fournissant aux utilisateurs un accès plus
facile à une grande variété de services réseau compatibles avec Kerberos.
Pour les services qui n’ont pas encore été kerbérisés, le service SASL intégré négocie
le protocole d’authentification le plus strict possible.
 OpenLDAP : Mac OS X Server comprend un serveur de répertoire LDAP robuste et
un serveur de mot de passe Kerberos sûr pour fournir des services de répertoire et
d’authentification aux clients Mac, Windows et Linux. Apple a construit le serveur
Open Directory à partir d’OpenLDAP, le serveur LDAP open-source le plus répandu,
afin qu’il puisse fournir des services de répertoire tant dans les environnements constitués uniquement de Mac que dans les environnements contenant différents types
de plateformes. LDAP fournit un langage commun pour l’accès aux répertoires, ce
qui permet aux administrateurs de consolider les informations provenant de différente plateformes et de définir un espace de noms unique pour toutes les ressources
réseau. Cela signifie un seul répertoire pour tous les systèmes Mac, Windows et Linux
du réseau.
 RADIUS : le protocole RADIUS (Remote Authentication Dial-In User Service) est un
protocole d’authentification, d’autorisation et de gestion de comptes utilisé par la
norme de sécurité 802.1x pour contrôler l’accès au réseau par des clients en configuration mobile ou fixe. Mac OS X Server utilise RADIUS pour s’intégrer avec les bornes
d’accès AirPort et faire office de base de données de filtre d’adresses MAC centrale.
En configurant RADIUS et Open Directory, vous pouvez contrôler l’accès à votre
réseau sans fil.
Mac OS X Server utilise le projet de serveur FreeRADIUS. FreeRADIUS prend en
charge les éléments nécessaires pour créer un serveur RADIUS : LDAP, MySQL, PostgreSQL, les bases de données Oracle, EAP, EAP-MD5, EAP-SIM, EAP-TLS, EAP-TTLS,
EAP-PEAP et les sous-types LEAP de Cisco. Mac OS X Server prend en charge les serveurs proxy avec basculement et répartition de la charge.
 Service de messagerie : Mac OS X Server utilise des technologies robustes issues
de la communité open-source pour fournir des solutions de serveur de messagerie
complètes et faciles à utiliser. La prise en charge complète des protocoles de courrier
électronique Internet (IMAP, POP et SMTP) assure la compatibilité avec les clients de
messagerie électronique standard sur les systèmes Mac, Windows et Linux.
22
Chapitre 1 Vue d’ensemble du système et normes standard prises en charge
 Technologies web : les technologies web de Mac OS X Server reposent sur le serveur web open-source Apache, le serveur HTTP le plus utilisé sur Internet. Grâce à
des performances optimisées pour Mac OS X Server, Apache fournit un hébergement web rapide et fiable, ainsi qu’une architecture extensible pour la fourniture
de contenus dynamiques et de services web sophistiqués. Comme le service web
de Mac OS X Server repose sur Apache, vous pouvez ajouter des fonctionnalités
avancées à l’aide de simples modules d’extension.
Mac OS X Server contient tout ce dont les webmestres professionnels ont besoin
pour déployer des services web sophistiqués : outils intégrés pour la publication collaborative, scripts incorporés, modules Apache, scripts CGI personnalisés, pages JavaServer Pages et servlets Java. Les sites utilisant des bases de données peuvent être
liés à la base de données MySQL fournie. La capacité de connexion ODBC et JDBC
à d’autres solutions de base de données est également prise en charge.
Le service web prend également en charge le protocole WebDAV (Web-based Distributed Authoring and Versioning).
 Services de fichiers : vous pouvez configurer les services de fichiers de Mac OS X Server de façon à autoriser les clients à accéder aux fichiers, applications et autres ressources partagées sur un réseau. Mac OS X Server prend en charge la plupart des
grands protocoles de service pour une compatibilité maximum, notamment les protocoles suivants :
 Apple Filing Protocol (AFP) pour partager des ressources avec des clients qui utilisent des ordinateurs Macintosh.
 Server Message Block (SMB) pour partager des ressources avec des clients qui utilisent des ordinateurs Windows. Ce protocole est fourni par le projet open-source
Samba.
 Network File System (NFS) pour partager des fichiers et des dossiers avec des clients
UNIX.
 File Transfer Protocol (FTP) pour partager des fichiers avec toute personne utilisant
un logiciel client FTP.
 IPv6 : IPv6 est l’acronyme de « Internet Protocol Version 6 » (RFC 2460). IPv6 est le
protocole Internet de nouvelle génération conçu pour remplacer le protocole Internet actuel, IP Version 4 (IPv4 ou juste IP). IPv6 améliore le routage et l’autoconfiguration de réseau. Il augmente le nombre d’adresses réseau à 3 x 1038 et rend NAT
superflu. IPv6 devrait remplacer graduellement IPv4 pendant une période de transition de plusieurs années au cours de laquelle les deux protocoles devraient coexister. Les services réseau de Mac OS X Server sont entièrement compatibles avec IPv6
et prêts pour la transition vers ce système d’adressage de nouvelle génération, tout
en demeurant totalement compatibles avec IPv4.
Chapitre 1 Vue d’ensemble du système et normes standard prises en charge
23
 SNMP : le protocole SNMP (Simple Network Management Protocol) est utilisé pour surveiller l’état de fonctionnement de périphériques reliés à un réseau. Il s’agit d’un ensemble de normes standard rédigées par l’Internet Engineering Task Force (IETF) pour la
gestion de réseau et comprenant un protocole Application Layer, un schéma de base
de données et un ensemble d’objets de données. Mac OS X Server utilise la suite opensource net-snmp pour fournir le service SNMPv3 (c’est-à-dire RFC 3411-3418).
L’héritage UNIX de Mac OS X Server
Mac OS X Server dispose de fondations UNIX construites à partir du micro-noyau Mach
et des dernières évolutions de la communauté open-source BSD (Berkeley Software
Distribution). Ces fondations fournissent à Mac OS X Server une plateforme informatique 64 bits stable et à hautes performances pour le déploiement d’applications et de
services hébergés sur serveur.
Mac OS X Server est construit sur un système d’exploitation open-source appelé
Darwin qui appartient à la famille BSD de systèmes similaires à UNIX. BSD est une
famille de variantes de UNIX issues de la version Berkeley de UNIX. Mac OS X Server
comporte en outre plus de 100 projets open-source, en plus des améliorations et
extensions propriétaires apportées par Apple.
La portion BSD du noyau Mac OS X provient principalement de FreeBSD, une version de
4.4BSD qui offre des fonctionnalités de mise en réseau, des performances, une sécurité
et une compatibilité avancées. Les variantes de BSD sont généralement dérivées (parfois
indirectement) de 4.4BSD-Lite Release 2 du groupe Computer Systems Research Group
(CSRG) de l’université de Californie, à Berkeley. Bien que la portion BSD de Mac OS X provienne principalement de FreeBSD, elle comporte certaines modifications. Pour en savoir
plus sur les modifications de bas niveau, consultez la documentation développeur
d’Apple relative à Darwin.
24
Chapitre 1 Vue d’ensemble du système et normes standard prises en charge
2
Planification
2
Avant d’installer et de configurer Mac OS X Server, faites un
peu de planification et familiarisez-vous avec les différentes
options qui sont à votre disposition.
Les principaux objectifs de la phase de planification sont de s’assurer que :
 les serveurs que vous déployez répondent aux besoins des utilisateurs et administrateurs,
 les conditions préalables en matière de serveur et de services et qui affectent l’installation et la configuration initiale ont été identifiées.
La planification de l’installation est particulièrement importante si vous intégrez Mac
OS X Server dans un réseau existant, si vous migrez à partir de versions antérieures de
Mac OS X Server ou si vous prévoyez de mettre en place plusieurs serveurs. Mais même
dans un environnement à un serveur unique, il est préférable d’évaluer rapidement les
besoins auxquels répondra le serveur.
Ce chapitre pourra servir de base à votre réflexion. Il ne fournit pas de guide de planification rigoureux et ne contient pas les détails nécessaires pour déterminer si vous
devez implémenter un service particulier et évaluer les ressource dont vous avez
besoin. Considérez simplement ce chapitre comme une occasion de réfléchir au
meilleur moyen de bénéficier au maximum des avantages que présente Mac OS X
Server dans votre environnement.
Comme la conception, la planification n’est pas non plus forcément un processus
linéaire. Il n’est pas nécessaire de suivre les sections de ce chapitre dans l’ordre. Différentes sections offrent des suggestions qui peuvent être mises en œuvre de manière
simultanée ou itérative.
25
Planification
Lors de la phase de planification, vous devez déterminer de quelle manière vous prévoyez
d’utiliser Mac OS X Server et identifier les opérations nécessaires avant son installation.
Il peut s’avérer nécessaire, par exemple, de mettre un serveur existant à niveau avec
la version 10.5 tout en continuant à héberger des services de répertoires, de fichiers
et de messagerie pour les clients de votre réseau.
Avant d’installer votre logiciel de serveur, nous vous recommandons de préparer les
données à faire migrer vers votre nouveau serveur et de vous demander si le moment
est opportun pour mettre en œuvre une nouvelle solution de services de répertoires.
Lors de la phase de planification, vous décidez également quelles options d’installation
et de configuration du serveur sont les plus adaptées à vos besoins. Par exemple, Premiers contacts contient un exemple illustrant l’installation et la configuration initiale
d’un serveur dans un scénario de petite entreprise où le serveur fonctionne en mode
de configuration standard.
Planification pour la mise à niveau ou la migration vers Mac OS X
Server 10.5
Si vous utilisez une version antérieure de Mac OS X Server et que vous souhaitez réutiliser les données et réglages, vous pouvez procéder à une mise à niveau ou à une migration vers la version 10.5.
Vous pouvez procéder à une mise à niveau avec Leopard Server si vous utilisez Mac OS X
Server 10.4 Tiger ou 10.3 Panther et que vous n’avez pas besoin de remplacer le matériel
du serveur. La mise à niveau est simple, car elle préserve les données et réglages existants. La mise à niveau peut être effectuée à l’aide de n’importe laquelle des méthodes
d’installation décrites dans ce chapitre ou des méthodes avancées décrites dans ce guide.
Si vous ne pouvez pas procéder à une mise à niveau parce que vous devez, par exemple, formater le disque de démarrage ou remplacer le matériel de votre serveur, vous
pouvez faire migrer vos données et réglages vers un ordinateur sur lequel vous avez
déjà installé Leopard Server.
La migration est prise en charge à partir de la dernière version de Mac OS X Server 10.4
Tiger, Mac OS X Server 10.3.9 Panther, Mac OS X Server 10.2.8 Jaguar et Windows NT 4
ou ultérieur. Pour obtenir des informations complètes sur la migration de données et de
réglages vers un autre Mac ou Xserve, consultez la section Mise à niveau et migration. Le
guide de mise à niveau et de migration fournit des instructions complètes pour la réutilisation de données et de réglages dans ces deux scénarios.
26
Chapitre 2 Planification
Mise en place d’une équipe de planification
Impliquez dans le processus de planification de l’installation des personnes représentant des points de vue différents et capables de vous aider à répondre aux questions
suivantes :
 Quels besoins quotidiens un serveur doit-il satisfaire ? Quelles sont les activités pour
lesquelles les utilisateurs et les groupes de travail dépendront du serveur ?
Si le serveur doit être employé dans une salle de cours, veillez à consulter le formateur qui gérera ses services et qui l’administrera au quotidien.
 Quels sont les besoins à satisfaire en matière de gestion des utilisateurs ? Les ordinateurs des utilisateurs seront-ils sans disque et devront-ils donc démarrer via
NetBoot ? Sera-t-il nécessaire de mettre en place la gestion des clients Macintosh
et des répertoires de départ sur le réseau ?
Les personnes ayant de l’expérience dans le domaine de l’administration de serveur doivent discuter avec les utilisateurs du serveur n’ayant pas de compétences techniques
particulières, afin que ces derniers comprennent mieux l’intérêt de certains services.
 Quels services existants non Apple, tel qu’Active Directory, le serveur devra-t-il intégrer ?
Si vous avez prévu de remplacer un ordinateur Windows NT, envisagez d’utiliser pour
cela Mac OS X Server, qui gère de manière complète les clients Windows. Assurezvous que les administrateurs qui connaissent ces autres systèmes participent au processus de planification.
 Quelles sont les caractéristiques du réseau dans lequel le serveur sera installé ?
Devrez-vous mettre à jour les alimentations électriques, les commutateurs ou
d’autres composants réseau ? Le moment est-il venu de réorganiser les infrastructures où sont hébergés vos serveurs ?
Une personne ayant des connaissances en matière de systèmes et de réseaux pourra
contribuer à la prise de décision et remplir la Feuille d’opérations avancée Mac OS X
Server incluse en annexe.
Identification des serveurs à mettre en place
Effectuez un inventaire des serveurs :
 De combien de serveurs disposez-vous actuellement ?
 Comment sont-ils utilisés ?
 Comment optimiser l’utilisation des serveurs que vous souhaitez garder ?
 Y a-t-il des serveurs que vous souhaitez supprimer ? Lesquels peuvent être remplacés par Mac OS X Server?
 Avec quels serveurs non Apple faudra-t-il intégrer Mac OS X Server ? Pourquoi ?
 Y a-t-il des serveurs Mac OS X Server à mettre à niveau avec la version 10.5 ?
 Combien de nouveaux ordinateurs Mac OS X devront être mis en place ?
Chapitre 2 Planification
27
Choix des services à héberger sur chaque serveur
Identifiez quels services vous voulez héberger sur chaque Mac OS X Server et sur chaque serveur non Apple que vous choisissez d’utiliser.
Pour répartir des services entre serveurs, vous devez connaître à la fois les utilisateurs et
les services. Voici quelques exemples d’influence des options de services et des configurations matérielles et logicielles requises sur ce qui est installé sur chacun des serveurs :
 Les implémentations de services de répertoire peuvent aller de l’utilisation des répertoires existants et de l’authentification Kerberos hébergée sur des serveurs non Apple
à des répertoires Open Directory sur des serveurs disséminés partout dans le monde.
Les services de répertoire nécessitent une analyse et une planification approfondies.
Administration d’Open Directory peut vous aider à mieux comprendre les options et
les possibilités.
 Les dossiers de départ des utilisateurs du réseau peuvent être regroupés sur un seul
serveur ou répartis sur plusieurs. Bien que l’on puisse déplacer les dossiers de départ
en cas de besoin, vous risquez de devoir modifier un grand nombre d’enregistrements d’utilisateur et de point de partage. Par conséquent, mettez au point une stratégie qui demeurera valable pendant une durée raisonnablement longue. Pour en
savoir plus sur les dossiers de départ, consultez la section Gestion des utilisateurs.
 Certains services permettent de limiter l’espace disque sollicité par chaque utilisateur. Vous pouvez, par exemple, définir des quotas pour les dossiers de départ et
pour le courrier des utilisateurs. Pensez aux quotas comme un moyen de maximiser
l’espace disque disponible sur un serveur qui stocke des dossiers de départ et des
bases de données de messagerie. Gestion des utilisateurs décrit les quotas relatifs aux
dossiers de départ et au courrier au niveau des utilisateurs, tandis que Administration
du service de messagerie décrit les quotas relatifs au courrier au niveau des services.
 Les besoins en matière d’espace disque dépendent également des types de fichiers
hébergés par le serveur. Ainsi, un environnement créatif nécessite de très importantes capacités de stockage du fait du volume important des fichiers de données multimédias, alors qu’une école primaire a des besoins de stockage de fichiers plus
modestes. Administration des services de fichier décrit le partage de fichiers.
 Si vous installez un serveur de diffusion de données en continu, allouez un espace
disque suffisant pour assurer la diffusion en continu d’un certain nombre d’heures de
vidéo ou de son. Pour connaître les configurations matérielle et logicielle requises et
voir un exemple de configuration, consultez la section Administration de QuickTime
Streaming et Broadcasting.
 Le nombre d’ordinateurs client NetBoot que vous pouvez connecter à un serveur
dépend du nombre de connexions Ethernet du serveur, du nombre d’utilisateurs, de
la quantité de RAM et d’espace disque disponible, ainsi que d’autres facteurs. Le service DHCP doit être disponible. Pour obtenir des instructions sur la planification des
capacités NetBoot, consultez la section Administration de Mise à jour de logiciels et
d’Imagerie système.
28
Chapitre 2 Planification
 Mac OS X Server offre une gestion complète des utilisateurs Windows. Vous pouvez
regrouper les tâches de gestion sur des serveurs fournissant des services de contrôleur principal de domaine ou bien répartir les services sur différents serveurs. Administration d’Open Directory et Administration des services de fichier décrivent les
options disponibles.
 Si vous voulez utiliser un RAID logiciel pour segmenter des disques ou les mettre en
miroir, vous aurez besoin de deux lecteurs non FireWire ou plus sur un serveur. Pour
en savoir plus, consultez l’aide en ligne d’Utilitaire de disque.
Avant de prendre des décisions définitives quant à la répartition des services hébergés
par les différents serveurs, familiarisez-vous avec les guides d’administration de chacun
des services à déployer.
Définition d’une stratégie de migration
Si vous utilisez une version de Mac OS X Server comprise entre 10.2 et 10.4 ou un serveur Windows NT, examinez les opportunités de déplacement des données et des
réglages vers Mac OS X Server 10.5.
Mise à niveau et migration à partir d’une version antérieure de
Mac OS X Server
Si vous utilisez des ordinateurs sous Mac OS X Server 10.2, 10.3 ou 10.4, envisagez leur
mise à niveau ou leur migration vers une configuration avancée de Mac OS X Server
10.5 Leopard.
Si vous utilisez Mac OS X Server 10.4 ou 10.3 et que vous n’avez pas besoin de changer
d’ordinateur, vous pouvez procéder à une installation de mise à niveau. La mise à
niveau est simple, car elle préserve les données et réglages existants.
Lorsque cette approche est impossible, vous pouvez migrer les données et les réglages. Vous devrez procéder à une migration, et non à une mise à niveau, dans les cas
suivants :
 Le disque dur d’un serveur 10.3 ou 10.4 doit être reformaté ou le serveur ne satisfait
pas à la configuration minimale requise pour Leopard. Pour en savoir plus, consultez
la section « Description de la configuration requise pour l’installation de Mac OS X
Server » à la page 66.
 Vous souhaitez déplacer vers un autre serveur les données et les réglages que vous
utilisiez sur un serveur de version 10.3 ou 10.4.
 Vous souhaitez déplacer les données et les réglages utilisés sur un serveur 10.2.
La migration est prise en charge à partir des dernières versions de Mac OS X Server
10.4, 10.3 et 10.2. Une migration consiste à installer et configurer une configuration
avancée de Leopard Server, à y restaurer les fichiers à partir du serveur antérieur et
à effectuer les ajustements manuels nécessaires.
Chapitre 2 Planification
29
Pour des informations complètes, lisez la section Mise à niveau et migration.
Migration à partir de Windows NT
Une configuration avancée de Leopard Server est capable de fournir divers services à
des utilisateurs d’ordinateur Microsoft Windows 95, 98, ME, XP, NT 4 et 2000. En fournissant ces services, Leopard Server peut remplacer les serveurs Windows NT dans les
petits groupes de travail.
Pour plus d’informations sur la migration d’utilisateurs, de groupes, de fichiers et
d’autres éléments depuis un serveur Windows NT vers Mac OS X Server, consultez
la section Mise à niveau et migration.
Définition d’une stratégie d’intégration
Il y a deux aspects à prendre en compte lorsque vous intégrez Mac OS X Server à
un environnement hétérogène :
 la configuration de Mac OS X Server de manière à exploiter les services existants,
 la configuration d’ordinateurs non Apple pour l’utilisation de Mac OS X Server.
Le premier aspect concerne principalement l’intégration des services de répertoire.
Déterminez quels ordinateurs Mac OS X Server utiliseront des répertoires existants
(tels qu’Active Directory, LDAPv3 et NIS) et des services d’authentification existants
(tels que Kerberos). Pour les options et les instructions, consultez la section Administration d’Open Directory. L’intégration peut se résumer à l’activation d’une option dans Utilitaire d’annuaire ou nécessiter la reconfiguration des services existants et des réglages
de Mac OS X Server.
Le deuxième aspect consiste principalement à déterminer le niveau de prise en charge
que Mac OS X Server doit fournir aux utilisateurs d’ordinateurs Windows. Administration des services de fichier et Administration d’Open Directory contiennent des informations sur les différentes possibilités.
Définition de la configuration de l’infrastructure matérielle
Déterminez s’il est nécessaire d’apporter des modifications au site ou à la topologie
du réseau avant d’installer et de configurer les serveurs.
 Qui administrera le serveur, et de quel type d’accès au serveur auront besoin les
administrateurs ?
Les serveurs de salle de classe doivent être facilement accessibles aux instructeurs,
tandis que ceux qui hébergent des informations de répertoire pour tout un réseau
doivent être sécurisés en contrôlant l’accès aux locaux dans lesquels ils sont installés.
30
Chapitre 2 Planification
Les outils d’administration de Mac OS X Server offrant une solution complète d’administration du serveur à distance, il est rare qu’un administrateur ait besoin d’accéder
physiquement au serveur.
 Certaines conditions de climatisation ou d’alimentation électrique doivent-elles être
remplies ? Pour plus d’informations à ce sujet, consultez la documentation livrée avec
le matériel du serveur.
 Comptez-vous effectuer la mise à niveau d’éléments tels que des câbles, des commutateurs et des boîtiers d’alimentation ? Le moment est peut-être adéquat pour le faire.
 Votre réseau TCP/IP et ses sous-réseaux sont-ils configurés pour prendre en charge
les services et les serveurs que vous souhaitez déployer ?
Définition de l’infrastructure minimale pour la configuration
du serveur
L’infrastructure de configuration de serveur est constituée des services et des serveurs
que vous devez configurer en premier parce que d’autres en dépendent.
Par exemple, si vous souhaitez utiliser Mac OS X Server pour fournir des services DHCP,
une horloge de réseau et BootP à d’autres serveurs, vous devez configurer et activer le
ou les serveurs fournissant ces services et démarrer ces derniers avant de configurer les
serveurs qui en dépendent. Par ailleurs, si vous voulez automatiser la configuration des
serveurs en utilisant des données de configuration stockées dans un répertoire, vous
devez d’abord configurer les serveurs DHCP et les serveurs de répertoires.
Le travail d’infrastructure de configuration requis dépend de la complexité de votre site
et de vos objectifs. En général, les services DHCP, DNS et de répertoires sont souhaitables ou obligatoires pour un réseau moyen ou de grande taille :
 La couche d’infrastructure la plus essentielle comprend des services de réseau tels
que DHCP et DNS.
Tous les services fonctionnent mieux si un service DNS est disponible sur le réseau,
et de nombreux services requièrent son bon fonctionnement. Si vous n’hébergez pas
de service DNS, consultez l’administrateur responsable du serveur DNS lorsque vous
configurez vos propres serveurs. Les conditions de DNS requises pour les services
individuels sont indiquées dans les guides d’administration propres à chaque service.
La configuration de DHCP doit se faire en fonction de la topologie physique de votre
réseau.
 Autre composant d’infrastructure essentiel : les services de répertoire, qui sont nécessaires pour le partage des données entre services, serveurs et ordinateurs. Le type
de données le plus couramment partagé est celui employé par les utilisateurs et les
groupes, même si les informations de configuration telles que les enregistrements
de montage et les autres données de répertoires sont également partagées.
Chapitre 2 Planification
31
Les infrastructures de services de répertoire sont nécessaires lorsque vous souhaitez
héberger des services d’authentification multi-plateformes ou que plusieurs services
doivent utiliser les mêmes noms et mots de passe.
Voici un exemple de l’ordre dans lequel vous pouvez configurer une infrastructure de
serveurs comprenant les services DNS, DHCP et de répertoire. Les services peuvent être
configurés sur le même serveur ou sur différents serveurs :
1 Installez le serveur DNS.
2 Installez DHCP.
3 Configurez DHCP pour indiquer l’adresse du serveur DNS et que celui-ci offre ses services aux clients DHCP.
4 Installez un serveur de répertoires comprenant si besoin est un service de contrôleur
principal de domaine Windows.
5 Remplissez le répertoire avec les données des utilisateurs, des groupes et des dossiers
de départ.
Ce processus peut impliquer l’importation des utilisateurs et des groupes, la configuration des points de partage, la configuration des préférences gérées, etc.
6 Configurez DHCP pour indiquer l’adresse du serveur de répertoires et que celui-ci offre
ses services aux clients DHCP.
Vos besoins particuliers peuvent modifier cette séquence. Ainsi, si vous souhaitez utiliser des services tels que VPN, NAT ou coupe-feu IP, leur installation devra être prise en
compte lors de la configuration de DNS et de DHCP.
Vérification de la disponibilité du matériel nécessaire pour le serveur
Il est parfois préférable d’attendre que tout le matériel soit en place avant de commencer la configuration du serveur.
Par exemple, évitez de configurer un serveur dont vous souhaitez stocker les données
en miroir tant que tous les disques à configurer pour la mise en miroir ne sont pas disponibles. De même, il vaut mieux attendre que le sous-système RAID soit en place
avant d’installer un serveur de dossiers de départ ou tout serveur qui l’utilisera.
32
Chapitre 2 Planification
Limitation de la nécessité de déplacer des serveurs après
la configuration
Essayez de placer un serveur dans son emplacement réseau final (sous-réseau IP) avant
de le configurer pour la première fois. Si vous souhaitez éviter tout accès non autorisé
ou prématuré au cours du démarrage, vous pouvez configurer un coupe-feu afin de
protéger le serveur lors de la finalisation de sa configuration.
Si vous ne pouvez pas éviter de déplacer un serveur après la configuration initiale, vous
devez commencer par modifier les réglages qui dépendent de l’emplacement réseau.
Par exemple, l’adresse IP et le nom d’hôte du serveur, stockés dans les deux répertoires
et fichiers de configuration du serveur, doivent être mis à jour.
Lorsque vous déplacez un serveur, respectez les règles suivantes :
 Limitez la durée pendant laquelle le serveur se trouve dans son emplacement temporaire, de façon à limiter la quantité d’informations à modifier.
 Reportez la configuration des services qui dépendent des réglages réseau, jusqu’à ce
que le serveur se trouve à son emplacement final. Ces services incluent la réplication
Open Directory, les réglages Apache (tels que les domaines virtuels), DHCP et
d’autres réglages d’infrastructure réseau dont dépendent d’autres ordinateurs.
 Attendez avant d’importer les comptes d’utilisateur finaux. Limitez-vous aux comptes de test afin de minimiser les informations réseau propres à l’utilisateur (telles que
l’emplacement du dossier de départ) devant être modifiées après le déplacement.
 Une fois que vous avez déplacé le serveur, vous pouvez modifier son adresse IP dans
la sous-fenêtre Réseau de Préférences Système (ou utiliser l’outil networksetup).
Quelques minutes après avoir modifié l’adresse IP ou le nom du serveur, Mac OS X Server
utilise automatiquement l’outil de ligne de commande changeip pour mettre à jour le
nom, l’adresse, d’autres données stockées dans le domaine Open Directory, le domaine
de répertoire local et les fichiers de configuration de service sur le serveur.
Il est parfois nécessaire d’ajuster manuellement des configurations réseau comme les
entrées DNS du serveur ou son mappage statique DHCP. Pour obtenir des informations sur l’outil changeip, consultez sa page man et la section Administration de ligne
de commande.
 Reconfigurez la politique de recherche des ordinateurs (tels que les ordinateurs des
utilisateurs et les serveurs DHCP) qui ont été configurés pour utiliser le serveur dans
son emplacement d’origine.
Chapitre 2 Planification
33
Définition de politiques de sauvegarde et de restauration
Tous les systèmes de stockage finissent par tomber en panne un jour. L’usure de l’équipement, un accident ou un sinistre informatique peuvent provoquer la perte de vos
données et de vos réglages de configuration. Avant d’installer un système de données,
vous devriez donc mettre en place un plan destiné à empêcher la perte de données
ou à en réduire l’impact.
Description des politiques de sauvegarde et de restauration
De très nombreuses raisons expliquent l’existence d’une politique de sauvegarde et
de restauration. Vos données sont sujettes à des pannes de matériel causées par l’usure,
des catastrophes naturelles ou provoquées par l’homme ou simplement la corruption
des données. Vous ne pouvez pas empêcher certaines pertes de données, mais un plan
de sauvegarde et de restauration vous permettra au moins de récupérer vos données.
Ces politiques de sauvegarde et de restauration doivent être adaptées à votre situation,
vos besoins et votre propre détermination par rapport aux données à sauvegarder, à la
fréquence des sauvegardes et au temps et aux efforts à investir pour les restaurer.
Les sauvegardes constituent un investissement en temps, en argent, en efforts d’administration et, souvent, en performances. Cet investissement permet toutefois d’obtenir
un bénéfice net en termes d’intégrité des données. Vous pouvez éviter d’importants
coûts financiers, juridiques et organisationnels si vous disposez d’une politique de sauvegarde et de restauration bien planifiée et bien exécutée. Ces politiques spécifient les
procédures et les pratiques adaptées à vos besoins en matière de restauration.
Il existe en substance trois types de besoins en matière de restauration :
 Restauration d’un fichier supprimé ou corrompu.
 Reprise après une défaillance de disque (ou la suppression de fichiers due à une
catastrophe).
 Archivage de données à des fins organisationnelles (comptabilité, obligations juridiques, etc.).
Chaque besoin de restauration détermine le type, la fréquence et la méthode à utiliser
pour sauvegarder vos données.
Il est recommandé de conserver des sauvegardes quotidiennes de tous les fichiers. Cela
permet de restaurer rapidement les fichiers écrasés ou supprimés. Vous disposez ainsi
pour chaque jour d’une granularité au niveau du fichier : tout fichier peut être restauré
le lendemain.
34
Chapitre 2 Planification
Il existe d’autres niveaux de granularité. Il se peut, par exemple, que vous deviez restaurer les données de toute une journée à la fois. Dans ce cas, il y a granularité au niveau
de l’instantané quotidien : elle vous permet de restaurer l’ensemble des données de
votre organisation telles qu’elles étaient un jour donné. La gestion de tels instantanés
quotidiens n’est toutefois pas toujours pratique. Vous pouvez alors décider de conserver un ensemble d’instantanés mobiles donnant une granularité au niveau de l’instantané quotidien uniquement pour le mois écoulé. De même, il est possible de se
contenter de niveaux de restauration trimestriels, semestriels, etc.
Il est également parfois nécessaire de disposer d’un stockage à des fins d’archivage, c’està-dire de données stockées accessibles uniquement dans des circonstances exceptionnelles. Le stockage à des fins d’archivage peut être permanent, ce qui signifie que les données sont conservées pour une durée illimitée.
Votre organisation doit répondre aux questions suivantes :
 Que doit-on sauvegarder ?
 Quelle est la granularité requise pour les besoins de restauration ?
 À quelle fréquence faut-il sauvegarder les données ?
 Quelle doit être l’accessibilité des données (combien de temps prendra leur
restauration) ?
 Quels sont les processus mis en place pour récupérer après un sinistre informatique
durant une procédure de sauvegarde ou de restauration ?
Les réponses à ces questions font partie intégrante de votre politique de sauvegarde
et de restauration.
Description des types de sauvegarde
Il existe de nombreux types de fichiers de sauvegarde (ils sont décrits plus loin) et, au
sein de chaque type, de nombreux formats et méthodes différents. Chaque type de
sauvegarde est utilisé à des fins différentes et implique des considérations différentes.
 Images complètes : les images complètes sont des copies de données effectuées avec
une précision de l’ordre de l’octet. Elles capturent l’état complet du disque dur jusqu’à
la plus petite unité de stockage. Ces sauvegardes permettent aussi de conserver des
copies du système de fichiers d’un disque et des portions inutilisées ou effacées du
disque en question. Elles peuvent être utilisées pour réaliser une analyse détaillée des
données du disque source. Une telle fidélité rend souvent la restauration de fichiers
individuels plus difficile. Ils sont souvent compressés et ne sont décompressés que
pour restaurer l’ensemble des fichiers.
Chapitre 2 Planification
35
 Copies complètes au niveau du fichier : ces copies sont des fichiers de sauvegarde
conservés en tant que doubles. Elles ne capturent pas les détails les plus fins sur les
portions inutilisées du disque source, mais elles fournissent un enregistrement complet des fichiers tels qu’ils étaient au moment de la sauvegarde. Si l’un des fichiers
est modifié, la prochaine sauvegarde complète au niveau du fichier effectue une
copie de l’ensemble des données en plus du fichier qui a été modifié.
 Sauvegardes incrémentales : les sauvegardes incrémentales commencent par des
copies au niveau du fichier, mais ne copient que les fichiers qui ont été modifiés
depuis la dernière sauvegarde. Cela offre l’avantage d’économiser l’espace de stockage et de capturer toutes les modifications en vigueur au moment où elles sont
apportées.
 Instantanés : un instantané est une copie des données telles qu’elles étaient dans le
passé. Les instantanés peuvent être réalisés à partir de collections de fichiers ou, plus
souvent, à partir de liens vers d’autres fichiers au sein d’un ensemble de fichiers de
sauvegarde. Ils s’avèrent pratiques pour réaliser des sauvegardes de données volatiles
(données souvent modifiées, telles que les bases de données en cours d’utilisation ou
les serveurs de messagerie qui envoient et reçoivent des messages électroniques).
Ces types de sauvegarde ne s’excluent pas mutuellement ; ils ne représentent que des
approches différentes de la copie de données à des fins de sauvegarde. Ainsi, Time
Machine de Mac OS X utilise une copie complète au niveau du fichier comme sauvegarde de base, puis des sauvegardes incrémentales pour créer des instantanés des
données d’un ordinateur un jour donné.
Description de la planification de sauvegardes
La sauvegarde de fichiers demande du temps et des ressources. Avant de décider
d’un plan de sauvegarde, posez-vous les questions suivantes :
 Quelle est la quantité de données à sauvegarder ?
 Combien de temps la sauvegarde va-t-elle durer ?
 Quand la sauvegarde doit-elle avoir lieu ?
 Quelles seront les autres tâches exécutées par l’ordinateur pendant ce temps ?
 Quel type d’allocation de ressources sera nécessaire ?
Par exemple : quelle est la bande passante réseau nécessaire pour supporter la
charge ? Quel est l’espace disque nécessaire sur les lecteurs de sauvegarde ou combien de bandes de sauvegarde seront-elles nécessaires ? Quelle sera la charge sur les
ressources informatiques pendant la sauvegarde ? Quels sont les besoins en personnel pour la sauvegarde ?
Vous verrez que les différents types de sauvegarde requièrent des réponses différentes
à ces questions. Par exemple, une copie de fichiers incrémentale peut prendre moins de
temps et copier moins de données qu’une copie de fichiers complète (parce que seule
une partie de l’ensemble de données a été modifiée depuis la dernière sauvegarde).
36
Chapitre 2 Planification
Une sauvegarde incrémentale peut, par conséquent, être planifiée pendant une période
d’utilisation normale, car l’impact sur les utilisateurs et le système peut être très faible.
Une sauvegarde image complète, par contre, peut avoir un impact très important sur
les utilisateurs et le système si elle est réalisée en période d’utilisation normale.
Choix d’un schéma de rotation de sauvegarde
Les schémas de rotation de sauvegarde déterminent la méthode la plus efficace de sauvegarde de données sur une période donnée. Comme exemple de schéma de rotation,
on pourrait citer le schéma de rotation grand-père, père, fils. Dans ce schéma, vous pouvez réaliser des sauvegardes incrémentales quotidiennes (fils), des sauvegardes complètes hebdomadaires (père) et des sauvegardes complètes mensuelles (grand-père).
Dans le schéma de rotation grand-père - père - fils, le nombre d’ensembles de données
que vous utilisez par sauvegarde détermine la quantité d’historique de sauvegarde dont
vous disposez. Par exemple, si vous utilisez huit ensembles de sauvegarde pour les sauvegardes quotidiennes, vous avez huit jours d’historique de sauvegarde hebdomadaire
étant donné que vous recyclez les ensembles de données tous les huit jours.
Description des restaurations
Une politique ou une solution de sauvegarde ne peut être complète sans un plan de
restauration des données. Les pratiques et les procédures adoptées peuvent varier en
fonction de ce que l’on restaure. Votre organisation peut, par exemple, avoir des tolérances spécifiques concernant la durée de non-fonctionnement des systèmes critiques
pendant la restauration des données.
Les questions suivantes doivent être posées :
 Combien de temps la restauration des données va-t-elle durer à chaque niveau
de granularité ?
Par exemple, combien de temps prendra la restauration d’un fichier ou d’un message électronique supprimé ? Combien de temps prendra la restauration d’une
image complète de disque dur ? Combien de temps faudrait-il pour rétablir l’état
de l’ensemble du réseau il y a trois jours plus ?
 Quel est le processus le plus efficace pour chaque type de restauration ?
Par exemple, pourquoi restaurer un état antérieur de la totalité du serveur pour
un seul fichier ?
 Quelle est la quantité de travail demandée à l’administrateur pour chaque type
de restauration ? Quel est le niveau d’automatisation à atteindre pour exploiter
au mieux le temps de l’administrateur ?
 Dans quelles circonstances les restaurations sont elles lancées ? Quels sont les critères d’exécution d’une restauration ? (Qui, quoi et pourquoi)
Chapitre 2 Planification
37
Les pratiques et les procédures de restauration doivent être testées régulièrement. Un
ensemble de données de sauvegarde qui n’a pas prouvé sa capacité de restauration
correcte ne peut pas être considéré comme une sauvegarde fiable. L’intégrité d’une
sauvegarde se mesure à sa fidélité de restauration.
Définition d’un mécanisme de vérification de sauvegarde
Une sauvegarde n’a pas d’intérêt si vous ne pouvez pas l’utiliser pour restaurer des
données perdues. Nous vous conseillons d’avoir une stratégie de restaurations test
régulières. Certains fournisseurs de logiciels de tierces parties gèrent cette fonctionnalité. Si vous utilisez toutefois vos propres solutions de sauvegarde, vous devez développer les procédures de test nécessaires.
Autres considérations en matière de politique de sauvegarde
Tenez compte des points supplémentaires suivants pour votre politique de sauvegarde :
 Faut-il utiliser la compression de fichiers ? Si oui, de quel type ?
 Y a-t-il des sauvegardes et des archives sur site et hors site ?
 Existe-t-il des considérations particulières quant au type de données stockées ? En
ce qui concerne les fichiers Mac OS X, par exemple : l’utilitaire de sauvegarde peut-il
préserver les métadonnées des fichiers, les branches de ressources et les privilèges
des listes de contrôle d’accès (ACL) ?
Sélection du type de support de sauvegarde
Plusieurs facteurs peuvent vous aider à déterminer le type de support à utiliser :
 Coût. Utilisez le coût par giga-octet pour déterminer le support à utiliser. Ainsi, si vos
besoins en matière de stockage sont limités, vous pouvez justifier un coût par gigaoctet plus élevé, mais s’il vous faut un espace de stockage important, le coût devient
un facteur important dans votre décision.
L’une des solutions de stockage les plus économiques est celle offerte par les réseaux
redondants de disques indépendants (RAID). Cette solution vous garantit non seulement un faible coût par giga-octet, mais ne nécessite en outre aucune des manipulations spéciales requises par d’autres types de stockage économiques tels que les
bandes magnétiques.
 Capacité. Si vous ne sauvegardez qu’une petite quantité de données, un support de
stockage de faible capacité fera l’affaire. Mais si vous avez besoin de sauvegarder de
grandes quantités de données, utilisez des périphériques à haute capacité tels qu’un
réseau RAID.
 Vitesse. Lorsque votre objectif est de rendre votre serveur disponible la majorité du
temps, la vitesse de restauration devient un facteur déterminant pour le choix du
support. Les systèmes de sauvegarde sur bande magnétique peuvent être très économiques, mais ils sont nettement moins rapides que les réseaux RAID.
38
Chapitre 2 Planification
 Fiabilité. Une rotation réussie est l’objectif de toute bonne stratégie de sauvegarde.
Si vous ne pouvez pas restaurer les données perdues, les efforts et l’argent que vous
aurez investis dans la sauvegarde des données seront gâchés, et la disponibilité de
vos services sera compromise.
Pour éviter la perte de données, il est donc essentiel que vous choisissiez un support
très fiable. Les bandes magnétiques sont en ce sens plus sûres que les disques durs
car elles ne contiennent pas de pièces mobiles.
 Durée de vie des archives. Vous ne pouvez jamais savoir quand vous aurez besoin
des données sauvegardées. C’est pourquoi vous devez opter pour un support conçu
pour durer longtemps. Certains facteurs, tels que la poussière et l’humidité, peuvent
endommager les supports de stockage et entraîner la perte de données.
Outils de ligne de commande de restauration et de sauvegarde
Mac OS X Server fournit plusieurs outils de ligne de commande de sauvegarde
et restauration de données :
 rsync. Utilisez cette commande pour synchroniser les copies de sauvegarde de
vos données avec les originaux. L’outil rsync ne copie que les fichiers modifiés.
 ditto. Utilisez cette commande pour exécuter des sauvegardes totales.
 asr. Utilisez cette commande pour sauvegarder et restaurer un volume entier.
Pour en savoir plus sur ces commandes, consultez la section Administration de ligne
de commande.
La fonctionnalité Time Machine de Leopard n’est pas recommandée pour la sauvegarde de fichiers de serveur ni la sauvegarde système de serveurs en configuration
avancée.
Remarque : la commande launchdctl permet d’automatiser la sauvegarde des données à l’aide des commandes sus-mentionnées. Pour en savoir plus sur l’utilisation de
launchd, consultez la section Administration de ligne de commande.
Chapitre 2 Planification
39
3
Outils d’administration
3
Administrez Mac OS X Server au moyen d’applications
graphiques ou d’utilitaires de ligne de commande.
Les outils de Mac OS X Server permettent différentes approches d’administration
de serveur :
 Vous pouvez administrer les serveurs en local (directement sur le serveur utilisé)
ou à distance à partir d’un autre serveur, d’un ordinateur Mac OS X ou d’un poste
de travail UNIX.
 Les applications graphiques, comme Admin Serveur et Gestionnaire de groupe de
travail, facilitent l’administration du serveur et sécurisent les communications pour
l’administration du serveur à distance.
Vous pouvez utiliser ces applications sur un ordinateur Mac OS X Server (elles se
trouvent dans le répertoire /Applications/Server/) ou sur un ordinateur Mac OS X sur
lequel vous les avez installées en suivant les instructions de la section « Configuration
d’un ordinateur administrateur » à la page 155.
 Des utilitaires de ligne de commande sont accessibles pour les administrateurs qui
préfèrent administrer le serveur à l’aide de commandes.
Pour l’administration du serveur à distance, vous pouvez soumettre les commandes
dans une session SSH (Secure Shell). Vous pouvez taper les commandes sur les ordinateurs Mac OS X Server et Mac OS X au moyen de l’application Terminal, qui se trouve
dans le dossier /Applications/Utilitaires/. Vous pouvez également les exécuter à partir
d’un ordinateur non Macintosh, comme décrit dans la rubrique « Administration au
moyen d’un ordinateur non Mac OS X » à la page 155.
41
Admin Serveur
L’application Admin Serveur vous permet d’administrer des services sur un ou plusieurs ordinateurs Mac OS X Server. Admin Serveur vous permet également de spécifier des réglages prenant en charge plusieurs services, tels que la création et la gestion
de certificats SSL, la gestion du partage de fichiers, ainsi que la définition des utilisateurs et groupes autorisés à accéder aux services.
Les informations sur l’utilisation d’Admin Serveur pour gérer les services apparaissent
dans les guides d’administration individuels et dans les informations à l’écran, accessibles via le menu Aide d’Admin Serveur.
Les informations sur l’utilisation d’Admin Serveur pour la gestion des services figurent
dans les différents guides d’administration et dans les sections suivantes.
Ouverture de l’application Admin Serveur et authentification
Admin Serveur est installé dans le dossier /Applications/Server/, à partir duquel vous
pouvez l’ouvrir dans le Finder. Vous pouvez également ouvrir Admin Serveur en cliquant sur l’icône correspondante dans le Dock ou sur le bouton Admin Serveur dans
la barre d’outils du Gestionnaire de groupe de travail.
Pour sélectionner un serveur à utiliser, tapez son adresse IP ou son nom DNS dans la
zone de dialogue d’ouverture de session ou cliquez sur Serveurs disponibles pour le
choisir dans une liste de serveurs. Tapez le nom d’utilisateur et le mot de passe d’un
administrateur de serveur, puis cliquez sur Se connecter.
42
Chapitre 3 Outils d’administration
Interface d’Admin Serveur
L’interface d’Admin Serveur est décrite ci-après. Chaque élément est expliqué dans
le tableau ci-dessous.
A
B
F
C
E
G
H
D
I
J
O
K L M
N
Chapitre 3 Outils d’administration
43
A
Liste de serveurs : contient les serveurs, les groupes, les groupes intelligents et, si vous le souhaitez, les services administrés pour chaque serveur.
Sélectionnez un groupe pour afficher un résumé de l’état de tous les ordinateurs qui le composent.
Sélectionnez un ordinateur pour afficher une vue d’ensemble et les réglages de serveur.
Sélectionnez le service d’un serveur pour contrôler et configurer ce service.
B
Boutons contextuels : affichent les informations et les sous-fenêtres de configuration disponibles.
C
Barre d’outils : affiche les boutons contextuels disponibles. Si un bouton est grisé ou inactif, cela
signifie que vous ne possédez pas les autorisations administratives pour y accéder.
D
Zone de travail principale : affiche l’état et les options de configuration. Ces informations sont
différentes en fonction du service et du bouton contextuel sélectionné.
E
Serveurs disponibles : affiche l’explorateur de réseau local que vous pouvez utiliser pour découvrir des serveurs à ajouter à votre liste de serveurs.
F
Tous les serveurs : affiche tous les ordinateurs qui ont été ajoutés à Admin Serveur, quel que soit
leur état.
G
Serveur : affiche le nom d’hôte du serveur géré. Sélectionnez-le pour afficher un résumé de
l’état du matériel, du système d’exploitation, des services actifs et du système.
H
Service : affiche le service administré pour un serveur donné. Sélectionnez-le pour afficher l’état
du service, des historiques et des options de configuration.
I
Groupe : affiche un groupe de serveurs créés par un administrateur. Sélectionnez-le pour afficher un résumé de l’état de tous les ordinateurs du groupe.
Pour en savoir plus, consultez la section « Regroupement manuel de serveurs » à la page 158.
J
Groupe intelligent : affiche un groupe automatique composés de serveurs répondant à des critères de sélection prédéterminés.
Pour en savoir plus, consultez la section « Regroupement de serveurs à l’aide de groupes
intelligents » à la page 159.
K
Bouton Ajouter : affiche un menu local contenant des éléments que vous pouvez ajouter à la
liste de serveurs : serveurs, groupes et groupes intelligents.
L
Bouton Action : affiche un menu local contenant les actions possibles pour le service ou le serveur sélectionné, comme déconnecter un serveur, partager l’écran du serveur, etc.
M Bouton Réactualiser : permet d’envoyer une demande d’état à tous les ordinateurs qui figurent
dans la liste de serveurs.
44
N
Bouton de démarrage/d’arrêt de service : ce bouton permet de démarrer ou d’arrêter le service sélectionné.
O
Barre d’action : contient des boutons et des menus locaux comportant des commandes permettant d’agir sur les serveurs ou les services sélectionnés dans la liste de serveurs. Utilisez ces commandes pour enregistrer ou annuler des modifications de réglages. Contient le bouton Ajouter,
le bouton Action, le bouton de démarrage/d’arrêt de service, ainsi que les boutons Revenir et
Enregistrer.
Chapitre 3 Outils d’administration
Personnalisation de l’environnement d’Admin Serveur
Pour contrôler l’environnement d’Admin Serveur, vous avez le choix entre les options
ci-après.
 Pour contrôler la liste des services à administrer, consultez la section « Ajout et suppression de services dans Admin Serveur » à la page 164.
 Pour contrôler l’apparence des listes d’Admin Serveur, la fréquence d’actualisation
et d’autres comportements, choisissez Admin Serveur > Préférences.
Assistant du serveur
Assistant du serveur est utilisé pour les tâches suivantes :
 Les installations du serveur à distance.
 La configuration initiale d’un serveur local.
 La configuration initiale de serveurs distants.
 La préparation de données pour la configuration automatisée d’une configuration
avancée.
La page de démarrage d’Assistant du serveur est illustrée ci-dessous.
L’Assistant du serveur se trouve dans /Applications/Server/.
Pour obtenir des informations sur l’utilisation d’Assistant du serveur, utilisez ses boutons Aide ou consultez le chapitre 6, « Configuration initiale du serveur, » à la page 117.
Chapitre 3 Outils d’administration
45
Gestionnaire de groupe de travail
Mac OS X Server comprend Gestionnaire de groupe de travail, un outil de gestion des
utilisateurs que vous pouvez utiliser pour créer et gérer des comptes d’utilisateur, de
groupe d’utilisateurs, d’ordinateur et de groupe d’ordinateurs. Vous pouvez aussi l’utiliser pour accéder à l’inspecteur, une fonctionnalité avancée qui permet de modifier des
entrées Open Directory.
Le Gestionnaire de groupe de travail est installé dans le dossier /Applications/Server/, à
partir duquel vous pouvez l’ouvrir dans le Finder. Il est également possible d’ouvrir Gestionnaire de groupe de travail en cliquant sur Présentation > Gestionnaire de groupe
de travail, dans la barre des menus d’Admin Serveur.
Gestionnaire de groupe de travail fonctionne en association étroite avec un domaine de
répertoire. Les domaines de répertoire sont similaires à des bases de données et sont optimisées pour le stockage d’informations de compte et le traitement de l’authentification.
Les informations relatives au Gestionnaire de groupe de travail sont disponibles dans
de nombreux documents :
 Gestion des utilisateurs explique comment utiliser Gestionnaire de groupe de travail
pour la gestion des comptes et des préférences. Ce guide explique aussi comment
importer et exporter des comptes.
 Administration d’Open Directory décrit comment utiliser l’inspecteur.
Une fois que vous avez ouvert Gestionnaire de groupe de travail, vous pouvez ouvrir
une fenêtre Gestionnaire de groupe de travail en choisissant Serveur > Nouvelle fenêtre Gestionnaire de groupe de travail.
Important : lorsque vous vous connectez à un serveur ou que vous vous authentifiez
dans Gestionnaire de groupe de travail, assurez-vous que l’emploi des majuscules dans
le nom que vous tapez respecte l’emploi des majuscules dans le nom d’administrateur
de serveur ou de compte d’administrateur de domaine utilisé.
46
Chapitre 3 Outils d’administration
Interface de Gestionnaire de groupe de travail
L’interface de Gestionnaire de groupe de travail est décrite ci-après. Chaque élément
est expliqué dans le tableau qui suit.
A
B
C
D
E
F
I
G
J
H
Chapitre 3 Outils d’administration
47
A
Admin Serveur : cliquez sur ce bouton pour ouvrir l’application Admin Serveur.
B
Boutons de réglages : cliquez sur Comptes pour afficher ou modifier des réglages de compte
ou sur Préférences pour afficher ou modifier des réglages de préférences.
C
Barre d’outils : cliquez sur les icônes pour exécuter les commandes en question. La barre d’outils
est personnalisable.
D
Chemin d’accès au répertoire : utilisez ce chemin pour voir le répertoire que vous modifiez. Cliquez sur l’icône représentant un globe pour sélectionner un domaine de répertoire. Cliquez sur
le cadenas pour vous authentifier.
E
Onglets de type d’enregistrement : utilisez ces onglets pour afficher les enregistrements des
utilisateurs, des groupes, des ordinateurs ou tous les enregistrements. L’onglet Inspecteur apparaît également si l’inspecteur est activé.
F
Filtres de texte : utilisez-les pour filtrer les noms d’enregistrement.
G
Liste des enregistrements : utilisez cette liste pour afficher tous les noms d’enregistrement
correspondant au type d’enregistrement sélectionné.
H
Barre de sélection : utilisez cette barre pour voir le nombre d’enregistrements trouvés et
sélectionnés.
I
Zone de travail principale : utilisez-la pour travailler sur les options de compte, de préférences
et de configuration. La zone de travail principale varie en fonction du type d’utilisateur, de
groupe ou de préférences.
J
Zone d’action : utilisez cette zone pour enregistrer et annuler des modifications, ainsi que pour
appliquer des configurations prédéfinies aux enregistrements sélectionnés.
Personnalisation de l’environnement du Gestionnaire de groupe
de travail
Il existe plusieurs moyens d’adapter l’environnement du Gestionnaire de groupe
de travail :
 Pour accéder aux préférences de Gestionnaire de groupe de travail, choisissez
Gestionnaire de groupe de travail > Préférences.
Vous pouvez configurer des options telles que la résolution des noms DNS, l’activation de l’inspecteur, l’obligation de saisir une requête de recherche pour afficher la
liste des enregistrements et le nombre maximum d’enregistrements à afficher.
 Pour personnaliser la barre d’outils, choisissez Affichage > Personnaliser la barre
d’outils.
 Pour inclure des utilisateurs et groupes prédéfinis dans les listes d’utilisateurs et
de groupes, choisissez Affichage > Afficher les utilisateurs et groupes du système.
 Pour ouvrir Admin Serveur, cliquez sur le bouton de barre d’outils Admin Serveur.
48
Chapitre 3 Outils d’administration
Répertoire
Répertoire permet aux utilisateurs d’accéder à des informations partagées sur les personnes, les groupes, les emplacements et les ressources de l’organisation. Ils peuvent
utiliser Répertoire pour partager des contacts, ajouter des groupes, configurer des services de groupe et gérer les coordonnées de leurs contacts.
Lorsqu’un utilisateur consulte les informations d’une autre personne, il n’accède pas
seulement à ses coordonnées. Si la personne a fourni une photo, l’utilisateur peut voir
à quoi il ou elle ressemble. Il peut voir le superviseur et les supérieurs hiérarchiques
directs de la personne. Il a accès aux groupes publics auxquels la personne appartient.
Il peut également imprimer une carte sur laquelle est indiqué le lieu où se trouve cette
personne.
Répertoire exploite plusieurs applications Mac OS X. Les utilisateurs peuvent créer des
contacts partagés à partir d’entrées de Carnet d’adresses, cliquer sur des adresses électroniques pour envoyer des messages à l’aide de Mail ou charger des services web de
groupe dans Safari.
Chapitre 3 Outils d’administration
49
Interface de Répertoire
L’interface de Répertoire est décrite ci-après. Chaque élément est expliqué dans
le tableau ci-dessous.
A
50
B
C
D
E
F
A
Champ Rechercher : utilisez ce champ pour faire des recherches parmi les différents types
d’enregistrement. Les nombres qui apparaissent à gauche des boutons de type d’enregistrement indiquent le nombre d’enregistrements répondant aux critères de recherche.
B
Boutons de type d’enregistrement : cliquez sur ces boutons pour afficher les types d’enregistrement de répertoire correspondants.
C
Liste des résultats : utilisez cette liste pour afficher les résultats de la recherche d’enregistrements.
D
Enregistrement : affiche l’enregistrement sélectionné dans la liste de résultats.
E
Bouton Ajouter : utilisez ce bouton pour ajouter un enregistrement de personne, de groupe,
d’emplacement ou de ressource.
F
Bouton Modifier : cliquez sur ce bouton pour modifier l’enregistrement sélectionné.
Chapitre 3 Outils d’administration
Utilitaire d’annuaire
Utilitaire d’annuaire est la principale application permettant de configurer les connexions d’un ordinateur Mac OS X à Open Directory, Active Directory et à d’autres
domaines de répertoire et de définir la politique de recherche et les protocoles de
détection de services de l’ordinateur.
L’interface d’Utilitaire d’annuaire est décrite ci-après avec des options de configuration
avancée.
Utilitaire d’annuaire est installé sur les ordinateurs Mac OS X Server et Mac OS X dans
/Applications/Utilitaires/.
Pour obtenir des informations sur la façon d’utiliser Utilitaire d’annuaire, consultez
la section Administration d’Open Directory ou l’Aide Utilitaire d’annuaire.
Contrôle de serveur
Utilisez Contrôle de serveur pour surveiller le matériel Xserve local ou distant et pour
déclencher des notifications par courrier électronique lorsque les circonstances l’imposent. Contrôle de serveur fournit des informations sur le système d’exploitation, les lecteurs de disque, l’alimentation, la température du boîtier et du processeur, les ventilateurs,
la sécurité et le réseau.
Chapitre 3 Outils d’administration
51
L’interface de Contrôle de serveur est illustrée ci-dessous.
Contrôle de serveur est installé dans le répertoire /Applications/Server/ lorsque vous
installez votre serveur ou configurez un ordinateur administrateur. Pour ouvrir Contrôle
de serveur, cliquez sur l’icône de l’application dans le Dock ou double-cliquez sur son
icône dans le répertoire /Applications/Server/. Dans Admin Serveur, choisissez Présentation > Contrôle de serveur.
Pour identifier le serveur Xserve à surveiller, cliquez sur Ajouter un serveur, identifiez le
serveur et tapez le nom d’utilisateur et le mot de passe d’un administrateur du serveur.
Pour spécifier la fréquence d’actualisation des données, utilisez le menu local « Mettre
à jour tous les » de la sous-fenêtre Infos.
Pour gérer différentes listes de serveurs Xserve à contrôler, choisissez Fichier > Exporter ou Fichier > Importer. Pour regrouper toutes les listes en une seule, choisissez
Fichier > Fusionner.
Les témoins LED du système figurant sur les parties avant et arrière d’un serveur Xserve
s’allument lorsque le service est requis. Utilisez Contrôle de serveur pour savoir plus
exactement pourquoi les témoins s’allument. Vous pouvez également allumer les
témoins d’un serveur Xserve afin de l’identifier dans une baie de serveurs. Pour cela,
sélectionnez le serveur et cliquez sur Témoin système dans la sous-fenêtre Infos.
Pour configurer l’application Contrôle de serveur de sorte qu’elle vous avertisse par
courrier électronique de tout changement de l’état du serveur Xserve, cliquez sur
Modifier les notifications. Pour chaque serveur, configurez les conditions dont vous
souhaitez être averti. Le message électronique peut provenir de Contrôle de serveur
ou du serveur lui-même.
52
Chapitre 3 Outils d’administration
Contrôle de serveur conserve des historiques de l’activité sur chaque serveur Xserve.
Pour afficher un journal, cliquez sur Afficher l’historique. L’historique indique par exemple le nombre de fois où Contrôle de serveur a tenté de contacter le serveur et quelles
connexions ont réussi. Les historiques indiquent également les modifications de l’état
du serveur. Ces historiques n’incluent pas l’activité système sur le serveur.
Pour plus d’informations, reportez-vous à l’aide de Contrôle de serveur.
Gestion des images système
Vous pouvez utiliser les applications Mac OS X Server suivantes pour configurer et gérer
des images NetBoot et NetInstall :
 L’Utilitaire d’images de système permet de créer des images disque Mac OS X. Il est
installé avec le logiciel Mac OS X Server dans le dossier /Applications/Server/.
 Admin Serveur permet d’activer et de configurer le service NetBoot et les services
connexes. Il est installé avec le logiciel Mac OS X Server dans le dossier
/Applications/Server/.
 PackageMaker permet de créer des fichiers d’installation que vous pouvez utiliser
pour ajouter des logiciels à des images disque. Utilisez Xcode Tools pour accéder
à PackageMaker. Vous trouverez un programme d’installation d’Xcode Tools sur le
DVD d’installation du serveur, dans le dossier Other Installs.
 Property List Editor permet de modifier des listes de propriétés telles que NBImageInfo.plist. Vous pouvez accéder à Property List Editor à partir d’Xcode Tools.
L’interface d’Utilitaire d’images de système est illustrée ci-dessous.
Chapitre 3 Outils d’administration
53
Administration de Mise à jour de logiciels et d’Imagerie système contient des instructions
sur l’utilisation de toutes ces applications.
Gestion de l’enchaînement de données
Administration de QuickTime Streaming et Broadcasting contient des instructions sur
l’administration de QuickTime Streaming Server (QTSS) à l’aide d’Admin Serveur.
Administration de QuickTime Streaming et Broadcasting décrit aussi QTSS Publisher, une
application facile à utiliser pour gérer des données et les préparer pour la diffusion en
continu ou le téléchargement progressif.
Utilitaires de ligne de commande
Si vous êtes administrateur et préférez travailler dans un environnement de ligne de
commande, Mac OS X Server s’y prête aisément.
À partir de l’application Terminal dans Mac OS X, vous pouvez utiliser les shells UNIX
intégrés (sh, csh, tsh, zsh, bash) afin d’utiliser les outils d’installation et de configuration du logiciel serveur, ainsi que configurer et contrôler des services. Vous pouvez
également soumettre des commandes à partir d’un ordinateur non Mac OS X.
Lorsque vous administrez des serveurs distants, vous travaillez de façon sécurisée dans
une session SSH (Secure Shell).
Administration de ligne de commande décrit Terminal, SSH, les commandes d’administration de serveur et les fichiers de configuration.
54
Chapitre 3 Outils d’administration
Xgrid Admin
Vous pouvez utiliser Xgrid Admin pour surveiller des contrôleurs, grilles et travaux Xgrid
locaux ou distants. Vous pouvez ajouter des contrôleurs et des agents afin de surveiller
et de spécifier les agents qui n’ont pas encore rejoint de grille. Vous pouvez également
utiliser Xgrid Admin pour interrompre, arrêter ou redémarrer des travaux.
L’interface d’Utilitaire d’images de système est illustrée ci-dessous.
Xgrid Admin est installé dans /Applications/Server/ lors de l’installation du serveur ou de
la configuration d’un ordinateur administrateur. Pour ouvrir Xgrid Admin, double-cliquez
sur l’icône Xgrid Admin dans /Applications/Server/.
Pour plus d’informations, reportez-vous à l’aide de Xgrid Admin.
Chapitre 3 Outils d’administration
55
Apple Remote Desktop
Apple Remote Desktop (ARD), que vous pouvez acheter séparément, est une application de gestion d’ordinateurs en réseau, facile à utiliser. Elle simplifie la configuration,
la surveillance et la maintenance des ordinateurs distants et vous permet d’interagir
avec les utilisateurs.
L’interface d’Apple Remote Desktop est illustrée ci-dessous.
ARD permet de contrôler et d’observer des écrans d’ordinateur, de configurer des ordinateurs et d’installer des logiciels. Vous pouvez entrer en communication avec un ou
plusieurs utilisateurs à la fois pour leur fournir une aide ou une assistance. Vous pouvez
effectuer des opérations élémentaires de dépannage des problèmes de réseau. Vous
pouvez également générer des rapports d’audit des caractéristiques du matériel et
des logiciels installés.
Vous pouvez également utiliser ARD pour contrôler l’installation sur un ordinateur que
vous démarrez à partir d’un disque d’installation de Mac OS X Server 10.5 ou ultérieur,
car cette application inclut une fonctionnalité de visualiseur VNC.
Pour en savoir plus sur Apple Remote Desktop, visitez www.apple.com/fr/remotedesktop/.
56
Chapitre 3 Outils d’administration
4
Sécurité
4
Des politiques et des pratiques de sécurité vigilantes peuvent réduire le risque en matière d’intégrité du système
et de confidentialité des données.
Mac OS X Server est bâti sur des fondations UNIX robustes qui intègrent à leur architecture de nombreuses fonctionnalités de sécurité. Des technologies de pointe basées sur
des normes standard protègent votre serveur, votre réseau et vos données. Ces technologies comprennent notamment un coupe-feu intégré avec analyse de paquets à état,
des services puissants de chiffrement et d’authentification, des architectures de sécurité des données et la prise en charge des listes de contrôle d’accès (ACL).
La lecture de ce chapitre peut servir de base à votre réflexion. Il ne constitue pas un
guide de planification rigoureux et ne contient pas les détails dont vous avez besoin
pour déterminer s’il faut mettre en place une politique de sécurité particulière et en
évaluer les besoins en ressources. Considérez plutôt ce chapitre comme une occasion
de planifier et d’établir les politiques de sécurité nécessaires dans votre environnement.
Vous trouverez plus d’informations dans Configuration de la sécurité de Mac OS X Server
et Configuration de la sécurité de Mac OS X.
À propos de la sécurité physique
La sécurité physique d’un serveur est un aspect souvent négligé de la sécurité des ordinateurs. N’oubliez pas que toute personne qui a accès physiquement à un ordinateur
(par exemple, qui peut en ouvrir le boîtier ou y connecter un clavier, etc.) a un contrôle
presque total sur l’ordinateur et les données qui s’y trouvent. Une personne ayant accès
physiquement à un ordinateur peut ainsi :
 redémarrer l’ordinateur à partir d’un autre disque dur externe en contournant tous
les mécanismes d’ouverture de session existants ;
 retirer les disques durs et utiliser des techniques de récupération de données ;
 installer des enregistreurs de frappe matériels sur le clavier d’administration local ;
57
Vous devez déterminer, au sein de votre propre organisation et de votre environnement, quelles sont les précautions nécessaires, efficaces et rentables pour protéger la
valeur de vos données et de votre réseau. Si vous faites partie d’une organisation où la
salle des serveurs est protégée par des barrières allant du sol au plafond, par exemple,
pensez à sécuriser également les conduites d’air qui mènent à la salle. D’autres organisations opteront pour un simple rack à serveurs ou un mot de passe Open Firmware.
À propos de la sécurité du réseau
La sécurité du réseau est aussi importante pour l’intégrité des données que la sécurité
physique. Bien que la plupart des gens comprennent immédiatement la nécessité de
mettre sous clé un serveur coûteux, ils ne voient pas toujours de manière évidente la
nécessité de restreindre l’accès aux données qui se trouvent sur ce serveur. Les sections qui suivent contiennent des suggestions, des techniques et des technologies
pour vous aider à sécuriser votre réseau.
Coupe-feu et filtres de paquets
De la même façon qu’une cloison pare-feu agit comme une barrière physique qui protège de la chaleur et des dommages provoqués par la chaleur au sein d’un bâtiment ou
dans un véhicule, un coupe-feu réseau agit comme une barrière pour protéger vos ressources réseau en empêchant le piratage de données par des sources externes.
Le service de coupe-feu de Mac OS X Server est un logiciel qui protège les applications
réseau exécutées sur le serveur Mac OS X Server.
L’activation du service de coupe-feu est similaire à l’érection d’un mur destiné à limiter
l’accès. Le service de coupe-feu analyse les paquets IP entrants et les rejette ou les
accepte sur la base d’un ensemble de règles que vous avez créé.
Vous pouvez restreindre l’accès à tout service IP exécuté par le serveur ou personnaliser des règles pour tous les clients entrants ou pour une plage d’adresses IP clientes.
Les services, tels que les services web et FTP, sont identifiés sur le serveur par un
numéro de port TCP (Transmission Control Protocol) ou UDP (User Datagram Protocol).
Lorsqu’un ordinateur tente de se connecter à un service, le service de coupe-feu analyse la liste des règles afin de retrouver le numéro de port correspondant. Lorsqu’une
règle s’applique à la transmission de paquets de la connexion, l’action spécifiée dans
la règle (par exemple, autoriser ou refuser) est exécutée. La nécessité d’appliquer des
règles supplémentaires peut ensuite être évaluée en fonction de l’action.
58
Chapitre 4 Sécurité
Zone démilitarisée réseau
Dans le domaine de la sécurité de réseau informatique, une zone démilitarisée (ZD) est
une zone du réseau (un sous-réseau) qui se trouve entre le réseau interne d’une organisation et un réseau externe comme Internet.
Les connexions du réseau externe et du réseau interne vers la zone démilitarisée sont
autorisées, tandis que les connexions de la zone démilitarisée sont limitées au réseau
externe et ne sont pas autorisées vers le réseau interne. Cela permet à une organisation de fournir des services au réseau externe tout en protégeant le réseau interne contre d’éventuelles menaces provenant d’un hôte se trouvant dans la zone démilitarisée.
Toute personne qui compromet un hôte de la zone démilitarisée ne pourra pas se connecter au réseau interne.
La zone démilitarisée est souvent utilisée pour connecter des serveurs qui doivent être
accessibles à partir du réseau externe ou d’Internet, comme les serveurs de courrier, les
serveurs web et les serveurs DNS.
Les connexions à partir du réseau externe vers la zone démilitarisée sont souvent contrôlées à l’aide de coupe-feu et de la conversion des adresses. Une zone démilitarisée
peut être créée en configurant un coupe-feu : chaque réseau est connecté à un port
différent du coupe-feu. C’est ce que l’on appelle une configuration de coupe-feu à trois
jambes. Cette configuration a l’avantage de la simplicité, mais la faiblesse d’un point de
défaillance unique.
Une autre approche consiste à utiliser deux coupe-feu, une zone démilitarisée connectée au deux coupe-feu entre les deux, et à connecter l’un des coupe-feu au réseau
interne et l’autre au réseau externe. Cela offre en outre l’avantage d’empêcher des
erreurs de configuration accidentelles autorisant l’accès du réseau externe au réseau
interne. On appelle ce type de configuration un coupe-feu avec sous-réseau protégé.
Réseaux locaux virtuels
Mac OS X Server permet la prise en charge des réseaux locaux virtuels (VLAN) 802.1q
sur les ports Ethernet et les cartes PCI gigabit Ethernet disponibles ou intégrées dans
les serveurs Xserve.
Un réseau local virtuel permet à plusieurs ordinateurs se trouvant sur différents réseaux
locaux physiques de communiquer entre eux comme s’ils se trouvaient sur le même
réseau local. Cette solution présente comme avantages une utilisation plus efficace de
la bande passante réseau et une meilleure sécurité, car le trafic de diffusion ou de multidiffusion n’est envoyé qu’aux ordinateurs situés sur le segment de réseau commun.
La prise en charge des réseaux locaux virtuels par le Xserve G5 est conforme à la norme
standard IEEE 802.1q.
Chapitre 4 Sécurité
59
Filtrage MAC
Le filtrage MAC (ou le filtrage d’adresses de couche 2) fait référence à un contrôle d’accès
dans lequel l’adresse MAC d’une interface réseau, ou adresse Ethernet (adresse 42 bits
assignée à chaque interface réseau), est utilisée pour déterminer l’accès au réseau.
Les adresses MAC sont propres à chaque carte. L’utilisation du filtrage MAC sur un réseau
autorise et refuse l’accès au réseau à certains périphériques, plutôt qu’à certains utilisateurs ou types de trafic réseau. Les utilisateurs individuels ne sont pas identifiés par une
adresse MAC, seuls les périphériques le sont, de sorte qu’une personne autorisée doit disposer d’une liste de périphériques autorisés qu’elle utilise pour accéder au réseau.
En théorie, le filtrage MAC permet à un administrateur réseau d’autoriser ou de refuser
l’accès au réseau à des hôtes et des périphériques associés à l’adresse MAC, mais il
existe en pratique des méthodes permettant d’éviter cette forme de contrôle d’accès
par la modification de l’adresse (spoofing) ou l’échange physique de cartes réseau
entre hôtes.
Chiffrement du transport
Le transfert sécurisé de données sur un réseau implique le chiffrement du contenu des
paquets envoyés d’un ordinateur à l’autre. Mac OS X Server peut fournir les protocoles
de chiffrement TLS (Transport Layer Security) et son prédécesseur, SSL (Secure Sockets
Layer), qui sécurisent les communications sur Internet telles que la navigation web, le
courrier électronique et d’autres transferts de données.
Ces protocoles de chiffrement permettent aux applications clientes et serveur de communiquer d’une façon conçue pour empêcher l’écoute électronique, la falsification et
la contrefaçon de messages. TLS utilise la cryptographie pour fournir l’authentification
aux extrémités et la confidentialité des communications sur Internet. Ces connexions
chiffrées authentifient le serveur (s’assurent de son identité), mais le client demeure
non authentifié. Pour bénéficier d’une authentification mutuelle (dans laquelle chaque
côté de la connexion est assurée de l’identité de l’autre), vous devez utiliser une infrastructure à clé publique (ICP) sur les clients qui se connectent.
Mac OS X Server utilise OpenSSL et a intégré le chiffrement du transport dans les outils
et services suivants :
 SSH
 VPN
 Service web
 Service de messagerie
 Services de répertoire
 Serveur iChat
60
Chapitre 4 Sécurité
Chiffrement de la charge utile
Plutôt que de chiffrer le transfert d’un fichier sur le réseau, vous pouvez chiffrer le contenu
du fichier. Les fichiers bénéficiant d’un chiffrement puissant peuvent être interceptés pendant le transit, mais ils demeurent illisibles. La plupart des systèmes de chiffrement du
transport requièrent la participation des deux parties qui interviennent de la transaction.
Certains services (comme le service de messagerie SMTP) ne peuvent pas utiliser ces techniques d’une façon fiable ; le chiffrement du fichier proprement dit demeure alors la seule
méthode fiable de protection du contenu du fichier.
Pour en savoir plus sur le chiffrement de fichiers, consultez la section « À propos du
chiffrement des fichiers » à la page 62.
À propos de la sécurité des fichiers
Par défaut, les fichiers et les dossiers sont la propriété de l’utilisateur qui les a créés.
Une fois créés, les éléments conservent leurs privilèges (combinaison entre propriété
et autorisations), même lorsqu’on les déplace, à moins que ces privilèges ne soient
modifiés explicitement par leur propriétaire ou un administrateur. C’est pourquoi les
nouveaux fichiers et dossiers que vous créez ne sont pas accessibles par les utilisateurs
clients s’ils ont été créés dans un dossier pour lequel ces utilisateurs ne possèdent pas
de privilèges.
Lorsque vous configurez des points de partage, assurez-vous que les éléments autorisent des privilèges d’accès appropriés pour les utilisateurs avec lesquels vous voulez
les partager.
Autorisations d’accès aux fichiers et aux dossiers
Mac OS X Server prend en charge deux types d’autorisations d’accès aux fichiers et
aux dossiers :
 Autorisations standard POSIX (Portable Operating System Interface)
 Listes de contrôle d’accès (ACL)
Les autorisations POSIX vous permettent de contrôler l’accès aux fichiers et dossiers
sur la base de trois catégories d’utilisateurs : Propriétaire, Groupe et Tout le monde.
Bien que ces autorisations permettent un contrôle adéquat des personnes qui accèdent à un fichier ou un dossier, elles n’ont pas la flexibilité et la granularité dont beaucoup d’organisations ont besoin pour gérer des environnements d’utilisateurs élaborés.
Les autorisations des listes de contrôle d’accès fournissent un ensemble plus étendu
d’autorisations pour un fichier ou un dossier et permettent de désigner plusieurs utilisateurs et groupes comme propriétaires. Les listes de contrôle d’accès sont de plus
compatibles avec Windows Server 2003 et Windows XP, ce qui vous donne une plus
grande flexibilité dans un environnement multiplateforme.
Chapitre 4 Sécurité
61
Pour en savoir plus sur les autorisations de fichier, consultez les sections Administration
des services de fichier et Configuration de la sécurité de Mac OS X Server.
À propos du chiffrement des fichiers
Mac OS X dispose d’un certain nombre de technologies de chiffrement de fichiers, à
savoir :
 FileVault : FileVault effectue un chiffrement à la volée sur le dossier de départ de
chaque utilisateur. Il chiffre donc l’ensemble du répertoire dans un volume virtuel,
qui est monté, et déchiffre les données selon les besoins.
 Secure VM : Secure VM chiffre la mémoire virtuelle système (les données de mémoire
écrites temporairement sur le disque dur). En tant que tel, il n’est pas utilisé pour
chiffrer des fichiers d’utilisateur, mais confère plus de sécurité à votre système en
empêchant la lecture et l’exploitation des fichiers de mémoire virtuelle.
 Utilitaire de disque : Utilitaire de disque peut créer des images disque dont le contenu
est chiffré et protégé par mot de passe. Les images disque fonctionnent comme un
support amovible, tel qu’un disque dur ou une carte mémoire flash USB, mais n’existent que sous la forme d’un fichier stocké sur l’ordinateur. Une fois que vous avez créé
l’image disque chiffrée, il suffit de double-cliquer dessus pour la monter sur votre système. Tous les fichiers que vous faites glisser sur l’image montée sont chiffrés et stockés dans l’image disque. Vous pouvez ensuite envoyer l’image disque à d’autres
utilisateurs de Mac OS X. S’ils disposent du mot de passe de déverrouillage, ils peuvent
extraire les fichiers que vous avez verrouillés dans l’image disque.
Pour en savoir plus, sachez que les méthodes de chiffrement de fichiers suivantes sont
décrites dans le Guide de configuration de la sécurité de Mac OS X Server :
 Création d’une nouvelle image disque chiffrée.
 Création d’une image disque chiffrée à partir de données existantes.
Suppression sécurisée
Lorsque vous placez un fichier dans la Corbeille et que vous videz cette dernière, ou
lorsque vous supprimez un fichier à l’aide de l’outil UNIX « rm », les fichiers proprement dits ne sont pas supprimés du disque dur. Ils sont simplement déplacés de la
liste des fichiers contrôlés et protégés par le système d’exploitation.
Tous espace de votre disque dur considéré comme de l’espace libre (dans lequel le système d’exploitation peut placer un fichier) contient plus que probablement des fichiers
qui ont été supprimés auparavant. Ces fichiers peuvent être récupérés à l’aide d’utilitaires d’analyse et d’annulation de suppression.
Pour supprimer totalement des données, vous devez utiliser une méthode de suppression plus sûre. Les experts en sécurité recommandent d’écraser plusieurs fois les
fichiers supprimés et l’espace libre à l’aide de données aléatoires.
62
Chapitre 4 Sécurité
Mac OS X Server fournit les outils suivants pour supprimer des fichiers de façon sûre :
 Vider la Corbeille en mode sécurisé (une commande du menu Finder que l’on peut
utiliser à la place de la commande « Vider la Corbeille »).
 srm (un utilitaire UNIX qui supprime les fichiers de façon sûre et que l’on peut utiliser à la place de « rm »).
À propos de l’authentification et de l’autorisation
L’authentification consiste à vérifier l’identité d’une personne, tandis que l’autorisation
consiste à vérifier qu’une personne authentifiée dispose de l’autorité requise pour
effectuer une certaine action. L’authentification est donc nécessaire pour l’autorisation.
Dans le contexte informatique, lorsque vous saisissez un nom d’utilisateur et un mot
de passe, vous êtes authentifié sur l’ordinateur parce qu’il part du principe qu’une seule
personne (en l’occurrence, vous) connaît à la fois le nom d’utilisateur et le mot de
passe. Une fois que vous êtes authentifié, le système d’exploitation vérifie si vous figurez dans des listes de personnes autorisées à accéder à certains fichiers et, si vous êtes
autorisé à y accéder, vous autorise l’accès à ces fichiers. Comme l’autorisation ne peut
pas se faire sans authentification, le terme autorisation est parfois utilisé pour la combinaison de l’authentification et de l’autorisation.
Sous Mac OS X Server, les utilisateurs qui tentent d’utiliser différents services (comme
ouvrir une session sur un poste de travail conscient des répertoires ou monter un
volume distant) doivent s’authentifier en fournissant un nom d’utilisateur et un mot
de passe pour que les privilèges d’utilisateur puissent être déterminés.
Il y a plusieurs façons d’authentifier des utilisateurs :
 Authentification Open Directory. Basée sur le protocole normalisé SASL (Simple
Authentication and Security Layer), l’authentification Open Directory prend en
charge de nombreuses méthodes d’authentification, notamment CRAM-MD5, APOP,
WebDAV, SHA-1, LAN Manager, NTLMv1 et NTLMv2. C’est la façon la plus efficace
d’authentifier des utilisateurs Windows.
Les méthodes d’authentification peuvent être désactivées de façon sélective pour
rendre le stockage des mots de passe sur le serveur plus sûr. Par exemple, si aucun
client n’utilise les services Windows, vous pouvez désactiver les méthodes d’authentification NTLMv1 et LAN Manager pour empêcher le stockage de mots de passe sur
le serveur à l’aide de ces méthodes. Toute personne parvenant, d’une façon ou d’une
autre, à accéder à votre base de données de mots de passe ne pourrait pas exploiter
les failles de ces méthodes d’authentification pour pirater des mots de passe.
Chapitre 4 Sécurité
63
L’authentification Open Directory vous permet de configurer des politiques de mots
de passe pour des utilisateurs individuels ou pour tous les utilisateurs dont les enregistrements sont stockés dans un répertoire particulier, avec des exceptions si nécessaire. L’authentification Open Directory permet aussi de spécifier des politiques de
mots de passe pour des répliques de répertoire individuelles.
Vous pouvez, par exemple, spécifier une longueur de mot de passe minimum ou exiger qu’un utilisateur change de mot de passe à sa prochaine ouverture de session.
Vous pouvez aussi désactiver l’ouverture de session pour les comptes inactifs ou
après un certain nombre de tentatives infructueuses d’ouverture de session.
 Authentification Kerberos 5. L’authentification Kerberos permet l’intégration dans
des environnements Kerberos existants. Le centre de distribution de clés (Key Distribution Center ou KDC) de Mac OS X Server prend entièrement en charge les politiques de mots de passe que vous configurez sur le serveur. L’utilisation de Kerberos
permet également de bénéficier d’une fonctionnalité appelée la signature unique,
décrite dans la section qui suit.
Les services suivants de Mac OS X Server prennent en charge l’authentification
Kerberos : AFP (Apple Filing Protocol), courrier électronique, FTP (File Transfer Protocol), SSH (Secure Shell), fenêtre d’ouverture de session, LDAPv3, VPN (Virtual Private
Network), serveur iChat, économiseur d’écran et Apache (via le protocole SPNEGO).
 Stockage de mots de passe dans des comptes utilisateur. Cette approche peut être
utile lors de la migration de comptes utilisateur à partir de versions antérieures du
serveur. Il se peut toutefois qu’elle ne prenne pas en charge les clients qui nécessitent certains protocoles d’authentification sûrs pour le réseau comme APOP.
 Authentification LDAPv3 non Apple. Cette approche est disponible pour les environnements dans lesquels un serveur LDAPv3 est configuré pour authentifier les
utilisateurs.
 RADIUS (protocole d’authentification pour le contrôle de l’accès au réseau de clients
à configurations mobiles ou fixes). Pour en savoir plus sur RADIUS dans Mac OS X
Server, consultez la section Administration des services de réseau.
Signature unique
Mac OS X Server utilise Kerberos pour l’authentification par signature unique, ce qui
évite aux utilisateurs de devoir saisir un nom d’utilisateur et un mot de passe pour
chaque service séparément. Avec la signature unique, l’utilisateur saisit toujours un
nom d’utilisateur et un mot de passe dans la fenêtre d’ouverture de session. Par contre, une fois la session ouverte, il ne doit plus saisir de nom d’utilisateur ni de mot de
passe pour accéder au service de fichiers Apple, au service de messagerie ni aux autres
services qui utilisent l’authentification Kerberos.
Pour utiliser la signature unique, les utilisateurs et les services doivent être kerbérisés,
c’est-à-dire configurés pour l’authentification Kerberos, et doivent utiliser le même
centre de distribution de clés Kerberos.
64
Chapitre 4 Sécurité
Les comptes utilisateur qui résident dans un répertoire LDAP de Mac OS X Server et qui
possèdent le type de mot de passe Open Directory utilisent le centre de distribution de
clés intégré du serveur. Ces comptes utilisateur sont configurés automatiquement pour
Kerberos et la signature unique.
Les services kerbérisés de ce serveur utilisent également le centre de distribution de
clés intégré du serveur et sont configurés automatiquement pour la signature unique.
Ce centre de distribution de clés Mac OS X Server peut aussi authentifier des utilisateurs pour des services fournis par d’autres serveurs. Une configuration minimale est
suffisante pour que d’autres serveurs sous Mac OS X Server puissent utiliser le centre
de distribution de clés de Mac OS X Server.
Kerberos a été développé au MIT pour fournir une authentification et une communication sécurisées sur des réseaux ouverts tels qu’Internet. Kerberos fournit des preuves
d’identité aux deux parties. Il vous permet de prouver qui vous êtes auprès des services réseau que vous voulez utiliser. Il prouve aussi à vos applications que les services
réseau sont authentiques et n’ont pas fait l’objet d’une opération de spoofing (mystification). Comme d’autres systèmes d’authentification, Kerberos ne fournit toutefois pas
d’autorisation. Chaque service réseau détermine lui-même ce qu’il vous autorise à faire
en fonction de l’identité établie.
Kerberos permet à un client et à un serveur de s’identifier mutuellement de façon nettement plus sûre que les méthodes d’authentification par mot de passe et par question-réponse traditionnelles. Kerberos fournit aussi un environnement à signature
unique dans lequel les utilisateurs ne doivent s’authentifier qu’une fois par jour, par
semaine ou par période, ce qui rend l’authentification moins lourde. Mac OS X Server
et Mac OS X 10.3 à 10.5 prennent en charge la version 5 de Kerberos.
À propos des certificats, de SSL et de l’infrastructure à clé
publique
Mac OS X Server prend en charge de nombreux services utilisant le protocole SSL
(Secure Socket Layer) pour le transfert de données chiffrées. SSL utilise un système
d’infrastructure à clé publique (ICP) pour générer et maintenir des certificats d’identité
pour les services dans lesquels SSL a été activé.
Les systèmes d’infrastructure à clé publique permettent aux deux parties d’une transaction de données de s’authentifier mutuellement et d’utiliser des clés de chiffrement et
d’autres informations qui figurent dans les certificats d’identité, afin de chiffrer et de
déchiffrer les messages qui transitent entre les deux parties.
Une infrastructure à clé publique permet à toutes les parties qui communiquent de
bénéficier de la confidentialité, de l’intégrité des messages et de l’authentification
de la source des messages sans devoir échanger d’informations secrètes au préalable.
Chapitre 4 Sécurité
65
La technologie SSL fait appel à un système d’ICP pour sécuriser la transmission de données et l’authentification des utilisateurs. Elle crée un canal de communication sécurisé
initial permettant de négocier une transmission de clé secrète plus rapidement.
Mac OS X Server utilise SSL pour fournir une transmission de données chiffrées pour
le service de courrier électronique, le service web et le service de répertoire.
Les sections qui suivent contiennent d’autres informations concernant certains aspects
importants des infrastructures à clé publique :
 « Clés publiques et privées » à la page 66.
 « Certificats » à la page 67.
 « Autorités de certificat » à la page 67.
 « Identités » à la page 68.
Clés publiques et privées
Dans un ICP, deux clés numériques sont créées : la clé publique et la clé privée. La clé
privée n’est pas distribuée à tout le monde et est souvent chiffrée par une phrase clé.
La clé publique, par contre, est distribuée aux parties qui communiquent.
Les fonctionnalités de base des clés peuvent être résumées comme suit :
Type de clé Fonctionnalités
Publique
 Permet de chiffrer des messages qui ne peuvent être déchiffrés que par une personne possédant la clé privée correspondante.
 Permet de vérifier la signature qui figure sur un message provenant d’une clé privée.
Privée
 Permet de signer numériquement un message ou un certificat pour en établir
l’authenticité.
 Permet de déchiffrer des messages chiffrés avec la clé publique.
 Permet de chiffrer des messages qui ne peuvent être déchiffrés que par la clé privée
elle-même.
Les services web, de courrier électronique et de répertoire utilisent la clé publique avec
SSL pour négocier une clé partagée pendant la durée de la connexion. Ainsi, un serveur de messagerie envoie sa clé publique à un client se connectant et entame la
négociation pour l’établissement d’une connexion sécurisée. Le client se connectant
utilise la clé publique pour chiffrer une réponse à la négociation. Comme le serveur de
messagerie dispose de la clé privée, il peut déchiffrer la réponse. La négociation continue jusqu’à ce que le serveur de messagerie et le client disposent d’un secret partagé
pour chiffrer le trafic entre les deux ordinateurs.
66
Chapitre 4 Sécurité
Certificats
Les clés publiques se trouvent souvent dans des certificats. Un utilisateur peut signer
numériquement des messages à l’aide de sa clé privée et les autres utilisateurs peuvent vérifier la signature à l’aide de la clé publique qui se trouve dans le certificat du
signataire émis par une autorité de certificat (AC) au sein de l’ICP.
Un certificat de clé publique (on parle parfois aussi de certificat d’identité) est un fichier
de format déterminé (Mac OS X Server utilise le format x.509) contenant les éléments
suivants :
 La moitié clé publique d’une paire clé privée-clé publique.
 Des informations relatives à l’identité de l’utilisateur de la clé, telles que le nom
et les coordonnées.
 Une période de validité (durée pendant laquelle on peut être sûr de l’exactitude
du certificat).
 L’URL d’une personne possédant l’autorité nécessaire pour révoquer le certificat
(son centre de révocation).
 La signature numérique d’une autorité de certificat ou de l’utilisateur de la clé.
Autorités de certificat
Une autorité de certificat (AC) est une entité accompagnée d’un certificat associé qui
signe et émet des certificats d’identité numériques établissant que la partie identifiée
est digne de confiance. En ce sens, il s’agit d’une tierce partie de confiance entre deux
transactions.
Dans les systèmes x.509, les AC sont hiérarchiques par nature, chacune étant certifiée par
d’autres AC jusqu’à une autorité racine suprême. Une autorité racine est une AC qui bénéficie de la confiance de suffisamment de ou de toutes les parties intéressées de sorte
qu’elle ne doive pas être authentifiée par une autre tierce partie. La hiérarchie des certificats va toujours du bas vers le haut, avec un certificat d’autorité racine au sommet.
Une AC peut être une entreprise qui, en échange d’une commission, signe et émet un
certificat de clé publique proclamant que l’AC atteste que la clé publique du certificat
appartient bien à son propriétaire, comme indiqué dans le certificat. D’une certaine
façon, l’AC est une sorte de notaire numérique. Pour effectuer une demande de certificat auprès d’une AC, il est nécessaire de fournir ses coordonnées et des informations
sur son identité, ainsi que la clé publique. L’AC vérifie l’identité du demandeur afin que
les utilisateurs puissent être sûrs que les certificats émis par cette AC appartiennent
bien au demandeur identifié.
Chapitre 4 Sécurité
67
Identités
Les identité, dans le contexte du gestionnaire de certificats de Mac OS X Server, sont la
combinaison d’un certificat signé pour les deux clés d’une paire de clés d’une ICP. Les
identités sont utilisées par le trousseau système et sont disponibles pour les différents
services qui prennent en charge SSL.
Certificats auto-signés
Les certificats auto-signés sont des certificats signés numériquement par la clé privée
de la paire de clés incluse dans le certificat. Cette solution remplace la signature du certificat par une AC. En signant un certificat vous-même, vous attestez que vous êtes bien
celui que vous prétendez être. Aucune tierce partie de confiance n’est impliquée.
Gestionnaire de certificats dans Admin Serveur
L’application Gestionnaire de certificats de Mac OS X Server est intégrée à Admin Serveur pour vous aider à créer, utiliser et maintenir des identités pour les services pour
lesquels SSL est activé.
L’interface d’Admin Serveur est illustrée ci-dessous (avec le Gestionnaire de certificats
sélectionné).
Gestionnaire de certificats fournit la gestion intégrée de certificats SSL dans Mac OS X
Server pour tous les services qui permettent l’utilisation de certificats SSL.
68
Chapitre 4 Sécurité
Gestionnaire de certificats permet de créer des certificats auto-signés et des demandes
de signature de certificat (en anglais Certificate-Signing Requests ou CSR) pour obtenir
un certificat signé par une AC. Les certificats, auto-signés ou signés par une AC, sont
accessibles par les services qui prennent en charge SSL.
Les identités, qui étaient auparavant créées et stockées dans des fichiers OpenSSL,
peuvent également être importées dans Gestionnaire de certificats et sont alors
accessibles à tous les services prenant en charge SSL.
Gestionnaire de certificats dans Admin Serveur ne vous permet pas de signer et
d’émettre des certificats en tant qu’AC ni de signer et d’émettre des certificats en tant
qu’autorité racine. Si vous avez besoin de ces fonctions, vous pouvez utiliser l’application Assistant AC d’Apple qui se trouve dans /Applications/Utilitaires/. Elle permet
d’obtenir ces fonctions, ainsi que d’autres.
Les certificats auto-signés et émis par une AC créés dans Assistant AC d’Apple peuvent
être utilisés dans Gestionnaire de certificats par simple importation.
Gestionnaire de certificats affiche les informations suivantes pour chaque certificat :
 Le nom du domaine pour lequel le certificat a été émis.
 Les dates de validité.
 L’autorité signataire (par exemple, l’entité de l’AC ou, si le certificat est auto-signé,
la mention « Self-Signed »).
Préparation des certificats
Pour pouvoir utiliser SSL dans les services de Mac OS X Server, vous devez d’abord
créer ou importer des certificats. Vous pouvez créer votre propre certificat auto-signé,
générer une demande de signature de certificat (CSR) à envoyer à une AC ou importer
un certificat préalablement créé avec OpenSSL.
Sélectionnez une AC pour signer votre demande de certificat. Si vous n’avez pas d’AC
pour signer votre demande, vous pouvez devenir votre propre AC, puis importer vos
certificats d’AC dans la base de données de confiance racine de tous les ordinateurs
que vous gérez.
Si vous utilisez un certificat auto-signé, envisagez d’utiliser une AC auto-signée afin de
signer une CSR à utiliser pour vos services, puis importez le certificat public de votre AC
dans le trousseau système de tous les ordinateurs clients. Ces deux options partent du
principe que vous avez le contrôle des ordinateurs clients.
Chapitre 4 Sécurité
69
Demande de certificat auprès d’une autorité de certificat
Gestionnaire de certificats vous aide à créer une demande de signature de certificat
(CSR) à envoyer à votre AC désignée.
Pour demander un certificat signé :
1 Dans Admin Serveur, sélectionnez le serveur qui possède des services prenant en
charge SSL.
2 Cliquez sur Certificats.
3 Cliquez sur le bouton Ajouter (+) sous la liste Certificats.
4 Saisissez les informations relatives à l’identité.
Le nom usuel est le nom de domaine complet du serveur qui va utiliser les services
pour lesquels SSL est activé.
5 Saisissez les dates de validité de début et de fin.
6 Sélectionnez une taille pour la clé privée (la taille par défaut est 1024 bits).
7 Saisissez une phrase clé pour la clé privée.
Cette phrase clé devrait être plus sûre qu’un simple mot de passe.
Il est recommandé d’utiliser au moins 20 caractères, de mélanger majuscules et minuscules, nombres et/ou signes de ponctuation, de ne pas répéter de caractères et de ne
pas utiliser de termes figurant dans un dictionnaire.
8 Cliquez sur le bouton en forme d’engrenage et choisissez « Créer une demande de
signature de certificats ».
9 Suivez les instructions à l’écran pour demander un certificat signé à l’AC que vous
avez choisie.
Vous pouvez, par exemple, le faire en ligne ou fournir l’adresse électronique.
10 Cliquez sur Envoyer la demande.
11 Cliquez sur Terminé pour enregistrer les informations d’identité.
Lorsque l’AC répond au message électronique, elle l’inclut dans le texte d’un message
électronique.
12 Assurez-vous à nouveau que le certificat est sélectionné dans le champ Certificats.
13 Cliquez sur le bouton en forme d’engrenage, puis choisissez « Ajouter un certificat
signé ou renouvelé de l’autorité de certificat ».
14 Copiez les caractères entre « ==Begin CSR== » et « ==End CSR== » dans la zone
de texte.
15 Cliquez sur OK.
16 Cliquez sur Enregistrer.
70
Chapitre 4 Sécurité
Création d’un certificat auto-signé
Lorsque vous créez une identité dans Gestionnaire de certificats, vous créez un certificat auto-signé. Gestionnaire de certificats crée une paire clé privée-clé publique possédant la taille de clé spécifiée (entre 512 et 2048 bits) dans le trousseau système. Il crée
ensuite le certificat auto-signé correspondant dans le trousseau système.
Une CSR est également générée pendant la création du certificat auto-signé. Elle n’est
pas stockée dans le trousseau, mais écrite sur disque à l’emplacement /etc/certificates/
cert.nom.usuel.tld.csr, où « nom.usuel.tld » est le nom usuel du certificat émis.
Pour créer un certificat auto-signé :
1 Dans Admin Serveur, sélectionnez le serveur qui possède les services prenant en
charge SSL.
2 Cliquez sur Certificats.
3 Cliquez sur le bouton Ajouter (+).
4 Saisissez les informations relatives à l’identité.
Le nom usuel est le nom de domaine complet du serveur qui va utiliser les services
pour lesquels SSL est activé.
5 Saisissez les dates de validité de début et de fin.
6 Sélectionnez une taille pour la clé privée (la taille par défaut est 1024 bits).
7 Saisissez une phrase clé pour la clé privée.
Cette phrase clé devrait être plus sûre qu’un simple mot de passe.
Il est recommandé d’utiliser au moins 20 caractères, de mélanger majuscules et minuscules, nombres et signes de ponctuation, de ne pas répéter de caractères et de ne pas
utiliser de termes figurant dans un dictionnaire.
8 Cliquez sur Terminé pour enregistrer les informations d’identité.
9 Cliquez sur Enregistrer.
Création d’une autorité de certificat
Si vous voulez pouvoir signer le certificat de quelqu’un d’autre, vous devez créer une
autorité de certificat (AC). Les autorités de certificat sont parfois appelées certificats
racine. En utilisant le certificat racine, vous deviendrez la tierce partie de confiance
pour les transactions de ce certificat, vous portant ainsi garant de l’identité du détenteur du certificat.
Si vous faite partie d’une organisation importante, vous pouvez décider d’émettre ou
de signer des certificats pour des personnes de votre organisation, afin de bénéficier
des avantages de sécurité offerts par les certificats avec vos propres services informatiques. Il se peut toutefois que certaines organisations externes ne reconnaissent pas ou
ne fassent pas confiance à votre autorité en matière de signature.
Chapitre 4 Sécurité
71
Pour créer une AC :
1 Démarrez Trousseau d’accès.
Trousseau d’accès est un utilitaire qui se trouve dans le répertoire /Applications/Utilitaires/.
2 Dans le menu Trousseau d’accès, sélectionnez Assistant Certificat > Créer une autorité
de certificat.
L’Assistant Certificat démarre. Il va vous guider tout au long du processus de création
de l’AC.
3 Choisissez de créer une Autorité de certification racine auto-signée.
4 Fournissez à Assistant Certificat les informations requises, puis cliquez sur Continuer.
Pour créer une AC, vous allez devoir fournir les informations suivantes :
 Une adresse électronique.
 Le nom de l’autorité émettrice (vous ou votre organisation).
Vous devez aussi spécifier s’il faut ignorer les valeurs par défaut et s’il faut faire de cette
AC l’AC par défaut de l’organisation. Si vous n’avez pas d’AC par défaut pour votre organisation, autorisez Assistant Certificat à faire de la présente AC l’AC par défaut.
Dans la plupart des cas, il n’est pas recommandé d’ignorer les valeurs par défaut.
Si vous ne les ignorez pas, passez directement à l’étape 16.
5 Si vous préférez ignorer les valeurs par défaut, fournissez les informations suivantes
dans les écrans qui suivent :
Â
Â
Â
Â
Un numéro de série unique pour le certificat racine.
Le nombre de jours de fonctionnement de l’autorité de certificat avant son expiration.
Le type de certificat utilisateur que cette AC signe.
Si vous voulez créer pour l’AC un site web auquel les utilisateurs peuvent accéder
pour la distribution des certificats d’AC.
6 Cliquez sur Continuer.
7 Fournissez à Assistant Certificat les informations requises, puis cliquez sur Continuer.
Pour créer une AC, vous allez devoir fournir les informations suivantes :
Â
Â
Â
Â
Â
L’adresse électronique de la partie responsable des certificats.
Le nom de l’autorité de certificat (vous ou votre organisation).
Le nom de l’organisation.
Le nom d’unité de l’organisation.
L’emplacement de l’autorité émettrice.
8 Sélectionnez une taille de clé et un algorithme de chiffrement pour le certificat d’AC,
puis cliquez sur Continuer.
72
Chapitre 4 Sécurité
Une clé de grande taille demande plus de calculs de la part des ordinateurs, mais est
nettement plus sûre. L’algorithme à sélectionner dépend plus de vos besoins en termes d’organisation que de considérations techniques. Les algorithmes DSA et RSA sont
tous deux des algorithmes de chiffrement forts. L’algorithme DSA est une norme standard du gouvernement fédéral des États-Unis pour les signatures numériques. L’algorithme RSA constitue une avancée plus récente dans le domaine des algorithmes.
9 Sélectionnez une taille de clé et un algorithme de chiffrement pour les certificats à
signer, puis cliquez sur Continuer.
10 Sélectionnez les extensions d’utilisation de clé dont vous avez besoin pour le certificat
d’AC, puis cliquez sur Continuer.
Vous devez sélectionner au minimum Signature et Signature de certificat.
11 Sélectionnez les extensions d’utilisation de clé dont vous avez besoin pour les certificats à signer, puis cliquez sur Continuer.
Les sélections d’utilisation de clé par défaut sont basées sur le type de clé sélectionné
auparavant dans l’assistant.
12 Spécifiez d’autres extensions à ajouter au certificat d’AC, puis cliquez sur Continuer.
Vous devez sélectionner « Inclure l’ext. de contraintes élémentaires » et « Utiliser ce
certificat comme autorité de certification ».
13 Spécifiez éventuellement d’autres extensions à ajouter au certificat d’AC, puis cliquez
sur Continuer.
Aucune n’est obligatoire.
14 Sélectionnez le trousseau « Système » pour stocker le certificat d’AC.
15 Choisissez de faire confiance aux certificats de cet ordinateur signés par l’AC que vous
avez créée.
16 Cliquez sur Continuer et authentifiez-vous comme administrateur pour créer le certificat et la paire de clés.
17 Lisez et suivez les instructions qui figurent à la dernière page de l’Assistant Certificat.
Vous pouvez maintenant émettre des certificats destinés à des parties de confiance
et signer des demandes CSR.
Utilisation d’une AC pour créer un certificat destiné à quelqu’un
d’autre
Vous pouvez utiliser votre certificat d’AC pour émettre un certificat pour quelqu’un
d’autre. On appelle parfois cette opération signer une demande de signature de certificat (CSR). En le faisant, vous affirmez que vous êtes une partie de confiance et que vous
pouvez vérifier l’identité du détenteur du certificat.
Chapitre 4 Sécurité
73
Pour que vous puissiez créer un certificat destiné à une autre personne, cette dernière
doit d’abord générer une demande de signature de certificat. Elle peut utiliser l’Assistant Certificat pour générer la demande de signature de certificat et vous envoyer la
demande par message électronique. Vous devez ensuite utiliser le texte de la demande
de signature de certificat pour créer le certificat.
Pour créer un certificat destiné à quelqu’un d’autre :
1 Démarrez Trousseau d’accès.
Trousseau d’accès est un utilitaire qui se trouve dans le répertoire /Applications/Utilitaires/.
2 Dans le menu de Trousseau d’accès, sélectionnez Assistant Certificat > Créer un certificat pour quelqu’un d’autre en tant qu’autorité de certificat.
L’Assistant Certificat démarre et vous guide tout au long du processus de création de l’AC.
3 Faites glisser la demande de signature de certificat dans la zone cible.
4 Choisissez l’AC émettrice et signez la demande.
Vous pouvez aussi ignorer les valeurs par défaut de la demande.
5 Cliquez sur Continuer.
Si vous ignorez les valeurs par défaut de la demande, fournissez à l’Assistant Certificat
les informations requises, puis cliquez sur Continuer.
Le certificat est maintenant signé. L’application de courrier électronique par défaut
s’ouvre avec le certificat signé comme pièce jointe.
Importation d’un certificat
Vous pouvez importer un certificat et une clé privée OpenSSL préalablement générés
dans Gestionnaire de certificats. Les éléments sont stockés comme éléments disponibles dans la liste des identités et sont disponibles pour les services pour lesquels SSL
a été activé.
Pour importer un certificat de type OpenSSL existant :
1 Dans Admin Serveur, sélectionnez le serveur qui possède les services prenant en
charge SSL.
2 Cliquez sur Certificats.
3 Cliquez sur le bouton Importer.
4 Saisissez le nom et le chemin du fichier du certificat existant.
Vous pouvez aussi parcourir le disque et spécifier son emplacement.
5 Saisissez le nom et le chemin du fichier de clé privée existant.
Vous pouvez aussi parcourir le disque et spécifier son emplacement.
6 Saisissez la phrase clé de la clé privée.
7 Cliquez sur Importer.
74
Chapitre 4 Sécurité
Gestion des certificats
Une fois qu’un certificat a été créé et signé, vous n’avez plus grand chose à faire. Les
certificats ne peuvent être modifiés que dans Admin Serveur et ne peuvent plus être
modifiés une fois qu’une AC les a signés. Les certificats auto-signés peuvent être modifiés. Vous devez supprimez les certificats si les informations qu’ils possèdent (informations de contact, etc.) ne sont plus exactes ou si vous pensez que la paire de clés a été
compromise.
Modification d’un certificat
Une fois que la signature de certificat d’une AC a été ajoutée, le certificat ne peut plus
être modifié.
Il est toutefois possible de modifier des certificats auto-signés. Tous les champs du certificat (y compris le nom de domaine et la phrase clé de la clé privée, la taille de la clé
privée, etc.) peuvent être modifiés. Si l’identité a été exportée sur disque à partir du
trousseau système, elle doit être réexportée.
Pour modifier un certificat :
1 Dans Admin Serveur, sélectionnez le serveur qui possède des services prenant en
charge SSL.
2 Cliquez sur Certificats.
3 Sélectionnez l’identité certificat à modifier.
Il doit s’agir d’un certificat auto-signé.
4 Cliquez sur le bouton Modifier (/).
5 Cliquez sur Modifier.
Distribution d’un certificat public d’AC à des clients
Si vous utilisez des certificats auto-signés, un avertissement est affiché dans la plupart
des applications d’utilisateur pour vous avertir que l’autorité de certificat n’est pas
reconnue. D’autres logiciels, tels que le client LDAP, refusent purement et simplement
d’utiliser SSL si l’AC du serveur est inconnue.
Mac OS X Server n’est livré qu’avec des certificats provenant d’AC commerciales connues. Pour empêcher cet avertissement, votre certificat d’AC doit être exporté vers
chaque ordinateur client qui se connecte au serveur sécurisé.
Pour distribuer le certificat d’AC auto-signé :
1 Copiez le certificat d’AC auto-signé (le fichier nommé ca.crt) sur chaque ordinateur client.
Il est préférable de le distribuer à l’aide d’un support non réinscriptible tel qu’un CD-R.
L’utilisation de supports non réinscriptibles empêche la corruption du certificat.
2 Ouvrez l’outil Trousseau d’accès en double-cliquant sur l’icône ca.crt à l’emplacement
où le certificat a été copié sur l’ordinateur client.
Chapitre 4 Sécurité
75
3 Ajoutez le certificat au trousseau système à l’aide de Trousseau d’accès.
Vous pouvez aussi utiliser la commande certtool dans Terminal :
sudo certtool i ca.crt k=/System/Library/Keychains/Systems
Désormais, toute application cliente qui procède à des vérifications par rapport au
trousseau système (comme Safari et Mail) reconnaît tous les certificats signés par
votre AC.
Suppression d’un certificat
Lorsqu’un certificat est arrivé à expiration ou a été compromis, vous devez le supprimer.
Pour supprimer un certificat :
1 Dans Admin Serveur, sélectionnez le serveur qui possède des services prenant en
charge SSL.
2 Cliquez sur Certificats.
3 Sélectionnez l’identité certificat à supprimer.
4 Cliquez sur le bouton Suprimmer (-) et sélectionnez Supprimer.
5 Cliquez sur Enregistrer.
Renouvellement d’un certificat arrivé à expiration
Tous les certificats ont une date d’expiration. Vous devez donc mettre à jour les certificats lorsqu’ils expirent.
Pour renouveler un certificat arrivé à expiration :
1 Demandez un nouveau certificat à l’AC.
Si vous êtes votre propre AC, créez-en un nouveau à l’aide de votre propre certificat racine.
2 Dans Admin Serveur, sélectionnez dans la liste Serveurs le serveur possédant le certificat en cours d’expiration.
3 Cliquez sur Certificats.
4 Sélectionnez l’identité certificat à modifier.
5 Cliquez sur le bouton d’action, puis choisissez « Ajouter un certificat signé ou renouvelé de l’autorité de certificat ».
6 Collez le certificat renouvelé dans le champ de texte, puis cliquez sur OK.
7 Cliquez sur le bouton Modifier pour rendre le certificat modifiable.
8 Réglez les dates du certificat.
9 Cliquez sur Enregistrer.
76
Chapitre 4 Sécurité
Utilisation de certificats
Dans Admin Serveur, les différents services comme le service web, le service de courrier électronique, le service VPN, etc., affichent une liste déroulante reprenant les certificats sélectionnables par l’administrateur. Comme l’apparence des services varie,
l’emplacement de la liste déroulante varie également. Consultez le guide d’administration relatif au service que vous tentez d’utiliser avec un certificat.
SSH et les clés SSH
SSH est un protocole réseau qui établit un canal sécurisé entre votre ordinateur et
un ordinateur distant. Il utilise la cryptographie à clé publique pour authentifier l’ordinateur distant. Il assure également le chiffrement du trafic et l’intégrité des données
échangées entre les deux ordinateurs.
SSH est souvent utilisé pour ouvrir une session sur une machine distante afin d’y exécuter des commandes, mais il permet aussi de créer un tunnel de données sécurisé en réexpédiant ces données via un port TCP arbitraire. De plus, il peut transférer des fichiers à
l’aide des protocoles SFTP et SCP associés. Par défaut, un serveur SSH écoute le trafic
sur le port TCP 22 standard.
Mac OS X Server utilise OpenSSH comme base pour ses outils SSH.
Ouverture de session SSH à base de clés
L’authentification à base de clés est utile pour des tâches telles que l’automatisation
des transferts et des sauvegardes de fichiers et la création de scripts de basculement
parce qu’il permet aux ordinateurs de communiquer sans exiger la saisie d’un mot de
passe par un utilisateur. Il n’est pas sûr de copier la clé privée d’un ordinateur sur un
autre ordinateur.
Important : l’authentification à base de clés comporte des risques. Si la clé privée
que vous générez est compromise, des utilisateurs non autorisés peuvent accéder
à vos ordinateurs. Vous devez déterminer si les avantages de l’authentification à base
de clés valent le risque.
Génération d’une paire de clés pour SSH
La présente section décrit brièvement le processus de configuration de l’ouverture de
session SSH à base de clés sous Mac OS X et Mac OS X Server. Pour configurer SSH à
base de clés, vous devez générer les clés que les deux ordinateurs vont utiliser pour
établir et valider leurs identités mutuelles.
Chapitre 4 Sécurité
77
Pour ce faire, exécutez les commandes suivantes dans Terminal :
1 Vérifiez s’il existe un dossier .ssh dans votre dossier de départ en saisissant la commande :
ls -ld ~/.ssh.
Si .ssh apparaît dans les résultats, passez à l’étape 2. Si .ssh n’apparaît pas dans les résultats, exécutez mkdir ~/.ssh et continuez à l’étape 2.
2 Dans le shell, allez dans le répertoire ssh masqué en saisissant la commande suivante :
cd ~/.ssh
3 Générez les clés publique et privée en saisissant la commande suivante :
ssh-keygen -b 1024 -t dsa -f id_dsa -P ''
Le drapeau -b règle la longueur des clés sur 1024 bits, -t indique qu’il faut utiliser l’algorithme de hachage DSA, -f définit le nom de fichier comme id_dsa et -P suivi de deux
apostrophes simples définit le mot de passe de la clé privée comme étant nul. Un mot
de passe de clé privée nul permet d’automatiser les connexions SSH.
4 Créez un fichier de clé autorisée vierge en saisissant la commande suivante :
touch authorized_keys2
5 Copiez la clé publique dans le fichier de clé autorisée en saisissant la commande
suivante :
cat id_dsa.pub >> authorized_keys2
6 Changez les autorisations de la clé privée en saisissant la commande suivante :
chmod 400 id_dsa
Les autorisations de la clé privée doivent être définies de façon à ce que le fichier
ne puisse pas être lu par tout le monde.
7 Copiez la clé publique et les listes de clés autorisées dans le dossier de départ de
l’utilisateur spécifié sur l’ordinateur distant en saisissant la commande suivante :
scp authorized_keys2 username@remotemachine:~/.ssh/
Si vous devez établir une communication dans les deux sens entre des serveurs, répétez le processus ci-dessus sur le second ordinateur.
Ce processus doit être répété pour tout utilisateur devant ouvrir une session SSH à base
de clés. L’utilisateur root n’est pas une exception. Le dossier de départ de l’utilisateur
root sur Mac OS X Server se trouve à l’emplacement /var/root/.
SSH à base de clés avec exemple de script
Une grappe de serveurs constitue un environnement idéal pour utiliser le SSH à base
de clés. Le script Perl suivant est un exemple de trivial de création de script qui ne doit
pas être implémenté. Il montre simplement comment se connecter via un tunnel SSH
à tous les serveurs définis dans la variable serverList, exécuter softwareupdate, installer
les mises à jour disponibles et redémarrer l’ordinateur si nécessaire. Le script part du
principe que le SSH à base de clés a été configuré correctement pour l’utilisateur root
sur tous les serveurs à mettre à jour.
78
Chapitre 4 Sécurité
#!/usr/bin/perl
# \@ est la séquence d’échappement pour le symbole « @ ».
my @serverList = ('root\@serveurexemple1.exemple.com',
'root\@serveurexemple2.exemple.com');
foreach $server (@serverList) {
open SBUFF, "ssh $server -x -o batchmode=yes 'softwareupdate -i -a' |";
while(<SBUFF>) {
my $flag = 0;
chop($_);
#check for restart text in $_
my $match = "Veuillez redémarrer immédiatement";
$count = @{[$_ =~ /$match/g]};
if($count > 0) {
$flag = 1;
}
}
close SBUFF;
if($flag == 1) {
`ssh $server -x -o batchmode=yes shutdown -r now`
}
}
Sécurité au niveau de l’administration
Mac OS X Server peut utiliser un autre niveau de contrôle d’accès pour plus de sécurité. Il est possible d’affecter des administrateurs à des services qu’ils peuvent configurer. Ces limitations sont définies serveur par serveur. Cette méthode peut être utilisée
par un administrateur sans restrictions pour assigner des droits administratifs à d’autres
utilisateurs du groupe admin. Cela donne un modèle d’administration par niveaux dans
lequel certains administrateurs ont plus de privilèges que d’autres pour les services
assignés. Cela permet d’obtenir une méthode de contrôle d’accès pour des fonctionnalités et des services de serveur individuels.
Exemple : Alice (administratrice en chef ) contrôle tous les services d’un serveur donné
et peut limiter la capacité d’autres utilisateurs du groupe admin (comme Robert et
Catherine) à modifier des réglages sur le serveur. Elle peut assigner l’administration des
services DNS et de coupe-feu à Robert tout en laissant l’administration du service de
messagerie à Catherine. Dans ce scénario, Catherine ne peut pas modifier le coupe-feu
ni aucun autre service à l’exception du service de courrier électronique. De même,
Robert ne peut pas modifier les services qui ne lui ont pas été assignés.
Chapitre 4 Sécurité
79
Les contrôles d’administration par niveaux sont effectifs dans Admin Serveur et dans
l’outil de ligne de commande serveradmin. Ils ne permettent pas d’empêcher la modification des différents fichiers de configuration UNIX à travers tout le système. Les
fichiers de configuration UNIX doivent être protégés par des autorisations de type
POSIX ou des listes de contrôle d’accès.
Définition de privilèges au niveau de l’administration
Vous pouvez désigner les services que d’autres utilisateurs du groupe admin peuvent
modifier. Pour ce faire, l’administrateur qui procède à cette désignation doit disposer
d’un accès total non modifié.
Le processus de définition des privilèges au niveau de l’administration est décrit dans
« Autorisations d’administration par niveaux » à la page 168.
Sécurité au niveau du service
Vous pouvez utiliser une liste de contrôle d’accès de service (SACL) pour désigner ceux
qui sont autorisés à utiliser un service donné. Il ne s’agit pas d’un moyen d’authentification, mais d’une liste des personnes possédant les droits d’accès appropriés pour utiliser un service donné. Les listes SACL vous permettent d’ajouter un niveau de contrôle
d’accès aux autorisations standard et par liste de contrôle d’accès normales. Seuls les
utilisateurs et les groupes qui figurent dans une SACL ont accès au service en question.
Par exemple, pour empêcher des utilisateurs d’accéder à des points de partage AFP sur
un serveur, y compris à des dossiers de départ, supprimez-les de la liste SACL du service AFP.
L’application Admin Serveur de Mac OS X Server vous permet de configurer des listes
SACL. Open Directory authentifie les comptes utilisateur et les listes SACL autorisent
l’utilisation des services. Si Open Directory vous authentifie, la liste SACL de la fenêtre
d’ouverture de session détermine si vous pouvez ouvrir une session, la liste SACL du
service AFP détermine si vous pouvez vous connecter au service de fichiers Apple, et
ainsi de suite.
80
Chapitre 4 Sécurité
Définition d’autorisations de liste SACL
Les listes SACL vous permettent de désigner les utilisateurs et groupes qui ont accès aux
services de Mac OS X Server, notamment aux services AFP, FTP et de fichiers Windows.
Pour définir des autorisations de liste SACL pour un service :
1 Ouvrez Admin Serveur.
2 Sélectionnez le serveur dans la listes Serveurs.
3 Cliquez sur Réglages.
4 Cliquez sur Accès.
5 Pour restreindre l’accès à tous les services ou désélectionner cette option afin de définir des autorisations d’accès par service, sélectionnez « Pour tous les services ».
6 Si vous avez désélectionné « Pour tous les services », sélectionnez un service dans
la liste Service.
7 Pour accorder un accès sans restriction aux services, cliquez sur « Autoriser tous
8 les utilisateurs et groupes ».
Pour restreindre l’accès à certains utilisateurs et groupes :
a Sélectionnez « Autoriser les utilisateurs et groupes ci-dessous ».
b Cliquez sur le bouton Ajouter (+) pour ouvrir le volet Utilisateurs et groupes.
c Faites glisser des utilisateurs et des groupes depuis le volet Utilisateurs et groupes
jusque dans la liste.
9 Cliquez sur Enregistrer.
Pratiques d’excellence en matière de sécurité
Les administrateurs de serveur sont chargés de s’assurer que des mesures de sécurité
raisonnables sont prises pour protéger un serveur contre d’éventuelles attaques. Un
serveur compromis met en danger non seulement les ressources et les données qu’il
contient, mais aussi les ressources et les données qui se trouvent sur les autres systèmes connectés. Un système compromis peut être utilisé comme base pour lancer une
attaque sur d’autres système à l’intérieur ou à l’extérieur de votre réseau.
Assurer la sécurité de serveurs nécessite de trouver un équilibre entre le coût d’implémentation des mesures de sécurité d’une part et la probabilité d’une attaque réussie et
l’impact de cette attaque d’autre part. Il n’est pas possible d’éliminer tous les risques de
sécurité pour un serveur sur un réseau, mais il est possible de réduire les probabilités
de brèche et de lutter plus efficacement contre les attaques réalisées.
Chapitre 4 Sécurité
81
Les pratiques d’excellence pour l’administration d’un système de serveur comprennent
notamment :
 Effectuer la mise à jour de vos système avec les correctifs de sécurité et les mises
à jour critiques.
 Rechercher régulièrement de nouvelles mises à jour.
 Installer les outils antivirus appropriés et les utiliser de manière régulière, ainsi que
mettre régulièrement à jour les logiciels et les fichiers de définitions de virus.
Bien que les ordinateurs Mac soient beaucoup moins menacés par les virus que
les ordinateurs Windows, les risques de contamination ne sont pas nuls.
 Restreindre l’accès physique au serveur.
Comme l’accès local permet généralement à un intrus de contourner la plupart des
systèmes de sécurité, protégez la salle des serveurs, les racks de serveurs et les jonctions du réseau. Utilisez des verrous de sécurité. Le verrouillage des systèmes est une
mesure de sécurité à conseiller.
 S’assurer qu’il existe une protection adéquate contre les dommages physiques aux
serveurs et veiller au bon fonctionnement de la climatisation de la salle des serveurs.
 Prendre toutes les précautions supplémentaires nécessaires pour sécuriser les serveurs.
Par exemple, activer les mots de passe Open Firmware, chiffrer les mots de passe
chaque fois que c’est possible et sécuriser les supports de sauvegarde.
 Sécuriser l’accès logique au serveur.
Par exemple, supprimer ou désactiver les comptes qui ne sont plus nécessaires. Les
comptes des parties extérieures doivent être désactivés lorsqu’ils ne sont pas utilisés.
 Configurer des listes SACL si nécessaire.
Utilisez ces listes pour spécifier qui peut accéder aux services.
 Configurer des listes ACL si nécessaire.
Servez-vous de ces listes pour contrôler qui peut accéder aux points de partage et
à leur contenu.
 Protéger tout compte possédant des privilèges root ou d’administrateur système en
adoptant les pratiques de mot de passe recommandées faisant appel à des mots de
passe complexes.
Pour obtenir des informations plus spécifiques sur les mots de passe, consultez la
section « Directives en matière de mots de passe » à la page 84 .
 Ne pas utiliser de comptes administrateur (du groupe « admin » UNIX) pour un usage
quotidien.
Restreindre l’utilisation des privilèges d’administration en n’utilisant jamais le nom
d’utilisateur admin et le mot de passe correspondant pour un usage quotidien.
 Sauvegarder régulièrement les données critiques du système et conserver les copies
de sauvegarde dans un emplacement hors site sûr.
82
Chapitre 4 Sécurité
Vos supports de sauvegarde ne vous serviraient à rien s’ils étaient détruits avec l’ordinateur pendant un incendie de la salle des ordinateurs. Les plans de sauvegarde/restauration doivent être testés pour s’assurer que la restauration fonctionne.
 Analyser régulièrement les historiques d’audit système et enquêter sur tous les
motifs de trafic inhabituel.
 Désactiver les services qui ne sont pas nécessaires sur votre système.
En effet, toute vulnérabilité qui se produit dans un service de votre système peut
compromettre l’ensemble du système. Dans certains cas, la configuration par défaut
d’un système peut conduire à des vulnérabilités exploitables dans les services qui ont
été implicitement activés et dont les options par défaut sont peu fiables.
L’activation d’un service ouvre un port à partir duquel les utilisateurs peuvent accéder à votre système. Bien que l’activation d’un service de coupe-feu contribue à
empêcher les accès non autorisés, un port de service inactif constitue un point faible
susceptible d’être exploité par un attaquant.
 Activer le service de coupe-feu sur les serveurs, en particulier à la frontière du réseau.
Le coupe-feu de votre serveur est sa première ligne de défense contre les accès non
autorisés. Pour en savoir plus, consultez le chapitre sur la configuration du service de
coupe-feu dans Administration des services de réseau. Si votre serveur est particulièrement sujet aux attaques, envisagez l’achat d’un coupe-feu matériel de tierces parties
comme ligne de défense supplémentaire.
 Si nécessaire, installer un coupe-feu local sur les serveurs critiques ou sensibles.
Implémenter un coupe-feu local protège le système contre les attaques qui pourraient venir de l’intérieur du réseau de l’organisation ou d’Internet.
 Pour une protection supplémentaire, implémenter un réseau privé virtuel local (VPN)
qui fournit un tunnel chiffré sécurisé pour toutes les communications entre un ordinateur client et une application serveur. Certains périphériques de réseau fournissent une combinaison de fonctions : coupe-feu, détection des intrusions et VPN.
 Administrer les serveurs à distance.
Assurez l’administration de vos serveurs à distance en vous servant d’applications telles que Admin Serveur, Contrôle de serveur, Admin RAID et Apple Remote Desktop. La
réduction de l’accès physique aux systèmes limite les risques de mauvaises surprises.
Chapitre 4 Sécurité
83
Directives en matière de mots de passe
De nombreuses applications et de nombreux services exigent que l’on crée des mots
de passe pour s’authentifier. Mac OS X contient des applications qui aident à créer des
mots de passe complexes (à l’aide d’Assistant mot de passe) et à stocker vos mots de
passe en toute sécurité (à l’aide de Trousseau d’accès).
Création de mots de passe complexes
Suivez les conseils ci-dessous pour créer des mots de passe complexes :
 Utilisez un mélange de caractères alphabétiques (majuscules et minuscules), numériques et spéciaux (comme ! et @).
 N’utilisez pas de mots ou de combinaisons de mots disponibles dans un dictionnaire, quelle qu’en soit la langue.
 Ne vous contentez pas d’ajouter un nombre à un mot alphabétique (par exemple,
« fou-fou2 ») si votre mot de passe doit contenir un nombre.
 Ne remplacez pas des lettres par des chiffres ou des symboles qui leur ressemblent
(par exemple, « V3RT » au lieu de « VERT »).
 N’utilisez pas de noms propres.
 N’utilisez pas de dates.
 Créez des mots de passe d’au moins 12 caractères. Les mots de passe longs sont
généralement plus sûrs que les mots de passe courts.
 Utilisez des mots de passe impossibles à deviner, même par quelqu’un qui connaît
bien vos centres d’intérêts.
 Créez des mots de passe aussi aléatoires possibles.
Vous pouvez utiliser Assistant mot de passe (qui se trouve dans /System/Bibliothèque/
CoreServices/ pour vérifier la complexité de vos mots de passe.
84
Chapitre 4 Sécurité
5
Installation et déploiement
5
Que vous installiez Mac OS X Server sur un seul serveur ou
sur une grappe de serveurs, sachez qu’il existe des outils et
des processus pour vous aider à réussir l’installation et le
déploiement.
Sur certains ordinateurs, Mac OS X Server est installé d’origine. Sur d’autres ordinateurs, le logiciel serveur doit être installé. Par exemple, si vous installez Leopard Server
sur un ordinateur équipé de Mac OS X, vous transformez cet ordinateur en serveur sous
Mac OS X Server.
L’installation de Leopard Server sur un serveur existant équipé de Mac OS X Server 10.2
à 10.4 met à niveau le logiciel serveur avec la version 10.5. Si Leopard Server est déjà
installé, une nouvelle installation actualise l’environnement du serveur.
Le présent chapitre contient des instructions destinées à une nouvelle installation de
Leopard Server à l’aide de diverses méthodes.
Vue d’ensemble de l’installation
Vous avez déjà planifié le nombre et le type de serveurs à installer.
Étape 1 : Assurez-vous que vous disposez de la configuration requise
Assurez-vous que le serveur cible est conforme à la configuration requise. Pour en
savoir plus, consultez les sections :
 « Configuration requise pour l’installation de Mac OS X Server » à la page 87
 « Instructions matérielles pour l’installation de Mac OS X Server » à la page 88
Étape 2 : Rassemblez les informations
Rassemblez toutes les informations dont vous avez besoin avant de commencer. Cela
permet non seulement d’effectuer une installation sans problèmes, mais peut également vous aider à prendre certaines décisions en matière de planification. Pour en
savoir plus, consultez les sections :
 Chapitre 2, « Planification, » à la page 25.
85
 Annexe , « Feuille d’opérations avancées de Mac OS X Server, » à la page 221.
 « À propos du disque d’installation du serveur » à la page 89.
Étape 3 : Configurez l’environnement
Si vous ne contrôlez pas l’ensemble de l’environnement réseau (serveurs DNS, serveur
DHCP, coupe-feu, etc.), vous devez coordonner vos efforts avec l’administrateur réseau
avant l’installation. Un système DNS opérationnel avec recherches inversées complètes,
ainsi qu’un coupe-feu autorisant la configuration constituent le strict minimum pour
l’environnement de configuration. Si vous prévoyez de connecter le serveur à un système de répertoire existant, vous devez aussi coordonner vos efforts avec ceux de
l’administrateur de répertoire. Consultez les sections suivantes :
 « Connexion au répertoire au cours de l’installation » à la page 89.
 « Installation du logiciel serveur sur un ordinateur en réseau » à la page 90.
Si vous administrez le serveur à partir d’un autre ordinateur, vous devez créer un ordinateur d’administration. Pour en savoir plus, consultez la section « Préparation d’un
ordinateur administrateur » à la page 88.
Étape 4 : Démarrez l’ordinateur à partir d’un disque d’installation
Vous ne pouvez pas effectuer d’installation sur le disque à partir duquel l’ordinateur a
démarré, mais vous pouvez procéder à une mise à niveau. Pour les installations spéciales et les mises à niveau, vous devez démarrer le serveur à partir d’un disque d’installation plutôt que du disque cible. Consultez les sections suivantes :
 « À propos du démarrage pour l’installation » à la page 90.
 « Accès à distance au DVD d’installation » à la page 91.
 « Démarrage à partir du DVD d’installation » à la page 92.
 « Démarrage à partir d’une partition alternative » à la page 93.
 « Démarrage à partir d’un environnement NetBoot » à la page 97.
Étape 5 : Préparez le disque cible
Si vous procédez à une installation spéciale, vous devez préparer le disque cible en
vous assurant qu’il possède le bon format et le bon schéma de partition. Consultez
les sections suivantes :
 « Préparation des disques pour l’installation de Mac OS X Server » à la page 98.
 « Sélection d’un système de fichiers » à la page 99.
 « Partitionnement d’un disque dur » à la page 100.
 « Création d’un ensemble RAID » à la page 102.
 « Effacement d’un disque ou d’une partition » à la page 105.
86
Chapitre 5 Installation et déploiement
Étape 6 : Démarrez le programme d’installation
Le programme d’installation prend des logiciels du disque de démarrage et des
paquets du logiciel serveur et les installe sur le disque cible. Consultez les sections
suivantes :
 « Identification du serveur distant lors de l’installation de Mac OS X Server » à la
page 106
 « Installation interactive du logiciel serveur » à la page 107
 « Installation locale à partir du disque d’installation » à la page 107
 « Installation à distance à l’aide d’Assistant du serveur » à la page 109
 « Installation à distance à l’aide de VNC » à la page 111
 « Installation du logiciel serveur à l’aide de l’outil de ligne de commande installer » à
la page 112
Étape 7 : Configurez les services
Redémarrez depuis le disque cible pour passer à l’étape de configuration. Pour en
savoir plus sur la configuration du serveur, consultez la section « Configuration initiale
du serveur » à la page 117.
Configuration requise pour l’installation de Mac OS X Server
L’ordinateur de bureau ou le serveur Macintosh sur lequel vous installez Mac OS X
Server 10.5 Leopard doit être doté des éléments suivants :
 Un processeur Intel ou PowerPC G4 ou G5 cadencé à 867 MHz ou plus.
 FireWire intégré.
 Au moins 1 Go de mémoire vive (RAM).
 10 Go minimum d’espace disque disponible.
 Un nouveau numéro de série pour Mac OS X Server 10.5.
Le numéro de série utilisé avec une version antérieure de Mac OS X Server ne permet pas de s’enregistrer pour la version 10.5.
Un lecteur de DVD intégré est pratique mais pas obligatoire.
Les moniteurs et claviers sont optionnels. Vous pouvez installer le logiciel serveur sur
un ordinateur sans moniteur ni clavier à l’aide d’un ordinateur administrateur. Pour
en savoir plus, consultez la section « Préparation d’un ordinateur administrateur » à la
page 88.
Si vous utilisez un disque d’installation de Mac OS X Server 10.5 ou ultérieur, vous pouvez contrôler l’installation depuis un autre ordinateur avec le visualiseur VNC. Un visualiseur VNC open-source est disponible. Apple Remote Desktop, décrit à la page 56,
contient des fonctionnalités de visualiseur VNC.
Chapitre 5 Installation et déploiement
87
Instructions matérielles pour l’installation de Mac OS X Server
Lors de l’installation du logiciel serveur sur un système Xserve, la procédure à suivre
pour démarrer l’ordinateur en vue de l’installation dépend du type de matériel
Xserve.Les procédures sont décrites dans le Guide de l’utilisateur Xserve ou dans
le guide Présentation fourni avec le système Xserve.
Collecte des informations nécessaires
Utilisez la Feuille d’opérations avancée Mac OS X Server pour noter les informations relatives à chacun des serveurs que vous souhaitez installer. Les paragraphes suivants fournissent des explications complémentaires sur les éléments de la Feuille d’opérations
avancée Mac OS X Server. La Feuille d’opérations avancée Mac OS X Server se trouve dans
l’Annexe, à la page 221.
Préparation d’un ordinateur administrateur
Vous pouvez utiliser un ordinateur administrateur pour installer, configurer et administrer Mac OS X Server à partir d’un autre ordinateur. Un ordinateur administrateur est
un ordinateur équipé de Mac OS X 10.5 ou de Mac OS X Server Leopard que l’on utilise
pour administrer des serveurs distants.
En fait, si vous installez et configurez Mac OS X Server sur un ordinateur doté d’un
moniteur et d’un clavier, cet ordinateur est déjà un ordinateur administrateur. Pour définir un ordinateur équipé de Mac OS X comme ordinateur administrateur, vous devez
installer un autre logiciel.
Important : si vous disposez d’applications et d’outils administratifs provenant de
Mac OS X Server 10.4 Tiger ou antérieur, ne les utilisez pas avec Leopard Server.
Pour activer l’administration à distance de Mac OS X Server à partir d’un ordinateur
Mac OS X :
1 Assurez-vous que la version 10.5 Leopard de Mac OS X est installée sur l’ordinateur
Mac OS X.
2 Assurez-vous que l’ordinateur dispose d’au moins 1 Go de RAM et 1 Go d’espace disque disponible.
3 Insérez le CD Administration Tools.
4 Ouvrez le dossier du programme d’installation.
5 Ouvrez ServerAdministrationSoftware.mpkg pour lancer le programme d’installation
et suivez les instructions à l’écran.
88
Chapitre 5 Installation et déploiement
À propos du disque d’installation du serveur
Vous pouvez installer le logiciel serveur à l’aide du disque Mac OS X Server Install Disc.
Ce disque d’installation contient tout ce dont vous avez besoin pour installer Mac OS X
Server. Il contient également un dossier nommé Other Installs comprenant des programmes d’installation pour la mise à niveau d’un ordinateur Mac OS X avec Mac OS X
Server et pour l’installation séparée de logiciels d’administration de serveur, l’application Répertoire, l’application Capture de podcast, le logiciel X11 et les outils de développement Xcode.
Outre le disque d’installation, Mac OS X Server est livré avec le CD Administration Tools.
Vous pouvez utiliser ce CD pour configurer un ordinateur administrateur. Ce disque contient également les programmes d’installation de l’application Répertoire, de l’application Capture de podcast et de l’application QTSS Publisher. Pour les administrateurs
avancés, ce disque contient les programmes d’installation de PackageMaker et de Property List Editor.
Configuration de services réseau
Pour pouvoir procéder à l’installation, vous devez disposer des réglages suivants pour
votre service réseau ou les configurer :
 DNS : vous devez disposer d’un nom de domaine complet pour l’adresse IP de chaque serveur dans le système DNS. La zone DNS doit disposer de l’enregistrement de
recherche inversée pour la paire nom et adresse. L’absence de système DNS stable
et opérationnel avec recherche inversée provoque des pannes de service et des comportements inattendus.
 DHCP : il est recommandé de ne pas assigner d’adresses IP dynamiques aux serveurs. Si votre serveur reçoit son adresse IP via DHCP, configurez un mappage statique sur le serveur DHCP afin qu’il reçoive chaque fois la même adresse IP (via son
adresse Ethernet).
 Coupe-feu ou routage : en plus du ou des coupe-feu exécutés sur votre serveur, le
routeur de sous-réseau peut mettre en place certaines restrictions en matière de trafic réseau. Assurez-vous que l’adresse IP du serveur est disponible pour le trafic que
vous prévoyez de gérer et les services que vous prévoyez d’exécuter.
Connexion au répertoire au cours de l’installation
Si vous souhaitez utiliser un serveur en tant que maître Open Directory, assurez-vous
qu’il dispose d’une connexion Ethernet active à un réseau sécurisé avant de procéder
à l’installation et la configuration initiale.
Chapitre 5 Installation et déploiement
89
Installation du logiciel serveur sur un ordinateur en réseau
Lorsque vous démarrez un ordinateur depuis un disque d’installation du serveur, le
protocole SSH démarre automatiquement afin que les installations à distance puissent
être réalisées.
Important : avant d’installer ou de réinstaller Mac OS X Server, assurez-vous que le
réseau est sécurisé. En effet, SSH donne à d’autres personnes l’accès à l’ordinateur par
le réseau. Définissez, par exemple, la topologie du réseau de façon à ce que seuls les
utilisateurs de confiance puissent accéder au sous-réseau de l’ordinateur serveur.
À propos du démarrage pour l’installation
L’ordinateur ne peut pas procéder à une installation sur son propre volume de démarrage. Vous devez donc démarrer d’une autre façon, par exemple :
 Supports optiques, DVD.
 Volumes alternatifs (autres partitions du disque dur ou disques FireWire externes).
 Netboot.
L’ordinateur doit effectuer l’installation à partir du disque ou de l’image ayant servi à
son démarrage. Monter un autre point de partage avec un programme d’installation
ne marchera pas. Le programme d’installation utilise certains fichiers actuellement
actifs sur la partition du système ayant servi au démarrage pour la nouvelle installation.
Avant de démarrer
Si vous procédez à une installation spéciale plutôt qu’à la mise à jour d’un serveur existant, sauvegardez toutes les informations utilisateur qui se trouvent sur le disque ou la
partition sur lequel vous installez le logiciel serveur.
Si vous procédez à la mise à niveau d’un serveur existant, assurez-vous que d’éventuelles données de configuration enregistrées ne seront pas détectées et utilisées pour installer automatiquement une configuration avancée. Assistant du serveur recherche
d’éventuelles données de configuration enregistrées sur tous les disques montés et
dans tous les répertoires auxquels le serveur est configuré pour accéder. Les données
de configuration enregistrées écraseront les réglages existants du serveur.
Pour en savoir plus sur la configuration automatique d’un serveur, consultez la section
« Utilisation de la configuration automatique de serveurs » à la page 128.
90
Chapitre 5 Installation et déploiement
Accès à distance au DVD d’installation
Lorsque vous l’utilisez comme disque de démarrage, le DVD d’installation fournit certains services pour l’accès à distance. Lorsque vous démarrez à partir du DVD, SSH et
VNC sont disponibles. VNC vous permet d’utiliser un visualiseur VNC (tel qu’Apple
Remote Desktop) pour afficher l’interface utilisateur comme si vous utilisiez le clavier,
la souris et le moniteur de l’ordinateur distant. Tout ce que vous pouvez faire directement sur l’ordinateur à l’aide du clavier et de la souris est disponible à distance et localement. Les seules exceptions sont la réinitialisation forcée, d’autres manipulations
matérielles et le maintien de touches enfoncées au démarrage.
SSH vous permet l’accès par ligne de commande à l’ordinateur avec des privilèges
d’administrateur.
Pour accéder à l’ordinateur avec VNC :
1 Démarrez l’ordinateur cible à partir du DVD d’installation de Mac OS X Server 10.5
ou ultérieur. La procédure à suivre dépend du type de matériel cible.
Pour en savoir plus sur les options de disque de démarrage, consultez la section « À
propos du démarrage pour l’installation » à la page 90.
2 Utilisez votre visualiseur VNC pour établir une connexion au serveur cible.
3 Identifiez le serveur cible.
Si le serveur cible fait partie d’une liste de serveurs disponibles fournie par le visualiseur VNC, sélectionnez-le dans cette liste. Sinon, vous devrez saisir une adresse IP au
format IPv4 (000.000.000.000).
Si vous ignorez l’adresse IP et que le serveur distant réside sur le sous-réseau local, utilisez la commande sa_srchr pour identifier les ordinateurs du sous-réseau local sur lesquels vous pouvez installer le logiciel serveur : saisissez ce qui suit à partir d’un ordinateur
sur lequel les outils Mac OS X Server sont installés :
/system/library/serversetup/sa_srchr 224.0.0.1
Cette commande renvoie l’adresse IP et l’EthernetID (ainsi que d’autres informations)
des serveurs du sous-réseau local qui ont démarré à partir du disque d’installation.
4 Lorsque vous êtes invité à fournir un mot de passe, saisissez les huit premiers chiffres
du numéro de série matériel intégré au serveur.
Pour rechercher le numéro de série, cherchez une étiquette sur le serveur.
Si vous effectuez l’installation sur un vieil ordinateur qui ne dispose pas de numéro
de série de matériel intégré, tapez le mot de passe 12345678.
Si vous utilisez Apple Remote Desktop comme visualiseur VNC, saisissez le mot de
passe sans préciser de nom d’utilisateur.
Chapitre 5 Installation et déploiement
91
Pour accéder à l’ordinateur avec SSH :
1 Démarrez l’ordinateur cible à partir du DVD d’installation de Mac OS X Server 10.5 ou
ultérieur.
La procédure à suivre dépend du type de matériel cible.
Pour en savoir plus sur les options de disque de démarrage, consultez la section « À
propos du démarrage pour l’installation » à la page 90.
2 Utilisez Terminal pour ouvrir une connexion shell sécurisée au serveur cible.
Le nom d’utilisateur est root et le mot de passe est constitué des huit premiers chiffres
du numéro de série matériel intégré du serveur.
Pour rechercher le numéro de série, cherchez une étiquette sur le serveur. Si vous
effectuez l’installation sur un vieil ordinateur qui ne dispose pas de numéro de série
de matériel intégré, tapez le mot de passe 12345678.
Si vous ignorez l’adresse IP et que le serveur distant réside sur le sous-réseau local, utilisez la commande sa_srchr pour identifier les ordinateurs du sous-réseau local sur lesquels vous pouvez installer le logiciel serveur : saisissez ce qui suit à partir d’un ordinateur
sur lequel les outils Mac OS X Server sont installés :
/system/library/serversetup/sa_srchr 224.0.0.1
Cette commande renvoie l’adresse IP et l’EthernetID (ainsi que d’autres informations)
des serveurs du sous-réseau local qui ont démarré à partir du disque d’installation.
Démarrage à partir du DVD d’installation
C’est la méthode la plus simple pour démarrer l’ordinateur si vous avez un accès physique au serveur et si ce dernier dispose d’un lecteur optique.
Application d’installation
ou
outil d’installation
dans l’application Terminal
Si le serveur cible est un Xserve équipé d’un lecteur de DVD intégré, démarrez le serveur à partir du DVD d’installation en suivant les instructions du Guide de l’utilisateur
Xserve relatives au démarrage à partir d’un disque système.
Si le serveur cible ne dispose pas de lecteur de DVD intégré, vous pouvez utiliser un
lecteur de DVD FireWire externe. Vous pouvez également installer le logiciel serveur
sur un système Xserve sans lecteur de DVD en déplaçant son module de disque vers
un autre système Xserve doté, lui, d’un tel lecteur.
92
Chapitre 5 Installation et déploiement
Pour démarrer l’ordinateur à partir du disque d’installation.
1 Allumez l’ordinateur et insérez le disque d’installation de Mac OS X Server dans
le lecteur de DVD.
2 Si vous utilisez un lecteur de DVD intégré, redémarrez l’ordinateur en maintenant
la touche C enfoncée.
Vous pouvez relâcher la touche C lorsque le logo Apple s’affiche.
Vous pouvez aussi redémarrer l’ordinateur en maintenant la touche Option enfoncée,
en sélectionnant l’icône représentant le disque d’installation et en cliquant sur la flèche vers la droite.
Vous devez utiliser cette méthode si vous démarrez à partir d’un lecteur de DVD
externe.
3 Si vous procédez à une installation sur un Xserve, la procédure de démarrage à partir
d’un DVD peut être différente. Pour en savoir plus, consultez le Guide de l’utilisateur
ou le guide Présentation inclus avec votre Xserve.
4 Après le redémarrage de l’ordinateur, choisissez la langue à utiliser pendant l’installation, puis cliquez sur le bouton représentant une flèche.
Le programme d’installation est à présent en cours d’exécution.
Démarrage à partir d’une partition alternative
Pour une installation sur un seul serveur, il se peut que la préparation au démarrage à
partir d’une partition alternative prenne plus de temps que la simple utilisation du DVD
d’installation. La création de l’image, l’analyse et la restauration de l’image sur une partition de démarrage peut prendre plus de temps qu’une installation unique à partir
d’un DVD. Par contre, si vous procédez régulièrement à des réinstallations, si vous créez
une installation basée sur un lecteur FireWire externe pour plusieurs ordinateurs ou si
vous avez besoin d’un autre type de distribution en masse (pour des serveurs Xserve
en grappe sans lecteur de DVD par exemple), cette méthode peut s’avérer très efficace.
Cette méthode convient bien à l’installation sur des ordinateurs auxquels vous n’avez
pas un accès physique aisé. Avec suffisamment de préparation, cette méthode peut
être modifiée pour déployer aisément en masse des copies de Mac OS X Server dont
vous possédez les licences.
Pour utiliser cette méthode, vous devez disposer d’une installation existante quelconque sur l’ordinateur. Elle est destinée aux environnements dans lesquels un certain
niveau d’infrastructure existante de Mac OS X Server est présent, mais elle peut ne pas
convenir pour une première installation de serveur. Pour démarrer à partir d’une partition alternative, il y a quatre étapes élémentaires.
Chapitre 5 Installation et déploiement
93
Étape 1 : Préparez les disques et les partitions sur l’ordinateur cible
Avant de commencer, vous devez disposer d’au moins deux partitions sur l’ordinateur
cible. La première servira de partition de démarrage initiale et finale, la seconde de partition temporaire pour le programme d’installation. Vous pouvez utiliser un seul disque
contenant plusieurs partitions ou plusieurs disques. Utilisez l’application Utilitaire de
disque pour préparer les disques.
Pour en savoir plus sur la préparation et le partitionnement d’un disque dur, consultez
l’aide d’Utilitaire de disque.
Étape 2 : Créez une image restaurable du DVD d’installation
Cette étape ne doit pas nécessairement être réalisée sur l’ordinateur cible. Elle peut
être effectuée sur un ordinateur administrateur, mais il doit y avoir assez d’espace
disque pour créer une image de l’ensemble du DVD d’installation.
Pour créer une image du DVD d’installation :
1 Insérez le DVD d’installation.
2 Lancez Utilitaire de disque.
3 Sélectionnez l’icône de la première session sous l’icône du lecteur optique.
Elle se trouve dans la liste des périphériques, dans la partie gauche de la fenêtre.
4 Choisissez Fichier > Nouvelle > « image disque de <Sélectionnez un périphérique> ».
5 Donnez un nom à l’image, sélectionnez un type d’image (Lecture seule, Lire/écrire ou
Comprimé), puis cliquez sur Enregistrer.
6 Une fois l’image créée, sélectionnez-la dans la liste de gauche.
7 Dans le menu, choisissez Images > Examiner une image pour la restaurer.
8 Saisissez un nom d’utilisateur et un mot de passe d’administrateur.
L’image disque du programme d’installation peut maintenant être restaurée sur votre
partition supplémentaire.
∏
Astuce : si vous préférez travailler avec la ligne de commande, vous pouvez utiliser hdiutil pour créer l’image disque et asr pour examiner l’image afin de la restaurer. Toutes les commandes doivent être exécutées avec des privilèges de super-utilisateur ou
de root.
La commande suivante, par exemple, crée une image disque nommée « Installer.dmg »
à partir du périphérique disk1s1 :
hdiutil create -srcdevice disk1s1 Installer.dmg
La commande suivante examine l’image « Installer.dmg » et la prépare à la restauration :
asr imagescan --source Installer.dmg
94
Chapitre 5 Installation et déploiement
Étape 3 : Restauration de l’image sur une partition alternative
Vous pouvez restaurer l’image disque sur une partition de l’ordinateur ou sur un disque dur externe. Une fois que la restauration est terminée, la partition restaurée fonctionne comme le DVD d’installation. Assurez-vous que la partition alternative fait au
moins la taille de l’image disque.
La restauration de l’image disque sur la partition efface toutes les données qui figurent
sur la partition.
Pour restaurer l’image :
1 Démarrez l’ordinateur cible.
2 Assurez-vous que l’image ne réside pas sur la partition qui va être effacée.
3 Lancez Utilitaire de disque.
4 Dans la liste de périphériques qui se trouve dans la partie gauche de la fenêtre, sélectionnez l’image du DVD d’installation.
5 Cliquez sur Restaurer.
6 Faites glisser l’image d’installation de la partie gauche de la fenêtre vers le champ Source.
7 Faites glisser la partition alternative de la liste des périphériques qui se trouve dans
la partie gauche de la fenêtre vers le champ Destination.
8 Sélectionnez Effacer la destination.
9 Cliquez sur Restaurer.
Si vous préférez travailler avec la ligne de commande, utilisez l’outil asr pour restaurer
l’image sur la partition. L’utilisation d’asr requiert des privilèges de super-utilisateur ou
de root. La syntaxe de base est :
sudo asr restore -s <imageComprimée> -t <volumeCible> --erase
Ainsi, pour restaurer une image nommée « Installer.dmg » sur la partition « ExtraHD »,
la syntaxe serait :
asr restore -s Installer.dmg -t ExtraHD --erase
Pour en savoir plus sur asr et ses possibilités, consultez la page man de l’outil.
∏
Astuce : vous pouvez utiliser asr pour restaurer un disque sur un réseau en multidiffusant les blocs vers les ordinateurs clients. La fonctionnalité de serveur de multidiffusion
d’asr permet de placer une copie de l’image d’installation sur une partition de tous les
ordinateurs capables de recevoir les paquets de multidiffusion. Pour configurer cette
opération, vous aurez besoin des informations figurant dans la page man de l’outil.
Comme l’outil asr peut aussi aller chercher l’image cible sur un serveur HTTP en utilisant des URL http ou https comme source, l’image ne doit pas nécessairement résider
sur l’ordinateur cible.
Chapitre 5 Installation et déploiement
95
Étape 4 : Sélectionnez la partition alternative en tant que disque de démarrage.
Une fois que la partition est restaurée, elle peut servir de disque de démarrage et d’installation pour votre serveur. Vous devez maintenant démarrer l’ordinateur à partir de la
partition. Une fois que l’ordinateur est en service, vous disposez d’un programme d’installation Mac OS X Server, comme si vous aviez démarré l’ordinateur à partir du DVD.
Pour démarrer l’ordinateur à partir du disque d’installation :
1 Allumez l’ordinateur et maintenez la touche Option enfoncée.
2 Sélectionnez l’icône représentant la partition d’installation, puis cliquez sur la flèche
vers la droite.
Vous devez utiliser cette méthode si vous démarrez à partir d’un lecteur de DVD
externe.
Si vous procédez à une installation sur un Xserve, la procédure de démarrage à partir
d’un DVD peut être différente. Pour en savoir plus, consultez le Guide de l’utilisateur de
Xserve ou le guide Présentation qui accompagnait votre Xserve.
3 Après le redémarrage de l’ordinateur, choisissez la langue à utiliser pendant l’installation, puis cliquez sur le bouton représentant une flèche.
Le programme d’installation est à présent en cours d’exécution.
Si vous préférez travailler avec la ligne de commande, vous pouvez définir le volume de
démarrage à l’aide de l’outil systemsetup. Sous Mac OS X Server 10.4 ou ultérieur, l’outil
systemsetup se trouve dans /usr/sbin/systemsetup.
Si vous utilisez le client Mac OS X pendant ce processus, l’outil se trouve dans /Système/Bibliothèque/CoreServices/RemoteManagement/ARDAgent.app/Contents/Support/systemsetup.
Vous devrez utiliser les options de commande -liststartupdisks et -setstartupdisk pour
rechercher le volume d’installation que vous venez de restaurer et le sélectionner
comme disque de démarrage. Toutes les commandes émises avec systemsetup doivent être exécutées avec des privilèges de super-utilisateur ou de root.
Voici un exemple de commande permettant de sélectionner le disque de démarrage :
systemsetup -setstartupdisk “/Volumes/Mac OS X Server Install Disk”
Exécutez ensuite la commande shutdown
-r
pour redémarrer.
Pour en savoir plus sur systemsetup, consultez la section Administration de ligne de commande et la page man de l’outil.
96
Chapitre 5 Installation et déploiement
Démarrage à partir d’un environnement NetBoot
Si vous disposez d’une infrastructure NetBoot, elle constitue la façon la plus simple de
réaliser des installations et des déploiements de masse. Cette méthode peut être utilisée pour des grappes de serveurs dépourvus de lecteur optique ou de logiciel système, comme vous pouvez le voir dans l’illustration ci-dessous :
Mac OS X
Server
Serveurs cible
NetBoot
Ordinateur
administrateur
Destination
Commencer
l’installation du serveur
Serveurs cible
Elle peut aussi être utilisée dans des environnements où un grand nombre de serveurs
doit être déployé de façon efficace.
Cette section n’explique pas comment créer l’infrastructure NetBoot requise. Si vous
voulez configurer des options NetBoot et NetInstall pour votre réseau, vos serveurs et
vos ordinateurs clients, consultez la section Administration de Mise à jour de logiciels et
d’Imagerie système.
Cette section contient des instructions permettant de créer une image NetInstall à partir du disque d’installation de Mac OS X Server et de démarrer un serveur à partir de
cette image. Il n’est pas nécessaire de préparer le disque dur.
Étape 1 : Créez une image NetInstall à partir du DVD d’installation
Cette étape ne doit pas nécessairement être réalisée sur l’ordinateur cible. Elle peut
être réalisée sur un ordinateur administrateur disposant de l’espace disque suffisant
pour créer une image de l’ensemble du DVD d’installation.
1 Lancez Utilitaire d’images de système, dans /Applications/Server/.
2 Sélectionnez le DVD d’installation à gauche, puis l’image NetInstall à droite.
3 Cliquez sur Continuer.
4 Saisissez le nom et la description de l’image.
Ces informations seront visibles par les clients qui sélectionneront l’image en tant que
disque de démarrage.
5 Cliquez sur Créer, puis sélectionnez un emplacement pour l’enregistrement de l’image
disque.
Chapitre 5 Installation et déploiement
97
Une fois terminée, cette image peut être utilisée avec un serveur NetBoot pour démarrer un serveur en vue d’une installation.
Pour en savoir plus sur les images NetInstall et Utilitaire d’images de système, y compris sur les options de personnalisation, consultez la section Administration de Mise à
jour de logiciels et d’Imagerie système.
Étape 2 : Démarrez l’ordinateur à partir du serveur NetBoot
Il existe quatre manières de procéder, selon votre environnement.
 Dans l’interface utilisateur graphique de l’ordinateur cible, sélectionnez le disque
NetInstall dans la sous-fenêtre Disque de démarrage de Préférences Système.
 Redémarrez l’ordinateur tout en maintenant la touche « n » enfoncée.
Le premier serveur NetBoot qui répondra à l’ordinateur démarrera ce dernier à l’aide
de son image par défaut.
 Redémarrez l’ordinateur tout en maintenant la touche Option enfoncée.
L’ordinateur affiche les disques de démarrage disponibles soit localement sur l’ordinateur, soit à distance sur les serveurs NetBoot et NetInstall. Sélectionnez un disque
et poursuivez le démarrage.
 Utilisez la ligne de commande localement ou à distance pour spécifier le serveur
NetBoot à partir duquel l’ordinateur doit démarrer :
sudo bless --netboot --server bsdp://serveur.exemple.com
Préparation des disques pour l’installation de Mac OS X
Server
Avant de réaliser une installation spéciale de Mac OS X Server, vous pouvez partitionner le disque dur de l’ordinateur serveur en plusieurs volumes, créer un ensemble RAID
ou bien effacer le disque ou la partition cible.
Si vous utilisez un disque d’installation de Mac OS X Server 10.5 ou ultérieur, vous pouvez réaliser ces tâches depuis un autre ordinateur en réseau en utilisant un visualiseur
VNC, tel qu’Apple Remote Desktop, avant de lancer une installation spéciale.
AVERTISSEMENT : avant de partitionner un disque, de créer un ensemble RAID ou
d’effacer un disque ou une partition d’un serveur existant, conservez toutes les
données de l’utilisateur que vous souhaitez sauvegarder en les copiant sur un autre
disque ou une autre partition.
98
Chapitre 5 Installation et déploiement
Sélection d’un système de fichiers
Un système de fichiers est une méthode de stockage et d’organisation de fichiers informatiques et des données qu’ils contiennent sur un périphérique de stockage tel qu’un
disque dur. Mac OS X Server prend en charge plusieurs types de système de fichiers
pour le stockage sur disque dur. Chaque système de fichiers a ses propres avantages.
À vous de choisir celui qui répond le mieux aux besoins de votre organisation.
Pour en savoir plus, consultez ce qui suit :
developer.apple.com/technotes/tn/tn1150.html
Les systèmes suivants sont disponibles :
Mac OS étendu (journalisé), ou HFS+J
Le système de fichiers HFS+J est le système de fichiers par défaut de Mac OS X Server.
Un volume HFS+J dispose d’un journal facultatif permettant d’accélérer la restauration
lors du montage d’un volume démonté de façon incorrecte (après une coupure de
courant ou un plantage par exemple). Le journal accélère et simplifie la restauration
des structures du volume dans un état cohérent, sans qu’il soit nécessaire d’analyser
l’ensemble des structures.
Le journal n’est utilisé que pour les structures et les métadonnées des volumes ; il ne
protège pas le contenu des branches de ressources. En d’autres mots, ce journal protège l’intégrité des structures de disque sous-jacentes, mais pas les données qui pourraient être endommagées en raison d’une erreur d’écriture ou d’une coupure de
courant accidentelle.
Pour plus d’informations sur HFS+J, consultez la documentation développeur Apple
à l’adresse :
developer.apple.com/documentation/MacOSX/Conceptual/BPFileSystem/Articles/Comparisons.html
Mac OS X étendu (sensible à la casse, journalisé), ou HFSX
HFSX est une extension de HFS Plus et permet aux volumes d’avoir des noms de fichier
et de répertoire sensibles à la casse. La présence de noms sensibles à la casse signifie
qu’il peut y avoir en même temps dans le même répertoire deux objets dont les noms
ne diffèrent que par la casse des lettres. Vous pourriez par exemple avoir comme noms
de fichier uniques Bob, BOB et bob au sein du même répertoire.
Les volumes sensibles à la casse sont pris en charge comme volumes de démarrage.
Un système de fichiers HFSX pour Mac OS X Server doit être sélectionné spécifiquement lors de l’effacement d’un volume et la préparation de l’installation initiale. HFSX
est un format disponible pour l’option « Effacer et installer » pour les installations locales. HFSX n’est pas un format disponible pour les installations contrôlées à distance. Si
vous prévoyez d’utiliser NFS, utilisez le format sensible à la casse HFSX.
Chapitre 5 Installation et déploiement
99
Un volume HFSX peut être soit sensible à la casse, soit insensible à la casse. La sensibilité à la casse (ou l’insensibilité à la casse) est étendue à l’ensemble du volume ; ce
réglage s’applique à tous les noms de fichier et de répertoire du volume. Pour déterminer si un volume HFSX est sensible à la casse, utilisez le champ keyCompareType de
l’en-tête B-tree du fichier de catalogue. La valeur kHFSBinaryCompare indique que le
volume est sensible à la casse. La valeur kHFSCaseFolding indique que le volume est
insensible à la casse.
Remarque : ne présupposez jamais qu’un volume HFSX est sensible à la casse. Utilisez
toujours keyCompareType pour le vérifier. Sachez également que les logiciels de tierce
partie ne fonctionnent pas toujours correctement avec la sensibilité à la casse.
Important : les noms sensibles à la casse n’ignorent pas les caractères ignorables Unicode. Cela signifie qu’un même répertoire peut posséder plusieurs noms considérés
comme équivalents selon les règles de comparaison Unicode, mais différents sur un
volume HFSX sensible à la casse.
Partitionnement d’un disque dur
Partitionner le disque dur permet de créer un volume destiné au logiciel système du
serveur et un ou plusieurs autres pour les données et les autres logiciels. Le partitionnement efface le contenu du disque.
La taille minimale recommandée pour une partition d’installation est de 20 Go. Un
volume plus important est recommandé pour les configurations standard ou les configurations de groupe de travail, car elles conservent les dossiers partagés et les sites
web de groupe sur le volume de démarrage avec le logiciel serveur.
Effacer un disque revient à créer une seule partition de volume sur un disque et à effacer ce volume.
Pensez à consacrer un disque dur ou un volume de disque dur partitionné au logiciel
serveur. Placez les logiciels supplémentaires, les points de partage, les sites web, etc.
sur d’autres disques ou volumes. Avec cette approche, vous pouvez mettre à niveau ou
réinstaller le logiciel serveur sans affecter les autres logiciels ni les données utilisateur.
Si vous devez stocker des logiciels ou des données supplémentaires sur le volume système, la mise en miroir sur un autre disque constitue une solution intéressante.
∏
100
Astuce : une ou deux partitions supplémentaires vides sur le disque d’installation cible
peut vous donner plus de flexibilité lors de l’installation et du déploiement. Cet espace
supplémentaire peut, par exemple, vous permettre de placer temporairement en miroir
votre installation courante avant de réaliser une mise à jour ou de bénéficier d’un disque d’installation rapide.
Chapitre 5 Installation et déploiement
Partitionnement d’un disque à l’aide d’Utilitaire de disque
Vous pouvez utiliser le programme d’installation pour ouvrir l’application Utilitaire de
disque, puis utiliser cette dernière pour effacer le volume cible ou tout autre volume.
Vous pouvez effacer le volume cible à l’aide du format Mac OS étendu, Mac OS étendu
(journalisé), Mac OS étendu (sensible à la casse) ou Mac OS étendu (sensible à la casse,
journalisé). Il n’est pas possible de partitionner le disque de démarrage ni d’effacer le
volume de démarrage actif.
1 Lancez Utilitaire de disque.
Si vous êtes dans le programme d’installation, Utilitaire de disque est accessible à
partir du menu Utilitaires.
Sinon, lancez l’application à partir de /Applications/Utilitaires/Utilitaire de disque.
2 Sélectionnez le disque à partitionner.
Vous ne pouvez pas sélectionner votre disque de démarrage actuel. Sélectionner un
volume sur le disque vous permettra d’effacer le volume, mais ne créera pas un autre
schéma de partition.
3 Cliquez sur Partition.
4 Choisissez votre schéma de partition et suivez les instructions présentées dans la fenêtre pour définir tous les paramètres nécessaires.
5 Cliquez sur Appliquer.
Vous trouverez dans l’Aide Utilitaire de disque des instructions sur le partitionnement
du disque dur en plusieurs volumes, sur la création d’un ensemble RAID et sur l’effacement du disque ou de la partition cible. Pour afficher cette aide, ouvrez Utilitaire de disque sur un autre ordinateur Macintosh doté de Mac OS X 10.5 et choisissez Aide > Aide
Utilitaire de disque.
Partitionnement d’un disque à l’aide de la ligne de commande
Vous pouvez utiliser l’outil de ligne de commande diskutil pour partitionner et effacer
un disque dur. Pour utiliser cette méthode, vous devez normalement utiliser un shell
distant (SSH) pour ouvrir une session sur l’ordinateur qui vient de démarrer. L’outil de
partition de disques est diskutil.
Comme dans Utilitaire de disque, vous pouvez effacer le volume cible à l’aide du format Mac OS étendu, du format Mac OS étendu (journalisé), du format Mac OS étendu
(sensible à la casse) et du format Mac OS étendu (sensible à la casse, journalisé).
 Vous ne pouvez pas partitionner le disque de démarrage ni effacer le volume de
démarrage actif.
 Toutes les opérations diskutil potentiellement destructives doivent être réalisées
avec des privilèges de super-utilisateur ou de root.
Chapitre 5 Installation et déploiement
101
Pour en savoir plus sur diskutil et sur d’autres usages de cet outil, consultez la section
Administration de ligne de commande. Pour obtenir la syntaxe complète de la commande diskutil, consultez la page man de l’outil.
La commande à utiliser dépend du format de disque et du matériel utilisé. Veillez à
utiliser des arguments de ligne de commande adaptés à vos propres besoins.
En guise d’exemple, la commande suivante permet de partitionner un disque dur unique de 120 Go en deux volumes HFS+ de 60 Go journalisés (« Démarrage » et
« Données ») permettant de démarrer un ordinateur Macintosh à processeur PowerPC.
La syntaxe de base est :
diskutil partitionDisk périphérique nombreDePartitions APMFormat
<formatPartie1 nomPartie1 taillePartie1> <formatPartie2 nomPartie2
taillePartie2>
La commande est donc :
diskutil partitionDisk disk0 2 APMFormat JournaledHFS+ Démarrage 50% JournaledHFS+ Données 50%
Création d’un ensemble RAID
Si vous installez Mac OS X Server sur un ordinateur doté de plusieurs disques durs
internes, vous pouvez créer une matrice redondante de disques indépendants (RAID)
pour optimiser la capacité de stockage, améliorer les performances et augmenter la
fiabilité en cas de défaillance de disque.
Un ensemble RAID en miroir, par exemple, augmente la fiabilité en écrivant vos données simultanément sur deux disques ou plus. Si l’un des disques est défaillant, votre
serveur utilise automatiquement l’un des autres disques de l’ensemble RAID.
Utilitaire de disque permet de configurer un ensemble RAID. Il propose deux types
d’ensembles RAID et une option de disque supplémentaire :
 Un ensemble RAID entrelacé (RAID 0) répartit les fichiers sur les différents disques
qui composent l’ensemble. Un ensemble RAID entrelacé améliore les performances
de vos logiciels parce qu’il permet de lire et d’écrire sur tous les disques de l’ensemble en même temps. Vous pouvez utiliser un ensemble RAID entrelacé si vous travaillez avec des fichiers volumineux tels que les fichiers vidéonumériques.
 Un ensemble RAID en miroir (RAID 1) duplique les fichiers sur les différents disques
qui composent l’ensemble. Comme ce schéma maintient deux copies des fichiers ou
plus, il fournit des copies de sauvegarde permanentes de ces derniers. Il peut en
outre vous aider à garder des données disponibles en cas de défaillance de l’un des
disques de l’ensemble. La mise en miroir est recommandée si vous disposez de
fichiers ou d’applications partagés auxquels les utilisateurs accèdent fréquemment.
102
Chapitre 5 Installation et déploiement
Vous pouvez configurer la mise en miroir RAID après avoir installé Mac OS X Server
si le disque utilisé pour l’installation n’est pas partitionné. Afin d’éviter toute perte
de données, vous devez configurer la mise en miroir RAID le plus tôt possible.
 Un ensemble de disques concaténés vous permet d’utiliser plusieurs disques
comme s’il s’agissait d’un volume unique. Il ne s’agit pas d’un véritable ensemble
RAID et cette solution n’améliore ni la redondance ni les performances.
Vous pouvez combiner différents ensembles RAID pour combiner leurs avantages. Vous
pouvez, par exemple, créer un ensemble RAID qui combine l’accès rapide aux disques
d’un ensemble RAID entrelacé et la protection des données d’un ensemble RAID en
miroir. Pour ce faire, créez deux ensembles RAID d’un type, puis un ensemble RAID
d’un autre type en utilisant les deux premiers ensembles RAID comme disques.
Les ensembles RAID que vous combinez doivent tous être créés à l’aide d’Utilitaire
de disque ou de diskutil dans Mac OS X 10.4 ou ultérieur.
La méthode de partitionnement utilisée sur les disques ne peut pas être mixte (la plateforme PPC est au format APMFormat, la plateforme Intel est au format GPTFormat)
au sein d’un même ensemble RAID.
Les ordinateurs Mac Pro et les Xserve à processeur Intel peuvent démarrer à partir d’un
volume RAID logiciel. Certains Mac à processeur Intel ne prennent pas en charge le
démarrage à partir de volumes RAID logiciels. Si vous tentez de démarrer ces Mac à
processeur Intel à partir d’un volume RAID logiciel, il se peut que l’ordinateur affiche
un point d’interrogation clignotant lors du démarrage.
Les ordinateurs suivants ne prennent pas en charge le démarrage à partir de volumes
RAID logiciels :
 iMac (début 2006)
 Mac mini (début 2006)
Aucun Mac à processeur PPC ne prend en charge le démarrage à partir de volumes
RAID logiciels.
Si vous avez besoin d’une prise en charge plus sophistiquée de RAID, pensez aux
réseaux RAID matériels. Ils disposent d’un matériel RAID dédié et d’une capacité
de stockage pouvant dépasser 5 téraoctets.
Création d’un ensemble RAID à l’aide d’Utilitaire de disque
Vous pouvez utiliser le programme d’installation pour ouvrir l’application Utilitaire de disque, puis utiliser cette dernière pour créer l’ensemble RAID à partir de disques disponibles. Il n’est pas nécessaire d’effacer les disques avant de créer l’ensemble. La création
d’un ensemble RAID efface le contenu des disques concernés.
Chapitre 5 Installation et déploiement
103
Les volumes de l’ensemble RAID peuvent être au format Mac OS étendu, Mac OS
étendu (journalisé), Mac OS étendu (sensible à la casse), Mac OS étendu (sensible à la
casse, journalisé) et MS-DOS FAT. Pour en savoir plus sur les formats de volume, consultez la section « Préparation des disques pour l’installation de Mac OS X Server » à la
page 98.
Vous ne pouvez pas créer un ensemble RAID à partir du disque de démarrage actif.
1 Lancez Utilitaire de disque.
Si vous êtes dans le programme d’installation, Utilitaire de disque est accessible via le
menu Utilitaires. Sinon, lancez l’application à partir de /Applications/Utilitaires/Utilitaire
de disque.
2 Sélectionnez le disque à intégrer à l’ensemble RAID.
Vous ne pouvez pas sélectionner le disque de démarrage actif.
Lors de la création d’ensembles RAID ou de l’ajout de disques, il est recommandé
de spécifier l’ensemble du disque plutôt qu’une partition du disque.
3 Cliquez sur RAID.
4 Sélectionnez le type d’ensemble RAID souhaité.
5 Faites glisser les disques vers la fenêtre.
6 Suivez les instructions présentées dans la fenêtre pour définir tous les paramètres
nécessaires.
7 Cliquez sur Créer.
Vous trouverez dans l’Aide Utilitaire de disque des instructions sur le partitionnement
du disque dur en plusieurs volumes, sur la création d’un ensemble RAID et sur l’effacement du disque ou de la partition cible. Pour afficher cette aide, ouvrez Utilitaire de disque sur un autre ordinateur Macintosh doté de Mac OS X 10.5 et choisissez Aide > Aide
Utilitaire de disque.
Création d’un ensemble RAID à l’aide de la ligne de commande
Vous pouvez utiliser l’outil de ligne de commande diskutil pour créer un ensemble
RAID. Pour utiliser cette méthode, vous devez normalement utiliser un shell distant
(SSH) pour ouvrir une session sur l’ordinateur qui vient de démarrer. L’outil de création
d’ensembles RAID est diskutil.
Tout comme Utilitaire de disque, diskutil permet de créer un volume RAID au format
Mac OS étendu, Mac OS étendu (journalisé), Mac OS étendu (sensible à la casse), Mac
OS étendu (sensible à la casse, journalisé) ou MS-DOS FAT. N’oubliez toutefois pas ce
qui suit :
 Vous ne pouvez pas créer un ensemble RAID à partir du disque de démarrage actif.
 Lors de la création d’ensembles RAID ou de l’ajout de disques, spécifiez l’ensemble
du disque plutôt qu’une partition du disque.
104
Chapitre 5 Installation et déploiement
 Toutes les opérations diskutil potentiellement destructives doivent être réalisées avec
des privilèges de super-utilisateur ou de root.
Pour en savoir plus sur diskutil et sur d’autres usages de cet outil, consultez la section
Administration de ligne de commande. Pour la syntaxe complète de la commande diskutil, consultez la page man de l’outil.
La commande à utiliser dépend de vos besoins en matière de réseau RAID. Utilisez des
arguments de ligne de commande adaptés à vos propres besoins. En guise d’exemple,
la commande suivante crée un ensemble RAID en miroir (RAID 1) à partir des deux premiers disques installés dans l’ordinateur (disk0 et disk1), le volume RAID résultant étant
appelé DonnéesEnMirroir.
La syntaxe de base est :
diskutil createRAID mirror nomDeL’ensemble format périphérique périphérique ...
La commande est donc :
diskutil createRAID mirror DonnéesEnMirroir JournaledHFS+ disk0 disk1
Effacement d’un disque ou d’une partition
Vous disposez, selon vos outils préférés et votre environnement informatique, de plusieurs options pour effacer un disque :
 Effacement d’un disque à l’aide du programme d’installation : vous avez la possibilité d’effacer un disque ou une partition lorsque vous utilisez le programme d’installation de Mac OS X Server. Lorsque vous sélectionnez le volume cible dans le
programme d’installation, vous pouvez aussi sélectionner une option permettant
d’effacer le disque ou la partition cible lors de l’installation à l’aide du format Mac OS
étendu (journalisé). Il s’agit du format recommandé pour un volume de démarrage
Mac OS X Server.
 Effacement d’un disque à l’aide d’Utilitaire de disque : vous pouvez utiliser le programme d’installation pour ouvrir l’application Utilitaire de disque, puis utiliser cette
dernière pour effacer le volume cible ou tout autre volume. Vous pouvez effacer le
volume cible à l’aide du format Mac OS étendu ou Mac OS étendu (journalisé). Vous
pouvez effacer d’autres volumes à l’aide du format Mac OS étendu (sensible à la
casse) ou du format Mac OS étendu (sensible à la casse, journalisé).
Le programme d’installation de Mac OS X Server permet d’effacer, mais pas de partitionner un disque ou une partition. Lorsque vous sélectionnez le volume cible dans
le programme d’installation, vous pouvez aussi sélectionner une option permettant
d’effacer le disque ou la partition cible lors de l’installation à l’aide du format Mac OS
étendu (journalisé). Il s’agit du format recommandé pour un volume de démarrage
Mac OS X Server.
Chapitre 5 Installation et déploiement
105
Vous trouverez dans l’Aide Utilitaire de disque des instructions sur le partitionnement du disque dur en plusieurs volumes, sur la création d’un ensemble RAID et sur
l’effacement du disque ou de la partition cible. Pour afficher cette aide, ouvrez Utilitaire de disque sur un autre ordinateur Macintosh doté de Mac OS X 10.5 et choisissez Aide > Aide Utilitaire de disque.
 Effacement d’un disque à l’aide de la ligne de commande : vous pouvez utiliser la
ligne de commande pour effacer des disques à l’aide de l’outil diskutil. Effacer un disque à l’aide de diskutil provoque la perte de toutes les partitions du volume. La commande d’effacement d’un disque complet est :
diskutil eraseDisk format nom [OS9Drivers | APMFormat | MBRFormat | GPTFormat] périphérique
Par exemple :
diskutil eraseDisk JournaledHFS+ MacProHD GPTFormat disk0
Il existe également une option permettant de supprimer les données de façon sécurisée en écrasant plusieurs fois le disque à l’aide de données aléatoires. Pour plus de
détails, consultez la page man de diskutil.
Pour effacer un volume particulier sur un disque, vous devez utiliser une commande
légèrement différente :
diskutil eraseVolume format nom périphérique
Par exemple :
diskutil eraseVolume JournaledHFS+ PartitionSansTitre /Volumes/PartitionOriginale
Pour en savoir plus sur diskutil et sur d’autres usages de cet outil, consultez la section
Administration de ligne de commande. Pour la syntaxe complète de la commande diskutil, consultez la page man de l’outil.
Identification du serveur distant lors de l’installation de Mac OS X
Server
Pour les installations de serveurs distants, vous devez connaître les informations suivantes concernant le serveur cible :
 L’identité du serveur cible : lorsque vous utilisez Assistant du serveur, vous devez
soit reconnaître le serveur cible parmi une liste de serveurs sur votre sous-réseau
local, soit saisir son adresse IP (au format IPv4 : 000.000.000.000) s’il réside sur un
sous-réseau différent.Les informations relatives aux serveurs figurant dans la liste
comprennent l’adresse IP, le nom d’hôte et l’adresse MAC (Media Access Control),
également appelée adresse matérielle ou adresse Ethernet.
Si vous utilisez un visualiseur VNC pour contrôler à distance l’installation de Mac OS X
Server 10.5 ou ultérieur, il est possible qu’il vous permette de sélectionner le serveur
cible parmi une liste de serveurs VNC disponibles. Si ce n’est pas le cas, vous devez
saisir l’adresse IP du serveur (au format IPv4 : 000.000.000.000).
106
Chapitre 5 Installation et déploiement
L’adresse IP du serveur cible est assignée par un serveur DHCP sur le réseau. S’il
n’existe pas de serveur DHCP, le serveur cible utilise une adresse de type 169.xxx.xxx
unique parmi les serveurs du sous-réseau local. Vous pouvez modifier l’adresse IP
ultérieurement, lors de la configuration du serveur.
Si vous ignorez l’adresse IP et que le serveur distant se trouve sur le sous-réseau
local, utilisez la commande sa_srchr pour identifier les ordinateurs du sous-réseau
local sur lesquels vous pouvez installer le logiciel serveur : saisissez ce qui suit à partir d’un ordinateur existant sur lequel les outils Mac OS X Server sont installés :
/system/library/serversetup/sa_srchr 224.0.0.1
Cette commande renvoie l’adresse IP et l’EthernetID (ainsi que d’autres informations)
des serveurs du sous-réseau local qui ont démarré à partir du disque d’installation.
 Le mot de passe prédéfini du serveur cible : ce mot de passe est constitué des huit
premiers chiffres du numéro de série matériel incorporé au serveur. Pour rechercher
le numéro de série, cherchez une étiquette sur le serveur. Les ordinateurs plus anciens
ne possèdent pas de numéro de série incorporé ; pour ces systèmes, utilisez la suite de
chiffres 12345678.
Installation interactive du logiciel serveur
Vous pouvez utiliser le disque d’installation pour installer le logiciel serveur de manière
interactive sur un serveur local ou un serveur distant, ou sur un ordinateur sur lequel
Mac OS X est préinstallé.
Installation locale à partir du disque d’installation
Vous pouvez installer Mac OS X Server directement sur un ordinateur équipé d’un
écran, d’un clavier et d’un lecteur optique, comme dans l’illustration ci-dessous :
Application d’installation
ou
outil d’installation
dans l’application Terminal
Si vous disposez d’un DVD d’installation, le lecteur optique doit être en mesure de lire
les disques DVD.
Vous pouvez aussi procéder à l’installation directement sur un ordinateur sans écran,
clavier ni lecteur optique capable de lire votre disque d’installation. Dans ce cas, démarrez l’ordinateur cible en mode disque cible et reliez-le à un ordinateur administrateur
à l’aide d’un câble FireWire.
Chapitre 5 Installation et déploiement
107
Utilisez l’ordinateur administrateur pour installer le logiciel serveur sur le disque ou sur
une partition de l’ordinateur cible (qui apparaît sous la forme d’une icône de disque sur
l’ordinateur administrateur).
Ces instructions supposent que vous avez démarré l’ordinateur à l’aide du DVD d’installation, d’une partition d’installation ou d’un disque NetInstall. Si ce n’est pas le cas, consultez les instructions à ce sujet qui commencent à la section « À propos du démarrage
pour l’installation » à la page 90.
Pour installer le logiciel serveur localement :
1 Après le démarrage de l’ordinateur, choisissez la langue que le serveur doit utiliser, puis
cliquez sur Continuer.
2 Lorsque le programme d’installation s’ouvre, si vous souhaitez effectuer une installation spéciale, vous pouvez si vous le souhaitez utiliser le menu Utilitaires pour ouvrir
l’application Utilitaire de disque et préparer le disque ou la partition cible.
Si vous n’avez pas préparé votre disque pour l’installation, vous pouvez le faire maintenant à l’aide d’Utilitaire de disque. Pour plus d’instructions sur la préparation de votre
disque pour l’installation, consultez la section « Préparation des disques pour l’installation de Mac OS X Server » à la page 98.
3 Avancez dans les sous-fenêtres du programme d’installation en suivant les instructions
affichées.
4 Lorsque la sous-fenêtre Sélectionner une destination apparaît, choisissez un disque ou
un volume (partition) cible en vous assurant que celui-ci se trouve à l’état adéquat.
Si vous procédez à une installation spéciale, vous pouvez cliquer sur Options pour formater le disque ou le volume de destination au format Mac OS étendu (journalisé).
Sélectionnez Effacer pour formater le disque au format Mac OS étendu (journalisé),
puis cliquez sur OK.
Si le volume que vous avez sélectionné contient Mac OS X Server 10.3.9 ou 10.2.8 et
que vous souhaitez procéder à une mise à niveau, cliquez sur Options, sélectionnez
« Ne pas effacer », puis cliquez sur OK.
Important : lorsque vous effectuez une mise à niveau, assurez-vous que les données
de configuration enregistrées ne sont pas détectées par inadvertance et utilisées par
le serveur. Si vous utilisez des données de configuration enregistrées, les réglages de
serveur ne sont pas compatibles avec les réglages enregistrés et peuvent provoquer
des comportements inattendus. Pour en savoir plus, consultez la section « Procédure de
recherche par un serveur de données de configuration enregistrées » à la page 136.
5 Avancez dans les sous-fenêtres du programme d’installation en suivant les instructions
affichées.
Lorsque l’installation est terminée, l’ordinateur redémarre et vous pouvez procéder
à la configuration initiale du serveur.
108
Chapitre 5 Installation et déploiement
6 Si vous utilisez un ordinateur administrateur pour une installation sur un serveur en
mode disque cible et connecté à l’aide d’un câble FireWire :
a Quittez Assistant du serveur lorsqu’il démarre automatiquement sur l’ordinateur
administrateur.
b Éteignez l’ordinateur administrateur et le serveur.
c Démarrez l’ordinateur administrateur et le serveur normalement (pas en mode
disque cible).
Vous pouvez maintenant utiliser Assistant du serveur à partir de l’ordinateur administrateur et configurer le serveur à distance.
Le Chapitre 6, « Configuration initiale du serveur, » à la page 117 explique comment
configurer un serveur localement ou à distance.
Installation à distance à l’aide d’Assistant du serveur
Pour installer Mac OS X Server sur un serveur distant à partir du DVD d’installation,
d’une partition d’installation ou d’un disque NetInstall, vous avez besoin d’un ordinateur administrateur à partir duquel vous pouvez utiliser Assistant du serveur pour
gérer l’installation, comme dans l’illustration ci-dessous :
Ordinateur administrateur
Bienvenue
>programme
d’installation
>programme
d’installation
Sous-réseau 1
Sous-réseau 2
Une fois que l’ordinateur a démarré, vous pouvez contrôler et gérer autant de serveurs
que vous le souhaitez à partir d’un ordinateur d’administration.
Important : si vous disposez d’applications et d’outils administratifs provenant de
Mac OS X Server 10.4 Tiger ou antérieur, ne les utilisez pas avec Leopard Server.
Chapitre 5 Installation et déploiement
109
Si vous souhaitez utiliser l’interface utilisateur du programme d’installation, vous pouvez utiliser VNC pour afficher le programme d’installation distant et communiquer avec
ce dernier. Pour en savoir plus, consultez la section « Installation à distance à l’aide de
VNC » à la page 111.
Ces instructions supposent que vous avez démarré l’ordinateur à l’aide du DVD d’installation, d’une partition d’installation ou d’un disque NetInstall. Si ce n’est pas le cas, consultez les instructions à ce sujet qui commencent à la section « À propos du démarrage
pour l’installation » à la page 90.
Pour installer le logiciel sur un serveur distant à l’aide d’Assistant du serveur :
1 Une fois que l’ordinateur cible a démarré à partir du DVD d’installation, d’une partition
d’installation ou d’un disque NetInstall, lancez Assistant du serveur qui se trouve dans
le dossier /Applications/Server/ de l’ordinateur administrateur.
Vous n’avez pas besoin d’être administrateur sur l’ordinateur local pour utiliser Assistant du serveur.
2 Sélectionnez l’option Installer le logiciel sur un serveur distant.
3 Pour chaque serveur cible prévu, identifiez le serveur cible et ajoutez-le à la liste.
S’il se trouve sur le sous-réseau local, sélectionnez-le dans la liste, sinon, cliquez sur
le bouton Ajouter (+) et saisissez une adresse IP au format IPv4 (000.000.000.000).
Si vous disposez déjà d’une liste de serveurs enregistrée, chargez-la maintenant en
choisissant Fichier > Charger la liste de serveurs.
4 Lorsque vous êtes invité à fournir un mot de passe, saisissez les huit premiers chiffres
du numéro de série matériel intégré au serveur.
Pour rechercher le numéro de série, cherchez une étiquette sur le serveur.
Si vous effectuez l’installation sur un vieil ordinateur qui ne dispose pas de numéro
de série de matériel intégré, tapez le mot de passe 12345678.
5 Une fois que vous avez ajouté tous les serveurs à la liste, enregistrez cette dernière
en vue d’un usage ultérieur en choisissant Fichier > Enregistrer la liste de serveurs.
6 Avancez dans les écrans d’installation en suivant les instructions affichées.
7 Lorsque la sous-fenêtre Volumes apparaît, sélectionnez un disque ou un volume (partition) cible, assurez-vous qu’il ou elle est dans l’état adéquat, puis cliquez sur Continuer.
110
Chapitre 5 Installation et déploiement
Si le volume que vous avez sélectionné contient Mac OS X Server 10.4.10 ou 10.3.9 et
que vous souhaitez procéder à une mise à niveau, sélectionnez « Ne pas effacer ».
Sinon, sélectionnez Effacer pour formater le disque au format Mac OS étendu (journalisé). Cliquez sur OK.
AVERTISSEMENT : lorsque vous procédez à une mise à niveau, assurez-vous que les
données de configuration enregistrées ne sont pas détectées par inadvertance et
utilisées par le serveur. Si vous utilisez des données de configuration enregistrées, les
réglages de serveur ne sont pas compatibles avec les réglages enregistrés et peuvent
provoquer des comportements inattendus. Pour en savoir plus, consultez la section
« Procédure de recherche par un serveur de données de configuration enregistrées »
à la page 136.
8 Avancez dans les écrans d’installation en suivant les instructions affichées.
Pendant l’installation, vous pouvez ouvrir une autre fenêtre Assistant du serveur pour
installer le logiciel serveur sur d’autres ordinateurs.Pour cela, choisissez Fichier > Nouvelle fenêtre.
Une fois l’installation terminée, le serveur cible redémarre et vous pouvez procéder à la
configuration initiale du serveur. Le Chapitre 6, « Configuration initiale du serveur, » à la
page 117 vous indique comment procéder.
Installation à distance à l’aide de VNC
Si vous utilisez un disque d’installation de Mac OS X Server 10.5 ou ultérieur, vous pouvez contrôler l’installation depuis un autre ordinateur en utilisant un visualiseur VNC
open-source ou Apple Remote Desktop. Vous pouvez ainsi contrôler à distance la préparation du disque ou de la partition cible avant de procéder à l’installation.
Vous pouvez partitionner le disque dur en plusieurs volumes, créer un ensemble RAID
ou bien effacer le disque ou la partition cible.
Le processus d’installation à distance à l’aide de VNC est identique au processus d’installation locale effectué avec un clavier et un moniteur, sauf que vous devez d’abord
vous connecter au serveur VNC sur l’ordinateur cible à l’aide d’un client VNC tel
qu’Apple Remote Desktop.
Pour en savoir plus sur la connexion à un ordinateur ayant démarré à partir d’un DVD
d’installation, consultez la section « Accès à distance au DVD d’installation » à la
page 91.
Pour en savoir plus sur l’exécution locale du programme d’installation, consultez la
section « Installation locale à partir du disque d’installation » à la page 107.
Chapitre 5 Installation et déploiement
111
Installation du logiciel serveur à l’aide de l’outil de ligne de
commande installer
L’outil installer permet d’installer le logiciel serveur sur un ordinateur local ou
distant à partir de la ligne de commande.Pour en savoir plus sur le programme
d’installation :
 Consultez la section Administration de ligne de commande.
 Ouvrez l’application Terminal et tapez installer, installer -help ou man
installer.
Ces instructions supposent que vous avez démarré l’ordinateur à l’aide du DVD d’installation, d’une partition d’installation ou d’un disque NetInstall. Si ce n’est pas le cas, consultez les instructions à ce sujet qui commencent à la section « À propos du démarrage
pour l’installation » à la page 90.
Pour installer le logiciel serveur à l’aide de la commande installer :
1 Ouvrez une session de ligne de commande avec le serveur cible en choisissant l’une
des options suivantes :
 Installation d’un serveur local : lorsque le programme d’installation s’ouvre, ouvrez
l’application Terminal en choisissant Utilitaires > Ouvrir Terminal.
 Installation d’un serveur distant : à partir de Terminal sur un ordinateur administrateur
ou à partir d’une station de travail UNIX, établissez comme utilisateur root une session
SSH avec le serveur en remplaçant <adresse ip> par l’adresse IP du serveur cible :
ssh root@<adresse ip>
∏
Si vous ignorez l’adresse IP et que le serveur distant se trouve sur le sous-réseau local,
utilisez la commande sa_srchr pour identifier les ordinateurs du sous-réseau local sur
lesquels vous pouvez installer le logiciel serveur :
/system/library/serversetup/sa_srchr 224.0.0.1
monordinateur.exemple.com#PowerMac4,4#<adresse ip>#<adresse mac>#Mac OS X
Server 10.5#RDY4PkgInstall#2.0#512
Vous pouvez également utiliser Assistant du serveur pour générer les informations relatives aux ordinateurs sur le sous-réseau local. Ouvrez Assistant du serveur, sélectionnez
« Installer le logiciel sur un ordinateur distant », puis cliquez sur Continuer pour accéder
à la sous-fenêtre Destination et générer une liste de serveurs en attente d’installation.
2 Lorsque vous êtes invité à fournir un mot de passe, saisissez les huit premiers chiffres
du numéro de série matériel intégré au serveur.
Pour rechercher le numéro de série, cherchez une étiquette sur le serveur. Si l’ordinateur cible a été configuré en tant que serveur, vous trouverez également le numéro
de série du matériel dans /Système/Bibliothèque/ServerSetup/SerialNumber.
Si vous effectuez l’installation sur un vieil ordinateur qui ne dispose pas de numéro
de série de matériel intégré, tapez le mot de passe 12345678.
112
Chapitre 5 Installation et déploiement
3 Identifiez le volume du serveur cible sur lequel vous souhaitez installer le logiciel serveur.
Pour répertorier les volumes disponibles pour l’installation du logiciel serveur à partir
du disque d’installation, tapez la commande suivante :
/usr/sbin/installer -volinfo -pkg /System/Installation/Packages/
OSInstall.mpkg
Vous pouvez également identifier une image NetInstall que vous avez créée et montée:
/usr/sbin/installer -volinfo -pkg /Volumes/ServerNetworkImage10.5/
System/Installation/Packages/OSInstall.mpkg
La liste affichée dépend de votre environnement ; l’exemple ci-dessous présente trois
volumes disponibles :
/Volumes/Mount 01
/Volumes/Mount1
/Volumes/Mount02
4 Si vous ne l’avez pas encore fait, préparez les disques pour l’installation.
Pour en savoir plus sur la préparation des disques pour l’installation, consultez la section « Préparation des disques pour l’installation de Mac OS X Server » à la page 98.
Si Mac OS X Server 10.4.10 ou 10.3.9 est installé sur le volume cible, l’exécution de l’outil
permet de mettre à niveau le serveur avec la version 10.5 en conservant les
fichiers des utilisateurs.
installer
Si vous ne procédez pas à une mise à niveau mais à une installation spéciale, sauvegardez les fichiers d’utilisateur à conserver, puis utilisez la commande diskutil pour effacer le volume et le formater en autorisant la journalisation :
/usr/sbin/diskutil eraseVolume HFS+ "Mount 01" "/Volumes/Mount 01"
/usr/sbin/diskutil enableJournal "/Volumes/Mount 01"
Vous pouvez également utiliser diskutil pour partitionner le volume et configurer la
mise en miroir. Pour en savoir plus sur cette commande, consultez la page man diskutil.
Important : ne stockez pas de données sur le disque dur ou la partition où est installé
le système d’exploitation. Vous évitez de cette manière la perte de données dans
l’éventualité d’une réinstallation ou d’une mise à niveau du logiciel système. Si vous
devez stocker des logiciels ou données supplémentaires sur la partition système, envisagez une mise en miroir du disque.
5 Installez le système d’exploitation sur un volume figurant dans la liste générée à l’étape 3.
Par exemple, pour utiliser Montage 01 dans l’exemple de l’étape 4 pour une installation
à partir du disque d’installation de serveur, tapez :
/usr/sbin/installer -verboseR -lang en -pkg /System/Installation/
Packages/OSInstall.mpkg -target "/Volumes/Mount 01"
Si vous utilisez une image NetInstall, la commande l’identifie comme indiqué à l’étape 3.
Chapitre 5 Installation et déploiement
113
Lorsque vous saisissez le paramètre -lang, utilisez l’une des valeurs suivantes : en (pour
anglais), de (pour allemand), fr (pour français) ou ja (pour japonais).
Au cours de l’installation, l’état d’avancement des opérations est affiché. Tandis que
l’installation progresse, vous pouvez ouvrir une autre fenêtre Terminal pour installer
le logiciel serveur sur un autre ordinateur.
6 Lorsque l’installation est terminée, redémarrez le serveur en saisissant :
/sbin/reboot
ou
/sbin/shutdown -r
Assistant du serveur s’ouvre automatiquement dès que l’installation est terminée.
Vous pouvez maintenant configurer le serveur. Pour en savoir plus, consultez la section
« Configuration initiale du serveur » à la page 117.
Installation de plusieurs serveurs
Vous pouvez utiliser Assistant du serveur, le visualiseur VNC ou l’outil installer pour
lancer plusieurs installations du logiciel serveur. Après avoir utilisé Assistant du serveur
pour lancer l’installation du logiciel serveur sur plusieurs ordinateurs distants, vous
pouvez choisir Fichier > Nouvelle fenêtre pour installer le logiciel sur un autre lot
d’ordinateurs.
Lorsque vous exécutez Assistant du serveur à partir d’un ordinateur d’administration
pour l’installation sur plusieurs ordinateurs, regroupez les configurations matérielles
identiques. Par exemple, choisissez tous les ordinateurs Xserve Intel ou tous les Mac
mini G4.
Après avoir utilisé un visualiseur VNC pour contrôler l’installation de Mac OS X Server
10.5 ou ultérieur sur un ordinateur distant, vous pouvez utiliser ce même visualiseur
VNC pour établir une connexion à un autre ordinateur distant et contrôler l’installation
réalisée sur ce dernier.Comme elle implique de communiquer séparément avec chaque serveur, cette méthode d’installation sur plusieurs serveurs est moins efficace.
La méthode d’installation la plus efficace serait entièrement automatisée. Ouvrir l’application Terminal et utiliser l’outil installer pour lancer séparément l’installation de chaque logiciel serveur n’offre pas cet avantage. Vous pouvez toutefois procéder de
manière efficace en créant un script pour l’outil de ligne de commande (en utilisant des
valeurs connues pour les adresses IP des serveurs, par exemple) afin d’automatiser plusieurs installations simultanées. Pour automatiser entièrement l’installation de serveurs,
vous devez créer un script pour l’outil installer et disposer d’un contrôle poussé sur
l’infrastructure réseau.
114
Chapitre 5 Installation et déploiement
Si vous souhaitez, par exemple, inclure des adresses IP connues et les numéros de série
matériel appropriés dans votre script, vous ne pouvez pas vous fier à des adresses IP
assignées de façon aléatoire. Vous pouvez utiliser des adresses statiques assignées par
DHCP pour supprimer cette incertitude et faciliter la création du script.
Les méthodes, les langages de script et les diverses possibilités sont trop nombreuses
pour être énumérés dans ce guide.
Mise à niveau d’un ordinateur de Mac OS X à Mac OS X Server
Vous pouvez utiliser le DVD d’installation de Mac OS X Server 10.5 pour mettre à niveau
un ordinateur de bureau possédant les caractéristiques suivantes :
 Mac OS X 10.5 ou ultérieur déjà installé;
 disposant d’un processeur Intel;
 ayant été introduit pendant l’été 2006 ou plus tard;
 disposant de la configuration requise décrite dans « Configuration requise pour l’installation de Mac OS X Server » à la page 87.
Pour mettre à niveau un ordinateur de Mac OS X à Mac OS X Server :
1 Démarrez l’ordinateur depuis le disque dur, selon la procédure habituelle.
N’utilisez pas de disque d’installation.
2 Insérez le DVD d’installation, ouvrez le dossiers Other Installs, puis double-cliquez sur
MacOSXServerInstall.mpkg pour exécuter le programme d’installation.
Lorsque l’installation est terminée, votre ordinateur redémarre automatiquement et
Assistant du serveur s’ouvre pour vous permettre de configurer le serveur.
3 Après le redémarrage du serveur, utilisez Mise à jour de logiciels pour installer les mises
à jour du logiciel serveur.
Comment rester à jour
Une fois que vous avez configuré le serveur, il est recommandé de le mettre à jour
chaque fois qu’Apple publie des mises à jour de logiciel serveur.
Il existe différentes façons d’accéder aux mises à jour de Mac OS X Server :
 Dans Admin Serveur, sélectionnez un serveur dans la liste Serveurs, puis cliquez sur
le bouton Mises à jour du serveur.
 Utilisez la sous-fenêtre Mise à jour de logiciels dans les Préférences Système.
 Utilisez l’outil de ligne de commande softwareupdate.
 Utilisez le service de mise à jour de logiciels de serveur.
 Téléchargez une image disque de la mise à jour de logiciel sur :
www.apple.com/fr/support/downloads
Chapitre 5 Installation et déploiement
115
6
Configuration initiale du serveur
6
Les caractéristiques élémentaires de Mac OS X Server sont
définies lors de la configuration du serveur. Le serveur peut
fonctionner dans trois configurations différentes : avancée,
standard et groupe de travail. Ces instructions s’appliquent
à la configuration avancée.
Après l’installation du logiciel serveur, l’étape suivante consiste à configurer le serveur.
Il y a plusieurs manières de configurer un serveur :
 En configurant un ou plusieurs serveurs de manière interactive.
 En automatisant la configuration des serveurs par l’enregistrement des données de
configuration dans un fichier ou dans un répertoire. Les serveurs à configurer sont
ensuite paramétrés de manière à accéder à ces données.
Informations nécessaires
Pour comprendre et enregistrer des informations pour chaque serveur à configurer,
consultez la section Feuille d’opérations avancée Mac OS X Server dans l’annexe,
page 221. Les paragraphes suivants fournissent des explications complémentaires
sur certains éléments de la feuille d’opérations.
Si vous effectuez une mise à niveau depuis Mac OS X Server version 10.4.10 ou 10.3.9,
Assistant du serveur affiche les réglages de serveur existants, mais vous pouvez les
modifier. Prenez note, dans la Feuille d’opérations avancée Mac OS X Server, des réglages
à utiliser par le serveur version 10.5.
Report de la configuration de serveur après l’installation
Assistant du serveur s’ouvre automatiquement sur un serveur non configuré et attend
que vous commenciez la procédure de configuration. Pour configurer le serveur ultérieurement, vous pouvez reporter le processus de configuration en utilisant le clavier,
la souris et le moniteur du serveur.
117
Pour reporter la configuration de Mac OS X Server :
m Dans Assistant du serveur, appuyez sur Commande + Q sur le clavier du serveur, puis
cliquez sur Éteindre.
Assistant du serveur réapparaît au redémarrage du serveur.
Si vous configurez un serveur sans clavier ni moniteur, vous pouvez saisir des commandes dans l’application Terminal pour éteindre le serveur à distance. Pour en savoir plus
sur l’utilisation de la ligne de commande afin de se connecter à un ordinateur distant et
de l’éteindre, consultez la section Administration de ligne de commande.
Connexion au réseau lors de la configuration initiale du
serveur
Essayez de placer un serveur dans son emplacement réseau final (sous-réseau) avant de
le configurer pour la première fois. Si vous souhaitez éviter tout accès non autorisé ou
prématuré au cours du démarrage, vous pouvez configurer un coupe-feu afin de protéger le serveur lors de la finalisation de sa configuration.
Si vous ne pouvez pas éviter de déplacer un serveur après la configuration initiale, vous
devez commencer par modifier les réglages qui dépendent de l’emplacement réseau.
Par exemple, l’adresse IP et le nom d’hôte du serveur, stockés dans les répertoires et
fichiers de configuration du serveur, doivent être mis à jour. Pour plus d’informations,
consultez la section « Modification du nom d’hôte du serveur après la configuration » à
la page 162.
Configuration de serveurs avec plusieurs ports Ethernet
Votre serveur est équipé d’un port Ethernet intégré et éventuellement d’autres ports
intégrés ou ajoutés.
Lorsque vous utilisez l’Assistant du serveur pour configurer de manière interactive un
ou plusieurs serveurs, tous les ports Ethernet disponibles d’un serveur sont répertoriés ;
sélectionnez-en un ou plusieurs à activer et à configurer. Lorsque vous travaillez avec
l’Assistant du serveur en mode hors connexion, cliquez sur un bouton Ajouter afin de
créer manuellement une liste de ports à configurer.
Si vous activez plusieurs ports, indiquez l’ordre dans lequel les ports doivent être utilisés par le serveur lors du routage du trafic vers le réseau. Bien que le serveur reçoive le
trafic réseau sur un port actif quelconque, le trafic réseau initié par le serveur est acheminé via le premier port actif.
Pour obtenir une description des attributs de configuration des ports, consultez la section Feuille d’opérations avancée Mac OS X Server dans l’annexe.
118
Chapitre 6 Configuration initiale du serveur
À propos des réglages établis au cours de la configuration
initiale du serveur
Au cours de la configuration du serveur, les réglages de base suivants sont établis :
 Le choix de la langue utilisée pour l’administration du serveur et le clavier de l’ordinateur est défini.
 Le numéro de série du logiciel serveur est défini.
 Un utilisateur administrateur de serveur est défini et le dossier de départ de l’utilisateur est créé.
 La définition des points de partage AFP et FTP par défaut, tels que Éléments partagés, Utilisateurs et Groupes.
 La configuration de base des informations Open Directory. Au moins un domaine de
répertoire local est créé. Vous pouvez également configurer un répertoire LDAP pouvant être utilisé par d’autres ordinateurs, ou configurer le serveur afin d’obtenir les
informations de répertoire à partir d’autres serveurs.
 Le nom d’hôte, le nom d’ordinateur et le nom d’hôte local sont définis. Vous pouvez
spécifier le nom de l’ordinateur et le nom d’hôte local, mais Assistant du serveur
règle le nom d’hôte sur AUTOMATIC dans /etc/hostconfig. Avec ce réglage, le nom
d’hôte du serveur est le premier nom qui est vrai dans cette liste :
 Le nom fourni par le serveur DHCP ou BootP pour l’adresse IP principale.
 Le premier nom renvoyé par une requête DNS inversé (adresse-vers-nom) pour
l’adresse IP principale.
 Le nom d’hôte local.
 Le nom « localhost ».
 Les interfaces réseau (ports) sont configurées. Les réglages TCP/IP et Ethernet sont
définis pour chaque port que vous souhaitez activer.
 La configuration éventuelle du service d’horloge réseau.
Si vous procédez à la mise à niveau, les réglages de base actuels s’affichent au cours
du processus de configuration, mais vous pouvez les modifier. D’autres réglages, tels
que les points de partage que vous avez définis et les services que vous avez configurés, sont préservés. Pour obtenir une description des actions et des éléments à mettre
à niveau, reportez-vous à la section Mise à niveau et migration.
Vous ne pouvez réaliser qu’une seule fois la configuration initiale du serveur sans réinstaller ce dernier. Il existe toutefois d’autres moyens permettant de modifier les réglages
établis lors de la configuration. Vous pouvez par exemple utiliser Admin Serveur ou Utilitaire d’annuaire pour gérer les réglages Open Directory.
Chapitre 6 Configuration initiale du serveur
119
Spécification de l’utilisation initiale d’Open Directory
Durant la procédure de création d’une configuration avancée, vous devez indiquer
la façon dont le serveur stocke initialement les comptes utilisateur et d’autres informations de répertoire et comment il y accède. Vous devez choisir si le serveur se connecte
à un système de répertoire ou fonctionne comme un serveur autonome.
Après la configuration, vous pouvez soit créer ou modifier une connexion à un système de répertoire à l’aide d’Utilitaire d’annuaire, soit utiliser Admin Serveur pour
transformer le serveur en maître ou en réplique Open Directory afin de modifier les
réglages de service Open Directory du serveur. Pour plus d’informations sur la modification de services de répertoire, consultez la section Administration d’Open Directory.
Lors de la configuration initiale d’un serveur, vous spécifiez sa configuration de services de répertoire. Les options sont les suivantes :
 Aucune modification, option disponible uniquement lors de la mise à niveau à
partir de Mac OS X Server 10.4.10 ou 10.3.9.
 Serveur autonome, option utilisée pour configurer uniquement un domaine de
répertoire local sur le serveur.
 Connecté à un système de répertoire, option utilisée pour configurer le serveur
pour obtenir les informations de répertoire d’un domaine de répertoire partagé
déjà configuré sur un autre serveur.
Dans toutes ces situations, l’authentification Open Directory est configurée sur le serveur et utilisée par défaut pour tout nouvel utilisateur ajouté aux domaines résidant
sur le serveur.
Si vous configurez plusieurs serveurs et qu’un ou plusieurs d’entre eux hébergent
un répertoire partagé, configurez-les avant les serveurs qui utiliseront ces répertoires
partagés.
Remarque : si vous connectez Mac OS X Server 10. 5 à un domaine de répertoire
Mac OS X Server 10.2 ou antérieur, les utilisateurs définis dans l’ancien domaine de
répertoire ne peuvent pas être authentifiés avec la méthode MS-CHAPv2.
Cette méthode peut s’avérer nécessaire pour authentifier de manière sécurisée les utilisateurs pour le service VPN de Mac OS X Server 10.5. Open Directory prend en charge
l’authentification MS-CHAPv2 dans Mac OS X Server version 10.5, mais le serveur de mot
de passe de Mac OS X Server version 10.2 ne prend pas en charge cette authentification.
120
Chapitre 6 Configuration initiale du serveur
Après la configuration, utilisez si nécessaire les applications Utilitaire d’annuaire ou
Admin Serveur pour parachever la configuration de répertoire du serveur. Utilitaire
d’annuaire permet de configurer des connexions à plusieurs répertoires, y compris
Active Directory et d’autres systèmes de répertoires non Apple, et de spécifier une
stratégie de recherche (l’ordre dans lequel le serveur doit effectuer la recherche dans
les domaines). Admin Serveur permet de configurer des répliques d’un maître Open
Directory et de gérer les autres aspects de la configuration du service de répertoires
d’un serveur.
Administration d’Open Directory peut vous aider à choisir l’option de configuration d’utilisation de répertoire adaptée à vos besoins. Si vous effectuez une mise à niveau, le
meilleur choix est « Aucune modification ». Si vous configurez un nouveau serveur, le
plus simple est de choisir « Serveur autonome ». Après la configuration initiale du serveur, vous pouvez employer Utilitaire d’annuaire ou Admin Serveur pour ajuster et finaliser la configuration de répertoire.
Mise à jour sans changer l’utilisation de répertoire
Lorsque vous configurez un serveur en cours de mise à niveau de la version 10.2.8 ou
10.3.9 vers la version 10.5 et que vous souhaitez qu’il exploite la même configuration
de répertoire qu’auparavant, choisissez Aucune modification dans la sous-fenêtre Utilisation du répertoire d’Assistant du serveur.
Même lorsque vous souhaitez changer la configuration de répertoire du serveur, le
choix le plus sûr reste Aucune modification, en particulier si vous envisagez de modifier la configuration de répertoire partagé d’un serveur. Vous pouvez, par exemple,
passer de l’hébergement d’un répertoire à l’utilisation du répertoire partagé d’un autre
serveur et vice versa ou effectuer la migration d’un domaine NetInfo partagé vers LDAP.
Ces opérations de modification de l’utilisation du répertoire sont à réaliser après la configuration du serveur, de façon à préserver l’accès aux informations de répertoire relatives à votre réseau.
Pour plus d’informations sur les options d’utilisation de répertoire et sur la façon
d’employer Utilitaire d’annuaire et Admin serveur pour effectuer des modifications
de répertoire, consultez la section Administration d’Open Directory. Pour plus d’informations sur la manière de continuer à utiliser les données de répertoire existantes lorsque
vous modifiez les réglages de service de répertoire, consultez la section Mise à niveau et
migration.
Si vous choisissez l’option « Aucune modification » et que le serveur n’utilisait pas de
serveur de mot de passe, l’authentification Open Directory est configurée. Lorsque vous
ajoutez des utilisateurs à un domaine de répertoire Apple résidant sur le serveur, les
mots de passe sont validés par défaut en utilisant l’authentification Open Directory.
Chapitre 6 Configuration initiale du serveur
121
Configuration d’un serveur comme serveur autonome
Un serveur autonome stocke et lit les informations de compte dans son domaine de
répertoire local. Le serveur autonome utilise son domaine de répertoire local pour
authentifier les clients auprès de ses services de fichiers, de courrier électronique et
autres. Les autres serveurs et ordinateurs clients ne peuvent accéder au domaine de
répertoire local du serveur autonome.
L’authentification Open Directory est également configurée sur le serveur. Par défaut,
elle est utilisée lorsqu’un utilisateur est ajouté au domaine local.
Lorsqu’un utilisateur tente de se connecter au serveur ou d’utiliser l’un des services
réclamant une authentification, le serveur authentifie l’utilisateur en consultant la base
de données locale. Si l’utilisateur a un compte sur le système et fournit le mot de passe
correct, l’authentification aboutit.
Configuration d’un serveur pour la connexion à un système de
répertoire
S’il est connecté à un autre système de répertoire, votre serveur stocke les informations de compte et y accède dans le répertoire partagé d’un autre serveur et peut
utiliser l’autre système de répertoire pour authentifier les clients auprès des services
de fichiers, de courrier électronique et autres. Votre serveur peut également utiliser
son domaine de répertoire local pour les comptes et l’authentification.
Vous pouvez intégrer votre serveur dans une multitude de systèmes de répertoire en
choisissant l’une des options suivantes lors de la configuration :
 Serveur Open Directory : votre serveur peut utiliser LDAP pour stocker des informations sur un serveur Open Directory et y accéder. Avec cette option, vous devez connaître le nom DNS ou l’adresse IP du serveur Open Directory.
 Tel que spécifié par le serveur DHCP : votre serveur obtient les informations de connexion à un système de répertoire auprès d’un serveur DHCP. Le serveur DHCP doit
être configuré pour fournir l’adresse et la base de recherche d’un serveur LDAP (DHCP
option 95). Le service de répertoire et le service DHCP sont indépendants l’un par rapport à l’autre. Ils ne doivent pas forcément être fournis par le même serveur.
 Autre serveur de répertoire : si vous devez intégrer le serveur à un autre type de système de répertoire ou à plusieurs systèmes de répertoire, choisissez cette option et
configurez les connexions ultérieurement à l’aide de l’application Utilitaire d’annuaire.
Cette option permet d’intégrer votre serveur à quasiment tous les services de répertoire actuels, tels que Microsoft Active Directory, Novell eDirectory, un autre répertoire
non Apple ou un domaine NIS. Pour plus d’informations sur l’utilisation de l’Utilitaire
d’annuaire, consultez la section Administration d’Open Directory ou ouvrez l’Utilitaire
d’annuaire, puis utilisez le menu Aide.
122
Chapitre 6 Configuration initiale du serveur
Si vous configurez votre serveur afin qu’il se connecte à un serveur Open Directory disposant de Mac OS X Server version 10.3 ou antérieure, il se peut que vous ne puissiez
pas bénéficier de certaines fonctionnalités :
 Le service VPN nécessite l’authentification MS-CHAP2 qui n’est pas disponible avec
les versions 10.2 ou antérieures.
 Les répliques ne sont pas prises en charge par les versions 10.2 et antérieures.
 La configuration Kerberos est beaucoup plus complexe dans la version 10.2. En outre,
la synchronisation automatique de Kerberos et du serveur de mot de passe requiert
la version 10.3 ou ultérieure.
 Dans la version 10.3 et les versions antérieures, la liaison à des répertoires de confiance, la prise en charge des sous-domaines LDAP et les commandes d’Utilitaire
d’annuaire ne sont pas disponibles.
Utilisation de la configuration interactive de serveur
Le moyen le plus simple de configurer un petit nombre de serveurs est de faire appel
au processus d’Assistant du serveur, après avoir établi une connexion avec chacun des
serveurs tour à tour. Vous devez fournir les données de configuration des serveurs de
manière interactive, puis lancer immédiatement la configuration.La solution interactive
est intéressante si vous avez peu de serveurs à configurer. La méthode interactive permet de configurer un serveur local ou un ou plusieurs serveurs distants.
Pour exploiter cette démarche, ouvrez Assistant du serveur, connectez-vous à un ou
plusieurs serveurs cibles, fournissez les données de configuration, puis lancez immédiatement la configuration.
Il s’agit de la technique utilisée pour configurer un serveur local, comme décrit à la section « Configuration interactive d’un serveur local » à la page 124. Vous pouvez également utiliser cette méthode interactive pour configurer un serveur distant à partir d’un
ordinateur administrateur. Pour obtenir des instructions, consultez la section
« Configuration interactive d’un serveur distant » à la page 125.
Lorsque plusieurs serveurs distants peuvent utiliser les mêmes données de configuration, vous pouvez fournir ces données, puis lancer la configuration simultanée de tous
les serveurs au moyen d’un processus de configuration par lot. Si vous exécutez Assistant du serveur à partir d’un ordinateur d’administration pour configurer plusieurs serveurs, regroupez les configurations matérielles identiques. Par exemple, choisissez tous
les ordinateurs Intel Xserve ou tous les Mac mini G4.
Chapitre 6 Configuration initiale du serveur
123
Pour cette technique, représentée à gauche dans la figure ci-dessous, les identifiants
réseau de tous les serveurs cibles doivent être définis via DHCP ou BootP. Pour obtenir
des instructions, consultez la section « Configuration interactive d’un lot de serveurs
distants » à la page 127.
Bienvenue
Bienvenue
Bienvenue
Sous-réseau 1
Sous-réseau 2
Pour personnaliser la configuration de serveurs individuels, vous pouvez gérer chacune
d’elles séparément à partir d’une fenêtre distincte d’Assistant du serveur. Cette manière
de procéder est représentée à droite dans l’illustration ci-dessus. Pour obtenir des instructions, consultez la section « Configuration interactive d’un serveur distant » à la
page 125.
Bien que l’illustration précédente montre des serveurs cibles se trouvant sur le même sousréseau que l’ordinateur administrateur dans un cas et sur un sous-réseau différent dans
l’autre, les deux méthodes de configuration peuvent être employées indifféremment.
Si le serveur cible est sur un autre sous-réseau, vous devez fournir son adresse IP. Assistant du serveur affiche une liste contenant les serveurs situés sur le même sous-réseau,
afin que vous puissiez en sélectionner un ou plusieurs directement dans la liste.
Configuration interactive d’un serveur local
Après avoir installé le logiciel serveur sur un serveur, vous pouvez utilisez la méthode
interactive pour le configurer localement si vous avez la possibilité d’accéder physiquement à l’ordinateur.
Cette procédure s’applique à la configuration de serveur Avancée. Les instructions fournies ici ne sont pas compatibles avec les modes Standard et Groupe de travail.
124
Chapitre 6 Configuration initiale du serveur
Pour configurer de manière interactive un serveur local :
1 Remplissez la Feuille d’opérations avancée Mac OS X Server disponible dans l’annexe.
Pour des informations supplémentaires, reportez-vous à la section « Informations
nécessaires » à la page 117.
Assistant du serveur réapparaît au redémarrage du serveur.
2 Tapez les données de configuration notées sur la Feuille d’opérations avancée Mac OS X
Server au fur et à mesure de votre progression dans les sous-fenêtres de l’Assistant, en
suivant les instructions à l’écran.
Vérifiez que tout serveur DHCP ou DNS que doit employer le serveur que vous configurez est bien en cours d’exécution.
Une fois les données de configuration saisies, Assistant du serveur en affiche le résumé.
3 Révisez les données de configuration que vous avez saisies et, si nécessaire, cliquez sur
Revenir pour les modifier.
4 Pour enregistrer les données de configuration sous forme de fichier texte ou dans un
format utilisable pour une configuration automatique du serveur (un fichier de configuration ou une fiche de répertoire enregistré), cliquez sur Enregistrer sous.
Pour chiffrer un fichier de configuration ou un enregistrement de répertoire, sélectionnez « Enregistrer au format crypté », puis tapez et confirmez une phrase secrète. Vous
devez fournir la phrase secrète avant qu’un fichier de configuration chiffré puisse être
utilisé par un serveur cible.
5 Pour lancer la configuration du serveur local, cliquez sur Appliquer.
6 Au terme de la configuration du serveur, cliquez sur Redémarrer.
Vous pouvez maintenant ouvrir une session sous l’identité de l’administrateur créé
pendant la configuration, afin de configurer les services.
Configuration interactive d’un serveur distant
Une fois le logiciel serveur installé sur un serveur, vous pouvez utiliser la méthode interactive pour le configurer à distance à partir d’un ordinateur administrateur capable de
se connecter au serveur cible.
Pour configurer de manière interactive un serveur distant :
1 Remplissez la Feuille d’opérations avancée Mac OS X Server disponible dans l’annexe.
Pour obtenir des informations supplémentaires, reportez-vous à la section
« Informations nécessaires » à la page 117.
2 Assurez-vous que le serveur cible est en cours d’exécution.
3 Sur un ordinateur administrateur, ouvrez Assistant du serveur qui se trouve dans
/Applications/Server.
Vous n’avez pas besoin d’être administrateur sur l’ordinateur administrateur pour
utiliser l’Assistant du serveur.
Chapitre 6 Configuration initiale du serveur
125
4 Dans la sous-fenêtre Bienvenue, sélectionnez « Configurer un serveur distant » et
cliquez sur Continuer.
5 Dans la sous-fenêtre Destination, placez une coche dans la colonne Appliquer du
serveur distant à configurer, tapez son mot de passe prédéfini dans le champ Mot
de passe, puis cliquez sur Continuer pour vous connecter au serveur.
Si le serveur cible n’apparaît pas dans la liste, cliquez sur Ajouter pour l’ajouter ou
Actualiser pour voir s’il est disponible.
6 Sélectionnez la configuration de serveur Avancée.
7 Dans la sous-fenêtre Langue, choisissez la langue à employer pour administrer
le serveur cible.
8 Si vous utilisez des données de configuration enregistrées, procédez comme suit :
Dans la sous-fenêtre Langue, choisissez Fichier > Ouvrir le fichier de configuration ou
Fichier > Ouvrir la fiche de répertoire pour charger les données de configuration enregistrées à employer. Si les données de configuration enregistrées sont chiffrées, tapez
la phrase secrète lorsque vous y êtes invité.
Choisissez éventuellement Présentation > Aller à Revoir pour vérifier les données de
configuration, puis Revenir pour les modifier.
9 Si vous saisissez manuellement les données de configuration, procédez comme suit :
Cliquez sur Continuer et saisissez les données de configuration au fur et à mesure de
votre progression dans les sous-fenêtres de l’assistant, en suivant les instructions affichées, puis cliquez sur Continuer.
Vérifiez que tout serveur DHCP ou DNS que doit employer le serveur que vous configurez est bien en cours d’exécution.
10 Une fois toutes les données de configuration spécifiées, vérifiez le résumé affiché par
Assistant du serveur et cliquez si nécessaire sur Revenir pour modifier vos données.
11 Pour enregistrer les données de configuration sous forme de fichier texte ou dans un format utilisable pour une configuration automatique du serveur (en tant qu’enregistrement de répertoire ou fichier de configuration enregistré), cliquez sur Enregistrer sous.
Pour chiffrer un fichier de configuration ou un enregistrement de répertoire, sélectionnez « Enregistrer au format crypté », puis tapez une phrase secrète et confirmez-la.
Vous devez fournir la phrase secrète avant qu’un fichier de configuration chiffré puisse
être utilisé par un serveur cible.
12 Pour lancer la configuration du serveur cible distant, cliquez sur Appliquer.
13 Au terme de la configuration du serveur, cliquez sur Continuer.
Le serveur cible redémarre et vous pouvez ouvrir une session sous l’identité d’administrateur de serveur créée pendant la configuration, afin de configurer les services.
126
Chapitre 6 Configuration initiale du serveur
Configuration interactive d’un lot de serveurs distants
Vous pouvez employer la méthode interactive pour configurer un lot de serveurs si :
 tous les serveurs sont accessibles à partir d’un ordinateur administrateur;
 tous les serveurs utilisent le même type de processeur (Intel ou PowerPC, par exemple);
 tous les serveurs utilisent les même données de configuration, à l’exception du
numéro de série du logiciel serveur et des identités réseau (nom d’hôte, nom d’ordinateur et nom d’hôte local);
 les identités réseau sont fournies par un serveur DHCP ou BootP.
Si vous exécutez Assistant du serveur à partir d’un ordinateur d’administration pour
configurer plusieurs serveurs, regroupez les configurations matérielles identiques.
Choisissez par exemple tous les ordinateurs Intel Xserve ou tous les Mac mini G4.
Si plusieurs serveurs possèdent des fichiers de configuration différents, vous pouvez
ouvrir une nouvelle fenêtre Assistant du serveur pour chaque lot de serveurs. Cela permet de regrouper les serveurs par plateforme, par réglages, par sous-réseau ou par tout
autre critère de votre choix.
Pour configurer plusieurs serveurs distants de manière interactive, par lot :
1 Complétez la Feuille d’opérations avancée Mac OS X Server avec les réglages à utiliser
pour tous les serveurs que vous souhaitez configurer.
La Feuille d’opérations avancée Mac OS X Server se trouve sur le disque d’installation de
Mac OS X Server, dans le dossier Documentation. Pour des informations supplémentaires, reportez-vous à la section « Informations nécessaires » à la page 117. Dans la Préface sont indiqués les autres emplacements de la Feuille d’opérations avancée Mac OS X
Server.
2 Assurez-vous que les serveurs cibles et tous serveurs DHCP ou DNS qu’ils doivent
employer sont en cours d’exécution.
3 Sur un ordinateur administrateur capable de se connecter à tous les serveurs cibles,
ouvrez l’Assistant du serveur dans /Applications/Server/. Vous n’avez pas besoin d’être
administrateur sur l’ordinateur administrateur pour utiliser l’Assistant du serveur.
4 Dans la sous-fenêtre Bienvenue, sélectionnez « Configurer un serveur distant » et cliquez sur Continuer.
5 Dans la sous-fenêtre Destination, placez une coche dans la colonne Appliquer de chaque
serveur distant à configurer. Tapez ensuite le mot de passe prédéfini dans la case Mot de
passe de chaque serveur et cliquez sur Continuer pour vous connecter aux serveurs.
Si un serveur cible à configurer n’est pas dans la liste, cliquez sur Ajouter pour l’y ajouter.
6 Dans la sous-fenêtre Langue, choisissez la langue à employer pour administrer les serveurs cibles.
Chapitre 6 Configuration initiale du serveur
127
7 Si vous utilisez des données de configuration enregistrées, procédez comme suit :
Dans la sous-fenêtre Langue, choisissez Fichier > Ouvrir le fichier de configuration ou
Fichier > Ouvrir la fiche de répertoire pour charger les données de configuration enregistrées à employer. Si les données de configuration enregistrées sont chiffrées, tapez
la phrase secrète lorsque vous y êtes invité.
Choisissez éventuellement Présentation > Aller à Revoir pour vérifier les données de
configuration, puis Revenir pour les modifier.
8 Si vous saisissez manuellement les données de configuration, procédez comme suit :
Cliquez sur Continuer et saisissez les données de configuration au fur et à mesure de
votre progression dans les sous-fenêtres de l’assistant, en suivant les instructions affichées, puis cliquez sur Continuer.
Vérifiez que tout serveur DHCP ou DNS que doit employer le serveur que vous configurez est bien en cours d’exécution.
9 Une fois toutes les données de configuration spécifiées, vérifiez le résumé affiché par
Assistant du serveur et cliquez si nécessaire sur Revenir pour modifier vos données.
10 Pour enregistrer les données de configuration sous forme de fichier texte ou dans un format utilisable pour une configuration automatique du serveur (en tant qu’enregistrement de répertoire ou fichier de configuration enregistré), cliquez sur Enregistrer sous.
Pour chiffrer un fichier de configuration ou un enregistrement de répertoire, sélectionnez « Enregistrer au format crypté », puis tapez une phrase secrète et confirmez-la.
Vous devez fournir la phrase secrète avant qu’un fichier de configuration chiffré puisse
être utilisé par un serveur cible.
11 Pour démarrer la configuration du serveur, cliquez sur Appliquer.
12 Pour lancer la configuration du serveur cible distant, cliquez sur Appliquer.
13 Au terme de la configuration du serveur, cliquez sur Continuer.
Les serveurs cibles redémarrent et vous pouvez ouvrir une session sous l’identité de l’administrateur de serveur créé pendant la configuration, afin de configurer leurs services.
Utilisation de la configuration automatique de serveurs
Si vous devez configurer un nombre plus important de serveurs, pensez à utiliser la
configuration automatique de serveurs. Cette méthode permet également d’enregistrer les données de configuration afin de les réutiliser si vous devez réinstaller par la
suite le logiciel serveur.
La méthode automatique est utile lorsque :
 vous avez un nombre plus important de serveurs à configurer;
 vous souhaitez préparer la configuration de serveurs pas encore disponibles;
 vous souhaitez enregistrer des données de configuration à des fins de sauvegarde;
 vous devez réinstaller fréquemment des serveurs.
128
Chapitre 6 Configuration initiale du serveur
Pour utiliser la configuration automatique de serveurs, lancez Assistant du serveur afin
de spécifier des données de configuration pour chaque ordinateur ou lot d’ordinateurs
; enregistrez ensuite les données dans un fichier ou un répertoire afin de créer des données de configuration, comme indiqué dans l’illustration suivante :
Ordinateur administrateur
Données de configuration
dans un répertoire
Données de configuration
dans un fichier
Enfin, fournissez les données de configuration aux serveurs cibles. Pour fournir les
données, vous pouvez recourir à des méthodes différentes, telles que le stockage
des fichiers sur disque dur ou sur support amovible ou leur enregistrement dans des
entrées de répertoire. Par défaut, les données de configuration enregistrées sont chiffrées pour plus de sécurité.
Lors de son premier démarrage, le serveur recherche les données de configuration
automatique pour effectuer sa propre configuration avant de lancer Assistant réglages.
La configuration automatique du serveur implique deux étapes principales :
Étape 1 : Création des fichiers de données de configuration
Pour créer des fichiers de données de configuration, vous pouvez vous reporter aux
sections suivantes.
 « Données de configuration enregistrées dans un fichier » à la page 130.
 « Données de configuration enregistrées dans un répertoire » à la page 132.
 « Création et enregistrement de données de configuration » à la page 130.
 « Stockage de copies de sauvegarde des données de configuration enregistrées » à la
page 133.
Étape 2 : Mise à disposition des fichiers de données de configuration pour un serveur nouvellement installé
Les sections suivantes décrivent la mise à disposition des données pour les serveurs :
 « Procédure de recherche par un serveur de données de configuration enregistrées »
à la page 136.
 « Configuration automatique de serveurs avec des données enregistrées dans un
fichier » à la page 137.
 « Configuration automatique de serveurs avec des données enregistrées dans un
répertoire » à la page 140.
Chapitre 6 Configuration initiale du serveur
129
Création et enregistrement de données de configuration
Pour travailler à partir de données de configuration enregistrées, établissez une stratégie pour nommer, chiffrer, stocker et transférer les données.
Une manière de créer des données de configuration consiste à utiliser le mode hors connexion d’Assistant du serveur et à utiliser les données de configuration sans se connecter
à des serveurs particuliers. Spécifiez les données de configuration, puis enregistrez-les
dans un fichier ou un répertoire accessible à partir des serveurs cibles, comme indiqué
dans les deux sections qui suivent. Les serveurs cibles sur lesquels le logiciel Mac OS X
Server 10.5 a été installé détectent automatiquement la présence des données de données de configuration enregistrées et les utilisent pour se configurer eux-mêmes.
Vous pouvez définir des données de configuration génériques utilisables pour configurer n’importe quel serveur. Par exemple, vous pouvez définir des données de configuration génériques pour un serveur en commande, ou configurer 50 ordinateurs Xserve
qui doivent être configurés de manière identique. Vous pouvez également enregistrer
des données de configuration adaptées à un serveur en particulier.
Important : lorsque vous effectuez une mise à niveau, assurez-vous que les données de
configuration enregistrées ne sont pas détectées par inadvertance et utilisées par
le serveur. Si les données de configuration enregistrées sont utilisées, les réglages existants du serveur seront remplacés par les réglages enregistrés. Pour plus d’informations, reportez-vous à la section « Procédure de recherche par un serveur de données
de configuration enregistrées » à la page 136.
Données de configuration enregistrées dans un fichier
Lorsque vous enregistrez des données de configuration dans un fichier, un serveur
cible détecte ce fichier et l’utilise si :
 Les données de configuration détectées par le serveur cible ne se trouvent pas dans
un répertoire que le serveur peut exploiter. Pour plus d’informations sur la détection
et l’utilisation de données de répertoire par un serveur afin de se configurer luimême, reportez-vous à la section « Données de configuration enregistrées dans un
répertoire » à la page 132.
 Le fichier de configuration se trouve sur un volume monté localement dans
/Volumes/*/Auto Server Setup/, où * correspond à tout périphérique monté sous
/Volumes. Un serveur cible recherche dans les volumes par ordre alphabétique des
noms de périphériques.
Le périphérique monté comme système de fichiers peut être le disque dur du serveur, un iPod, un DVD, un CD, un disque FireWire, un disque USB ou tout autre périphérique connecté physiquement au serveur (par exemple, /Volumes/AdminiPod/
Auto Server Setup/monserveur.exemple.com.plist).
130
Chapitre 6 Configuration initiale du serveur
 Le nom du fichier de configuration est l’un de ceux qui suivent (lors de la recherche
de fichiers de configuration, les serveurs cibles recherchent les noms dans l’ordre
indiqué) :
<adresse-MAC-du-serveur>.plist (incluez les zéros au début, mais ignorez les deuxpoints ; par exemple, 0030654dbcef.plist).
<adresse-IP-du-serveur>.plist (par exemple, 10.0.0.4.plist).
<nom-DNS-partiel-du-serveur>.plist (par exemple, monserveur.plist).
<numéro-de-série-matériel-ordinateur>.plist (huit premiers caractères uniquement ;
par exemple, ABCD1234.plist).
<nom-DNS-complet-du-serveur>.plist (par exemple, monserveur.exemple.com.plist).
<adresse-IP-partielle-du-serveur>.plist (par exemple, 10.0.plist correspond à 10.0.0.4
et à 10.0.1.2).
generic.plist (fichier que tout serveur reconnaîtra, utilisé pour configurer les serveurs
qui nécessitent les mêmes valeurs de configuration). Si le numéro de série spécifié
dans le fichier n’est pas associé à une licence de site, vous devrez le définir manuellement après l’installation. Utilisez Admin Serveur ou la commande suivante dans
l’application Terminal : serversetup -setServerSerialNumber.
 La phrase secrète correcte est fournie au serveur quand les données de configuration sont chiffrées.
Vous pouvez employer l’Assistant du serveur pour fournir une phrase secrète de
manière interactive ou dans un fichier texte. Placez le fichier de phrase secrète sur un
volume monté localement sur le serveur cible, dans /Volumes/*/Auto Server Setup/
<fichier-phrase-secrète>.
Le fichier de phrase secrète peut porter l’un de ces noms. Les serveurs cibles recherchent les noms dans l’ordre suivant :
<adresse-MAC-du-serveur>.pass (incluez les zéros au début, mais ignorez les deuxpoints ; par exemple, 0030654dbcef.pass).
<adresse-IP-du-serveur>.pass (par exemple, 10.0.0.4.pass).
<nom-DNS-partiel-du-serveur>.pass (par exemple, monserveur.pass).
<numéro-de-série-matériel-ordinateur>.pass (huit premiers caractères uniquement ;
par exemple, ABCD1234.pass).
<nom-DNS-complet-du-serveur>.pass (par exemple, monserveur.exemple.com.pass).
<adresse-IP-partielle-du-serveur>.pass (par exemple, 10.0.pass correspond à 10.0.0.4
et à 10.0.1.2).
generic.pass (un fichier que tout serveur reconnaîtra). Si le numéro de série du logiciel serveur n’est pas associé à une licence de site, vous devrez le définir manuellement après l’installation. Utilisez Admin Serveur ou la commande suivante dans
Terminal : serversetup -setServerSerialNumber.
Chapitre 6 Configuration initiale du serveur
131
Si vous souhaitez réutiliser les données de configuration enregistrées après avoir réinstaller un serveur, vous pouvez stocker les fichiers de configuration du serveur dans une
petite partition locale qui ne sera pas effacée lorsque vous réinstallerez le serveur. Les
fichiers de configuration sont détectés et réutilisés après chaque réinstallation.
Données de configuration enregistrées dans un répertoire
Cette démarche requiert un minimum d’intervention pour configurer plusieurs
serveurs, mais nécessite la présence d’une infrastructure DHCP et de répertoires.
À l’aide d’Assistant du serveur, enregistrez les données de configuration dans un répertoire existant pour lequel l’ordinateur que vous utilisez est configuré et où les serveurs
récemment installés doivent lire les données de configuration. Le système du répertoire doit accepter les données de configuration enregistrées. Open Directory offre une
prise en charge intégrée des données de configuration stockées. Pour stocker des données de configuration dans un répertoire non Apple, vous devez d’abord étendre son
système (voir Administration d’Open Directory).
Lorsque vous enregistrez des données de configuration dans un répertoire, un serveur
cible les détecte et les utilise si :
 Le serveur cible obtient ses noms de réseau (nom d’hôte, nom d’ordinateur et nom
d’hôte local) ainsi que sa configuration de port à partir d’un serveur DHCP.
 Le serveur DHCP est configuré pour identifier l’adresse IP du serveur de répertoire où
sont stockées les données de configuration. Pour obtenir des instructions de configuration de serveur DHCP, consultez la section Administration des services de réseau.
 Les serveurs de répertoire et DHCP sont en cours d’exécution.
 Les données de configuration sont stockées dans le répertoire, sur le chemin d’accès
/AutoServerSetup/, et dans un enregistrement portant l’un des noms ci-dessous. Les
serveurs cibles recherchent ces noms dans l’ordre suivant :
<adresse-MAC-du-serveur>(incluez les zéros au début, mais ignorez les deux-points ;
par exemple, 0030654dbcef ).
<adresse-IP-du-serveur> (par exemple, 10.0.0.4).
<nom-DNS-partiel-du-serveur> (par exemple, monserveur).
<numéro-de-série-matériel-ordinateur> (huit premiers caractères uniquement ; par
exemple, ABCD1234).
<nom-DNS-complet-du-serveur> (par exemple, monserveur.exemple.com).
<adresse-IP-partielle-du-serveur> (par exemple, 10.0 correspond à 10.0.0.4 et à
10.0.1.2).
132
Chapitre 6 Configuration initiale du serveur
generic (enregistrement que tout serveur reconnaîtra, utilisé pour configurer les serveurs qui nécessitent les mêmes valeurs de configuration). Si le numéro de série spécifié dans le fichier n’est pas associé à une licence de site, vous devrez le définir
manuellement après l’installation. Utilisez Admin Serveur ou la commande suivante
dans l’application Terminal : serversetup -setServerSerialNumber.
 La phrase secrète correcte est fournie au serveur (les données de configuration stockées dans un répertoire doivent toujours être chiffrées).
Vous pouvez employer Assistant du serveur pour fournir une phrase secrète de
manière interactive ou dans un fichier texte. Placez le fichier de phrase secrète sur un
volume monté localement sur le serveur cible, dans /Volumes/*/Auto Server Setup/
<fichier-phrase-secrète>, où * correspond à tout périphérique monté sous /Volumes.
Un serveur cible recherche dans les volumes par ordre alphabétique des noms de
périphériques.
Le fichier de phrase secrète peut porter l’un des noms suivants. Les serveurs cibles
recherchent ces noms dans l’ordre suivant :
<adresse-MAC-du-serveur>.pass (incluez les zéros au début, mais ignorez les deuxpoints ; par exemple, 0030654dbcef.pass).
<adresse-IP-du-serveur>.pass (par exemple, 10.0.0.4.pass).
<nom-DNS-partiel-du-serveur>.pass (par exemple, monserveur.pass).
<numéro-de-série-matériel-ordinateur>.pass (huit premiers caractères uniquement ;
par exemple, ABCD1234.pass).
<nom-DNS-complet-du-serveur>.pass (par exemple, monserveur.exemple.com.pass).
<adresse-IP-partielle-du-serveur>.pass (par exemple, 10.0.pass correspond à 10.0.0.4
et à 10.0.1.2).
generic.pass (un fichier que tout serveur reconnaîtra). Si le numéro de série du logiciel serveur n’est pas associé à une licence de site, vous devrez le définir manuellement après l’installation. Utilisez Admin Serveur ou la commande suivante dans
Terminal : serversetup -setServerSerialNumber.
Stockage de copies de sauvegarde des données de configuration
enregistrées
Les données de configuration enregistrées ne servent pas uniquement à l’automatisation de la configuration de plusieurs serveurs. Elles permettent également de reconfigurer les serveurs si vous avez besoin de réinstaller le logiciel serveur.
Il est possible de conserver des copies de sauvegarde des fichiers de données de configuration sur un serveur de fichiers du réseau. De la même façon, vous pouvez stocker
les fichiers de données de configuration dans une partition locale qui ne sera pas effacée lorsque vous réinstallerez le logiciel serveur.
Chapitre 6 Configuration initiale du serveur
133
Utilisation du chiffrement avec des fichiers de données de configuration
Les données de configuration enregistrées sont chiffrées par défaut pour plus de sécurité.Avant qu’un serveur puisse s’autoconfigurer en utilisant des données chiffrées, il
doit pouvoir accéder à la phrase secrète employée lors du chiffrement des données.
La phrase secrète peut être fournie soit de manière interactive (en utilisant l’Assistant
du serveur), soit à partir d’un fichier sur un volume local du serveur cible. Vous pouvez
par exemple stocker le fichier avec la phrase secrète sur un iPod, puis connecter ce dernier à chacun des serveurs ayant besoin de la phrase secrète. Un serveur dont l’adresse
IP serait 10.0.0.4 utiliserait ainsi le fichier /Volumes/MyIPod/Auto Server Setup/
10.0.0.4.pass.
Transmission des fichiers de données de configuration aux serveurs
Utilisation de fichiers dans le système de fichiers
Lorsque vous placez un fichier de configuration sur un volume (CD, DVD, iPod, clé USB,
partition de disque) monté localement sur un serveur installé mais pas configuré, ce
dernier détecte le fichier et l’utilise pour se configurer.
Vous pouvez, par exemple, stocker plusieurs fichiers de configuration sur un iPod, puis
connecter l’iPod au premier serveur pour lequel existe un fichier de configuration,
comme le montre l’illustration suivante :
iPod
Vous pouvez ensuite connecter l’iPod au serveur suivant :
iPod
134
Chapitre 6 Configuration initiale du serveur
Chaque serveur reconnaît son propre fichier puisqu’il a été nommé en utilisant l’un de
ses identifiants et que son emplacement est connu. Ainsi, un serveur dont les huit premiers caractères du numéro de série seraient WXYZ1234 utiliserait le fichier suivant
pour s’autoconfigurer : /Volumes/MyIPod/Auto Server Setup/ WXYZ1234.plist. Une
autre solution consiste à utiliser l’adresse IP d’un serveur comme identifiant. Un serveur dont l’adresse IP est 10.0.0.4 utiliserait le fichier suivant : /Volumes/MyIPod/Auto
Server Setup/10.0.0.4.plist.
Vous pouvez également utiliser un seul fichier nommé « generic.plist » par exemple,
pour configurer plusieurs serveurs si les données de configuration n’ont pas besoin
d’être individualisées et que les identités réseau des serveurs sont fournies via DHCP.
Pour plus d’informations sur l’attribution d’un nom aux fichiers de configuration et sur
leur utilisation, consultez la section « Procédure de recherche par un serveur de données de configuration enregistrées » à la page 136.
Utilisation des réglages du répertoire
Le serveur cible peut également se configurer à l’aide de données de configuration
stockées dans un répertoire. Il doit alors être configuré pour accéder à ce dossier.
Bien que le stockage de données de configuration dans un dossier soit la manière la
plus automatisée de configurer plusieurs serveurs, cette approche suppose au préalable une infrastructure afin que les serveurs cibles puissent trouver les données de configuration stockées dans le répertoire.
Les composants essentiels de l’infrastructure sont les services DHCP et Open Directory,
comme le montre l’illustration ci-dessous :
Serveur Open Directory
Serveur DHCP
Le serveur Open Directory de cet exemple héberge un répertoire LDAP dans lequel ont
été enregistrées des données de configuration. L’adresse du serveur Open Directory est
abonnée au service DHCP, exécuté sur un autre serveur dans le cas présent. Le service
DHCP fournit l’adresse du serveur Open Directory aux serveurs cibles lorsqu’il affecte
des adresses IP à ces serveurs. Les serveurs cibles détectent les données de configuration qui ont été stockées à leur intention dans le répertoire LDAP et les utilisent pour
s’autoconfigurer.
Chapitre 6 Configuration initiale du serveur
135
Vous pouvez enregistrer les données de configuration dans un répertoire Apple OpenLDAP ou dans tout autre répertoire gérant le système d’extensions Apple pour les données de configuration enregistrées. Ce système d’extensions est présenté dans
Administration d’Open Directory.
Pour plus d’informations sur l’attribution d’un nom aux fichiers de configuration et sur
leur utilisation, consultez la section « Procédure de recherche par un serveur de données de configuration enregistrées » à la page 136.
Procédure de recherche par un serveur de données de configuration
enregistrées
Un serveur récemment installé se règle lui-même en se basant sur les données de configuration enregistrées via la séquence de recherche ci-après. Lorsque le serveur trouve
des données de configuration correspondant aux critères décrits, il interrompt la
recherche et utilise ces données pour se configurer.
1 Le serveur recherche des fichiers de configuration sur les volumes montés localement,
dans /Volumes/*/Auto Server Setup/, où * est un nom de système de fichiers.
Il effectue une recherche alphabétique dans les volumes par nom de périphérique, en
recherchant un fichier portant l’extension « .plist » et nommé à l’aide de son adresse
MAC, son adresse IP, son nom DNS partiel, son numéro de série de matériel intégré, son
nom DNS complet, son adresse IP partielle ou generic.plist, dans cet ordre.
2 Le serveur recherche ensuite dans un répertoire, pour lequel il est configuré, un enregistrement de configuration, dans un chemin d’accès nommé « AutoServerSetup ».
Il recherche les enregistrements nommés à l’aide de son adresse MAC, son adresse IP,
son nom DNS partiel (monserveur), son numéro de série de matériel intégré, son nom
DNS complet (monserveur.exemple.com), son adresse IP partielle ou « generic », dans
cet ordre.
Si les données de configuration sont chiffrées, le serveur a besoin de la phrase secrète
correcte avant de pouvoir effectuer ses réglages. Vous pouvez employer l’Assistant du
serveur pour fournir la phrase secrète de manière interactive ou bien vous pouvez la
fournir dans un fichier texte stocké dans /Volumes/*/Auto Server Setup/<fichierphrase-secrète>.
Le serveur cible effectue une recherche alphabétique dans les volumes par nom de système de fichiers, en recherchant un fichier portant l’extension « .pass » et nommé à
l’aide de son adresse MAC, son adresse IP, son nom DNS partiel, son numéro de série de
matériel intégré, son nom DNS complet, son adresse IP partielle ou generic.plist, dans
cet ordre.
Important : lorsque vous effectuez une mise à niveau, assurez-vous que les données de
configuration enregistrées ne sont pas détectées par inadvertance et utilisées par
le serveur que vous mettez à niveau. Si des données de configuration enregistrées sont
utilisées, les réglages existants du serveur sont remplacés par les réglages enregistrés.
136
Chapitre 6 Configuration initiale du serveur
Les deux sections suivantes fournissent plus de détails sur la manière d’utiliser des
données de configuration enregistrées.
Configuration automatique de serveurs avec des données enregistrées dans un fichier
Une fois le logiciel serveur installé sur un serveur, vous pouvez le configurer automatiquement en utilisant des données enregistrées dans un fichier.
Pour enregistrer et appliquer les données de configuration à partir d’un fichier :
1 Complétez la Feuille d’opérations avancée Mac OS X Server pour chaque serveur à configurer.
La Feuille d’opérations avancée Mac OS X Server est disponible dans l’annexe.
2 Sur un ordinateur administrateur, ouvrez Assistant du serveur qui se trouve dans
/Applications/Server.
Vous n’avez pas besoin d’être administrateur sur l’ordinateur administrateur pour
utiliser l’Assistant du serveur.
3 Dans la sous-fenêtre Bienvenue, sélectionnez « Enregistrer les infos de configuration
avancées dans un fichier ou une fiche de répertoire » pour travailler en mode hors
connexion (connexion serveur inutile).
4 Dans la sous-fenêtre Langue, choisissez la langue à employer pour administrer les serveurs cibles.
5 Si vous voulez créer un fichier de configuration, passez à l’étape 6. Pour utiliser un
fichier de configuration existant, passez à l’étape 7.
Si vous comptez créer un fichier de configuration générique pour configurer plusieurs
serveurs, prenez soin de ne pas spécifier de noms de réseau (nom d’ordinateur et nom
d’hôte local) et assurez-vous que chaque interface réseau (port) est réglée pour être
configurée « Via DHCP » ou « Via BootP ».
6 Cliquez sur Continuer et saisissez les données de configuration au fur et à mesure de votre
progression dans les sous-fenêtres de l’Assistant, en suivant les instructions affichées.
7 Dans la sous-fenêtre Langue, choisissez Fichier > Ouvrir le fichier de configuration ou
Fichier > Ouvrir la fiche de répertoire pour charger les données de configuration enregistrées sur lesquelles vous voulez travailler. Si les données de configuration enregistrées sont chiffrées, tapez la phrase secrète lorsque vous y êtes invité.
Choisissez éventuellement Présentation > Aller à Revoir pour vérifier les données de
configuration, puis Revenir pour les modifier.
8 Dans la sous-fenêtre Interfaces de réseau, cliquez sur Ajouter pour spécifier les interfaces de réseau.
9 Une fois les données de configuration spécifiées, vérifiez le résumé affiché par Assistant du serveur et cliquez si nécessaire sur Revenir pour modifier les données.
10 Cliquez sur Enregistrer sous, puis sélectionnez Fichier de configuration.
Chapitre 6 Configuration initiale du serveur
137
11 Pour chiffrer le fichier, sélectionnez « Enregistrer au format crypté », puis tapez une
phrase secrète et confirmez-la.
Vous devez fournir la phrase secrète avant qu’un fichier de configuration chiffré puisse
être utilisé par un serveur cible.
12 Cliquez sur OK, accédez à l’emplacement de destination du fichier, attribuez un nom
au fichier en utilisant l’une des options suivantes, puis cliquez sur Enregistrer.
Lors de la recherche de fichiers de configuration, les serveurs cibles recherchent les
noms dans l’ordre indiqué :
<adresse-MAC-du-serveur>.plist (incluez les zéros au début, mais ignorez les deuxpoints ; par exemple, 0030654dbcef.plist).
<adresse-IP-du-serveur>.plist (par exemple, 10.0.0.4.plist).
<nom-DNS-partiel-du-serveur>.plist (par exemple, monserveur.plist).
<numéro-de-série-matériel-du-serveur>.plist (huit premiers caractères uniquement ;
par exemple, ABCD1234.plist).
<nom-DNS-complet-du-serveur>.plist (par exemple, monserveur.exemple.com.plist).
<adresse-IP-partielle-du-serveur>.plist (par exemple, 10.0.plist correspond à 10.0.0.4
et à 10.0.1.2).
generic.plist (fichier que tout serveur reconnaîtra, utilisé pour configurer les serveurs
qui nécessitent les mêmes valeurs de configuration).
13 Placez le fichier dans un emplacement où les serveurs cibles peuvent le détecter.
Un serveur peut détecter un fichier de configuration s’il réside sur un volume monté
localement dans /Volumes/*/Auto Server Setup/, où * correspond à tout périphérique
monté sous /Volumes. Il peut s’agir du disque dur du serveur ou d’un iPod, d’un DVD,
d’un CD, d’un disque FireWire, d’un disque USB ou de tout autre périphérique connecté au serveur.
Par exemple, si vous possédez un iPod nommé AdminiPod, le chemin d’accès utilisé
sera /Volumes/AdminiPod/Auto Server Setup/<nom-fichier-configuration>.
14 Si les données de configuration sont chiffrées, rendez la phrase secrète accessible aux
serveurs cibles.
Vous pouvez fournir la phrase secrète de manière interactive, à l’aide de l’Assistant du
serveur ou dans un fichier texte.
Pour fournir la phrase secrète dans un fichier, suivez l’étape 15. Pour la fournir de
manière interactive, passez à l’étape 16.
15 Pour fournir une phrase secrète dans un fichier, créez un fichier texte, tapez la phrase
secrète du fichier de configuration enregistré sur la première ligne, puis enregistrez le
fichier sous l’un des noms suivants (lors de la recherche de fichiers de configuration,
les serveurs cibles recherchent ces noms dans l’ordre indiqué).
138
Chapitre 6 Configuration initiale du serveur
<adresse-MAC-du-serveur>.pass (incluez les zéros au début, mais ignorez les deuxpoints ; par exemple, 0030654dbcef.pass).
<adresse-IP-du-serveur>.pass (par exemple, 10.0.0.4.pass).
<nom-DNS-partiel-du-serveur>.pass (par exemple, monserveur.pass).
<numéro-de-série-matériel-du-serveur>.pass (huit premiers caractères uniquement ;
par exemple, ABCD1234.pass).
<nom-DNS-complet-du-serveur>.pass (par exemple, monserveur.exemple.com.pass).
<adresse-IP-partielle-du-serveur>.pass (par exemple, 10.0.pass correspond à 10.0.0.4 et
à 10.0.1.2).
generic.pass (un fichier que tout serveur reconnaîtra).
Enregistrez le fichier de phrase secrète sur un volume monté localement sur le serveur
cible, dans /Volumes/*/Auto Server Setup/<fichier-phrase-secrète>, où * correspond à
tout périphérique monté sous /Volumes.
16 Pour fournir de manière interactive une phrase secrète, utilisez l’Assistant du serveur
sur un ordinateur administrateur capable de se connecter au serveur cible.
a Dans la sous-fenêtre Bienvenue ou Destination, choisissez Fichier > Fournir la
phrase secrète.
b Dans la zone de dialogue, tapez l’adresse IP, le mot de passe et la phrase secrète
du serveur cible.
c Cliquez sur Envoyer.
17 Si vous utilisez un fichier de configuration générique et que le numéro de série ne correspond pas à une licence de site, vous devez, après la configuration, saisir le numéro
de série du serveur à l’aide d’Admin Serveur ou de la ligne de commande.
Dans Admin Serveur, sélectionnez le serveur, cliquez sur Réglages, puis sur Général.
Vous pouvez également utiliser ssh dans l’application Terminal, afin de vous connecter
au serveur et saisir la commande serversetup -setServerSerialNumber.
Pour une description de la disposition d’un fichier de configuration enregistré et pour
en savoir plus sur la commande serversetup, consultez la section Administration de
ligne de commande.
Chapitre 6 Configuration initiale du serveur
139
Configuration automatique de serveurs avec des données enregistrées dans un répertoire
Une fois le logiciel serveur installé sur un serveur, vous pouvez le configurer automatiquement en utilisant des données enregistrées dans un répertoire. Cette méthode
nécessite un répertoire et une infrastructure DHCP en place, comme dans la procédure
ci-dessous.
Pour enregistrer et appliquer des données de configuration dans une fiche de
répertoire :
1 Assurez-vous que le répertoire dans lequel vous souhaitez enregistrer les données de
configuration existe, que son système accepte les données de configuration enregistrées et qu’il est accessible à partir de votre ordinateur administrateur.
Administration d’Open Directory décrit la configuration et l’accès aux répertoires. Il présente également le système pour les données de configuration enregistrées. La gestion des données de configuration enregistrées est intégrée aux répertoires Apple
OpenLDAP mais le système des autres répertoires doit être étendu pour accepter ce
type de données.
2 Complétez la Feuille d’opérations avancée Mac OS X Server pour chaque serveur à configurer.
La Feuille d’opérations avancée Mac OS X Server est disponible dans l’annexe.
3 Sur un ordinateur administrateur, ouvrez Assistant du serveur dans /Applications/Server.
Vous n’avez pas besoin d’être administrateur sur l’ordinateur administrateur pour utiliser l’Assistant du serveur.
4 Dans la sous-fenêtre Bienvenue, sélectionnez « Enregistrer les infos de configuration
avancées dans un fichier ou une fiche de répertoire » pour travailler en mode hors connexion (connexion serveur inutile).
5 Dans la sous-fenêtre Langue, choisissez la langue à employer pour administrer les serveurs cibles.
6 Si vous voulez créer une nouvelle configuration, passez à l’étape 7. Pour travailler avec
une configuration existante, passez à l’étape 8.
Si vous créez des données de configuration génériques, prenez soin de ne pas spécifier
de noms de réseau (nom d’ordinateur et nom d’hôte local) et assurez-vous que l’interface réseau (port) est définie pour être configurée « Via DHCP » ou « Via BootP ».
7 Cliquez sur Continuer et saisissez les données de configuration au fur et à mesure de votre
progression dans les sous-fenêtres de l’Assistant, en suivant les instructions affichées.
140
Chapitre 6 Configuration initiale du serveur
8 Dans la sous-fenêtre Langue, choisissez Fichier > Ouvrir le fichier de configuration ou
Fichier > Ouvrir la fiche de répertoire pour charger les données de configuration enregistrées sur lesquelles vous voulez travailler.
Si les données de configuration enregistrées sont chiffrées, tapez la phrase secrète
lorsque vous y êtes invité.
Choisissez éventuellement Présentation > Aller à Revoir pour vérifier les données de
configuration, puis Revenir pour les modifier.
9 Dans la sous-fenêtre Interfaces de réseau, cliquez sur Ajouter pour spécifier les interfaces de réseau.
10 Une fois toutes les données de configuration spécifiées, vérifiez le résumé affiché par
Assistant du serveur et cliquez si nécessaire sur Revenir pour modifier vos données.
11 Cliquez sur Enregistrer sous, puis sélectionnez Fiche de répertoire.
12 Pour chiffrer le fichier, sélectionnez « Enregistrer au format crypté », puis tapez une
phrase secrète et confirmez-la.
Avant qu’un enregistrement de répertoire chiffré soit utilisable par un serveur cible,
vous devez fournir la phrase secrète.
13 Spécifiez le répertoire dans lequel vous souhaitez enregistrer la configuration, puis cliquez sur OK. À l’invite, saisissez les informations requises pour vous authentifier en tant
qu’administrateur de domaine de répertoire.
Les réglages sont enregistrés dans le répertoire dans AutoServerSetup.
Les serveurs cibles recherchent les noms d’enregistrement dans l’ordre suivant :
<adresse-MAC-du-serveur>(incluez les zéros au début, mais ignorez les deux-points ;
par exemple, 0030654dbcef ).
<adresse-IP-du-serveur> (par exemple, 10.0.0.4).
<nom-DNS-partiel-du-serveur> (par exemple, monserveur).
<numéro-de-série-matériel-ordinateur> (huit premiers caractères uniquement ; par
exemple, ABCD1234).
<nom-DNS-complet-du-serveur> (par exemple, monserveur.exemple.com).
<adresse-IP-partielle-du-serveur> (par exemple, 10.0 correspond à 10.0.0.4 et à 10.0.1.2).
generic (enregistrement que tout serveur reconnaîtra, utilisé pour configurer les serveurs qui nécessitent les mêmes valeurs de configuration).
14 Assurez-vous que l’infrastructure correcte est en place de façon à ce que les serveurs
devant employer la fiche de configuration stockée puissent la retrouver.
Le serveur de répertoire stockant la fiche de configuration doit être en cours d’exécution. Le protocole DHCP doit être configuré pour identifier le serveur de répertoire
auprès des serveurs cibles via l’Option 95. De plus, il faudra éventuellement configurer
le DNS si vos données de répertoire comportent des noms DNS.
Chapitre 6 Configuration initiale du serveur
141
Pour plus d’informations sur l’infrastructure, consultez la section « Définition de l’infrastructure minimale pour la configuration du serveur » à la page 31. Administration
d’Open Directory et Administration des services de réseau fournissent des instructions
de configuration des répertoires et de DHCP.
15 Si les données de configuration sont chiffrées, rendez la phrase secrète accessible
aux serveurs cibles.
Vous pouvez fournir la phrase secrète de manière interactive, à l’aide de l’Assistant
du serveur ou dans un fichier texte.
Pour fournir la phrase secrète dans un fichier, suivez l’étape 16. Pour la fournir de
manière interactive, passez à l’étape 17.
16 Pour fournir une phrase secrète dans un fichier, créez un fichier texte, tapez la phrase
secrète du fichier de configuration enregistré sur la première ligne, puis enregistrez
le fichier sous l’un des noms suivants :
Les serveurs cibles recherchent ces noms dans l’ordre suivant :
<adresse-MAC-du-serveur>.pass (incluez les zéros au début, mais ignorez les deuxpoints ; par exemple, 0030654dbcef.pass).
<adresse-IP-du-serveur>.pass (par exemple, 10.0.0.4.pass).
<nom-DNS-partiel-du-serveur>.pass (par exemple, monserveur.pass).
<numéro-de-série-matériel-ordinateur>.pass (huit premiers caractères uniquement ;
par exemple, ABCD1234.pass).
<nom-DNS-complet-du-serveur>.pass (par exemple, monserveur.exemple.com.pass).
<adresse-IP-partielle-du-serveur>.pass (par exemple, 10.0.pass correspond à 10.0.0.4 et
à 10.0.1.2).
generic.pass (un fichier que tout serveur reconnaîtra).
Placez le fichier de phrase secrète sur un volume monté localement sur le serveur cible,
dans /Volumes/*/Auto Server Setup/<fichier-phrase-secrète>, où * correspond à tout
périphérique monté sous le répertoire /Volumes.
17 Pour fournir de manière interactive une phrase secrète, utilisez l’Assistant du serveur
sur un ordinateur administrateur capable de se connecter au serveur cible.
a Dans la sous-fenêtre Bienvenue ou Destination, choisissez Fichier > Fournir la phrase
secrète.
b Dans la zone de dialogue, tapez l’adresse IP, le mot de passe et la phrase secrète du
serveur cible.
c Cliquez sur Envoyer.
18 Si vous utilisez une fiche de configuration générique et que le numéro de série du serveur
ne correspond pas à une licence de site, vous devez indiquer le numéro de série du serveur à l’aide d’Admin Serveur ou de la ligne de commande à l’issue de la configuration.
142
Chapitre 6 Configuration initiale du serveur
Dans Admin Serveur, sélectionnez le serveur, cliquez sur Réglages, puis sur Général.
Pour utiliser la ligne de commande, utilisez ssh dans l’application Terminal afin de vous
connecter au serveur et saisissez la commande serversetup -setServerSerialNumber.
Pour une description du système de données de configuration enregistrées dans un
répertoire, consultez la section Administration d’Open Directory. Pour plus d’informations sur serversetup, consultez la section Administration de ligne de commande.
Détermination de l’état des configurations
Lorsque la configuration est terminée, le serveur redémarre et affiche la fenêtre d’ouverture de session. Si la configuration échoue, vous en serez informé de plusieurs façons.
Utilisation de la sous-fenêtre Destination pour les informations d’état
de configuration
L’Assistant du serveur affiche les informations d’erreurs dans sa sous-fenêtre Destination. Pour y accéder, dans la sous-fenêtre Bienvenue, sélectionnez « Configurer un serveur distant » et cliquez sur Continuer.
Si le serveur ne figure pas dans la liste, cliquez sur Ajouter. Sélectionnez le serveur et
examinez les informations affichées.
Vous pouvez enregistrer une liste de serveurs à contrôler dans la sous-fenêtre Destination, en choisissant Fichier > Enregistrer la liste de serveurs. Lorsque vous souhaitez surveiller l’état de ces serveurs, utilisez Fichier > Charger la liste de serveur.
Gestion des échecs de configuration
Lorsqu’une configuration de serveur échoue, un historique d’erreurs est créé dans /Système/Bibliothèque/ServerSetup/Configured/POR.err sur le serveur cible.Le contenu de
cet historique peut être affiché et le fichier d’historique effacé sur un ordinateur administrateur distant.
Double-cliquez sur l’icône d’erreur d’un serveur dans la sous-fenêtre Destination de
l’Assistant du serveur. Si vous y êtes invité, fournissez le mot de passe prédéfini et cliquez sur Envoyer.
Le contenu de l’historique est affiché et vous pouvez cliquer sur Supprimer pour effacer le fichier d’historique. La configuration ne peut pas être redémarrée tant que ce
fichier n’a pas été effacé.
Chapitre 6 Configuration initiale du serveur
143
Si la configuration échoue parce qu’un fichier de phrase secrète est introuvable lors de
l’utilisation de données de configuration enregistrées dans un fichier ou une fiche de
répertoire, vous pouvez :
 Utiliser l’Assistant du serveur pour indiquer de manière interactive une phrase
secrète. Dans la sous-fenêtre Destination, choisissez Fichier > Fournir la phrase
secrète.
 Indiquer la phrase secrète dans un fichier texte. Placez le fichier de phrase secrète
sur un volume monté localement sur le serveur cible, dans /Volumes/*/Auto Server
Setup/<fichier-phrase-secrète>, où * correspond à tout périphérique monté sous /
Volumes. Un serveur cible recherche dans les volumes par ordre alphabétique des
noms de périphériques.
Si la configuration d’un serveur distant échoue pour une raison ou une autre, réinstallez le logiciel serveur et recommencez la configuration initiale.
Si la configuration d’un serveur local échoue, redémarrez l’ordinateur, exécutez de nouveau Assistant du serveur, puis redémarrez la configuration. Vous pouvez également
réinstaller le logiciel serveur.
Gestion des avertissements de configuration
Lorsque la configuration est terminée, mais qu’il existe une condition nécessitant votre
attention, un historique d’avertissement est créé dans /Bibliothèque/Logs/ServerAssistant.POR.status sur le serveur cible. Cliquez sur le lien ServerAssistant.status sur le
bureau du serveur cible afin d’ouvrir ce fichier.
Voici quelques-uns des messages que vous pouvez rencontrer dans l’historique :
 Le numéro de série du logiciel serveur n’est pas valide. Ouvrez Admin Serveur, sélectionnez le serveur dans la liste Serveurs, cliquez sur Réglages, puis sur Général. Tapez
le numéro de série correct, puis cliquez sur Enregistrer.
 Étant donné que ce serveur a été configuré avec un fichier ou un enregistrement de
répertoire générique et que le numéro de série ne correspond pas à une licence de
site, vous devez saisir le numéro de série du logiciel serveur à l’aide d’Admin Serveur.
Ouvrez Admin Serveur, sélectionnez le serveur dans la liste Serveurs, cliquez sur Réglages, puis sur Général. Tapez le numéro de série correct, puis cliquez sur Enregistrer.
 L’administrateur de serveur défini dans les données de configuration existe déjà sur
le serveur que vous avez mis à niveau.
Obtention d’informations d’état sur l’installation de la mise à niveau
Lorsque vous effectuez une mise à niveau, des fichiers d’historique peuvent être enregistrés sur le serveur cible. Pour plus d’informations sur les historiques de mise à niveau,
reportez-vous aux informations de mise à niveau dans Mise à niveau et migration.
144
Chapitre 6 Configuration initiale du serveur
Configuration des services
Après avoir défini une configuration avancée, vous devez configurer les services à l’aide
d’Admin serveur et ajouter des utilisateurs et des groupes à l’aide de Gestionnaire de
groupe de travail.
Les sections suivantes abordent la configuration initiale de services individuels et vous
indiquent où trouver des instructions pour personnaliser les services en fonction de
vos besoins.
Ajout de services à l’affichage Serveur
Pour pouvoir configurer un service, vous devez l’ajouter à l’affichage des serveurs dans
Admin Serveur. Par défaut, aucun service n’est affiché pour votre serveur. Au fur et à
mesure que vous sélectionnez des services à administrer, les sous-fenêtres de configuration adéquates deviennent disponibles dans une liste sous le nom de votre ordinateur.
La première fois que vous lancez Admin serveur et que vous vous connectez à un serveur nouvellement installé, vous êtes invité à sélectionner les services à installer et à
configurer sur ce serveur. Les services que vous sélectionnez dans la liste sont affichés
au fur et à mesure sous le nom d’hôte du serveur dans la liste des serveurs.
Pour pouvoir être activé ou configuré, un service doit être ajouté à la liste des services
administrés.
Pour changer de services à administrer :
1 Ouvrez Admin Serveur.
2 Sélectionnez un serveur, cliquez sur le bouton Réglages dans la barre d’outils, puis
cliquez sur l’onglet Services.
3 Cochez la case de chaque service à activer.
Configuration d’Open Directory
À moins que votre serveur ne doive être intégré au système de répertoire d’un autre
fabricant ou que l’architecture de répertoire d’un serveur que vous mettez à niveau
doive être immédiatement modifiée, vous pouvez commencer à utiliser immédiatement les répertoires que vous avez configurés pendant la configuration du serveur.
Administration d’Open Directory fournit des instructions concernant tous les aspects
de la configuration de l’authentification et des domaines Open Directory, y compris :
 la configuration de l’accès d’un ordinateur client à des données de répertoire partagé ;
 la réplique de répertoires LDAP et des informations d’authentification de maîtres
Open Directory ;
 l’intégration avec Active Directory et d’autres répertoires non Apple ;
 la configuration de la signature unique ;
 l’utilisation de Kerberos et d’autres techniques d’authentification.
Chapitre 6 Configuration initiale du serveur
145
Configuration de la gestion des utilisateurs
À moins d’utiliser un serveur exclusivement pour héberger du contenu Internet
(comme des pages web) ou pour créer une grappe de calcul, vous serez probablement
amené à configurer des comptes d’utilisateur en plus du ou des comptes d’administrateur créés lors de la configuration du serveur.
Gestion des utilisateurs vous explique comment utiliser Gestionnaire de groupe de travail pour établir une connexion au répertoire, définir les réglages d’utilisateur, configurer des comptes de groupe et des listes d’ordinateurs, définir des préférences gérées
ou importer des comptes.
Pour configurer un compte utilisateur :
1 Ouvrez le Gestionnaire de groupe de travail.
2 Authentifiez-vous en tant qu’administrateur de répertoire auprès du répertoire.
3 Dans la partie supérieure de la fenêtre de l’application, cliquez sur le bouton Comptes
pour sélectionner le répertoire auquel ajouter des utilisateurs.
4 Cliquez sur le bouton Nouvel utilisateur.
5 Spécifiez les réglages d’utilisateur dans les différentes sous-fenêtres.
Vous pouvez configurer des comptes d’utilisateur en utilisant le Gestionnaire de groupe
de travail pour importer les réglages à partir d’un fichier.
Configuration des services de fichiers
Lorsque vous activez les services de partage de fichiers, les utilisateurs peuvent partager des éléments dans les dossiers sélectionnés. Activez et configurez les services de
fichiers et les points de partage à l’aide d’Admin Serveur. Dans les versions de Mac OS X
Server antérieures à Leopard Server, les points de partage étaient créés à l’aide de Gestionnaire de groupe de travail. Depuis lors, cette fonctionnalité a été dévolue à Admin
Serveur.
Administration des services de fichier fournit des instructions de gestion des points de
partage et de configuration du partage de fichiers avec tous les protocoles.
Pour configurer le partage de fichiers :
1 Ouvrez Admin Serveur.
2 Sélectionnez un serveur, cliquez sur le bouton Réglages dans la barre d’outils, puis cliquez sur l’onglet Services.
3 Cochez la case appropriée pour chaque service de fichiers à activer.
Pour partager des fichiers avec des ordinateurs Macintosh, activez le service de fichiers
Apple (service AFP).
Pour partager des fichiers avec des ordinateurs Windows, activez le service SMB.
Pour fournir l’accès File Transfer Protocol (FTP), activez le service FTP.
146
Chapitre 6 Configuration initiale du serveur
Pour un partage avec des ordinateurs UNIX, activez le service NFS.
4 Sélectionnez Partage de fichiers dans la barre d’outils.
5 Sélectionnez un volume ou un dossier à partager.
6 Sélectionnez « Partager cet élément » pour chaque dossier ou volume à partager.
7 Cliquez sur les autres onglets afin de spécifier des attributs pour le point de partage.
Configuration du service d’impression
Lorsque vous activez le service d’impression, les utilisateurs de serveurs peuvent partager des imprimantes réseau PostScript ou des imprimantes PostScript et non PostScript
connectées directement au serveur.
Une file d’attente est configurée automatiquement pour toute imprimante USB connectée au serveur. Aucune file d’imprimante n’est automatiquement configurée pour
les imprimantes réseau, mais il est facile d’en ajouter.
Pour configurer une file d’imprimante partagée :
1 Ouvrez Admin Serveur.
2 Sélectionnez un serveur, cliquez sur le bouton Réglages dans la barre d’outils, puis
cliquez sur l’onglet Services.
3 Cochez la case Service d’impression.
4 Dans la liste située sous le serveur, sélectionnez Service d’impression.
Si le service n’est pas en cours d’exécution, cliquez sur le bouton de démarrage
du service.
5 Cliquez sur Files d’attente.
6 Cliquez sur le bouton Ajouter (+).
7 Choisissez un protocole de connexion, identifiez une imprimante, puis cliquez sur OK.
Les utilisateurs d’ordinateurs Mac OS X peuvent à présent ajouter l’imprimante à l’aide
de Configuration d’imprimante.
Pour plus d’informations sur la configuration des services d’impression, consultez la
section Administration du service d’impression.
Chapitre 6 Configuration initiale du serveur
147
Configuration de service web
Vous pouvez utiliser le serveur HTTP Apache fourni avec Mac OS X Server pour héberger des sites web d’utilisateurs ou de serveur.
Si vous avez activé le service web dans Assistant du serveur, votre serveur est prêt à
fournir des pages HTML à partir de dossiers du serveur et de dossiers d’utilisateurs.
 Pour visualiser le site de serveur principal, ouvrez un navigateur web sur un ordinateur ayant accès au serveur et tapez l’adresse IP ou le nom de domaine du serveur.
 Pour visualiser le site d’un utilisateur, ajoutez une barre oblique (/), un tilde (~) et
le diminutif de l’utilisateur après l’adresse du serveur. Par exemple, tapez
http://192.268.2.1/~utilisateur
Pour activer le service web s’il n’est pas en cours d’exécution :
1 Si vous disposez des fichiers HTML de votre site principal, copiez-les dans le dossier
Documents du répertoire /Bibliothèque/WebServer.
Si les fichiers de votre site sont organisés en dossiers, copiez la structure des dossiers
entière dans le dossier Documents.
Dans le cas d’un site d’utilisateur, les fichiers sont placés dans le dossier Sites du dossier de départ de l’utilisateur.
Assurez-vous que les fichiers et les dossiers de contenu web possèdent les autorisations et les options de propriétaire requises. Pour un accès web normal ou un accès
WebDAV en lecture seule, les fichiers doivent pouvoir être lus par l’utilisateur www, et
les dossiers (y compris l’ensemble des dossiers existants) doivent pouvoir être lus et
interrogés par celui-ci. En outre, pour un accès WebDAV en lecture/écriture, l’utilisateur
www doit pouvoir écrire dans les fichiers et dans le dossier immédiatement supérieur.
Si vous ne disposez pas encore de vos fichiers HTML, vous pouvez toujours activer le
service web pour voir comment il fonctionne à l’aide des pages de démarrage par
défaut fournies avec Mac OS X Server.
2 Ouvrez Admin Serveur.
3 Sélectionnez un serveur, cliquez sur le bouton Réglages dans la barre d’outils, puis
cliquez sur l’onglet Services.
4 Cochez la case du service web.
5 Dans la liste sous le serveur, cliquez sur le bouton du service web.
6 Si le service n’est pas en cours d’exécution, cliquez sur le bouton Démarrer le service
dans la barre d’outils.
Administration des technologies web décrit de nombreux aspects du service web et
explique notamment comment configurer SSL sur un site, activer WebMail et utiliser
WebDAV pour le partage de fichiers.
148
Chapitre 6 Configuration initiale du serveur
Configuration du service de messagerie
Pour que vos utilisateurs puissent bénéficier de la totalité du service de messagerie disponible, vous devez définir d’autres réglages dont la configuration dépasse le cadre de
ce guide. Administration du service de messagerie fournit des instructions de configuration et de gestion d’un serveur de messagerie.
Configuration de services réseau
Si vous voulez qu’un serveur héberge l’un des services réseau suivants, recherchez
les instructions de configuration correspondantes dans Administration des services de
réseau :
 service DHCP
 DNS
 Service de coupe-feu
 NAT (Network Address Translation)
 RADIUS
 VPN
 service d’horloge réseau
Configuration de services d’image système et de services de mise à
jour de logiciels
Pour plus d’informations sur l’utilisation de NetBoot et de NetInstall afin de simplifier
la gestion et l’installation de systèmes d’exploitation clients et d’autres logiciels, consultez la section Administration de Mise à jour de logiciels et d’Imagerie système.
Il indique comment créer des images disque et configurer Mac OS X Server de façon
que d’autres ordinateurs Macintosh puissent démarrer ou installer via le réseau, à partir de ces images.
Le même guide décrit comment configurer le service de mise à jour de logiciels, lequel
vous permet de personnaliser les mises à jour des logiciels Apple sur les ordinateurs clients.
Pour activer NetBoot et NetInstall pour l’administration :
1 Ouvrez Admin Serveur.
2 Sélectionnez un serveur, cliquez sur le bouton Réglages dans la barre d’outils, puis
cliquez sur l’onglet Services.
3 Cochez la case du service NetBoot.
Chapitre 6 Configuration initiale du serveur
149
Configuration de la diffusion de données
Pour en savoir plus sur la manière d’administrer un serveur de diffusion en continu de
flux de données en temps réel ou à la demande vers des ordinateurs clients, consultez
la section Administration de QuickTime Streaming et Broadcasting.
Pour activer le service QuickTime Streaming pour l’administration :
1 Ouvrez Admin Serveur.
2 Sélectionnez un serveur, cliquez sur le bouton Réglages dans la barre d’outils, puis
cliquez sur l’onglet Services.
3 Cochez la case du service QuickTime Streaming.
Configuration de Podcast Producer
Pour plus d’informations sur la gestion d’un serveur de production de podcasts fournissant des données de syndication à des ordinateurs clients, consultez la section Administration de Podcast Producer.
Pour activer le service Podcast Producer pour l’administration :
1 Ouvrez Admin Serveur.
2 Sélectionnez un serveur, cliquez sur le bouton Réglages dans la barre d’outils, puis
cliquez sur l’onglet Services.
3 Cochez la case du service Podcast Producer.
Configuration du service WebObjects
Si vous souhaitez développer des applications WebObjects, reportez-vous à la bibliothèque de référence WebObjects, disponible sur le site developer.apple.com/referencelibrary/WebObjects/ (en anglais). Si vous souhaitez configurer un serveur d’applications
WebObjects, reportez-vous à la section Déploiement de la bibliothèque de référence
WebObjects. Administration des technologies web fournit des informations supplémentaires sur le service WebObject.
Pour activer le service WebObject pour l’administration :
1 Ouvrez Admin Serveur.
2 Sélectionnez un serveur, cliquez sur le bouton Réglages dans la barre d’outils, puis cliquez sur l’onglet Services.
3 Cochez la case du service WebObject.
150
Chapitre 6 Configuration initiale du serveur
Configuration du service iChat
Outre les services déjà décrits permettant aux utilisateurs de communiquer (par exemple, les services de messagerie et de fichiers, ou encore les comptes et préférences de
groupe), vous pouvez configurer un serveur iChat.
La configuration du service iChat à l’aide d’Admin Serveur est décrite dans Administration du service iChat.
Pour activer le service iChat pour l’administration :
1 Ouvrez Admin Serveur.
2 Sélectionnez un serveur, cliquez sur le bouton Réglages dans la barre d’outils, puis
cliquez sur l’onglet Services.
3 Cochez la case du service iChat.
Configuration du service iCal
En activant le service iCal, vous pouvez partager et modifier des calendriers pour les
utilisateurs et les groupes. Une application de calendrier compatible avec CalDAV permet de partager, de visualiser et de modifier des calendriers avec d’autres personnes.
La configuration du service iCal à l’aide d’Admin Serveur est décrite dans Administration du service iCal.
Pour activer le service iCal pour l’administration :
1 Ouvrez Admin Serveur.
2 Sélectionnez un serveur, cliquez sur le bouton Réglages dans la barre d’outils, puis
cliquez sur l’onglet Services.
3 Cochez la case du service iCal.
Chapitre 6 Configuration initiale du serveur
151
7
Gestion
7
Ce chapitre explique comment effectuer la gestion continue
de vos systèmes, notamment en configurant des ordinateurs
administrateurs, en désignant des administrateurs et en
maintenant la durée de fonctionnement des services.
Il comprend les sections suivantes :
 « Ports utilisés pour l’administration » à la page 154.
 « Ports ouverts par défaut » à la page 154.
 « Ordinateurs permettant d’administrer un serveur » à la page 154.
 « Utilisation des outils d’administration » à la page 156.
 « Ouverture de l’application Admin Serveur et authentification » à la page 157.
 « Ajout et suppression de serveurs dans Admin Serveur » à la page 157.
 « Regroupement manuel de serveurs » à la page 158.
 « Regroupement de serveurs à l’aide de groupes intelligents » à la page 159.
 « Utilisation des réglages d’un serveur spécifique » à la page 159.
 « Administration des services » à la page 164.
 « Autorisations d’administration par niveaux » à la page 168.
 « Notions élémentaires sur Gestionnaire de groupe de travail » à la page 170.
 « Administration de comptes » à la page 171.
 « Gestion d’ordinateurs de versions antérieures à la version 10.5 à partir de serveurs
de version 10.5 » à la page 175.
 « Assistants de configuration des services » à la page 175.
 « Fichiers de données et de configuration critiques » à la page 176.
 « Amélioration de la disponibilité des services » à la page 180.
 « Configuration du redémarrage automatique de votre serveur » à la page 182.
 « Équilibrage de la charge » à la page 190.
 « Vue d’ensemble des démons » à la page 191.
153
Ports utilisés pour l’administration
Les ports ci-dessous doivent être activés pour assurer le fonctionnement des applications d’administration Apple.
Numéro et type de port
Outil utilisé
22 TCP
Shell de ligne de commande SSH
311 TCP
Admin Serveur (avec SSL)
625 TCP
Gestionnaire de groupe de travail
389, 686 TCP
Répertoire
80 TCP
Gestion de QuickTime Streaming
4111 TCP
Xgrid Admin
En outre, d’autres ports doivent être activés pour chaque service à exécuter sur votre
serveur. Pour un guide de référence sur les ports, consultez la section Administration des
services de réseau et le manuel du service approprié.
Ports ouverts par défaut
Après l’installation, le coupe-feu est désactivé par défaut en mode de serveur avancé,
ce qui signifie que tous les ports sont ouverts. Lorsque le coupe-feu est activé, tous les
ports sont bloqués sauf ceux de la liste ci-dessous pour toutes les adresses IP d’origine :
Numéro et type de port
Service
22 TCP
Shell de ligne de commande SSH
311 TCP
Admin Serveur (avec SSL)
626 UDP
Prise en charge du numéro de série
625 TCP
Format de répertoire distant
ICMP (entrée et sortie)
ping standard
53 UDP
Résolution de nom DNS
Ordinateurs permettant d’administrer un serveur
Pour administrer un serveur localement au moyen des applications d’administration
graphiques (dans /Applications/Server/), ouvrez une session sur le serveur en tant
qu’administrateur, puis démarrez l’application.
Pour administrer un serveur distant, ouvrez les applications sur un ordinateur administrateur. Un ordinateur administrateur est un ordinateur Mac OS X Server ou Mac OS X
10.5 ou ultérieur quelconque, sur lequel les outils d’administration ont été installés à
partir du CD Mac OS X Server Admin Tools. Consultez la section « Configuration d’un
ordinateur administrateur » à la page 155.
154
Chapitre 7 Gestion
Vous pouvez exécuter les outils de ligne de commande à partir de l’application Terminal (dans le répertoire /Applications/Utilitaires/) et sur n’importe quel ordinateur
Mac OS X Server ou Mac OS X. Vous pouvez également exécuter les utilitaires de ligne
de commande depuis un poste de travail UNIX.
Configuration d’un ordinateur administrateur
Un ordinateur administrateur est un ordinateur équipé de Mac OS X ou Mac OS X
Server 10.5 ou ultérieur, qui vous permet d’administrer des serveurs distants.
Dans l’illustration ci-dessous, les flèches vont des ordinateurs administrateurs vers
les serveurs qu’ils permettent d’administrer.
Ordinateur administrateur
Mac OS X
Serveurs Mac OS X
Une fois que vous avez installé et configuré un ordinateur Mac OS X Server doté d’un
moniteur, d’un clavier et d’un lecteur optique, il constitue un ordinateur administrateur. Pour transformer un ordinateur équipé de Mac OS X en ordinateur administrateur,
vous devez installer des logiciels supplémentaires.
Pour activer l’administration à distance de Mac OS X Server à partir d’un ordinateur
Mac OS X :
1 Assurez-vous que l’ordinateur Mac OS X est doté de Mac OS X version 10.5 ou ultérieure, et d’au moins 512 Mo de mémoire RAM et 1 Go d’espace disque inutilisé.
2 Insérez le CD Mac OS X Server Admin Tools.
3 Ouvrez le dossier du programme d’installation.
4 Démarrez le programme d’installation (ServerAdministrationSoftware.mpkg) et suivez
les instructions à l’écran.
Administration au moyen d’un ordinateur non Mac OS X
Vous pouvez utiliser un ordinateur non Mac OS X prenant en charge SSH (comme un
poste de travail UNIX) pour administrer Mac OS X Server à l’aide des utilitaires de ligne
de commande. Pour plus d’informations, consultez la section Administration de ligne de
commande.
Chapitre 7 Gestion
155
Vous pouvez également utiliser un ordinateur capable d’exécuter un visualiseur VNC
pour administrer Mac OS X Server. L’utilisation de VNC pour administrer le serveur est
similaire à l’utilisation locale du clavier, de la souris et du moniteur.
Pour activer un serveur VNC sur l’ordinateur Mac OS X Server, exécutez le partage
d’écran dans la sous-fenêtre Partage des Préférences Système.
Utilisation des outils d’administration
Les informations relatives à chaque outil d’administration sont disponibles aux pages
indiquées dans le tableau ci-dessous.
Utilisez cette application ou
cet outil
Pour
Consultez
Programme d’installation
Installer le logiciel serveur ou mettre à
niveau la version 10.2 ou 10.3
page 85
Assistant du serveur
Configurer un serveur en version 10.5
page 123
Gestionnaire de groupe
de travail
Administrer des comptes et leurs préférences gérées.
page 170
Admin Serveur
Configurer et surveiller des services et
l’accès administrateur, configurer des
points de partage.
Configurer et administrer la diffusion
en continu de données QuickTime
page 159
page 42
Outils d’image système
Gérer des images de disque NetBoot et page 53
NetInstall.
Contrôle de serveur
Contrôler l’équipement Xserve.
page 195
QTSS Publisher
Gérer les données et les préparer pour
la diffusion en continu ou le téléchargement progressif.
page 54
Apple Remote Desktop
(facultatif)
Surveiller et contrôler d’autres ordinateurs Macintosh.
page 54
Utilitaires de ligne
de commande
Administrer un serveur au moyen d’un
shell de commande UNIX.
page 54
Xgrid Admin
Surveiller des contrôleurs, des grilles
et des tâches Xgrid localement ou à
distance.
page 55
L’application Admin Serveur vous permet d’administrer des services sur un ou plusieurs ordinateurs Mac OS X Server. Admin Serveur vous permet également de spécifier des réglages qui prennent en charge plusieurs services, tels que la création et la
gestion de certificats SSL, ainsi que la définition des utilisateurs et groupes autorisés
à accéder aux services.
156
Chapitre 7 Gestion
Ouverture de l’application Admin Serveur et authentification
Admin Serveur est installé dans /Applications/Server/. Vous pouvez ouvrir Admin Serveur dans le Finder ou en cliquant sur l’icône correspondante dans le Dock ou sur le
bouton Admin dans la barre d’outils de Gestionnaire de groupe de travail.
Pour sélectionner un serveur à utiliser, tapez son adresse IP ou son nom DNS dans la
zone de dialogue d’ouverture de session ou cliquez sur Parcourir pour le choisir dans
une liste de serveurs. Tapez le nom d’utilisateur et le mot de passe d’un administrateur
de serveur, puis cliquez sur Se connecter.
Ajout et suppression de serveurs dans Admin Serveur
Les serveurs que vous pouvez administrer avec Admin Serveur apparaissent dans
la liste Serveurs, sur le côté gauche de la fenêtre de l’application.
Vous pouvez ajouter un serveur dans la liste Serveurs et ouvrir une session sur ce
serveur en procédant de deux manières différentes :
 Cliquez sur le bouton Ajouter (+) dans la barre d’action inférieure et choisissez
Ajouter un serveur.
 Choisissez Serveur > Ajouter un serveur dans la barre de menus.
Lors de la prochaine ouverture d’Admin Serveur, tout ordinateur ajouté ici sera affiché
dans la liste. Pour modifier l’ordre des serveurs dans la liste, glissez-les à la nouvelle
position de votre choix.
Chapitre 7 Gestion
157
Vous pouvez supprimer un serveur de la liste Serveurs de façon similaire. Sélectionnez
tout d’abord le serveur à supprimer, puis effectuez l’une des actions suivantes :
 Cliquez sur le bouton Effectuer l’action dans la barre d’action inférieure et choisissez
Se déconnecter, puis Serveur distant.
 Choisissez Serveur > Se déconnecter, puis Serveur > Serveur distant dans la barre
des menus.
Si un serveur de la liste Serveurs est affiché en gris, double-cliquez sur le serveur ou cliquez sur le bouton Se connecter dans la barre d’outils afin d’ouvrir une nouvelle session. Sélectionnez l’option « Mémoriser ce mot de passe dans mon trousseau » lorsque
vous ouvrez une session pour activer la reconnexion automatique à la prochaine ouverture d’Admin Serveur.
Regroupement manuel de serveurs
Admin Serveur affiche les ordinateurs par groupes dans la section Liste des serveurs de
la fenêtre de l’application. La liste par défaut des serveurs s’appelle Tous les serveurs. Il
s’agit de la liste de tous les ordinateurs administrés possibles que vous avez ajoutés et
auprès desquels vous êtes authentifiés. Vous pouvez créer d’autres groupes pour organiser à votre gré les ordinateurs du réseau.
Les groupes de serveurs possèdent les caractéristiques suivantes :
 Vous pouvez créer autant de listes que vous le souhaitez.
 Les serveurs peuvent figurer dans plusieurs listes.
 Les groupes peuvent être constitués selon n’importe quel schéma d’organisation
imaginable : géographique, fonctionnel, matériel, voire esthétique.
 Vous pouvez cliquer sur un nom de groupe pour afficher une vue d’ensemble
de tous les serveurs du groupe.
Vous pouvez partir de la liste Tous les serveurs pour définir des groupes de serveurs
ciblés plus spécifiques. Pour ce faire, commencez par créer des listes vides, puis ajoutezy ultérieurement des serveurs figurant dans la liste Tous les serveurs.
Pour créer un groupe de serveurs :
1 Cliquez sur le bouton Ajouter (+) sous la liste Serveur dans le bas de la fenêtre Admin
Serveur.
2 Sélectionnez Ajouter un groupe, puis donnez un nom au groupe.
Pour renommer un groupe, cliquez sur son nom, puis immobilisez le pointeur de la souris quelques secondes au-dessus du nom. Ce dernier devrait alors devenir modifiable.
3 Faites glisser les serveurs du groupe Tous les serveurs vers le nouveau groupe.
158
Chapitre 7 Gestion
Regroupement de serveurs à l’aide de groupes intelligents
Admin Serveur affiche les ordinateurs par groupes dans la section Liste des serveurs de
la fenêtre de l’application. La liste par défaut des serveurs s’appelle Tous les serveurs. Il
s’agit d’une liste de tous les ordinateurs administrés possibles que vous avez ajoutés et
auxquels vous êtes authentifiés. Il est possible de créer des listes de serveurs qui se
remplissent automatiquement en fonction de critères personnalisés. Une fois que vous
avez créé un groupe intelligent, tout serveur ajouté à la liste Tous les serveurs (ou à une
autre liste spécifiée) correspondant aux critères est ajouté de façon dynamique au
groupe intelligent.
Vous pouvez vous baser sur certains ou sur tous les critères suivants :
 Services visibles
 Services en cours d’exécution
 Débit réseau
 Utilisation du CPU
 Adresse IP
 Version du système d’exploitation
Pour créer un groupe de serveurs intelligent :
1 Cliquez sur le bouton Ajouter (+) sous la liste Serveur dans le bas de la fenêtre Admin
Serveur.
2 Sélectionnez « Ajouter un groupe intelligent ».
3 Attribuez un nom au groupe intelligent.
4 Définissez les critères d’affichage des serveurs dans la liste, puis cliquez sur OK.
Le groupe s’affiche dans la liste Serveur.
Utilisation des réglages d’un serveur spécifique
Pour utiliser les réglages de serveur généraux, sélectionnez un serveur dans la liste Serveurs. La barre d’outils comporte alors un certain nombre de boutons qui affichent des
options de configuration ou des onglets d’options de configuration.
Chapitre 7 Gestion
159
L’illustration ci-dessous présente la sous-fenêtre Réglages d’un serveur :
Le tableau suivant contient un descriptif résumé de chaque bouton :
Bouton de barre
d’outils
Affichage
Aperçu
Informations sur le matériel, les logiciels, les services et l’état du serveur.
Historiques
Historique système et historique des systèmes de sécurité.
Graphiques
Historique graphique de l’activité du serveur.
Partage
Options de configuration pour la définition des dossiers de partage de fichiers,
des points de partage et du montage automatique.
Màj du serveur
Mise à jour de logiciels disponibles auprès d’Apple pour mettre à jour les logiciels
du serveur.
Certificats
Certificats de sécurité du serveur.
Réglages
Réglages réseau du serveur, numéro de série du logiciel serveur, contrôles d’accès
aux services et autres informations.
Un clic sur Réglages vous donne accès aux sous-fenêtres ci-dessous :
 Sous-fenêtre Général : cliquez sur Général pour utiliser le numéro de série du serveur ou activer la prise en charge du protocole SNMP, NTP ou SSH, de la Gestion à
distance et de la fonction de synchronisation des dossiers de départ mobiles côté
serveur.
160
Chapitre 7 Gestion
SNMP est l’abréviation de Simple Network Management Protocol, une norme qui
facilite la surveillance et la gestion de l’ordinateur. Le serveur utilise le projet open
source net-snmp pour son implémentation de SNMP. Bien qu’aucun des outils
d’administration du serveur n’utilise ou ne nécessite SNMP, son activation permet
la surveillance et la gestion du serveur à partir de logiciels SNMP tiers, tels que HP
OpenView.
Utilisez la case NTP (Network Time Protocol) pour activer le service NTP. Pour en savoir
plus sur le protocole NTP, consultez la section Administration des services de réseau.
SSH est l’abréviation de Secure Shell. Le serveur utilise le projet open-source
OpenSSH pour son implémentation de SSH. Lorsque vous activez SSH, vous pouvez
utiliser des outils de ligne de commande pour administrer le serveur à distance. SSH
est également utilisé pour d’autres tâches d’administration à distance de serveurs,
telles que la configuration initiale du serveur, la gestion du partage, ou encore l’affichage des chemins du système de fichiers et du contenu des dossiers dans les outils
d’administration du serveur. SSH doit être activé lors de la création d’une réplique
Open Directory, mais il peut ensuite être désactivé.
Gestion à distance permet d’administrer le serveur à l’aide d’Apple Remote Desktop.
Vous devez activer et désactiver l’administration d’Apple Remote Desktop dans cette
sous-fenêtre plutôt que dans la sous-fenêtre Partage des Préférences Système.
Le suivi des fichiers côté serveur pour la synchronisation des dossiers de départ
mobiles est une fonction des dossiers de départ mobiles. Consultez la section Gestion des utilisateurs pour en savoir plus sur l’activation de cette fonction.
 Sous-fenêtre Réseau : cliquez sur Réseau pour visualiser ou modifier le nom d’ordinateur ou le nom d’hôte local du serveur ou pour visualiser la liste des interfaces
réseau de ce serveur et leurs informations d’adressage.
Le nom d’ordinateur est le nom qu’un utilisateur voit lors de l’exploration du réseau
(/Réseau). Le nom d’hôte local est généralement dérivé du nom d’ordinateur, mais
il peut être modifié.
Le tableau des interfaces réseau indique le nom de l’interface, le type d’adressage
(IPv4 ou IPv6), l’adresse IP et le nom DNS trouvés par la recherche inversée de
l’adresse.
 Sous-fenêtre Date et heure : cliquez sur Date et heure pour régler la date et l’heure
du serveur, la préférence de source NTP et le fuseau horaire. Administration des services de réseau fournit des informations supplémentaires sur le protocole NTP.
 Sous-fenêtre Notifications : cliquez sur Notifications pour configurer les notifications automatiques d’événements Mac OS X Server.
Vous devez indiquer l’adresse électronique et le déclencheur de notifications dans
cette sous-fenêtre. « Notification dans Admin Serveur » à la page 198 fournit des
informations plus détaillées sur les notifications.
Chapitre 7 Gestion
161
 Sous-fenêtre Accès : cliquez sur Accès pour contrôler les accès utilisateur à certains
services et pour attribuer des privilèges d’administration aux utilisateurs.
Lorsque vous sélectionnez l’onglet Services, vous configurez l’accès aux services pour
les utilisateurs et les groupes (listes ACL des services). Vous pouvez configurer le
même accès à tous les services, ou bien sélectionner un service et personnaliser ses
réglages d’accès. Les contrôles d’accès sont simples. Choisissez entre autoriser tous
les utilisateurs et groupes à utiliser les services, ou autoriser uniquement certains utilisateurs et groupes à utiliser les services.
L’onglet Administrateurs vous permet d’accorder aux utilisateurs des privilèges
d’administration ou de contrôle des services du serveur. « Définition des autorisations d’administration » à la page 169 fournit des informations plus détaillées sur
ces réglages.
 Sous-fenêtre Services : cliquez sur Services pour afficher ou masquer des services
de ce serveur dans Admin Serveur.
Modification de l’adresse IP d’un serveur
Vous pouvez modifier l’adresse IP d’un serveur à partir de la sous-fenêtre Réseau des
Préférences Système ou à l’aide de l’outil networksetup.
est invoqué dès qu’un changement d’adresse réseau est détecté, indépendamment des circonstances de la modification. L’outil changeip parcourt tous les
fichiers de configuration et les emplacements de stockage de l’adresse IP du serveur
pour effectuer les remplacements nécessaires. L’adresse IP du serveur peut être modifiée sans qu’il soit nécessaire d’invoquer changeip à partir de la ligne de commande.
changeip
Modification du nom d’hôte du serveur après la configuration
Lorsque vous procédez à la configuration initiale du serveur dans le cadre d’une nouvelle installation, Assistant du serveur définit la valeur du nom d’hôte en affectant la
valeur AUTOMATIC au paramètre de nom d’hôte dans /etc/hostname. Avec ce réglage,
le nom d’hôte du serveur est le premier nom qui est vrai dans cette liste :
 Le nom fourni par le serveur DHCP ou BootP pour l’adresse IP principale
 Le premier nom renvoyé par une requête DNS inversé (adresse-vers-nom) pour
l’adresse IP principale
 Le nom d’hôte local
 Le nom « localhost »
Si vous souhaitez modifier le nom d’hôte après la configuration initiale, n’utilisez pas
la sous-fenêtre Partage des Préférences Système pour modifier le nom d’ordinateur
du serveur ; utilisez l’outil de ligne de commande changeip.
Pour plus de détails, consultez la section Administration de ligne de commande ou
la page man de changeip.
162
Chapitre 7 Gestion
Modification du type de configuration du serveur
Après avoir installé un serveur en configuration Standard ou Groupe de travail, il est
possible de transformer cette configuration en configuration Avancée. Tous les réglages précédemment définis dans les Préférences Système sont conservés dans la nouvelle configuration. Aucun approvisionnement automatique des services de l’utilisateur
ne se produit à nouveau.
Le coupe-feu Préférences du serveur, distinct du coupe-feu Admin Serveur, est désactivé par la conversion de la configuration du serveur en configuration Avancée. Vous
devrez activer et configurer le coupe-feu via Admin Serveur.
Une fois la conversion effectuée, l’administration du serveur se fait à l’aide d’Admin Serveur et d’autres outils associés. Préférences Système ne peut être utilisé ; la conversion
est irréversible et n’a lieu qu’une fois.
Pour modifier la configuration de votre serveur :
1 Configurez un ordinateur d’administration, doté d’Admin Serveur, de Gestionnaire de
groupe de travail et d’autres outils d’administration.
Pour obtenir des instructions spécifiques, consultez la section « Configuration d’un ordinateur administrateur » à la page 155.
2 Lancez Admin Serveur et ouvrez une session sur le serveur à convertir.
Pour plus d’informations sur l’ouverture de session, consultez la section « Ouverture de
l’application Admin Serveur et authentification » à la page 157.
Une zone de dialogue apparaît pour vous demander si vous souhaitez convertir le
mode de configuration du serveur en mode Avancé.
3 Cliquez sur « Convertir à Avancé ».
Le serveur n’est plus en mode de configuration Standard ou Groupe de travail.
Chapitre 7 Gestion
163
Administration des services
Pour utiliser un service particulier sur un serveur sélectionné dans la liste Serveurs
d’Admin Serveur, cliquez sur le service dans la liste affichée sous le serveur. Vous pouvez afficher les informations relatives à un service (historiques, graphiques, etc.) et gérer
ses réglages.
Voici un exemple de sous-fenêtre de configuration de service dans Admin Serveur.
Pour démarrer ou arrêter un service, sélectionnez-le, puis cliquez sur Démarrer
<nom du service> ou sur Arrêter <nom du service> dans la barre d’outils inférieure.
Ajout et suppression de services dans Admin Serveur
Admin Serveur n’affiche que les services que vous administrez et masque toutes les
autres sous-fenêtres de configuration de service tant qu’elles ne sont pas nécessaires.
Pour pouvoir administrer un service, vous devez l’activer pour un serveur spécifique.
Il apparaît alors sous le nom du serveur dans la liste principale Serveur.
Pour ajouter ou supprimer un service dans Admin Serveur :
1 Sélectionnez le serveur destiné à héberger le service souhaité.
2 Cliquez sur le bouton Réglages dans la barre d’outils.
3 Cliquez sur Services.
4 Sélectionnez le service souhaité, puis cliquez sur Enregistrer.
Le service, prêt pour la configuration, est alors affiché dans la liste.
164
Chapitre 7 Gestion
Importation et exportation des réglages de service
Pour copier des réglages de service d’un serveur vers un autre ou pour les enregistrer
dans un fichier de liste de propriétés en vue de leur réutilisation, exécutez la commande d’exportation des réglages de service dans Admin Serveur.
Pour exporter des réglages :
1 Sélectionnez le serveur souhaité.
2 Choisissez Serveur > Exporter > Réglages de service dans la barre des menus.
3 Sélectionnez les services dont vous souhaitez copier les réglages.
4 Cliquez sur Enregistrer.
Le fichier créé contient toutes les informations de configuration de service sous
la forme d’un document XML plist.
Pour importer des réglages :
1 Sélectionnez le serveur cible destiné à recevoir les réglages.
2 Choisissez Serveur > Importer > Réglages de service dans la barre des menus.
3 Recherchez le fichier de service enregistré et sélectionnez-le.
Cette fonction ne reconnaît que les documents XML plist, comme celui qui a été
généré lors de l’exportation des réglages.
4 Cliquez sur Ouvrir.
Contrôle de l’accès aux services
Vous pouvez utiliser Admin Serveur pour configurer les utilisateurs et groupes qui peuvent utiliser les services hébergés par un serveur. Vous devez définir l’accès aux services pour les utilisateurs et les groupes (SACL). Vous pouvez configurer le même accès à
tous les services, ou bien sélectionner un service et personnaliser ses réglages d’accès.
Les contrôles d’accès sont simples. Choisissez entre autoriser tous les utilisateurs et
groupes à utiliser les services, ou autoriser uniquement certains utilisateurs et groupes
à utiliser les services.
Chapitre 7 Gestion
165
L’illustration suivant représente la sous-fenêtre SACL dans Admin Serveur :
Sélectionnez un serveur dans la liste Serveurs, cliquez sur Réglages, sur Accès, puis
sur Services.
Vous pouvez spécifier séparément les contrôles d’accès des services individuels, ou
définir un ensemble de contrôles qui s’appliquent à tous les services hébergés par
le serveur.
Utilisation de SSL pour l’administration à distance des serveurs
Vous pouvez définir le niveau de sécurité des communications entre Admin Serveur
et les serveurs distants en choisissant Admin Serveur > Préférences.
Par défaut, Admin Serveur considère que toutes les communications établies avec des
serveurs distants sont chiffrées par SSL. Cette option utilise un certificat auto-signé de
128 bits installé dans le répertoire /etc/servermgrd/ssl.crt à l’installation du serveur. Les
communications utilisent HTTPS (port 311). Si cette option n’est pas possible, le protocole HTTP (port 687) est utilisé et du texte clair est échangé entre Admin Serveur et le
serveur distant.
Pour renforcer la sécurité, cochez également la case « Exiger une signature numérique
valide (SSL) ».L’option « Exiger une signature numérique valide (SSL) » est désactivée
par défaut. Elle utilise un certificat SSL installé sur un serveur distant afin de garantir
que le serveur distant est un serveur valide.
166
Chapitre 7 Gestion
Avant d’activer cette option, suivez les instructions décrites dans « Demande de certificat auprès d’une autorité de certificat », relatives à la création d’une demande de signature de certificat (CSR, Certificate Signing Request), l’obtention d’un certificat SSL
auprès d’une autorité de certification et l’installation de ce certificat sur chaque serveur distant. Au lieu de placer les fichiers dans le répertoire /etc/httpd/, stockez-les
dans /etc/servermgrd/. Vous pouvez également générer un certificat avec signature
automatique et l’installer sur le serveur distant.
Vous pouvez utiliser Admin Serveur pour configurer et gérer les certificats SSL, autosignés ou émis, utilisés par le service de messagerie, le service web, le service Open
Directory et d’autres services qui les prennent en charge.
« Gestionnaire de certificats dans Admin Serveur » à la page 68 fournit des instructions
d’utilisation d’Admin Serveur pour créer, organiser et utiliser des certificats de sécurité
pour les services compatibles SSL. Les guides d’administration des services individuels
décrivent comment configurer des services spécifiques pour l’utilisation de SSL.
Si vous souhaitez définir des niveaux d’authentification SSL supérieurs, consultez
les informations disponibles sur le site www.modssl.org.
Gestion du partage
Pour utiliser des points de partage et des listes de contrôle d’accès, cliquez sur l’icône
Partage dans la barre d’outils d’Admin Serveur. Pour en savoir plus, consultez la section
Administration des services de fichier.
Chapitre 7 Gestion
167
L’illustration ci-dessous représente la sous-fenêtre de configuration Partage de fichiers
dans Admin Serveur.
Autorisations d’administration par niveaux
Les versions précédentes de Mac OS X Server comportaient deux classes d’utilisateurs :
les administrateurs et tous les autres utilisateurs. Les administrateurs pouvaient modifier les réglages de n’importe quel service ou les données de répertoire ainsi que les
mots de passe et les politiques de mots de passe.
Dans Mac OS X Server 10.5, vous pouvez désormais accorder à des utilisateurs et à des
groupes certaines autorisations administratives sans les ajouter au groupe « admin » UNIX
(c’est-à-dire sans en faire des administrateurs). Il existe deux niveaux d’autorisation :
 Administrer : ce niveau d’autorisation est analogue à celui qui est attribué aux membres du groupe admin UNIX. Vous êtes autorisé à apporter n’importe quelle modification à un serveur ou à un service désigné (et à lui seul).
 Contrôler : ce niveau d’autorisation permet de visualiser les sous-fenêtres Aperçu,
les sous-fenêtres Historique et d’autres sous-fenêtres d’informations dans Admin
Serveur, ainsi que les données d’état général du serveur dans les listes d’état des
serveurs. Vous n’avez accès à aucun réglage de service enregistré.
168
Chapitre 7 Gestion
Tout utilisateur ou groupe peut recevoir ces autorisations pour tous les services ou
pour certains services sélectionnés. Les autorisations sont stockées par serveur.
Les seuls utilisateurs autorisés à modifier la liste d’accès d’administration par niveaux
sont les utilisateurs appartenant réellement au groupe admin UNIX.
L’application Admin Serveur procédera à l’actualisation nécessaire pour indiquer quelles sont les opérations possibles en fonction des autorisations d’un utilisateur. Ainsi,
certains services sont masqués ou leur sous-fenêtre Réglages est estompée si vous
ne disposez que d’une autorisation de contrôle pour ces services.
Comme cette fonctionnalité est appliquée côté serveur, les autorisations ont également une incidence sur l’utilisation des outils de ligne de commande serveradmin, dscl,
dsimport et pwpolicy, car tous ils sont tous limités aux autorisations configurées pour
l’administrateur.
Définition des autorisations d’administration
Vous pouvez décider si un utilisateur ou un groupe peut contrôler ou administrer un
serveur ou un service sans lui attribuer l’ensemble des privilèges d’un administrateur
UNIX. L’affectation d’autorisations effectives à des utilisateurs crée une administration
par niveaux dans laquelle le nombre de tâches d’administration affectées à certains
utilisateurs est limité.
Pour affecter des autorisations :
1 Ouvrez Admin Serveur.
2 Sélectionnez un serveur, cliquez sur le bouton Réglages dans la barre d’outils, puis
cliquez sur l’onglet Accès.
3 Cliquez sur l’onglet Administrateurs.
4 Indiquez si les autorisations d’administration doivent s’appliquer à tous les services
ou à certains services du serveur.
5 Si vous choisissez de définir des autorisations par service, sélectionnez la case appropriée pour chaque service à activer.
Si vous définissez des autorisations par service, assurez-vous que les administrateurs
possèdent un accès à tous les services actifs du serveur.
6 Cliquez sur le bouton Ajouter (+) pour ajouter un utilisateur ou un groupe à partir de
la fenêtre des utilisateurs et des groupes.
Pour supprimer des autorisations d’administration, sélectionnez un utilisateur ou un
groupe, puis cliquez sur le bouton Supprimer (-).
7 Pour chaque utilisateur ou groupe, sélectionnez un niveau d’autorisations en regard
de son nom.
Vous pouvez choisir Contrôler ou Administrer.
Chapitre 7 Gestion
169
Les capacités d’administration du serveur par Admin Serveur sont limitées par ce
réglage quand le serveur est ajouté à la liste Serveur.
Notions élémentaires sur Gestionnaire de groupe de travail
Utilisez Gestionnaire de groupe de travail pour administrer les comptes suivants :
comptes utilisateur, comptes de groupe et listes d’ordinateurs. Vous pouvez également
l’utiliser pour définir les préférences des comptes utilisateur, des comptes de groupe,
des ordinateurs Mac OS X et accéder à l’Inspecteur, une fonctionnalité avancée qui permet la modification des entrées Open Directory.
Les sections suivantes décrivent l’utilisation générale de Gestionnaire de groupe de travail. Des instructions relatives aux tâches d’administration spécifiques sont disponibles
dans l’aide de Gestionnaire de groupe de travail et dans plusieurs guides :
 Gestion des utilisateurs explique comment utiliser Gestionnaire de groupe de travail
pour gérer des comptes utilisateur, des comptes de groupe, des listes d’ordinateurs,
des préférences et pour importer et exporter des comptes.
 Administration des services de fichier décrit l’administration des points de partage à
l’aide de la fonction Partage de Gestionnaire de groupe de travail.
 Administration d’Open Directory fournit des informations sur l’utilisation de l’Inspecteur.
Ouverture de Gestionnaire de groupe de travail et authentification
Gestionnaire de groupe de travail est installé dans /Applications/Server/, vous pouvez
l’ouvrir dans le Finder, dans le Dock ou en sélectionnant Présentation > Gestionnaire
de groupe de travail dans la barre des menus d’Admin Serveur :
 Lorsque vous ouvrez Gestionnaire de groupe de travail sur le serveur que vous utilisez
sans vous authentifier, vous avez un accès en lecture seule aux informations affichées
dans le domaine local. Pour apporter des modifications, cliquez sur l’icône représentant un cadenas afin de vous authentifier en tant qu’administrateur de serveur.
Cette procédure est la plus indiquée lorsque vous administrez différents serveurs
et que vous travaillez avec divers domaines de répertoire.
 Pour vous authentifier en tant qu’administrateur d’un serveur particulier, qu’il soit
local ou distant, tapez l’adresse IP du serveur ou son nom DNS dans la fenêtre
d’ouverture de session ou cliquez sur la zone du chemin d’accès aux répertoires dans
la fenêtre Gestionnaire de groupe de travail pour choisir un autre serveur de répertoire. Tapez le nom d’utilisateur et le mot de passe d’un administrateur du serveur,
puis cliquez sur Se connecter.
Procédez de cette manière si vous travaillez la plupart du temps avec le même serveur.
Après avoir ouvert Gestionnaire de groupe de travail, vous pouvez ouvrir l’une de ses
fenêtres pour un autre ordinateur en cliquant sur Nouvelle fenêtre dans la barre d’outils
ou en choisissant Serveur > Se connecter.
170
Chapitre 7 Gestion
Important : lorsque vous vous connectez à un serveur dans Gestionnaire de groupe de
travail, veillez à ce que l’utilisation des majuscules et minuscules pour le nom d’utilisateur complet ou abrégé soit la même que dans le compte d’utilisateur.
Administration de comptes
Admin Serveur ne permet pas de gérer les comptes utilisateur et l’appartenance aux
groupes. Pour ajouter et supprimer des utilisateurs et des groupes, utilisez Gestionnaire
de groupe de travail. Pour en savoir plus sur l’administration de comptes, consultez la
section Gestion des utilisateurs. Ce qui suit constitue un bref aperçu de l’administration
de comptes à l’aide de Gestionnaire de groupe de travail. Nous vous conseillons toutefois
de consulter d’autres ressources documentaires, car l’administration de comptes ne se
résume pas aux informations fournies ici.
Gestion des utilisateurs et des groupes
Une fois que vous avez ouvert une session dans Gestionnaire de groupe de travail, la
fenêtre du compte apparaît, affichant une liste de comptes d’utilisateur. Il s’agit initialement des comptes stockés dans le dernier noeud de répertoire figurant dans le chemin de recherche du serveur. Lorsque vous utilisez d’autres fenêtres de Gestionnaire
de groupe de travail, telles que Préférences, cliquez sur Comptes dans la barre d’outils
pour revenir à la fenêtre des comptes.
L’illustration ci-dessous montre un exemple de sous-fenêtre de configuration d’enregistrement d’utilisateur dans Gestionnaire de groupe de travail.
Chapitre 7 Gestion
171
Pour spécifier les répertoires dans lesquels sont stockés les comptes que vous souhaitez utiliser, cliquez sur l’icône en forme de globe. Pour utiliser différents comptes dans
différentes fenêtres de Gestionnaire de groupe de travail, cliquez sur Nouvelle fenêtre
dans la barre d’outils.
Pour administrer les comptes répertoriés, cliquez sur le bouton Utilisateurs, Groupes,
Ordinateurs ou Groupes d’ordinateurs sur le côté gauche de la fenêtre. Vous pouvez
filtrer les comptes répertoriés en utilisant la liste de recherche au-dessus de la liste
des comptes. Pour actualiser la liste des comptes, cliquez sur le bouton Actualiser dans
la barre d’outils.
Pour simplifier la définition des attributs initiaux d’un compte à sa création, utilisez
des préréglages. Un compte prédéfini est un modèle de compte.
Pour créer un préréglage, sélectionnez un compte, configurez toutes les valeurs à votre
convenance, puis choisissez Enregistrer le préréglage dans le menu local Préréglages,
au bas de la fenêtre.
Pour travailler uniquement avec les comptes correspondant à des critères spécifiques,
cliquez sur Rechercher dans la barre d’outils. Les fonctions Rechercher incluent l’option
permettant la modification simultanée des comptes sélectionnés.
Pour importer ou exporter des comptes, sélectionnez ceux qui vous intéressent, puis
choisissez Serveur > Importer ou Serveur > Exporter.
Définition des préférences gérées
Pour utiliser des préférences gérées pour les comptes d’utilisateur, les comptes de
groupe ou les listes d’ordinateurs, cliquez sur l’icône Préférences dans la barre d’outils
de Gestionnaire de groupe de travail.
172
Chapitre 7 Gestion
L’illustration ci-dessous représente la sous-fenêtre d’aperçu de la gestion des préférences d’utilisateur dans Gestionnaire de groupe de travail :
Cliquez sur Détails pour utiliser l’éditeur de préférences afin de modifier des manifestes de préférences. L’illustration ci-dessous constitue un exemple de feuille d’éditeur
de préférences dans Gestionnaire de groupe de travail.
Chapitre 7 Gestion
173
Utilisation de données de répertoire
Pour modifier des données de répertoire brutes, utilisez l’Inspecteur de Gestionnaire
de groupe de travail.
L’illustration ci-dessous représente la sous-fenêtre Inspecteur de l’enregistrement dans
Gestionnaire de groupe de travail :
Pour afficher l’inspecteur :
1 Choisissez Gestionnaire de groupe de travail > Préférences.
2 Activez « Afficher l’onglet « Toutes les fiches » et l’inspecteur », puis cliquez sur OK.
3 Ensuite, cliquez sur le bouton Tous les enregistrements (qui ressemble à un oeil de
boeuf ) pour accéder à l’Inspecteur.
4 Utilisez le menu local situé au-dessus de la liste Nom afin de sélectionner les fiches
qui vous intéressent.
Par exemple, vous pouvez utiliser les utilisateurs, les groupes, les ordinateurs, les points
de partage et beaucoup d’autres objets de répertoire.
Personnalisation de l’environnement de Gestionnaire de groupe
de travail
Il existe plusieurs moyens d’adapter l’environnement de Gestionnaire de groupe
de travail :
 Pour contrôler l’affichage des comptes dans Gestionnaire de groupe de travail, ainsi que
d’autres comportements, choisissez Gestionnaire de groupe de travail > Préférences.
174
Chapitre 7 Gestion
 Pour personnaliser la barre d’outils, choisissez Affichage > Personnaliser la barre
d’outils.
 Pour inclure des utilisateurs et groupes prédéfinis dans les listes d’utilisateurs et
de groupes, choisissez Affichage > Afficher les utilisateurs et groupes du système.
 Pour ouvrir Admin Serveur afin de contrôler et de modifier des services sur des
serveurs particuliers, cliquez sur l’icône Admin Serveur dans la barre d’outils.
Gestion d’ordinateurs de versions antérieures à la version 10.5
à partir de serveurs de version 10.5
Les serveurs Mac OS X Server 10.4 peuvent être administrés à l’aide des outils d’administration de serveur de la version 10.5. Il est possible d’utiliser Gestionnaire de groupe
de travail sur un serveur de version 10.5 pour gérer des clients Mac OS X dotés de
Mac OS X 10.3 ou ultérieur.
Une fois que vous avez modifié un enregistrement d’utilisateur à l’aide de Gestionnaire
de groupe de travail en version 10.5, cet enregistrement n’est plus accessible que via
Gestionnaire de groupe de travail en version 10.5.
Les préférences de clients Mac OS 9 peuvent être gérées à l’aide de Gestionnaire Macintosh depuis un serveur 10.5 uniquement si vous effectuez une mise à niveau avec la version 10.5. Vous pouvez utiliser une mise à niveau pour installer la version 10.5 sur un
serveur doté de la version 10.3.9 ou de la version 10.2.8.
Assistants de configuration des services
Admin Serveur possède des assistants destinés à vous guider durant la configuration
des services lorsque la procédure n’est pas limitée à une seule sous-fenêtre de configuration. Ces assistants vous proposent toutes les sous-fenêtres de configuration nécessaires à l’activation complète d’un service.
Les assistants sont disponibles pour les services suivants :
 Configuration de la passerelle : cet assistant vous aide à configurer votre serveur
en tant que passerelle réseau. Ouvrez l’assistant en cliquant sur un bouton dans la
partie inférieure droite de la page d’aperçu du service NAT.
 Courrier électronique : cet assistant vous aide à configurer le service de courrier
électronique pour les messages entrants et les messages sortants. Ouvrez l’assistant
en cliquant sur un bouton dans la partie inférieure droite de la page d’aperçu du
service de courrier électronique.
 RADIUS : cet assistant vous aide à configurer l’authentification RADIUS pour des
points d’accès sans fil Apple AirPort. Ouvrez l’assistant en cliquant sur un bouton
dans la partie inférieure droite de la page d’aperçu du service RADIUS.
Chapitre 7 Gestion
175
 Xgrid : cet assistant vous aide à configurer des contrôleurs Xgrid. Ouvrez l’assistant
en cliquant sur un bouton dans la partie inférieure droite de la page d’aperçu du
service Xgrid.
Fichiers de données et de configuration critiques
Lors de la sauvegarde de données et de réglages système, veillez plus particulièrement
à assurer la sauvegarde de tous vos fichiers de configuration critiques. La nature et la
fréquence de vos sauvegardes dépend des politiques de sauvegarde, d’archivage et de
restauration de votre organisation. Pour plus d’informations sur la création d’une politique de sauvegarde et de restauration, consultez la section « Définition de politiques de
sauvegarde et de restauration » à la page 34.
Le tableau ci-dessous présente la liste des fichiers et données de configuration de services disponibles sur Mac OS X Server.
Général
Type de fichiers
Emplacement
États de service
/System/Bibliothèque/LaunchDaemons/*
Fichiers de configuration SSH et
clés publiques/privées de l’hôte
/etc/ssh/*
Trousseau système
/Bibliothèque/Keychains/System.keychain
Service iCal
Type de fichiers
Emplacement
Fichiers de configuration
/etc/caldavd/caldavd.plist
Données
/Bibliothèque/CalendarServer/Documents/
Serveur iChat
Type de fichiers
Emplacement
Fichiers de configuration
/etc/jabberd/*
Données
mysqldump jabberd2 > jabberd2.backup.sql
Notifications
Type de fichiers
Emplacement
Fichiers de configuration
/etc/emond.d/
/etc/emond.d/rules/
/Bibliothèque/Keychains/System.keychain
176
Chapitre 7 Gestion
QuickTime Streaming Server
Type de fichiers
Emplacement
Fichiers de configuration
/Bibliothèque/QuickTimeStreamingServer/Config/*
/Bibliothèque/QuickTimeStreamingServer/Playlists/*
/Bibliothèque/Application Support/Apple/QTSS Publisher/*
Données : (emplacements par
défaut)
/Bibliothèque/QuickTimeStreamingServer/Movies/*
~user/Sites/Streaming/*
Service de coupe-feu
Type de fichiers
Emplacement
Fichiers de configuration
/etc/ipfilter/*
Service NAT
Type de fichiers
Emplacement
Fichiers de configuration
/etc/nat/*
Services de messagerie
Le tableau ci-dessous présente les fichiers de configuration et les emplacements
de stockage des données de service de messagerie.
Messagerie—SMTP Server Postfix
Type de fichiers
Emplacement
Fichiers de configuration
/etc/postfix/
Données : (emplacements par
défaut)
/var/spool/postfix/
Messagerie—POP/IMAP Server Cyrus
Type de fichiers
Emplacement
Fichiers de configuration
/etc/imapd.conf
/etc/cyrus.conf
Données : (emplacement par
/var/imap
défaut de la base de données du
courrier)
(stockage des données du courrier électronique)
Chapitre 7 Gestion
/var/spool/imap
177
Les emplacements personnalisés sont définis dans /etc/impad.conf à l’aide des clés
suivantes avec des valeurs par défaut :
Emplacements personnalisés
Clé : paire de valeurs
Emplacement de la base de
données de courrier
configdirectory : /var/imap
Emplacement de stockage des
données de courrier
partition-default : /var/spool/imap
Partitions de stockage de données supplémentaires (sans
valeur par défaut)
partition-xxx : /var/spool/mail_xxx
Il peut exister plusieurs partitions de stockage de données supplémentaires
Courrier—Amavisd
Type de fichiers
Emplacement
Fichiers de configuration
/etc/amavisd.conf
Données : (emplacements par
défaut)
/var/amavis/
Courrier—Clam AV
Type de fichiers
Emplacement
Fichiers de configuration
/etc/clamav.conf
/etc/freshclam.conf
Données : (emplacements par
défaut)
/var/clamav/
/var/virusmails/
Courrier—Mailman
Type de fichiers
Emplacement
Fichiers de configuration
/var/mailman/
Données : (emplacements par
défaut)
/var/mailman/
Courrier—SpamAssassin
Type de fichiers
178
Emplacement
Fichiers de configuration
/etc/mail/spamassassin/local.cf
Données : (emplacements par
défaut)
/etc/mail/spamassassin/
Chapitre 7 Gestion
Service MySQL
Type de fichiers
Emplacement
Fichiers de configuration
Il n’existe pas de fichier de configuration pour MySQL, mais l’administrateur peut en créer un qui doit alors être sauvegardé :
/etc/my.cnf
Données : (emplacements par
défaut)
/var/mysql/
mysqldump --all-databases > all.sql
PHP
Type de fichiers
Emplacement
Fichiers de configuration
Il n’existe pas de fichier de configuration pour PHP, mais l’administrateur peut en créer un (en copiant /etc/php.ini.default dans /etc/
php.ini, puis en le modifiant). Dans ce cas, le fichier suivant doit
être sauvegardé :
/etc/php.ini
Données : (emplacements par
défaut)
Emplacement désigné par l’administrateur
Service web
Type de fichiers
Emplacement
Fichiers de configuration
/etc/httpd/* (pour Apache 1.3)
/etc/apache2/* (pour Apache 2.2)
/etc/webperfcache/*
/Bibliothèque/Keychains/System.keychain
Données : (emplacements par
défaut)
/Bibliothèque/WebServer/Documents/
/Bibliothèque/Logs/WebServer/*
/Bibliothèque/Logs/Migration/webconfigmigrator.log (outil de
migration de configuration Apache)
L’emplacement par défaut du contenu web est configurable et généralement modifié
et étendu pour inclure plusieurs répertoires WebDAV et de contenu hôte virtuels.
Remarque : les fichiers d’historique de service web constituent une source importante
de recettes pour certains sites et leur sauvegarde doit être envisagée. Leur emplacement (configurable) peut être défini à l’aide d’Admin Serveur.
Chapitre 7 Gestion
179
Serveur wiki et blog
Type de fichiers
Emplacement
Fichiers de configuration
/etc/wikid/*
/Bibliothèque/Application Support/Apple/WikiServer
(thèmes wiki et fichiers modèles)
Données : (emplacements par
défaut)
/Bibliothèque/Collaboration/
Fichiers d’historique
: (emplacement par défaut)
/Bibliothèque/Logs/wikid/*
Amélioration de la disponibilité des services
L’élimination des points de défaillance uniques et l’utilisation de Xserve et d’un matériel RAID constituent certains des éléments pouvant contribuer à augmenter la disponibilité de votre serveur. Vous pouvez aussi recourir à des options aussi bien simples,
comme le recours à une alimentation de réserve, le redémarrage automatique, la
garantie de conditions de fonctionnement adéquates (niveaux de température et
d’humidité adaptés par exemple), etc.), qu’avancées (agrégation de liens, équilibrage
de charge, réplique Open Directory, sauvegarde de données, etc.).
Élimination des points de défaillance uniques
Pour améliorer la disponibilité de votre serveur, réduisez ou éliminez les points de
défaillance uniques. On qualifie de point de défaillance unique tout composant d’un environnement de serveur qui provoque la panne de ce dernier s’il est lui-même défaillant.
Voici quelques exemples de points de défaillance uniques :
 le système informatique;
 le disque dur;
 l’alimentation.
Bien qu’il soit pratiquement impossible d’éliminer tous les points de défaillance uniques, essayez au moins de les réduire autant que possible. Ainsi, l’utilisation d’un système de sauvegarde et du basculement IP dans Mac OS X Server permet d’éliminer
l’ordinateur comme point de défaillance unique. Même s’il est possible qu’un ordinateur principal et son ordinateur de réserve tombent en panne en même temps ou
l’un après l’autre, la probabilité d’un tel événement demeure négligeable.
Une autre manière d’éviter la défaillance d’un ordinateur est d’utiliser une source d’alimentation de réserve et d’utiliser un système RAID matériel pour effectuer une copie
miroir du disque dur. Avec le RAID matériel, si le disque principal est victime d’une
défaillance, le système peut toujours accéder aux mêmes données sur le disque miroir,
comme c’est le cas avec Xserve.
180
Chapitre 7 Gestion
Utilisation de Xserve pour obtenir une haute disponibilité
Xserve est conçu pour garantir une fiabilité élevée et donc une haute disponibilité.
Bien que des ordinateurs de bureau tels que le Power Mac G5 ou le Mac Pro permettent d’assurer des services Mac OS X Server de manière très fiable, Xserve possède les
fonctionnalités supplémentaires suivantes qui en font la solution idéale dans les situations requérant une haute disponibilité.
 Xserve comporte huit ventilateurs. En cas de panne de l’un de ces ventilateurs, les
sept autres accélèrent pour compenser la défaillance et permettre à votre serveur
de continuer à fonctionner.
 Une architecture de disques indépendante isole électriquement les disques de façon
à empêcher que la défaillance d’un seul des disques n’entraîne une indisponibilité ou
une dégradation des performances des disques restants, un problème souvent rencontré avec les implémentations SCSI multidisque.
 Xserve exploite la logique de code correcteur d’erreurs (ECC, Error Correction Code) pour
protéger le système contre les données endommagées et les erreurs de transmission.
Chaque DIMM possède un module de mémoire supplémentaire qui stocke les données de somme de contrôle de chaque transaction. Le contrôleur système se sert de
ces données ECC pour identifier les erreurs portant sur un seul bit et les corrige à la
volée, évitant ainsi des arrêts système inopinés.
Dans le cas très rare d’une erreur portant sur plusieurs bits, le contrôleur système
détecte l’erreur et déclenche une notification système afin d’empêcher les mauvaises données de corrompre d’autres opérations.
Vous pouvez configurer le logiciel Contrôle de serveur de manière à ce qu’il vous
avertisse si le taux d’erreurs dépasse le seuil défini.
 Xserve intègre l’écriture en miroir RAID matérielle qui protège votre serveur contre
toute défaillance en cas de panne de disque principal.
Pour plus d’informations sur Xserve, consultez le site www.apple.com/fr/xserve/.
Utilisation d’une alimentation de réserve
Dans l’architecture d’une solution de serveur, l’alimentation constitue un point de
défaillance unique. Si l’alimentation est interrompue, vos serveurs s’éteignent sans prévenir. Pour éviter toute interruption soudaine des services, pensez à ajouter une source
d’alimentation de réserve.
En fonction de votre application, vous pouvez choisir entre un générateur électrique
de réserve et un périphérique d’alimentation sans interruption (UPS), qui vous permettront de gagner assez de temps pour avertir les utilisateurs de l’interruption imminente des services.
Chapitre 7 Gestion
181
Utilisation d’UPS avec Xserve
Xserve n’assure pas la connectivité de port série aux périphériques UPS, mais peut
contrôler l’alimentation UPS via le réseau si l’unité UPS est équipée d’une carte réseau.
Pour en savoir plus, renseignez-vous auprès des fournisseurs de périphériques UPS.
L’illustration suivante représente un Xserve connecté à un onduleur via un réseau :
Xserve
Réseau
local
Alimentation
de secours
Source
d’alimentation
Appareil UPS
Configuration du redémarrage automatique de votre serveur
Vous pouvez configurer les options Économiseur d’énergie de votre ordinateur
Mac OS X Server afin que ce dernier redémarre automatiquement s’il s’éteint à
cause d’une panne de courant ou en cas de blocage du système.
L’illustration ci-dessous représente la sous-fenêtre Économiseur d’énergie des
Préférences Système :
182
Chapitre 7 Gestion
Les options de redémarrage automatique sont les suivantes :
 Redémarrage automatique après une panne de courant. L’unité de gestion de
l’alimentation démarre le serveur automatiquement après une panne de courant.
 Redémarrage automatique après un blocage. L’unité de gestion de l’alimentation
démarre automatiquement le serveur dès que le serveur ne répond plus, souffre
d’une panique de noyau ou se bloque.
Lorsque vous sélectionnez l’option de redémarrage automatique après un blocage,
Mac OS X Server génère le démon wdticklerd qui commande toutes les 30 secondes
à votre ordinateur de redémarrer au bout de cinq minutes. À chaque fois que la commande est envoyée, la minuterie de redémarrage est réinitialisée. Par conséquent, la
minuterie n’atteint jamais cinq minutes tant que le serveur fonctionne. Si l’ordinateur
se bloque, l’unité de gestion de l’alimentation le redémarre à l’issue des cinq minutes.
Pour activer le redémarrage automatique :
1 Ouvrez une session sur le serveur en tant qu’administrateur.
2 Ouvrez les Préférences Système et cliquez sur Économiseur d’énergie.
3 Cliquez sur Options.
4 Sélectionnez des options de redémarrage sous Autres options.
5 Fermez les Préférences Système
Pour assurer de bonnes conditions de fonctionnement
La surchauffe est l’un des facteurs capables de causer un dysfonctionnement de vos
serveurs. Ce problème est particulièrement susceptible de survenir si vous regroupez
des ordinateurs en grappe dans un espace réduit. D’autres facteurs, tels que l’humidité
et les variations électriques importantes, peuvent être préjudiciables à votre serveur.
Pour protéger vos serveurs, veillez à les placer dans un endroit où vous pouvez contrôler ces facteurs et leur garantir des conditions de fonctionnement idéales. Pour connaître ces conditions, vérifiez quelles sont les consignes indiquées pour vos systèmes en
matière d’électricité et d’environnement.
Assurez-vous également que le local dans lequel vous déployez votre serveur est
équipé d’une alarme incendie et établissez un plan de secours anti-incendie.
Fourniture de répliques Open Directory
Si vous prévoyez de fournir des services Open Directory, vous devez penser à créer des
répliques de votre maître Open Directory. Si le serveur maître est défectueux, les ordinateurs client pourront accéder à la réplique.
Pour en savoir plus, consultez la section consacrée à la configuration de répliques Open
Directory dans Administration d’Open Directory.
Chapitre 7 Gestion
183
Agrégation de liens
Bien que peu fréquentes, les défaillances de commutateur, de câble ou de carte d’interface réseau peuvent entraîner l’indisponibilité de votre serveur. Pour éliminer ce type
de points de défaillance unique, vous pouvez utiliser l’agrégation de liens. Également
appelée IEEE 802.3ad, cette technologie est intégrée à Mac OS X et à Mac OS X Server.
L’agrégation de liens consiste à agréger ou combiner dans un lien logique unique plusieurs liens physiques en connectant votre Mac à un périphérique d’agrégation de liens
(un commutateur ou un autre Mac). Le résultat est un lien à tolérance de pannes doté
d’une bande passante égale à la somme des bandes passantes des liens physiques.
Par exemple, vous pouvez configurer un Xserve avec quatre ports 1 Gbit/s (en1, en2,
en3 et en4) et utiliser la sous-fenêtre Réseau des Préférences Système pour créer une
configuration de port d’agrégation de liens (bond0) combinant en1, en2, en3 et en4
en un seul lien logique.
Le lien logique en résultant aura une bande passante de 4 Gbit/s. Ce lien offrira également une tolérance de pannes. Toute défaillance d’un ou de plusieurs liens physiques
a pour effet de réduire la bande passante de votre Xserve, mais ce dernier peut toujours gérer les requêtes dès lors que les liens physiques ne sont pas tous simultanément défaillants.
L’illustration suivante représente quatre ports Ethernet réunis en une seule et même
interface :
server1.exemple.com
400 Mbit/s
bond0
en1 en2 en3 en4
4 x 100 Mbit/s
Alterner
184
Chapitre 7 Gestion
L’agrégation de liens vous permet également de tirer parti de votre matériel existant
ou de matériel peu onéreux pour élargir la bande passante de votre serveur. Par exemple, vous pouvez former un agrégat de liens à partir d’une combinaison de plusieurs
liens de 100 Mbit/s ou de liens de 1 Gbit/s.
Le protocole d’agrégation de liens (LACP, Link Aggregation Control
Protocol)
L’agrégation de liens IEEE 802.3ad définit un protocole dénommé Link Aggregation
Control Protocol (LACP) et utilisé par Mac OS X Server pour agréger (combiner) plusieurs ports en un agrégat de liens (un port virtuel) destiné aux connexions TCP et UDP.
Lorsque vous définissez un agrégat de liens, les nœuds de part et d’autre de l’agrégat
(par exemple, un ordinateur et un commutateur) utilisent LACP sur chaque lien physique pour :
 déterminer si le lien peut être agrégé,
 maintenir et contrôler l’agrégation.
Si un nœud ne reçoit pas régulièrement de paquets LACP de son homologue (l’autre
nœud de l’agrégat), il considère que ce dernier n’est plus actif et supprime le port de
l’agrégat.
Outre LACP, Mac OS X Server utilise un algorithme de distribution de cadres pour mapper une conversation sur un port spécifique. Cet algorithme n’envoie de paquets au
système situé à l’autre extrémité de l’agrégat que si la réception de paquets y est activée. En d’autres termes, l’algorithme n’envoie pas de paquets si l’autre système « n’est
pas à l’écoute ».
Mapper une conversation sur un port particulier permet de garantir qu’aucune réorganisation de paquets n’aura lieu.
Scénarios d’agrégation de liens
Voici trois scénarios courants d’agrégation qu’il est possible de configurer :
 Ordinateur-ordinateur
 Ordinateur-commutateur
 Ordinateur-paire de commutateurs
Ces scénarios sont décrits dans les sections suivantes.
Chapitre 7 Gestion
185
Ordinateur-ordinateur
Dans ce scénario, vous connectez directement les deux serveurs (voir illustration suivante) à l’aide des liens physiques de l’agrégat de liens.
4 x 100 Mbit/s
Cela permet aux deux serveurs de communiquer à une vitesse plus élevée sans l’aide
d’un commutateur. Cette configuration est idéale pour assurer la redondance dorsale.
Ordinateur-commutateur
Dans ce scénario, représenté ci-dessous, vous connectez votre serveur à un commutateur configuré pour l’agrégation de liens 802.3ad.
server1.exemple.com
4 x 1 Gbit/s
10 Gbit/s
Clients
Le commutateur devra disposer d’une bande passante de traitement du trafic entrant
égale ou plus importante que celle de l’agrégat de liens (lien logique) que vous définissez sur votre serveur.
Par exemple, si vous créez un agrégat de quatre liens 1 Gbit/s, vous devrez utiliser un
commutateur capable de traiter le trafic entrant (provenant de clients) à 4 Gbit/s ou
plus. Faute de quoi, l’avantage que constitue une bande passante plus large dans
l’agrégat de liens ne sera pas totalement accompli.
Remarque : pour en savoir plus sur la configuration de votre commutateur pour
l’agrégation de liens 802.3ad, consultez la documentation fournie par le fabricant
du commutateur.
186
Chapitre 7 Gestion
Ordinateur-paire de commutateurs
Ce scénario, représenté dans l’illustration suivante, constitue une version améliorée du
scénario ordinateur-commutateur puisque deux commutateurs sont utilisés pour éviter que le commutateur ne constitue un point de défaillance unique.
server1.exemple.com
3 x 1 Gbit/s
2 x 1 Gbit/s
Par exemple, vous pouvez connecter deux liens de l’agrégat de liens sur le commutateur principal et le reste des liens sur le commutateur de réserve. Ce dernier demeure
inactif tant que le commutateur principal est actif. Si ce dernier tombe en panne, le
commutateur de réserve prend le relais de façon transparente pour l’utilisateur.
Bien que ce scénario ajoute de la redondance, dont l’avantage est de protéger le serveur contre toute indisponibilité en cas de défaillance du commutateur, il réduit en
revanche la bande passante.
Configuration de l’agrégation de liens dans Mac OS X Server
Pour configurer votre Mac OS X Server pour l’agrégation de liens, vous devez disposer
d’un Mac équipé d’au moins deux ports Ethernet compatibles IEEE 802.3ad. Vous devez
également vous munir d’au moins un commutateur compatible IEEE 802.3ad ou d’un
autre ordinateur Mac OS X Server équipé du même nombre de ports.
Chapitre 7 Gestion
187
La création d’un agrégat de liens s’effectue dans la sous-fenêtre Réseau des Préférences Système (voir l’exemple suivant) :
Pour créer un agrégat de liens :
1 Ouvrez une session sur le serveur en tant qu’utilisateur administrateur.
2 Ouvrez Préférences Système.
3 Cliquez sur Réseau.
4 Cliquez sur le bouton représentant un engrenage et choisissez « Gérer des interfaces
virtuelles » dans le menu local.
5 Cliquez sur le bouton Ajouter (+) et sélectionnez « Nouvel agrégat de liens » dans
le menu local.
Remarque : cette option n’apparaît que si vous disposez d’au moins deux interfaces
Ethernet dans votre système.
6 Tapez le nom de l’agrégat de liens dans le champ Nom.
7 Sélectionnez les ports à agréger à partir de la liste.
8 Cliquez sur Créer.
9 Cliquez sur Terminé.
Par défaut, le système donne à l’agrégat de liens le nom d’interface bond <nbre>, où
<nbre> est un nombre indiquant la priorité. Par exemple, le premier agrégat de liens
est appelé bond0, le deuxième bond1 et le troisième bond2.
188
Chapitre 7 Gestion
Le nom d’interface bond<nbre> attribué par le système diffère du nom que vous donnez à la configuration de port d’agrégat de liens. Le nom d’interface est utilisé dans la
ligne de commande, mais le nom de la configuration de port est réservé à la sous-fenêtre Réseau des Préférences Système.
Ainsi, le résultat de la commande ifconfig -a fait référence à l’agrégat de liens en
utilisant le nom d’interface, pas le nom de la configuration de port :
…
bond0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
inet6 fe80::2e0:edff:fe08:3ea6 prefixlen 64 scopeid 0xc
inet 10.0.0.12 netmask 0xffffff00 broadcast 10.0.0.255
ether 00:e0:ed:08:3e:a6
media: autoselect (100baseTX <full-duplex>) status: active
supported media: autoselect
bond interfaces: en1 en2 en3 en4
Vous ne pouvez pas supprimer une connexion de lien à partir de la sous-fenêtre Réseau
des Préférences Système. Vous devez le supprimer via la feuille « Gérer des interfaces
virtuelles » utilisée pour le créer.
Contrôle de l’état de l’agrégation de liens
Vous pouvez contrôler l’état d’un agrégat de liens dans Mac OS X et Mac OS X Server
à l’aide de la sous-fenêtre État de la sous-fenêtre Réseau des Préférences Système.
Pour contrôler l’état d’un agrégat de liens :
1 Ouvrez Préférences Système.
2 Cliquez sur Réseau.
3 Dans la liste d’interfaces réseau à gauche, choisissez l’interface virtuelle de port d’agrégat de liens.
4 Cliquez sur Avancé dans la partie inférieure droite de la fenêtre.
5 Sélectionnez l’onglet État de la connexion.
La sous-fenêtre État affiche une liste dans laquelle une rangée est attribuée à chaque
lien physique de l’agrégat de liens. Pour chaque lien, vous pouvez voir le nom de
l’interface réseau, sa vitesse, son réglage de duplex, les témoins d’état du trafic entrant
et sortant et une évaluation d’ensemble de l’état.
Remarque : les témoins d’état Envoi et Réception possèdent un code couleur. La couleur verte signifie que le lien est actif et connecté. La couleur jaune signifie que le lien
est actif mais n’est pas connecté. La couleur rouge signifie que le lien ne peut ni
envoyer ni recevoir de trafic.
6 Pour consulter davantage d’informations à propos d’un lien, cliquez sur l’entrée correspondante dans la liste.
Chapitre 7 Gestion
189
Équilibrage de la charge
La surcharge de serveur est l’un des facteurs pouvant entraîner l’indisponibilité de vos
services. Un serveur a des ressources limitées et ne peut gérer qu’un nombre restreint
de requêtes à la fois. Si le serveur est surchargé, il ralentit et risque même de se bloquer.
L’une des manières de résoudre ce problème est de répartir la charge au sein d’un
groupe de serveurs (grappe de serveurs) à l’aide d’un périphérique d’équilibrage de
la charge de tierce partie. Les clients envoient leurs requêtes au périphérique qui les
transmet au premier serveur disponible en fonction d’un algorithme prédéfini. Les
clients ne voient qu’une adresse virtuelle unique, celle du périphérique d’équilibrage
de la charge.
De nombreux périphériques d’équilibrage de charge font également office de commutateurs (voir illustration suivante), offrant ainsi deux fonctions en une, ce qui réduit
la quantité de matériel nécessaire.
Interrupteur
d’équilibrage
de charge du serveur
Grappe de serveurs
Clients
Remarque : un périphérique d’équilibrage de charge doit être capable de traiter le trafic agrégé (combiné) des serveurs qui y sont connectés. Il constituerait sinon un goulet
d’étranglement réduisant la disponibilité de vos serveurs.
190
Chapitre 7 Gestion
L’équilibrage de la charge présente plusieurs avantages :
 Haute disponibilité. La répartition de la charge entre plusieurs serveurs contribue
à réduire les risques qu’un serveur puisse tomber en panne du fait d’une surcharge
de serveur.
 Tolérance aux pannes. Si un serveur tombe en panne, le trafic est redirigé de façon
transparente vers d’autres serveurs. Une brève interruption du service peut survenir
si, par exemple, un serveur tombe en panne alors qu’un utilisateur est en train de
télécharger un fichier depuis l’emplacement de stockage partagé, mais l’utilisateur
peut toujours se reconnecter et relancer le processus de téléchargement.
 Extensibilité. Si la demande de services augmente, vous pouvez ajouter d’autres
serveurs à votre grappe de façon transparente.
 Performances accrues. Vous pouvez répondre plus rapidement aux requêtes des
utilisateurs en les envoyant aux serveurs les moins occupés.
Vue d’ensemble des démons
Lorsqu’un utilisateur ouvre une session sur un système Mac OS X, un certain nombre
de processus sont déjà en cours d’exécution. La plupart de ces processus sont appelés
démons. Un démon est un processus d’arrière-plan qui fournit un service aux utilisateurs du système. Le démon cupsd, par exemple, coordonne les demandes d’impression, tandis que le démon httpd répond aux requêtes de consultation de pages web.
Visualisation des démons en cours d’exécution
Pour afficher les démons en cours d’exécution sur votre système, utilisez l’application
Moniteur d’activité (dans /Applications/Utilitaires/). Cette application permet d’afficher
des informations sur tous les processus, y compris l’utilisation des ressources.
Les démons suivants sont affichés indépendamment des services activés :
 launchd (processus de tâche programmée et de surveillance)
 servermgrd (processus d’interface d’outils d’administration)
 serialnumberd (processus de conformité de licence)
 mDNSresponder (processus de découverte de services sur réseau local)
Contrôle des démons
Bien que certains systèmes de type UNIX utilisent d’autres outils, Mac OS X Server a
recours au démon launchd pour contrôler les tâches programmées et l’initialisation
des processus.
launchd
Le démon launchd est une alternative aux outils UNIX courants suivants : init, rc, scripts
init.d et rc.d, SystemStarter, inetd et xinetd, atd, crond et watchdogd. Tous ces services
doivent être considérés comme obsolètes et les administrateurs sont vivement encouragés à attribuer les tâches de gestion de processus à launchd.
Chapitre 7 Gestion
191
Le système launchd comporte deux utilitaires : le démon launchd et l’utilitaire launchctl.
Le démon launchd a également remplacé init comme premier processus généré dans
Mac OS X et il est, par conséquent, responsable du lancement du système au démarrage. Le démon launchd gère les démons au niveau système et au niveau utilisateur.
Il peut :
 démarrer des démons sur demande;
 contrôler des démons pour s’assurer qu’ils sont en cours d’exécution.
launchd utilise des fichiers de configuration pour définir les paramètres d’exécution des
services et des démons. Les fichiers de configuration sont des fichiers de listes de propriétés stockés dans les sous-répertoires LaunchAgents et LaunchDaemons des dossiers Bibliothèque.
Pour plus d’informations sur la création des fichiers de configuration de launchd, consultez la page de documentation destinée aux développeurs :
developer.apple.com/documentation/MacOSX/Conceptual/BPSystemStartup/Articles/
LaunchOnDemandDaemons.html
L’utilitaire launchctl est un outil de ligne de commande utilisé pour :
 charger et décharger des démons;
 démarrer et arrêter des tâches contrôlées par launchd;
 obtenir des statistiques d’utilisation de système pour launchd et ses processus enfants;
 définir des réglages d’environnement.
192
Chapitre 7 Gestion
8
Contrôle
8
Un contrôle efficace contribue à détecter les problèmes
potentiels avant leur apparition et d’être averti suffisamment
tôt lorsqu’ils se produisent.
La détection des problèmes potentiels vous permet de prendre les mesures nécessaires pour les résoudre avant qu’ils n’influent sur la disponibilité de vos serveurs. Être
averti suffisamment tôt de l’apparition d’un problème vous permet en outre de prendre rapidement les mesures qui s’imposent et de minimiser l’interruption des services.
Ce chapitre décrit brièvement la planification d’une politique de contrôle, la façon
d’utiliser les outils de contrôle et la façon de trouver des informations supplémentaires.
Planification d’une politique de contrôle
La collecte de données concernant vos systèmes est une fonction de base pour une
administration efficace. Chaque type de collecte de données répond à un objectif précis.
 Collecte de données historiques : les données historiques sont collectées à des fins
d’analyse. Elles peuvent être utilisées dans le cadre de la planification et de la budgétisation informatiques et servir de ligne de base pour les conditions normales
d’exploitation du serveur. Quels sont les types de données nécessaires pour y parvenir ? Combien de temps doivent-elles être conservées ? À quelle fréquence doiventelles être mises à jour ? Sur quelle période passée doivent-elles être collectées ?
 Contrôle en temps réel : le contrôle en temps réel génère des alertes et détecte les
problèmes à mesure qu’ils surviennent. Que contrôlez-vous ? À quelle fréquence ?
Ces données révèlent-elles ce que vous voulez savoir ? Certaines de ces collectes en
temps réel servent-elles réellement à des fins d’historique ?
193
Planification d’une réponse de contrôle
La réponse apportée au contrôle est aussi importante que la collecte de données. De
la même façon qu’une politique de sauvegarde est inutile sans stratégie de restauration, une politique de contrôle n’a pas de sens sans politique de réponse.
Pour une réponse de contrôle, il est nécessaire de considérer un certain nombre de facteurs :
 Quelles sont les méthodes de réponse appropriées ? En d’autres termes, dans quel
cadre la réponse interviendra-t-elle ?
 Quel est le délai de réponse ? Que peut-on considérer comme intervalle acceptable
entre l’incident et la réponse ?
 Quels sont les points à prendre en compte en ce qui concerne le dimensionnement ?
Le plan de réponse peut-il traiter toutes les fréquences d’incident, quelles soient
attendues ou non ?
 L’environnement est-il doté de systèmes de contrôle ? Comment déterminer si la
politique de contrôle collecte les données requises et si les réponses sont pertinentes et fournies à temps ? Avez-vous testé le système de contrôle récemment ?
Widget d’état du serveur
Le widget Dashboard d’état du serveur procure un accès rapide et des informations dans
le cadre d’un système individuel. Il permet de contrôler l’activité de Mac OS X Server version 10.5 à partir de n’importe quel ordinateur équipé de Leopard ou de Leopard Server.
État du serveur affiche des graphiques actualisés toutes les heures, tous les jours ou toutes les semaines sur l’activité du processeur, la charge réseau et l’utilisation des disques.
Vous pouvez également afficher jusqu’à six services actifs et leurs rapports d’état. En
cliquant sur le service, vous pouvez ouvrir la sous-fenêtre d’aperçu du service approprié dans Admin Serveur.
Pour configurer le widget d’état du serveur :
1 Ajoutez le widget au Dashboard comme vous le feriez pour un autre widget.
2 Saisissez l’adresse IP ou le nom de domaine du serveur.
3 Fournissez un nom et un mot de passe d’ouverture de session d’administration ou
de contrôle.
4 Cliquez sur Terminé.
Pour changer l’adresse du serveur, le nom ou le mot de passe d’ouverture de session,
cliquez sur le bouton d’information (i) en haut du widget et modifiez les réglages
appropriés.
194
Chapitre 8 Contrôle
Contrôle de serveur
L’application Contrôle de serveur peut, dès qu’elle détecte des problèmes critiques,
émettre des avertissements via courrier électronique, téléphone portable ou notification par messageur. Des capteurs intégrés détectent les facteurs de fonctionnement
essentiels, tels que l’alimentation, la température et l’état de fonctionnement de plusieurs composants clés, et en établissent le rapport.
L’interface Contrôle de serveur vous donne la possibilité de détecter rapidement les
problèmes. Dans la fenêtre principale, Contrôle de serveur affiche chaque serveur sur
une ligne séparée, en indiquant les informations de température correspondantes et
l’état de chacun de ses composants, notamment les ventilateurs, les disques, les modules de mémoire, les systèmes d’alimentation et les connexions Ethernet.
Un témoin d’état vert indique que le composant est OK, un témoin jaune signale un
avertissement et un témoin rouge est synonyme d’erreur.
Contrôle de serveur fonctionne pour uniquement pour les systèmes Xserve. Pour en
savoir plus sur Contrôle de serveur, choisissez Aide Contrôle de serveur dans le menu
d’Aide de Contrôle de serveur.
RAID Admin
À l’instar de Contrôle de serveur, vous pouvez configurer Admin RAID de façon à ce
qu’il envoie un message par courrier électronique ou par radiomessagerie dès qu’un
composant montre des signes de défaillance. Admin RAID affiche l’état de chaque
unité et de chacun de ses composants, disques, fibre channel et connexions réseau
notamment.
Admin RAID utilise des témoins d’état verts, jaunes et rouges. Vous pouvez également
le configurer de façon à ce qu’il vous envoie un courrier électronique ou une page
lorsqu’un composant est en difficulté.
De plus, Admin RAID vous fournit une vue d’ensemble de l’état des unités Xserve RAID
affichées dans la fenêtre principale.
Pour en savoir plus sur Admin RAID, choisissez Aide Admin RAID dans le menu
d’Aide d’Admin RAID.
Chapitre 8 Contrôle
195
Console
Utilisez Console pour contrôler les fichiers d’historique afin de détecter d’éventuels
problèmes susceptibles de provoquer la défaillance de votre serveur.
Par exemple, vous pouvez contrôler le fichier /var/log/httpd/access_log de votre serveur web à la recherche de signes de déni d’attaques de service. Si vous détectez ces
signes, vous pouvez immédiatement mettre en œuvre une réponse planifiée afin
d’empêcher l’indisponibilité de votre serveur web.
Pour améliorer l’efficacité de votre contrôle des fichiers d’historique, envisagez de
l’automatiser à l’aide des commandes AppleScript ou Terminal telles que grep et cron.
Pour plus d’informations sur l’utilisation de grep et de cron, consultez la section Administration de ligne de commande.
Outils de contrôle de disque
Si votre espace disque est épuisé, votre serveur risque de ne plus être fiable et il tombera probablement en panne. Pour éviter cela, vous devez constamment contrôler l’utilisation de l’espace disque sur vos serveurs et supprimer ou sauvegarder des fichiers
afin de libérer de l’espace.
Mac OS X Server est fourni avec de nombreux outils de ligne de commande que vous
pouvez utiliser pour contrôler l’espace disque sur votre ordinateur :
 df. Cette commande vous indique la quantité d’espace utilisée et la quantité disponible sur chaque volume monté.
Par exemple, la commande suivante dresse la liste des volumes locaux et affiche l’utilisation des disques :
df -Hl
Filesystem
/dev/disk0s9
Size
Used
40G
38G
Avail Capacity
2.1G
95%
Mounted on
/
Dans cet exemple, le disque dur est presque rempli puisque seuls 2,1 Go sont encore
disponibles. Dans ce cas, il est recommandé de réagir immédiatement pour libérer
de l’espace sur votre disque dur avant que sa capacité ne soit dépassée et que cela
n’entraîne des problèmes pour vos utilisateurs.
Â
du. Cette
commande vous indique la quantité utilisée par des répertoires ou fichiers
donnés.
Par exemple, la commande suivante vous indique la quantité d’espace occupée par
le répertoire de départ de chaque utilisateur :
sudo du -sh /Users/*
196
3.2M
/Users/Shared
9.3M
/Users/omar
8.8M
/Users/jay
1.6M
/Users/lili
Chapitre 8 Contrôle
Le fait de savoir qui emploie le plus d’espace sur le disque dur vous permet de contacter les utilisateurs concernés pour leur demander de supprimer les fichiers dont
ils n’ont plus besoin.
Remarque : avec Gestionnaire de groupe de travail, vous pouvez définir des quotas
de disque pour les utilisateurs et générer des rapports d’utilisation des disques. Pour
plus d’informations, consultez la section Gestion des utilisateurs.
Â
diskspacemonitor. Cette
commande vous permet d’automatiser le processus de contrôle de l’utilisation de l’espace disque. Dès que la quantité d’espace libre descend
sous le niveau que vous avez spécifié, diskspacemonitor exécute des scripts de shell
qui vous envoient une notification. Cette commande définit deux niveaux d’action :
 Alerte — Vous envoie un message d’avertissement lorsque l’utilisation de l’espace
disque atteint 75 %.
 Récupération — Archive les fichiers rarement utilisés et supprime les fichiers
superflus lorsque l’utilisation de l’espace disque atteint 85 %.
Pour plus d’informations sur ces commandes, consultez la page man correspondante
ou la section Administration de ligne de commande.
Outils de contrôle de réseau
Une dégradation des performances de réseau et d’autres problèmes de réseau peuvent avoir un impact négatif sur la disponibilité de vos services. Les outils de contrôle
réseau ci-après peuvent vous avertir suffisamment tôt d’éventuels problèmes, afin que
vous puissiez prendre les mesures nécessaires pour éviter ou minimiser toute période
d’immobilisation.
 Pour contrôler l’activité du réseau, exécutez l’utilitaire tcpdump de Mac OS X Server.
Cet utilitaire imprime les en-têtes des paquets entrants et sortants sur une interface
réseau qui concorde avec les paramètres spécifiés.
L’utilisation de tcpdump pour contrôler le trafic sur le réseau est particulièrement judicieuse lorsque l’on tente de détecter des dénis d’attaque de service. Par exemple, la
commande suivante contrôle l’ensemble du trafic entrant au niveau du port 80 de
votre ordinateur :
sudo tcpdump -i en0 dst port 80
Si vous détectez un nombre inhabituel de requêtes émanant d’une même source,
vous pouvez utiliser le service de coupe-feu pour bloquer le trafic issu de cette
source.
Pour plus d’informations sur tcpdump, consultez la page man correspondante ou
la section Administration de ligne de commande.
Chapitre 8 Contrôle
197
 Pensez à utiliser des scripts Ruby ou Perl, des scripts de shell ou des AppleScripts
pour automatiser le processus de contrôle. Par exemple, l’utilisation de tcpdump pour
contrôler le trafic peut s’avérer longue et fastidieuse, ce qui signifie que l’automatisation est nécessaire.
 Pensez à utiliser Ethereal, un outil open-source X11 renifleur de paquets qu’il est possible d’exécuter dans l’environnement X11 sous Mac OS X Server. À la différence de tcpdump, cet outil possède une interface utilisateur graphique et un ensemble d’outils
performants d’analyse de réseau.
Pour en savoir plus sur Ethereal, rendez-vous sur le site www.ethereal.com/.
 Vous pouvez utiliser d’autres outils de tierce partie qui analysent automatiquement
le trafic réseau et vous avertissent en cas de problème.
Notification dans Admin Serveur
Admin Serveur possède un système de notification facile à utiliser et capable de vous
tenir informé de l’état du disque dur ou des logiciels de votre serveur. Admin Serveur
envoie un message électronique à n’importe quelle adresse (locale ou non) si :
 l’espace disponible est inférieur à un certain pourcentage sur n’importe quel disque
dur du système ;
 des paquets de mise à jour de logiciels sont disponibles sur le site Apple.
Pour utiliser la fonction de courrier électronique, le serveur lance le processus SMTP
(courrier sortant) sur le serveur. Assurez-vous que le coupe-feu autorise le trafic SMTP
provenant du serveur.
Pour définir une notification :
1 Ouvrez Admin Serveur.
2 Sélectionnez un serveur, cliquez sur le bouton Réglages dans la barre d’outils, puis
cliquez sur l’onglet Notifications.
3 Cliquez sur le bouton Ajouter (+) sous le champ Adresses à avertir, puis ajoutez une
adresse.
4 Répétez cette procédure autant de fois que nécessaire, puis cliquez sur Enregistrer.
198
Chapitre 8 Contrôle
Contrôle des aperçus de l’état du serveur à l’aide
d’Admin Serveur
Admin Serveur possède plusieurs moyens d’afficher un aperçu d’état : sous la forme
d’informations détaillées pour un serveur individuel ou sous la forme d’une vue
d’ensemble simplifiée de plusieurs serveurs.
Pour afficher un aperçu d’état concernant un seul serveur :
m Sélectionnez un serveur dans la liste Serveur.
L’illustration ci-dessous montre un exemple de sous-fenêtre Aperçu pour un serveur.
Cet aperçu indique le matériel de base, les versions de système d’exploitation, les
services actifs, des graphiques d’historique du CPU, l’historique du débit du réseau
et l’espace disque.
Chapitre 8 Contrôle
199
Pour afficher un aperçu d’état concernant plusieurs serveurs :
m Sélectionnez un groupe de serveurs, un groupe intelligent, le groupe Tous les serveurs
ou le groupe Serveurs disponibles.
L’illustration ci-dessous montre un exemple de sous-fenêtre Aperçu pour un groupe
de serveurs.
Cet aperçu comporte les informations suivantes :
 nom d’hôte,
 version du système d’exploitation,
 graphique d’utilisation actuelle du CPU (pour afficher des nombres plus spécifiques,
survolez cet élément avec la souris),
 débit réseau actuel,
 espace disque utilisé (pour afficher des nombres plus spécifiques, survolez cet élément avec la souris),
 durée de fonctionnement,
 nombre d’utilisateurs connectés aux services de fichiers.
Vous pouvez trier la liste par colonne.
200
Chapitre 8 Contrôle
Protocole SNMP (Simple Network Management Protocol)
Le protocole SNMP est un protocole couramment utilisé pour contrôler l’état d’un
équipement réseau (routeurs et commutateurs intelligents par exemple), d’ordinateurs
et d’autres périphériques réseau tels que des onduleurs. Mac OS X Server utilise NetSNMP pour implémenter SNMP v1, SNMP v2c et SNMP v3 à l’aide d’IPv4 et d’IPv6.
SNMPv2 est le protocole d’accès par défaut et la chaîne communautaire en lecture
seule par défaut est « public ».
Activation des rapports SNMP
L’accès SNMP n’est pas activé par défaut sur Mac OS X Server. Pour utiliser les outils
SNMP afin d’obtenir des données sur votre système Mac OS X Server, configurez le
service, puis activez-le.
Pour activer SNMP
1 Ouvrez Admin Serveur.
2 Sélectionnez un serveur, cliquez sur le bouton Réglages dans la barre d’outils, puis
cliquez sur l’onglet Général.
3 Sélectionnez « Serveur de gestion de réseau (SNMP) ».
4 Cliquez sur Enregistrer.
Si SNMP est actif, quiconque ayant établi une route vers l’hôte SNMP peut collecter
des données SNMP à partir de celui-ci.
5 Utilisez la ligne de commande pour configurer les paramètres SNMP de base.
Le processus SNMP ne démarre pas tant que /etc/snmpd.conf n’a pas été configuré
pour le site actuel. Pour plus d’informations sur la procédure de configuration, consultez la section « Configuration de snmpd » à la page 201.
Remarque : la configuration par défaut de snmpd utilise le port privilégié 161. Pour cette
raison, elle doit être exécutée par root ou à l’aide de setuid. Nous vous conseillons de
n’utiliser setuid en tant que root que si vous êtes conscient des conséquences possibles.
Dans le cas contraire, faites-vous aider ou procurez-vous des informations supplémentaires. Les options disponibles pour snmpd modifient l’UID et le GID du processus après son
démarrage. Pour plus d’informations, consultez la page man de snmpd.
Configuration de snmpd
Le fichier de configuration (.conf) de snmpd réside généralement dans /etc/snmpd.conf.
Si vous possédez une variable d’environnement SNMPCONF, snmpd lit les fichiers
snmpd.conf et snmpd.local.conf dans ces répertoires. Pour indiquer d’autres fichiers de
configuration, le processus snmpd peut être lancé avec l’option -c. Pour plus d’informations sur l’utilisation des fichiers conf, consultez la page man de snmpd.
Chapitre 8 Contrôle
201
Les fichiers de configuration peuvent être créés et installés plus élégamment à l’aide
du script intégré /usr/bin/snmpconf. En tant que root, exécutez ce script avec l’option -i
pour installer le fichier dans /usr/share/snmp/. Autrement, l’emplacement par défaut
du fichier est le dossier de départ de l’utilisateur (~/). Seul l’utilisateur root est autorisé
à écrire dans /usr/share/snmp/.
Comme snmpd lit ses fichiers de configuration au démarrage, les modifications apportées aux fichiers de configuration nécessitent que le processus soit arrêté puis relancé.
Vous pouvez arrêter snmpd à l’aide de ProcessViewer ou à partir de la ligne de commande (kill -HUP <pid>).
Pour activer et configurer SNMP :
m Utilisez la commande /usr/bin/snmpconf. Elle permet d’ouvrir un assistant de configuration basique sous forme de texte, afin de définir le nom communautaire et d’enregistrer les informations dans le fichier de configuration.
Le fichier de configuration snmp se trouve dans /usr/share/snmp/snmpd.conf.
Exemple de configuration SNMP
Étape 1 : Personnalisez les données
1 Pour personnaliser les données fournies par snmpd, ajoutez un fichier snmpd.conf à
l’aide de /usr/bin/snmpconf en tant que root ou à l’aide de sudo, en exécutant cette
commande :
/usr/bin/snmpconf -i
S’il existe des fichiers de configuration, vous pouvez les lire dans l’assistant et incorporer
leur contenu au résultat obtenu par l’assistant.
2 Choisissez de lire dans le fichier en indiquant son emplacement : /etc/snmp/snmpd.conf.
Une série de menus texte est alors affichée.
3 Effectuez vos choix dans cet ordre :
a
b
c
d
Sélectionnez un fichier : 1 (snmpd.conf )
Sélectionnez une section : 5 (configuration des informations système)
Sélectionnez une section : 1 (emplacement [généralement physique] du système)
Emplacement du système : tapez une chaîne de caractères ici — « salle_serveur »,
par exemple.
e Sélectionnez une section : f (terminer)
f Sélectionnez une section : f (terminer)
g Sélectionnez un fichier : q (quitter)
Vous venez de créer un fichier snmpd.conf avec la date du jour comme date de création.
Assurez-vous que le fichier existe en saisissant ls
202
Chapitre 8 Contrôle
-l /usr/share/snmpd.conf.
Étape 2 : Redémarrez snmpd pour valider les modifications
1 Ouvrez Admin Serveur.
2 Sélectionnez un serveur, cliquez sur le bouton Réglages dans la barre d’outils, puis
cliquez sur l’onglet Général.
3 Désélectionnez « Serveur de gestion de réseau (SNMP) ».
4 Cliquez sur Enregistrer.
Vous pouvez également effectuer cette procédure en interrompant, en tant que root,
le processus smnpd, puis en le redémarrant à partir de la ligne de commande :
/usr/sbin/snmpd
Étape 3 : Collectez des informations SNMP provenant de l’hôte
m Pour accéder aux informations disponibles via SNMP que vous venez d’ajouter, exécutez cette commande à partir d’un hôte sur lequel les outils SNMP sont installés :
/usr/bin/snmpget -c public <nom_hôte> system.sysLocation.0
Remplacez <nom_hôte> par le nom véritable de l’hôte cible.
Vous devriez voir l’emplacement que vous venez d’indiquer. Dans cet exemple,
vous verriez :
SNMPv2_MIB::system.sysLocation.0 = STRING:\”salle_serveur\”
Les autres options du menu sont :
/usr/bin/snmpget -c public <nom_hôte> system.sysContact.0
/usr/bin/snmpget -c public <nom_hôte> system.sysServices.0
Le « .0 » final indique que vous recherchez l’objet index. Le mot « public » est le nom
de la communauté snmp que vous n’avez pas modifié.
Pour plus d’informations sur l’un de ces éléments ou sur la syntaxe snmp, reportez-vous
aux didacticiels disponibles sur net-snmp.sourceforge.net.
Outils à utiliser avec SNMP
Outre snmpget, il existe d’autres outils snmp installés, ainsi que des suites de tierce partie, gratuites ou payantes, présentant différents niveaux de complexité et des fonctions
de génération de rapports.
Informations supplémentaires
Des informations supplémentaires sur SNMP sont disponibles à partir des sources
ci-dessous.
Pages man
La saisie de man
-k snmp
dans Terminal génère la liste des pages man connues.
Sites web
Projet Net SNMP :
 www.net-snmp.org
 net-snmp.sourceforge.net
Chapitre 8 Contrôle
203
Ouvrages
Essential SNMP, de Douglas Mauro et Kevin Schmidt
Éditeur : O’Reilly (deuxième édition, septembre 2005)
ISBN : 0-596-00840-6, 460 pages
Démons de notification et de contrôle des événements
Pour contrôler et journaliser les événements système, le système d’exploitation exécute plusieurs démons qui interceptent les messages provenant des applications et
les consignent dans un journal ou agissent sur ces événements.
Il existe deux démons principaux de notification : syslogd et emond.
 syslogd : le démon syslogd est une méthode UNIX standard de contrôle de systèmes.
Il consigne les messages conformément aux réglages figurant dans /etc/syslog.conf.
Vous pouvez examiner les fichiers de sortie spécifiés dans cette configuration à l’aide
d’un utilitaire d’impression ou d’édition standard, car il s’agit de fichiers en texte clair.
Les administrateurs peuvent modifier ces réglages pour définir avec précision les éléments à contrôler.
La plupart des administrateurs analysent automatiquement les fichiers d’historique à
l’aide de scripts qui effectuent une action prédéfinie dès qu’une information donnée
est rencontrée. Ces notifications personnalisées, qui varient en qualité et en utilité,
peuvent être personnalisées selon les besoins particuliers du créateur du script.
Il est possible de configurer le démon syslogd pour qu’il échange des informations
sur le fichier d’historique avec un serveur distant (pour ce faire, modifiez /System/
Bibliothèque/LaunchDaemons/com.apple.syslogd.plist). Cette opération n’est pas
conseillée, car syslogd n’utilise pas de connexion sécurisée pour envoyer des messages d’historique sur Internet.
 emond : le démon emond constitue le système de contrôle d’événements de
Mac OS X Server v10.5. Il s’agit d’un processus unifié qui gère les événements transmis par d’autres processus, agit sur ces événements en fonction d’un ensemble de
règles définies, puis envoie un message de notification à l’administrateur.
Actuellement, emond est le moteur qu’utilise le système de notification par courrier
électronique d’Admin Serveur. Il n’est pas utilisé pour les notifications de Contrôle
de serveur.
Le service de haut niveau reçoit des événements émanant du client enregistré, puis
analyse si l’événement doit être traité conformément aux règles fournies par le service au moment de son enregistrement. Si une réponse est nécessaire, l’action associée à l’événement est effectuée. Pour ce faire, le démon emond se compose de trois
parties principales : le moteur de règles, les événements auxquels il peut répondre
et les actions qu’il peut entreprendre.
204
Chapitre 8 Contrôle
Le moteur de règles d’emond fonctionne comme suit. Il :
 lit les informations de configuration dans /etc/emond.d/emond.conf ;
 lit les règles dans les fichiers plist figurant dans le répertoire /etc/emond.d/rules/ ;
 traite l’événement de démarrage ;
 accepte les événements jusqu’à la fin de l’exécution ;
 applique les règles associées à l’événement, les déclenchant au gré des besoins ;
 effectue les actions spécifiées par les règles qui ont été déclenchées ;
 s’exécute au niveau le moins privilégié possible (aucun).
AVERTISSEMENT : les formats de fichier et les réglages figurant dans emond.conf et
dans les fichiers plist de règles ne font pas l’objet d’une documentation destinée aux
utilisateurs. Leur modification n’est pas prise en charge et risque de rendre le système
de notification inutilisable.
Journalisation
Mac OS X Server conserve des fichiers d’historique UNIX standard et des historiques
de processus propres à Apple. Les historiques du système d’exploitation sont disponibles dans :
 /var/log
 /Bibliothèques/Historiques
 ~/Bibliothèques/Historiques
Chaque processus est responsable de ses propres historiques, du niveau d’historique
et du niveau de détail. Chaque processus ou application peut écrire son propre fichier
d’historique ou utiliser un historique système standard tel que syslog. L’application
Console (dans /Applications/Utilitaires) vous permet de lire ces historiques et d’autres
historiques en texte clair, quel que soit leur emplacement.
La plupart des services de Mac OS X Server possèdent une sous-fenêtre de journalisation dans Admin Serveur. Vous pouvez y définir les niveaux journalisation et afficher
les historiques d’un service particulier.
Syslog
L’historique système (system log, syslog) est un emplacement polyvalent consolidé,
destiné aux messages d’historique des processus. syslog possède plusieurs niveaux de
détail d’historique. Si la journalisation est réglée sur le niveau minimal, aucun message
détaillé n’est enregistré ; en revanche, le niveau maximal a pour effet de conserver tous
les détails, ce qui augmente la taille des historiques et peut les rendre inexploitables.
Chapitre 8 Contrôle
205
Le niveau de journalisation que vous utilisez pour syslog peut être adapté en fonction
du processus concerné et doit correspondre au niveau nécessaire pour une notification et un débogage efficaces.
Niveaux de journalisation syslog (par ordre croissant)
Nom du niveau
Indicateur de niveau dans
syslog.conf
Quantité de détails
Aucun
.none
Aucun
Urgence
.emerg
Minimal
Alerte
.alert
Erreur
.err
Avertissement
.warn
Avis
.notice
Info
.info
Déboguer
.debug
Maximal
Fichier de configuration syslog
Le fichier de configuration est disponible dans /etc/syslog.conf. Chaque ligne présente
le format suivant :
<fonction>.<niveau d’historique> <chemin du fichier d’historique>
« fonction » correspond au nom du processus qui écrit dans l’historique, tandis que
« chemin du fichier d’historique » correspond au chemin d’accès POSIX standard au
fichier d’historique. Il est possible d’utiliser des astérisques (*) comme caractères génériques. Par exemple, le réglage correspondant au noyau est le suivant :
kern.* /var/log/system.log
Dans cet exemple, le fichier /var/log/system.log recevra tous les messages d’historique
émanant du noyau quel que soit leur niveau.
De même, le réglage suivant active la journalisation de tous les messages de niveau
Urgence provenant de tous les processus dans un fichier d’historique personnalisé
nommé « emergencies » :
*.emerg /var/log/emergencies.log
206
Chapitre 8 Contrôle
Journalisation de débogage du service de répertoire
Si vous souhaitez recevoir les informations de débogage envoyées par les processus du
service de répertoire alors que vous utilisez Open Directory, choisissez une méthode de
journalisation différente de systemlog. Vous devez activer manuellement la journalisation de débogage sur le processus. Une fois activée, cette journalisation de débogage
écrit des messages dans le fichier d’historique, à l’emplacement suivant :
/Bibliothèque/Logs/DirectoryService/DirectoryService.debug.log
Les commandes suivantes doivent être exécutées avec des autorisations de superutilisateur (sudo ou root) :
Pour activer ou désactiver manuellement la journalisation de débogage des services
de répertoire :
killall -USR1 DirectoryService
Pour lancer le débogage au démarrage :
touch /Library/Preferences/DirectoryService/.DSLogAPIAtStart
Remarque : l’historique de débogage ne possède pas sa propre documentation et n’est
pas conçu pour une journalisation normale. Il contient de très nombreuses informations difficiles à comprendre. Il affiche les appels d’API, les requêtes de modules et les
réponses correspondantes.
Journalisation Open Directory
Le fichier de configuration se trouve dans /etc/openldap, les historiques dans
/var/log/slapd.log. Chaque transaction de répertoire génère un historique de transaction distinct dans la base de données OpenLDAP. Les historiques de base de données
et de transaction sont disponibles dans /var/db/openldap/openldap-data.
Le processus slapd, qui régit l’utilisation d’Open Directory, possède un paramètre de
plus destiné à une journalisation supplémentaire. Pour activer cette dernière, lancez
la commande suivante :
slapconfig -enablesslapdlog
Pour exécuter slapd en mode de débogage :
1 Arrêtez slapd et retirez-le de la liste de surveillance de launchd :
launchctl unload /System/Library/LaunchDaemons/org.openldap.plist
2 Redémarrez slapd en mode débogage :
sudo /usr/libexec/slapd -d 99
Chapitre 8 Contrôle
207
Journalisation AFP
La partie serveur du protocole AFP (Apple File Service Protocol) assure le suivi des
accès et des erreurs, mais ne possède pas beaucoup d’informations de débogage.
Vous pouvez cependant ajouter la journalisation coté client aux clients AFP, afin de
contribuer à la surveillance et au dépannage des connexions AFP.
Pour activer la journalisation côté client :
Effectuez toutes ces actions sur l’ordinateur client AFP.
1 Réglez le niveau de débogage du client (niveaux 0 à 8) :
defaults write com.apple.AppleShareClientCore -dict-add afp_debug_level 4
2 Désignez le destinataire des messages d’historique du client (dans le cas présent, syslog) :
defaults write com.apple.AppleShareClientCore -dict-add afp_debug_syslog 1
3 Activez la réception des messages de débogage du client dans syslog :
Pour ce faire, ajoutez *.debug /var/log/debug.log au fichier syslogd.conf.
4 Redémarrez le processus syslog.
Outils de contrôle supplémentaires
Vous pouvez utiliser d’autres outils pour effectuer le contrôle de Mac OS X Server. Il
existe plusieurs logiciels de contrôle de serveur de tierce partie, ainsi qu’un outil de
contrôle Apple supplémentaire.
La présence d’outils de tierce partie dans la liste ci-dessous ne signifie pas qu’Apple en
recommande l’utilisation ou fournit une assistance pour ces produits. Ils sont mentionnés ici à titre d’information.
 Apple Remote Desktop : les nombreuses fonctionnalités de ce logiciel permettent
d’interagir avec des ordinateurs sous Mac OS X et Mac OS X Server, d’obtenir des
rapports sur ces ordinateurs et d’assurer leur suivi. Il possède d’excellente fonctions
d’administration et de génération de rapports.
 Nagios (outil de tierce partie) : cet outil est une application open-source de contrôle de système et de réseau informatique.
 Growl (outil de tierce partie) : cet outil est un service de notification extensible
et centralisé qui prend en charge la notification locale et distante.
208
Chapitre 8 Contrôle
9
9
Exemple de configuration
L’exemple de configuration figurant dans ce chapitre illustre une des manières de
configurer les infrastructures de répertoire et de réseau Mac OS X Server pour une
petite entreprise.
Un seul Mac OS X Server dans une petite entreprise
Dans cet exemple, Mac OS X Server fournit des services de répertoire, de réseau et
de productivité aux employés d’une petite entreprise :
DSL
Mac OS X Server
(exemple.com)
Internet
Serveur
DNS du FAI
192.168.0.1
Alterner
VPN
Client
Mac OS X
Imprimante
partagée
Clients Windows
Clients Mac OS X
L’entreprise utilise un réseau local dans ses bureaux pour partager des fichiers et une
imprimante. L’acquisition de Mac OS X Server a rendu possible l’implémentation d’un
intranet utilisant les services DNS et DSL d’un FAI (fournisseur d’accès à Internet).
209
Voici un résumé des caractéristiques de cette étude de cas :
 Un répertoire LDAP maître Open Directory sur le serveur centralise la gestion des
utilisateurs, y compris l’authentification des utilisateurs Mac OS X et Windows.
 Le service DNS du FAI fournit un nom de domaine DNS à l’entreprise (« exemple.com »).
 Un serveur DNS exécuté sous Mac OS X Server fournit les services d’attribution de
noms au serveur, à l’imprimante et à tout autre périphérique intranet disposant
d’une adresse IP statique.
 Un coupe-feu entre le serveur et Internet protège l’intranet de tout accès non autorisé.
 Le service NAT permet aux utilisateurs de l’intranet de partager l’adresse IP du FAI pour
accéder à Internet. Le service VPN, pour sa part, permet aux employés d’accéder en
toute sécurité à l’intranet via Internet s’ils sont amenés à travailler en déplacement.
 Le service DHCP sur Mac OS X Server attribue une adresse IP dynamique à chacun des
ordinateurs clients de l’intranet. Le serveur et l’imprimante possèdent une adresse statique, mais les ordinateurs clients disposent chacun d’une adresse dynamique.
Configuration du serveur
Les étapes suivantes résument la configuration de Mac OS X Server pour cette petite
entreprise fictive. Pour obtenir des informations complètes relatives à la configuration
des services de répertoire, reportez-vous au guide Administration d’Open Directory.
Pour en savoir plus sur la configuration d’un service réseau (coupe-feu IP, DHCP, etc.),
reportez-vous au guide Administration des services de réseau.
Étape 1 : configurez le réseau
1 Assurez-vous que le serveur possède deux interfaces Ethernet (ports) : une pour la
connexion de l’intranet (réseau local, LAN) et une pour la connexion du modem DSL.
Utilisez l’interface la plus rapide pour la connexion au serveur. Une connexion à
10 Mbits est plus que suffisante pour la connexion DSL.
2 Connectez le serveur au réseau local par le biais de l’interface la plus rapide.
Dans notre exemple, le serveur est branché sur un commutateur permettant de connecter des ordinateurs clients et une imprimante partagée. Nous ferons désormais
référence à cette interface sous le nom d’interface interne.
Les périphériques intranet doivent être connectés à un concentrateur ou un commutateur à l’aide de câbles Ethernet CAT-5 de bonne qualité. Un commutateur à haut débit
de 10/100/1000 mégabits est capable de prendre en charge les fonctionnalités de serveur avancées, telles que NetBoot, dont le fonctionnement optimal est lié à la vitesse
de connexion.
3 Connectez le serveur au modem DSL à l’aide de l’autre interface Ethernet.
Nous ferons désormais référence à cette interface sous le nom d’interface externe.
210
Chapitre 9 Exemple de configuration
Étape 2 : contactez le fournisseur d’accès à Internet pour configurer les serveurs
DNS externes
Les serveurs de noms du FAI doivent servir la zone de l’entreprise, exemple.com, contenant toutes les adresses IP publiques de tous les serveurs et services disponibles pour
Internet (par exemple, le serveur web de l’entreprise et sa passerelle VPN).
En d’autres termes, la zone gérée par le FAI contient uniquement les adresses IP publiques et le serveur de noms du FAI fournit la redondance nécessaire. Le FAI doit aussi
fournir les recherches DNS bidirectionnelles relatives au domaine de la zone pour toute
adresse IP externe utilisée.
AVERTISSEMENT : cet exemple présuppose que le FAI fournit la résolution DNS dans
les deux sens pour l’adresse IP publique et le nom d’ordinateur du serveur. Si ce n’est
pas le cas (par exemple, si la configuration de votre FAI n’est pas encore effectuée
ou si vous comptez exécuter votre propre serveur de noms sur le serveur même),
choisissez Serveur autonome à l’étape 4, puis transformez-le en maître ou réplique
Open Directory seulement après avoir configuré un serveur DNS.
Étape 3 : configurez un ordinateur d’administration
1 Installez les outils d’administration de serveur qui se trouvent sur le DVD Server Tools.
Choisissez un ordinateur doté de Mac OS X 10.5 sur lequel installer les outils. Assurezvous que la communication réseau entre l’ordinateur administrateur et le serveur cible
fonctionne. Pour obtenir des instructions complémentaires, consultez la section
« Préparation d’un ordinateur administrateur » à la page 88.
2 Remplissez la Feuille d’opérations avancée Mac OS X Server située en annexe à la
page 221.
Ces informations seront nécessaires pour les différentes sous-fenêtres de l’assistant.
Étape 4 : configurez le serveur et le répertoire maître
1 Démarrez le serveur à partir du DVD d’installation.
La procédure à suivre dépend du type de matériel installé sur le serveur.
Pour notre exemple, partons du principe que l’ordinateur possède un clavier et un lecteur DVD. Allumez l’ordinateur, insérez le DVD d’installation dans le lecteur optique,
puis redémarrez l’ordinateur tout en maintenant la touche C du clavier enfoncée.
Le chapitre 5, « Installation et déploiement » à la page 85 contient des instructions relatives à d’autres méthodes d’installation, telles que l’installation sur un serveur sans lecteur optique ou l’installation depuis un environnement NetInstall.
2 Démarrez l’Assistant réglages sur l’ordinateur administrateur.
3 Une fois l’Assistant réglages ouvert, choisissez « Installer Mac OS X Server sur un ordinateur distant ».
Chapitre 9 Exemple de configuration
211
4 Avancez dans les écrans d’installation en suivant les instructions affichées.
Si vous devez formater le disque cible, consultez la section « Préparation des disques
pour l’installation de Mac OS X Server » à la page 98 pour suivre les instructions de
préparation de disques en vue de l’installation de Mac OS X Server.
Le serveur redémarre une fois l’installation terminée.
5 Après avoir redémarré, rouvrez Assistant du serveur, puis choisissez l’option
« Configurer un ordinateur distant ».
6 Utilisez les sous-fenêtres Langue et Clavier pour refléter la langue d’administration
du serveur.
7 Dans la sous-fenêtre Compte d’administrateur, saisissez les nom et mot de passe de
l’administrateur du serveur, puis cliquez sur Continuer.
8 Si vous ne retrouvez pas le serveur récemment installé dans la sous-fenêtre Noms de
réseau, cliquez sur le bouton Ajouter (+), tapez l’adresse IP, saisissez les nom et mot
de passe par défaut de l’administrateur, puis cliquez sur Continuer.
Pour en savoir plus, consultez la section « Connexion au réseau lors de la configuration
initiale du serveur » à la page 118.
9 Avancez dans les écrans d’installation en suivant les instructions affichées.
10 Assurez-vous que la sous-fenêtre Interfaces réseau contient la liste des interfaces
Ethernet internes et externes.
11 Assurez-vous que l’interface externe est la première mentionnée dans la sous-fenêtre
Interfaces réseau.
La première interface de la liste correspond à l’interface principale, ou interface par
défaut. Le trafic réseau provenant du serveur est acheminé vers l’interface principale.
VPN l’utilise comme réseau public et traite toutes les autres interfaces de la liste
comme réseau privé.
12 Cliquez sur Continuer.
La sous-fenêtre Connexion TCP/IP apparaît pour chaque interface Ethernet.
13 Pour l’interface externe, choisissez Manuellement dans la liste locale Configurer IPv4,
puis saisissez l’adresse IP, le masque de sous-réseau et la ou les adresses IP de serveurs
DNS que votre FAI vous a fournies.
Pour une configuration à double interface telle que celle de notre exemple, toutes les
requêtes DNS sont acheminées à l’interface principale. Par conséquent, si vous exécutez le service DNS sur votre serveur, saisissez également l’adresse IP publique de la passerelle dans le champ Serveurs de nom. Pour une configuration manuelle, placez
l’interface en haut de la liste de façon à ce qu’elle soit consultée avant les serveurs
de votre FAI, puis cliquez sur Continuer.
212
Chapitre 9 Exemple de configuration
14 Si vous comptez utiliser l’Assistant réglages de passerelle (accessible à partir de la section Service NAT d’Admin Serveur) pour configurer les réglages du réseau, vous n’avez
pas à configurer d’interface interne. Dans le cas contraire, saisissez les valeurs suivantes
pour l’interface interne, puis cliquez sur Continuer :
Â
Â
Â
Â
Â
Configurer IPv4 : Manuellement
Adresse IP : 192.168.0.1 (les valeurs 192.168 sont réservées aux réseaux locaux internes)
Masque de sous-réseau : 255.255.0.0
Routeur : 192.168.0.1
Serveurs DNS : 192.168.0.1
15 Dans la sous-fenêtre Utilisation du répertoire, choisissez Maître Open Directory pour
configurer un répertoire LDAP partagé sur le serveur ; sélectionnez ensuite « Activer le
contrôleur de domaine principal Windows », puis saisissez un nom de domaine/groupe
de travail.
Ces réglages permettent de configurer un PDC Windows afin que les employés utilisant une station de travail Windows NT, Windows 2000 ou Windows XP puissent ouvrir
une session sur le PDC, changer de mot de passe durant leur session et disposer de
profils d’utilisateur itinérant et de dossiers de départ réseau sur le serveur.
Un seul compte utilisateur suffit à chaque utilisateur pour ouvrir une session à partir
d’une station de travail Windows ou d’un ordinateur Mac OS X et accéder au même
dossier de départ réseau.
16 Cliquez sur Continuer.
17 Suivez les dernières instructions de l’assistant, puis cliquez sur Appliquer pour lancer
la configuration du serveur.
Le serveur redémarre une fois la configuration terminée.
18 Ouvrez une session sur le serveur sous l’identité de l’administrateur que vous avez
défini à l’aide de l’Assistant du serveur.
19 Configurez les réglages réseau du serveur.
Pour ce faire, la méthode la plus simple consister à passer par l’Assistant réglages de
passerelle (voir l’étape 4). Vous pouvez également configurer chaque service réseau
à l’aide d’Admin Serveur (voir étapes 5 à 8).
Étape 5 : utilisez l’Assistant réglages de passerelle pour automatiser la configuration réseau du serveur
1 Ouvrez Admin Serveur sur l’ordinateur administrateur.
2 Si vous ne l’avez pas encore fait, connectez-vous au serveur et authentifiez-vous sous
l’identité de l’administrateur que vous avez défini à l’aide de l’Assistant du serveur.
3 Sélectionnez le serveur et ajoutez les services à utiliser.
Pour cette étape, sélectionnez le service NAT et le service Coupe-feu.
Chapitre 9 Exemple de configuration
213
4 Dans la sous-fenêtre Vue d’ensemble du serveur que vous configurez, cliquez sur
le service NAT.
5 Ouvrez l’Assistant réglages de passerelle en cliquant sur le bouton situé dans
la sous-fenêtre de la vue d’ensemble du service NAT.
6 Suivez les instructions affichées dans les sous-fenêtres en fournissant les informations
demandées.
Dans la sous-fenêtre Port WAN, sélectionnez le port configuré comme interface externe
lors de la configuration initiale.
Dans la sous-fenêtre Réglages VPN, activez VPN, puis spécifiez un secret partagé à
utiliser pour les connexions client.
Dans la sous-fenêtre Ports LAN, sélectionnez le port destiné à servir d’interface interne.
7 Une fois que l’Assistant réglages de passerelle a terminé la configuration du réseau et
que vous avez fermé l’application, passez à l’étape 9.
Étape 6 : configurez le coupe-feu
1 Ouvrez Admin Serveur sur l’ordinateur administrateur.
2 Si ce n’est pas encore fait, connectez-vous au serveur et authentifiez-vous sous
l’identité de l’administrateur que vous avez défini à l’aide de l’Assistant du serveur.
3 Dans la liste des services, cliquez sur Coupe-feu.
4 Cliquez sur « Démarrer le coupe-feu » dans la barre d’action inférieure.
5 Cliquez sur Réglages, puis sélectionnez Services.
6 Choisissez « Modifier les services pour » le groupe d’adresses intitulé « 192.168-net ».
7 Choisissez « Autorisé » pour les services que vous voulez mettre à la disposition des
employés travaillant au bureau.
Sélectionnez au moins Service DNS, DHCP et NetBoot.
8 Choisissez « Modifier les services pour » le groupe d’adresses intitulé « Quelconque ».
9 Cliquez sur Services et sélectionnez « Autorisé » pour les services que vous voulez mettre à la disposition des clients externes à travers le coupe-feu. Sélectionnez au moins
L2TP VPN, IKE et DHCP.
10 Cliquez sur Enregistrer.
Étape 7 : configurez le service DNS
Le DNS de Leopard Server gère les informations de zone (par exemple, tous les noms
d’hôte complets du site local, tels que « site1.exemple.com ») en mappant cette zone
privée sur des adresses IP locales privées. Cela permet d’éviter d’avoir à ajouter des
serveurs publics au DNS local.
214
Chapitre 9 Exemple de configuration
De plus, une zone de réexpédition DNS est configurée pour rechercher dans les enregistrements DNS du FAI tout ce qui est introuvable dans la zone DNS locale (telles les
adresses IP des serveurs web d’autres organisations, comme www.apple.com).
Remarque : comme nous l’avons mentionné à l’étape 2, cet exemple part du principe
que votre FAI assure les services de résolution DNS bidirectionnelle pour la zone de
votre entreprise <exemple.com>, notamment la résolution de l’adresse IP publique
du serveur.
Le serveur de noms interne utilise par conséquent une zone interne telle que
<site1.exemple.com> qui conserve les adresses IP privées du serveur et de tous
les autres périphériques du réseau local.
1 Dans Admin Serveur, sélectionnez DNS dans la liste des services.
2 Cliquez sur Zones, sur le bouton Ajouter (+) sous la liste Zones, puis sélectionnez
« Ajouter une zone principale ».
3 Sélectionnez la zone par défaut, puis adaptez-la à votre entreprise.
Dans notre cas, les réglages sont les suivants :
 Nom de la zone principale : exemple.com
 Adresse du serveur de noms : 192.168.0.1
 Adresse de l’admin. : [email protected]
4 Ajoutez un enregistrement de machine à la zone en sélectionnant cette dernière, en cliquant sur « Ajouter un enregistrement », puis en sélectionnant « Ajouter une machine
(A) » via le bouton local.
5 Sélectionnez l’enregistrement de machine situé sous le nom de la zone, modifiez-le
en adoptant les réglages ci-dessous, puis cliquez sur Enregistrer une fois terminé.
 Nom de la machine : myserver
 Adresse IP : 192.168.0.1
6 À l’aide des réglages suivants, ajoutez d’autres ordinateurs à la zone.
Par exemple, pour ajouter une imprimante, cliquez sur le bouton Ajouter, indiquez
des valeurs applicables à l’imprimante, puis cliquez sur OK :
 Adresse IP : 192.168.100.2
 Nom : laserprinter_2000
7 Cliquez sur Réglages pour régler le serveur de façon à ce qu’il recherche à l’extérieur
tout nom de domaine qu’il ne contrôle pas.
8 Dans la liste « Adresses IP du réexpéditeur », cliquez sur le bouton Ajouter (+) pour
ajouter les adresses DNS fournies par le FAI.
9 Cliquez sur Enregistrer, puis cliquez sur Démarrer le DNS.
Chapitre 9 Exemple de configuration
215
Étape 8 : configurez le service DHCP
Cette étape permet de configurer un serveur DHCP fournissant des adresses IP dynamiques aux ordinateurs des employés, ainsi que l’identité des serveurs DNS, LDAP et WINS
à utiliser.
Si la politique de recherche d’un ordinateur client est réglée sur Automatique (à l’aide
de l’application Utilitaire d’annuaire sur l’ordinateur client), l’identité des serveurs DNS,
LDAP et WINS est fournie en même que temps que les adresses IP.
1 Dans Admin Serveur, assurez-vous que le service DNS est en cours d’exécution.
2 Sélectionnez DHCP dans la liste des services.
3 Cliquez sur Sous-réseaux.
4 Cliquez sur le bouton Ajouter (+) pour définir la plage d’adresses à attribuer de manière
dynamique.
Cette plage doit être suffisamment étendue pour accueillir tous les ordinateurs clients,
présents et futurs. Veillez à exclure quelques adresses (en début ou en fin de plage) de
façon à les réserver aux périphériques nécessitant une adresse IP statique ou aux utilisateurs du VPN.
Voici quelques exemples de valeurs :
Â
Â
Â
Â
Â
Masque de sous-réseau : 255.255.0.0
Adresse IP de début de plage : 192.168.0.2
Adresse IP de fin de plage : 192.168.0.102
Interface réseau : en1
Routeur : 192.168.0.1
5 Assurez-vous que la sous-fenêtre DNS contient les valeurs suivantes :
 Domaine par défaut : exemple.com
 Serveurs de nom : 192.168.0.1
6 Cliquez sur LDAP pour configurer le service DHCP afin d’identifier le serveur que vous
configurez comme source d’informations de répertoire pour les clients recevant des
adresses IP dynamiques.
Le serveur que vous configurez doit être identifié dans le champ Nom du serveur, car
vous l’avez configuré comme maître Open Directory lorsque vous avez utilisé Assistant
du serveur. Les autres réglages sont facultatifs pour cet exemple.
7 Cliquez sur WINS pour configurer DHCP afin de fournir des paramètres propres à
Windows aux clients recevant des adresses IP dynamiques ; indiquez ensuite les
valeurs suivantes :
 Serveur primaire WINS/NBNS : 192.168.0.1
 Type de nœud NBT : Diffusion (nœud-b)
216
Chapitre 9 Exemple de configuration
8 Cliquez sur Enregistrer, activez l’interface Ethernet interne, puis cliquez sur Démarrer
le DHCP.
Étape 9 : configurez le service NAT
1 Dans Admin Serveur, sélectionnez NAT dans la liste des services.
2 Cliquez sur Réglages.
3 Sélectionnez l’interface externe dans le menu local « Interface réseau externe ».
4 Cliquez sur Enregistrer, puis sur Démarrer le NAT.
Étape 10 : configurez le service VPN
1 Dans Admin Serveur, sélectionnez VPN dans la liste des services.
2 Cliquez sur Réglages.
3 Activez L2TP via IPSec pour les utilisateurs d’ordinateurs Mac OS X 10.5, les utilisateurs
de stations de travail Linux ou UNIX et les utilisateurs de Windows XP.
Bien qu’il soit également possible d’utiliser PPTP, L2TP procure plus de sécurité car
il exploite le protocole IPSec.
4 Saisissez des adresses IP de début et de fin pour indiquer au serveur VPN la plage qu’il
peut attribuer aux clients.
Ne reprenez pas les adresses servies par le serveur DHCP. Évitez également celles que
vous spécifiez si vous activez le protocole PPTP.
5 Saisissez un secret partagé suffisamment complexe dans le champ « Secret partagé ».
Utilisez par exemple des chiffres, des symboles et des caractères en majuscules et en
minuscules pour former des combinaisons inhabituelles. La longueur recommandée
est de 8 à 12 caractères.
6 Activez le protocole PPTP si les employés nécessitent un accès à l’intranet soit à partir
de postes de travail Windows autres que des ordinateurs Windows XP, soit à partir
d’ordinateurs Mac OS X 10.2, lorsqu’ils travaillent en déplacement.
Pour prendre en charge des clients Windows de versions plus anciennes et non compatibles avec PPTP 128 bits, sélectionnez « Autoriser les clés de cryptage 40 bits, outre
celles de 128 bits ».
7 Saisissez des adresses IP de début et de fin pour indiquer au serveur VPN la plage qu’il
peut attribuer aux clients.
Ne reprenez pas les adresses servies par le serveur DHCP. Évitez également celles que
vous avez spécifiées au moment de l’activation du protocole L2TP via IPSec.
8 Cliquez sur Enregistrer, puis cliquez sur Démarrer le VPN.
Chapitre 9 Exemple de configuration
217
Étape 11 : configurez les services de productivité
L’infrastructure nécessaire pour configurer les services de fichiers, les services d’impression et d’autres services de productivité est désormais disponible. Suivez les instructions fournies dans les guides d’administration appropriés (dont la liste est présentée
à la page 13) pour configurer les services qui vous intéressent.
De nombreux services, tels que le service de fichiers Apple, requièrent une configuration minimale. Démarrez-les simplement à l’aide d’Admin Serveur.
Étape 12 : créez des comptes utilisateurs et leurs dossiers de départ
1 Ouvrez Gestionnaire de groupe de travail.
2 Si vous ne l’avez pas encore fait, connectez-vous au serveur et authentifiez-vous sous
l’identité de l’administrateur que vous avez défini à l’aide de l’Assistant du serveur.
Le répertoire LDAP maître Open Directory est modifiable. Vous pouvez ajouter un
compte pour chaque employé à ce répertoire maître.
3 Cliquez sur le bouton Nouvel utilisateur.
4 Spécifiez les réglages d’utilisateur dans les différentes sous-fenêtres.
Le guide Gestion des utilisateurs vous indique comment configurer tous les attributs
des comptes utilisateur, notamment les dossiers de départ. Il explique également comment gérer des utilisateurs en configurant des comptes de groupe et des listes d’ordinateurs, et comment configurer les préférences permettant de personnaliser les
environnements de travail des clients Macintosh.
Les guides Gestion des utilisateurs et Administration d’Open Directory expliquent
comment mettre en place la prise en charge spécifique des utilisateurs de postes
de travail Windows.
Étape 13 : configurez les ordinateurs clients
Les informations suivantes s’appliquent aux ordinateurs Mac OS X 10.5.
1 Si nécessaire, configurez les clients Mac OS X afin qu’ils obtiennent des informations
du serveur DHCP.
Les ordinateurs Mac OS X 10.5 sont configurés pour obtenir des adresses IP via DHCP
et récupérer les informations de répertoire LDAP à partir du serveur DHCP. Une fois
que vous avez configuré le service DHCP à l’aide d’informations relatives à un répertoire LDAP, ces informations sont transmises aux clients Mac OS X lorsqu’ils reçoivent
leur adresse IP du serveur DHCP.
Les réglages suivants sont préconfigurés :
 Les préférences Réseau sont définies de façon à exploiter le protocole DHCP. Pour
accéder au réglage, ouvrez les Préférences Système, ouvrez les préférences Réseau,
sélectionnez l’interface Ethernet interne, puis l’option « Utilisation de DHCP avec
une adresse manuelle » ou « Via DHCP » dans le menu local Configurer IPv4.
218
Chapitre 9 Exemple de configuration
 La politique de recherche de l’ordinateur est réglée pour être définie automatiquement. Pour accéder à ce réglage, ouvrez Utilitaire d’annuaire (dans /Applications/Utilitaires/), puis cliquez sur Authentification. Si le cadenas est fermé, cliquez dessus et
authentifiez-vous en tant qu’administrateur. Sélectionnez Automatique dans le menu
local Rechercher, puis cliquez sur Appliquer.
 La fourniture d’informations LDAP par DHCP est activée. Pour accéder à ce réglage,
ouvrez Utilitaire d’annuaire et cliquez sur Services. Si le cadenas est fermé, cliquez
dessus et authentifiez-vous en tant qu’administrateur. Sélectionnez LDAPv3 dans
la liste des services, puis cliquez sur Configurer. Cliquez sur « Utiliser le serveur LDAP
fourni par DHCP », puis sur OK.
2 Configurez les clients Mac OS X afin qu’ils puissent utiliser le serveur VPN.
3 Ouvrez l’application Connexion à Internet (dans /Applications/), puis cliquez sur VPN
dans la barre d’outils.
4 Sélectionnez L2TP via IPSec ou PPP, puis cliquez sur Continuer.
5 Dans le menu local Configurations, choisissez Modifier les configurations.
6 Saisissez l’adresse IP externe communiquée par le FAI, les nom et mot de passe de l’utilisateur de l’ordinateur et, si vous avez choisi l’option L2TP via IPSec, le secret partagé.
7 Cliquez sur OK.
Chapitre 9 Exemple de configuration
219
Annexe
Feuille d’opérations avancées de
Mac OS X Server
Saisissez les réglages du serveur dans les tableaux ci-dessous :
Nom du serveur :
Élément
Description
Identité du serveur
distant pour l’installation et la configuration
Pour l’installation et la configuration interactives
d’un serveur distant sur le sous-réseau local, l’une
de ces valeurs du serveur :
- Adresse IP au format IPv4 (000.000.000.000)
- Nom d’hôte (serveur.exemple.com)
- Adresse MAC (00:03:93:71:26:52)
Pour les installations et configurations à partir de
la ligne de commande ou d’un sous-réseau distant, l’adresse IP du serveur cible au format IPv4.
Mot de passe prédéfini (pour l’installation
et la configuration à
distance)
Les huit premiers chiffres du numéro de série
matériel du serveur cible, imprimé sur une étiquette collée sur l’ordinateur.
Pour les anciens ordinateurs ne portant pas ce
type de numéro, tapez 12345678.
Type d’installation
Mise à niveau à partir de la version 10.3.9 ou de
la dernière version 10.4, installation complète
sans formatage de disque ou installation spéciale.
Le volume (partition) cible est effacé lorsque vous
effectuez une nouvelle installation.
Disque ou partition
cible.
Nom du disque ou de la partition (volume) cible.
Format de disque
(lorsque l’effacement du disque
est validé)
Format du disque cible.
Dans la plupart des cas, utilisez Mac OS Étendu
(journalisé).
Vous pouvez aussi utiliser le format Mac OS
étendu ou le format HFS+ sensible à la casse.
Partitionnement de
disque (lorsque
l’effacement du
disque est validé)
Indiquez si vous souhaitez partitionner le disque
cible.
La taille minimum recommandée d’une partition
de disque cible est de 4 Go.
Vos informations
221
Élément
Description
Mise en miroir RAID
(lorsque l’effacement du disque
est validé et que
vous disposez d’un
deuxième disque
physique sur le serveur cible)
Indiquez si vous souhaitez configurer la mise en
miroir RAID. Le deuxième disque est utilisé automatiquement si le disque principal n’est pas disponible.
Si le disque cible comporte une partition unique
et que le deuxième disque physique comporte
une partition unique sans aucune donnée, vous
pouvez configurer la mise en miroir RAID après
l’installation. Cependant, afin d’éviter toute perte
de données, configurez la mise en miroir RAID le
plus tôt possible.
Utilisation de données de configuration enregistrées
Si vous voulez utiliser les données de configuration enregistrées pour configurer ce serveur, identifiez le fichier ou le répertoire dans lequel elles
sont stockées . Si les données sont chiffrées, identifiez également la phrase secrète.
Si vous souhaitez enregistrer des réglages dans
un fichier ou un répertoire, utilisez l’une des deux
lignes suivantes.
Enregistrement des
Nommez le fichier à l’aide de l’une des options
données de configu- suivantes :
ration dans un fichier  <adresse-MAC-du-serveur>.plist (notez les zéros
initiaux mais omettez les deux-points, par
exemple, 0030654dbcef.plist) ;
 <adresse-IP-du-serveur>.plist (par exemple,
10.0.0.4.plist) ;
 <nom-DNS-partiel-du-serveur>.plist (par exemple, monserveur.plist) ;
 <numéro-de-série-matériel-intégré-du-serveur>.plist (huit premiers caractères, par exemple, ABCD1234.plist) ;
 <nom-DNS-complet-du-serveur>.plist (par
exemple, monserveur.exemple.com.plist) ;
 <adresse-IP-partielle-du-serveur>.plist (par
exemple, 10.0.plist correspond à 10.0.0.4 et
10.0.1.2) ;
 générique.plist (fichier que tout serveur reconnaîtra, utilisé pour configurer les serveurs qui
nécessitent les mêmes valeurs de configuration).
Si vous chiffrez le fichier, vous pouvez enregistrer
la phrase secrète dans un fichier nommé selon les
conventions ci-dessus, mais utilisez l’extension
.pass plutôt que .plist.
Placez les fichiers à un emplacement où ils pourront être détectés par le ou les serveurs cibles. Un
serveur peut détecter les fichiers qui résident sur
un volume monté localement dans/Volumes/*/
Auto Server Setup/, où * correspond à n’importe
quel périphérique monté sous /Volumes.
222
Annexe
Feuille d’opérations avancées de Mac OS X Server
Vos informations
Élément
Description
Enregistrement
de données de
configuration dans
un répertoire
Accédez au répertoire dans lequel vous souhaitez enregistrer la configuration, puis nommez
l’enregistrement de configuration à l’aide d’une
des options suivantes :
 <adresse-MAC-du-serveur (notez les zéros initiaux mais omettez les deux-points, par exemple, 0030654dbcef ) ;
 <adresse-IP-du-serveur> (par exemple, 10.0.0.4) ;
 <nom-DNS-partiel-du-serveur> (par exemple,
monserveur) ;
 <numéro-de-série-matériel-intégré-du-serveur
(huit premiers caractères, par exemple,
ABCD1234) ;
 <nom-DNS-complet-du-serveur (par exemple,
monserveur.exemple.com) ;
 <adresse-IP-partielle-du-serveur (par exemple,
10.0 correspond à 10.0.0.4 et 10.0.1.2) ;
 générique (enregistrement que tout serveur
reconnaîtra, utilisé pour configurer les serveurs qui
nécessitent les mêmes valeurs de configuration).
Si vous chiffrez le fichier, vous pouvez enregistrer
la phrase secrète dans un fichier nommé à l’aide
des conventions ci-dessus, mais utilisez l’extension .pass. Placez le fichier de phrase secrète à un
emplacement où il pourra être détecté par le ou
les serveurs cibles. Un serveur peut détecter le
fichier s’il réside sur un volume monté localement dans /Volumes/*/Auto Server Setup/, où *
correspond à tout périphérique monté sous
/Volumes.
Langue
Langue à utiliser pour l’administration du serveur
(anglais, japonais, français ou allemand). La langue affecte les formats de date et d’heure du serveur, le texte affiché et l’encodage par défaut
utilisé par le serveur AFP.
Configuration
de clavier
Clavier de l’administration du serveur.
Annexe
Feuille d’opérations avancées de Mac OS X Server
Vos informations
223
224
Élément
Description
Numéro de série
Numéro de série de votre copie de Mac OS X Server. Vous avez besoin d’un nouveau numéro de
série pour Mac OS X Server 10.5.
Le format est xsvr-999-999-x-xxx-xxx-xxx-xxx-xxxxxx-x, où x est une lettre et 9 un chiffre. Le premier élément (xsvr) et le quatrième (x) doivent
être en minuscules.
Excepté si vous possédez une licence de site, vous
avez besoin d’un numéro de série unique pour
chaque serveur. Vous trouverez le numéro de
série du logiciel serveur imprimé sur les documents fournis avec le logiciel.
Si vous possédez une licence de site, vous devez
saisir les noms du propriétaire enregistré et de
l’organisation exactement tels qu’ils ont été spécifiés par votre représentant Apple.
Si vous configurez un serveur à l’aide d’un fichier
de configuration ou d’un enregistrement de
répertoire génériques et que le numéro de série
ne correspond pas à une licence de site, vous
devez saisir le numéro de série du serveur à l’aide
d’Admin Serveur.
Nom long de l’administrateur (parfois
appelé nom complet
ou nom réel)
Un nom long ne doit pas être composé de plus
de 255 octets. Le nombre de caractères va de 0
à 255.
Les caractères romains sont limités à 85 caractères
à 3 octets.
Ce nom peut comporter des espaces.
Il ne doit pas être identique à un nom d’utilisateur prédéfini, tel que l’administrateur système.
Il respecte la casse dans la fenêtre d’ouverture
de session, mais pas lors de l’accès aux serveurs
de fichiers.
Nom abrégé de
l’administrateur
Le nom abrégé peut contenir jusqu’à 255 caractères romains, même s’il se limite généralement à
huit ou moins.
N’utilisez que les caractères a à z, A à Z, 0 à 9, _
(trait de soulignement) ou - (trait d’union).
Évitez les noms abrégés affectés par Apple à des
utilisateurs prédéfinis, tels que « root ».
Annexe
Feuille d’opérations avancées de Mac OS X Server
Vos informations
Élément
Description
Mot de passe de
l’administrateur
Cette valeur distingue les majuscules des minuscules et doit contenir au moins 4 caractères. Il
s’agit également du mot de passe de l’utilisateur
root.
Si vous enregistrez cette valeur, veillez à conserver cette feuille d’opérations en lieu sûr.
À l’issue de la configuration, utilisez le Gestionnaire de groupe d’opérations pour changer le
mot de passe de ce compte.
Nom d’hôte
Vous ne pouvez pas spécifier ce nom lors de la
configuration du serveur. L’Assistant du serveur
configure le nom d’hôte sur AUTOMATIC dans
/etc/hostconfig.
Avec ce réglage, le nom d’hôte du serveur est
le premier nom qui est vrai dans cette liste :
- Le nom fourni par le serveur DHCP ou BootP
pour l’adresse IP principale
- Le premier nom renvoyé par une requête DNS
inversé (adresse-vers-nom) pour l’adresse IP
principale
- Le nom d’hôte local
- Le nom « localhost »
Nom de l’ordinateur
Le nom AppleTalk et le nom par défaut utilisé
pour SLP/DA. Indiquez un nom de 63 caractères
ou moins, mais évitez d’utiliser les caractères =, :
et @.
L’Explorateur réseau du Finder utilise le protocole
SMB pour rechercher des ordinateurs fournissant
le partage de fichiers Windows.
Pour le protocole SMB, les espaces sont supprimés dans les noms d’ordinateur. Ces noms sont
limités à un maximum de 15 caractères et ne peuvent contenir de caractères spéciaux et de signes
de ponctuation.
Nom d’hôte local
Le nom qui désigne un ordinateur sur un sousréseau local.
Il peut contenir des lettres minuscules, des chiffres et/ou des traits d’union (mais pas aux extrémités). Le nom se termine par « .local » et doit
être unique sur un sous-réseau local.
Données d’interface
réseau
Votre serveur est équipé d’un port Ethernet intégré et éventuellement d’un port supplémentaire
(intégré ou ajouté). Enregistrez les informations
de chaque port à activer.
Annexe
Feuille d’opérations avancées de Mac OS X Server
Vos informations
Enregistrez les données
relatives à chaque port
dans le tableau fourni
plus loin dans cette feuille
d’opérations.
225
Élément
Description
Utilisation
des répertoires
Sélectionnez l’un des éléments suivants :
- Serveur autonome (utilisez uniquement
le répertoire local).
- Connecté à un système de répertoire (obtenez
des informations d’un autre répertoire partagé
du serveur). Si vous sélectionnez cette option,
utilisez l’une des quatre lignes suivantes de ce
tableau pour indiquer la façon dont le serveur se
connecte au répertoire.
- Maître Open Directory (fournissez les informations de répertoire aux autres ordinateurs). Si
vous choisissez cette option, utilisez la ligne
Utilisation du maître Open Directory.
- Aucune modification (pour les mises à niveau
seulement).
Utilisation de Tel
que spécifié par
le serveur DHCP
Le répertoire à utiliser est identifié par un serveur
DHCP configuré pour fournir l’adresse et la base de
recherche d’un serveur LDAP (DHCP option 95).
Utilisation d’un serveur Open Directory
Le répertoire à utiliser est un répertoire LDAP
identifié par un serveur DHCP ou en spécifiant
une adresse IP ou un nom de domaine de serveur LDAP.
Vos informations
Utilisation d’un autre Les répertoires à utiliser sont configurés à l’aide
serveur de répertoire de l’application Utilitaire d’annuaire une fois que
vous avez terminé la configuration du serveur.
Utilisation de maître
Open Directory
Vous pouvez, si vous le souhaitez, indiquer que
vous voulez activer un contrôleur de domaine
principal Windows sur le serveur. Indiquez un
nom d’ordinateur et un domaine Windows pour
le serveur. Le nom d’ordinateur et le domaine
peuvent contenir les caractères a à z, A à Z, 0 à 9,
-, mais pas de . ou d’espace ; en outre, ils ne peuvent pas être composés uniquement de chiffres.
Terminez la configuration du répertoire à héberger à l’aide d’Admin Serveur une fois la configuration du serveur achevée.
Fuseau horaire
Choisissez le fuseau horaire que le serveur doit
utiliser.
Horloge réseau
Indiquez éventuellement un serveur horloge
de réseau.
Apple recommande de préserver la précision de
l’horloge du serveur en la synchronisant avec un
serveur horloge de réseau.
Les réglages de configuration du port suivant apparaissent dans le tableau ci-dessous :
Nom du port : Ethernet intégré
226
Annexe
Feuille d’opérations avancées de Mac OS X Server
Élément
Description
Vos informations
Nom du périphérique
Un nom UNIX du port au format en x, où x commence par
0. Pour connaître la valeur de x pour le port que vous
décrivez, reportez-vous au manuel fourni avec le matériel.
La valeur en0 désigne toujours un port Ethernet intégré.
en0
Adresse Ethernet L’adresse MAC (Media Access Control) du port
(00:00:00:00:00:00). Cette valeur se trouve généralement
sur un autocollant apposé sur le serveur, mais vous pouvez également exécuter Informations Système Apple ou
un outil de ligne de commande tel que networksetup
pour retrouver cette valeur.
TCP/IP et AppleTalk
Indiquez si vous souhaitez activer le port pour TCIP/IP
et/ou AppleTalk.
Vous pouvez connecter un port à Internet en activant
TCP/IP et utiliser le même port ou un autre port pour
AppleTalk.
N’activez pas plus d’un port pour AppleTalk.
Ordre des ports
Si vous activez plusieurs ports, indiquez l’ordre dans
lequel vous devez accéder aux ports lors de la tentative
de connexion à un réseau. L’ensemble du trafic réseau
non local utilise le premier port actif.
Réglages TCP/IP
Utilisez l’une des quatre lignes suivantes de ce tableau.
Manuellement
Spécifiez ces réglages pour effectuer manuellement
les réglages TCP/IP :
- Adresse IP (000.000.000.000). Adresse statique unique.
- Masque de sous-réseau (000.000.000.000). Utilisé pour
localiser le sous-réseau sur le réseau local où se trouve
le serveur. Ce masque est utilisé pour déduire la partie
réseau de l’adresse du serveur. Le reste identifie l’ordinateur serveur sur ce réseau.
- Routeur (000.000.000.000) prenant en charge le sousréseau sur lequel réside le serveur. Le routeur est l’ordinateur du sous-réseau local auquel les messages sont
envoyés si l’adresse IP cible ne se trouve pas sur le sousréseau local.
- Serveurs DNS (000.000.000.000) utilisés pour convertir
les adresses IP en noms DNS complets (et inversement)
pour le port.
- Domaines de recherche (facultatif ). Noms à ajouter
automatiquement aux adresses Internet lorsque vous ne
les tapez pas entièrement. Par exemple, si vous indiquez
« campus.univ.edu » comme domaine de recherche, vous
pouvez saisir « serveur1 » dans la zone de dialogue « Se
connecter au serveur » du Finder pour vous connecter à
serveur1.campus.univ.edu.
Annexe
Feuille d’opérations avancées de Mac OS X Server
227
228
Élément
Description
Via DHCP avec
saisie manuelle
de l’adresse IP
Spécifiez ces réglages pour utiliser un serveur DHCP afin
d’attribuer une adresse IP statique et éventuellement
d’autres réglages pour le port.
Assurez-vous que le serveur DHCP est configuré et que
le service DHCP est en cours d’exécution lorsque vous
entamez la configuration du serveur :
- Adresse IP (000.000.000.000). Adresse statique unique.
- Serveurs DNS (000.000.000.000) utilisés pour convertir
les adresses IP en noms DNS complets (et inversement)
pour le port.
- Domaines de recherche (facultatif ). Noms à ajouter
automatiquement aux adresses Internet lorsque vous ne
les tapez pas entièrement. Par exemple, si vous indiquez
« campus.univ.edu » comme domaine de recherche, vous
pouvez saisir « serveur1 » dans la zone de dialogue « Se
connecter au serveur » du Finder pour vous connecter à
serveur1.campus.univ.edu.
Via DHCP
Indiquez ces réglages si vous souhaitez utiliser un serveur DHCP pour attribuer une adresse IP dynamique et
éventuellement d’autres réglages au port. Assurez-vous
que le serveur DHCP est configuré et que le service
DHCP est en cours d’exécution lorsque vous entamez
la configuration du serveur :
- Identifiant client DHCP (facultatif ). Chaîne utile pour
reconnaître un port lorsque son adresse IP change. Ne
spécifiez pas d’identifiant client DHCP lors de l’utilisation
de l’Assistant du serveur pour configurer le serveur à distance. En revanche, après la configuration, utilisez les
préférences Réseau du serveur pour définir un identifiant client DHCP.
- Serveurs DNS (000.000.000.000) utilisés pour convertir
les adresses IP en noms DNS complets (et inversement)
pour le port.
- Domaines de recherche (facultatif ). Noms à ajouter
automatiquement aux adresses Internet lorsque vous ne
les tapez pas entièrement. Par exemple, si vous indiquez
« campus.univ.edu » comme domaine de recherche, vous
pouvez saisir « serveur1 » dans la zone de dialogue « Se
connecter au serveur » du Finder pour vous connecter à
serveur1.campus.univ.edu.
Annexe
Feuille d’opérations avancées de Mac OS X Server
Vos informations
Élément
Description
Via BootP
Spécifiez ces réglages si vous souhaitez utiliser un serveur de protocole Bootstrap pour attribuer une adresse
IP au port identifié.
Avec BootP, la même adresse IP est toujours affectée à
une interface réseau particulière. Elle est utilisée principalement pour les ordinateurs qui démarrent à partir
d’une image NetBoot :
- Serveurs DNS (000.000.000.000) utilisés pour convertir
les adresses IP en noms de domaine complets (et inversement) pour le port.
- Domaines de recherche (facultatif ). Noms à ajouter
automatiquement aux adresses Internet lorsque vous ne
les tapez pas entièrement. Par exemple, si vous indiquez
« campus.univ.edu » comme domaine de recherche, vous
pouvez saisir « serveur1 » dans la zone de dialogue « Se
connecter au serveur » du Finder pour vous connecter à
serveur1.campus.univ.edu.
Annexe
Feuille d’opérations avancées de Mac OS X Server
Vos informations
229
230
Élément
Description
IPv6
Pour configurer l’adressage IPv6 pour le port, sélectionnez
Automatiquement ou Manuellement.
Choisissez Automatiquement si vous souhaitez que le
serveur génère automatiquement une adresse IPv6 pour
le port.
Choisissez Manuellement pour spécifier des réglages
IPv6 :
- Adresse IPv6. Généralement au format
0000:0000:0000:0000:0000:0000:0000:0000.
- Routeur. Adresse IPv6 du routeur sur le sous-réseau
local.
- Longueur du préfixe. Nombre de bits significatifs du
masque de sous-réseau utilisés pour identifier le réseau.
Réglages
Ethernet
Pour configurer automatiquement les réglages Ethernet
pour le port, choisissez Automatiquement.
Choisissez Manuellement (Avancé) pour spécifier les réglages si vous avez des besoins particuliers concernant le
réseau auquel le serveur est connecté. Des réglages Ethernet incorrects peuvent affecter les performances réseau
ou rendre un port inutilisable :
- Vitesse. Vitesse Ethernet maximale, en bits par seconde,
pour toute transmission via le port. Sélectionnez l’une
des options suivantes : Sélection automatique, 10baseT/
UTP, 100baseTX et 1000baseTX.
- Duplex. Détermine si les paquets d’entrée et de sortie
sont transmis simultanément (duplex intégral) ou en
alternance (semi-duplex).
- Taille maximale d’unité de transfert de paquets (MTU).
Le plus gros paquet que le port va envoyer ou recevoir,
exprimé en octets. L’augmentation de la taille de paquet
améliore le débit, mais les périphériques qui reçoivent le
paquet (commutateurs, routeurs, etc.) doivent prendre
en charge cette taille de paquet. Sélectionnez l’une des
options suivantes : Standard (1500), Jumbo (9000) ou
Personnaliser (saisissez une valeur comprise entre 72
et 1500).
Annexe
Feuille d’opérations avancées de Mac OS X Server
Vos informations
Les réglages de configuration du port suivant apparaissent dans le tableau ci-dessous :
Nom du port :
Élément
Description
Nom du périphérique
Un nom UNIX du port au format enx, où x commence par
0. Pour connaître la valeur de x pour le port que vous
décrivez reportez-vous au manuel fourni avec le matériel.
La valeur en0 désigne toujours un port Ethernet intégré.
Vos informations
Adresse Ethernet L’adresse MAC (Media Access Control) du port
(00:00:00:00:00:00). Cette valeur se trouve généralement
sur un autocollant apposé sur le serveur, mais vous pouvez également exécuter Informations Système Apple ou
un outil de ligne de commande tel que networksetup
pour retrouver cette valeur.
TCP/IP et AppleTalk
Indiquez si vous souhaitez activer le port pour TCIP/IP et/
ou AppleTalk.
Vous pouvez connecter un port à Internet en activant
TCP/IP et utiliser le même port ou un autre port pour
AppleTalk.
N’activez pas plus d’un port pour AppleTalk.
Ordre des ports
Si vous activez plusieurs ports, indiquez l’ordre dans
lequel vous devez accéder aux ports lors de la tentative
de connexion à un réseau. L’ensemble du trafic réseau
non local utilise le premier port actif.
Réglages TCP/IP
Utilisez l’une des quatre lignes suivantes de ce tableau.
Annexe
Feuille d’opérations avancées de Mac OS X Server
231
232
Élément
Description
Manuellement
Spécifiez ces réglages pour effectuer manuellement
les réglages TCP/IP :
- Adresse IP (000.000.000.000). Adresse statique unique.
- Masque de sous-réseau (000.000.000.000). Utilisé pour
localiser le sous-réseau sur le réseau local où se trouve
le serveur. Ce masque est utilisé pour déduire la partie
réseau de l’adresse du serveur. Le reste identifie l’ordinateur serveur dans ce réseau.
- Routeur (000.000.000.000) prenant en charge le sousréseau sur lequel réside le serveur. Le routeur est l’ordinateur du sous-réseau local auquel les messages sont
envoyés si l’adresse IP cible ne se trouve pas sur le sousréseau local.
- Serveurs DNS (000.000.000.000) utilisés pour convertir
les adresses IP en noms DNS complets (et inversement)
pour le port.
- Domaines de recherche (facultatif ). Noms à ajouter
automatiquement aux adresses Internet lorsque vous ne
les tapez pas entièrement. Par exemple, si vous indiquez
« campus.univ.edu » comme domaine de recherche, vous
pouvez saisir « serveur1 » dans la zone de dialogue « Se
connecter au serveur » du Finder pour vous connecter à
serveur1.campus.univ.edu.
Via DHCP avec
saisie manuelle
de l’adresse IP
Spécifiez ces réglages pour utiliser un serveur DHCP afin
d’attribuer une adresse IP statique et éventuellement
d’autres réglages pour le port.
Assurez-vous que le serveur DHCP est configuré et que le
service DHCP est en cours d’exécution lorsque vous entamez la configuration du serveur :
- Adresse IP (000.000.000.000). Adresse statique unique.
- Serveurs DNS (000.000.000.000) utilisés pour convertir
les adresses IP en noms DNS complets (et inversement)
pour le port.
- Domaines de recherche (facultatif ). Noms à ajouter
automatiquement aux adresses Internet lorsque vous ne
les tapez pas entièrement. Par exemple, si vous indiquez
« campus.univ.edu » comme domaine de recherche, vous
pouvez saisir « serveur1 » dans la zone de dialogue « Se
connecter au serveur » du Finder pour vous connecter à
serveur1.campus.univ.edu.
Annexe
Feuille d’opérations avancées de Mac OS X Server
Vos informations
Élément
Description
Via DHCP
Indiquez ces réglages si vous souhaitez utiliser un serveur DHCP pour attribuer une adresse IP dynamique et
éventuellement d’autres réglages au port. Assurez-vous
que le serveur DHCP est configuré et que le service
DHCP est en cours d’exécution lorsque vous entamez
la configuration du serveur :
- Identifiant client DHCP (facultatif ). Chaîne utile pour
reconnaître un port lorsque son adresse IP change. Ne
spécifiez pas d’identifiant client DHCP lors de l’utilisation
de l’Assistant du serveur pour configurer le serveur à distance. En revanche, après la configuration, utilisez les
préférences Réseau du serveur pour définir un identifiant client DHCP.
- Serveurs DNS (000.000.000.000) utilisés pour convertir
les adresses IP en noms DNS complets (et inversement)
pour le port.
- Domaines de recherche (facultatif ). Noms à ajouter
automatiquement aux adresses Internet lorsque vous ne
les tapez pas entièrement. Par exemple, si vous indiquez
« campus.univ.edu » comme domaine de recherche, vous
pouvez saisir « serveur1 » dans la zone de dialogue « Se
connecter au serveur » du Finder pour vous connecter à
serveur1.campus.univ.edu.
Via BootP
Spécifiez ces réglages si vous souhaitez utiliser un serveur de protocole Bootstrap pour attribuer une adresse
IP au port identifié.
Avec BootP, la même adresse IP est toujours affectée à
une interface réseau particulière. Elle est utilisée principalement pour les ordinateurs qui démarrent à partir
d’une image NetBoot :
- Serveurs DNS (000.000.000.000) utilisés pour convertir
les adresses IP en noms de domaine complets (et inversement) pour le port.
- Domaines de recherche (facultatif ). Noms à ajouter
automatiquement aux adresses Internet lorsque vous ne
les tapez pas entièrement. Par exemple, si vous indiquez
« campus.univ.edu » comme domaine de recherche, vous
pouvez saisir « serveur1 » dans la zone de dialogue « Se
connecter au serveur » du Finder pour vous connecter à
serveur1.campus.univ.edu.
Annexe
Feuille d’opérations avancées de Mac OS X Server
Vos informations
233
234
Élément
Description
IPv6
Pour configurer l’adressage IPv6 pour le port, sélectionnez Automatiquement ou Manuellement.
Choisissez Automatiquement si vous souhaitez que le
serveur génère automatiquement une adresse IPv6 pour
le port.
Choisissez Manuellement pour spécifier des réglages IPv6 :
- Adresse IPv6. Généralement au format
0000:0000:0000:0000:0000:0000:0000:0000.
- Routeur. Adresse IPv6 du routeur sur le sous-réseau
local.
- Longueur du préfixe. Nombre de bits significatifs du
masque de sous-réseau utilisés pour identifier le réseau.
Réglages
Ethernet
Pour configurer automatiquement les réglages Ethernet
pour le port, choisissez Automatiquement.
Choisissez Manuellement (Avancé) pour spécifier les
réglages si vous avez des besoins particuliers concernant le réseau auquel le serveur est connecté. Des réglages Ethernet incorrects peuvent affecter les
performances réseau ou rendre un port inutilisable :
- Vitesse. Vitesse Ethernet maximale, en bits par seconde,
pour toute transmission via le port. Sélectionnez l’une
des options suivantes : Sélection automatique, 10baseT/
UTP, 100baseTX et 1000baseTX.
- Duplex. Détermine si les paquets d’entrée et de sortie
sont transmis simultanément (duplex intégral) ou en
alternance (semi-duplex).
- Taille maximale d’unité de transfert de paquets (MTU).
Le plus gros paquet que le port va envoyer ou recevoir,
exprimé en octets. L’augmentation de la taille de paquet
améliore le débit, mais les périphériques qui reçoivent le
paquet (commutateurs, routeurs, etc.) doivent prendre
en charge cette taille de paquet. Sélectionnez l’une des
options suivantes : Standard (1500), Jumbo (9000) ou
Personnaliser (saisissez une valeur comprise entre 72
et 1500).
Annexe
Feuille d’opérations avancées de Mac OS X Server
Vos informations
Glossaire
Glossaire
administrateur Utilisateur disposant d’autorisations d’administration de serveur ou
de domaine de répertoires. Les administrateurs sont toujours membres du groupe
« admin » prédéfini.
Adresse IP Adresse numérique unique qui identifie un ordinateur sur Internet.
adresse IP dynamique Adresse IP attribuée pour une durée limitée ou jusqu’à ce
que l’ordinateur client n’en ait plus besoin.
adresse IP statique Adresse IP attribuée une seule fois à un ordinateur ou à un périphérique et qui ne change jamais.
adresse MAC Adresse « Media Access Control » (contrôle d’accès au support). Adresse
matérielle identifiant de façon unique chaque nœud d’un réseau. Dans le cas de périphériques AirPort, l’adresse MAC est appelée identifiant AirPort.
AFP Apple Filing Protocol. Protocole client/serveur utilisé par le service de fichiers
Apple pour partager des fichiers et des services réseau. AFP exploite TCP/IP et d’autres
protocoles pour prendre en charge les communications entre les ordinateurs d’un
réseau.
agrégation de liens Configuration de plusieurs liens réseau physiques en un lien logique unique, le but étant d’améliorer la capacité et la disponibilité des connexions réseau.
Avec l’agrégation de liens, le même identifiant est attribué à tous les ports. À comparer au
multi-acheminement, dans lequel chaque port conserve sa propre adresse.
alphanumérique Chaînes composées de lettres, de chiffres et de caractères de ponctuation (par exemple _ et ?).
Apache Serveur HTTP open-source intégré à Mac OS X Server. Le site (en anglais)
www.apache.org contient des informations détaillées sur Apache.
235
authentification Processus de vérification de l’identité d’un utilisateur, généralement
en validant son nom d’utilisateur et son mot de passe. L’authentification a lieu généralement avant que le processus d’autorisation détermine le niveau d’accès de l’utilisateur à une ressource. Exemple : le service de fichiers autorise l’accès total aux dossiers
et aux fichiers qu’un utilisateur authentifié possède.
authentification à deux facteurs Processus permettant l’authentification par le biais
d’une combinaison de deux facteurs indépendants : il peut s’agir d’un élément que
vous connaissez (tel qu’un mot de passe), d’un élément en votre possession (tel qu’une
carte à puce) ou encore d’un élément vous caractérisant (un facteur biométrique). Ce
procédé est plus sécurisé que l’authentification à un seul facteur, généralement un mot
de passe.
autorisation Processus par lequel un service détermine s’il faut accorder à un utilisateur l’accès à une ressource et quel est le niveau d’accès accordé à l’utilisateur. L’autorisation se produit généralement après qu’un processus d’authentification ait vérifié
l’identité de l’utilisateur. Exemple : le service de fichiers autorise l’accès total aux dossiers et aux fichiers qu’un utilisateur authentifié possède.
autorisations Réglages déterminant le type d’accès dont les utilisateurs bénéficient
pour partager des éléments dans un système de fichiers. Vous pouvez attribuer quatre
types d’autorisation pour un point de partage, un dossier ou un fichier : Lecture et
écriture, Lecture seule, Écriture seule et Aucun accès. Voir aussi privilèges.
autorité de certificat Autorité émettant et gérant des certificats numériques, afin
d’assurer la transmission sécurisée des données à travers un réseau public. Voir aussi
certificat, infrastructure de clé publique.
autorité de certification Voir Autorité de certificat.
bande passante Capacité d’une connexion réseau, mesurée en bits par seconde ou
en octets par seconde, pour le transfert de données.
base de recherche Nom distinctif permettant d’identifier le point de départ d’une
recherche d’informations dans la hiérarchie d’entrées d’un répertoire LDAP.
BIND Initiales de « Berkeley Internet Name Domain » (domaine de noms Internet développé à l’Université de Berkeley). Programme inclus avec Mac OS X Server, qui implémente un serveur DNS. Il est également connu sous l’appellation « name daemon »
(démon des noms), ou « named », lorsqu’il est en cours d’exécution.
blog Page web présentant des entrées dans un ordre chronologique. Un blog est
souvent utilisé comme journal ou lettre d’informations électronique.
BSD Initiales de « Berkeley Software Distribution » (famille de systèmes d’exploitation
développés à l’Université de Berkeley). Version de UNIX sur laquelle repose le logiciel
Mac OS X.
236
Glossaire
carte d’interface réseau Voir carte réseau.
certificat Parfois appelé « certificat d’identité » ou « certificat de clé publique ». Fichier
de format spécifique (Mac OS X Server utilise le format X.509) contenant la clé publique d’une paire de clés publique et privée, les informations d’identification de l’utilisateur, par exemple son nom et ses coordonnées, ainsi que la signature numérique émise
par une Autorité de certificat ou l’utilisateur de la clé.
certificat d’identité Voir certificat.
certificat de clé publique Voir certificat.
chemin de recherche Voir politique de recherche.
chiffrement Processus de codification de données destiné à les rendre illisibles sans
la connaissance d’un algorithme particulier. Généralement utilisé dans le cadre de communications secrètes ou confidentielles. Voir aussi déchiffrement.
clé privée Une des deux clés asymétriques utilisées dans un système de sécurité PKI.
La clé privée n’est pas distribuée et est généralement chiffrée par son propriétaire à
l’aide d’une phrase clé. Elle peut signer numériquement un message ou un certificat,
afin d’en proclamer l’authenticité. Elle permet aussi de déchiffrer des messages chiffrés
avec la clé publique correspondante et de chiffrer des messages qu’elle seule peut
déchiffrer.
clé publique Une des deux clés asymétriques utilisées dans un système de sécurité
PKI. La clé publique est distribuée aux autres parties de la communication. Elle permet
de chiffrer des messages ne pouvant être déchiffrés que par le propriétaire de la clé privée correspondante et de vérifier la signature d’un message provenant d’une clé privée correspondante.
client Ordinateur (ou utilisateur de l’ordinateur) qui demande des données ou des
services auprès d’un autre ordinateur ou d’un serveur.
connecté Qualifie des données, périphériques ou connexions réseau disponibles
pour être utilisés immédiatement.
couche Mécanisme de classement par priorités des pistes d’une séquence vidéo ou
d’images superposées pour composer une icône animée. Quand QuickTime lit une
séquence, il affiche les images de la séquence en fonction de leur couche. Les images
présentant un numéro de couche inférieur sont affichées au premier plan. Les images
dont le numéro de couche est supérieur peuvent être cachées par les images dont le
numéro est inférieur.
Glossaire
237
coupe-feu Logiciel chargé de protéger les applications réseau exécutées sur votre serveur. Le service de coupe-feu IP, partie intégrante du logiciel Mac OS X Server, analyse
les paquets IP entrants et accepte ou refuse ces paquets en s’appuyant sur un ensemble de filtres que vous créez.
cryptographie de clé publique Méthode de chiffrement des données utilisant une paire
de clés, une publique et une privée, obtenues auprès d’une autorité de certification. Une
clé est utilisée pour chiffrer les messages tandis que l’autre sert à les déchiffrer.
CUPS Initiales de « Common UNIX Printing System » (système commun d’impression
UNIX). Système d’impression multiplateforme reposant sur le protocole IPP (Internet
Printing Protocol). Le Centre d’impression de Mac OS X, son système d’impression sousjacent, et le service d’impression de Mac OS X Server reposent sur le système CUPS.
Pour en savoir plus, rendez-vous à l’adresse www.cups.org (en anglais).
daemon Programme exécuté en arrière-plan et qui fournit d’importants services système tels que le traitement du courrier électronique entrant ou la gestion des requêtes
provenant du réseau.
débit Débit de traitement des données par un ordinateur.
déchiffrement Processus de récupération de données chiffrées faisant appel à un
algorithme particulier. Voir aussi chiffrement.
déconnecté Qualifie des données qui ne sont pas immédiatement disponibles ou
un périphérique physiquement branché, mais dont l’utilisation n’est pas possible.
DHCP Initiales de « Dynamic Host Configuration Protocol » (protocole de configuration dynamique d’hôtes). Protocole utilisé pour distribuer de manière dynamique des
adresses IP à des ordinateurs clients. Chaque fois qu’un ordinateur client démarre, le
protocole recherche un serveur DHCP, puis demande une adresse IP au serveur DHCP
qu’il trouve. Le serveur recherche alors une adresse IP disponible et la transmet à l’ordinateur client en l’accompagnant d’une « durée de bail », durée pendant laquelle l’ordinateur client peut utiliser l’adresse.
disque Support de stockage optique, tel qu’un CD ou un DVD.
disque Périphérique réinscriptible de stockage de données. Voir aussi disque et
disque logique.
disque physique Disque mécanique réel. À comparer à disque logique.
DNS Domain Name System. Base de données distribuée qui fait correspondre des
adresses IP à des noms de domaines. Un serveur DNS, appelé également serveur de
noms, conserve la liste des noms et des adresses IP associées à chaque nom.
Domain Name System Voir DNS.
238
Glossaire
domaine Partie du nom de domaine d’un ordinateur sur Internet. N’inclut pas l’indicateur de domaine de premier niveau (par exemple .com, .net, .fr, .be). Le nom de
domaine « www.exemple.com » est constitué du sous-domaine, ou nom d’hôte,
« www », du domaine « exemple » et du domaine de premier niveau « com ».
domaine de répertoire Base de données spécialisée dans laquelle sont stockées des
informations autorisées concernant les utilisateurs et les ressources réseau ; ces informations sont nécessaires au logiciel système et aux applications. Cette base de données est optimisée pour gérer de nombreuses demandes d’informations et pour
rechercher et récupérer rapidement des informations. Connue également sous le
nom de nœud de répertoire ou simplement répertoire.
domaine de répertoire local Répertoire d’identification, d’authentification, d’autorisation et autres données d’administration accessibles uniquement sur l’ordinateur où
réside le répertoire. Le domaine de répertoire local n’est accessible à partir d’aucun
autre ordinateur sur le réseau.
domaine DNS Nom unique d’un ordinateur, utilisé dans le système DNS (Domain
Name System) pour convertir les adresses IP et les noms. Également appelé nom
de domaine.
domaine local Domaine de répertoire accessible uniquement par l’ordinateur sur
lequel il réside.
données de journal Dans Xsan, données relatives aux transactions du système de
fichiers survenant sur un volume Xsan.
dossier de départ Dossier destiné à l’usage personnel d’un utilisateur. Mac OS X utilise
également le dossier de départ pour stocker les préférences du système et les réglages
gérés des utilisateurs Mac OS X. Également connu sous le terme de répertoire de départ.
dossier de départ local Dossier de départ stocké sur le disque de l’ordinateur où un
utilisateur a ouvert une session. Ce dossier n’est accessible qu’en ouvrant directement
une session sur l’ordinateur où il réside, à moins que vous n’ouvriez de session sur
l’ordinateur via SSH.
dossier de groupe Dossier servant à organiser des documents et des applications présentant un intérêt particulier pour les membres du groupe et permettant à ces derniers de partager des informations.
DSL Initiales de « Digital Subscriber Line » (ligne d’abonné numérique). Technologie de
transmission de données à haut débit, fonctionnant à travers les lignes téléphoniques.
durée de bail DHCP Voir période de bail.
Dynamic Host Configuration Protocol Voir DHCP.
Glossaire
239
EFI Initiales de « Extensible Firmware Interface » (Interface de programme interne
extensible). Logiciel exécuté automatiquement au démarrage d’un ordinateur Macintosh à processeur Intel. Il détermine la configuration matérielle de l’ordinateur et lance
le logiciel système.
en miroir Renvoie à une matrice de disques qui utilise RAID 1, ou la mise en miroir.
ensemble RAID Voir matrice RAID.
équilibrage de la charge Processus qui consiste à répartir sur plusieurs services les
demandes de services réseau effectuées par les ordinateurs clients, afin d’optimiser
les performances.
Ethernet Technologie de mise en réseau locale avec laquelle les données sont transmises sous forme d’unités appelées paquets à l’aide de protocoles tels que TCP/IP.
exportation Dans le système NFS (Network File System, système de fichiers en réseau),
il s’agit d’une méthode de partage de dossier avec des clients connectés à un réseau.
failover Dans Xsan, processus automatique par lequel un contrôleur de métadonnées
de réserve devient le contrôleur de métadonnées actif si le contrôleur principal cesse
de fonctionner.
faire migrer Transférer des informations, par exemple des comptes d’utilisateur et de
groupes et des données d’utilisateurs, d’un serveur ou d’un réseau vers un autre serveur ou réseau géré par un autre logiciel.
Fast Ethernet Groupe de normes Ethernet caractérisé par des données transmises à
100 mégabits par seconde (Mbits/s).
filtre Méthode de contrôle de l’accès à un serveur. Un filtre se compose d’une adresse
IP et d’un masque de sous-réseau et, parfois, d’un numéro de port et d’un type d’accès.
L’adresse IP et le masque de sous-réseau déterminent la plage d’adresses IP auquel le
filtre s’applique.
FireWire Technologie matérielle pour l’échange de données avec des périphériques,
définie par la norme standard IEEE 1394.
formater En général, préparation d’un disque en vue de son utilisation par un système
de fichiers particulier.
fournisseur d’accès à Internet Voir FAI.
240
Glossaire
FTP Initiales de « File Transfer Protocol » (protocole de transfert de fichiers). Protocole
permettant à des ordinateurs de transférer des fichiers sur un réseau. Les clients FTP,
utilisant tout système d’exploitation capable de prendre en charge le protocole FTP,
peuvent se connecter à un serveur de fichiers et télécharger des fichiers, en fonction
de leurs autorisations d’accès. La plupart des navigateurs Internet et un certain nombre de graticiels permettent d’accéder aux serveurs FTP.
Gigabit Ethernet Groupe de normes Ethernet avec lesquelles les données sont transmises à raison de 1 gigabit par seconde (Gbit/s). Abréviation : GBE.
gigaoctet Voir Go.
Go Gigaoctet. 1 073 741 824 (230) octets.
groupe Ensemble d’utilisateurs ayant des besoins semblables. Les groupes simplifient
l’administration de ressources partagées.
Groupe de travail Ensemble d’utilisateurs pour lesquels vous êtes chargé de définir
les préférences et les privilèges d’accès en tant que groupe. Toutes les préférences
que vous définissez pour un groupe sont stockées dans le compte du groupe.
haute disponibilité Capacité d’un système à fonctionner en continu (sans interruption).
hôte Autre nom donné à un serveur.
HTML Initiales de « Hypertext Markup Language » (langage de structuration hypertexte). Ensemble de symboles ou de codes insérés dans un fichier afin d’être affiché
sous forme de page dans un navigateur web. La structure indique au navigateur web
la manière d’afficher à l’utilisateur les mots et les images d’une page web.
HTTP Hypertext Transfer Protocol. Protocole client/serveur pour le web. Le protocole
HTTP permet aux navigateurs web d’accéder à un serveur web et de demander des
documents hypermedias créés avec du code HTML.
Hypertext Markup Language Voir HTML.
Hypertext Transfer Protocol Voir HTTP.
IANA Initiales de « Internet Assigned Numbers Authority » (autorité d’attribution des
numéros sur Internet). Organisation responsable de l’allocation des adresses IP, de
l’attribution des paramètres de protocole et de la gestion des noms de domaine.
ICMP Initiales de « Internet Control Message Protocol ». Protocole de messages de contrôle et de rapports d’erreurs utilisé entre serveurs hôtes et passerelles. Par exemple,
certaines applications Internet exploitent le protocole ICMP pour envoyer un paquet en
aller-retour entre deux hôtes pour déterminer les durées d’aller-retour et détecter ainsi
des problèmes éventuels sur le réseau.
Glossaire
241
identifiant de processus Voir PID.
identifiant Ethernet Voir adresse MAC.
identifiant utilisateur Voir UID.
IGMP Initiales de « Internet Group Management Protocol ». Protocole Internet utilisé
par les hôtes et les routeurs pour envoyer des paquets à des listes d’hôtes cherchant
à participer à un processus appelé multidiffusion. QTSS (QuickTime Streaming Server)
exploite l’adressage par multidiffusion, tout comme le protocole SLP (Service Location
Protocol).
image Voir image disque.
image d’installation de paquet Fichier permettant d’installer des paquets. Les ordinateurs clients peuvent, à l’aide de NetBoot, démarrer sur le réseau à partir de cette
image pour installer des logiciels. Contrairement aux images disque de copie de blocs,
vous pouvez utiliser une image d’installation de paquets identique pour différentes
configurations matérielles.
image disque Fichier qui, une fois ouvert, crée sur le bureau Mac OS X une icône dont
l’aspect et le comportement sont similaires à ceux d’un véritable disque ou volume.
Les ordinateurs clients peuvent, à l’aide de NetBoot, démarrer via le réseau à partir
d’une image disque basée sur un serveur et contenant un logiciel système. Les fichiers
d’image disque présentent l’extension .img ou .dmg. Les deux formats d’image sont
similaires et sont représentés par la même icône dans le Finder. Le format .dmg ne
peut pas être utilisé sur les ordinateurs qui exécutent Mac OS 9.
infrastructure de clé publique Méthode sécurisée d’échange de données à travers
un réseau public non sécurisé, par exemple Internet, à l’aide de la cryptographie de
clé publique.
installation en réseau Processus d’installation via le réseau de systèmes et de logiciels
sur des ordinateurs clients Mac OS X. Ce type d’installation de logiciels peut être effectué sous la supervision d’un administrateur ou de manière entièrement automatisée.
interface de ligne de commande Manière d’interagir avec l’ordinateur (par exemple,
pour exécuter des programmes ou modifier des autorisations de système de fichiers)
en saisissant des commandes de texte à une invite de shell. Voir aussi shell ; invite de
shell.
interface réseau Connexion matérielle de votre ordinateur à un réseau. Les connexions Ethernet, les cartes AirPort et les connexions FireWire en sont des exemples.
Internet Ensemble de réseaux d’ordinateurs interconnectés qui communiquent à travers un protocole commun (TCP/IP). Internet est le système public de réseaux d’ordinateurs interconnectés le plus étendu au monde.
242
Glossaire
intranet Réseau d’ordinateurs gérés par et pour les utilisateurs internes d’une entreprise. Son accès est généralement limité aux membres de l’entreprise. Très souvent, le
terme fait référence à un site web dédié aux besoins de l’entreprise, accessible uniquement depuis celle-ci. Les intranets utilisent les mêmes technologies de mise en réseau
qu’Internet (TCP/IP) et servent parfois de pont entre des systèmes d’information
anciens et les technologies modernes de mise en réseau.
IP Internet Protocol. Également désigné par IPv4. Méthode utilisée conjointement avec
le protocole TCP (Transmission Control Protocol) pour envoyer des données d’un ordinateur à un autre via un réseau local ou via Internet. Le protocole IP envoie les paquets
de données, alors que le protocole TCP se charge de leur suivi.
IPP Initiales de « Internet Printing Protocol » (protocole d’impression à travers Internet). Protocole client-serveur permettant l’impression à travers Internet. L’infrastructure
d’impression Mac OS X, et le service d’impression Mac OS X Server qui repose sur cette
infrastructure, prennent en charge IPP.
IPSec Ajout de sécurité au protocole IP. Protocole chargé de la sécurité dans les transmissions de données pour les connexions L2TP VPN. IPSec agit au niveau de la couche
réseau, assurant la protection et l’authentification des paquets IP entre les nœuds IPSec
participants.
IPv4 Voir IP.
IPv6 Initiales de « Internet Protocol version 6 ». Protocole de communication de nouvelle génération destiné à remplacer le protocole IP (également appelé IPv4). IPv6 autorise un plus grand nombre d’adresses réseau et peut réduire les charges de routage à
travers Internet.
journal web Voir blog.
KDC Initiales de « Kerberos Key Distribution Center » (centre de distribution de clés
Kerberos). Serveur de confiance chargé d’émettre des tickets Kerberos.
Kerberos Système d’authentification réseau sécurisé. Kerberos utilise des tickets qui
sont émis pour un utilisateur, un service et une durée spécifiques. Après avoir été
authentifié, l’utilisateur peut accéder à d’autres services sans avoir à saisir à nouveau
son mot de passe (on parle alors de signature unique) pour les services configurés
pour accepter les tickets Kerberos. Mac OS X Server utilise Kerberos 5.
Kerberos Key Distribution Center Voir KDC.
kilo-octet Voir Ko.
Ko Kilo-octet. 1 024 (210) octets.
Glossaire
243
L2TP Initiales de « Layer Two Tunnelling Protocol ». Protocole de transport réseau utilisé dans les connexions VPN. Il s’agit avant tout d’une combinaison des protocoles L2F
de Cisco et PPTP. Comme L2TP n’est pas un protocole de chiffrement, il utilise le complément IPSec pour le chiffrement des paquets.
LAN Initiales de « Local area network » (réseau local). Réseau maintenu au sein d’un
établissement, contrairement à un WAN (réseau étendu) qui relie des établissements
géographiquement distincts.
LDAP Initiales de « Lightweight Directory Access Protocol ». Protocole client-serveur
standard permettant l’accès à un domaine de répertoire.
lecteur de disque Périphérique contenant un disque et permettant de lire et d’écrire
des données sur disque.
lien Connexion physique active (électrique ou optique) entre deux nœuds d’un réseau.
Lightweight Directory Access Protocol Voir LDAP.
ligne de commande Texte que vous tapez après une invite de shell lorsque vous utilisez une interface de ligne de commande.
liste d’ordinateurs Ensemble d’ordinateurs recevant les réglages des préférences
gérées définis pour la liste et mis à la disposition d’un ensemble particulier d’utilisateurs et de groupes. Un ordinateur ne peut appartenir qu’à une seule liste d’ordinateurs. Les listes d’ordinateurs sont créées sous Mac OS X Server 10.4 ou antérieur.
Voir aussi groupe d’ordinateurs.
LPR Initiales de « Line Printer Remote ». Protocole standard permettant l’impression
via TCP/IP.
MAC Initiales de « Media access control » (contrôle d’accès au support). Voir adresse
MAC.
Mac OS X La dernière version du système d’exploitation d’Apple. Mac OS X allie la fiabilité d’UNIX à la facilité d’emploi de Macintosh.
Mac OS X Server Plate-forme de serveur puissante, capable de gérer immédiatement les
clients Mac, Windows, UNIX et Linux et offrant un ensemble de services de réseau et de
groupes de travail extensible, ainsi que des outils perfectionnés de gestion à distance.
maître Open Directory Serveur fournissant un service de répertoire LDAP, un service
d’authentification Kerberos et un serveur de mots de passe Open Directory.
masque de sous-réseau Nombre utilisé dans la mise en réseau IP pour indiquer la partie d’une adresse IP correspondant au numéro du réseau.
244
Glossaire
matrice RAID Groupe de disques physiques, organisés et protégés par un schéma
RAID, et présentés par le matériel ou le logiciel RAID comme un disque logique unique. Dans Xsan, les matrices RAID apparaissent sous forme de LUN, lesquelles sont
associées afin de constituer des réserves de stockage.
media access control Voir adresse MAC.
mégaoctet Voir Mo.
mémoire cache Partie de mémoire vive ou zone de disque dur sur laquelle sont stockées des données fréquemment utilisées, afin d’accélérer les temps de traitement. La
mémoire cache en lecture conserve des données qui pourraient être demandées par
un client ; la mémoire cache en écriture stocke les données écrites par un client jusqu’à
ce qu’elles puissent être stockées sur disque. Voir aussi mise en mémoire tampon,
mémoire cache de contrôleur, mémoire cache de disque.
mise en miroir Écriture de copies identiques de données sur deux disques physiques.
La mise en miroir protège les données contre la perte due aux défaillances de disque
et est le moyen le plus simple d’obtenir la redondance de données.
Mo Mégaoctet. 1 048 576 (220) octets.
monter Rendre un répertoire ou un volume distant accessible sur un système local.
Dans Xsan, faire apparaître un volume Xsan sur le bureau d’un client, comme s’il
s’agissait d’un disque local.
mot de passe Chaîne alphanumérique utilisée pour authentifier l’identité d’un utilisateur ou pour autoriser l’accès à des fichiers ou à des services.
MS-CHAP Initiales de « Microsoft Challenge Handshake Authentication Protocol »
(protocole d’authentification par interrogation-réponse développé par Microsoft).
Méthode d’authentification standard sous Windows pour les réseaux VPN. Cette
méthode d’authentification encode les mots de passe envoyés sur le réseau et les
stocke sous forme brouillée sur le serveur. Elle offre un bon niveau de sécurité lors
des transmissions sur réseau. MS-CHAP est une version propriétaire de CHAP.
multidiffusion DNS Protocole développé par Apple pour la découverte automatique
d’ordinateurs, de périphériques et de services sur les réseaux IP. Appelé « Bonjour »
(auparavant « Rendezvous ») par Apple, ce protocole, proposé comme standard Internet, est parfois appelé ZeroConf ou multidiffusion DNS. Pour en savoir plus, rendezvous sur www.apple.com/fr/ ou www.zeroconf.org (en anglais). Pour savoir comment
ce protocole est utilisé sous Mac OS X Server, reportez-vous à nom d’hôte local.
MySQL Outil de gestion de base de données relationnelles open-source fréquemment
utilisé par les serveurs web.
Glossaire
245
NAT Initiales de « Network address translation » (conversion d’adresses réseau).
Méthode de connexion de plusieurs ordinateurs à Internet (ou à tout autre réseau IP)
à l’aide d’une seule adresse IP. NAT convertit les adresses IP que vous attribuez aux ordinateurs de votre réseau interne privé en une seule adresse IP valide pour les communications Internet.
network address translation Voir NAT.
Network File System. Voir NFS.
Network Time Protocol Voir NTP.
NFS Network File System. Protocole client/serveur utilisant le protocole IP (Internet Protocol) pour permettre aux utilisateurs distants d’accéder à des fichiers comme s’ils se
trouvaient sur leur disque. Le service NFS exporte les volumes partagés vers des ordinateurs en se basant sur l’adresse IP plutôt que sur les nom et mot de passe d’utilisateur.
nœud de répertoire Voir domaine de répertoire.
nom abrégé Abréviation du nom d’un utilisateur. Mac OS X utilise le nom abrégé pour
les dossiers de départ, l’authentification et les adresses électroniques.
nom complet Forme développée du nom d’un utilisateur ou d’un groupe. Voir aussi
nom d’utilisateur.
nom d’hôte Nom unique d’un ordinateur, autrefois appelé nom d’hôte UNIX.
nom d’hôte local Nom qui désigne un ordinateur sur un sous-réseau local. Il peut être
utilisé sans système DNS global pour convertir les noms en adresses IP. Il est constitué
de lettres minuscules, de nombres ou de tirets (sauf pour le dernier caractère) et se termine par « .local » (par exemple, ordinateur-jean.local). Bien que le nom par défaut soit
dérivé du nom d’ordinateur, un utilisateur peut reprendre ce nom dans la sous-fenêtre
Partage des Préférences Système. Il peut aussi être aisément modifié et utilisé dans
tous les cas où un nom DNS ou un nom de domaine complet est utilisé. Il ne peut être
converti que sur le même sous-réseau que l’ordinateur qui l’utilise.
nom d’utilisateur Nom complet d’un utilisateur, parfois appelé nom réel de l’utilisateur. Voir aussi nom abrégé.
nom de domaine Voir nom DNS.
246
Glossaire
nom de l’ordinateur Nom par défaut utilisé pour l’enregistrement auprès des services
SLP et SMB. L’explorateur réseau du Finder utilise SLP pour rechercher les ordinateurs
qui rendent publics leurs services de partage de fichiers de partage de fichiers Windows. Il peut être réglé de façon à établir un pont entre les sous-réseaux en fonction
des réglages de routeur réseau. Lorsque vous activez le partage de fichiers personnels,
c’est le nom d’ordinateur que les utilisateurs voient dans la zone de dialogue « Se connecter au serveur » dans le Finder. Ce nom correspond au départ à « Ordinateur de
<premier utilisateur créé> » (par exemple, « Ordinateur de Jean »), mais il peut être
modifié à loisir. Le nom d’ordinateur est utilisé pour parcourir les serveurs de fichiers
du réseau, les files d’attente d’impression, la détection Bluetooth®, les clients Apple
Remote Desktop et toute autre ressource réseau identifiant des ordinateurs par leur
nom d’ordinateur plutôt que par leur adresse réseau. Ce nom sert également de base
pour le nom d’hôte local par défaut.
nom de port Identifiant unique attribué à un port Fibre Channel.
nom DNS Nom unique d’un ordinateur, utilisé dans le système DNS (Domain Name System) pour convertir les adresses IP et les noms. Également appelé nom de domaine.
NTP Initiales de « Network Time Protocol » (protocole d’horloge réseau). Protocole
réseau utilisé pour synchroniser les horloges d’ordinateurs connectés à un réseau avec
une horloge de référence donnée. Ce protocole permet de s’assurer que tous les ordinateurs d’un réseau affichent tous la même heure.
Open Directory Architecture de services de répertoire Apple, capable d’accéder à des
informations autorisées concernant des utilisateurs et des ressources réseau à partir
de domaines de répertoire utilisant les protocoles LDAP ou Active Directory, ou des
fichiers de configuration BSD et des services de réseau.
Open Source Terme désignant le développement coopératif de logiciels par la communauté Internet. Le principe de base consiste à impliquer le maximum de personnes
dans l’écriture et la mise au point du code en publiant le code source et en encourageant la formation d’une large communauté de développeurs qui feront part de leurs
modifications et améliorations.
ordinateur administrateur Ordinateur Mac OS X sur lequel vous avez installé les applications d’administration du serveur à partir du CD Mac OS X Server Admin.
ordinateur invité Ordinateur ne disposant pas d’un compte d’ordinateur.
ouvrir une session Signifie démarrer une session sur un ordinateur (généralement
en s’authentifiant en tant qu’utilisateur disposant d’un compte sur l’ordinateur) afin
d’obtenir des services ou d’accéder à des fichiers. Il est important de faire la distinction
entre l’ouverture de session et la connexion, cette dernière impliquant simplement
l’établissement d’un lien physique avec l’ordinateur.
Glossaire
247
paquet d’installation Fichier portant l’extension .pkg. Un paquet d’installation contient des ressources pour l’installation d’une application, notamment l’archive, les
documents Ouvrez-moi et la licence, ainsi que des scripts d’installation.
par défaut Action automatique exécutée par un programme à moins que l’utilisateur
n’en décide autrement.
partition Sous-division de la capacité d’un disque physique ou logique. Les partitions
sont constituées de blocs contigus sur le disque.
passerelle Nœud réseau faisant l’interface entre deux réseaux. Le terme fait souvent
référence à un ordinateur assurant le lien entre un réseau local privé et un réseau WAN
public, que ce soit avec ou sans NAT (Network Address Translation). Un routeur est un
type particulier de passerelle qui relie des segments de réseau associés.
période de bail Durée limitée pendant laquelle des adresses IP sont attribuées. L’utilisation de périodes courtes permet au protocole DHCP de réattribuer des adresses IP
sur les réseaux comportant plus d’ordinateurs que d’adresses IP disponibles.
PHP Initiales de « PHP Hypertext Preprocessor » (à l’origine, acronyme de « Personal
Home Page », page d’accueil personnelle). Langage de script incorporé à HTML et utilisé pour créer des pages web dynamiques.
point à point Une des trois topologies physiques que Fibre Channel utilise pour interconnecter des nœuds. La topologie point à point consiste en une seule connexion
entre deux nœuds. Voir aussi boucle arbitrée, tissu.
point de montage En diffusion en continu, chaîne utilisée pour identifier un flux en
direct tel qu’un flux de séquence vidéo relayé ou non ou un flux MP3. Les points de
montage qui décrivent des flux de séquence vidéo en direct se terminent toujours
par l’extension .sdp.
Point to Point Tunneling Protocol Voir PPTP.
politique de mot de passe Ensemble de règles déterminant la composition et la validité du mot de passe d’un utilisateur.
politique de recherche Liste des domaines de répertoire parmi lesquels un ordinateur
Mac OS X nécessitant des informations de configuration effectue ses recherches. Également, ordre dans lequel les domaines sont interrogés. Parfois appelée chemin de
recherche.
port Sorte d’emplacement de messagerie virtuel. Un serveur utilise des numéros de
port pour déterminer quelle application doit recevoir les paquets de données. Les
coupe-feu utilisent des numéros de port pour déterminer si les paquets de données
sont autorisés à transiter par un réseau local. Le terme « port » fait généralement référence à un port TCP ou UDP.
248
Glossaire
POSIX Initiales de « Portable Operating System Interface for UNIX ». Famille de normes
standard de systèmes UNIX ouverts, permettant d’écrire des applications dans un seul
environnement cible au sein duquel elles peuvent être exécutées de manière identique sur un grand nombre de systèmes.
PPTP Initiales de « Point to Point Tunneling Protocol ». Protocole de transport réseau
utilisé pour les connexions VPN. Il constitue le protocole VPN standard sous Windows
et utilise le mot de passe de l’utilisateur pour produire une clé de chiffrement.
préférences gérées Préférences du système ou d’application contrôlées par les administrateurs. Gestionnaire de groupe de travail permet aux administrateurs de contrôler
les réglages de certaines préférences système pour les clients gérés Mac OS X.
privilèges Droit d’accéder à des zones restreintes d’un système ou d’effectuer certaines tâches (telles que les tâches de gestion) du système.
processus Programme en cours d’exécution et qui monopolise une partie de la
mémoire.
protocole Ensemble de règles qui déterminent la manière dont les données sont
échangées entre deux applications.
QTSS Publisher Application Apple (incluse avec Mac OS X Server) destinée à la gestion
de données multimédias et de listes de lecture QuickTime et à la préparation de données en vue de leur diffusion en continu et de leur téléchargement.
QuickTime Streaming Server (QTSS) Voir QTSS.
RADIUS Initiales de « Remote Authentication Dial-In User Service » (service d’authentification d’utilisateur par connexion à distance).
RAID Redundant Array of Independent (or Inexpensive) Disks. Regroupement de plusieurs disques durs physiques en une matrice de disques, dont le rôle est soit de fournir un accès à débit élevé aux données stockées, soit d’effectuer une copie en miroir
des données de façon à ce qu’elles puissent être reconstruites en cas de défaillance
de disque, soit les deux. La matrice RAID est présentée au système de stockage en
tant qu’unité de stockage logique unique. Voir aussi matrice RAID et niveau RAID.
RAID 0 Schéma RAID dans lequel les données sont distribuées également sur les segments composant une matrice de disques. RAID 0 accélère le transfert de données,
mais n’assure aucune protection des données.
RAID 0+1 Combinaison de RAID 0 et de RAID 1. Ce schéma RAID est créé en entrelaçant des données sur plusieurs paires de disques en miroir.
RAID 1 Schéma RAID qui crée une paire de disques en miroir avec des copies identiques des mêmes données. Il fournit un degré élevé de disponibilité des données.
Glossaire
249
RAID 5 Schéma RAID répartissant des données et des informations de parité sur une
matrice de disques, un bloc à la fois, chaque disque fonctionnant indépendamment.
Cela permet d’obtenir des performances maximales en lecture lors de l’accès à des
fichiers volumineux.
récursivité Processus de conversion complète des noms de domaine en adresses IP.
Une requête DNS non récursive permet la référence à d’autres serveurs DNS pour convertir l’adresse. En règle générale, les applications des utilisateurs dépendent du serveur DNS pour effectuer cette fonction, mais les autres serveurs DNS n’ont pas à
effectuer de requête récursive.
répertoire Voir dossier.
répertoire de départ Voir dossier de départ.
répertoire de départ local Voir dossier de départ local.
réseau géré Éléments que les clients gérés sont autorisés à voir quand ils cliquent sur
l’icône Réseau d’une fenêtre du Finder. Les administrateurs contrôlent ce réglage à
l’aide de Gestionnaire de groupe de travail. Également appelé présentation de réseau.
réseau local Voir LAN.
ROM de démarrage Instructions de bas niveau utilisées par un ordinateur dans les
premières étapes du démarrage.
root Compte qui n’est limité par aucune protection ni restriction sur un système. Les
administrateurs système utilisent ce compte pour apporter des modifications à la configuration du système.
royaume Terme général utilisé pour plusieurs applications. Voir royaume WebDAV,
royaume Kerberos.
royaume Kerberos Domaine d’authentification comprenant les utilisateurs et les services enregistrés auprès du même serveur Kerberos. Les utilisateurs et services enregistrés délèguent au serveur Kerberos la vérification de l’identité de chacun.
royaume WebDAV Partie d’un site web, généralement un dossier ou un répertoire,
défini pour fournir l’accès à des utilisateurs et des groupes WebDAV.
SACL Initiales de « Service Access Control List » (liste de contrôle d’accès aux services).
Vous permet de spécifier les utilisateurs et les groupes qui ont accès à des services particuliers. Voir ACL.
Samba Logiciel open-source fournissant à des clients Windows, via le protocole SMB,
l’accès aux fichiers, à l’impression, à l’authentification, à l’autorisation, à la résolution de
noms et aux services réseau.
250
Glossaire
sauvegarde Ensemble de données stockées à des fins de récupération au cas où la
copie originale des données serait perdue ou deviendrait inaccessible.
sauvegarder Action consistant à créer une sauvegarde.
schéma Ensemble d’attributs et de types d’enregistrements ou de classes servant de
plan pour les informations d’un domaine de répertoire.
secret partagé Valeur définie à chaque nœud d’une connexion VPN L2TP et servant de
base de clé de chiffrement pour négocier les connexions d’authentification et de transport des données.
Secure Sockets Layer Voir SSL.
segment Partition d’un disque faisant partie d’une matrice RAID.
segmenter Écrire des données sur des segments successifs composant une matrice
RAID ou un LUN.
Server Message Block Voir SMB.
serveur Ordinateur fournissant des services (service de fichiers, service de courrier
électronique ou service Web, par exemple) à d’autres ordinateurs ou périphériques
de réseau.
serveur autonome Serveur qui fournit des services sur un réseau, mais qui n’obtient
pas de services de répertoire auprès d’un autre serveur, ni ne fournit des services de
répertoire à d’autres ordinateurs.
Serveur d’applications Logiciel qui exécute et gère d’autres applications, généralement des applications web accessibles à l’aide d’un navigateur web. Les applications
gérées résident sur le même ordinateur que le serveur d’applications.
serveur de fichiers Ordinateur chargé de servir des fichiers à des clients. Un serveur de
fichiers peut être un ordinateur polyvalent capable d’héberger des applications supplémentaires ou un ordinateur capable uniquement de transférer des fichiers.
serveur de mots de passe Voir serveur de mots de passe Open Directory.
serveur de noms Serveur d’un réseau qui tient à jour une liste des noms de domaines
et des adresses IP associées à chaque nom. Voir aussi DNS, WINS.
serveur RADIUS Ordinateur du réseau fournissant une base de données centralisée
d’informations d’authentification pour les ordinateurs sur le réseau.
Glossaire
251
service de journal web Service Mac OS X Server permettant aux utilisateurs et aux
groupes de créer et d’utiliser des blogs de façon sécurisée. Le service de journal web
repose sur l’authentification Open Directory pour vérifier l’identité des auteurs et des
lecteurs de blogs. En cas d’accès via un site web acceptant le protocole SSL, le service
de journal web utilise le chiffrement SSL pour sécuriser davantage l’accès aux blogs.
services de répertoire Services fournissant au logiciel système et aux applications un
accès uniforme aux domaines de répertoire et à d’autres sources d’informations relatives aux utilisateurs et aux ressources.
shell Programme exécutant d’autres programmes. Vous pouvez utiliser un shell pour
communiquer avec l’ordinateur en tapant des commandes à l’invite du shell. Voir aussi
interface de ligne de commande.
signature numérique Signature électronique permettant de vérifier l’identité de
l’expéditeur d’un message.
SLP DA Initiales de « Service Location Protocol Directory Agent ». Protocole qui enregistre les services disponibles sur un réseau et permet aux utilisateurs d’y accéder aisément. Lorsqu’un service est ajouté au réseau, il utilise le protocole SLP pour
s’enregistrer. SLP DA utilise un point de dépôt centralisé pour les services réseau enregistrés.
SMB Protocole SMB (Server Message Block). Protocole permettant à des ordinateurs
clients d’accéder à des fichiers et à des services de réseau. Il peut être utilisé via TCP/IP,
Internet ou d’autres protocoles. Les services SMB utilisent ce protocole pour fournir
l’accès aux serveurs, aux imprimantes et à d’autres ressources réseau.
SMTP Initiales de « Simple Mail Transfer Protocol » (protocole simple de transfert de
courrier). Protocole servant à envoyer et à transférer du courrier électronique. Sa capacité à mettre les messages entrants en file d’attente est limitée. SMTP n’est donc généralement utilisé que pour envoyer des messages, tandis que le protocole POP ou IMAP
est utilisé pour recevoir des messages.
SNMP Initiales de « Simple Network Management Protocol » (protocole simple de gestion de réseau). Ensemble de protocoles standard utilisés pour gérer et contrôler des
périphériques réseau multiplateformes.
sous-domaine Parfois appelé nom d’hôte. Partie du nom de domaine d’un ordinateur
sur Internet. N’inclut pas l’indicateur de domaine ou de domaine de premier niveau
(par exemple .com, .net, .fr, .be). Le nom de domaine « www.exemple.com » est constitué du sous-domaine « www », du domaine « exemple » et du domaine de premier
niveau « com ».
sous-répertoire Répertoire appartenant à un autre répertoire.
252
Glossaire
sous-réseau Regroupement, sur un même réseau, d’ordinateurs clients organisés par
emplacement (par exemple, selon les différents étages d’un bâtiment) ou par emploi
des ressources (par exemple, tous les étudiants en classe de seconde). L’utilisation des
sous-réseaux simplifie l’administration du réseau global. Voir aussi sous-réseau IP.
sous-réseau IP Partie d’un réseau IP, éventuellement un segment de réseau physiquement indépendant, partageant une adresse réseau avec d’autres parties du réseau et
identifiée par un numéro de sous-réseau.
Spotlight Moteur de recherche complet servant à effectuer des recherches parmi vos
documents, vos images, vos séquences vidéo, vos documents PDF, vos messages électroniques, vos événements de calendrier et vos préférences système. Il permet de
rechercher un élément d’après le texte qu’il contient, son nom de fichier ou des informations qui lui sont associées.
SSL Initiales de « Secure Sockets Layer » (couche sécurisée pour sockets réseau). Protocole Internet permettant d’envoyer des informations authentifiées et chiffrées à travers
Internet. Les versions les plus récentes de SSL sont connues sous le nom de TLS (Transport Level Security).
système de fichiers Schéma de stockage de données sur des périphériques de stockage et qui permet aux applications de lire et d’écrire des fichiers sans s’occuper de
détails de niveau inférieur.
TCP Initiales de « Transmission Control Protocol » (protocole de contrôle des transmissions). Méthode utilisée conjointement avec le protocole IP (Internet Protocol) pour
envoyer des données, sous la forme d’unités de message, d’un ordinateur à un autre à
travers Internet. Le protocole IP gère la livraison effective des données, tandis que le
protocole TCP assure le suivi des unités de données (chaque message est divisé en unités, appelées « paquets », qui permettent leur acheminement efficace sur Internet).
téraoctet Voir To.
texte clair Texte n’ayant pas été chiffré.
texte en clair Données non chiffrées.
To Téraoctet. 1 099 511 627 776 (240) octets.
tous Tout utilisateur pouvant ouvrir une session sur un serveur de fichiers : un utilisateur enregistré ou un invité, un utilisateur FTP anonyme ou encore un visiteur de site
web.
transfert de zone Méthode selon laquelle les données d’une zone sont répliquées
(copiées) sur des serveurs DNS d’autorité. Les serveurs DNS esclaves demandent des
transferts de zone à leurs serveurs maîtres afin d’en acquérir les données.
Glossaire
253
tunneling Technologie permettant à un protocole de réseau d’envoyer ses données en
adoptant le format d’un autre protocole.
type d’enregistrement Catégorie particulière d’enregistrements, faisant référence, par
exemple, à des utilisateurs, des ordinateurs et des montages. Un domaine de répertoire peut contenir un nombre différent d’enregistrements pour chaque type d’enregistrements.
URL Initiales de « Uniform Resource Locator » (localisateur uniforme de ressources).
Adresse d’un ordinateur, d’un fichier ou d’une ressource, accessible à travers un réseau
local ou Internet. L’URL se compose du nom du protocole nécessaire pour accéder à la
ressource, d’un nom de domaine identifiant un ordinateur particulier sur Internet et
d’une description hiérarchique de l’emplacement d’un fichier sur l’ordinateur.
utilisateur invité Utilisateur autorisé à ouvrir une session sur un serveur sans nom
d’utilisateur et mot de passe.
Utilitaire d’images de réseau Utilitaire fourni avec le logiciel Mac OS X Server, permettant de créer des images disque pour les services NetBoot et Installation en réseau. Les
images disque peuvent contenir le système d’exploitation Mac OS X, des applications
ou les deux.
Virtual Private Network Voir VPN.
volume Allocation d’unité de stockage montable, qui se comporte, du point de vue du
client, comme un disque dur local, une partition de disque dur ou un volume réseau.
Dans Xsan, les volumes sont composés d’une ou de plusieurs réserves de stockage. Voir
aussi disque logique.
VPN virtual private network. Réseau utilisant le chiffrement et d’autres technologies
pour assurer des communications sécurisées à travers un réseau public, généralement
Internet. Les VPN sont de façon générale moins chers que les réseaux privés réels à
lignes privées, mais ils reposent sur l’utilisation du même système de chiffrement aux
deux extrémités. Le chiffrement peut être assuré par un logiciel de coupe-feu ou par
des routeurs.
WAN Initiales de « Wide area network » (réseau étendu). Réseau maintenu au sein
d’établissements géographiquement distincts, contrairement à un réseau LAN (réseau
local) qui est limité à un établissement. Votre interface WAN correspond généralement
à celle qui est connectée à Internet.
WebDAV Web-based Distributed Authoring and Versioning. Environnement de création en direct permettant à des utilisateurs clients de prendre des pages web, de les
modifier, puis de les rendre à leur site d’origine sans interruption de ce dernier.
wide area network Voir WAN.
254
Glossaire
wiki Site web permettant à des utilisateurs de modifier des pages de façon collaborative et d’accéder aisément aux pages précédentes à l’aide d’un navigateur web.
Windows Internet Naming Service Voir WINS.
WINS Initiales de « Windows Internet Naming Service » (service de noms Internet pour
Windows). Service de résolution de noms utilisé par les ordinateurs Windows pour faire
correspondre le nom des clients aux adresses IP. Un serveur WINS peut se trouver sur
un réseau local ou à l’extérieur sur Internet.
zone de réexpédition Zone DNS ne conservant aucune donnée et chargée de réexpédier les requêtes DNS vers une autre zone.
zone esclave Enregistrements de la zone DNS conservés par un serveur DNS secondaire. Une zone esclave reçoit ses données par le biais de transferts de zone depuis
la zone maîtresse du serveur DNS principal.
zone maîtresse Enregistrements de la zone DNS conservés par un serveur DNS principal. Une zone maîtresse est répliquée par des transferts de zone à des zones esclaves
sur des serveurs DNS secondaires.
Glossaire
255
Index
Index
A
accès
installation à distance 91
LDAP 22
listes de contrôle d’accès 61
listes de contrôle d’accès (ACL) 80
listes de contrôle d’accès à un
service (SACL) 80, 81
restrictions en matière d’adresses
IP 58
utilisateur 162, 165
utilitaire Trousseau d’accès 72
Voir aussi autorisations
ACL (listes de contrôle d’accès) 61
administrateur 79, 80, 81, 168, 169
Admin RAID 195
Admin Serveur
authentification 42, 43, 68, 157
certificats 68, 166
contrôle de l’accès 165
et la création d’images système 53
état du serveur 199
gestion des services 164
outil d’administration 157
ouverture 42, 43, 68, 157
personnalisation 45
système de notification 198
vue d’ensemble 11, 42, 43, 68
adressage IPv6 23
adresse IP
modification de l’adresse IP du
serveur 162
adresses. Voir adresses IP
adresses IP
et coupe-feu<>coupe-feu 89
changement de serveur 33
installation d’un serveur distant 91,
107
restriction d’accès 58
serveurs sur des sous-réseaux
différents 124
vue d’ensemble 23
agrégation de liens 184, 185, 186, 187,
189
aide, utilisation 12
Apple Remote Desktop (ARD) 56, 161,
208
archivage des données d’un
serveur 35, 39
ARD. Voir Apple Remote Desktop
asr outil 39, 94
Assistant du serveur 45, 109, 117, 123
Assistant réglages de passerelle 175
authentification
Admin Serveur 42, 43, 68, 157
Gestionnaire de groupe de
travail 170
Kerberos 22, 64, 123
mots de passe 63, 84, 107
MS-CHAPv2 120
Open Directory 63
RADIUS 21, 22, 64, 175
SASL 63
serveur autonome 122
services de trousseau 176
signature unique 64
SSH à base de clés 77, 78
et TLS 60
utilisateurs 63, 65, 78, 120
vue d’ensemble 63
Voir aussi certificats
authentification à base de clés 77, 78
authentification MS-CHAPv2 120
authentification par signature
unique 64
autorisation 63
Voir aussi authentification
autorisations
administrateur 79, 80, 168, 169
dossiers 61
fichiers 61
liste de contrôle d’accès à un
service (SACL) 81
types 61
autorité de certificat (AC)
257
création 71
création de certificats provenant d’une 73
demande de certificats à une 69, 70, 71, 73
distribution à des clients 75
introduction 67
vue d’ensemble 67
Voir aussi ICP
B
Berkeley Software Distribution. Voir BSD
BSD (Berkeley Software Distribution) 24
C
certificat racine 71
certificats
et Admin Serveur 68, 166
auto-signés 68, 71, 75
clés privées 66
clés publiques 66
création 71, 73
demande 69, 70
gestion 75
identités 68
importation 74
modification 75
préparation 69
racine 71
renouvellement 76
et services 77
suppression 76
vue d’ensemble 65, 67
certificats auto-signés 68, 71, 75
certificats d’identité. Voir certificats
certificats de clé publique. Voir certificats
changeip outil 33
chiffrement 60, 61, 62, 66, 134
Voir aussi SSL
clé privée 66, 68
clients
certificats 75
comptes de groupe 172
journalisation côté client 208
et NetBoot 28
Voir aussi utilisateurs
collecte de données historiques 193
comptes. Voir comptes utilisateur; Gestionnaire de
groupe de travail
comptes de groupe 172
comptes mobiles 161
comptes utilisateur
authentification 65
configuration 146
gérés, préférences de 172
gestion de 171
groupe 172
258
Index
mobiles 161
mots de passe 63
Voir aussi utilisateurs
configuration
agrégation de liens 187
authentification 63
automatique 128, 135, 136, 137, 140
avancée 19, 20, 122
configuration par lots pour plusieurs
serveurs 127
connexion au répertoire 121, 122
connexion au réseau 118, 186, 187
contrôle de l’état 143, 144
dépannage 143, 144
DHCP 89, 122
enregistrement des données de
configuration 130, 132, 133, 134, 136, 137, 140
Ethernet 118
exemple 209
feuille d’opérations 221
historiques 144
infrastructure de serveurs 31
interactive 123, 124, 125, 127
introduction 18, 117
Open Directory 119, 120, 121, 122, 135, 140, 145
report 117
serveur autonome 120
serveur distant 123, 125, 127
services 145, 146, 147, 148, 149, 150, 151, 175
SSL 166
transmission des fichiers de données de
configuration aux serveurs 134, 135
types de 117, 163
types de serveur 18
vue d’ensemble des réglages 119
configuration matérielle requise 87, 88, 103
configuration requise
environnement d’exploitation 183
infrastructure 30, 31
logiciels 87, 89
matériel 17, 32, 87, 88, 103
configuration requise en matière d’infrastructure 30,
31
configuration requise en matière d’infrastructure
matérielle 30
configuration requise pour l’environnement
d’exploitation 183
Console 196
Contrôle de serveur 51, 195
contrôle en temps réel 193
copies complètes au niveau du fichier 36
copies de sauvegarde
fichiers critiques 176
courrier électronique. Voir service de messagerie
cryptographie à clé publique 77
CSR (demande de signature de certificat) 69, 70, 71,
73
D
Darwin (système d’exploitation principal) 24
Demande de signature de certificat. Vo
démon launchd 39, 191
démons, vue d’ensemble 191
démon slapd 207
démon snmpd 201
dépannage du serveur 143, 144
df , outil 196
diffusion, configuration 150
diffusion de données en continu 21, 28, 54, 150, 177
diskspacemonitor, outil 197
diskutiloutil 101, 104, 106
disques
effacement de l’espace libre 105
gestion à partir de la ligne de commande 196
gestion via la ligne de commande 101, 106
mise en miroir 102
outils de contrôle 196
partitions 93, 100, 101, 103, 105
préparation de l’installation 98, 99, 100, 101, 102,
103, 104, 105
quotas 28
Voir aussi RAID
dittooutil 39
documentation 13, 14, 15
domaine de répertoire local, serveur autonome 122
domaine de répertoire partagé 22, 120
domaines, répertoire 21, 89
Voir aussi Open Directory
Domain Name System. Voir DNS
données, diffusion en continu. Voir diffusion de
données en continu
dossiers 28, 61, 161
dossiers de départ 28, 161
du , outil 196
DVD, installation 92
Dynamic Host Configuration Protocol. Voir DHCP
E
emond, démon 204
ensemble RAID concaténé 103
entrelacement 102
équilibrage de la charge 190
Ethernet 60, 118, 187
exportation de réglages de service 165
F
fichiers
configuration 206
considérations en matière de stockage 28
copies complètes au niveau du fichier 36
Index
de sauvegarde 176
données de configuration 130, 132, 136, 137
sauvegarde 34, 38
secret partagé 66
sécurité 61, 62
fichiers de configuration php 179
fichiers de secret partagé 66
File Transfer Protocol. Voir FTP
FileVault 62
FTP (File Transfer Protocol) 23
G
Gestionnaire de certificats 68, 74
Gestionnaire de groupe de travail
administration de comptes 171
authentification 170
ouverture 46, 170
personnalisation 48, 174
vue d’ensemble 46, 47
vue d’ensemble de l’administration 170
groupe de travail, type de configuration 18
Groupes 158, 159, 165, 169, 171
Growl, application 208
H
HFS+J, volume 99
HFSX, volume 99
historiques
contrôle 196, 204, 205, 207, 208
dépannage de la configuration 144
services web 179
I
ICP (infrastructure à clé publique) 60, 65, 66
image complète, type de sauvegarde 35
images. Voir images disque; NetBoot; NetInstall
images disque
chiffrement 62
installation avec 28
installation avec des 53, 94, 97
importation
certificats 74
réglages de service 165
infrastructure à clé publique. Voir ICP
Inspecteur 174
installation
accès à distance 88, 91, 106, 109
à partir de versions antérieures du système
d’exploitation 85, 88
à partir de versions de système d’exploitation
antérieures 26, 29
collecte des informations 88
configuration des services réseau 89
configuration requise 87, 88
configuration requise en matière d’ 30
259
configuration requise en matière
d’infrastructure 31
connexions aux répertoires 89
démarrage pour 90, 92, 93, 97
disque d’installation du serveur 89
identification des serveurs 106
avec images disque 28, 53, 94, 97
interactive 107, 109, 111
logiciel serveur 90, 112
méthode de la ligne de commande 112
mise à jour 115
mise à niveau 115
modification du nom d’hôte 162
ordinateur administrateur 88
planification 25, 26, 27, 28, 29, 30
préparation du disque 98, 99, 100, 101, 102, 103,
104, 105
report de la configuration 117
stratégie d’intégration 30
sur plusieurs serveurs 114
vue d’ensemble 85
instantanés, données 36
Interfaces réseau 161
stratégie d’intégration 30
et UNIX 24
Voir aussi configuration; installation
maître Open Directory 89
matériel, configuration requise 17, 32
migration 26, 29, 30
Mise à jour de logiciels 115
Mise à jour de logiciels, service 149
mise à niveau
à partir de Mac OS X 115
à partir de versions de serveur antérieures 26, 29
et données de configuration enregistrées 130
comparaison avec la migration 26, 30
mise en miroir, disque 102
modules open source
PHP 179
modules open-source
Kerberos 22, 64, 123
OpenLDAP 22
OpenSSL 60
Voir aussi Open Directory
mots de passe 63, 84, 107
J
Nagios, application 208
NAT (Network Address Translation) 177
NetInstall 53, 97
Network Address Translation. Voir NAT
Network File System. Voir <Default ¶ Fo>
Network Time Protocol. Voir NTP
NFS (Network File System) 23
niveau d’autorisation Contrôler 168
nom d’hôte
local 119, 161
modification 162
nom d’ordinateur 161
nom de l’ordinateur 119
NTP (network time protocol) 161
numéro de série, serveur 92
journalisation, système de fichiers 99
K
KDC (Kerberos Key Distribution Center). Voir
Kerberos
Kerberos 22, 64, 123
L
LACP (Link Aggregation Control Protocol) 185
launchctl outil 192
LDAP (Lightweight Directory Access Protocol) 22
lecteurs. Voir disques
Link Aggregation Control Protocol. Voir LACP
liste de contrôle d’accès à un service (SACL) 80, 81
listes d’ordinateurs 171, 172
listes de contrôle d’accès (ACL) 80
listes de contrôle d’accès à un service. Voir SACL
M
MAC (Media Access Control), adresses 60, 106
Mac OS X
administration depuis 155, 175
considérations en matière d’installation 88
mise à niveau à partir de 115
Mac OS X Server
configuration 120
configuration requise 17
introduction 17, 18
normes standard prises en charge 21
outils d’administration 41
260
Index
N
O
Open Directory
authentification 63
configuration 119, 120, 121, 122, 135, 140, 145
et les listes de cont 80
historiques 207
vue d’ensemble 21
Open Directory, réplique 123, 183
OpenLDAP 22
OpenSSL 60
ordinateur administrateur 88, 154, 155, 156
ordinateurs, administrateur 88, 154, 155, 156
ordinateurs client et NetBoot 28
ordinateurs portables 161
outil renifleur de paquets Ethereal 198
outils de ligne de commande
administration de serveur 54
et autorisations 169
contrôle de démon 191
contrôle de l’espace disque 196
effacement de disques 106
installation du logiciel serveur 112
outils de restauration 39
outils de sauvegarde 39
partitionnement de disques 101
ouverture de session, authentification 77, 78
P
PackageMaker 53
paquets de données, filtrage 58
partage de fichiers 146, 167
partitions, disque 93, 100, 101, 103, 105
Podcast Producer 150
points de défaillance uniques 180
points de partage 61, 167
Portable Operating System Interface. Voir POSIX
ports
état 154
Ethernet 118
liste de 154
TCP 77
POSIX (Portable Operating System Interface) 61
préférences 172
préférences Date et heure 161
préférences gérées, définition 172
préréglages 172
privilège, administrateur 80, 168, 169
privilèges, administrateur
Voir aussi autorisations
procédures de configuration. Voir configuration;
installation
programme d’installationoutil 112, 114
Property List Editor 53
protocoles
service de fichiers 23, 208
service réseau 31, 89, 122, 161, 162
vue d’ensemble 23
Voir aussi protocoles spécifiques
Q
QuickTime Streaming Server (QTSS) 21, 54, 177
quotas, espace disque 28
R
RADIUS (Remote Authentication Dial-In User
Service) 21, 22, 64, 175
RAID (matrice redondante de disques
indépendants) 29, 102, 103, 104
redémarrage, automatique 182
Index
Remote Authentication Dial-In User Service. Voir
RADIUS
répertoire, domaines 121, 122
répertoire, domaines de 174
répertoire, vue d’ensemble 49, 50
répertoires. Voir services de répertoire; domaines,
répertoire; dossiers
réplication 64
réplique Open Directory 64
répliques 123, 183
réseau ordinateur-commutateur 186
réseau ordinateur-ordinateur 186
réseau ordinateur-paire de commutateurs 187
réseaux
, outils de contrôle 197, 201, 202, 203
configurations de connexions 118, 186, 187
connexion initiale à la configuration du
serveur 118
environnement pour l’installation 86
Ethernet 60, 118, 187
sécurité 58, 59, 60, 61
restauration, données 34, 37
rsync outil 39
S
SASL (Simple Authentication and Security Layer) 63
sauvegardes
considérations en matière de politique 34, 38
données de configuration du serveur 133, 134
outils de ligne de commande 39
planification 36
schéma de rotation 37
types 35
types de support 38
validation 38
sauvegardes incrémentales 36
Secure SHell. Voir SSH
Secure Sockets Layer. Voir SSL
Secure VM 62
sécurité
administrateur 79, 80, 168, 169
au niveau du service 80, 81
autorisation 63
fichier 61, 62
installation 90
physique 57
pratiques d’excellence 81
réglages 166
réseau 58, 59, 60, 61
SASL 63
service de coupe-feu 58, 59, 89, 177
SSH 77, 78, 91, 92, 161, 176
SSL 60, 65, 66, 68, 166
TLS 60
vue d’ensemble 57
261
Voir aussi accès; authentification; certificats; SSL
Server Message Block, protocole. Voir SMB
serveur autonome 120, 122
serveur d’horloge 161
serveurs
ajout 157
autonomes 120, 122
configuration requise en matière
d’infrastructure 30, 31
considérations en matière de déplacement 33
démarrage 90, 97
dépannage 143, 144
équilibrage de la charge 190
exemple 209
feuille d’opérations de configuration 221
groupes de 158, 159
horloge 161
numéros de série des 92
outils d’administration 41, 42, 54, 55, 153, 156
outils de fiabilité 180, 181, 182, 183, 184, 185,
187, 189
réglages de base 119, 159
suppression 157
surveillance de l’état 193, 194, 195, 196, 197, 198,
199
Voir aussi configuration; installation; serveurs
distants
serveurs de réserve
configuration avancée 20
serveurs distants
accès 91
Apple Remote Desktop 56, 161, 208
configuration 123, 125, 127
identification 106
installation à partir de ou sur 88, 91, 106, 109
serveurs LDAPv3 64
service AFP (Apple Filing Protocol) 23, 208
service d’images système 149
Service d’impression 147
service de calendriers. Voir service iCal
service de conversation. VoiriChat
service de coupe-feu 58, 59, 89, 177
service de journal web 180
service de messagerie 21, 22, 149, 175, 177
service DHCP (Dynamic Host Configuration
Protocol) 31, 89, 122
service DNS (système de noms de domaine) 31, 89
service iCal 151, 176
Service iChat 20, 151, 176
service MySQL 179
service NetBoot 28, 53, 97
services
configuration 145, 146, 147, 148, 149, 150, 151,
175
contrôle de l’accès 162, 165
exportation de réglages 165
262
Index
gestion de 175
importation de réglages 165
planification pour la distribution 28
sécurité 77, 80, 81
visualisation 162, 164
Voir aussi services spécifiques
services de fichiers 20, 23, 146, 208
services de répertoire
et configuration automatique 132, 135, 140
configuration avancée 122
domaines de répertoire 21, 89, 121, 122, 174
historiques 207
planification 28
Voir aussi Open Directory
services de trousseau 176
services réseau
configuration 149
DHCP 31, 89, 122
DNS 31, 89
installation 89
NAT 177
NTP 161
planification 31
réseau local virtuel 59
VPN 123
Voir aussi adresses IP
services web 20, 21, 148, 179
service Xgrid 2 20, 176
signature numérique 166
Simple Network Management Protocol. Voir SNMP
SMB (Server Message Block) 23
SNMP (Simple Network Management Protocol)
outil de contrôle 201, 202, 203
définition 24
réglages 161
sous-réseaux 118, 124
SSH (Secure Shell Host) 77, 78, 91, 92
SSH (secure Shell host) 161, 176
SSL (Secure Sockets Layer) 60, 65, 66, 68, 166
standard, type de configuration 18
syslog, fichier de configuration 205
syslogd, démon 204
système de notification 51, 161, 176, 198, 204
Voir aussi historiques
systèmes de fichiers
données de configuration 134
sauvegarde 39
sélection 99
Voir aussi volumes
T
TCP (Transmission Control Protocol) 58, 77
tcpdump, outil 197
technologies web 23
Time Machine 39
TLS (Transport Layer Security), protocole 60
Transmission Control Protocol. Voir TCP
Transport Layer Security, protocole. Voir TLS
Trousseau d’accès, utilitaire 72
U
UDP (User Datagram Protocol) 58
UNIX 24
UPS (alimentation sans interruption) 181, 182
User Datagram Protocol, protocole. Voir UDP
utilisateurs
accès administratif pour 79, 80, 168, 169
authentification 63, 65, 78, 120
autorisations 169
certificats 67
contrôle de l’accès 162, 165
dossiers de départ 28, 161
gestion 171
groupes 165, 169, 171
quotas relatifs à l’espace disque 28
et répertoire 49
Windows 29, 63
Voir aussi clients; comptes utilisateur; Gestionnaire
de groupe de travail
utilisateurs Windows 29
Utilitaire d’annuaire 51
Utilitaire d’images de système 53
utilitaire de disque 62, 101, 103, 105
utilitaire UNIX srm 63
V
virtual private network. Voir VPN
VLAN (Virtual Local Area Network) 59
VNC (Virtual Network Computing) 87, 91, 111, 114
volumes
démarrage 90, 97
données de configuration 134
effacement 105, 106
et le partitionnement 100, 101
pris en charge 99
RAID 102, 103
sauvegarde 39
VPN (virtual private network) 123
W
WebObjects, serveur d’applications 150
widget Dashboard d’état du serveur 194
wikis 180
Windows, utilisateurs 63
Windows NT 30
X
Xgrid Admin 55
Xsan 20
Xserve
et Contrôle de serveur 51
et fiabilité du serveur 181, 182
instructions d’installation du matériel 88
prise en charge des réseaux locaux virtuels 59
Z
zone démilitarisée, réseau 59
Vider la Corbeille en mode sécurisé 63
Index
263