Manuel du propriétaire | Apple Mac OS X Server Manuel utilisateur
Ajouter à Mes manuels396 Des pages
▼
Scroll to page 2
of
396
Guide de l’administrateur de Mac OS X Server Informations sur le fonctionnement du logiciel Mac OS X Server et sur les stratégies d’application à votre réseau K Apple Computer Inc. © 2001 Apple Computer Inc. Tous droits réservés. En application des lois de droits d’auteur en vigueur, aucune reproduction totale ou partielle du présent document n’est autorisée, sauf consentement écrit préalable d’Apple. Le logo Apple est une marque d’Apple Computer Inc. déposée aux États-Unis et dans d’autres pays. L’utilisation de ce logo à des fins commerciales via le clavier (Option-1) pourra constituer un acte de contrefaçon et/ou de concurrence déloyale. Apple, le logo Apple, AppleScript, AppleShare, AppleTalk, ColorSync, Final Cut Pro, FireWire, Keychain, Mac, Macintosh, Power Macintosh, QuickTime, Sherlock et WebObjects sont des marques d’Apple Computer Inc., déposées aux États-Unis et dans d’autres pays. AirPort, Extensions Manager, Finder, iMac, iMovie et Power Mac sont des marques d’Apple Computer Inc. Adobe et PostScript sont des marques d’Adobe Systems Incorporated. Java et tous les logos et marques Java sont des marques ou des marques déposées de Sun Microsystems, Inc. aux États-Unis et dans d’autres pays. Netscape Navigator est une marque de Netscape Communications Corporation. RealAudio est une marque de Progressive Networks Inc. © 1995-2001 The Apache Group. Tous droits réservés. UNIX est une marque déposée aux États-Unis et dans d’autres pays sous la licence exclusive de X/Open Company Ltd. FU062-8441/7-26-01 Remarque : Apple améliore continuellement les performances et le design de ses produits. Il se peut que certaines illustrations de ce manuel soient légèrement différentes de votre version du logiciel. Table des matières Préface Comment utiliser ce guide 15 Contenu du guide 15 Première configuration de Mac OS X Server 16 Pour toute aide concernant les tâches de gestion quotidiennes 17 Informations complémentaires 17 1 Administration de Mac OS X Server 19 Qu’est-ce que Mac OS X Server ? 19 Utilisation de Mac OS X Server 20 Classes et laboratoires de l’enseignement secondaire 21 Installations de l’enseignement supérieur 22 Entreprises de création et d’édition 24 Fournisseurs de services Internet 25 Services inclus dans Mac OS X Server 26 Services de répertoire 26 Services de fichiers 26 Service d’impression 27 Service Web 28 Service de courrier 28 Service d’enchaînement QuickTime 28 Services de gestion des clients 28 Services de réseau 29 Services d’applications 31 Administration des services 31 Admin Serveur 32 3 Gestionnaire Macintosh 35 Admin Serveur Enchaînement 36 Admin de Bureau NetBoot 36 Installation de votre serveur pour la première fois 36 Étape 1 : Présentation du serveur et de ses applications d’administration 36 Étape 2 : Installation du serveur 37 Étape 3 : Ouverture d’une session 37 Étape 4 : Créez des points de partage 37 Étape 5 : Définissez des réglages par défaut pour les répertoires d’accueil 38 Étape 6 : Définissez les utilisateurs 38 Étape 7 : Définissez des groupes 39 Étape 8 : Affectez des autorisations aux points de partage 40 Étape 9 : Définissez tous les services complémentaires dont vous avez besoin 41 Où trouver plus d’informations sur Mac OS X Server et sur la gestion de serveur 43 Si vous êtes novice dans la gestion de serveur et de réseau 43 Si vous êtes un administrateur de serveur chevronné 43 2 Services de répertoire 45 Que sont les services de répertoire ? 45 Informations utilisateur nécessaires pour l’authentification 45 Autres types d’informations utilisateur requises par le serveur 45 Où définir les informations utilisateur ? 46 Comment le serveur recherche-t’il les informations utilisateur ? 49 Utilisation de NetInfo 50 Avant d’installer NetInfo 50 Première installation de NetInfo 54 Utilisation du protocole LDAP 55 Avant de configurer l’accès au serveur LDAP 55 Première installation du LDAP 55 Définition de politiques de recherche 57 Avant de configurer votre politique de recherche 59 Définition de politiques de recherche pour la première fois 60 3 Utilisateurs et groupes 61 Définition des utilisateurs et des groupes 61 4 Table des matières Comment les informations utilisateur sont-elles utilisées ? 61 Caractéristiques des utilisateurs 62 Caractéristiques des groupes 63 Avant de définir des utilisateurs et des groupes 63 Configuration des utilisateurs et groupes pour la première fois 63 Étape 1 : Modifiez le compte administrateur défini lors de l’installation du serveur 64 Étape 2 : Créez de nouveaux utilisateurs 64 Étape 3 : Créez de nouveaux groupes (facultatif) 64 Réglages utilisateur 64 Réglages généraux des utilisateurs 65 Réglages des utilisateurs avancés 67 Commentaires sur l’utilisateur 71 Réglages du service de courrier 71 Réglages de groupe 74 Trucs et astuces pour les utilisateurs et groupes 76 Exportation et importation d’utilisateurs et de groupes 76 Configuration du montage automatique des répertoires d’accueil 76 Limitations des mots de passe du Mac OS X Server 77 Résolution des problèmes rencontrés avec les utilisateurs et groupes 78 4 Partage 79 Qu’est-ce que le partage ? 79 Avant d’attribuer des autorisations 79 Autorisations explicites 80 Types d’autorisations 80 Catégories d’utilisateurs 81 Utilisateurs et autorisations client 81 Problèmes de sécurité 82 Première configuration de partage 83 Étape 1 : Activation du service de fichiers 83 Étape 2 : Création d’un point de partage 83 Étape 3 : Définissez les autorisations des points de partage 83 Réglages de Partage 84 Réglages généraux 85 Table des matières 5 Réglages d’automontage 87 Réglages Contrôle d’accès à NFS 88 Résolution de problèmes avec Partage 89 5 Services de fichiers 91 Que sont les services de fichiers ? 91 Avant d’installer les services de fichiers 91 Définition d’autorisations de fichiers et dossiers 92 Restriction d’accès aux utilisateurs invités 92 Autorisation d’accès limitée aux utilisateurs référencés 93 Service de fichiers Apple 93 Avant d’installer le service de fichiers Apple 93 Première installation du service de fichiers Apple 94 Réglages du service de fichiers Apple 94 Résolution des problèmes du service de fichiers Apple 100 Spécifications du service de fichiers Apple 101 Services Windows 102 Avant d’installer les services Windows 102 Première installation des services Windows 104 Réglages des services Windows 105 Résolution des problèmes des services Windows 109 Spécifications des services Windows 109 Service NFS 110 À qui s’adresse le service NFS ? 110 Avant d’installer le service NFS 110 Première installation du service NFS 111 Réglages du service NFS 111 Réglages Contrôle d’accès à NFS 112 Service FTP 114 Avant d’installer le service FTP 114 Première installation du service FTP 114 Réglages du service FTP 115 Trucs et astuces pour l’utilisation du service FTP 116 À l’intérieur du service FTP 117 Résolutions des problèmes du service FTP 118 6 Table des matières Spécifications du service FTP 120 Pour plus d’informations sur les services de fichiers 120 6 Service d’impression 121 Présentation du service d’impression 121 Connexion d’imprimantes au serveur 121 Partage des files d’attente sur le réseau 122 Gestion des files d’attente et de leurs tâches 123 Surveillance des tâches d’impression 123 Avant d’installer le service d’impression 124 Première configuration du service d’impression 124 Étape 1 : Ajoutez des imprimantes 125 Étape 2 : Configurez le service d’impression 125 Étape 3 : Configurez les files d’attente 125 Étape 4 : Démarrez le service d’impression 125 Étape 5 : Activez les services Windows (facultatif) 125 Étape 6 : Configurez l’impression à partir d’ordinateurs clients 125 Réglages du service d’impression 126 Réglages généraux du service d’impression 126 Réglages d’une file d’attente 127 Réglages des tâches d’impression 129 Résolution des problèmes du service d’impression 129 7 Service Web 131 En quoi consiste le service Web ? 131 Avant d’installer le service Web 131 Configuration du service Web 132 Assurer la sécurité des transactions 132 Installation de sites Web 132 Héberger plusieurs sites Web 133 Comprendre la sécurité WebDAV 133 Première installation du service Web 133 Étape 1 : Configuration du dossier Documents 134 Étape 2 : Création d’une page par défaut 134 Étape 3 : Attribution d’autorisations pour votre site Web 134 Table des matières 7 Étape 4 : Configuration du service Web 134 Étape 5 : Démarrer le service Web 135 Étape 6 : Connexion à votre site Web 135 Réglages du service Web 135 Réglages généraux du service Web 136 Réglages de sites pour le service Web 138 Réglages des types MIME pour le service Web 139 Réglages proxy du service Web 140 Web Réglages de site 141 Réglages généraux pour les sites Web 142 Consignation des réglages de sites Web 144 Réglages d’accès pour sites Web 145 Réglages de sécurité des sites Web 148 Stratégies et astuces pour le service Web 149 Utilisation de connexions persistantes pour améliorer la performance de votre serveur 149 Travailler avec des modules Web 150 Utilisation d’un script Common Gateway Interface (CGI) 152 Comprendre le fonctionnement de Multipurpose Internet Mail Extension (MIME) 153 Configuration du service Secure Sockets Layer (SSL) 155 Contrôle de l’activité et de la performance du service 159 Configuration avancée d’Apache 160 Désactivation du cache pour les pages Web dynamiques 161 Comprendre les domaines et les autorisations WebDAV 162 Résolution de problèmes avec le service Web 163 Spécifications pour le service Web 164 Où trouver des informations sur le service Web 164 8 Service de courrier 167 En quoi consiste le service de courrier ? 167 POP (Post Office Protocol) 167 IMAP (Internet Message Access Protocol) 168 SMTP (Simple Mail Transfer Protocol) 168 Avant de configurer le service de courrier 168 Service de courrier sur un serveur unique 168 8 Table des matières Service de courrier pour domaines multiples 169 Enregistrements MX pour service de courrier basé sur Internet 169 Configuration du service de courrier pour la première fois 170 Étape 1 : Configurez les enregistrements MX 170 Étape 2 : Démarrez le service de courrier 170 Étape 3 : Configurez le service de courrier 171 Étape 4 : Sélectionnez les réglages d’hôte par défaut 172 Étape 5 : Activez le courrier pour les utilisateurs et créez un compte d’administrateur de courrier 172 Réglages du service de courrier 173 Réglages généraux 173 Réglages des messages 175 Réglages des filtres 176 Réglages de protocoles 178 Réglages des hôtes 182 Réglages du courrier entrant 182 Réglages du courrier sortant 183 Réglages de réseau 185 Sources d’informations supplémentaires sur le service de courrier 186 9 Serveur Enchaînement QuickTime 189 Présentation du Serveur Enchaînement QuickTime 189 Visualisation de données en flux continu : principe de fonctionnement 189 À qui s’adresse le Serveur Enchaînement QuickTime ? 190 Avant d’installer le Serveur Enchaînement QuickTime 190 Exemple de configuration pour vidéo en direct 191 Configuration Serveur Enchaînement QuickTime pour la première fois 192 Étape 1 : Ouverture d’Admin Serveur Enchaînement 192 Étape 2 : Sélection des réglages de votre serveur d’enchaînement 192 Étape 3 : Configuration d’une page Web pour diffuser des données (optionnel) 193 Réglages du serveur d’enchaînement 194 Réglages généraux 194 Réglages de consignation 195 Utilisateurs connectés 195 Stratégies et astuces concernant le serveur d’enchaînement 196 Table des matières 9 Préparation de données en direct pour la diffusion 196 Préparation de données stockées pour la diffusion 196 Utilisation de listes de lecture pour diffuser des données audio et vidéo préenregistrées 198 Au coeur du Serveur Enchaînement QuickTime 201 Formats de fichiers compatibles 201 Contrôle de l’accès aux données diffusées 202 Franchissement de pare-feux et de réseaux à conversion d’adresse 206 Configuration d’un relais 207 Résolution de problèmes avec le Serveur Enchaînement QuickTime 210 Sources d’informations supplémentaires sur le Serveur Enchaînement QuickTime 212 10 Service Gestion Macintosh 213 Qu’est-ce que le service Gestion Macintosh ? 213 Á qui s’adresse le service Gestion Macintosh ? 213 Avant d’installer Gestionnaire Macintosh 214 Installation du Gestionnaire Macintosh pour la première fois 214 Étape 1 : Assurez-vous que les utilisateurs possédant des répertoires d’accueil existent dans Utilisateurs et groupes 214 Étape 2 : Assurez-vous que le service Gestion Macintosh est en fonction 214 Étape 3 : connectez-vous en tant qu’administrateur 214 Étape 4 : Ajoutez des comptes d’utilisateurs 215 Étape 5 : Créez un administrateur pour Gestionnaire Macintosh 215 Étape 6 : Créez un groupe de travail 215 Étape 7 : Définissez des options de sécurité 215 Réglages du Gestionnaire Macintosh 216 Réglages élémentaires des utilisateurs 217 Réglages avancés des utilisateurs 219 Réglages des membres de groupes de travail 223 Réglages d’éléments de groupes de travail 225 Réglages Autorisations des groupes de travail 228 Réglages Volumes des groupes de travail 232 Réglages d’impression des groupes de travail 234 Réglages des options de groupes de travail 236 Réglages des listes d’ordinateurs 239 10 Table des matières Réglages de groupe des ordinateurs 241 Réglages de contrôle des ordinateurs 242 Réglages Sécurité des ordinateurs 244 Réglages d’ouverture de session des ordinateurs 246 Réglages Emprunt des ordinateurs 248 Réglages globaux de sécurité 249 Réglages globaux des CD-ROM 251 Trucs et astuces pour l’utilisation du Gestionnaire Macintosh 252 Pour procurer un accès rapide aux utilisateurs non importés 252 Installation du Gestionnaire Macintosh sur des réseaux étendus ou en pleine croissance 253 Création de groupes de travail pour satisfaire les besoins de votre réseau 253 Choix d’environnements de bureau pour vos groupes de travail 255 Maximisation de la sécurité 256 Au coeur du Gestionnaire Macintosh 257 Démarrage du Gestionnaire Macintosh 257 Fonctionnement du Gestionnaire Macintosh avec les préférences 257 Comment Gestionnaire Macintosh garantit la sécurité 263 Comment les ordinateurs clients sont-ils actualisés à partir du serveur ? 264 Comment Gestionnaire Macintosh effectue-t’il le suivi des utilisateurs, des groupes de travail et des listes d’ordinateurs ? 265 À propos du point de partage du Gestionnaire Macintosh 265 Utilisation du Gestionnaire Macintosh avec les Services NetBoot 267 Résolution de problèmes grâce au Gestionnaire Macintosh 268 Problèmes de connexion au Gestionnaire Macintosh 268 Problèmes que les utilisateurs client peuvent rencontrer 269 Où trouver plus d’informations sur Gestionnaire Macintosh ? 271 11 NetBoot 273 Présentation de NetBoot 273 À qui s’adresse NetBoot ? 273 Avant de configurer NetBoot 274 Organisation du réseau 274 Fiche de configuration de NetBoot 281 Table des matières 11 Première configuration du logiciel de serveur NetBoot 282 Étape 1 : Installation du logiciel de serveur NetBoot (facultatif) 282 Étape 2 : Utilisation de l’Assistant réglages NetBoot 282 Étape 3 : Configuration de Gestionnaire Macintosh 283 Étape 4 : Démarrage d’un ordinateur client NetBoot 283 Utilisation d’Admin de Bureau NetBoot 283 Installation d’un logiciel ou modification de l’image disque 284 Astuces et stratégies pour utiliser NetBoot 286 Amélioration des performances NetBoot 286 Facteurs influant sur les performances du serveur 286 Contenu de NetBoot 289 Résolution des problèmes liés à NetBoot 290 12 Services de réseau 291 Présentation des services de réseau 291 Service d’agent de répertoire SLP 292 À qui s’adresse le service d’agent de répertoire SLP (“SLP DA”) ? 292 Avant d’installer le service SLP DA 292 Première installation du service d’agent de répertoire SLP 293 Réglages du service SLP DA 295 Trucs et astuces pour utiliser le service SLP DA 298 Service DHCP 300 À qui s’adresse le service DHCP ? 300 Avant d’installer le service DHCP 301 Première installation du service DHCP 302 Réglages du service DHCP 304 Trucs et astuces pour l’utilisation du service DHCP 309 Service DNS 310 À qui s’adresse le service DNS ? 310 Avant d’installer le service DNS 310 Première installation du service DNS 311 Trucs et astuces pour utiliser le service DNS 312 Service de filtres IP 316 En quoi consiste le service de filtres IP? 316 À qui s’adresse le service de filtres IP ? 317 12 Table des matières Avant d’installer le service de filtres IP 317 Première installation du service de filtres IP 320 Réglages du service de filtres IP 321 Réglages de la fenêtre Filtre IP 327 Trucs et astuces pour utiliser le service de filtres IP 329 Résolution de problèmes à l’aide du service de filtres IP 332 Pour plus d’informations sur les services de réseau 333 Annexe A Rubriques avancées 335 Rubriques TCP/IP 335 Ports utilisés par les ordinateurs Mac OS X 335 Configuration d’un réseau TCP/IP privé 338 Configuration de plusieurs adresses IP sur un port 339 Création de règles de filtres IP via ipfw 340 Sources d’informations supplémentaires sur la configuration TCP/IP 343 Formats de fichiers pour l’importation ou l’exportation d’utilisateurs et groupes 343 Exemple de fichier XML 344 Création de votre propre fichier Utilisateurs et groupes 348 Sources d’informations supplémentaires sur le format de XML 351 Spécification des données LDAP 351 Mappage des données d’utilisateur 351 Affectation des données du service de réseau 359 Utilisation des affectations par défaut 360 Configuration de l’accès LDAP 361 Sauvegarde des informations du serveur 367 Annexe B Fiche d’informations de Mac OS X Server Glossaire Index 369 373 379 Table des matières 13 P R É F A C E Comment utiliser ce guide Contenu du guide Que vous soyez novice en gestion de réseau ou administrateur chevronné, commencez par lire ce document. Choisissez les chapitres en fonction de l’usage auquel vous destinez votre serveur. m Consultez le chapitre 1, intitulé “Administration de Mac OS X Server”, à la page 19, qui donne une présentation générale du fonctionnement de Mac OS X Server, des services fournis, de la manière de le configurer la première fois, puis de l’administrer. m Les chapitres 2, 3 et 4 décrivent trois des composants de base de Mac OS X Server : les services de répertoire, les utilisateurs et groupes ainsi que le partage. Lisez attentivement ces chapitres car la plupart des services dépendent de la configuration de ces trois composants. m Le chapitre 5, “Services de fichier”, décrit les services de fichier inclus dans Mac OS X Server : le service de fichiers Apple, les services Windows, les services NFS et les services FTP. m Le chapitre 6, “Service d’impression”, explique comment partager des imprimantes compatibles PostScript™ entre ordinateurs Macintosh, Windows et autres. m Le chapitre 7, “Service Web”, décrit le service web de Mac OS X Server. Vous apprendrez à configurer des transactions sécurisées sur votre serveur Web et à héberger plusieurs sites Web. m Le chapitre 8, “Service de courrier”, comprend des informations sur le service de messagerie de Mac OS X Server, notamment l’utilisation du courrier sur Internet et le choix des protocoles les mieux adaptés à votre réseau. m Le chapitre 9, “Serveur Enchaînement QuickTime”, décrit le service qui vous permet de diffuser des données multimédias sur Internet en temps réel. m Le chapitre 10, intitulé “Service Gestion Macintosh”, contient des informations sur la manière dont vous pouvez utiliser le Gestionnaire Macintosh pour gérer vos ordinateurs clients de manière plus efficace. 15 m Le chapitre 11 est consacré au Service NetBoot, qui permet aux administrateurs de configurer et de mettre à jour les ordinateurs clients instantanément, en mettant tout simplement à jour l’image du disque de démarrage sur le serveur. m Le chapitre 12, intitulé “Services de réseau”, contient des informations sur les services de réseau de Mac OS X Server, comprenant le service d’agent de répertoire SLP, le service DHCP, le service DNS et le service de filtres IP. m L’annexe A contient des informations supplémentaires destinées aux administrateurs qui souhaitent obtenir plus de détails sur la gestion de serveur avancée. m L’annexe B, “Fiche d’informations de Mac OS X Server”, contient une fiche servant à noter les informations concernant votre serveur. m Le glossaire répertorie et définit tous les acronymes que vous pouvez rencontrer dans ce manuel. Lisez tout chapitre concernant un service que vous envisagez de proposer à vos utilisateurs. Chaque chapitre comprend une présentation globale du fonctionnement du service auquel il est consacré, la description de ce qu’il vous permet de faire, des stratégies d’utilisation et les instructions de configuration initiale. Consultez également tout chapitre décrivant un service avec lequel vous n’êtes pas familiarisé. Vous constaterez peut-être que certains des services que vous n’aviez pas utilisés jusqu’à présent peuvent vous permettre de gérer votre réseau de manière plus efficace et d’en améliorer les performances pour vos utilisateurs. À la fin de certains chapitres, vous trouverez une rubrique “Au coeur de...”, comprenant des informations d’ordre plus technique destinées à l’utilisateur averti. Ces sections vous seront utiles si vous désirez acquérir une compréhension approfondie du logiciel ou des protocoles en action dans les coulisses d’un service particulier. La plupart des chapitres se terminent par une rubrique intitulée “Pour en savoir plus”, qui vous propose des sites Web et d’autres sources de référence dans lesquels vous trouverez des informations plus détaillées sur le service concerné. Première configuration de Mac OS X Server Installez et configurez Mac OS X Server dès maintenant si ce n’est pas encore fait. Consultez la brochure Premiers contacts avec Mac OS X Server, fournie avec votre logiciel pour prendre connaissance des instructions sur l’installation et la configuration du serveur. Après avoir terminé la procédure expliquée dans ce document, suivez les instructions du chapitre 1 du présent guide afin de configurer votre serveur pour la première fois. 16 Préface Pour toute aide concernant les tâches de gestion quotidiennes Si vous souhaitez modifier des réglages, contrôler des services, consulter des historiques de service ou effectuer toute autre tâche de gestion, vous trouverez des procédures détaillées dans l’aide en ligne disponible dans chacun des programmes d’administration de votre serveur. Informations complémentaires Ces documents sont disponibles sur www.apple.com/fr/macosx/server/ m Le “Mac OS X Server. Guide de la migration” contient des instructions sur la mise à jour de Mac OS X Server à partir d’AppleShare IP, de Gestionnaire Macintosh et de Mac OS X Server 1.2. m “Guide d’apprentissage et d’utilisation de NetInfo” décrit le système de répertoire intégré de Mac OS X et contient des instructions sur la configuration de NetInfo et de Mac OS X Server afin d’augmenter la puissance de votre réseau Mac OS X. Comment utiliser ce guide 17 C H A P I T R E 1 1 Administration de Mac OS X Server Ce chapitre donne une introduction de Mac OS X Server et présente un aperçu de son mode d’administration. Vous y trouverez également plusieurs suggestions qui vous aideront à vous familiariser avec votre serveur : m La section “Installation de votre serveur pour la première fois” à la page 36 vous indique la marche à suivre afin d’organiser et d’utiliser votre serveur rapidement. m Dans la section “Où trouver plus d’informations sur Mac OS X Server et sur la gestion de serveur” à la page 43, vous trouverez une liste de ressources relatives à la gestion de serveur et de réseau, destinée aux administrateurs de serveur aussi bien débutants que confirmés. Qu’est-ce que Mac OS X Server ? Mac OS X Server est une puissante plate-forme serveur qui propose aux utilisateurs une gamme complète de services sur Internet et sur le réseau local : m Il permet de connecter des utilisateurs entre eux en utilisant des services comme le partage de courrier et de fichiers. m Il facilite le partage de ressources système telles qu’imprimantes et ordinateurs. m Il peut héberger des services Internet tels que sites Web et enchaînement vidéo. m Il permet de personnaliser ce qui apparaît sur l’écran des utilisateurs du réseau, comme les ressources de bureau et les fichiers personnels. 19 Ce chapitre présente les services compris dans Mac OS X Server et donne un aperçu des programmes permettant de les administrer. Commencez par lire la rubrique consacrée à la façon dont les services peuvent être utilisés dans les domaines de l’éducation, de l’édition et des services Internet. Vous pourrez ensuite examiner les possibilités offertes par chaque service et une introduction aux applications qui vous permettront de les administrer. Vous trouverez enfin les instructions de mise en marche de votre serveur. Utilisation de Mac OS X Server Votre serveur peut répondre aux besoins de plusieurs types d’environnements. Cette section utilise en exemple quatre environnements classiques : m Classes et laboratoires de l’enseignement secondaire m Installations de l’enseignement supérieur m Entreprises de création et d’édition m Fournisseurs de services Internet 20 Chapitre 1 Classes et laboratoires de l’enseignement secondaire En milieu scolaire, les serveurs permettent aux élèves d’accéder à Internet, d’envoyer du courrier électronique, de gérer des fichiers, de visualiser des fichiers vidéo et d’imprimer des documents. Ils sont également destinés à aider les enseignants à accéder aux plans de cours et autres supports scolaires, ainsi qu’aux dossiers des élèves et aux informations administratives centralisées. Les services Web, de courrier, d’impression et de fichier de Mac OS X Server répondent à tous ces besoins : Mac OS X Server Mac OS X Server Internet Web et services de courrier Services de fichiers Services de fichiers Service d'impression Services de gestion des clients Clients Mac OS 8 Clients Mac OS 9 Clients Mac OS X Les serveurs gérant les classes et laboratoires de l’enseignement secondaire ont plusieurs besoins spécifiques : m Ils doivent permettre de contrôler l’environnement de travail de l’élève. Les ressources logicielles de Mac OS X Server comprennent des services de gestion des clients, qui vous permettent de gérer et de contrôler les ordinateurs Macintosh des élèves. Grâce au service Gestion Macintosh, vous pouvez par exemple contrôler les applications auxquelles les élèves peuvent accéder. Vous pouvez également définir préférences d’application, fonds d’écran, et autres réglages personnalisés de bureau, afin de permettre aux élèves de travailler dans le même environnement sur des ordinateurs distincts du réseau. m Ils doivent également prendre en charge de manière efficace de nombreuses requêtes simultanées concernant les mêmes ressources Internet. Mac OS X Server fournit le service proxy de mise en cache de contenus Web, qui évite de récupérer de nouveau sur Internet le contenu d’un site Web qui a déjà été téléchargé, lorsqu’il est de nouveau sollicité. Administration de Mac OS X Server 21 Installations de l’enseignement supérieur Dans les établissements d’enseignement supérieur et dans les universités, les besoins en matière de serveur sont beaucoup plus complexes et variés, étant donné que les étudiants et les stations de travail utilisés sont extrêmement divers. Ce caractère complexe requiert une gamme complète de services de fichier et de réseau : Serveur Windows NT Serveur LDAP Serveur de fichiers UNIX NFS Mac OS X Server Mac OS X Server Services de fichiers, d'impression, de répertoire et de réseau Web et services de courrier Internet Clients Macintosh Clients Windows Clients UNIX m Le grand choix d’ordinateurs clients —Macintosh, Windows, Unix, Linux— implique un support flexible pour l’accès aux fichiers. Les services de fichiers basés sur les adresses IP du Mac OS X Server, très adaptables, gèrent l’accès aux fichiers à partir de n’importe quel emplacement du réseau via AFP, NFS, FTP et SMB. 22 Chapitre 1 m Le serveur permet l’impression en différé compatible PostScript et la comptabilité des tâches d’impression effectuées à l’aide du protocole LPR, le protocole d’impression standard TCP, ainsi que du protocole Windows SMB. m Étant donné la grande diversité et la complexité des réseaux utilisés dans l’enseignement supérieur, les services de réseau sont extrêmement importants. À titre d’exemple, DNS et SLP sont des services proposés par Mac OS X Server afin d’aider les ordinateurs clients et les services à trouver des ressources sur un réseau. Le protocole DHCP vous aide dans la maintenance des étudiants qui se connectent au réseau à partir d’ordinateurs portables. m Le filtrage IP, autre service de réseau de Mac OS X Server, fournit un pare-feu de sécurité autour des données sensibles. m Les informations relatives aux utilisateurs et aux ressources réseau doivent pouvoir être récupérées à partir de systèmes de répertoires, comme NetInfo, et intégrés aux infrastructures existantes, telles que les serveurs LDAP. Mac OS X Server peut être facilement configuré afin d’accéder à ces informations. Administration de Mac OS X Server 23 Entreprises de création et d’édition Mac OS X Server propose des services qui gèrent intégralement les besoins des différents flux de travail des créateurs et éditeurs Internet : Mac OS X Server Internet Services de fichiers Web et services d'enchaînement QuickTime Services WebDAV Service d'impression Clients Windows Clients Mac OS 9 Clients Mac OS X m Le populaire serveur Web Apache est intégré à Mac OS X Server. m La technologie WebDAV ( Web-based Distributed Authoring and Versioning), intégrée au service Web du serveur, permet d’effectuer des tâches d’édition par “glisser-déposer” et de partager des fichiers à partir d’ordinateurs Mac OS X. m En ce qui concerne la vidéo, le service d’enchaînement QuickTime vous permet de diffuser de la vidéo en continu et en temps réel aux ordinateurs clients. m Le protocole AFP vous permet de transférer des fichiers volumineux entre membres d’un groupe de travail. 24 Chapitre 1 Fournisseurs de services Internet Mac OS X Server procure le support nécessaire pour l’hébergement de sites Web à vocation commerciale et pour l’offre de services Internet nécessitant une disponibilité et une flexibilité importantes : Mac OS X Server Internet Service WebDAV Web, FTP, et services d'enchaînement QuickTime Mac OS X Server Service de courrier Mac OS X Server Service de courrier Réseau Mac OS X Server WebObjects Mac OS X Server Ordinateur Mac OS X pour l'administration des serveurs m Le service Web est basé sur Apache, un serveur Web HTTP libre. Vous pouvez héberger plusieurs sites Web sur un seul serveur, chacun possédant sa propre adresse (“multilink multihoming”). Vous pouvez configurer votre serveur afin qu’il gère plusieurs adresses par carte Ethernet (hébergement virtuel). m Le service Web gère le protocole SSL permettant des connexions Internet sûres. m Le serveur comprend les composants de déploiement de la suite de logiciels WebObjects. Ces services d’application vous permettent de déployer des applications adaptées au commerce électronique pouvant se connecter à plusieurs bases de données et générer des codes HTML et Java de manière dynamique. m Mac OS X Server comprend également un support intégré pour Perl, JavaServlets, Java Server Pages et PHP. m Le serveur d’enchaînement QuickTime vous permet de diffuser des fichiers multimédia en temps réel à l’intention d’utilisateurs employant un protocole d’enchaînement aux normes industrielles. m Le serveur redémarre automatiquement en cas de panne du service ou de coupure de courant, en portant à son maximum la disponibilité du service. Administration de Mac OS X Server 25 Services inclus dans Mac OS X Server Mac OS X Server suivants sont abordés dans cette section : m Services de répertoire m Services de fichier m Service d’impression m Service web m Service de courrier m Service d’enchaînement QuickTime m Services de gestion des clients m Services de réseau m Services d’applications Services de répertoire Les services de répertoire permettent à votre serveur de localiser les informations relatives aux utilisateurs et aux groupes (ensembles d’utilisateurs) nécessaires pour les processus d’authentification et d’autorisation. Les services de répertoire vous permettent de configurer votre serveur afin de trouver les informations relatives aux utilisateurs enregistrées directement sur le serveur ou sur un emplacement défini pour le partage de ces informations entre serveurs. Même si vous stockez généralement les informations utilisateur à l’aide du système de répertoire NetInfo intégré, votre serveur peut les récupérer à partir de serveurs LDAP standard. Lorsque vous stockez les noms d’utilisateur dans plusieurs systèmes de répertoire, le serveur recherche automatiquement les emplacements que vous spécifiez dans l’ordre de votre choix au moment de valider un utilisateur. Services de fichiers Les services de fichiers permettent à vos utilisateurs clients d’accéder aux fichiers, applications et autres ressources via un réseau. Mac OS X Server comprend les services de fichiers suivants : m Service de fichiers Apple m Services Windows m Service FTP m Service NFS 26 Chapitre 1 Service de fichiers Apple Le service de fichiers Apple, qui utilise le protocole AFP (Apple Filing Protocol), vous permet de partager des ressources avec des clients Macintosh. Les utilisateurs Macintosh peuvent se connecter à votre serveur et accéder à des dossiers et fichiers comme s’ils se trouvaient sur leur propre ordinateur. Les utilisateurs Mac OS X ont accès à votre serveur via la commande Se connecter au serveur, dans le menu Aller du Finder ; vous pouvez également monter automatiquement au démarrage des répertoires sur des ordinateurs Mac OS X. Les utilisateurs de Mac OS 8 et Mac OS 9 utilisent le Sélecteur ou l’Explorateur réseau. Le service de fichiers Apple est pleinement intégré à l’environnement du système d’exploitation, et gère par exemple les alias de fichiers et Sherlock. Services Windows Les services Windows permettent aux utilisateurs Windows ou d’ordinateurs compatibles avec Windows de tirer parti des ressources de Mac OS X Server. Les utilisateurs Windows peuvent trouver votre serveur et rechercher des fichiers et des files d’attente en utilisant les fenêtres du voisinage réseau auxquelles ils sont habitués, sans avoir besoin d’utiliser des logiciels complémentaires. Service FTP Le protocole FTP (File Transfer Protocol) permet aux utilisateurs de transférer des fichiers via Internet. Les utilisateurs de tout type d’ordinateur gérant le protocole FTP peuvent télécharger des fichiers à partir de votre serveur, généralement en utilisant un navigateur Internet ou une application client FTP. FTP permet également aux utilisateurs reconnus ou anonymes de transférer de manière standard des fichiers vers votre serveur et à partir de celui-ci. Service NFS Le service NFS (Network File System) vous permet de créer des répertoires (dossiers) disponibles pour les utilisateurs possédant le logiciel client NFS. NFS sert souvent à exporter des répertoires pour les clients UNIX. Service d’impression Le service d’impression vous permet de partager des imprimantes compatibles PostScript entre des utilisateurs qui soumettent des travaux d’impression à partir d’ordinateurs Macintosh, Windows et UNIX. Tout utilisateur dont l’ordinateur est configuré pour réaliser l’impression à l’aide du protocole standard LPR ou du protocole SMB de Windows peut soumettre des travaux d’impression aux imprimantes définies sur votre serveur. Administration de Mac OS X Server 27 Service Web Au centre du service Web de Mac OS X Server se trouve Apache, qui constitue le principal serveur Web de logiciel libre. Si vous avez déjà l’habitude d’utiliser le serveur Apache, vous continuerez à bénéficier de ses outils d’analyse de fichiers d’historiques, de son administration des fichiers de configuration et de sa documentation facile d’accès. Le service Web proposé sur Mac OS X Server vous permet également de personnaliser votre environnement Web. Vous pouvez créer des sites Web pour autant de domaines souhaités, configurer des communications sécurisées (basées sur SSL) sur une base par site et également utiliser le support intégré pour des services d’application tels que CGI, WebObjects, Perl, PHP et Java Servlets. Le service Web comprend WebDAV ( Web-based Distributed Authoring and Versioning), qui permet aux utilisateurs de consulter des pages Web, d’effectuer des modifications puis de les vérifier sur le site pendant qu’il est en service. WebDAV fournit principalement d’un serveur de fichiers spécifique aux auteurs de contenu de pages Web. Service de courrier Le service de courrier vous permet de proposer un service de messagerie aux utilisateurs sur votre réseau ou sur Internet. Ce service fournit la gestion de courrier sur plusieurs domaines, ainsi qu’une protection intégrée contre tout courrier indésirable. Il gère tous les protocoles de courrier standard : IMAP (Internet Message Access Protocol), POP (Post Office Protocol) et SMTP (Simple Mail Transfer Protocol). Afin de proposer un service de courrier sur Internet, vous pouvez définir des services DNS (Domain Name System) sur votre réseau ou utiliser ceux de votre fournisseur d’accès à Internet. DNS, qui fait partie des services de réseau de Mac OS X Server, est nécessaire pour l’administration de courrier SMTP. Service d’enchaînement QuickTime Le serveur Enchaînement QuickTime (QTSS) vous permet d’enchaîner des fichiers multimédia en temps réel à l’aide du protocole standard RTSP/RTP. Vous pouvez envoyer sur Internet des données, en direct ou préenregistrées, aux utilisateurs Macintosh et Windows, ou retransmettre des données à d’autres serveurs d’enchaînement. Vous pouvez proposer le flux monodiffusion, qui permet d’envoyer un flux à chaque client en particulier, ou la multidiffusion, qui envoie le flux à un groupe de clients. Services de gestion des clients Les services de gestion des clients vous permettent de simplifier et de contrôler l’environnement auquel les utilisateurs clients de Macintosh sont confrontés. 28 Chapitre 1 Service Gestion Macintosh Le service Gestion Macintosh vous permet de définir des règles applicables à l’ensemble du réseau afin de contrôler l’accès des utilisateurs aux applications, aux répertoires d’accueil et aux imprimantes. Vous pouvez également définir l’environnement qui apparaît aux utilisateurs lorsqu’ils se connectent. Ce service peut vous être utile pour gérer les clients disposant de Mac OS 8.1 ou d’une version ultérieure. NetBoot NetBoot permet aux ordinateurs clients Macintosh de démarrer en utilisant un système d’exploitation Mac OS 9 fourni par Mac OS X Server. NetBoot vous permet de configurer et de mettre à jour les ordinateurs Mac OS 9 en mettant simplement à jour leur image de démarrage. Le serveur héberge une image de démarrage qui contient un Dossier système et un dossier d’applications pour tous les ordinateurs Mac OS 9. Toute modification effectuée sur le serveur est automatiquement répercutée sur les ordinateurs clients lorsqu’ils redémarrent. Services de réseau Mac OS X Server comporte les services de réseau suivant afin de vous aider à gérer les communications Internet sur votre réseau TCP/IP: m Service SLP DA m Service DHCP m Service DNS m Service de filtres IP Service SLP DA Le service SLP (Service Location Protocol) propose une structure pour les services disponibles sur un réseau et permet aux utilisateurs d’accéder à ceux-ci facilement. Tout ce qui est accessible à l’aide d’une adresse URL peut constituer un service de réseau, par exemple les serveurs de fichiers et les serveurs WebDAV. Lorsqu’un service est ajouté à votre réseau, il utilise le protocole SLP pour s’inscrire sur celui-ci. Il n’est donc pas nécessaire de le configurer manuellement. Lorsqu’un ordinateur client a besoin de localiser un service de réseau, il utilise ce protocole pour rechercher les services correspondants à ce type. Tous les services référencés correspondant à la requête de l’ordinateur client sont affichés pour l’utilisateur, qui peut ensuite choisir ceux qui l’intéressent. Administration de Mac OS X Server 29 L’agent de répertoire SLP constitue une version améliorée du protocole SLP original. Il centralise les services de réseau référencés. Vous pouvez définir un agent de répertoire afin qu’il effectue le suivi des services d’une ou plusieurs étendues (groupes de services). Lorsqu’un ordinateur client recherche des services de réseau, l’agent de répertoire de l’étendue sur laquelle il est connecté lui renvoie une liste des services disponibles. Étant donné qu’un ordinateur client a besoin de rechercher des services uniquement au niveau local, le trafic du réseau est maintenu au minimum et les utilisateurs peuvent se connecter aux services de réseau plus rapidement. Service DHCP Le protocole DHCP (Dynamic Host Configuration Protocol) vous aide à gérer et à distribuer dynamiquement aux ordinateurs clients des adresses IP depuis votre serveur. À partir d’un bloc d’adresses IP défini par vos soins, votre serveur localise une adresse non utilisée et la “loue” aux ordinateurs clients en fonction des besoins. Le protocole DHCP s’avère particulièrement utile lorsqu’une organisation dispose d’un nombre de clients supérieur à celui de ses adresses IP. Les adresses IP sont affectées en fonction de la demande et lorsqu’elles ne sont pas utilisées, elles sont mises à disposition des autres clients. Service DNS Le service DNS permet aux utilisateurs de se connecter à une ressource réseau, telle qu’un serveur Web ou un serveur de fichiers, en indiquant un nom de domaine (par ex. serveur.apple.com) au lieu d’une adresse IP (192.168.11.12). DNS est une base de données distribuée qui affecte les adresses IP aux noms de domaine. Un serveur fournissant le service DNS conserve une liste de noms ainsi que les adresses IP qui leur sont associées. Lorsqu’un ordinateur doit trouver l’adresse IP associée à un nom, il envoie un message au serveur DNS (également appelé serveur de noms). Le serveur de noms cherche l’adresse IP et la renvoie à l’ordinateur. Si le serveur de noms ne trouve pas l’adresse IP en local, il envoie des messages à d’autres serveurs de noms sur Internet pour l’obtenir. Vous aurez besoin du serveur DNS si vous utilisez les services de courrier SMTP ou si vous souhaitez créer des sous-domaines dans votre domaine principal. Vous utiliserez également le service DNS si vous hébergez plusieurs sites web. Si votre fournisseur d’accès à Internet ne gère pas le DNS pour votre réseau, vous pouvez définir un serveur DNS sur votre Mac OS X Server. Service de filtres IP Le service de filtres IP protège votre serveur et son contenu contre d’éventuels intrus. Il assure un pare-feu logiciel, en scrutant les paquets IP entrants et en les acceptant ou en les refusant en fonction des filtres que vous avez définis. 30 Chapitre 1 Vous pouvez définir des restrictions sur l’ensemble du serveur pour les paquets provenant d’adresses IP spécifiques. Vous pouvez également restreindre l’accès à des services particuliers —comme le Web, le courrier et FTP— en définissant des filtres pour les ports individuels qu’ils utilisent. Services d’applications WebObjects met à votre disposition un outil souple et adapté à vos besoins pour concevoir et développer des transactions commerciales électroniques et d’autres applications sur Internet. Les applications WebObjects peuvent se connecter à plusieurs bases de données et générer des codes HTML de manière dynamique. Votre serveur comprend le système de déploiement WebObjects, ainsi qu’une licence illimitée pour déployer vos applications WebObjects. Vous pouvez également acheter les outils de développement WebObjects si vous souhaitez créer des applications de ce type. La suite de ce guide n’est pas consacrée à WebObjects. Pour plus d’informations et de documentation à ce sujet, consultez la page Web de WebObjects : www.apple.com Administration des services Cette section présente les applications d’administration utilisées pour configurer et gérer les services de Mac OS X Server et indique comment les utiliser : m Admin Serveur : Admin Serveur sert à configurer et à gérer la plupart des services, à définir et à administrer les comptes utilisateur du serveur et à configurer les points de partage (éléments tels que les dossiers et les disques que vous souhaitez que les utilisateurs partagent sur le serveur). Vous pouvez employer Admin Serveur soit sur votre serveur, soit à distance, en utilisant des communications cryptées et sécurisées entre un ordinateur exécutant Mac OS X (ou un autre serveur) et le serveur que vous administrez. Admin Serveur dispose d’un module particulier pour la gestion de chaque service. Pour plus de détails, consultez la rubrique “Admin Serveur” à la page 32. m Gestionnaire Macintosh : Gestionnaire Macintosh sert à établir l’authentification et à définir des environnements utilisateur pour les ordinateurs disposant des systèmes Mac OS 8.1 à Mac OS 9.1. Vous pouvez utiliser cette application, décrite dans “Gestionnaire Macintosh” à la page 35 sur des ordinateurs disposant de Mac OS 9 ou ultérieur. m Admin Serveur Enchaînement : cette application permet de configurer et de gérer un service de diffusion à partir d’un navigateur Web. Administration de Mac OS X Server 31 Vous pouvez utiliser cette application, décrite dans “Admin Serveur Enchaînement” à la page 36 à partir de n’importe quel ordinateur disposant de Netscape Navigator™, Netscape Communicator ou Microsoft Internet Explorer, version 4.5 ou ultérieure. m Admin Bureau NetBoot : Admin Bureau NetBoot sert à installer, à mettre à jour ou à supprimer des éléments de l’image système que vos clients NetBoot utilisent pour démarrer. Vous pouvez utiliser Admin Bureau NetBoot à partir d’un ordinateur client exécutant Mac OS 9. Pour plus d’informations concernant cette application, consultez “Admin de Bureau NetBoot” à la page 36. Admin Serveur Vous pouvez utiliser Admin Serveur en local (sur le serveur) ou à distance (à partir d’un ordinateur exécutant Mac OS X ou d’un autre Mac OS X Server) pour administrer les services sur un ou plusieurs Mac OS X Server. Lorsque vous installez Mac OS X Server, Admin Serveur s’installe automatiquement sur le serveur. Pour installer le composant Admin Serveur distant sur un ordinateur exécutant Mac OS X, procédez comme suit : 1 Sur un ordinateur Mac OS X sur lequel la gestion de réseau est configurée, insérez le CD Mac OS X Server. 2 Ouvrez le dossier Admin Install et double-cliquez sur le logiciel d’installation, Admin_Install.mpkg. 3 Sélectionnez l’option Installation personnalisée, puis Admin Serveur. Admin Serveur est installé dans /Applications/Utilities/. Connexion à Admin Serveur Pour se connecter à Admin Serveur : 32 Chapitre 1 1 Ouvrez Admin Serveur (situé dans /Applications/Utilities) en cliquant sur l’icône Admin Serveur dans le dock : 2 Tapez l’adresse IP ou le nom de domaine du Mac OS X Server que vous souhaitez administrer. Par défaut, l’adresse IP du serveur local apparaît dans la fenêtre d’accès. Pour administrer un serveur différent, saisissez l’adresse ou le nom de domaine de ce serveur. Ensuite, saisissez le nom d’utilisateur et le mot de passe de l’administrateur pour le serveur. 3 Cliquez sur Connecter. Vous pouvez gérer plusieurs serveurs simultanément en vous connectant à chacun et en l’administrant à l’aide de sa propre barre d’outils. Présentation de la barre d’outils Quand vous vous connectez à un serveur après avoir ouvert Admin Serveur, la barre d’outils de ce serveur s’affiche. Les services se gèrent à l’aide des modules de service, répartis sur quatre onglets. Dans ce tableau nous vous indiquons quand utiliser les modules de service et où trouver dans ce guide les informations complémentaires correspondantes à chacun d’eux : Pour Utilisez ce module Pour plus d’infos voir Consulter les informations relatives à votre serveur Infos serveur (dans l’onglet Général) la page 35 Consulter les historiques du serveur Visualiseur d’historique (dans l’onglet Général) la page 35 Définir et gérer les services de répertoire Utilitaires Mac OS X pour les services de répertoire la page 45 Définir et gérer les utilisateurs Module Utilisateurs et groupes (dans l’onglet Général) Module Partage (dans l’onglet Général) la page 61 Module Gest. Macintosh (dans l’onglet Général) la page 213 Travailler avec le service Gestion Macintosh la page 79 Administration de Mac OS X Server 33 Pour Utilisez ce module Définir et gérer les services de fichiers Modules de l’onglet Fichiers et impression : m Service de fichiers Apple m Services Windows m Service FTP m Service NFS m Apple la page 93 m Windows m FTP m NFS la page 102 la page 114 la page 110 Définir et gérer le service d’impression Module d’impression (dans l’onglet Fichiers et impression) la page 121 Définir et gérer le service Web Module Web (dans l’onglet Internet) la page 131 Définir et gérer le service de courrier Module de courrier (dans l’onglet Internet) la page 167 Définir et gérer les services de réseau m Service SLP DA m Service DHCP m Service DNS m Service de filtres IP Modules de l’onglet Réseau m m m m Service SLP DHCP/NetBoot Service DNS Filtre IP Pour plus d’infos voir la page 292 la page 300 la page 310 la page 316 Lorsque vous cliquez sur un module d’Admin Serveur, un menu de commandes apparaît. Pour obtenir des informations sur la manière d’utiliser les commandes permettant de gérer vos services, consultez les pages indiquées dans le tableau ci-dessus ou l’aide à l’écran des modules. Pour obtenir des informations sur la manière d’utiliser Admin Serveur en général, consultez le menu Aide situé sur la barre des menus d’Admin Serveur. En bas de la barre d’outils se trouve une barre d’état qui indique le nombre de services activés et s’il existe des conditions nécessitant votre attention. Un globe indique les services en cours, et un triangle contenant un “!” indique les alertes. Ces symboles s’affichent également sur les icônes des modules ainsi que sur les onglets contenant un module où apparaît une alerte. 34 Chapitre 1 Affichage des historiques Le Visualiseur d’historique vous permet de contrôler les erreurs et autres événements notables détectés par plusieurs services et applications fonctionnant sur votre serveur. Les fenêtres du visualiseur d’historique sont actualisées de manière dynamique au fur et à mesure que de nouvelles entrées d’historiques sont inscrites, ce qui vous permet d’effectuer le suivi de plusieurs services en temps réel. Cliquez sur Visualiseur d’historique, puis choisissez le service dont vous souhaitez consulter les historiques. Vous pouvez par exemple choisir Service d’impression pour consulter les historiques de ce service et de chacune des files d’attente d’impression du serveur. Si vous ne trouvez pas le service qui vous intéresse, assurez-vous qu’il est bien activé, puis vérifiez l’historique du système, qui s’affiche lorsque vous choisissez Logiciel système dans le menu Visualiseur d’historique, puis Historique système dans le menu d’affichage. Vous trouverez des informations sur les historiques de services particuliers dans les chapitres suivants et dans l’aide à l’écran. Reportez-vous également à l’aide à l’écran pour obtenir des informations sur l’utilisation du visualiseur d’historique et sur la configuration et la consultation des historiques concernés par différents services. Pour obtenir des informations sur votre serveur Cliquez sur Infos serveur, puis choisissez Afficher les infos du serveur pour visualiser le numéro de série et les caractéristiques de mise en réseau de votre serveur. Si vous avez besoin de modifier le numéro de série du serveur, cliquez sur Infos serveur, puis choisissez Modifier le numéro de série du produit. Admin Serveur Gestionnaire Macintosh L’application Gestionnaire Macintosh sert à administrer le service Gestion Macintosh et à configurer les environnements d’utilisateurs pour les ordinateurs clients de votre réseau. Vous pouvez utiliser Gestionnaire Macintosh en local (sur le serveur) ou à distance (à partir d’un ordinateur Mac OS 9 ou Mac OS X situé sur le même réseau que votre Mac OS X Server). En plus de Gestionnaire Macintosh, vous pourrez également utiliser deux modules d’Admin Serveur pour administrer le service Gestion Macintosh : Utilisateurs et groupes et Partage. Vous trouverez des explications détaillées sur toutes ces applications à partir de la page 213. Connexion à Gestionnaire Macintosh Ouvrez Gestionnaire Macintosh en cliquant sur son icône dans le Dock. Ouvrez une session en utilisant le nom d’utilisateur et le mot de passe d’un administrateur du serveur. En tant qu’administrateur de serveur, vous bénéficiez automatiquement des autorisations d’administrateur global Gestionnaire Macintosh. Une fois que vous êtes connecté, vous pouvez ajouter des utilisateurs, créer des groupes de travail et gérer des ordinateurs sur le réseau. Administration de Mac OS X Server 35 Vous pouvez également ouvrir Gestionnaire Macintosh en cliquant sur l’onglet Général d’Admin Serveur dans Gest. Macintosh, puis en choisissant Ouvrir Gestionnaire Macintosh. Pour lancer et arrêter le service Gestion Macintosh Pour démarrer et arrêter le service Gestion Macintosh, utilisez le module Gest. Macintosh d’Admin Serveur. Vous pouvez également utiliser le module Gest. Macintosh pour définir le démarrage automatique du service Gestion Macintosh en même temps que le serveur. Admin Serveur Enchaînement Vous pouvez utiliser Admin Serveur Enchaînement à partir de tout ordinateur pourvu d’un navigateur Web en service. Pour ouvrir Admin Serveur Enchaînement, ouvrez un navigateur et tapez l’URL d’Admin Serveur Enchaînement sur votre serveur. Ensuite, saisissez l’identifiant et le mot de passe de connexion d’administrateur du serveur d’enchaînement. La connexion établie est sécurisée. Pour plus de détails sur Admin Serveur Enchaînement, consultez le chapitre 9, intitulé “Serveur Enchaînement QuickTime”, à la page 189. Admin de Bureau NetBoot Sur un ordinateur Mac OS 9, utilisez le Sélecteur pour trouver le volume du serveur NetBoot, puis connectez-vous en tant qu’administrateur de serveur. Vous pouvez ensuite ouvrir Admin de Bureau NetBoot et modifier l’image de démarrage. Suivez les instructions qui apparaissent à l’écran lorsque vous utilisez Admin de Bureau NetBoot. Vous trouverez des informations complémentaires concernant l’administration NetBoot à partir de la page 273. Installation de votre serveur pour la première fois Suivez les étapes ci-après pour procéder à une configuration et à une mise en service rapides de votre serveur. Une fois terminée l’étape 8, les utilisateurs pourront accéder au serveur et bénéficier des fonctions de base du service de fichiers Apple. L’étape 9 renvoie à d’autres rubriques de ce guide, où vous trouverez des instructions permettant de mettre en place les services complémentaires que vous souhaitez proposer à vos utilisateurs. Étape 1 : Présentation du serveur et de ses applications d’administration Lisez les premières rubriques de ce chapitre si vous ne l’avez pas encore fait. Celles-ci décrivent quelques situations dans lesquelles Mac OS X Server peut être utilisé, dans des environnements tout aussi bien professionnels que scolaires. Elles présentent ensuite les services dont vos utilisateurs peuvent bénéficier et passent en revue les applications que vous utilisez pour administrer le serveur. 36 Chapitre 1 Dans ces rubriques figurent des termes et concepts que vous rencontrerez dans les étapes suivantes. Étape 2 : Installation du serveur Utilisez la feuille de travail et les instructions de Premiers contacts avec Mac OS X Server pour installer votre serveur et pouvoir l’utiliser sur votre réseau. Étape 3 : Ouverture d’une session Connectez-vous au serveur à l’aide des nom et mot de passe du possesseur/administrateur que vous avez spécifiés au cours de l’étape 2. Connectez-vous ensuite à l’application Admin Serveur : 1 Ouvrez Admin Serveur dans le Dock ou à partir d’Applications/Utilities. 2 Entrez l’adresse IP ou le nom de domaine que vous avez affectés au serveur dans le champ Adresse, lors de la deuxième étape. 3 Dans la zone Nom d’utilisateur, entrez le nom du possesseur/administrateur. Dans la zone Mot de passe, entrez le mot de passe du possesseur/administrateur. 4 Cliquez sur Connecter. Étape 4 : Créez des points de partage Un point de partage est un disque dur (ou une partition de disque dur), un CD-ROM ou un dossier contenant des fichiers que vous voulez que les utilisateurs se partagent. Par exemple, si vous êtes enseignant, vous pouvez définir un point de partage par cours —mathématiques, anglais, biologie— afin que les élèves de chaque cours puissent accéder aux devoirs à réaliser et aux “polycopiés”. Pour créer des points de partage : 1 Dans une fenêtre du Finder, ouvrez le dossier dans lequel vous souhaitez créer le point de partage. Choisissez Nouveau dossier dans le menu Fichier. Nommez le point de partage. 2 Dans Admin Serveur, cliquez sur l’onglet Fichiers et impression et assurez-vous que le service de fichiers Apple est bien activé. S’il n’est pas activé, dans le menu Pomme, cliquez sur Démarrer le service de fichiers Apple. 3 Cliquez sur l’onglet Généraux. Cliquez ensuite sur Partage et choisissez Définir les attributs de partage. Sélectionnez le dossier créé et cliquez sur Choisir. 4 Cliquez sur “Partager cet élément et son contenu”, puis sur Enregistrer. 5 Répétez les étapes 1 à 4 pour chaque point de partage que vous souhaitez créer. Administration de Mac OS X Server 37 Étape 5 : Définissez des réglages par défaut pour les répertoires d’accueil Le répertoire d’accueil est le dossier réservé aux fichiers personnels d’un utilisateur. Par exemple, chaque élève pourra utiliser un répertoire d’accueil pour y stocker ses notes et les devoirs sur lesquels il travaille. Lorsque vous définissez des réglages de répertoire d’accueil par défaut, un répertoire d’accueil est automatiquement créé pour chaque nouvel utilisateur que vous spécifiez sur votre serveur. Pour définir ces réglages : 1 Dans l’onglet Général d’Admin Serveur, cliquez sur Utilisateurs et groupes et choisissez les valeurs par défaut du répertoire d’accueil. 2 Choisissez Local, qui vous permet de configurer une stratégie simple par défaut. Vous pourrez toujours la changer plus tard si nécessaire. 3 Dans la liste déroulante Point de partage, choisissez le point de partage sous lequel vous souhaitez que les répertoires d’accueil résident. Vous pouvez choisir le point de partage prédéfini “/Utilisateurs” ou l’un de ceux que vous avez créés auparavant. 4 Cliquez sur Enregistrer. Chaque fois que vous définissez un nouvel utilisateur, un répertoire d’accueil est créé pour lui dans le point de partage que vous avez sélectionné, et prend le nom du “nom abrégé” saisi pour l’utilisateur. Le répertoire d’accueil appartient à l’utilisateur, c’est-à-dire que celui-ci y a accès en lecture et en écriture et dispose du contrôle total sur l’accès aux fichiers qu’il contient. Étape 6 : Définissez les utilisateurs Pour définir les utilisateurs habilités à employer votre serveur : 1 Dans l’onglet Général d’Admin Serveur, cliquez sur Utilisateurs et groupes et choisissez Nouvel utilisateur. 2 Dans le champ “Nom”, tapez un nom identifiant l’utilisateur (par exemple Pierre Martin). 3 Dans le champ “Nom abrégé”, entrez un nom abrégé pour l’utilisateur. Même si l’utilisateur peut se connecter au serveur en utilisant le nom que vous avez spécifié lors de la deuxième étape, un nom abrégé est plus pratique. Rappelez-vous également que le répertoire d’accueil de l’utilisateur portera le nom abrégé. Si vous définissez le service de courrier sur le serveur, le nom abrégé fait aussi partie de l’adresse de courrier électronique de l’utilisateur. Généralement, le nom abrégé comporte un maximum de 8 caractères. Utilisez uniquement des lettres, des chiffres, le tiret (-) ou le caractère de soulignement (_). 38 Chapitre 1 4 Dans le champ “Mot de passe”, entrez le mot de passe que l’utilisateur devra utiliser pour se connecter au serveur. Même si l’administrateur du serveur définit un mot de passe à l’origine, l’utilisateur peut le changer lorsqu’il se connecte au serveur ou à l’aide du panneau Mot de passe dans Préférences système. Tapez un mot de passe que les utilisateurs non autorisés ne puissent pas deviner facilement. Le mot de passe doit respecter la casse et ne s’affiche pas à l’écran tandis qu’il n’a pas été entièrement saisi. Avant de saisir le mot de passe, assurez-vous que la touche de verrouillage des majuscules n’est pas activée. Évitez les espaces ainsi que les caractères obtenus à l’aide de la touche Option. 5 Sélectionnez “L’utilisateur peut administrer le serveur” si vous souhaitez que l’utilisateur puisse administrer le serveur. Lors de la première configuration du serveur, seul le possesseur/administrateur désigné lors de la configuration peut l’administrer. Les administrateurs du serveur peuvent utiliser toutes les applications de gestion de serveur et bénéficient d’un accès illimité à l’ensemble de ses fonctions. 6 Cochez “L’utilisateur peut se connecter” afin que l’utilisateur puisse se connecter au serveur, puis cliquez sur Enregistrer. 7 Répétez les étapes 1 à 6 pour chaque utilisateur auquel vous souhaitez autoriser l’accès au serveur. Étape 7 : Définissez des groupes Les groupes sont constitués d’ensembles d’utilisateurs présentant des besoins similaires. Vous pouvez, par exemple, ajouter des élèves de mathématiques à un groupe de classe de cette matière et autoriser celui-ci à accéder aux fichiers situés sur son point de partage. Les groupes simplifient l’administration des ressources partagées. Plutôt que d’accorder l’accès de ces ressources à tous les utilisateurs qui en a besoin, vous pouvez tout simplement ajouter ces derniers à un groupe auquel vous autorisez l’accès. Pour définir un groupe : 1 Dans l’onglet Général d’Admin Serveur, cliquez sur Utilisateurs et groupes et choisissez Nouveau groupe. 2 Attribuez un nom au groupe. Si vous voulez être autorisé à envoyer du courrier au groupe, évitez les espaces et les caractères obtenus avec la touche Option. 3 Pour ajouter des utilisateurs au groupe, cliquez sur Ouvrir la liste U&G. Localisez les utilisateurs que vous souhaitez ajouter, puis faites-les glisser dans la fenêtre des réglages de groupes. 4 Cliquez sur Enregistrer. Administration de Mac OS X Server 39 Étape 8 : Affectez des autorisations aux points de partage Suivez la procédure ci-après afin d’attribuer des autorisations d’accès pour les points de partage des utilisateurs et des groupes que vous avez définis : 40 Chapitre 1 1 Dans l’onglet Général d’Admin Serveur, cliquez sur Partage et choisissez Afficher disques et points de partage. 2 Double-cliquez sur Points de partage. 3 Dans l’onglet Général, cliquez sur Utilisateurs et groupes, puis choisissez Ouvrir la liste U&G. 4 Pour modifier le possesseur du point de partage, faites glisser un utilisateur de la fenêtre Liste des utilisateurs et des groupes au champ “Possesseur” de la fenêtre de partage. Utilisez le menu local qui apparaît à droite du champ “Possesseur” pour définir des autorisations d’accès pour celui-ci. 5 Pour attribuer des autorisations d’accès à un groupe, faites-le glisser de la fenêtre Liste des utilisateurs et groupes au champ “Groupe” de la fenêtre de partage. Utilisez ensuite le menu local qui apparaît à droite du champ “Groupe” pour définir des autorisations d’accès pour celui-ci. S’il s’agit, par exemple, d’un groupe appartenant au cours de mathématiques, vous pouvez, si vous le souhaitez, le faire bénéficier d’un accès en lecture seule, afin que ses élèves puissent lire les informations que vous placez dans le point de partage, sans pour autant pouvoir y toucher. 6 Pour attribuer des autorisations d’accès à tout utilisateur se connectant au serveur, utilisez le menu local qui apparaît à droite de “Tous”. Étape 9 : Définissez tous les services complémentaires dont vous avez besoin Réfléchissez aux services complémentaires que vous souhaitez configurer, puis consultez les chapitres indiqués dans le tableau suivant. Parcourez le chapitre pour vous familiariser avec son contenu. Puis suivez les instructions sur la marche à suivre avant de définir le service ainsi que celles concernant la manière de configurer ce dernier pour la première fois. Ces informations, agrémentées de procédures détaillées disponibles dans l’aide à l’écran, vous guideront dans la configuration de chaque service. Si vous souhaitez Définissez Les instructions se trouvent dans Affecter des autorisations d’accès aux dossiers et aux fichiers d’un point de partage Dossiers et fichiers, affectez ensuite les autorisations d’accès le chapitre 4, intitulé “Partage”, à la page 79 Exécuter des fonctions complémentaires du service de fichiers Apple Service de fichiers Apple le chapitre 5, “Services de fichier”, à la page 93 Proposer des services de fichier et d’impression aux utilisateurs Windows Services Windows le chapitre 5, “Services de fichier”, à la page 102 Mettre des dossiers à disposition des utilisateurs pourvus du logiciel client NFS Service NFS le chapitre 5, “Services de fichier”, à la page 110 Permettre aux utilisateurs de transférer des fichiers à partir du serveur à l’aide du protocole FTP Service FTP le chapitre 5, “Services de fichier”, à la page 114 Partager des imprimantes entre utilisateurs Service d’impression le chapitre 6, intitulé “Service d’impression”, à la page 121 Définir des sites Web ou la technologie WebDAV sur le serveur Service web le chapitre 7, intitulé “Service Web”, à la page 131 Proposer à vos utilisateurs des services de courrier électronique Service de courrier le chapitre 8, intitulé “Service de courrier”, à la page 167 Administration de Mac OS X Server 41 42 Chapitre 1 Si vous souhaitez Définissez Les instructions se trouvent dans Diffuser des fichiers multimédia en temps réel à partir du serveur Service d’enchaînement QuickTime le chapitre 9, intitulé “Serveur Enchaînement QuickTime”, à la page 189 Gérer l’environnement habituel des utilisateurs Mac OS 8.1 et ultérieurs Service Gestion Macintosh le chapitre 10, intitulé “Service Gestion Macintosh”, à la page 213 Fournir à tous les ordinateurs clients Mac OS 9 des dossiers Système et applications identiques NetBoot le chapitre 11, intitulé “NetBoot”, à la page 273 Automatiser l’inscription des dispositifs de réseau accessibles à l’aide d’une URL Service SLP DA le chapitre 12, intitulé “Services de réseau”, à la page 291 Affecter des adresses IP aux ordinateurs clients de manière dynamique Service DHCP le chapitre 12, “Services de réseau”, à la page 300 Définir un serveur de noms de domaine Service DNS le chapitre 12, “Services de réseau”, à la page 310 Filtrer les paquets d’adresses IP que le serveur reçoit Service de filtres IP le chapitre 12, “Services de réseau”, à la page 316 Partagez les informations utilisateurs entre plusieurs Mac OS X Server et/ou ordinateurs Mac OS X Services de répertoire le chapitre 2, intitulé “Services de répertoire”, à la page 45 Où trouver plus d’informations sur Mac OS X Server et sur la gestion de serveur Si vous êtes novice dans la gestion de serveur et de réseau Pour plus d’informations sur Mac OS X Server, consultez le site Web de Mac OS X Server : www.apple.com/macosx/server/ (en anglais) Vous pouvez rester en contact avec vos homologues grâce aux groupes de discussion en ligne. Il est possible qu’une bonne partie des problèmes que vous rencontrez aient déjà été résolus par d’autres administrateurs de serveur. Pour obtenir les listes disponibles par l’intermédiaire d’Apple, consultez le site suivant : www.lists.apple.com (en anglais) Essayez de vous procurer quelques uns de ces ouvrages de référence. Ils contiennent des informations d’arrière-plan, des explications sur les concepts de base et des idées pour tirer le meilleur parti de votre réseau. m Teach Yourself Networking Visually, de Paul Whitehead et Ruth Maran (Éd. IDG Books Worldwide, 1998). m Internet and Intranet Engineering, de Daniel Minoli (Éd. McGraw-Hill, 1997). Par ailleurs, NetworkMagazine.com propose un grand nombre de guides d’initiation en ligne sur son site Web : www.networkmagazine.com Si vous êtes un administrateur de serveur chevronné Si vous êtes déjà familiarisé avec l’administration de réseau et que vous avez utilisé Mac OS X Server, Linux, UNIX ou un système d’exploitation similaire, les ouvrages de références suivants pourront vous être utiles. m Un grand choix de livres édités par O’Reilly & Associates traitent de sujets qui s’appliquent à Mac OS X Server, comme Internet Core Protocols: The Definitive Reference, DNS and BIND, et TCP/IP Network Administration. Pour plus de détail, consultez Apache: The Definitive Guide, Writing Apache Modules with Perl and C, Web Performance Tuning, et Web Security & Commerce, également publiés chez O’Reilly and Associates. Consultez le site web de l’éditeur O’Reilly & Associates : www.ora.com m Consultez le site Web d’Apache pour toute information détaillée sur Apache : www.apache.org/ Administration de Mac OS X Server 43 Même si vous souhaitez utiliser les outils d’administration fournis avec Mac OS X Server, la plupart des commandes UNIX et des shell de script peuvent être exécutés à partir de l’interface de lignes de commande intégrée à l’application Terminal. Vous pouvez accéder à l’interface de lignes de commande en vous connectant au serveur en tant qu’administrateur et en parcourant l’application Terminal, située dans /Applications/Utilities. Consultez l’annexe A l’annexe A, intitulée “Rubriques avancées”, à la page 335 pour obtenir différentes suggestions. 44 Chapitre 1 C H A P I T R E 2 2 Services de répertoire Que sont les services de répertoire ? Votre Mac OS X Server utilise les services de répertoire pour rechercher des informations sur les utilisateurs. Le serveur doit obtenir les informations relatives à l’utilisateur pour l’authentification ainsi que pour gérer différents services. Informations utilisateur nécessaires pour l’authentification Lorsqu’un utilisateur se connecte à un Mac OS X Server, le serveur authentifie celui-ci — ou détermine s’il s’agit d’un utilisateur valide. Seuls les utilisateurs valides ont le droit d’accéder à un serveur ou de bénéficier des services qu’il propose. Pour authentifier un utilisateur, le serveur consulte les informations suivantes sur l’utilisateur : m nom d’utilisateur m mot de passe m ID de l’utilisateur Au minimum —quels que soient les services que vos membres utiliseront— tout utilisateur auquel vous attribuez un accès au serveur doit posséder un nom d’utilisateur, un mot de passe et un ID d’utilisateur stockés dans un emplacement accessible au serveur. Lorsqu’un membre se connecte au réseau en saisissant un nom et un mot de passe, les informations doivent correspondre à l’un des utilisateurs définis pour ce serveur afin qu’il puisse être authentifié. Autres types d’informations utilisateur requises par le serveur Les services individuels nécessitent d’autres types d’informations utilisateur. Par exemple, le service de courrier demande des paramètres de courrier pour chaque utilisateur et le service Gestion Macintosh a besoin de connaître le répertoire d’accueil d’un utilisateur. La plupart des services demandent l’identifiant. 45 Vous trouverez dans l’annexe A, intitulée “Rubriques avancées”, à la page 335 la description de toutes les données auxquelles les services individuels doivent accéder après l’authentification d’un utilisateur. Où définir les informations utilisateur ? Les informations utilisateur requises par les services de répertoire sont stockées sur le Mac OS X Server dans les bases de données NetInfo. Une base de données NetInfo est également appelée un domaine. Le Mac OS X Server peut également récupérer les informations utilisateur à partir de serveurs standard appelés serveurs LDAP (Lightweight Directory Access Protocol). Les serveurs LDAP sont généralement utilisés pour le traitement des requêtes d’informations utilisateur. L’endroit dans lequel vous stockez les informations utilisateur de votre serveur est défini en fonction de la nécessité ou non de les partager. Si les informations utilisateur d’un serveur ne sont pas en partage Lorsque votre serveur gère des utilisateurs dont les informations ne peuvent être obtenues via un autre Mac OS X Server du réseau, les informations relatives aux utilisateurs doivent résider au niveau local, sur le serveur. Dans ce cas, elles sont stockées dans un domaine NetInfo —appelé domaine local— sur le serveur : Mac OS X Server Domaine NetInfo local Utilisateur Mac OS 9 Utilisateur Mac OS X Utilisateur Windows Lorsqu’un utilisateur se connecte au serveur, les services de répertoires recherchent l’utilisateur sur le domaine local. L’utilisateur peut accéder au serveur uniquement s’il est défini dans le domaine local. 46 Chapitre 2 Chaque Mac OS X Server possède un domaine local. Les utilisateurs définis dans un domaine local sont visibles uniquement sur l’ordinateur de résidence du domaine. Bien que ce mode de définition des utilisateurs dans le domaine soit adapté aux serveurs autonomes ou aux serveurs utilisés sur des réseaux simples, dans de nombreux cas, il est plus efficace pour les ordinateurs de partager les informations utilisateurs. Le partage de données utilisateur réduit la redondance au minimum, et donc, lorsque les données relatives à un utilisateur changent, les modifications à effectuer sont moins importantes. Si les informations utilisateur d’un serveur peuvent être partagées Lorsque votre réseau comprend plusieurs Mac OS X Server fournissant des services aux membres, les informations utilisateur stockées dans un domaine NetInfo sur un des serveurs peuvent être partagées entre les serveurs : Mac OS X Server Mac OS X Server Domaine local Domaine local Domaine partagé Utilisateur Mac OS 9 Utilisateur Mac OS X Utilisateur Windows Vous définissez un domaine partagé lorsqu’il est nécessaire que les informations NetInfo soient visibles depuis plusieurs Mac OS X Server. Dans l’illustration ci-dessous, les utilisateurs définis dans le domaine partagé peuvent accéder aux deux serveurs. Lorsqu’un membre se connecte à l’un des serveurs, les services de répertoire le recherchent dans le domaine local de ce serveur. Si l’utilisateur est introuvable, les services de répertoire recherchent ce dernier dans le domaine partagé. Services de répertoire 47 Un domaine partagé peut également servir à contrôler quels membres peuvent utiliser un ordinateur sous Mac OS X : Mac OS X Server Mac OS X Server Domaine local Domaine local Domaine partagé Domaine local Utilisateur Mac OS 9 Utilisateur Mac OS X Utilisateur Windows Tout comme Mac OS X Server, un ordinateur sous Mac OS X dispose toujours d’un domaine local NetInfo.Dans l’illustration ci-dessus, les utilisateurs définis dans le domaine local de Mac OS X ou dans le domaine partagé sur le serveur peuvent utiliser l’ordinateur Mac OS X. 48 Chapitre 2 Si des informations extérieures au serveur peuvent être partagées Certaines organisations (comme les universités et les sociétés multinationales) conservent les informations utilisateur sur des serveurs LDAP. Vous pouvez configurer votre Mac OS X Server afin qu’il récupère les informations utilisateur à partir de ces systèmes standard : Mac OS X Server Mac OS X Server Domaine local Serveur LDAP Domaine local Domaine partagé Domaine local Utilisateur Mac OS 9 Utilisateur Mac OS X Utilisateur Windows Lorsqu’un utilisateur se connecte à l’un des Mac OS X Server, les services de répertoire recherchent également l’utilisateur dans les domaines NetInfo, en commençant par le domaine local. Cependant, s’ils ne trouvent pas l’utilisateur et que la configuration du serveur prévoit d’utiliser un serveur LDAP, le serveur consulte le serveur LDAP pour obtenir les informations souhaitées. Comment le serveur recherche-t’il les informations utilisateur ? Les services de répertoire, qui font partie de l’architecture sous-jacente d’un Mac OS X Server, disposent d’un plan centralisé qui permet au serveur de rechercher des informations sur les utilisateurs, les groupes (ensembles d’utilisateurs) et les périphériques —toutes les personnes et ressources que gère votre serveur. Services de répertoire 49 Lorsque votre serveur a besoin d’informations utilisateur, les services de répertoire identifient l’endroit où le serveur doit effectuer la recherche : Services de répertoire NetInfo LDAP Lorsque votre serveur a besoin d’accéder aux informations utilisateur stockées à plusieurs endroits, comme par exemple des domaines NetInfo situés sur différents serveurs et un ou plusieurs serveurs LDAP, les services de répertoire contrôlent également l’ordre dans lequel le serveur recherche ces emplacements. Les emplacements où s’effectuent les recherches ainsi que leur ordre constituent ce que l’on appelle la politique de recherche d’un serveur. Lorsqu’un utilisateur se connecte, les services de répertoire le recherchent dans le domaine NetInfo local, puis éventuellement dans un domaine partagé ou sur un serveur LDAP, selon la configuration de la politique de recherche. Utilisation de NetInfo NetInfo vous permet de stocker et de gérer les informations utilisateur sur un Mac OS X Server. Il existe toujours au moins un domaine NetInfo défini sur un serveur, le domaine local. Les informations stockées dans le domaine local sont visibles uniquement sur le serveur sur lequel elles résident. Elles ne peuvent être partagées avec d’autres serveurs. Par conséquent, les utilisateurs définis dans le domaine local ont uniquement accès au serveur de résidence du domaine local. Si vous souhaitez partager des informations dans un domaine NetInfo, vous devez définir le domaine local en tant qu’enfant d’un domaine partagé, appelé domaine parent. Avant d’installer NetInfo Si vous comptez utiliser des domaines partagés NetInfo, il est nécessaire que vous compreniez le principe des hiérarchies parent-enfant. 50 Chapitre 2 Hiérarchies à deux niveaux La hiérarchie la plus simple comporte deux niveaux : Domaine NetInfo parent Domaine NetInfo local Voici un exemple d’utilisation de hiérarchie à deux niveaux : Domaine racine Domaine local sur l'ordinateur du département d'anglais Domaine local sur l'ordinateur du département de maths Domaine local sur l'ordinateur du département des sciences Chaque département (anglais, maths, sciences) possède son propre ordinateur. Les étudiants de chaque département sont définis en tant qu’utilisateurs du domaine local de l’ordinateur de ce département. Chacun de ces trois domaines locaux possède le même parent, le domaine racine, dans lequel tous les professeurs sont définis. Les professeurs, en tant que membres du domaine racine, peuvent utiliser les services de tous les ordinateurs du département. Les membres de chaque domaine local peuvent utiliser uniquement les services du serveur sur lequel réside leur domaine local. Services de répertoire 51 Tandis que les domaines locaux résident sur leurs serveurs respectifs, un domaine parent peut résider sur l’Mac OS X Server accessible via ordinateur d’un domaine enfant quelconque. Dans cet exemple, le domaine racine peut se trouver sur n’importe quel serveur accessible à partir des serveurs du département. Il peut résider sur un des serveurs du département ou, comme dans le schéma ci-dessous, sur un serveur complètement différent du réseau : Mac OS X Server Université Domaine local Ordinateur du départemen des sciences Domaine local Domaine racine Domaine local rdinateur du département d'anglais Domaine local Ordinateur du départemen de maths Lorsqu’un professeur se connecte à l’un des trois serveurs du département et qu’il est introuvable dans le domaine local, le serveur effectue la recherche dans le domaine racine. Un domaine racine constitue un type de domaine partagé particulier. C’est le domaine partagé qui se trouve toujours en haut d’une hiérarchie NetInfo. Il est visible sur tous les ordinateurs qui utilisent cette hiérarchie. Dans cet exemple, le domaine racine est le seul domaine partagé, mais dans le cas de hiérarchies plus complexes, on pourra avoir plusieurs domaines partagés. 52 Chapitre 2 Hiérarchies de forme plus complexe NetInfo gère également les hiérarchies de domaine à plusieurs niveaux. Ce type d’organisation peut s’avérer utile pour les réseaux complexes comprenant un nombre important d’utilisateurs, bien que son administration est également beaucoup plus complexe : Domaine racine Domaine Recherche Domaine étudiants premier cycle Domaine deuxième cycle Domaine troisième cycle Domaines locaux sur clients ou serveurs Mac OS X Dans cet exemple, un professeur défini dans le domaine racine peut utiliser des ordinateurs Mac OS X hébergeant un domaine local. Les membres du secteur de recherche, définis dans le domaine Recherche, peuvent se connecter à n’importe quel ordinateur Mac OS X dont les domaines locaux sont enfants des domaines 2ème cycle ou 3ème cycle, puisque le domaine Recherche est parent des domaines 2ème cycle et 3ème cycle. Recherche parmi les hiérarchies NetInfo Par défaut lorsqu’un serveur recherche un utilisateur, les domaines NetInfo sont consultés, en commençant par le domaine local : m Si le domaine local du serveur ne possède pas de parent, le serveur consulte uniquement le domaine local. m Si le domaine local du serveur possède un domaine parent NetInfo, le serveur consulte celui-ci lorsqu’il ne trouve pas un utilisateur dans le domaine local. Si l’utilisateur est introuvable dans le parent du domaine local et que ce même domaine parent est configuré comme l’enfant d’un second domaine parent, ce dernier sera consulté. Si l’utilisateur demeure introuvable, le serveur poursuit sa recherche à un niveau supérieur de la hiérarchie NetInfo et s’arrête lorsqu’il a trouvé l’utilisateur ou une fois qu’il a fini de consulter le dernier domaine parent. Si vous souhaitez que votre serveur consulte d’autres domaines NetInfo ou encore des serveurs LDAP, utilisez l’application Directory Setup pour personnaliser la politique de recherche, comme décrit dans la section “Définition de politiques de recherche” à la page 57. Services de répertoire 53 Première installation de NetInfo Pour configurer vos domaines NetInfo, procédez comme suit : Étape 1 : Déterminez vos besoins d’accès au serveur Identifiez les utilisateurs ayant besoin d’accéder à vos Mac OS X Server. Les utilisateurs dont les informations ne sont pas accessibles à partir d’un serveur LDAP, ou qui sont plus faciles à gérer sur un Mac OS X Server, doivent être définies dans un domaine NetInfo. Étape 2 : Créez la hiérarchie NetInfo Indiquez si les informations utilisateur doivent être stockées dans un domaine local NetInfo ou dans un domaine NetInfo susceptible d’être partagé entre plusieurs serveurs. Créez votre hiérarchie NetInfo, en identifiant les domaines partagés et enfants à utiliser, les serveurs sur lesquels les domaines partagés doivent résider ainsi que la relation parent-enfant entre les domaines. En général, essayez de limiter le nombre d’utilisateurs associés à un domaine à 10.000 maximum. Le chapitre 2, “Organisation NetInfo,” dans Guide d’apprentissage et d’utilisation de NetInfo contient quelques indications qui vous aideront à définir la configuration de votre hiérarchie NetInfo. Étape 3 : Configurez la hiérarchie NetInfo Les principales étapes de la configuration des hiérarchies NetInfo sont les suivantes : 1 Configurez des domaines partagés. Sur chaque serveur destiné à héberger des domaines partagés, vous devez créer ceux-ci et les configurer afin qu’ils soient reliés entre eux dans une hiérarchie souhaitée. 2 Configurez des domaines locaux sur chaque ordinateur Mac OS X de manière à les relier au domaine partagé que vous avez défini comme domaine parent. 3 Configurez la reproduction. Vous pouvez reproduire des domaines partagés afin d’améliorer la fiabilité et la vitesse d’accès à leurs données. 4 Configurez l’authentification d’utilisateurs de Windows. Si l’authentification d’utilisateurs de Windows doit se faire à l’aide de mots de passe NetInfo et brouillés, vous devez activer Gestionnaire d’authentification dans tous les domaines de la hiérarchie NetInfo. 5 Remplissez les domaines partagés d’utilisateurs, de groupes et autres informations à partager. Le chapitre 3, “Configuration des hiérarchies NetInfo,” dans Guide d’apprentissage et d’utilisation de NetInfo décrit la marche à suivre dans chacune de ces étapes. 54 Chapitre 2 Étape 4 : Personnalisez votre politique de recherche (facultatif) Lorsque la politique de recherche NetInfo par défaut d’un serveur n’est pas adaptée à vos objectifs, utilisez Directory Setup pour la personnaliser, comme indiqué dans “Définition de politiques de recherche” à la page 57. Utilisation du protocole LDAP Le support LDAP intégré à votre serveur lui permet de récupérer les informations utilisateur à partir d’un serveur LDAP V2. Les serveurs LDAP peuvent conserver des informations relatives à un grand choix de personnes ou de ressources du réseau, notamment les utilisateurs, les groupes, les imprimantes ou les serveurs. Une fois qu’un serveur LDAP a été installé, vous pouvez facilement configurer votre Mac OS X Server pour qu’il y accède et récupère les informations utilisateur et autres. Avant de configurer l’accès au serveur LDAP Préalablement à son utilisation comme ressource pour les informations utilisateur du Mac OS X Server, un serveur LDAP doit être configuré en vue de gérer l’authentification basée sur le protocole LDAP et la vérification de mot de passe. L’administrateur système chargé de la maintenance du serveur LDAP et de ses données devra configurer l’accès du serveur LDAP. Pour pouvoir fournir des informations appropriées sur l’authentification de l’utilisateur, le serveur LDAP doit contenir des entrées et des attributs pour quatre éléments : nom d’utilisateur (dans les champs du nom de l’entrée et du nom réel), mot de passe et ID d’utilisateur. Selon les services Mac OS X Server auxquels un utilisateur devra accéder, certaines informations complémentaires pourront également être requises. Une fois que le serveur LDAP est configuré en vue de fournir toutes les données nécessaires, notez la base de la recherche et le nom d’attribut de chaque élément de donnée. Vous aurez besoin de ces informations lorsque vous configurerez l’accès LDAP de votre Mac OS X Server. Première installation du LDAP Pour configurer l’accès de votre serveur à un serveur LDAP, procédez comme suit ; consulter la section “Configuration de l’accès LDAP” à la page 361 pour obtenir des informations plus détaillées. Services de répertoire 55 Étape 1 : Préparez les données du serveur LDAP Si nécessaire, modifiez les entrées et les attributs du serveur LDAP afin de fournir les données requises pour l’authentification du serveur et pour les autres services qui utiliseront les données. La section “Spécification des données LDAP” à la page 351 fournit toutes les spécifications relatives aux données LDAP utilisées par les Mac OS X Server. Il sera peut-être nécessaire d’ajouter, de modifier ou de réorganiser les informations de votre serveur LDAP afin qu’elles soient au format requis). Étape 2 : Activez le support LDAP Ouvrez l’application Directory Setup, qui se trouve dans Applications/Utilities. Cliquez sur le verrou pour vous connecter en tant qu’administrateur de serveur. Rechercher LDAPv2 dans le panneau Directory Setup Services, puis cliquez sur Configurer. Étape 3 : Identifiez le serveur LDAP Dans la fenêtre Identité, spécifiez le nom de domaine et l’adresse IP du serveur LDAP. Étape 4 : Définissez la base de recherche LDAP Dans le panneau Enregistrements, réglez le type d’enregistrement “Utilisateurs” sur une ou plusieurs bases de recherche sur le serveur LDAP fournissant les informations utilisateur (par exemple, o=particulier, ou=nom de votre société). Réglez également le type d’enregistrement “Groupes” si vous avez l’intention de récupérer des informations groupe sur le serveur LDAP. Étape 5 : Réglez les types de données pour les informations utilisateur et groupe Dans la fenêtre Données, vous au moins devez régler les types de données RecordName, RealName, Password et UniqueID sur les champs LDAP qui leur fourniront les valeurs correspondantes. Par exemple, UniqueID pourra être stocké dans un champ LDAP intitulé utilisateurid. Si vous avez l’intention de récupérer d’autres informations, effectuez un réglage adéquat des types de données supplémentaires. Étape 6 : Définissez les attributs de connexion Dans l’onglet Accès, tapez les informations concernant les connexions établies entre votre serveur et le serveur LDAP, comme le temps maximum octroyé pour effectuer une recherche de données sur le serveur LDAP. Étape 7 : Indiquez comment vous souhaitez utiliser les données LDAP Vous pouvez soit ajouter le serveur LDAP à la politique de recherche du serveur, soit définir des alias pour des utilisateurs particuliers définis sur le serveur LDAP. La section suivante, consacrée à la configuration des politiques de recherche, vous indique la marche à suivre. 56 Chapitre 2 Définition de politiques de recherche Le serveur recherche les informations utilisateur aux emplacements spécifiés dans la politique de recherche définie pour celui-ci. Si vous utilisez uniquement des domaines NetInfo pour stocker des informations utilisateur, la politique de recherche par défaut est généralement suffisante. Si vous souhaitez toutefois utiliser pour vos recherches des serveurs LDAP ou d’autres domaines NetInfo, vous pouvez définir une politique de recherche personnalisée à l’aide de l’application Directory Setup. La politique de recherche par défaut Votre Mac OS X Server consulte toujours son domaine local NetInfo lorsqu’un utilisateur tente de se connecter : Domaine étudiants L'utilisateur est-il défini ici ? Domaine local Si un utilisateur n’apparaît pas dans le domaine local, tous les domaines parents définis pour ce dernier sont consultés : L'utilisateur est-il déini ici ? Domaine étudiants Non Domaine local Services de répertoire 57 Si l’utilisateur n’apparaît toujours pas, la recherche s’effectue sur le parent suivant de la hiérarchie NetInfo, et ainsi de suite jusqu’à ce qu’elle passe au domaine racine : L'utilisateur est-il défini ici ? Domaine racine Non Domaine Recherche Non Domaine étudiants Non Domaine local Recherches personnalisées Lorsque vous souhaitez utiliser un serveur LDAP ou des domaines NetInfo non inclus dans la politique de recherche par défaut en vue d’obtenir des informations sur les utilisateurs, vous devez configurer une politique de recherche personnalisée à l’aide de l’application Format de répertoire. Voici un exemple de politique de recherche personnalisée : Domaine campus Domaine racine Serveur LDAP 1 Domaine Recherche Domaine étudiants Domaine local 58 Chapitre 2 Dans cet exemple, le serveur LDAP 1 est consulté pour obtenir des informations utilisateur qui n’ont pas été trouvées dans les domaines de la politique de recherche par défaut. Si les informations de l’utilisateur n’apparaissent pas sur le serveur LDAP, le domaine NetInfo appelé “Campus” est alors consulté. Utilisation d’alias Vous aurez parfois besoin qu’un serveur soit à même d’authentifier un utilisateur dont les informations ne sont stockées sur aucun des emplacements spécifiés dans la politique de recherche. Votre serveur peut localiser les informations propres à cet utilisateur si vous définissez un alias pour celui-ci dans un des domaines NetInfo qui figure dans la politique de recherche. Un alias sert à désigner l’emplacement dans lequel les informations utilisateur sont effectivement stockées. Lorsque le serveur a besoin d’authentifier un utilisateur possédant un alias, il récupère les informations relatives à celui-ci à partir de l’emplacement où elles résident effectivement. Examinez l’illustration suivante : Serveur LDAP Domaine étudiants Informations Alias Domaine local du département des Sciences Dans le schéma précédent, un alias pour un utilisateur a été défini dans le domaine “2ème cycle”. Cet alias est utilisé pour récupérer des informations relatives à l’utilisateur depuis un serveur LDAP. Lorsqu’un utilisateur est introuvable dans le domaine local ou “2ème cycle”, il n’est pas nécessaire de consulter le serveur LDAP intégralement. Une recherche sera menée pour le seul utilisateur stipulé par l’alias. Pour élaborer ce type de procédure, vous devez configurer l’accès de votre serveur à un serveur LDAP sans toutefois ajouter ce dernier à la politique de recherche. Vous devrez ensuite créer des alias pour les utilisateurs individuels du serveur LDAP dans un domaine NetInfo qui figure dans la politique de recherche. Pour créer des alias, utilisez le module Utilisateurs & groupes d’Admin Serveur. Pour toute information supplémentaire, consultez l’aide à l’écran d’Utilisateurs et groupes. Avant de configurer votre politique de recherche Avant de définir une politique de recherche pour le serveur, vérifiez que l’accès du Mac OS X Server à tous les domaines NetInfo ou serveurs LDAP à consulter a été configuré. Services de répertoire 59 Décidez également dans quelle mesure la définition d’alias dans un ou plusieurs de vos domaines NetInfo pourrait être utile pour des utilisateurs individuels. Définition de politiques de recherche pour la première fois Étape 1 : Déterminez si la politique de recherche par défaut est suffisante Si la politique de recherche NetInfo par défaut est adaptée à votre environnement, vous êtes prêt à commencer. Sinon, passez à l’étape 2. Étape 2 : Ouvrez Directory Setup L’application Directory Setup se trouve dans Applications/Utilities. Étape 3 : Définissez une option de politique de recherche pour le serveur Dans l’onglet Authentification, le menu local Recherche vous permet de choisir la politique de recherche à configurer : m “NetInfo network” constitue la politique de recherche NetInfo par défaut utilisée lorsqu’un domaine parent NetInfo a été configuré pour le serveur. Les serveurs qui utilisent cette politique consultent tout d’abord le domaine local, puis passent à la hiérarchie de domaines parents pour rechercher les informations relatives à un utilisateur. m “Local directory” indique au serveur qu’il doit rechercher des utilisateurs uniquement dans le répertoire local NetInfo. m “Custom path” vous permet de spécifier les emplacements à consulter après examen par le serveur des domaines NetInfo de la politique de recherche NetInfo par défaut. Sélectionnez les serveurs LDAP configurés pour le serveur ou les domaines NetInfo absents de la politique de recherche par défaut. Pour plus de détails, consultez la section “Configuration de l’accès LDAP” à la page 361. Étape 4 : Définissez une politique de recherche pour les applications personnelles (facultatif) En plus de la configuration d’une politique de recherche pour le serveur, vous pouvez en définir une autre destinée à l’usage de vos applications personnelles, comme les gestionnaires de courrier ou d’informations personnelles. Pour ce faire, utilisez l’onglet Contacts et suivez la procédure décrite dans l’étape 3. 60 Chapitre 2 C H A P I T R E 3 3 Utilisateurs et groupes Définition des utilisateurs et des groupes Pour autoriser des utilisateurs individuels ou des groupes (ensembles d’utilisateurs dont les besoins sont similaires) à accéder à votre Mac OS X Server et aux services qu’il héberge, vous devez définir des utilisateurs et des groupes. Ce chapitre récapitule les attributs des utilisateurs et des groupes et vous indique comment les définir. Comment les informations utilisateur sont-elles utilisées ? Votre Mac OS X Server utilise les informations que vous indiquez afin d’authentifier les membres et de déterminer s’ils sont autorisés à utiliser des services en particulier. Les informations utilisateur sont stockées dans des bases de données NetInfo, qu’on appelle des domaines : Mac OS X Server Mac OS X Server Domaine local Domaine local Domaine partagé Domaine local Utilisateur Mac OS 9 Utilisateur Mac OS X Utilisateur Windows 61 Chaque ordinateur Mac OS X et Mac OS X Server possède un domaine local. Les membres d’un domaine local peuvent utiliser uniquement l’ordinateur sur lequel réside celui-ci. Dans le schéma précédent, les utilisateurs définis dans le domaine local d’un serveur ont accès uniquement à ce serveur. Les utilisateurs définis dans le domaine local d’un ordinateur Mac OS X ne peuvent se connecter qu’à cet ordinateur. Des domaines partagés peuvent également être définis sur les Mac OS X Server Un domaine partagé stocke les informations utilisateur qui peuvent être utilisées par plusieurs ordinateurs et serveurs Mac OS X sur un réseau. Si un utilisateur est défini dans un domaine partagé, il peut utiliser tout ordinateur configuré en vue de la récupération des informations utilisateur à partir de ce domaine. Dans l’illustration précédente, les utilisateurs définis dans le domaine partagé peuvent se connecter soit au serveur, soit à un ordinateur Mac OS X. Si un utilisateur n’est pas trouvé dans le domaine local lorsqu’il se connecte, c’est le domaine partagé qui est consulté. Le module Utilisateurs & groupes d’Admin Serveur vous permet de définir des utilisateurs et des groupes dans les domaines locaux et partagés d’un serveur. Vous pouvez également configurer un serveur afin qu’il récupère les informations relatives aux utilisateurs provenant de serveurs LDAP. Consultez la section “Utilisation du protocole LDAP” à la page 55 pour obtenir des informations complémentaires, si vous utilisez un serveur LDAP ou envisagez de le faire. Caractéristiques des utilisateurs Lors de la définition d’un utilisateur, vous spécifiez les informations nécessaires à son authentification : nom d’utilisateur, mot de passe et identifiant. Quels que soient les services qu’utilisera un utilisateur, ces informations sont nécessaires. Lorsque l’utilisateur se connecte, le nom et le mot de passe saisis doivent correspondre à l’un des membres définis sur le serveur pour qu’il puisse être authentifié. Chaque service nécessite d’autres informations stockées pour les utilisateurs, afin de déterminer ce que l’utilisateur a le droit de faire et éventuellement de personnaliser son environnement. Par exemple : m Les informations d’accès au serveur d’un utilisateur déterminent si celui-ci peut administrer le serveur. Seuls les utilisateurs bénéficiant d’autorisations en tant qu’administrateur peuvent utiliser Admin Serveur et les autres applications d’administration du serveur. m Les informations relatives au courrier d’un utilisateur décrivent les attributs de son compte de messagerie, qui sont utilisés par le service de courrier (à la page 167). m Le service Gestion Macintosh (à la page 213), le service Web (à la page 131), le service de fichiers Apple (à la page 93) et le service NFS (à la page 110) utilisent les informations du répertoire d’accueil de l’utilisateur. Un répertoire d’accueil est un emplacement de réseau servant à stocker les fichiers et préférences d’un utilisateur. 62 Chapitre 3 Caractéristiques des groupes Un groupe se compose tout simplement d’un ensemble d’utilisateurs dont les besoins sont similaires. Par exemple, vous pouvez ajouter tous les professeurs d’anglais à un groupe et accorder à celui-ci des autorisations d’accès pour certains fichiers ou dossiers du Mac OS X Server. Les groupes simplifient la gestion des ressources partagées ; au lieu d’autoriser l’accès à ces ressources pour chaque utilisateur individuel qui en a besoin, vous pouvez tout simplement ajouter les utilisateurs à un groupe et autoriser l’accès pour celui-ci. Avant de définir des utilisateurs et des groupes Avant de configurer des utilisateurs et groupes sur un ou plusieurs Mac OS X Server : m Concevez une stratégie pour le stockage des informations relatives aux utilisateurs, afin qu’elles soient accessibles à tous les Mac OS X Server qui en ont besoin. Configurez tous les domaines partagés NetInfo ou serveurs LDAP nécessaires à la mise en oeuvre de cette stratégie, à l’aide des informations fournies dans le chapitre 2, intitulé “Services de répertoire”. m Si un serveur comprend plusieurs domaines NetInfo, déterminez les utilisateurs qui doivent être définis dans chaque domaine. Remarque : si les domaines NetInfo ne sont pas encore tous finalisés lorsque vous êtes prêt(e) à ajouter des utilisateurs, placez-les simplement dans n’importe quel domaine NetInfo existant sur l’un de vos serveurs (vous pouvez toujours utiliser le domaine local disponible à tout moment). Vous pouvez aisément transférer par la suite les utilisateurs et groupes dans un autre domaine ou sur un autre serveur, à l’aide du module Utilisateurs et groupes, dont vous trouverez les instructions dans l’aide à l’écran Utilisateurs et groupes. m Identifiez les utilisateurs dont les besoins en matière de serveur sont similaires. Vous pouvez les ajouter à des groupes. Configuration des utilisateurs et groupes pour la première fois Pour configurer des utilisateurs et des groupes sur votre Mac OS X Server, procédez comme suit. Si vous souhaitez obtenir des instructions plus détaillées en ce qui concerne l’une de ces étapes, cliquez sur Utilisateurs et groupes dans Admin Serveur puis choisissez Aide. Utilisateurs et groupes 63 Étape 1 : Modifiez le compte administrateur défini lors de l’installation du serveur Lorsque vous configurez votre serveur à l’aide de Assistant réglages, vous spécifiez un mot de passe pour le possesseur/administrateur. Ce mot de passe devient également le mot de passe racine de votre serveur. Pour créer un utilisateur-administrateur avec un mot de passe différent du mot de passe racine, utilisez le module Utilisateurs & groupes d’Admin Serveur. Les administrateurs de serveur n’ont pas besoin d’autorisations racines. Il est recommandé d’utiliser le mot de passe racine avec précaution et de le stocker dans un emplacement sécurisé. L’utilisateur racine bénéficie d’un accès illimité au système, y compris aux fichiers système. Si nécessaire, vous pouvez utiliser le module Utilisateurs & groupes pour modifier le mot de passe racine. Choisissez “Afficher la liste des utilisateurs et groupes”, puis sélectionnez “Afficher les utilisateurs et groupes du système” pour travailler avec l’utilisateur racine. Étape 2 : Créez de nouveaux utilisateurs Pour créer de nouveaux comptes utilisateur, utilisez le module Utilisateurs & groupes d’Admin Serveur. Si le serveur dispose de plusieurs domaines NetInfo, prenez soin de bien sélectionner le domaine dans lequel vous souhaitez créer l’utilisateur. Consultez la section suivante, consacrée aux réglages utilisateur, pour obtenir des explications à ce sujet. Étape 3 : Créez de nouveaux groupes (facultatif) Si vous le souhaitez, vous pouvez créer des groupes à l’aide du module Utilisateurs & groupes d’Admin Serveur. Si le serveur dispose de plusieurs domaines NetInfo, prenez soin de bien sélectionner le domaine dans lequel vous souhaitez créer le nouveau groupe. Consultez la section “Réglages de groupe” à la page 74 pour plus de détails sur les réglages de groupe. Réglages utilisateur Pour accéder aux réglages utilisateur, cliquez sur l’onglet Général d’Admin Serveur. Suivez ensuite les indications en fonction de ce que vous souhaitez faire : Pour créer un nouvel utilisateur : m Cliquez sur Utilisateurs et groupes et choisissez Nouvel utilisateur. Ensuite, si une liste de domaines s’affiche, choisissez le domaine NetInfo dans lequel vous souhaitez créer l’utilisateur. m Cliquez sur le bouton Nouvel utilisateur de l’une des fenêtres Utilisateurs et groupes sur laquelle il est disponible (le nouvel utilisateur sera créé dans le domaine dans lequel vous travaillez actuellement). 64 Chapitre 3 Pour modifier un utilisateur : m Sélectionnez le nom de l’utilisateur dans une fenêtre (par exemple, la fenêtre Résultats de la recherche U&G) et cliquez sur le bouton Modifier. La fenêtre des réglages utilisateur comprend quatre panneaux : Général, Avancé, Commentaire et Service de courrier. Choisissez le panneau dans lequel vous souhaitez travailler à partir du menu local situé en haut de la fenêtre. Réglages généraux des utilisateurs Nom Tapez un nom destiné à identifier l’utilisateur, par exemple, Pierre Martin. Nom abrégé Tapez un nom d’accès abrégé, qui pourra également être utilisé dans une adresse électronique. Il ne doit contenir que des lettres, des chiffres, ainsi que le tiret et le caractère de soulignement (_). En général, ce nom abrégé contient au plus huit caractères. Utilisateurs et groupes 65 Mot de passe Tapez le mot de passe de l’utilisateur. Le membre saisit ce mot de passe pour se connecter au serveur. Le mot de passe respecte la casse et ne s’affiche pas à l’écran tandis qu’il est saisi. Lorsqu’il se connecte, l’utilisateur peut modifier son mot de passe. Utilisez des lettres, des chiffres et des symboles en formant des combinaisons difficiles à deviner par les utilisateurs non autorisés. Évitez les espaces ainsi que les caractères obtenus à l’aide de la touche Option. Proscrivez également les caractères ne pouvant être utilisés sur les ordinateurs qu’emploiera l’utilisateur (certains ordinateurs ne gèrent pas les mots de passe qui contiennent des caractères bi-octets, les espaces initiaux, les espaces imbriqués, etc.). Consultez la section “Limitations des mots de passe du Mac OS X Server” à la page 77 au sujet des conditions requises pour les mots de passe de certains services de votre Mac OS X Server. Vérifier Utilisez ce champ pour saisir de nouveau le mot de passe que vous avez tapé dans le champ “Mot de passe”. L’utilisateur peut administrer le serveur Sélectionnez cette option pour que l’utilisateur soit à même d’administrer le serveur. Lors de la première installation du Mac OS X Server, seul le possesseur/administrateur désigné lors de la configuration peut l’administrer. Les administrateurs du serveur peuvent utiliser Mac OS X Server et d’autres applications de gestion de serveur et bénéficient d’un accès complet à toutes les fonctions du serveur. L’utilisateur peut se connecter Sélectionnez cette option pour que l’utilisateur soit à même de se connecter au serveur. Par défaut, elle est sélectionnée. Si vous désélectionnez ce réglage, la distribution du courrier de l’utilisateur reste cependant activée. Pour désactiver la distribution de courrier, utilisez le tableau de bord Service de courrier. 66 Chapitre 3 Réglages des utilisateurs avancés ID de l’utilisateur Numéro servant à identifier de manière unique un utilisateur et à déterminer les autorisations dont il dispose sur un Mac OS X Server. Par exemple, les identifiants sont utilisés pour gérer les autorisations associées aux points de partage ; pour plus de détails à ce sujet, consultez le chapitre 4, intitulé “Partage”. L’identifiant est affecté automatiquement lors de la création d’un nouvel utilisateur, mais vous pouvez le modifier. Affectez une valeur supérieure ou égale à 100 qui n’existe pas déjà dans la politique de recherche du serveur (description de la politique de recherche dans “Définition de politiques de recherche” à la page 57). Le chiffre maximum est 2.147.483.647 et les identifiants inférieurs à 100 sont réservés aux comptes système. Les utilisateurs possédant ces identifiants ne peuvent être supprimés et ne doivent pas être modifiés. Groupe primaire Tapez l’identifiant du groupe auquel vous souhaitez affecter l’utilisateur automatiquement. Par défaut, cet identifiant est 20. Shell d’accès Choisissez le shell par défaut que le membre devra utiliser pour les interactions de ligne de commande avec le serveur. L’option Aucun, qui empêche l’utilisateur d’employer la ligne de commande, s’avère utile si vous souhaitez garantir qu’un utilisateur ne puisse accéder au serveur via SSH. Utilisateurs et groupes 67 Répertoire d’accueil Définissez le répertoire d’accueil de l’utilisateur. Il s’agit d’un dossier réservé à l’usage personnel de l’utilisateur. Il s’affiche automatiquement lorsque l’utilisateur choisit Retour dans le menu Aller du Finder. Il doit être situé dans un répertoire spécial qu’on appelle un point de partage. Avant de définir un répertoire d’accueil, le point de partage dans lequel vous souhaitez l’héberger doit exister. Vous pouvez utiliser le point de partage par défaut des répertoires d’accueil (Utilisateurs) ou en créer un nouveau. Vérifiez que le possesseur du point de partage bénéficie d’autorisations en lecture et en écriture et que les champs “Groupe” et “Tous” disposent d’autorisations en lecture. Consultez le le chapitre 4, intitulé “Partage”, à la page 79 pour obtenir des informations sur les points de partage et les autorisations, et l’aide Utilisateurs & groupes pour des instructions sur la création d’un point de partage pour les répertoires d’accueil. Lorsque vous définissez un utilisateur pour la première fois, les réglages de répertoire d’accueil par défaut lui sont affectés (vous pouvez définir ces réglages par défaut à l’aide de la commande Réglages par défaut du répertoire d’accueil, située dans le menu Utilisateurs et groupes). Pour chaque utilisateur, vous pouvez ignorer ces réglages en procédant comme suit : m Choisissez Aucun si vous ne souhaitez pas que l’utilisateur dispose d’un répertoire d’accueil. 68 Chapitre 3 m Choisissez Local pour créer un répertoire d’accueil sur le serveur où est défini l’utilisateur. Ce répertoire portera le même nom que le nom abrégé de l’utilisateur et sera situé dans le point de partage sélectionné à partir du menu Point de partage. Si vous sélectionnez le point de partage Utilisateurs, le répertoire d’accueil d’un utilisateur du nom de Marie pourra être un dossier intitulé Utilisateurs/Marie. Le nom du répertoire d’accueil est indiqué à côté du champ “Chemin” situé sous le menu Point de partage. Le chemin d’accès au répertoire d’accueil relatif au point de partage s’affiche en dessous du nom du répertoire d’accueil. Lorsque le répertoire d’accueil est créé par Admin Serveur, l’utilisateur est défini en tant que possesseur de ce répertoire et bénéficie d’autorisations en lecture et en écriture. m Choisissez Personnaliser pour définir un répertoire d’accueil sur un autre serveur ou décider vous même du chemin et du nom du répertoire d’accueil. Admin Serveur crée automatiquement des répertoires d’accueil, sur le serveur auquel vous êtes connecté uniquement. Si vous souhaitez que le répertoire d’accueil d’un utilisateur réside sur un serveur distant, créez le répertoire d’accueil manuellement, puis utilisez le panneau Avancé pour lui associer un utilisateur. L’aide qui apparaît à l’écran vous indique comment définir les répertoires d’accueil manuellement. Important Utilisateurs et groupes 69 L’option Personnaliser s’avère utile pour répartir, par exemple, des répertoires d’accueil sur plusieurs sous-répertoires d’un point de partage. Si le point de partage choisi est Utilisateurs, dans lequel les répertoires d’accueil des enseignants et des élèves sont regroupés en sous-répertoires “Enseignants” et “Élèves”, le premier répertoire pourra être /Utilisateurs/Enseignants/Martin et le deuxième /Utilisateurs/Élèves/Marie. Étant donné que les répertoires d’accueil ne se trouvent pas au premier niveau du point de partage, vous devrez utiliser l’option Personnaliser pour les définir. Tapez le nom du serveur DNS ou son adresse IP dans le champ “Serveur” et le point de partage dans le champ “Point de partage”. Dans le champ “Chemin”, saisissez le nom de dossier du répertoire d’accueil, précédé du chemin y menant dans le point de partage. Le chemin d’accès au répertoire d’accueil relatif au point de partage s’affiche en dessous du champ “chemin”. Une fois que vous avez créé un répertoire d’accueil sur le serveur local à l’aide de l’option Personnaliser, utilisez le module Partage pour définir l’utilisateur en tant que propriétaire du répertoire d’accueil et affectez-lui des autorisations en lecture et en écriture. Consultez le le chapitre 4, intitulé “Partage”, à la page 79pour obtenir des informations sur le mode de définition des autorisations. Vous pouvez configurer les répertoires d’accueil de sorte qu’ils apparaissent automatiquement aux utilisateurs du réseau. Pour obtenir des instructions, consultez la section “Configuration du montage automatique des répertoires d’accueil” à la page 76. 70 Chapitre 3 Commentaires sur l’utilisateur L’onglet Commentaire vous permet de saisir des informations utilisateur d’ordre général. Les commentaires ne peuvent excéder 32.767 caractères. Réglages du service de courrier La fenêtre Service de courrier vous permet d’activer et de désactiver l’accès au courrier de l’utilisateur et de configurer des réglages pour le compte de messagerie de l’utilisateur. Consultez la section le chapitre 8, intitulé “Service de courrier”, à la page 167 pour obtenir des informations complètes sur l’utilisation de ces réglages en vue de fournir des services de courrier à un utilisateur. Utilisateurs et groupes 71 Désactiver la messagerie Pour désactiver la distribution du courrier de l’utilisateur, cliquez sur Aucun. Activer la messagerie Pour activer la distribution du courrier de l’utilisateur et définir des options de compte de messagerie, cliquez sur Activer. Compte de messagerie situé sur le serveur Tapez l’adresse IP ou le nom DNS du serveur auquel le courrier de l’utilisateur est envoyé. 72 Chapitre 3 Sélectionnez la méthode d’accès au compte Sélectionnez le protocole utilisé pour le compte de messagerie de l’utilisateur : protocole POP et/ou IMAP. Vous trouverez des informations sur ces protocoles dans le chapitre 8, intitulé “Service de courrier”, à la page 167. Options Cliquez sur ce bouton pour définir d’autres options de compte de messagerie : Utiliser des boîtes à lettres séparées POP et IMAP Sélectionnez cette option pour gérer le courrier POP et IMAP en utilisant des boîtes à lettres différentes. Visualiser la boîte à lettres POP dans la liste des dossiers IMAP Sélectionnez cette option pour afficher le dossier IMAP “Boîte à lettres POP”. Activez NotifyMail Sélectionnez cette option pour notifier automatiquement à l’application de messagerie de l’utilisateur de la réception de nouveau courrier. L’adresse IP à laquelle est envoyée la notification peut être soit la dernière adresse de connexion de l’utilisateur, soit une adresse que vous spécifiez. Utilisateurs et groupes 73 Réexpédition de courrier Vous pouvez réexpédier le courrier d’un utilisateur automatiquement à une adresse de courrier électronique donnée en cliquant sur Réexpédier et en spécifiant l’adresse. Réglages de groupe Pour accéder aux réglages de groupe, cliquez sur l’onglet Général d’Admin Serveur, puis suivez les instructions en fonctions de ce que vous souhaitez faire : Pour créer un nouveau groupe : m Cliquez sur Utilisateurs et groupes et choisissez Nouveau groupe. Ensuite, choisissez le domaine dans lequel vous souhaitez créer le nouveau groupe si une liste de domaines s’affiche. m Cliquez sur le bouton Nouveau groupe de l’une des fenêtres Utilisateurs et groupes sur laquelle il est disponible (ce groupe sera créé dans le domaine dans lequel vous travaillez actuellement). Pour modifier un groupe : m Sélectionnez son nom dans une fenêtre comportant une liste des groupes (par exemple, la fenêtre Résultats de la recherche U&G) et cliquez sur le bouton Modifier. 74 Chapitre 3 Voici la fenêtre que vous utilisez pour travailler avec des réglages de groupe. Nom Tapez un nom pour ce groupe. Si vous souhaitez pouvoir envoyer du courrier à ce groupe, le nom ne devra pas comprendre d’espace ni de caractères obtenus à l’aide de la touche Option. GID Identifiant du groupe, utilisé pour déterminer ce que les membres peuvent faire sur le serveur. L’identifiant du groupe est par exemple utilisé en interne pour effectuer le suivi des autorisations associées à des points de partage. Pour obtenir des informations complémentaires sur les autorisations, consultez le chapitre 4, intitulé “Partage”. L’identifiant de groupe est attribué automatiquement lors de la création d’un nouveau groupe, mais vous pouvez le modifier. Affectez une valeur supérieure à 100 qui n’existe pas déjà dans le domaine NetInfo sur lequel vous travaillez. Les groupes dont l’identifiant est inférieur à 100 ne peuvent être supprimés. Nom, Type, ID et Emplacement Il s’agit des caractéristiques des utilisateurs actuellement associés au groupe. Le champ “Type” indique “Administrateur” si l’utilisateur bénéficie de droits en tant que tel, sinon il contient la mention “Utilisateur”. Le champ “Emplacement” identifie le domaine NetInfo de l’utilisateur. Vous devrez faire défiler le champ pour pouvoir consulter toutes ces colonnes. Pour ajouter un utilisateur au groupe, cliquez sur Ouvrir la liste U&G, puis faites glisser l’utilisateur de la liste Utilisateurs et groupes vers la fenêtre des réglages de groupe. Pour supprimer un utilisateur du groupe, sélectionnez-le puis cliquez sur Supprimer. Utilisateurs et groupes 75 Trucs et astuces pour les utilisateurs et groupes Cette section comprend quelques techniques qui peuvent vous aider à gérer vos utilisateurs et groupes. Exportation et importation d’utilisateurs et de groupes Il est possible que vous ayez besoin dans certains cas de placer les informations des utilisateurs ou des groupes dans un fichier de texte, puis d’inclure ces derniers à partir du fichier, au lieu de les ajouter un à un. Cette conception s’avère utile, notamment lorsque vous souhaitez ajouter les mêmes utilisateurs et groupes à plusieurs serveurs qui ne se trouvent pas sur le même réseau. Vous pouvez utiliser le module Utilisateurs et groupes pour importer les utilisateurs et les groupes à partir du fichier dans un domaine NetInfo sur n’importe quel Mac OS X Server. Pour créer ce fichier, vous avez deux possibilités : m Le module Utilisateurs et groupes peut créer le fichier automatiquement. On appelle ce processus exportation d’utilisateurs et de groupes. m Vous pouvez également créer le fichier manuellement. Consultez la rubrique “Formats de fichiers pour l’importation ou l’exportation d’utilisateurs et groupes” à la page 343 pour obtenir une description du format de fichier et des instructions à ce sujet. Vous trouverez des instructions complémentaires sur l’utilisation du module Utilisateurs et groupes pour l’importation et l’exportation d’utilisateurs et de groupes dans l’aide à l’écran. Configuration du montage automatique des répertoires d’accueil Le répertoire d’accueil d’un utilisateur apparaît automatiquement lorsque celui-ci choisit Retour dans le menu Aller du Finder. Vous pouvez également faire en sorte que les répertoires d’accueil apparaissent automatiquement aux utilisateurs du réseau. Pour configurer le montage automatique des répertoires d’accueil des utilisateurs du réseau, procédez comme suit : Étape 1 : Configurez NetInfo Créez un domaine partagé NetInfo sur le serveur pour le stockage des répertoires d’accueil. Le domaine doit faire partie de la politique de recherche des ordinateurs Mac OS X sur lesquels vous souhaitez activer le montage automatique. Consultez le chapitre 2, intitulé “Services de répertoire”, à la page 45 pour obtenir des informations sur la définition de domaines NetInfo et de politiques de recherche. Étape 2 : Configurez un point de partage sur le serveur Le module Partage d’Admin Serveur vous permet de créer un point de partage sur le serveur et de le configurer en montage automatique (à la page 87). Consultez l’aide à l’écran pour obtenir des instructions particulières. 76 Chapitre 3 Étape 3 : Assurez-vous que la déconnexion automatique n’est pas appliquée aux utilisateurs Pour que les utilisateurs qui n’emploient pas le serveur pendant un certain temps ne soient pas déconnectés, utilisez le module de service de fichiers Apple d’Admin Serveur. Dans l’onglet Utilisateurs inactifs, ne sélectionnez pas l’option “Déconnecter les utilisateurs inactifs après _ minutes.” Reportez-vous à la page 100 pour obtenir des informations complémentaires sur ce réglage. Étape 4 : Définissez les utilisateurs et leurs répertoires d’accueil Le module Utilisateurs & groupes d’Admin Server vous permet de définir des utilisateurs et des alias, si nécessaire, dans le domaine partagé NetInfo créé lors de l’étape 1. Lorsque vous configurez les répertoires d’accueil de l’utilisateur, choisissez le point de partage configuré lors de l’étape 2. Limitations des mots de passe du Mac OS X Server La plupart des applications et services Mac OS X Server pour lesquels des mots de passe sont requis gèrent les mots de passe ASCII à 7 ou 8 bits sans espaces initiaux ou suivis. Utilisez le tableau ci-dessous pour savoir si vous devez tenir compte de ces restrictions lorsque vous définissez des mots de passe pour les utilisateurs du serveur : Service ou application Mots de passe ASCII à 7 bits acceptés Mots de passe ASCII à 8 bits acceptés Service de fichiers Apple X X Service FTP X IMAP X X (certains clients IMAP) Gestionnaire Macintosh X X POP3 X Admin Serveur X Service web X Services Windows X Mots de passe bi-octets acceptés X Utilisateurs et groupes 77 Résolution des problèmes rencontrés avec les utilisateurs et groupes Si les utilisateurs ne parviennent pas à accéder aux fichiers de leurs répertoires d’accueil : Vérifiez que les utilisateurs ont accès aux répertoires d’accueil ainsi qu’au point de partage qui les héberge. Les utilisateurs ont besoin d’un accès en lecture pour le point de partage et d’un accès en lecture et en écriture pour leurs répertoires d’accueil. Si un utilisateur Mac OS X défini dans un domaine partagé NetInfo ne parvient pas à se connecter : Ce problème survient lorsqu’un utilisateur tente de se connecter à un ordinateur Mac OS X en utilisant un compte situé dans un domaine partagé NetInfo, mais que le serveur hébergeant le domaine n’est pas accessible. L’utilisateur peut se connecter à l’ordinateur Mac OS X en utilisant le compte d’utilisateur local créé automatiquement lors de la configuration de l’ordinateur en vue d’utiliser un compte NetInfo. Le nom d’utilisateur est “administrateur” (nom abrégé “admin”) et le mot de passe celui de NetInfo. 78 Chapitre 3 C H A P I T R E 4 4 Partage Qu’est-ce que le partage ? Le module de partage de Mac OS X Server vous permet de désigner les informations que vous désirez partager avec les autres et d’attribuer des autorisations d’accès afin de contrôler qui peut utiliser et voir ces informations. Les éléments partagés se trouvent dans un ou plusieurs points de partage. Un point de partage est un dossier, disque dur (ou partition de disque dur) ou CD accessible via le réseau. Il s’agit du point d’accès au premier niveau d’un groupe d’éléments partagés. Les utilisateurs visualisent les points de partage sous la forme de volumes montés sur le bureau ou de volumes du Finder de Mac OS X. Les autorisations sont les niveaux d’accès que vous attribuez à tous les éléments que vous désirez partager avec des utilisateurs. Vous utiliserez le module de partage d’Admin Serveur pour configurer les points de partage et les autorisations utilisées par d’autres services, comme le service de fichiers Apple, les services Windows (SMB), le service NFS (Network File System) et le service FTP (File Transfer Protocol). Remarque : le serveur Enchaînement QuickTime et le service Web comportent leurs propres réglages d’autorisations. Vous trouverez des informations supplémentaires au sujet du serveur d’Enchaînement QuickTime au chapitre 9. Vous trouverez les informations relatives aux autorisations Web dans la section “Réglages d’accès pour sites Web” à la page 145. Avant d’attribuer des autorisations Avant d’attribuer des autorisations, vous devez comprendre le fonctionnement des autorisations pour les éléments partagés. Il importe également de déterminer quels sont les utilisateurs qui ont besoin d’accéder aux éléments partagés et le type d’autorisations que vous désirez leur attribuer. 79 Autorisations explicites Les points de partage et les éléments partagés (y compris les fichiers) disposent d’autorisations qui leur sont propres. Si vous déplacez un élément dans un autre dossier, il conserve ses autorisations et n’adopte pas nécessairement les autorisations du dossier où vous l’avez déplacé. Dans l’illustration ci-dessous, le deuxième point de partage (le dossier Designs) et le troisième point de partage (Documents) ont reçu des autorisations différentes de celles de leurs dossiers “parents” : Lecture et écriture Ingénierie Lecture seule Lecture et écriture Création Documents Types d’autorisations Il existe quatre types d’autorisations d’accès attribuables à des points de partage, des dossiers ou des fichiers : Lecture et écriture, Lecture seule, Écriture seule et Aucune. Le tableau cidessous montre la façon dont les autorisations d’accès affectent l’accès des utilisateurs à différents types d’éléments partagés (fichiers, dossiers et points de partage). 80 Chapitre 4 Les utilisateurs peuvent accéder à Lecture et écriture Lecture seule Écriture seule Aucun Ouvrir un fichier partagé Oui Oui Non Non Copier un fichier partagé Oui Oui Non Non Modifier le contenu d’un fichier partagé Oui Non Non Non Ouvrir un dossier partagé ou un point de partage Oui Oui Non Non Copier un dossier partagé ou un point de partage Oui Oui Non Non Déplacer des éléments dans un dossier partagé ou un point de partage Oui Non Oui Non Déplacer des éléments hors d’un dossier partagé ou d’un point de partage Oui Non Non Non Vous pouvez attribuer les autorisations “Écriture seule” à un dossier afin de créer une boîte de remise.Le possesseur du dossier peut consulter et modifier le contenu de la boîte de remise; les autres utilisateurs peuvent seulement y copier des fichiers et des dossiers et non pas accéder à son contenu. Catégories d’utilisateurs Vous pouvez affecter des autorisations d’accès séparément à trois catégories d’utilisateurs : Possesseur Un utilisateur qui crée un élément nouveau (fichier ou dossier) sur le serveur de fichiers en est le possesseur et dispose automatiquement d’autorisations de lecture et écriture sur ce dossier. Le possesseur d’un élément et l’administrateur de serveur sont les seuls utilisateurs habilités à en modifier les autorisations d’accès. L’administrateur ou le possesseur d’un élément peut transmettre sa proprieté de l’élément partagé à un autre utilisateur. Groupe Vous pouvez placer dans des comptes de groupes les utilisateurs qui doivent posséder les mêmes autorisations d’accès à des fichiers et dossiers. Les autorisations d’accès à un élément partagé ne peuvent être attribuées qu’à un seul groupe. Pour plus de détails sur la création de groupes, consultez le chapitre 3, intitulé “Utilisateurs et groupes”, à la page 61. Tous Par Tous, on entend tout utilisateur pouvant se connecter au serveur de fichiers : tels les utilisateurs référencés, les invités, les utilisateurs FTP anonymes et les visiteurs de sites Web. Hiérarchie des autorisations Si un utilisateur est inclus dans plusieurs catégories d’utilisateurs disposant chacune d’autorisations différentes, les règles suivantes s’appliquent : m Les autorisations de groupe prévalent sur les autorisations de Tous. m Les autorisations de possesseur prévalent sur les autorisations de Groupe. Par exemple, lorsqu’un utilisateur est à la fois possesseur d’un élément partagé et membre d’un groupe qui lui est attribué, il dispose des autorisations attribuées au possesseur. Utilisateurs et autorisations client Les utilisateurs ont la possibilité de définir certaines autorisations pour des fichiers ou dossiers qu’ils créent sur le serveur, ou sur des dossiers partagés de leur bureau. Les utilisateurs du logiciel client AppleShare peuvent établir des autorisations pour les dossiers dont ils sont possesseurs. Les utilisateurs du partage de fichiers Windows peuvent définir des propriétés de dossier mais non des autorisations. Partage 81 Problèmes de sécurité La sécurité de vos donnés et de votre réseau est extrêmement importante. La méthode la plus efficace pour garantir la sécurité de votre réseau consiste à attribuer des autorisations spécifiques pour chaque fichier, dossier et point de partage lors de leur création. Soyez vigilant lors de la création et de l’octroi d’un accès aux points de partage, tout spécialement si vous êtes connecté à Internet. L’octroi d’un accès à Tous ou encore à Monde (dans le service NFS) pourrait mettre vos données à disposition de tout utilisateur d’Internet. Restriction d’accès aux utilisateurs non référencés (Invités) Lorsque vous configurez un service de fichiers quelconque, vous avez la possibilité d’activer l’accès en invité. Les invités sont des utilisateurs pouvant se connecter au serveur de manière anonyme sans avoir besoin de saisir de nom ou mot de passe d’utilisateurs valides. Il n’est possible de se connecter anonymement que pour accéder aux fichiers et dossiers dont les autorisations sont réglées sur Tous. Pour protéger vos données de tout accès non autorisé et pour empêcher toute introduction de logiciels susceptibles d’endommager vos données ou votre matériel, vous pouvez prendres les précautions suivantes à l’aide du module Partage d’Admin Serveur : m Partagez des dossiers individuels plutôt que des volumes complets. Ces dossiers ne doivent contenir que les éléments que vous souhaitez partager. m Pour les fichiers et dossiers auxquels ne doivent pas accéder les utilisateurs invités, réglez sur Aucun les autorisations pour Tous. Seuls le possesseur ou le groupe d’un élément doté de ce réglage d’autorisation peuvent y accéder. m Placez tous les fichiers disponibles aux invités dans un seul dossier ou groupe de dossiers. Attribuez l’autorisation Lecture seule à la catégorie Tous pour ce dossier et tous les fichiers qu’il contient. m Attribuez l’autorisation Lecture et écriture à la catégorie Tous pour un dossier seulement si les invités doivent pouvoir modifier ou ajouter des éléments dans ce dossier. Veillez à conserver une copie de sauvegarde des données de ce dossier. Consultez-le fréquemment afin de vérifier les changements et ajouts pouvant y avoir lieu et afin de détecter des virus éventuels à l’aide d’un logiciel antivirus. m Veillez à vérifier régulièrement les modifications et ajouts effectués dans les dossiers ainsi que la présence de virus sur le serveur à l’aide d’un programme antivirus. m Désactivez les accès FTP anonymes à l’aide du module FTP d’Admin Serveur. m Veillez à n’exporter aucun volume NFS vers Monde. Limitez les exportations à un ensemble d’ordinateurs spécifique. 82 Chapitre 4 Première configuration de partage Le module de Partage d’Admin Serveur vous permet de créer des points de partage et des éléments partagés et de définir pour eux des autorisations. Lorsque vous créez des autorisations, vous devez également utiliser le module Utilisateurs et groupes d’Admin Serveur pour trouver des groupes. Pour configurer le partage pour la première fois, procédez comme suit. Si vous avez besoin d’une aide supplémentaire pour exécuter l’une de ces démarches, cliquez sur Partage dans Admin Serveur, puis choisissez Aide. Étape 1 : Activation du service de fichiers Si vous administrez le serveur à distance et que vous désirez sélectionner des points de partage et créer des autorisations, le service de fichiers Apple doit être activé. Vous pouvez le vérifier aisément. Dans Admin Serveur, cliquez sur l’onglet Fichiers et impression. Quand un service est activé, un globe apparaît sur son icône. Si le globe n’apparaît pas sur le service de fichiers désiré, cliquez sur son icône puis choisissez l’élément “Démarrer” du menu. Étape 2 : Création d’un point de partage Si ce n’est déjà fait, créez l’élément que vous souhaitez partager. Il est recommandé de partitionner un disque en volumes pour attribuer à chacun de ces volumes des autorisations d’accès différentes ou de créer des dossiers présentant des niveaux d’accès distincts. Pour créer un nouveau dossier, ouvrez le disque ou dossier où vous désirez le placer. Choisissez Nouveau dossier dans le Menu Fichier et donnez un nom au nouveau dossier. Étape 3 : Définissez les autorisations des points de partage Cliquez sur l’onglet Général, puis sur Partage et choisissez Définir les attributs de partage. Sélectionnez l’élément que vous souhaitez partager, puis cliquez sur Choisir. La fenêtre de partage des points de partage, où vous pourrez définir les niveaux d’accès désirés, s’affiche. Partage 83 Pour attribuer à un utilisateur ou à un groupe un accès au point de partage, cliquez sur Utilisateurs et groupes et choisissez “Afficher la liste des utilisateurs et groupes” ou “Rechercher les utilisateurs et groupes”. Si vous choisissez Rechercher, effectuez une recherche l’utilisateur ou du groupe désiré. Faites ensuite glisser leur nom vers les champs correspondants dans la fenêtre de partage. Choisissez les autorisations d’accès pour Possesseur, Groupe et Tous dans le menu local situé à côté de chaque champ. Les autorisations que vous attribuez sont utilisées par le service de fichiers Apple, les services Windows et le service FTP. Réglages de Partage La fenêtre de partage vous permet de définir des autorisations d’accès pour des points de partage. Pour accéder à cette fenêtre, cliquez sur Partage dans Admin Serveur. Effectuez ensuite l’une des opérations suivantes : m Choisissez Définir les attributs de partage, sélectionnez un élément, puis cliquez sur Choisir. m Choisissez Afficher les disques et points de partage, sélectionnez un élément, puis cliquez sur Autorisations. Choisissez Général, Automontage ou Contrôle d’accès NFS dans le menu local pour définir les autorisations d’un élément partagé. Les réglages compris dans chaque panneau sont décrits dans les sections ci-dessous. 84 Chapitre 4 Réglages généraux Le panneau Général vous permet de définir des autorisations d’accès pour des points de partage et des éléments partagés. Partager cet élément et son contenu Sélectionnez cette option pour configurer le point de partage pour l’accès AFP, Windows et FTP. En ce qui concerne la configuration pour l’accès NFS, consultez “Réglages Contrôle d’accès à NFS” à la page 88. Vous pouvez partager un élément pour l’une ou l’autre de ces stratégies d’accès, ou pour les deux. Possesseur Faites glisser sur ce champ un utilisateur à partir de la liste Utilisateurs et groupes d’Admin Serveur. Le possesseur par défaut est la personne qui a créé l’élément. Partage 85 Groupe Faites glisser sur ce champ un groupe à partir de la liste Utilisateurs et groupes d’Admin Serveur. Si vous ne voulez autoriser l’accès à aucun groupe, réglez les autorisations d’accès de Groupe sur Aucun. Tous Par Tous, on entend tout utilisateur pouvant se connecter au serveur de fichiers : tels les utilisateurs référencés, les invités, les utilisateurs FTP anonymes et les visiteurs de sites Web. Si vous ne voulez autoriser l’accès à personne, réglez les autorisations d’accès de Tous sur Aucun. Autorisations Choisissez les niveaux d’accès pour Possesseur, Groupe et Tous dans le menu local situé à droite de chaque catégorie d’utilisateur. Copier Cliquez sur ce bouton pour copier les autorisations d’un point de partage dans tous les éléments (fichiers et dossiers) qu’il contient. Ceci prévaut sur les autorisations éventuellement définies par d’autres utilisateurs. 86 Chapitre 4 Réglages d’automontage Le panneau Montage auto vous permet de configurer le montage automatique de points de partage (et non de fichiers) pour les services de fichiers Apple ou NFS. Pour accéder à ce panneau, sélectionnez un élément partagé dans la fenêtre des Disques et points de partage et cliquez sur Autorisations. Choisissez ensuite Automontage à partir du menu local situé sous le nom du point de partage. Automonter cet élément sur les clients du domaine Choisissez le domaine partagé NetInfo sur lequel vous souhaitez publier (ou monter automatiquement) cet élément partagé. Le point de partage sera monté automatiquement sur tout ordinateur configuré en vue de l’utilisation du domaine partagé. Le système vous demande de taper les nom et mot de passe d’un utilisateur autorisé à modifier le domaine. Une fois authentifié, cliquez sur “Automonter cet élément sur les clients du domaine”. Monter dynamiquement dans /Network/Servers Sélectionnez cette option si vous voulez que les utilisateurs clients visionnent des points de partage dans le dossier /Network/Servers de leur ordinateur. Lorsque l’utilisateur fait un double-clic sur un point de partage dans le dossier, le point de partage se monte sur le bureau de l’utilisateur ou sur le Finder (selon les réglages des Préférences système de l’utilisateur). Partage 87 Monter statiquement dans Sélectionnez cette option si vous souhaitez que le point de partage monte automatiquement lors du démarrage de l’ordinateur client. Choisissez l’emplacement où vous souhaitez que l’élément s’affiche. N’utilisez pas de montage statique pour les répertoires d’accueil. Options d’automontage Si vous avez configuré le point de partage en vue de l’accès via AFP et NFS, spécifiez le protocole à utiliser pour le montage du point de partage en cliquant sur l’un des boutons de commande. Réglages Contrôle d’accès à NFS Le panneau Contrôle d’accès NFS vous permet de configurer les exportations de point de partage NFS et leurs autorisations d’accès. La gestion par NFS de l’authentification diffère de celle des autres services de fichiers, puisqu’il consulte les adresses IP au lieu des nom et mot de passe d’utilisateur pour autoriser un accès. Les points de partage NFS sont exportés vers les ordinateurs clients valides et ensuite montés en tant que volumes dans un endroit spécifié par vous. Les exportations NFS peuvent également être des points de partage du service de fichiers Apple ou de services Windows, mais ce n’est pas obligatoire. Pour accéder aux réglages Contrôle d’accès NFS, cliquez sur Partage et choisissez Définir les attributs de partage. Sélectionnez l’élément que vous souhaitez partager, puis cliquez sur Choisir. Sélectionnez Contrôle d’accès NFS dans le menu local sous le nom de l’élément. Pour obtenir des renseignements sur les réglages, consultez la page 112. 88 Chapitre 4 Résolution de problèmes avec Partage Si des utilisateurs ne parviennent pas à trouver un élément partagé : Vérifiez les autorisations d’accès définies pour l’élément. Les utilisateurs doivent disposer au minimum de l’autorisation d’accès en lecture au point de partage où se trouve l’élément ainsi qu’à chacun des dossiers du chemin menant à l’élément. Remarque : les administrateurs de serveur ne visualisent pas les points de partage de la même manière que les utilisateurs, puisqu’ils peuvent visualiser tous les éléments sur le serveur. Pour visualiser les points de partage comme un utilisateur, connectez-vous avec le nom et le mot de passe d’un utilisateur. Si les utilisateurs ne parviennent pas à accéder à un CD-ROM : m vérifiez que vous avez défini le CD-ROM en tant que point de partage. m si vous partagez plusieurs CD, assurez-vous que le nom de chaque CD est unique. Partage 89 C H A P I T R E 5 5 Services de fichiers Que sont les services de fichiers ? Les services de fichiers permettent à vos utilisateurs client d’accéder aux fichiers, applications et autres ressources via un réseau. Admin Serveur sert à configurer ces services de fichiers, à les activer et les désactiver et à vérifier leur statut. Vous pouvez activer l’accès en invité (ou en utilisateur non référencé) pour chaque service à l’aide du module de celuici. En revanche, pour contrôler l’accès aux éléments que vous partagez, vous devez employer le module Partage de Admin Serveur. Pour plus de détails sur le partage, consultez le chapitre 4, intitulé “Partage”. Mac OS X Server comportent quatre services de fichiers : m Le service de fichiers Apple, qui utilise le protocole AFP (Apple Filing Protocol), vous permet de partager des ressources avec des clients utilisant Macintosh ou des systèmes d’exploitation compatibles Macintosh. m Les services Windows, qui utilisent le protocole SMB (Server Message Block), vous permettent de partager des ressources avec des clients utilisant Windows, ou tout système d’exploitation compatible Windows et de fournir un service de résolution du nom pour les clients Windows. m Le service NFS vous permet de créer des répertoires (dossiers) disponibles pour les utilisateurs de votre réseau possédant le logiciel client NFS. m Le service FTP (File Transfer Protocol) vous permet de partager des fichiers avec tout utilisateur de FTP. Avant d’installer les services de fichiers La sécurité de vos données et de votre réseau constituent les points essentiels à prendre en compte lors de la configuration des services de fichiers. 91 Définition d’autorisations de fichiers et dossiers Le mode de définition des autorisations pour des fichiers individuels représente la protection la plus efficace que vous puissiez garantir pour votre serveur. Dans Mac OS X, à chaque fichier correspond des réglages d’autorisation particuliers, indépendants de ceux de son dossier parent. Les utilisateurs peuvent définir des autorisations pour les fichiers et les dossiers qu’ils placent sur le serveur, et l’administrateur de serveur peut en faire de même pour les points de partage. Pour plus de détails sur la définition de points de partage et l’attribution d’autorisations d’accès, consultez le chapitre 4, intitulé “Partage”. Restriction d’accès aux utilisateurs invités Lors de la configuration de n’importe quel service de fichiers, vous avez la possibilité d’activer l’accès en invité. Les invités sont des utilisateurs qui peuvent se connecter au serveur de façon anonyme sans entrer un nom ou un mot de passe d’utilisateur valides. Il n’est possible de se connecter anonymement que pour accéder aux fichiers et dossiers dont les autorisations sont réglées sur Tous. Pour protéger vos informations de tout accès non autorisé ainsi que pour empêcher l’introduction de logiciels susceptibles d’endommager vos informations ou votre matériel, vous pouvez adopter les précautions suivantes à l’aide du module Partage d’Admin Serveur : m Partagez des dossiers individuels plutôt que des volumes complets. Ces dossiers ne doivent contenir que les éléments que vous souhaitez partager. m Pour les fichiers et dossiers auxquels ne doivent pas accéder les utilisateurs invités, réglez sur Aucun les autorisations pour Tous. Seuls le possesseur ou le groupe d’un élément doté de ce réglage d’autorisation peuvent y accéder. m Placez tous les fichiers disponibles aux invités dans un seul dossier ou groupe de dossiers. Attribuez l’autorisation Lecture seule à la catégorie Tous pour ce dossier et tous les fichiers qu’il contient. m Attribuez l’autorisation Lecture et écriture à la catégorie Tous pour un dossier seulement si les invités doivent pouvoir modifier ou ajouter des éléments dans ce dossier. Veillez à conserver une copie de sauvegarde des données de ce dossier. Consultez-le fréquemment afin de vérifier les changements et ajouts pouvant y avoir lieu et afin de détecter des virus éventuels à l’aide d’un logiciel antivirus. m Veillez à vérifier régulièrement les modifications et ajouts effectués dans les dossiers ainsi que la présence de virus sur le serveur à l’aide d’un programme antivirus. m Désactivez l’accès anonyme à FTP en utilisant le module FTP d’Admin Serveur. m Veillez à n’exporter aucun volume NFS vers Monde. Limitez les exportations à un ensemble d’ordinateurs spécifique. 92 Chapitre 5 Autorisation d’accès limitée aux utilisateurs référencés Si vous ne souhaitez pas autoriser des invités à accéder à votre serveur, assurez-vous que l’accès en invité est désactivé pour chacun des services de fichiers. Dans n’importe quel module de service, si Autoriser l’accès en invité est coché, l’accès en invité est activé. Cliquez alors sur la case pour désactiver l’accès en invité. Service de fichiers Apple Le service de fichiers Apple permet aux utilisateurs clients de Macintosh de se connecter à votre serveur et d’accéder aux dossiers et fichiers comme si ces derniers étaient placés sur leur propre ordinateur. Si vous connaissez déjà AppleShare IP 6.3, vous vous rendrez compte que le service de fichiers Apple de Mac OS X Server fonctionne de manière identique. Il utilise une nouvelle version du protocole AFP (Apple Filing Protocol), la version 3.0, qui gère de nouvelles caractéristiques telles que les noms de fichiers Unicode et les tailles de fichiers de 64 bits. Le nouveau service de fichiers Apple se distingue notamment par le fait qu’AppleTalk n’est plus désormais utilisé comme méthode de connexion. Les clients utilisant AppleTalk peuvent se servir du Sélecteur pour rechercher votre serveur sur le réseau mais doivent utiliser TCP/IP pour se connecter. Le service de fichiers Apple permet de gérer les noms de fichiers Unicode, un standard qui permet d’attribuer à chaque caractère un numéro unique sans tenir compte du langage ou du système d’exploitation utilisé pour afficher ce langage. Avant d’installer le service de fichiers Apple Si vous activez le service de fichiers Apple dans l’Assistant réglages de Mac OS X Server, votre serveur sera immédiatement disponible sur réseau. Cependant, les utilisateur ne pourront s’y connecter que lorsque vous aurez créé des points de partage avec les autorisations appropriées ainsi que des utilisateurs autorisés. Reportez-vous au le chapitre 4, intitulé “Partage” et le chapitre 3, intitulé “Utilisateurs et groupes” pour obtenir davantage d’informations sur ces sujets. Recherche de versions compatibles AppleShare Pour accéder à un serveur de fichiers Apple, la version 3.7 d’AppleShare, ou encore une version ultérieure, doit être installée sur les ordinateurs clients. Visitez le site Web d’assistance Apple www.apple/support/ pour trouver la dernière version du logiciel client AppleShare gérée par la version client Mac OS. Services de fichiers 93 Activation d’AppleTalk sur les ordinateurs clients Pour trouver le serveur de fichiers Apple via AppleTalk (en utilisant le Sélecteur), les utilisateurs clients doivent l’activer. Dans Mac OS X, ouvrez pour cela les Préférences Système et cliquez sur Réseau. Dans Mac OS 9 et dans les versions antérieures, utilisez le panneau de contrôle AppleTalk. Première installation du service de fichiers Apple Si vous avez demandé à l’Assistant réglages de configurer le service de fichiers Apple lors de l’installation de Mac OS X Server, vous pouvez dès à présent utiliser le service de fichiers Apple. Toutefois, vérifiez que ses réglages par défaut correspondent à l’ensemble de vos besoins. Si vous n’avez pas configuré le service de fichiers Apple lors de l’installation de Mac OS X Server, vous avez la possibilité de le faire maintenant. Étape 1 : Configuration du service de fichiers Apple Dans Admin Serveur, cliquez sur l’onglet Fichiers et impression, puis cliquez sur Apple et choisissez Configurer le service de fichiers Apple. Cliquez sur chacun des quatre onglets de la fenêtre Réglages du service de fichiers Apple et procédez aux réglages que vous souhaitez. Pour une description des réglages disponibles, consultez “Réglages du service de fichiers Apple” à la page 94. Étape 2 : Démarrage du service de fichiers Apple Cliquez sur Apple et choisissez Démarrer le service de fichiers Apple. Quand ce service est activé, un globe apparaît sur l’icône du service. Étape 3 : Création d’autorisations pour points de partage, utilisateurs et groupes Vous devez définir des autorisations d’accès pour les points de partage (dossiers et disques partagés) que vous souhaitez rendre disponibles sur votre serveur. Vous devez également attribuer des autorisations aux utilisateurs et groupes auxquels vous souhaitez donner accès à vos informations. Vous trouverez des explications sur la réalisation de ces tâches dans le chapitre 4, intitulé “Partage” et le chapitre 3, intitulé “Utilisateurs et groupes”. Réglages du service de fichiers Apple Pour accéder aux réglages du service de fichiers Apple, cliquez sur l’onglet Fichiers et impression, puis sur Apple et choisissez Configurer le service de fichiers Apple. Cliquez sur chacun des quatre onglets pour visualiser les réglages de ce panneau. Les réglages compris dans chaque panneau sont décrits dans les sections ci-dessous. 94 Chapitre 5 Réglages généraux Utilisez le panneau Général pour définir des informations d’identification pour votre serveur, activer le démarrage automatique et créer un message de connexion. Pour accéder au panneau Général, cliquez sur Apple et choisissez Configurer le service de fichiers Apple. Nom du serveur Tapez le nom que les utilisateurs visualiseront lors de l’utilisation du Sélecteur ou de l’Explorateur réseau. Le nom indiqué doit être unique parmi tous les ordinateurs connectés au réseau. Si vous laissez ce champ en blanc, le serveur se référencera sur le réseau avec son adresse IP et son nom DNS s’y affichera. Démarrer le serveur au démarrage du système Sélectionnez cette option pour vous assurer que les services de fichiers resteront disponibles même si le serveur fait l’objet d’un redémarrage à la suite d’une panne de courant ou de tout autre événement imprévu. Il est conseillé d’activer cette option dans la plupart des cas. S’inscrire auprès de Network Service Locator Sélectionnez cette option si vous souhaitez autoriser les utilisateurs à voir ce serveur dans le panneau “Connecter au serveur” de Mac OS X ou dans l’Explorateur de réseau de Mac OS 9. Cette option est disponible pour les ordinateurs clients sur lesquels est installé Mac OS 9 ou une version ultérieure. Si vous activez cette option, vous devez également activer la multidiffusion IP sur le routeur de votre réseau. Voir le chapitre 12, intitulé “Services de réseau” pour plus d’informations sur le protocole SLP (Service Location Protocol) et la multidiffusion IP. Consultez la page 293 pour obtenir des informations sur les capacités de client et de routeur. Services de fichiers 95 Message d’accueil Tapez le message que les utilisateurs visualiseront lors de la connexion. Remarque : si le message d’accueil ne s’affiche pas pour un utilisateur, mettez à jour le logiciel sur son ordinateur. Les ordinateurs clients doivent utiliser le logiciel client AppleShare version 3.7 ou ultérieure. Ne pas envoyer le même message 2 fois au même destinataire Sélectionnez cette option si vous souhaitez que les utilisateurs ne puissent voir qu’une seule fois le message d’accueil. Si vous modifiez ce message, les utilisateurs pourront voir le nouveau message la prochaine fois qu’ils se connecteront au serveur. Réglages d’accès Utilisez le panneau Accès pour configurer les connexions clients et les accès en invité. Pour trouver ce panneau, cliquez sur Apple et choisissez Configurer le service de fichiers Apple, puis cliquez sur l’onglet Accès. Autoriser l’accès en invité Sélectionnez cette option si vous souhaitez autoriser les utilisateurs non référencés à accéder au serveur de fichiers. L’accès en invité est une façon pratique de fournir aux utilisateurs occasionnels l’accès aux fichiers et autres éléments pour lesquels ont été définies les autorisations appropriées. 96 Chapitre 5 Nb. maximum de connexions clients (invités compris) Sélectionnez Illimité si vous ne désirez pas limiter le nombre d’utilisateurs susceptibles de se connecter en même temps à votre serveur. Si vous utilisez votre serveur pour proposer divers services, vous pouvez accroître ses performances en limitant le nombre de connexions clients. Pour cela, cliquez sur le bouton situé sous l’option Illimité et tapez le nombre de connexions que vous voulez définir comme limite. Nb. maximum de connexions en invités Sélectionnez Illimité si vous autorisez l’accès en invité et ne souhaitez pas limiter le nombre d’utilisateurs invités susceptibles de se connecter simultanément à votre serveur. Si vous souhaitez spécifier un nombre maximum de connexions clients pouvant être utilisées par les invités, cliquez sur le bouton situé sous l’option Illimité et tapez le nombre de connexions que vous voulez autoriser. Autoriser les clients à parcourir à l’aide d’AppleTalk Sélectionnez cette option si vous voulez que les utilisateurs clients puissent trouver votre serveur de fichiers à l’aide du Sélecteur. Pour trouver le serveur à l’aide du Sélecteur, AppleTalk doit être activé à la fois sur l’ordinateur client et sur le serveur. Codage des clients anciens Choisissez pour le serveur une chaîne de caractères correspondante au jeu de caractères utilisé par vos utilisateurs clients. Lorsque des clients Mac OS 9 et antérieurs sont connectés, le serveur convertit les noms de fichiers à partir du UTF-8 du système de façon à ce qu’ils prennent la forme du jeu sélectionné. Services de fichiers 97 Réglages de consignation Utilisez le panneau Consignation pour configurer et gérer les historiques du service de fichiers Apple. Pour y accéder, cliquez sur Pomme et choisissez Configurer le service de fichiers Apple, puis cliquez sur l’onglet Consignation. Activer l’historique des accès Sélectionnez cette option si vous souhaitez créer un historique des accès. L’historique des accès conserve les informations concernant n’importe quelle opération que vous sélectionnez. Le fichier d’historique n’est limité que par la quantité d’espace disque disponible. Bien sûr, plus vous sélectionnez d’opérations et plus le fichier d’historique est important. Lorsque vous choisissez des opérations à consigner, pensez à la taille du disque de votre serveur. Archiver tous les _ jours Sélectionnez cette option si vous voulez spécifiez la fréquence d’archivage du contenu du fichier d’historique. Une fois que vous avez tapé le nombre de jours voulu, le serveur ferme le fichier d’historique, le renomme de façon à ce qu’il comporte la date du jour, puis ouvre un nouveau fichier d’historique. Vous pouvez garder les historiques archivés pour vos fiches, ou les supprimer lorsqu’ils ne vous sont plus nécessaires afin de libérer de l’espace disque. Le réglage par défaut est de sept jours. Sélectionner les opérations à inclure dans l’historique Sélectionnez les opérations que vous souhaitez que le service de fichiers Apple consigne. Les entrées sont consignées à chaque fois qu’un utilisateur réalise l’une des actions que vous avez sélectionnées. 98 Chapitre 5 Historique des erreurs : Archiver tous les _ jours Sélectionnez cette option si vous souhaitez spécifier la fréquence d’enregistrement dans un dossier d’archives du contenu du fichier de l’historique des erreurs. Une fois que vous avez tapé le nombre de jours voulu, le serveur ferme le fichier d’historique, le renomme de façon à ce qu’il comporte la date du jour, puis ouvre un nouveau fichier d’historique. Vous pouvez garder les historiques archivés pour vos fiches, ou les supprimer lorsqu’ils ne vous sont plus nécessaires afin de libérer de l’espace disque. Le réglage par défaut est de sept jours. Réglages des utilisateurs inactifs Utilisez le panneau Utilisateurs inactifs pour configurer et administrer les réglages des utilisateurs inactifs. Les “utilisateurs inactifs” sont des utilisateurs connectés au serveur mais qui n’ont pas utilisé son volume depuis un certain temps. Pour accéder au panneau Utilisateurs inactifs, cliquez sur Apple et choisissez Configurer le service de fichiers Apple, puis cliquez sur l’onglet Utilisateurs inactifs. Traiter clients comme actifs durant _ h. de suspension Sélectionnez cette option si vous ne voulez pas que le serveur déconnecte les ordinateurs clients en mode veille. Le mode veille permet à l’ordinateur client d’utiliser très peu de courant électrique. Les ordinateurs sur lesquels est installé le logiciel Économies d’énergie peuvent être mis en veille après une période d’inactivité. Services de fichiers 99 Déconnecter les utilisateurs inactifs après _ minutes Sélectionnez cette option si vous souhaitez déconnecter les utilisateurs inactifs après une période de temps spécifique. Cela permet de garantir que les ressources du serveur soient disponibles aux utilisateurs actuels. De plus, les utilisateurs non autorisés peuvent ainsi être empêchés d’utiliser un ordinateur laissé sans surveillance pour accéder à des informations sur le réseau. Sauf Sélectionnez les utilisateurs qui ne devront pas être déconnectés : m Invités m Utilisateurs référencés (tous les utilisateurs qui ne sont pas également administrateur ou invité) m Administrateurs m Utilisateurs inactifs ayant des fichiers ouverts Si vous ne sélectionnez pas la dernière option, tout utilisateur inactif (invité, utilisateur référencé ou administrateur) ayant ouvert des fichiers sera déconnecté et perdra les changements qu’il n’a pas sauvegardés dans sont travail. Important Message de déconnexion Tapez le message que vous souhaitez que vos utilisateurs visualisent lorsqu’ils se déconnectent. Si vous ne tapez aucun message, un message par défaut apparaît indiquant que l’utilisateur a été déconnecté en raison de l’inactivité de la connexion pendant un laps de temps déterminé. Les ordinateurs clients ne sont pas tous aptes à afficher des messages de déconnexion. Résolution des problèmes du service de fichiers Apple Si les utilisateurs ne peuvent trouver le serveur de fichiers : m Assurez-vous que les réglages réseau sont corrects sur l’ordinateur de l’utilisateur ainsi que sur l’ordinateur exécutant le service de fichiers Apple. Si vous ne pouvez pas vous connecter à d’autres ressources de réseau à partir de l’ordinateur de l’utilisateur, peutêtre la connexion réseau ne fonctionne-t-elle pas. m Assurez-vous que le serveur de fichiers est activé. Vous pouvez utiliser un utilitaire “pinging” pour vérifier si le serveur est en marche. m Si l’utilisateur recherche le serveur via AppleTalk (dans le Sélecteur), assurez-vous d’avoir activé la navigation à l’aide d’AppleTalk dans le panneau Accès de la fenêtre des réglages du serveur de fichiers Apple, et qu’AppleTalk est activé à la fois sur le serveur et sur l’ordinateur de l’utilisateur. m Vérifiez le nom que vous avez attribué au serveur de fichiers afin de vous assurer que les utilisateurs recherchent le nom correct. 100 Chapitre 5 Si un utilisateur ne peut se connecter au serveur de fichiers : m Assurez-vous que l’utilisateur a tapé les nom et mot de passe d’utilisateur corrects. Le respect des majuscules est inutile dans le nom, mais impératif dans le mot de passe. m Veillez à ce que la connexion de cet utilisateur soit activée dans le module Utilisateurs et groupes de Admin Serveur. m Vérifiez si le nombre maximum de connexions clients a été atteint (dans la fenêtre d’état du service de fichiers Apple). Si c’est le cas, les autres utilisateurs devront tenter de se connecter ultérieurement. m Assurez-vous que le serveur qui stocke les utilisateurs et groupes est en service. m Vérifiez que AppleShare 3.7 ou une version ultérieure est installé sur l’ordinateur de l’utilisateur. m Assurez-vous que le service de filtres IP est configuré de manière à permettre l’accès au port 548 si l’utilisateur tente de se connecter au serveur à partir d’un site distant. Pour en savoir plus sur les filtres IP, consultez “Service de filtres IP” à la page 316. Spécifications du service de fichiers Apple Nombre maximum d’utilisateurs connectés, en fonction de votre licence d’utilisation Illimité (selon le matériel) Taille de volume maximale 2 tétraoctets Numéro de port TCP 548 Emplacement du fichier d’historique /Library/Logs dans le dossier de service de fichiers Apple Services de fichiers 101 Services Windows Les services Windows dans Mac OS X Server proposent quatre services aux clients Windows, sans requérir de logiciel supplémentaire. Ces services sont : m le service de fichiers, qui permet aux clients Windows de se connecter à Mac OS X Server à l’aide du protocole Server Message Block (SMB) via TCP/IP m le service d’impression, qui se sert également du protocole SMB pour que les clients Windows puissent imprimer sur des imprimantes PostScript sur le réseau m WINS ( Windows Internet Naming Service), qui permet aux clients de sous-réseaux multiples d’effectuer la résolution de nom et d’adresse m la navigation, qui permet aux clients de rechercher sur les sous-réseaux des serveurs disponibles Les services Windows utilisent Unicode (un standard qui se sert d’identifiants de 16 bits pour n’importe quel caractère) afin d’afficher le langage correct pour le client. Les anciens ordinateurs clients n’utilisant pas Unicode, les services Windows gèrent des pages de codes Samba, qui traduisent les textes Unicode dans la langue que l’utilisateur a spécifiée. Avant d’installer les services Windows Si vous envisagez de proposer des services Windows sur votre Mac OS X Server, consultez les sections ci-après pour être informé des aspects importants à envisager. Pour en savoir plus sur les capacités du logiciel client, il est préférable que vous vérifiez la documentation Microsoft de votre version Windows. Quel est ce dont vous avez besoin pour gérer les clients Windows Pour gérer vos clients Windows, vous n’avez besoin que du logiciel de votre Mac OS X Server. À la différence des produits serveur Apple antérieurs, Mac OS X Server est fourni avec des services de navigation et de résolution de nom intégrés pour vos ordinateurs clients Windows. Vous pouvez activer WINS sur votre serveur ou vous inscrire sur un serveur WINS déjà existant. Les services Windows sur Mac OS X Server proposent également les services Windows Master Browser et Domain Master Browser. Ceci signifie que vous n’avez plus besoin d’un serveur Windows ou d’un contrôleur principal de domaine sur votre réseau pour permettre aux utilisateurs Windows de voir votre serveur dans la fenêtre Voisinage réseau. En outre, vos clients Windows peuvent être placés sur un sous-réseau différent de celui de votre serveur. 102 Chapitre 5 Assurer la meilleure interopérabilité possible Les ordinateurs Mac OS et Windows stockent et mettent à jour les fichiers de façon distincte. Pour assurer la meilleure interopérabilité possible, il est souhaitable que vous définissiez au moins un point de partage à l’usage exclusif des utilisateurs Windows. De plus, vous pouvez améliorer le travail de l’utilisateur en suivant les instructions suivantes : m Utilisez des versions de logiciel d’application comparables sur les deux plate-formes. m Ne modifiez les fichiers qu’avec l’application avec laquelle ils ont été créés. m Limitez les noms de fichiers à 31 caractères. m N’utilisez pas de symboles ou de caractères accentués dans les noms des éléments partagés. Validation de mots de passe d’utilisateurs Windows Mac OS X Server propose deux techniques pour la validation des mots de passe d’utilisateurs Windows : m Validation de mots de passe cryptés : la plus courante car la plus sûre, cette technique est aussi la technique par défaut gérée par les ordinateurs Windows sur un réseau local (LAN). Cette technique permet la transmission de mots de passe cryptés entre un ordinateur Windows et Mac OS X Server. Si vous souhaitez utiliser la validation de mot de passe brouillé, vous devez activer Gestionnaire d’authentification pour tous les domaines de votre hiérarchie NetInfo et définir une clé de cryptage pour chaque domaine. Une fois Gestionnaire d’authentification activé, une propriété tim_passwd est stockée dans les enregistrements utilisateur NetInfo. Elle peut être décryptée pour obtenir le mot de passe cleartext à l’aide de la clé de cryptage, qui est stockée sur le serveur dans un fichier lisible uniquement par la racine. m Validation de mot de passe cleartext. Cette technique ne peut être utilisée que lorsque la transmission cryptée d’informations d’authentification utilisateur est sans importance. Les ordinateurs Windows doivent être configurés de manière individuelle en vue de reconnaître la validation de mot de passe cleartext. Consultez la documentation Windows pour obtenir des informations sur la configuration de la validation de mot de passe cleartext. Lorsque vous utilisez la validation de mot de passe cleartext, les mots de passe ne sont pas stockés dans un format récupérable. La valeur du mot de passe NetInfo, associée à la propriété passwd, est obtenue à l’aide d’un “one-way” hash, qui n’est pas facile à décoder. Le “one-way” hash garantit qu’à chaque utilisation pour le même mot de passe, le résultat est le même. Services de fichiers 103 Pour configurer la validation de mot de passe crypté, activez Gestionnaire d’authentification sur chaque ordinateur Mac OS X appartenant à la hiérarchie. Consultez Guide d’apprentissage et d’utilisation de NetInfo, disponible à l’adresse www.apple.com/fr/macosx/ server/, pour obtenir des informations complètes sur la configuration du Gestionnaire d’authentification. Première installation des services Windows Pour installer les services Windows, il vous suffit de les lancer. Bien que les réglages par défaut soient adaptés à la plupart des cas, vous pouvez les vérifier et modifier ceux qui ne conviennent pas à votre réseau. Pour une description des réglages qu’il est possible d’effectuer, voir la section “Réglages des services Windows” ci-après. Pour installer les services Windows pour la première fois, procédez comme suit. Pour toute instruction plus détaillée sur l’une de ces étapes, consultez l’aide à l’écran. Étape 1 : Configurez les services Windows Dans Admin Serveur, cliquez sur l’onglet Fichiers et impression, puis cliquez sur Windows et choisissez Configurer les services Windows. Cliquez sur chacun des quatre onglets de la fenêtre Réglages des services Windows pour examiner les réglages et les modifier éventuellement. Pour une description des réglages disponibles, consultez “Réglages des services Windows” ci-après. Étape 2 : Démarrez les services Windows Cliquez sur Windows et choisissez Démarrer le service de fichiers Windows. Quand ce service est activé, un globe apparaît sur l’icône du service. Étape 3 : Vérifiez les configurations client Après l’installation des services Windows, veillez à ce que vos ordinateurs clients Windows soit configurés pour pouvoir se connecter via TCP/IP. Si vous avez besoin de plus d’informations à ce sujet, consultez la documentation Windows concernant les réseaux. 104 Chapitre 5 Réglages des services Windows Pour accéder aux réglages des services Windows, cliquez sur l’onglet Fichiers et impression, puis cliquez sur Windows et choisissez Configurer les services Windows. Pour visualiser les réglages de ce panneau, cliquez sur chacun des quatre onglets. Les réglages compris dans chaque panneau sont décrits dans les sections ci-dessous. Réglages généraux Utilisez le panneau Général pour définir des informations d’identification pour votre serveur et activer le démarrage automatique. Pour accéder au panneau Général, cliquez sur Windows et choisissez Configurer les services Windows. Nom de serveur Tapez le nom du serveur que les utilisateurs visualiseront lorsqu’ils se connecteront. Le nom par défaut est le nom NetBIOS du serveur de fichiers Windows. Le nom ne doit pas compter plus de 15 caractères, sans caractères spéciaux ni ponctuation. Si vous trouvez cela pratique, faites correspondre le nom du serveur avec son nom d’hôte DNS non qualifié. Par exemple, si votre serveur DNS a une entrée “server.apple.com” pour votre serveur, donnez à votre serveur le nom de “serveur.” Groupe de travail Tapez le nom du groupe de travail que les utilisateurs pourront visualiser dans la fenêtre Voisinage de réseau. Si votre sous-réseau comporte des domaines Windows, utilisez l’un d’eux comme nom du groupe pour faciliter la communication entre sous-réseaux. Sinon, consultez votre administrateur de réseau Windows qui vous fournira le nom correct du groupe. Le nom d’un groupe de travail ne peut comporter plus de 15 caractères. Services de fichiers 105 Description Tapez une description comportant 43 caractères au maximum et qui ait du sens pour vous ou vos utilisateurs. Cette description, qui est facultative, apparaît dans la fenêtre Voisinage réseau des ordinateurs clients. Page code Choisissez la page code du langage qui sera utilisé par les ordinateurs clients. Démarrer les services Windows au démarrage du système Sélectionnez cette option pour vous assurer que les services de fichiers resteront disponibles même si le serveur fait l’objet d’un redémarrage à la suite d’une panne de courant ou de tout autre événement imprévu. Il est conseillé de choisir cette option dans la plupart des cas. Réglages d’accès Utilisez le panneau Accès pour autoriser l’accès en invité et définir le nombre maximum de connexions clients. Pour trouver le panneau Accès, cliquez sur Windows et choisissez Configurer les services Windows, puis cliquez sur l’onglet Accès. Autoriser l’accès en invité Sélectionnez cette option uniquement si vous souhaitez autoriser des utilisateurs non référencés à utiliser le partage de fichiers Windows. C’est une façon pratique de fournir aux utilisateurs occasionnels l’accès aux fichiers et autres éléments pour lesquels ont été définies les autorisations appropriées. 106 Chapitre 5 Connexions clients maximum Tapez le nombre maximum de connexions simultanées que vous désirez autoriser. Ce nombre est limité en fonction du type de licence de logiciel dont vous êtes propriétaire. Si vous utilisez votre serveur pour fournir de nombreux services, vous pouvez améliorer ses performances en réglant le nombre de connexions maximum sur une valeur inférieure à celle autorisée avec votre serveur. Réglages de consignation Utilisez le panneau Consignation pour déterminer le niveau de détail souhaité pour vos historiques. Pour accéder au panneau Consignation, cliquez sur Windows et choisissez Configurer les services Windows, puis cliquez sur l’onglet Consignation. Niveau de détail Choisissez le niveau de détail que vous désirez consigner. Plus la consignation sera détaillée, plus le fichier d’historique sera volumineux. Le tableau ci-dessous indique le niveau de détail obtenu pour chacune des options. Opérations consignées Aucun Minimal Maximal Démarrage et arrêt du serveur Non Oui Oui Tentatives et échecs de connexions Non Oui Oui Avertissements et erreurs Oui Oui Oui Inscription de nom de navigateur Non Oui Oui Opérations d’accès (ouverture, modification, lecture, etc. de fichiers) Non Non Oui Services de fichiers 107 Réglages de voisinage Utilisez le panneau Voisinage pour définir la résolution de noms et activer la navigation sur les sous-réseaux. Pour accéder au panneau Voisinage, cliquez sur Windows et choisissez Configurer les services Windows, puis cliquez sur l’onglet Voisinage. WINS Vous pouvez vous inscrire avec un serveur WINS, local ou externe. Vous avez le choix entre m Inactif : votre serveur ne s’inscrira ni sur un serveur WINS externe, ni sur un serveur de résolution de nom local. m Activer le serveur WINS : le serveur de fichiers fournira des services de résolution de noms locaux. Ceci permet aux clients se trouvant sur plusieurs sous-réseaux différents de réaliser la résolution d’adresses et de noms. m S’inscrire sur serveur WINS : choisissez ce réglage si vos clients Windows et votre serveur Windows ne se trouvent pas sur le même sous-réseau et si votre réseau est doté d’un serveur WINS. Tapez ensuite l’adresse IP ou le nom DNS du serveur WINS. Groupe de travail/domaine Vous pouvez décider d’activer les services de navigation de domaine. Vous avez le choix entre m Navigateur maître : permet la navigation et la découverte de serveurs sur un seul sousréseau m Navigateur maître du domaine : permet la navigation et la découverte de serveurs sur plusieurs sous-réseaux 108 Chapitre 5 Résolution des problèmes des services Windows Si les utilisateurs ne voient pas apparaître le serveur Windows dans le Voisinage réseau : m Assurez-vous que les ordinateurs des utilisateurs sont correctement configurés pour TCP/IP et qu’ils disposent du logiciel de mise en réseau Windows. m Activez l’accès en invité pour les utilisateurs Windows. m Allez sur l’invite DOS de l’ordinateur client et tapez “ping [adresse IP]” (“l’adresse IP” est l’adresse de votre serveur). Si le ping ne fonctionne pas, cela signifie qu’il existe un problème avec TCP/IP. m Si les ordinateurs des utilisateurs se situent sur un sous-réseau différent de celui du serveur, vous devez disposer d’un serveur WINS sur votre réseau. Remarque : si les ordinateurs Windows sont correctement configurés pour la mise en réseau et qu’ils sont connectés au réseau, les utilisateurs clients peuvent se connecter au serveur de fichiers même si son icône est invisible dans la fenêtre Voisinage de réseau. À ce propos, consultez “Connexion au serveur Windows sans le Voisinage réseau” de l’Aide Admin Serveur. Si un utilisateur ne parvient pas à se connecter : m Assurez-vous que le Gestionnaire d’authentification est activé pour le domaine NetInfo sur lequel réside la fiche de l’utilisateur ainsi que pour tous les autres domaines NetInfo de la hiérarchie NetInfo. m Définissez à nouveau le mot de passe utilisateur et retentez l’opération. m Activez l’authentification des utilisateurs Windows par la validation de mots de passe cleartext . Spécifications des services Windows Nombre maximum d’utilisateurs connectés, en fonction de votre licence d’utilisation 1000 Taille de volume maximale 2 téraoctets Numéro de port TCP 139 Numéros de port UDP 137, 138 Emplacement du fichier d’historique /Library/Logs dans le dossier Windows File Services Services de fichiers 109 Service NFS Le service de fichiers Apple, le partage de fichiers Windows et le service FTP permettent aux utilisateurs de se connecter sur les éléments partagés basés sur un nom d’utilisateur et un mot de passe. NFS fonctionne différemment, puisqu’il permet l’accès aux informations avec l’adresse IP de l’ordinateur. Ceci signifie qu’un ordinateur client particulier aura accès à certains points de partage quelle que soit la personne qui l’utilise. Dès que l’ordinateur est démarré, des volumes ou dossiers sont automatiquement montés et mis à disposition, et tout utilisateur de l’ordinateur y a accès. Dans l’application NFS, on ne parle pas de “partager” des éléments mais de les “exporter”. Exporter consiste à publier un point de partage vers une destination spécifique. Utilisez le module NFS d’Admin Serveur pour configurer et gérer le service NFS. Utilisez également le module de partage d’Admin Serveur afin de définir les niveaux d’autorisation et d’accès pour les points de partage ou les dossiers que vous souhaitez exporter. À qui s’adresse le service NFS ? NFS, contrairement aux autres services de fichiers de Mac OS X Server, ne fournit pas un degré de précision élevé dans la définition des niveaux d’accès. Vous pouvez exporter un élément partagé vers un groupe d’ordinateurs clients ou vers “Monde”. Vous devez toutefois tenir compte du fait que l’exportation d’un volume NFS vers Monde signifie que toute personne ayant accès à votre serveur (y compris les utilisateurs anonymes FTP) peut également accéder à ce volume. Vous devriez sans doute n’utiliser le service NFS que lorsque vous vous trouvez sur un réseau LAN avec des ordinateurs clients en qui vous avez confiance, ou si vous êtes dans un environnement qui ne peut utiliser les partages de fichiers Apple ou Windows. Si vous disposez d’un accès Internet et pensez effectuer des exportations sur Monde, il est préférable que votre serveur soit protégé par un pare-feu. Avant d’installer le service NFS Tenez compte des conséquences éventuelles en matière de sécurité d’une exportation dans NFS. NFS, qui a été mis au point pour un environnement de mise en réseau sûr, suppose la fiabilité des ordinateurs clients et des utilisateurs administrant ces clients. Avec NFS, un utilisateur peut s’approprier les fichiers d’une autre personne. Par exemple, si un fichier du serveur a pour propriétaire un utilisateur dont l’ID est 1234 et que vous exportez un dossier contenant ce fichier, une personne travaillant sur un ordinateur distant peut créer un utilisateur local sur cet ordinateur, lui attribuer comme ID 1234, monter ce dossier et obtenir ainsi le même accès au contenu du dossier que le propriétaire d’origine du fichier. Pour éviter cela, vous pouvez créer des ID utilisateurs uniques et protéger les informations d’utilisateur. 110 Chapitre 5 Première installation du service NFS Étape 1 : Configurez le service NFS Dans Admin Serveur, cliquez sur l’onglet Fichiers et impression, puis cliquez sur NFS et choisissez Configurer NFS. Spécifiez le nombre maximum de démons (processus de serveur gérant les demandes clients) que vous souhaitez autoriser simultanément, puis décidez si vous voulez utiliser TCP ou UDP pour envoyer des données à des clients. Pour plus d’informations sur ces options, consultez “Réglages du service NFS” ci-après. Étape 2 : Exporter un dossier et démarrer le service NFS Lors de la première installation de NFS, vous devez partager au moins un dossier. Pour cela, cliquez sur l’onglet Général d’Admin Serveur, sur Partage, et choisissez Définir les attributs de partage. Sélectionnez le dossier que vous souhaitez partager, puis cliquez sur Choisir. Choisissez Général, Automontage et Contrôle d’accès NFS dans le menu local et effectuez les réglages souhaités. Pour obtenir des informations sur les options que vous pouvez définir, consultez “Réglages Contrôle d’accès à NFS” à la page 112. Nul n’est besoin de démarrer ou d’arrêter le service NFS. En effet, lorsque vous définissez un point de partage à exporter, le service est lancé automatiquement. Il s’arrête quand vous supprimez toutes les exportations. Pour savoir si le service NFS est actif, il suffit de vérifier qu’il y a bin un globe sur l’icône NFS dans Admin Serveur. Réglages du service NFS La configuration du service NFS s’effectue à l’aide de la fenêtre Configurer NFS. Pour accéder à cette fenêtre, cliquez sur l’onglet Fichiers et impression puis sur NFS, et choisissez Configurer NFS. Utiliser _ démons du serveur Tapez le nombre maximum de démons nfsd que vous souhaitez autoriser simultanément. Un démon nfsd est un processus de serveur qui fonctionne en permanence de façon invisible et traite des opérations de lecture et d’écriture sur des points de partage montés. Plus il y a de démons disponibles et plus nombreux sont les clients qui peuvent être servis simultanément. Dans Mac OS X Server, réglez le nombre maximum de démons de votre serveur sur un chiffre compris entre quatre et six. Services de fichiers 111 Servir les clients via Choisissez la manière dont vous voulez servir les données à vos ordinateurs clients. m TCP : le protocole TCP (Transmission Control Protocol) divise les données en paquets (fragments de données envoyés sur le réseau à l’aide d’IP) et utilise la correction des erreurs pour assurer une transmission correcte des informations. m UDP : le protocole UDP (User Datagram Protocol) ne fragmente pas les données en paquets et utilise ainsi moins de ressources du système. Il est plus facile à ajuster que TCP et constitue un choix approprié pour un serveur utilisé de façon intensive. m TCP et UDP : il est conseillé de sélectionner à la fois TCP et UDP, sauf en cas de doute en rapport avec la performance. TCP fournit de meilleures performances aux clients, alors qu’UDP impose une charge moins lourde au serveur. Réglages Contrôle d’accès à NFS Utilisez le panneau Contrôle d’accès NFS pour créer des exportations et définir des autorisations d’accès pour ces dernières. Pour trouver ce panneau, cliquez sur l’onglet Général dans Admin Serveur. Cliquez sur Partage et choisissez Afficher les disques et les points de partage. Sélectionnez un élément partagé et cliquez sur Autorisations, puis choisissez Contrôle d’accès NFS dans le menu local situé en dessous du nom de l’élément partagé. 112 Chapitre 5 Exporter cet élément et son contenu vers Sélectionnez cette option pour exporter l’élément et le mettre à disposition des utilisateurs. Choisissez qui sera autorisé à utiliser ces informations. Vous pouvez choisir Client ou Monde dans le menu local. Si vous décidez d’exporter vers Monde, sachez qu’il existe un risque potentiel en matière de sécurité. La configuration par défaut pour NFS entraîne l’exportation vers l’adresse client 127.0.0.1, qui est en fait un retour sur l’ordinateur du serveur. Ceci vous évite d’exporter par mégarde un dossier vers Monde. Ajouter et supprimer Cliquez sur Ajouter pour désigner les clients habilités à recevoir cette exportation. Tapez l’adresse IP ou le nom d’hôte dans le champ de texte qui apparaît pour les ajouter à la liste Ordinateur ou Réseau. Pour effacer un client de la liste d’exportation, choisissez une adresse IP de la liste et cliquez sur Supprimer. Options NFS Tous les utilisateurs sur Personne : choisissez cette option si vous voulez que les utilisateurs identifiés comme “racine” sur le système client distant dispose d’autorisations minimales de lecture, d’écriture et d’exécution. L’utilisateur racine sur Personne : sélectionnez cette option si vous désirez que tous les utilisateurs aient des autorisations minimales de lecture, d’écriture et d’exécution. Lecture seule : choisissez cette option si vous souhaitez que les utilisateurs ne puissent en aucune manière modifier le contenu de l’élément partagé. Ceci prévaut sur toutes les autres autorisations définies pour l’élément partagé. Si par exemple vous attribuez à la catégorie “Tous” des autorisations en Lecture et écriture pour l’élément dans le service de fichiers Apple, vous pouvez également le définir comme une exportation NFS vers “Monde”, avec des autorisations en “Lecture seule”. Services de fichiers 113 Service FTP FTP permet aux ordinateurs de transférer des fichiers via Internet. Les clients dont le système d’exploitation gère le protocole FTP peuvent se connecter à votre serveur de fichiers et télécharger des fichiers, en fonction des autorisations que vous définissez. La plupart des navigateurs Internet et bon nombre d’applications gratuites peuvent être utilisés pour accéder à votre serveur FTP. Avant d’installer le service FTP Avant de prendre la décision de proposer le service FTP, il importe de tenir compte du type d’informations que vous devez partager et des caractéristiques de vos clients. FTP est approprié pour transférer des fichiers volumineux tels que des applications et des bases de données. De plus, il constitue un moyen sûr d’offrir le service permettant à des utilisateurs invités (anonymes) de télécharger des fichiers. Restrictions concernant les utilisateurs anonymes FTP (invités) L’activation de l’utilisation anonyme de FTP présente un risque pour la sécurité de votre serveur et de vos données étant donné que vous ouvrez votre serveur à des utilisateurs inconnus. Les autorisations d’accès que vous définissez pour les fichiers et les dossiers de votre serveur sont le moyen le plus efficace de protéger les informations qu’ils contiennent. Les utilisateurs du protocole FTP anonyme ne sont autorisés qu’à charger des fichiers dans un point de partage appelé “uploads”. Si le point de partage uploads n’existe pas, les utilisateurs anonymes ne pourront charger aucun fichier. Afin d’assurer la sécurité de votre serveur FTP, par défaut les utilisateurs anonymes ne peuvent pas m supprimer des fichiers m renommer des fichiers m écraser des fichiers m modifier les autorisations d’accès aux fichiers Première installation du service FTP Étape 1 : Créez des points de partage Utilisez le module Partage d’Admin Serveur pour définir la création de points de partage que vous souhaitez rendre disponibles via FTP. Pour obtenir des instructions concernant la création de points de partage, consultez “Première configuration de partage” à la page 83. 114 Chapitre 5 Étape 2 : Configurez le service FTP Une grande partie de la configuration du service FTP se produit parallèlement à l’activation du service. Vous pouvez toutefois modifier quelques réglages tels que l’autorisation de l’accès en invité et le réglage du nombre maximum d’invités et d’utilisateurs référencés pouvant être connectés simultanément. Pour accéder aux réglages du service FTP, cliquez sur l’onglet Fichiers et impression d’Admin Serveur puis sur FTP, et choisissez Configurer FTP. Pour une description des réglages disponibles, consultez la prochaine section intitulée “Réglages du service FTP”. Étape 3 : Démarrez le service FTP Cliquez sur FTP et choisissez Démarrer le service FTP. Quand ce service est activé, un globe apparaît sur l’icône du service. Étape 4 : Installez le service anonyme FTP (en option) Si vous activez l’accès en invité, les utilisateurs anonymes peuvent se connecter sous le nom “ftp” ou “anonyme”. Ils n’auront pas besoin de mot de passe, mais ils seront invités à taper leur adresse électronique. Pour activer l’accès en invité, cliquez sur FTP et choisissez Configurer FTP. Sélectionnez ensuite “Activer l’accès anonyme”. Si vous souhaitez que les utilisateurs invités puissent charger des fichiers, créez un dossier appelé “uploads” et assignez-lui des autorisations d’accès appropriées au moyen du module Partage d’Admin Serveur. Réglages du service FTP Pour accéder aux réglages du service FTP, cliquez sur FTP dans Admin Serveur et choisissez Configurer FTP. Autoriser un maximum de _ utilisateurs réels Tapez une valeur dans le champ afin de déterminer le nombre maximum d’utilisateurs référencés autorisés à se connecter simultanément à votre serveur. Les utilisateurs réels sont les utilisateurs qui ont été ajoutés dans le module Utilisateurs et groupes d’Admin Serveur. Services de fichiers 115 Activer l’accès anonyme Cochez cette case pour permettre aux utilisateurs anonymes de se connecter au serveur et de transférer des fichiers. Vérifiez soigneusement les autorisations attribuées à vos points de partage afin de vous assurer qu’il n’existe aucune lacune au niveau de la sécurité. Pour plus de détails sur la protection des informations, consultez le chapitre 4, intitulé “Partage”. Autoriser un maximum de _ utilisateurs Tapez une valeur dans le champ afin de déterminer le nombre maximum d’utilisateurs anonymes autorisés à se connecter simultanément à votre serveur. Trucs et astuces pour l’utilisation du service FTP Affichage de messages à l’intention des utilisateurs Le service FTP dans Mac OS X Server vous permet de créer des messages que vous pouvez envoyer à des utilisateurs réels et à des utilisateurs FTP anonymes lorsqu’ils se connectent à votre serveur. Il est possible que certains clients FTP n’affichent pas les messages à un endroit évident ou qu’ils ne les affichent pas du tout. Par exemple, le client FTP Fetch affiche un message bannière dans la fenêtre “RemoteHostname Messages”. Message bannière Lorsque les utilisateurs tentent de se connecter pour la première fois au serveur FTP, il reçoivent un message avant de visualiser l’invite de connexion. Vous pouvez modifier ce message au moyen d’un éditeur de texte tel que TextEdit. Cherchez le fichier “banner.txt” dans le répertoire suivant : /Library/FTPServer/Messages/banner.txt Message de bienvenue Les utilisateurs reçoivent un message d’accueil lorsqu’ils parviennent à se connecter sur le serveur FTP. Vous pouvez modifier ce message au moyen d’un éditeur de texte tel que TextEdit. Cherchez le fichier “welcome.txt” dans le répertoire suivant : /Library/FTPServer/Messages/welcome.txt Message Lorsqu’un utilisateur trouve un répertoire contenant un fichier intitulé “message.txt,” le contenu du fichier s’affiche sous forme de message. L’utilisateur ne voit apparaître ce message que la première fois qu’il se connecte au répertoire comportant ce fichier au cours d’un même session FTP. Vous pouvez utiliser ces messages pour signaler des informations importantes aux utilisateurs ou pour les avertir de changements dont ils doivent être tenus informés. 116 Chapitre 5 Message de type “OUVREZ-MOI” Vous pouvez également placer un fichier nommé “OUVREZ-MOI” dans un répertoire. Lorsque les utilisateurs trouvent un répertoire contenant un fichier OUVREZ-MOI, ils reçoivent un message les informant de l’existence du fichier et de sa dernière mise à jour. Les utilisateurs peuvent choisir d’ouvrir ou de ne pas ouvrir le fichier. À l’intérieur du service FTP Le service FTP dans Mac OS X Server est basé sur le code source du serveur FTP de l’Université de Washington, à savoir “wu-FTPd”. Cependant, ce code source a été modifié afin d’améliorer son utilisation. Certaines des différences qui ont été générées sont décrites dans cette section. Environnement FTP sûr La plupart des serveurs FTP proposent un environnement répertoire restreint qui confine les utilisateurs FTP à une zone spécifique sur le serveur. Dans cette zone, les utilisateurs ne peuvent visualiser que des volumes et le serveur bénéficie ainsi d’une certaine protection. Ils ne peuvent accéder aux volumes montés en dehors de cette zone limitée. Les liens et alias symboliques ne peuvent traverser les frontières définies dans le serveur. Le service FTP dans Mac OS X Server utilise une nouvelle technique qui repose toujours sur un environnement FTP sécurisé. Les utilisateurs FTP peuvent accéder aux volumes, quel que soit l’endroit où ils sont montés dans le serveur, et ce, tant que les autorisations définies pour chacun des volumes le permettent. Les utilisateurs FTP peuvent voir tous les points de partage que vous avez configurés dans le module Partage d’Admin Serveur. Vous contrôlez la protection de vos données en définissant des autorisations d’accès appropriées pour vos points de partage. Pour plus de détails sur la création de points de partage, consultez le chapitre 4, intitulé “Partage”. Répertoires d’accueil pour utilisateurs réels Pour les serveurs FTP standard, les “utilisateurs réels” (ceux qui utilisent des noms et mots de passe d ’utilisateurs référencés pour se connecter) peuvent disposer d’un accès total au serveur. Ce modèle se révèle moins adapté qu’aux premiers temps d’Internet. En effet, à présent, vous pouvez posséder plusieurs milliers d’utilisateurs référencés inconnus. Avec le service FTP dans Mac OS X Server, les utilisateurs anonymes et réels sont toujours placés dans l’environnement FTP restreint. Il permet toutefois la connexion des utilisateurs réels à leurs répertoires d’accueil si ces derniers sont disponibles au sein de cet environnement limité. Ainsi, si le répertoire d’accueil d’un utilisateur se trouve dans un point de partage et si des autorisations d’accès permettent à l’utilisateur d’y accéder, l’utilisateur est placé dans le répertoire d’accueil une fois connecté. Services de fichiers 117 Rappelez-vous que les utilisateurs réels aussi bien que les utilisateurs anonymes peuvent voir des répertoires d’accueil au sein d’un point de partage. Ils ne peuvent cependant pas y accéder à moins que les autorisations appropriées aient été définies. Si certains de vos utilisateurs réels n’ont pas de répertoire d’accueil ou si leurs répertoires d’accueil ne se trouvent pas dans un point de partage auquel ils ont accès, ils seront placés au premier niveau de l’environnement FTP restreint. Important Conversion de fichiers à la volée Le service FTP dans Mac OS X Server permet aux utilisateurs de demander des versions compressées ou décompressées des informations du serveur. Un suffixe de nom de fichier tel que “.Z” ou “.gz” indique que le fichier est compressé. Si un utilisateur demande un fichier appelé “Hamlet.txt” et que le serveur ne trouve qu’un fichier dénommé “Hamlet.txt.Z”, il sait que l’utilisateur souhaite la version décompressée du fichier et le lui délivre sous ce format. En dehors des formats de compression de fichiers standard, Mac OS X Server peut lire les fichiers provenant de volumes HFS ou non-HFS et les convertir en format MacBinary (.bin). Ce format est l’un des formats de compression les plus communément utilisés par les systèmes d’exploitation Macintosh. Le tableau ci-dessous présente les extensions de fichier courantes et le type de compression qu’ils représentent. Extension de fichier Signification .Z Compression UNIX .bin Codage MacBinary .tar Archive tar UNIX .tZ Archive tar compressée avec UNIX .tar.Z Archive tar compressée avec UNIX .crc Fichier de somme de contrôle UNIX Résolutions des problèmes du service FTP Si des utilisateurs anonymes ne peuvent se connecter : m Vérifiez si l’accès en invité est activé. m Vérifiez si le nombre maximum de connexions d’utilisateurs anonymes a été atteint. Pour ce faire, cliquez sur l’onglet de mise en réseau dans Admin Serveur, puis sur FTP, et choisissez Configurer FTP. 118 Chapitre 5 Si les clients ne peuvent se connecter au serveur FTP : Si le client utilise un mode passif FTP, désactivez-le. En mode passif, le serveur FTP ouvre une connexion au client sur un port défini de façon dynamique, ce qui peut entraîner des conflits avec la configuration des filtres de port dans le service de filtres IP. Si les connexions FTP sont refusées : m Assurez-vous que l’utilisateur saisit le nom DNS ou l’adresse IP corrects pour le serveur. m Assurez-vous que le service FTP est activé. m Assurez-vous que l’utilisateur dispose d’autorisations d’accès appropriées au volume partagé. m Vérifiez si le nombre maximum de connexions a été atteint. Pour ce faire, cliquez sur l’onglet de mise en réseau dans Admin Serveur, puis sur FTP, et choisissez Configurer FTP. m Vérifiez que l’ordinateur de l’utilisateur est convenablement configuré pour TCP/IP. Si les réglages TCP/IP ne sont apparemment pas en cause, employez un utilitaire “ping” afin de contrôler les connexions de réseau. m Vérifiez si le problème provient du nom DNS en tentant de vous connecter à l’aide de l’adresse IP du serveur FTP au lieu de son nom DNS. Si la connexion fonctionne avec l’adresse IP, le problème peut provenir du serveur DNS. m Assurez-vous que l’utilisateur tape correctement son nom abrégé et son mot de passe. Les noms et mots de passe d’utilisateur comportant des caractères spéciaux ou des caractères bi-octet ne seront pas acceptés. Pour trouver le nom abrégé d’un utilisateur, doublecliquez sur son nom dans la liste Utilisateurs et groupes. m Assurez-vous qu’il n’existe aucun problème au niveau des services de répertoires et que le serveur de services de répertoires fonctionne et est connecté au réseau. Pour plus d’informations sur les services de répertoires, consultez le chapitre 2, intitulé “Services de répertoire”. m Assurez-vous que le service de filtres IP est configuré pour autoriser l’accès aux ports appropriés. Si les clients ne parviennent toujours pas à se connecter, regardez si le client utilise le mode passif FTP et désactivez-le si c’est le cas. En mode passif, le serveur FTP ouvre une connexion au client sur un port défini de façon dynamique, ce qui peut entraîner des conflits avec la configuration des filtres de port dans le service de filtres IP. Pour la liste des ports TCP et UDP habituellement utilisés, consultez “Ports utilisés par les ordinateurs Mac OS X” à la page 335. Services de fichiers 119 Spécifications du service FTP Nombre maximum d’utilisateurs connectés (le réglage par défaut est de 50 pour les utilisateurs réels ainsi que pour les utilisateurs anonymes) 1000 Numéro de port FTP 21 Nombre de tentatives de connexions non réussies avant que l’utilisateur ne soit déconnecté 3 Pour plus d’informations sur les services de fichiers Pour plus d’informations sur les protocoles utilisés dans les services de fichiers de Mac OS X Server, consultez les ressources suivantes : m Protocole AFP : www.apple.com/developer/ m Protocole SMB (pour les services de fichiers Windows) : www.samba.org m FTP : vous trouverez un document RFC (Request for Comments) sur FTP en vous rendant sur le site Web suivant : www.faqs.org/rfcs/rfc959.html Les documents RFC fournissent des aperçus de protocoles ou de services pouvant être utiles aux administrateurs novices, ainsi que des informations techniques plus détaillées s’adressant aux experts. Vous pouvez rechercher les documents RFC par numéro sur le site web suivant : www.faqs.org/rfcs (en anglais). Pour obtenir les pages du manuel UNIX de FTP, ouvrez l’application Terminal de Mac OS X. Dans l’invite, tapez “man ftp” et appuyez sur la touche Entrée. m NFS : pour obtenir les pages du manuel UNIX de NFS, ouvrez l’application Terminal de Mac OS X. Dans l’invite, tapez “man ftp” et appuyez sur la touche Entrée. 120 Chapitre 5 C H A P I T R E 6 6 Service d’impression Présentation du service d’impression Ce service vous permet de partager des imprimantes compatibles PostScript entre des utilisateurs clients soumettant leurs tâches via le protocole d’impression standard LPR ou le protocole Windows SMB. Plusieurs applications facilitent l’administration du service d’impression : m L’application Centre d’impression vous permet de sélectionner les imprimantes dont vous souhaitez activer le partage. m Le module d’impression de Mac OS X Server vous permet de configurer les réglages généraux d’impression et le mode de partage des files d’attente ainsi que de gérer les tâches d’impression données aux imprimantes partagées. m Le visualiseur d’historique d’Admin Serveur vous permet de consulter les informations relatives à la comptabilité des tâches d’impression. Vous trouverez dans ce chapitre un résumé de chacune des activités mentionnées, suivi d’une description destinée à vous permettre de configurer et dépanner le service d’impression. Connexion d’imprimantes au serveur L’application Centre d’impression de Mac OS X (située dans Applications/Utilities) vous permet d’ajouter des imprimantes au serveur, créant ainsi une file d’attente pour chaque imprimante que vous souhaitez partager. Vous pouvez partager n’importe quelle imprimante PostScript pouvant être ajoutée à l’aide du Centre d’impression. Vous avez également la possibilité de partager toute imprimante PostScript directement connectée à votre serveur. Il n’est pas nécessaire de lui ajouter une file, celle-ci étant créée automatiquement lorsque vous ouvrez le Centre d’impression. 121 Les imprimantes partagées PostScript pourvues d’interfaces réseau peuvent être connectées au réseau via AppleTalk ou le protocole standard LPR (basé sur TCP/IP). Les imprimantes connectées directement au serveur utilisent une connexion USB : Mac OS X Server Éthernet Imprimante PostScript AppleTalk USB Imprimante LPR PostScript Imprimante PostScript Partage des files d’attente sur le réseau Les utilisateurs qui soumettent leurs tâches d’impression via les protocoles LPR ou SMB peuvent utiliser les imprimantes partagées. Mac OS X Server LPR Utilisateur Mac OS X (imprimantes sélectionnées dans le Centre d'impression) 122 Chapitre 6 Utilisateur Mac OS 9 Utilisateur UNIX (imprimantes sélectionnées dans le service d'impression) SMB Utilisateurs Windows NT et Windows 2000 Utilisateurs Windows 95, 98 et ME Les ordinateurs utilisant les systèmes Macintosh, UNIX et certaines versions de Windows (comme Windows NT et Windows 2000) gèrent le protocole LPR sans que l’installation de logiciels supplémentaires soit nécessaire. Tous les ordinateurs Windows, y compris Windows 95, Windows 98 et Windows Millennium Edition (ME), gèrent le protocole SMB. Remarque : des pilotes LPR de tierce partie sont disponibles pour les ordinateurs Windows n’intégrant pas la gestion du protocole LPR. Gestion des files d’attente et de leurs tâches Lorsque des utilisateurs soumettent des tâches à une imprimante partagée, elles sont envoyées automatiquement à la file d’attente de cette imprimante, où elles sont maintenues jusqu’à ce que l’imprimante se libère ou que les critères que vous avez définis soient satisfaits. À l’aide du module Impression d’Admin Serveur, vous pouvez par exemple : m Définir la priorité des tâches d’impression d’une file. Les documents que vous indiquez comme urgents sont imprimés avant les documents définis avec une priorité normale ou faible. m Programmer l’impression d’une tâche à une heure précise de la journée. Vous pouvez par exemple programmer le démarrage automatique des tâches longues à réaliser à une heure où les imprimantes sont peu sollicitées, en général tard le soir ou tôt le matin. m Suspendre une tâche pour une durée indéterminée. Vous pouvez par exemple vérifier qu’un utilisateur n’a pas dépassé une limite ou un budget d’impression avant de libérer l’impression de son document. Surveillance des tâches d’impression Le module d’impression d’Admin Serveur dispose d’un moniteur d’impression proposant une vue instantanée de vos imprimantes et de leurs tâches. Un simple coup d’oeil vous permet de savoir si une imprimante spécifique comporte un grand nombre de documents en attente et si une imprimante requiert votre attention. Le module d’impression dispose également d’un moniteur de file, qui vous permet de visualiser les détails des tâches d’une file d’attente. Pour chaque tâche soumise s’affichent l’utilisateur, le nombre de pages et la priorité. Vous pouvez soit suspendre ou supprimer une tâche en attente, soit lui donner la priorité. Service d’impression 123 Vous pouvez également effectuer le suivi des activités d’impression en consultant les historiques d’impression via le visualiseur d’historique d’Admin Serveur. L’historique du service d’impression enregistre des événements tels que l’heure de démarrage et d’arrêt du service ou l’heure de suspension d’une file d’attente. Pour chaque file d’attente, un historique enregistre les tâches d’impression une par une, en indiquant notamment quels utilisateurs ont soumis des tâches à des imprimantes spécifiques et la taille des documents. Avant d’installer le service d’impression Avant d’installer ce service, vous devez déterminer si une imprimante spécifique sera utilisée par : m les utilisateurs qui soumettent leurs tâches d’impression via le protocole LPR m les utilisateurs qui soumettent leurs tâches d’impression via le protocole SMB Première configuration du service d’impression Pour configurer ce service, utilisez le Centre d’impression pour ajouter les imprimantes dont vous souhaitez gérer et partager les files, puis configurez chaque file à l’aide du module d’impression d’Admin Serveur. Après l’ajout d’imprimantes, n’utilisez pas le Centre d’impression pour gérer les files et les tâches ; utilisez plutôt le module Impression d’Admin Serveur. 124 Chapitre 6 Pour configurer le service d’impression, procédez comme suit : Étape 1 : Ajoutez des imprimantes Utilisez le Centre d’impression pour ajouter toutes les imprimantes non USB que vous souhaitez gérer sur votre Mac OS X Server. L’aide à l’écran du Centre d’impression vous indique la marche à suivre. Une file d’attente est définie automatiquement pour chaque imprimante ajoutée. Étape 2 : Configurez le service d’impression Utilisez le module d’impression d’Admin Serveur pour configurer le service d’impression. Consultez la section “Réglages généraux du service d’impression” à la page 126 pour obtenir des explications sur les réglages disponibles. Étape 3 : Configurez les files d’attente Utilisez le module d’impression d’Admin Serveur pour configurer la file de chaque imprimante ajoutée. Consultez la section “Réglages d’une file d’attente” à la page 127 pour obtenir des explications sur les réglages de file d’attente. Étape 4 : Démarrez le service d’impression Si ce service n’est pas encore en fonction, cliquez sur Imprimer et choisissez Démarrer le service d’impression. Vous pouvez configurer le service d’impression de manière à ce qu’il démarre automatiquement en même temps que Mac OS X Server. Pour obtenir des instructions, consultez la section “Réglages généraux du service d’impression” à la page 126. Étape 5 : Activez les services Windows (facultatif) Pour permettre aux utilisateurs Windows soumettant des tâches via le protocole SMB d’utiliser le service d’impression, assurez-vous que les services Windows sont en fonction et qu’une ou plusieurs files d’attente sont disponibles pour ce protocole. Consultez la section “Services Windows” à la page 102 pour plus de détails sur les services Windows. Consultez la section “Réglages d’une file d’attente” à la page 127 pour obtenir savoir comment partager une file d’attente pour les utilisateurs SMB et la section “Réglages généraux du service d’impression” à la page 126 pour savoir comment activer automatiquement l’impression SMB sur toute nouvelle file créée. Étape 6 : Configurez l’impression à partir d’ordinateurs clients Consultez l’aide à l’écran de ce service pour régler l’impression dans les files que vous avez configurées à l’étape 3 à partir d’ordinateurs Mac OS 8, Mac OS 9 et Mac OS X. Service d’impression 125 Réglages du service d’impression Pour accéder aux réglages du service d’impression, cliquez sur l’onglet Fichiers et impression d’Admin Serveur, puis sur Impression et choisissez la commande qui convient. Réglages généraux du service d’impression Pour accéder aux réglages de contrôle du comportement général du service d’impression, cliquez sur Imprimer et choisissez Configurer le service d’impression. Démarrer le service d’impression au démarrage du système Sélectionnez cette option si vous souhaitez que le service d’impression démarre automatiquement en même temps que le serveur. Partager automatiquement de nouvelles files pour l’impression Windows Sélectionnez cette option si vous souhaitez que les utilisateurs Windows imprimant leurs documents via le protocole SMB puissent utiliser automatiquement les nouvelles files d’attente que vous créez à l’aide du Centre d’impression. Si vous sélectionnez cette option, assurez-vous que les services Windows sont en fonction. Consultez la section “Services Windows” à la page 102 pour plus de détails sur les services Windows. File d’attente LPR par défaut Choisissez la file à utiliser lorsqu’une tâche d’impression LPR est soumise sans nom de file. Aucun nom de file n’est attribué à une tâche lorsqu’elle est soumise par un utilisateur qui se sert du nom de domaine ou de l’adresse IP de votre serveur, sans indiquer de nom d’imprimante. Pour simplifier la configuration de l’impression à partir des ordinateurs clients, utilisez une file par défaut, ce qui évite de spécifier un nom de file. Historique du serveur Sélectionnez cette option et indiquez un nombre de jours pour spécifier la fréquence d’archivage de l’historique du service d’impression et la création d’un nouvel historique. 126 Chapitre 6 Historiques de files d’attente Sélectionnez cette option et indiquez un nombre de jours pour spécifier la fréquence d’archivage de chaque historique de file d’attente et la création d’un nouvel historique. Réglages d’une file d’attente Pour gérer le partage d’une file et spécifier l’heure d’impression par défaut des nouvelles tâches de la file, sélectionnez le nom de cette dernière dans la fenêtre Moniteur d’impression, puis cliquez sur le bouton Modifier (pour ouvrir la fenêtre du moniteur d’impression, cliquez sur Imprimer dans l’onglet Fichiers et impression et choisissez Afficher le moniteur d’impression). Nom de la file Lorsque vous ajoutez une imprimante au Centre d’impression, la file correspondante créée porte le même nom. Vous pouvez si vous le désirez changer le nom de la file (par exemple, si vous voulez que les utilisateurs voient un nom différent) en tapant un nouveau nom dans le champ Nom de la file d’attente. Lorsque vous saisissez un nom de file, celui qui apparaît dans la Centre d’impression n’est pas modifié. Vous devrez probablement modifier le nom d’une file si certains de vos utilisateurs sont soumis à des restrictions quant aux noms d’imprimantes qu’ils peuvent employer. Par exemple, certains clients LPR ne gèrent pas les noms comportant des espaces, tandis que certains clients Windows limitent les noms à 12 caractères. Service d’impression 127 Imprimante Nom de la file d’attente dans le Centre d’impression. Partager la file via Sélectionnez LPR pour mettre la file à disposition des utilisateurs qui soumettent des tâches via le protocole LPR. Par défaut, LPR est sélectionné pour toutes les nouvelles files d’attente. Sélectionnez “Impression Windows (SMB)” pour mettre la file à disposition des utilisateurs Windows soumettant des tâches via le protocole SMB. Si vous sélectionnez cette option, assurez-vous que les services Windows sont en fonction. Consultez la section “Services Windows” à la page 102 pour plus de détails sur les services Windows. Consultez la section “Réglages généraux du service d’impression” à la page 126 pour apprendre à activer automatiquement l’impression SMB pour toutes les nouvelles files. Ces options sont désactivées pour les imprimantes qui ne sont pas compatibles PostScript. Partager la file LPR du domaine Si vous ajoutez une file d’attente à un domaine partagé NetInfo, les utilisateurs travaillant sur des ordinateurs Mac OS X configurés en vue d’accéder au domaine peuvent imprimer sur la file choisie dans la liste des services de répertoire du Centre d’impression. Pour ajouter une file d’attente à un domaine partagé, choisissez le domaine partagé dans le menu local, puis tapez les nom et mot de passe de l’administrateur du serveur sur lequel réside le domaine. Choisissez Aucun si vous ne souhaitez pas ajouter la file à un domaine partagé NetInfo. Après avoir partagé une file d’attente LPR dans un domaine NetInfo, vous ne pouvez pas utiliser le Centre d’impression du serveur pour ajouter la file en la sélectionnant dans la liste des services de répertoire. Priorité de la tâche Sélectionnez la priorité que vous souhaitez affecter par défaut aux nouvelles tâches d’impression de cette file. Les tâches sont imprimées par ordre de priorité : les documents urgents d’abord, les documents normaux, puis ceux à faible priorité. Vous pouvez annuler la priorité par défaut des tâches individuelles à l’aide des réglages correspondants, décrits dans la section suivante “Réglages des tâches d’impression”. Suspendre Sélectionnez Suspendre pour remettre à plus tard l’impression de toutes les nouvelles tâches arrivant dans la file. Vous pouvez soit indiquer un moment spécifique de la journée pour reprendre l’impression des tâches, soit la reporter pour une durée indéterminée. 128 Chapitre 6 Réglages des tâches d’impression Pour contrôler une tâche d’impression spécifique, sélectionnez son nom dans la fenêtre du moniteur de file, puis cliquez sur le bouton Priorité (pour ouvrir ce moniteur, sélectionnez une file dans la fenêtre Moniteur d’impression et cliquez sur Afficher le moniteur de file). Priorité de la tâche Sélectionnez la priorité que vous souhaitez affecter à la tâche. les documents urgents d’abord, les documents normaux, puis ceux à faible priorité. Les tâches de priorité identique sont imprimées selon leur ordre d’arrivée dans la file. Suspendre Sélectionnez Suspendre pour remettre à plus tard l’impression de la tâche. Vous pouvez soit indiquer une date et une heure spécifiques pour l’impression de la tâche, soit la reporter indéfiniment. Pour reprendre une tâche, désélectionnez Suspendre ou cliquez sur Reprendre dans la fenêtre du moniteur de file ; la tâche est imprimée à la suite de toutes les autres tâches de la file qui ne sont pas suspendues et dont la priorité est la même. Les tâches dont l’impression n’est pas suspendue ne sont imprimées que si leur file ne l’est pas non plus. Résolution des problèmes du service d’impression Voici quelques suggestions permettant de résoudre ou d’éviter les problèmes d’impression. Si le service d’impression ne démarre pas : m S’il est prévu que le service d’impression démarre automatiquement en même temps que le serveur, vérifiez que la case “Démarrer le service d’impression au démarrage du système” est sélectionnée dans la fenêtre Configurer le service d’impression. m Pour vérifier que le numéro de série du serveur a été saisi correctement et qu’il est toujours valide, cliquez sur l’onglet Général, puis sur Infos serveur et choisissez Afficher les infos du serveur. Service d’impression 129 m Pour rechercher des informations supplémentaires dans l’historique du service d’impression, cliquez sur l’onglet Général, puis sur Visualiseur d’historique et choisissez Service d’impression. Dans la fenêtre Visualiseur d’historique, choisissez Historique du serveur. Si les utilisateurs ne parviennent pas à imprimer : m Vérifiez que le service d’impression est en fonction. m Vérifiez que la file d’attente employée par les utilisateurs existe bien dans la fenêtre du moniteur d’impression. Sur les ordinateurs Mac OS 8 ou Mac OS 9, utilisez l’utilitaire Imprimante du bureau pour vérifier que la configuration de l’imprimante est correcte. m Vérifiez que la file utilisée est partagée correctement. Le protocole SMB est destiné aux utilisateurs Windows uniquement. Le protocole LPR est un protocole standard que les utilisateurs de (certains) ordinateurs Windows, de même que Macintosh, Unix et autres modèles, peuvent utiliser pour leurs tâches d’impression. m Vérifiez que les paramètres TCP/IP des clients Mac OS 8 et Mac OS 9 sont configurés correctement. m Si les clients Windows NT 4.x ne parviennent pas à imprimer sur le serveur, assurez-vous que la file d’attente ne porte pas le même nom que l’adresse TCP/IP de l’imprimante ou du serveur. Utilisez le nom d’hôte DNS à la place de l’adresse de l’imprimante ou du serveur, et s’il n’en existe pas, tapez un nom de file composé exclusivement de lettres et de chiffres. Si les tâches d’impression sont acceptées sans qu’aucun message d’erreur n’apparaisse, mais qu’elles ne s’impriment pas : m Consultez la fenêtre du moniteur d’impression pour vérifier que la file n’est pas suspendue. m Vérifiez que l’imprimante est bien connectée au serveur ou au réseau auquel le serveur est connecté. m Vérifiez que l’imprimante est allumée et que le problème ne vient pas de l’imprimante elle-même (plus de papier, bourrage, etc.). m Pour plus de détails, examinez les historiques d’impression. Cliquez sur l’onglet Général puis sur Visualiseur d’historique et choisissez Service d’impression. Dans la fenêtre Visualiseur d’historique, choisissez soit Historique du serveur pour examiner l’historique général du service d’impression, soit un nom de file pour consulter l’historique d’une imprimante spécifique. 130 Chapitre 6 C H A P I T R E 7 7 Service Web En quoi consiste le service Web ? Le service Web dans Mac OS X Server propose une solution de serveur Internet intégrée. Le service Web est facile à configurer et à gérer, de sorte qu’il n’est pas nécessaire d’être un administrateur Web expérimenté pour pouvoir créer des sites Web variés ou encore configurer et surveiller votre serveur Web. Le service Web dans Mac OS X Server est basé sur Apache, un serveur Web HTTP libre. AppleShare IP et les nouveaux administrateurs Web peuvent utiliser Admin Serveur pour administrer le service Web sans pour autant connaître les réglages ou fichiers de configuration avancés. Les administrateurs Web spécialistes d’Apache, peuvent choisir d’administrer le service Web à l’aide des fonctions avancées d’Apache. En outre, le service Web dans Mac OS X Server inclut un cache frontal haute capacité qui permet d’améliorer les performances des sites Web se servant de pages HTML statiques. Grâce à ce cache, le serveur accède systématiquement aux donnés statiques chaque fois que cela est requis. Le service Web gère également le protocole WebDAV ( Web-based Distributed Authoring and Versioning) basé sur le Web. La technologie WebDAV permet à vos utilisateurs clients de contrôler des pages Web, de procéder à des modifications, puis de les vérifier à nouveau pendant que le site est en service. En outre, l’ensemble des commandes élaborées de WebDAV permettent aux ordinateurs clients fonctionnant sous Mac OS X d’utiliser un serveur Web activé via WebDAV de la même façon qu’un serveur de fichiers. Avant d’installer le service Web Cette section fournit les informations dont vous aurez besoin pour une première installation du service Web. Il est conseillé de lire ce chapitre même si vous êtes un administrateur Web expérimenté, car certains types de fonctionnements et de caractéristiques pourraient vous surprendre. 131 Configuration du service Web Vous pouvez utiliser Admin Serveur pour installer et configurer les éléments les plus fréquemment utilisés du service Web. Si vous êtes un administrateur expérimenté d’Apache et que vous devez travailler avec des fonctions du serveur Web d’Apache qui ne sont pas incluses dans Admin Serveur, vous pouvez modifier les fichiers de configuration appropriés. Sachez toutefois qu’Apple ne procure toutefois pas l’assistance technique cas de modification des fichiers de configuration Apache. Si vous décidez de modifier un fichier, veillez à effectuer dans un premier temps une copie de sauvegarde. Vous pourrez utiliser cette copie en cas de problème. Pour plus d’informations sur les modules Apache, rendez-vous sur le site Web “Apache Software Foundation” : www.apache.org Assurer la sécurité des transactions Si vous souhaitez garantir des transactions sûres sur votre serveur, il est préférable de configurer la protection SSL (Secure Sockets Layer). SSL vous permet d’envoyer sur Internet des informations cryptées et authentifiées. Si vous souhaitez autoriser l’utilisation de cartes de crédit sur votre site Web, vous pouvez utiliser SSL pour protéger les informations qui transitent par votre site. Pour toute instruction au sujet de la mise en place de transactions sûres, consultez “Configuration du service Secure Sockets Layer (SSL)” à la page 155. Installation de sites Web Avant de pouvoir héberger un site Web, vous devez : m enregistrer votre nom de domaine auprès d’une autorité de noms de domaine m créer un dossier pour votre site Web sur le serveur m créer une page par défaut dans le dossier, page que les utilisateurs pourront visualiser lors de leur connexion m Veillez à configurer le service DNS de façon adéquate si vous êtes connecté à Internet (les sites installés sur un intranet n’ont pas besoin de DNS) Lorsque vous êtes prêt, vous pouvez publier ou activer votre site en utilisant Admin Serveur. Le panneau Sites dans la fenêtre Service de Configuration Web vous permet d’ajouter un nouveau site et de sélectionner un ensemble de réglages pour chacun des sites hébergés. Il est conseillé de lire les informations sur les réglages de sites à partir de la page 141. Vous pouvez également trouver des informations sur certaines des tâches en rapport avec la configuration d’un site dans l’Aide d’Admin Serveur. 132 Chapitre 7 Héberger plusieurs sites Web Vous pouvez héberger simultanément plusieurs sites Web sur votre serveur Web. Selon le mode de configuration de vos sites, il se peut qu’ils possèdent les mêmes nom de domaine, adresse IP ou port. En revanche, la combinaison d’un nom de domaine, d’une adresse IP et d’un port doit être unique pour chacun des sites. Vos noms de domaines doivent être enregistrés auprès de l’autorité compétente pour les noms de domaines (InterNIC). Dans le cas contraire, le site Web associé au domaine ne pourra être visualisé sur Internet. Une charge doit être versée lors de chaque nouvelle inscription. Si vous configurez des sites Web en utilisant plusieurs noms de domaine et une seule adresse IP, les navigateurs anciens qui ne gèrent pas HTTP 1.1 ou une version ultérieure (qui ne comportent pas l’en-tête de requête “hôte”), ne pourront pas accéder à vos sites. Si vous pensez que cela risque de poser des problèmes à vos utilisateurs, vous devrez configurer vos sites avec un seul nom de domaine par adresse IP. Comprendre la sécurité WebDAV Le protocole WebDAV permet aux utilisateurs de mettre à jour des fichiers sur un site Web pendant que ce dernier est en service. Lorsque le protocole WebDAV est activé, le serveur Web doit bénéficier d’un accès en écriture aux fichiers et dossiers du site que les utilisateurs sont en train de mettre à jour. Cette situation engendre des risques importants lorsque d’autres services sont en fonction sur le serveur, car les responsables d’un site sont alors en mesure d’en modifier d’autres. Vous pouvez éviter ce problème en définissant avec soin des autorisations d’accès pour les fichiers des sites à l’aide du module Partage d’Admin Serveur. Mac OS X Server ajoute à la liste Utilisateurs et groupes un groupe intitulé “www”, qui contient les processus Apache. Vous devez attribuer au groupe www un accès en lecture et en écriture aux fichiers du site Web. Vous devrez également attribuer l’accès en lecture et écriture à l’administrateur (possesseur) du site Web et activer Aucun pour Tous. Si vous êtes préoccupé par la sécurité de votre site Web, vous pouvez choisir de désactiver WebDAV et d’utiliser le service de fichiers Apple ou le service FTP pour modifier les contenus d’un site Web. Pour plus d’informations sur les autorisations WebDAV, consultez “Comprendre les domaines et les autorisations WebDAV” à la page 162. Première installation du service Web Pour une première installation du service Web, procédez comme suit. Pour obtenir plus d’informations sur la réalisation de ces tâches, consultez l’aide du service Web. Service Web 133 Étape 1 : Configuration du dossier Documents Une fois votre logiciel de serveur installé, un dossier intitulé Documents est automatiquement configuré. Vous pouvez placer tous les éléments que vous souhaitez rendre disponibles via un site Web dans ce dossier. Vous pouvez créer des sous-dossiers dans le dossier Document pour organiser les informations. Le dossier se trouve dans le répertoire suivant : /Library/WebServer/Documents En outre, chaque utilisateur référencé possède un dossier Sites dans son propre répertoire d’accueil. Les graphismes ou pages html stockés ici seront publiés à partir de l’adresse URL suivante : http://serveur.exemple.com/~nom/ Étape 2 : Création d’une page par défaut Chaque fois que des utilisateurs se connectent à votre site Web, ils accèdent à une page par défaut. Lors de la première installation du logiciel, le fichier “index.html” du dossier Documents constitue la page par défaut. Vous devrez remplacer ce fichier par la première page de votre site Web et l’appeler “index.html”. Si vous souhaitez donner un autre nom au fichier, veillez à modifier le nom du document par défaut dans le panneau Général de la fenêtre des réglages du site. Pour plus de détails sur les réglages de sites Web, consultez “Web Réglages de site” à la page 141. Étape 3 : Attribution d’autorisations pour votre site Web Le processus Apache fonctionnant sur ce serveur doit avoir accès aux fichiers et dossiers du site Web. Pour autoriser cet accès, Mac OS X Server installe un groupe intitulé “www”, composé des processus Apache situés dans la base de données Utilisateurs et groupes du serveur. Vous devez donner au groupe www un accès Lecture seule aux fichiers de votre site Web afin qu’il puisse transférer ces fichiers vers les navigateurs lorsque les utilisateurs se connectent au site. Pour des informations sur l’attribution d’autorisations, consultez le chapitre 4, intitulé “Partage”. Étape 4 : Configuration du service Web La configuration par défaut fonctionne pour la plupart des serveurs Web hébergeant un seul site Web. Vous pouvez configurer la totalité des fonctions élémentaires du service Web et de sites Web à l’aide d’Admin Serveur. Pour des options de configuration plus avancées, consultez “Configuration avancée d’Apache” à la page 160. 134 Chapitre 7 Pour héberger des sites Web d’utilisateurs, vous devez configurer au minimum un site Web. Si vous souhaitez que vos réglages de configuration s’appliquent à l’ensemble des sites Web utilisateurs de votre serveur, vous devez régler le site par défaut sur /Users. Pour accéder aux réglages de configuration, cliquez sur Web et choisissez Configurer service Web. Choisissez les réglages souhaités pour votre serveur et votre site Web. Pour des informations sur ces réglages, consultez “Réglages du service Web” à la page 135. Étape 5 : Démarrer le service Web Cliquez sur Web et choisissez Démarrer le service Web. Lorsque le service est actif, vous pouvez voir un globe sur l’icône Web. Vous devez toujours utiliser Admin Serveur pour démarrer et arrêter le serveur Web. Si vous démarrez le serveur Web à partir de la ligne de commande, Admin Serveur ne sera pas en mesure de l’arrêter et ne saura pas que le serveur Web est actif. Important Étape 6 : Connexion à votre site Web Pour vous assurer du bon fonctionnement du site Web, ouvrez votre navigateur et tentez de vous connecter à votre site Web via Internet. Si votre site ne fonctionne pas correctement, consultez “Résolution de problèmes avec le service Web” à la page 163. Réglages du service Web La fenêtre Configurer le service Web vous permet de définir et de modifier toutes les options de votre serveur et de vos sites Web. Pour accéder à cette fenêtre, cliquez sur Web et choisissez Configurer le service Web. Cliquez sur l’un des cinq onglets pour visualiser les réglages de ce panneau. Les réglages compris dans chaque panneau sont décrits dans les sections ci-dessous. Service Web 135 Réglages généraux du service Web Utilisez le panneau Général de la fenêtre de configuration du service Web pour définir les options générales du serveur, le démarrage automatique par exemple. Démarrer le service Web au démarrage du système Sélectionnez cette option si vous souhaitez que le service Web soit lancé lors du démarrage du serveur. Il est conseillé d’activer cette option dans la plupart des cas. Cela garantit la disponibilité de votre service Web si le serveur fait l’objet d’un redémarrage à la suite d’une panne de courant ou de tout autre événement imprévu. Activer les listes détaillées des dossiers Sélectionnez cette option si vous voulez que les utilisateurs visionnent une liste formatée du contenu du dossier d’un site Web. Lorsque des utilisateurs se connectent à l’URL d’un site, une page Web par défaut est normalement affichée (telle que “index.html”). S’il n’existe pas de page Web par défaut et que l’indexation des dossiers est désactivée pour un site Web, les utilisateurs visualiseront une liste du contenu des dossiers. Pour des informations sur l’activation de l’indexation des dossiers d’un site, consultez “Réglages généraux pour les sites Web” à la page 142. Activer la gestion SSL Sélectionnez cette option pour que vos sites Web bénéficient de connexions sécurisées. Si vous activez SSL, vous devez également indiquer le numéro de port 443 pour chaque site. 136 Chapitre 7 Avant d’activer SSL, vous devez demander un fichier de certificat à un fournisseur de certificats et configurer le service SSL. Pour plus de détails, consultez “Configuration du service Secure Sockets Layer (SSL)” à la page 155. Activer la gestion WebDAV Sélectionnez cette option si vous souhaitez que vos utilisateurs puissent employer la gestion WebDAV. Si vous activez le protocole WebDAV, vous devrez également configurer des “royaumes” pour chacun des sites Web pour limiter le nombre d’utilisateurs autorisés à effectuer des changements sur le site. Pour plus d’informations sur l’utilisation de WebDAV, consultez “Comprendre les domaines et les autorisations WebDAV” à la page 162. Nombre maximum de connexions simultanées Tapez le nombre maximal de connexions simultanées acceptées par tout site Web de votre serveur. La valeur maximale par défaut est de 500. Lorsque le serveur atteint le nombre maximal de connexions simultanées, les nouvelles requêtes reçoivent un message leur indiquant que le serveur est occupé. Maximum de connexions persistantes Tapez le nombre maximal autorisé de requêtes de connexion provenant d’ordinateurs clients pour une seule connexion. L’attribution de connexions persistantes permet au serveur d’utiliser une seule connexion pour effectuer plusieurs transactions, ce qui permet d’améliorer la performance du serveur. Tapez 0 pour qu’ il n’y ait aucune limite au nombre de requêtes autorisées par connexion. Toutefois, la valeur par défaut, 500, assure de meilleures performances.) Remarque : Vous devez désactiver le cache performances pour utiliser cette option. Délai de connexion Tapez le nombre de secondes qui peuvent s’écouler entre les requêtes avant que la session ne soit déconnectée par le serveur Web. Vous devez désactiver le cache performances pour utiliser cette option. Service Web 137 Réglages de sites pour le service Web Le panneau Sites répertorie vos sites Web et fournit quelques informations élémentaires sur chacun d’eux. Le panneau des sites permet d’ajouter de nouveau sites ou de modifier les réglages des sites présents. Pour accéder au panneau des sites, cliquez sur Web et choisissez Configurer le service Web, puis cliquez sur l’onglet Sites. Activité Cochez cette case pour activer ou désactiver un site. Cette case est sélectionnée par défaut chaque fois que vous créez un nouveau site. La désactivation d’un site permet de conserver ses réglages mais les requêtes adressées ne seront plus prises en compte. Ajouter et Dupliquer Cliquez sur le bouton Ajouter pour ajouter un nouveau site Web à la liste et le configurer. Vous pouvez également sélectionner un site Web comportant la plupart des réglages que vous désirez utiliser pour un nouveau site, puis cliquer sur Dupliquer pour créer un site dupliqué. Vous pourrez alors effectuer les modifications de réglages du site et sauvegarder ce dernier comme un nouveau site. Modifier Sélectionnez un site Web et cliquez sur Modifier pour le modifier. Pour obtenir des informations sur les modifications de réglages de site Web, consultez “Web Réglages de site” à la page 141. 138 Chapitre 7 Supprimer Pour supprimer un site de votre liste, sélectionnez-le puis cliquez sur Supprimer. Cette opération n’élimine pas le site Web ou son contenu du serveur ; seuls le nom et les réglages sont supprimés de la liste Configurer le service Web. Réglages des types MIME pour le service Web MIME (Multipurpose Internet Mail Extension) constitue une norme Internet de description du contenu d’un fichier. Le panneau Types MIME vous permet de configurer le mode de réponse de votre serveur Web lorsqu’un navigateur demande certains types de fichiers. Pour plus de détails sur les types MIME et leurs affectations, consultez “Comprendre le fonctionnement de Multipurpose Internet Mail Extension (MIME)” à la page 153. Pour accéder au panneau des sites, cliquez sur Web et choisissez Configurer le service Web, puis cliquez sur l’onglet des types MIME. Suffixe Le suffixe décrit le type de données contenues dans un fichier, par exemple audio, texte ou vidéo. Réponse du serveur Web La réponse du serveur Web indique la tâche attribuée par vous au serveur Web lorsque ce dernier reçoit une demande de fichier pour un suffixe donné. La réponse peut prendre la forme d’une opération, d’une réponse ou encore de l’association combinée de l’une et l’autre. Service Web 139 Ajouter, Modifier, Dupliquer et Effacer Cliquez sur ces boutons pour ajouter un nouveau type MIME ou modifier les types en fonction. Réglages proxy du service Web Vous pouvez utiliser votre serveur Web comme proxy pour vos utilisateurs, en enregistrant régulièrement sur un cache les sites Web souvent visités afin d’améliorer les performances du serveur. Pour accéder au panneau Proxy, cliquez sur Web, choisissez Configurer le service Web, puis cliquez sur l’onglet Proxy. Activer le proxy Cochez cette case pour utiliser votre serveur comme proxy pour vos utilisateurs. L’utilisation du serveur comme proxy peut par exemple s’avérer utile dans le cadre d’une classe où tous les élèves sont dirigés vers les mêmes sites Web pour un projet. Si tous les élèves tentent de se connecter au même moment, votre serveur peut regrouper les requêtes de connexion et mettre le site en mémoire cache, ce qui permet d’améliorer les performances. Pour utiliser le service proxy, vos utilisateurs clients doivent désigner votre serveur Web comme serveur proxy dans les préférences de leur navigateur Web. Mémoire cache maximale Tapez l’espace disque maximal que vous souhaitez attribuer à la mise en mémoire cache des demandes d’ordinateurs clients faites à d’autres sites Web. L’utilisation du cache permet de maximiser la performance d’une connexion lente au réseau. Lorsque le cache atteint sa taille maximale, les fichiers les plus anciens sont effacés du dossier de cache. 140 Chapitre 7 Dossier de cache Tapez le chemin et le nom du dossier à utiliser comme emplacement de stockage du cache. Si le service de fichiers est activé ou si vous êtes en train d’utiliser Admin Serveur sur le serveur, vous pouvez localiser le dossier en cliquant sur le bouton Sélectionner. Bloquer l’accès aux hôtes ci-dessous Cliquez sur le bouton Ajouter et saisissez le nom de domaine ou l’adresse IP des sites Web que vous ne désirez pas mettre en mémoire cache. Les sites de cette liste ne seront pas placés en mémoire cache tant que le navigateur Web de l’utilisateur client intègre votre serveur comme son serveur proxy. Il est préférable de dresser une liste des sites Web peu sûrs. Importer Cliquez sur ce bouton pour importer une liste des sites Web que vous ne souhaitez pas cacher. Cette liste doit être un fichier texte, les noms d’hôtes étant séparés par un espace blanc (lignes, espaces, ou tabulations). Exporter Cliquez sur ce bouton pour exporter vers un fichier de textes la liste des hôtes auxquels l’accès est bloqué. Web Réglages de site La fenêtre des réglages du site vous permet de configurer vos sites Web. Pour ouvrir cette fenêtre, cliquez sur Web et choisissez Configurer le service Web, puis cliquez sur l’onglet Sites. Cliquez sur Ajouter pour ouvrir la fenêtre d’un nouveau site. Sélectionnez un site de la liste et cliquez sur Modifier ou Dupliquer pour ouvrir la fenêtre de ce site. La fenêtre des réglages comprend quatre panneaux : Général, Consignation, Accès et Sécurité. Les réglages réalisés auront un effet sur des sites Web précis mais pas sur l’ensemble du service Web. Certains réglages dépendent toutefois des réglages effectués pour le service Web. Si par exemple vous activez SSL pour un site, il faut désactiver au préalable SSL pour votre service Web. Les réglages de ces panneaux sont examinés ci-dessous. Service Web 141 Réglages généraux pour les sites Web Utilisez le panneau Général de la fenêtre des réglages du site pour définir les options générales pour un site Web en particulier, comme le nom et le numéro du port. Pour accéder au panneau général des sites Web, cliquez sur Web, choisissez Configurer le service Web, puis cliquez sur l’onglet Sites. Cliquez sur Ajouter, ou alors sélectionnez un site et cliquez sur Modifier ou Dupliquer. Nom Tapez le nom de domaine complet du site, plutôt que le nom d’hôte. Server.apple.com constitue un exemple de nom de domaine complet. Adresse IP Tapez l’adresse IP du site. Pour chaque site Web hébergé, vous devez définir une combinaison unique d’ une adresse IP et d’un numéro de port, ou encore un nom d’hôte différent pour le serveur. Si vous définissez une adresse IP différente, l’ordinateur serveur doit être configuré pour accepter des paquets IP pour des adresses IP multiples. Pour plus de détails sur l’attribution d’adresses IP multiples, consultez “Configuration de plusieurs adresses IP sur un port” à la page 339. 142 Chapitre 7 Port Choisissez le port à utiliser pour les connexions à ce site. Le serveur utilise par défaut le port 80 pour toutes les connexions aux sites Web de votre serveur, mais vous pouvez changer le port utilisé pour un site Web en particulier. Vous pouvez choisir n’importe quel nombre jusqu’à 8 999, mais assurez-vous que le port sélectionné n’est pas déjà utilisé par un autre service (tel que FTP, le partage de fichiers Apple ou les connexions SMTP). Si vous activez SSL pour ce site, il est préférable d’utiliser le port 443, qui constitue le port HTTPS par défaut pour SSL. Vous trouverez une liste des numéros de port TCP et UDP, ainsi que des services pour lesquels ils sont utilisés dans “Ports utilisés par les ordinateurs Mac OS X” à la page 335. Dossier Web Tapez le chemin du répertoire à utiliser comme racine de ce site. Si le service de fichiers est activé ou si vous êtes en train d’utiliser Admin Serveur sur le serveur, vous pouvez cliquer sur Sélectionner pour parcourir le Web à la recherche d’un dossier. Nom de document par défaut Tapez le nom du fichier que les utilisateurs devraient visualiser s’ils se connectent au site en utilisant le nom de domaine ou de répertoire au lieu du nom de fichier. Lors de la première installation du logiciel, le nom par défaut du document est “index.html”. S’il n’existe pas de document par défaut, les utilisateurs visualisent une liste de répertoire (si la liste de répertoire est activée). Voir “Activer les listes détaillées des dossiers” à la page 136 et “Activer le cache performances” ci-dessous. Remarque : Le champ “Nom de document par défaut” peut contenir plusieurs entrées. Tout nom de fichier contenant un espace doit apparaître entre guillemets. Chaque entrée doit être séparée par un espace. Activer le cache performances Sélectionnez cette option si votre site Web contient des fichiers HTML statiques et que vous prévoyez une forte fréquentation de ces pages. N’activez pas le cache si la plupart de vos pages Web sont dynamiques. Pour plus d’informations sur le cache performances, consultez “Désactivation du cache pour les pages Web dynamiques” à la page 161. Activer l’indexation des dossiers Sélectionnez cette option si vous souhaitez que les utilisateurs visualisent une liste du contenu du dossier Web au lieu du document par défaut lorsqu’ils se connectent à ce site. Si l’indexation n’est pas activée et qu’il n’y a pas de page Web par défaut, les utilisateurs visualiseront un message leur indiquant que l’accès est refusé. Activer WebDAV Sélectionnez cette option pour utiliser WebDAV sur ce site. Vous devez également activer WebDAV dans le panneau Général de la fenêtre de configuration du service Web. Service Web 143 Activer l’exécution en CGI Sélectionnez cette option si vous souhaitez exécuter les programmes Common Gateway Interface (CGI) situés dans votre dossier Web. Pour plus de détails sur les programmes CGI, consultez “Utilisation d’un script Common Gateway Interface (CGI)” à la page 152. Adresse de l’administrateur Tapez l’adresse que vous souhaitez utiliser comme adresse de retour pour tout message d’erreur envoyé à un client. Les pages d’erreurs par défaut d’Apache présentent un lien vers une adresse que vous spécifiez, de sorte que les utilisateurs clients puissent fournir des informations en cas de problèmes rencontrés sur un site Web. Consignation des réglages de sites Web Le panneau Consignation de la fenêtre des réglages du site vous permet de configurer et d’activer les historiques d’un site Web particulier. Pour accéder au panneau Consignation, cliquez sur Web, choisissez Configurer le service Web, puis cliquez sur l’onglet Sites. Cliquez sur Ajouter, ou alors sélectionnez un site et cliquez sur Modifier ou Dupliquer. Cliquez ensuite sur l’onglet Consignation. Activer l’historique des accès Sélectionnez cette case pour créer une entrée dans l’historique chaque fois que le site Web est visité. 144 Chapitre 7 Archiver tous les _ jours Tapez le nombre de jours pendant lesquels un fichier d’historiques continuera à enregistrer les opérations. Au terme d’une période déterminée par vous, l’historique en cours sera enregistré, la date du jour sera ajoutée à son nom et un nouveau fichier d’historique sera mis en route. Emplacement Tapez le chemin et le nom de fichier de l’emplacement où vous souhaitez stocker le fichier d’historiques. Si le service de fichiers est activé ou si vous êtes en train d’utiliser Admin Serveur sur le serveur, cliquez sur Sélectionner et naviguez sur le site pour trouver l’emplacement. L’emplacement par défaut des fichiers d’historiques est /var/log/httpd Activer l’historique des erreurs Cochez cette case pour consigner les erreurs qui surviennent sur ce site Web. Réglages d’accès pour sites Web Le Le panneau Accès de la fenêtre des réglages du site vous permet de configurer les “domaines” ou emplacements d’un site. Lorsque WebDAV est activé, les utilisateurs peuvent visualiser ces domaines ou encore y effectuer des modifications pendant que le site est actif. Pour plus de détails sur la création de domaines et l’attribution d’autorisations, consultez “Comprendre les domaines et les autorisations WebDAV” à la page 162. Pour trouver le panneau Accès, cliquez sur Web, choisissez Configurer le service Web, puis cliquez sur l’onglet Sites. Cliquez sur Ajouter, ou alors sélectionnez un site et cliquez sur Modifier ou Dupliquer. Cliquez ensuite sur l’onglet Accès. Service Web 145 Sélectionnez un domaine et cliquez soit sur Modifier, soit sur Dupliquer, ou cliquez sur Ajouter pour définir un nouveau domaine à l’aide du panneau suivant. Nom de domaine Tapez le nom qui devra s’afficher lorsque les utilisateurs se connectent. Le nom de domaine par défaut est celui du site Web. Il est préférable d’utiliser des noms uniques pour vos domaines. Dossier Tapez le chemin vers l’emplacement d’un site Web dont vous souhaitez limiter l’accès. Si le service de fichiers est activé ou si vous êtes en train d’utiliser Admin Serveur sur le serveur, vous pouvez cliquer sur Sélectionner et naviguer pour trouver l’emplacement souhaité. Tous Sélectionnez cette case et choisissez le niveau d’accès que vous souhaitez définir pour Tous (Tous désigne toute personne pouvant accéder à votre site Web). Vous pouvez choisir entre “peut explorer” et “peut explorer et créer”. Selon votre choix, vous serez invité à choisir d’autres options : m Si vous sélectionnez cette case et choisissez “peut explorer,” la liste Utilisateurs et groupes apparaît en dessous. Cette liste vous permet de définir des autorisations de création pour des utilisateurs spécifiques. m Si vous cochez cette case et choisissez “peut explorer et créer”, la liste Utilisateurs et groupes ne s’affiche pas car aucune autorisation supplémentaire n’est à définir. 146 Chapitre 7 m Si vous ne cochez pas la case, le menu local est désactivé et la liste Utilisateurs et groupes s’affiche en dessous. Cette liste vous permettra de définir des autorisations d’exploration et de création pour des utilisateurs spécifiques. Utilisateurs et groupes Vous pouvez utiliser cette liste pour attribuer des autorisations de navigation ou de création à des utilisateurs spécifiques. La liste ne s’affiche que si vous réglez l’autorisation de Tous sur “peut explorer” ou si vous ne sélectionnez aucune autorisation d’accès pour Tous. La liste demeure vide jusqu’à ce que vous y glissiez les noms d’utilisateur ou de groupe à partir de la liste Utilisateurs et groupes de Mac OS X Server. Permettre la création Sélectionnez cette option pour attribuer à un utilisateur ou à un groupe des autorisations de création pour ce domaine. Supprimer Sélectionnez un nom dans la liste des utilisateurs et groupes et cliquez sur ce bouton pour refuser l’accès de ce domaine à l’utilisateur ou au groupe sélectionné. Service Web 147 Réglages de sécurité des sites Web Le panneau Sécurité de la fenêtre des réglages du site vous permet de configurer et d’activer des transactions sécurisées pour chaque site Web. Pour accéder au panneau Sécurité, cliquez sur Web, choisissez Configurer le service Web, puis cliquez sur l’onglet Sites. Cliquez sur Ajouter, ou alors sélectionnez un site et cliquez sur Modifier ou Dupliquer. Cliquez ensuite sur le panneau Sécurité. Pour davantage d’informations sur la configuration du service SSL, consultez “Configuration du service Secure Sockets Layer (SSL)” à la page 155. Activer le protocole SSL Sélectionnez cette option pour activer SSL pour chaque site Web. Assurez-vous que la gestion SSL a été activée sur l’ensemble du service Web dans le panneau Général de la fenêtre Configurer le Service Web. Modifier le fichier de certificat SSL Cliquez sur ce bouton pour ajouter le contenu de votre fichier de certificat. Il s’agit du fichier “server.crt” qui comporte l’identifiant sécurisé “Secure Server ID” qui vous a été envoyé par votre fournisseur de certificat. Il se trouve dans le répertoire suivant : /etc/httpd/ssl.crt/ Modifier le fichier de clé Cliquez sur ce bouton pour ajouter le contenu de votre fichier de clé. Il s’agit du fichier “key.pem,” que vous avez configuré lors de l’élaboration de la demande de signature du certificat (CSR). 148 Chapitre 7 Modifier le fichier Certificat CA Cliquez sur ce bouton pour ajouter le contenu du fichier de certificat CA reçu du fournisseur de certificats. (Ce fichier est optionnel. Pour plus d’informations, consultez “Configuration du service Secure Sockets Layer (SSL)” à la page 155.) Phrase d’accès Cliquez sur ce bouton pour ajouter la phrase d’accès SSL que vous avez définie lors de la création du CSR. La phrase d’accès démonte la clé du certificat du serveur. Fichier d’historique SSL Tapez l’emplacement et le nom du fichier d’historique dans lequel seront enregistrées les événements SSL. Si le service de fichiers est activé ou si vous êtes en train d’utiliser Admin Serveur sur le serveur, vous pouvez cliquer sur Sélectionner pour retrouver le fichier que vous souhaitez utiliser. Stratégies et astuces pour le service Web Il existe plusieurs manières d’optimiser les performances du service Web, d’empêcher les brèches de sécurité et de personnaliser le mode d’administration de votre service Web. Cette section vous apporte certaines des informations nécessaires à une première approche et à la compréhension de certains éléments qui vous permettront de progresser. Utilisation de connexions persistantes pour améliorer la performance de votre serveur Généralement, chaque requête et réponse HTTP utilise une connexion TCP séparée. Lorsqu’un ordinateur client contacte le serveur, le serveur ouvre une connexion, lit la requête et ferme ensuite la connexion. Pour répondre à la requête, le serveur ouvre une autre connexion, fournit une réponse et ferme ensuite la connexion. L’ouverture et la fermeture répétées de connexions s’avèrent peu efficaces et diminuent la performance. Les connexions persistantes permettent au serveur d’effectuer plusieurs transactions lors d’une seule connexion. Le serveur et l’ordinateur client doivent tous deux être capables d’effectuer des connexions persistantes. (La majorité des navigateurs d’usage populaire gèrent des connexions persistantes.) Pour assurer le fonctionnement d’une connexion persistante, la taille de l’information transmise doit être connue. Ainsi, la longueur des fichiers d’images et des pages statiques HTML est connue. Les scripts Common Gateway Interface (CGI) scripts et les pages HTML générées dynamiquement ne possèdent pas une longueur connue. Vous pouvez limiter le nombre de requêtes effectuées au cours d’une connexion persistante. Si ce nombre est fixé à zéro, il n’y a aucune limite au nombre de requêtes autorisées par connexion. Toutefois, la valeur par défaut, 500, assure de meilleures performances.) Service Web 149 Travailler avec des modules Web Les modules “se branchent” sur le logiciel de serveur Web Apache et ajoutent des fonctionnalités à votre site Web. Apache est fourni avec certains modules standards. Vous pouvez également acquérir des modules chez des fournisseurs de logiciels ou encore les télécharger à partir d’Internet. Des informations sur les modules Apache sont disponibles sur les sites Web suivants : m www.apache.org/docs/mod m www.mod.apache.org Pour visualiser la liste des modules Web installés sur votre serveur, cliquez sur Web dans l’Admin Serveur et choisissez État du service Web. Pour installer un module, suivez les instructions qui l’accompagnent. Le serveur Web charge les modules à partir de ce répertoire : /usr/libexec/httpd/ Vous devez également modifier le fichier httpd.conf pour charger et ensuite ajouter de nouveaux modules. Modules spécifiques pour Macintosh Le service Web dans Mac OS X Server installe des modules spécifiques au Macintosh. Ces modules sont décrits dans le chapitre présent. mod_macbinary_apple Ce module assemble en paquet des fichiers au format MacBinary, ce qui permet aux fichiers Macintosh d’être téléchargés directement depuis votre site Web. Un utilisateur peut télécharger un fichier MacBinary via un navigateur Web régulier en ajoutant “.bin” à l’URL utilisé pour accéder à ce fichier. mod_sherlock_apple Ce module permet à Apache d’effectuer des recherches par ordre de pertinence sur le site Web à l’aide de Sherlock. Après avoir indexé votre site avec Sherlock, vous pouvez fournir un champ de recherches pour les utilisateurs effectuant des recherches sur votre site Web. Vous devez ajouter l’expression “.sherlock” à l’adresse URL de votre site. mod_auth_apple Ce module permet à un site Web d’authentifier les utilisateurs en les recherchant dans les domaines du service de répertoire faisant partie de la politique de recherche du serveur. Lorsque l’authentification est activée, les visiteurs d’un site Web doivent fournir des nom et mot de passe d’utilisateur avant d’accéder aux informations disponibles sur ce site. 150 Chapitre 7 mod_redirectacgi_apple Ce module fonctionne conjointement avec l’application ACGI Enabler afin de permettre aux utilisateurs d’exécuter les programmes ACGI (Mac OS CGIs). Pour activer un programme ACGI, connectez-vous comme administrateur et ouvrez l’application ACGI Enabler. Ne vous déconnectez pas de cette application car elle doit être en service pour que les programmes ACGI puissent fonctionner. mod_hfs_apple Pour ce module, les utilisateurs doivent taper les URL des volumes HFS en respectant la casse (minuscules ou majuscules). Ce module procure davantage de sécurité aux volumes insensibles à la casse. S’il existe une restriction pour un volume, les utilisateurs reçoivent un message les informant que l’URL est introuvable. Modules de logiciel libre “Open Source” Mac OS X Server comprend ces modules open source : Tomcat, PHP : Hypertext Preprocessor, mod_perl et MySQL. Tomcat Le module Tomcat, qui utilise un programme de pilotage similaire à Java, constitue la mise en oeuvre de référence officielle appliquée de deux technologies complémentaires développés dans le cadre du Java Community Process : m Java Servlet 2.2. Pour les spécifications concernant Java Servlet API, consultez le site suivant : java.sun.com/products/servlets m JavaServer Pages 1.1. Pour ces spécifications API, consultez : java.sun.com/products/jsp Pour utiliser Tomcat, vous devez d’abord l’activer. Procédez comme suit : 1 Ouvrez /private/etc/httpd/httpd.conf. 2 Décommentez les lignes en rapport avec la configuration du serveur Tomcat ou ajoutez les lignes suivantes à la fin du fichier : LoadModule jserv_module /usr/libexec/httpd/mod_jserv.so AddModule mod_jserv.c Incluez /private/etc/httpd/tomcat.conf 3 À l’aide d’Admin Serveur, créez un site hôte virtuel indiquant /usr/webapps/ROOT. 4 Démarrez Tomcat en ouvrant l’application Terminal et en tapant les instructions suivantes : /usr/bin/tomcat.sh start Service Web 151 5 À l’aide d’un navigateur Web, tapez l’adresse URL de votre site pour vérifier si Tomcat fonctionne comme prévu. (L’adresse URL est du type suivant, où “exemple.com” représente le nom de domaine de votre site.) http://www.exemple.com/ Pour obtenir la documentation Tomcat et quelques exemples, consultez /etc/httpd/ tomcat.conf. PHP: Préprocesseur hypertexte Ce module vous permet de traiter un contenu Web dynamique à l’aide d’un langage de pilotage intégré au code HTML du côté du serveur. Les développeurs de sites Web intègrent le code PHP dans le code HTML, ce qui permet aux programmeurs d’intégrer la logique dynamique directement dans un script HTML au lieu de créer un programme générant HTML. PHP fournit la capacité CGI et gère un grand nombre de bases de données. Contrairement au script Java client, le code PHP est exécuté sur le serveur. Pour plus de détails sur ce module, consultez www.php.net. mod_perl Ce module intègre la totalité de l’interpréteur Perl dans Mac OS X Server, permettant aux scripts CGI Perl existants de fonctionner sans modifications. Grâce à cette intégration, les codes fonctionnent plus rapidement et consomment moins de ressources système. Consultez perl.apache.org pour plus d’informations concernant ce module. MySQL MySQL apporte une solution de gestion de base de données relationnelle pour votre serveur Web. Grâce à ce module, vous pouvez lier les données de différents tableaux ou bases de données et servir ces informations sur votre site Web. Pour plus d’informations sur ce module, visitez le site www.mysql.com. Utilisation d’un script Common Gateway Interface (CGI) Lorsque des utilisateurs se connectent à votre site Web, ils visualisent généralement une page ou un graphisme html statique. Les scripts, ou programmes, CGI (Common Gateway Interface) vous permettent d’intégrer des fonctions dynamiques à votre site Web grâce à la en transmission en alternance des informations entre votre site Web et une application qui procure un service à votre site. Si par exemple un utilisateur remplit un formulaire sur votre site, vous pouvez utiliser une CGI pour envoyer le message à une application qui traitera les données et enverra une réponse à l’utilisateur. Les CGI pour Mac OS sont souvent des scripts AppleScripts mais elles peuvent aussi être des applications. 152 Chapitre 7 Une CGI peut aussi effectuer seule une fonction personnalisée. Une CGI pourrait par exemple effectuer un comptage des visiteurs chaque fois qu’un utilisateur accède au site Web et inséré ce nombre généré dynamiquement sur votre page Web. Pour utiliser une CGI : Étape 1 : Installation d’une CGI Vous pouvez choisir les emplacements suivants pour l’installation d’une CGI : Pour un seul site : Placez la CGI dans le dossier Documents de votre site Web. Le nom de la CGI doit se terminer par “.cgi.” Si vous installez la CGI ici, vous devez l’activer pour le site. Pour tous les sites : mettez le CGI dans le dossier /Library/WebServer/CGI-Executables. Pour que la CGI fonctionne sur votre site, vous devez ajouter /cgi-bin/ à l’URL de votre site. Il n’est pas nécessaire d’activer la CGI. Une fois installée, celle-ci est en service. Étape 2 : Activation de l’exécution en CGI pour votre site Dans Admin Serveur, cliquez sur Web et choisissez Configurer le service Web, puis cliquez sur l’onglet Sites. Sélectionnez un site dans la liste, puis cliquez sur Modifier. Sélectionnez ensuite sur Activer l’exécution en CGI dans le panneau Général de la fenêtre des réglages du site. Étape 3 : Redémarrage du service Web Vous devez arrêter le service Web et le redémarrer pour que les modifications prennent effet. Comprendre le fonctionnement de Multipurpose Internet Mail Extension (MIME) La spécification MIME (Multipurpose Internet Mail Extension) est un standard Internet permettant de définir ce qui se produit lorsqu’un navigateur Web sollicite un fichier possédant certaines caractéristiques. Vous pouvez choisir la réponse fournie par le serveur Web en fonction du suffixe du fichier. Vos choix dépendront en partie des modules que vous avez installés sur votre serveur Web. Toute combinaison d’un suffixe de fichier et de la réponse correspondante s’appelle “association de type MIME”. Suffixes MIME Un suffixe décrit le type de données présentes dans un fichier. Vous trouverez ci-dessous quelques exemples : m txt pour les fichiers de texte m cgi pour les fichiers Common Gateway Interface m gif pour les fichiers GIF (graphiques) m au pour les fichiers sonores m tiff pour les fichiers TIFF (graphiques) Service Web 153 Mac OS X Server installe une liste par défaut des suffixes de type MIME. Si un des suffixes dont vous avez besoin n’est pas dans la liste, vous pouvez l’ajouter à cette dernière en utilisant l’Admin Serveur. Réponses du serveur Web Lorsqu’un fichier est demandé, le serveur Web manipule ce fichier en utilisant la réponse spécifiée pour son suffixe. Les réponses données seront soit une opération, soit un type MIME. Les réponses suivantes seront éventuellement données : m renvoyer le fichier comme type MIME (saisissez l’association que vous désirez renvoyer) m send-as-is (envoyez le fichier tel quel) m script cgi (exécutez un script CGI désigné par vous) m fichier imap (générez un message courrier IMAP) m mac-binary (téléchargez un fichier compressé en format MacBinary) Les associations de type MIME se divisent en deux sous-champs séparés par un slash, par exemple “text/plain”. Mac OS X Server comprend une liste d’associations de type MIME par défaut. Vous êtes libre de modifier ces dernières ou encore d’en intégrer d’autres. Lorsque vous spécifiez un type MIME comme réponse, le serveur identifie le type de données sollicitées et envoie la réponse réponse spécifiée. Ainsi, si le navigateur sollicite un fichier comportant le suffixe “jpg”, et que l’association de type MIME correspondante est “image/jpeg”, le serveur sait qu’il doit envoyer un fichier image de format JPEG. La seule tâche du serveur consiste à servir les données sollicitées. Le traitement des opérations est différent. Si vous avez associé une opération à un suffixe, votre serveur exécute un programme ou un script, et le résultat est servi sur le navigateur interrogateur. Si par exemple un navigateur demande un fichier avec le suffixe “cgi” et si la réponse associée est l’opération “cgi-script”, votre serveur utilisera le script et enverra les données obtenues sur le navigateur interrogateur. 154 Chapitre 7 Éditeur de types MIME Vous pouvez créer des types MIME et les associer aux réponses du serveur à l’aide d’Admin Serveur. Pour accéder à l’éditeur de types MIME, cliquez sur Ajouter dans le panneau des types MIME ou sélectionnez un type MIME existant, puis cliquez sur Modifier. L’éditeur s’affiche ici. Configuration du service Secure Sockets Layer (SSL) Si vous souhaitez garantir la sécurité des transactions sur votre serveur, dans le cas où, par exemple, vous autorisez des utilisateurs à effectuer des achats sur un site Web, il est préférable d’installer la protection SSL (Secure Sockets Layer). SSL vous permet d’envoyer sur Internet des informations cryptées et authentifiées. Par conséquent, si vous souhaitez autoriser l’utilisation de cartes de crédit sur un site Web, par exemple, vous pouvez protéger les informations qui transitent sur ce site. Lorsque vous générez une requête de signature de certificat (CSR), le fournisseur de certificats vous envoie un certificat à installer sur votre serveur. Il peut également vous envoyer un certificat CA (ca.crt), dont l’installation est facultative. Les certificats CA se trouvent habituellement dans les applications clientes comme Internet Explorer et permettent à ces applications de vérifier que le certificat du serveur a été délivré par le fournisseur autorisé. Les certificats CA peuvent toutefois faire l’objet de modification ou encore arriver à expiration, de sorte que certaines applications clientes risquent de ne pas être actualisées. Service Web 155 Pour configurer SSL, suivez les instructions suivantes : Étape 1 : Génération d’une requête de signature de certificat (CSR) pour votre serveur Une CSR est un fichier comprenant les informations nécessaires à la configuration du certificat de votre serveur. Générer une CSR pour votre serveur : 1 Connectez-vous à votre serveur en utilisant le mot de passe racine et ouvrez l’application Terminal. 2 À l’apparition de l’invite, tapez ces commandes et appuyez sur la touche Retour à la fin de chacune d’elle. cd openssl md5 * > rand.dat openssl genrsa -rand rand.dat -des 1024 > key.pem 3 À l’apparition de l’invite suivante, tapez une phrase d’accès, puis appuyez sur Retour. La phrase d’accès que vous avez créée démonte la clé du certificat du serveur. Vous devrez utiliser la phrase d’accès lorsque vous activerez SSL sur votre serveur Web. 4 Créez sur votre serveur un dossier portant le nom suivant (sauf s’il existe déjà) : /etc/httpd/ssl.key/ Faites une copie du fichier key.pem (créé lors de l’étape 2) et renommez-le “server.key”. Copiez ensuite server.key sur le dossier. 5 À l’apparition de l’invite, tapez la commande suivante et appuyez sur Retour. openssl req -new -key key.pem -out csr.pem 6 Sur invite, tapez les informations suivantes : m Pays : le pays dans lequel se trouve votre entreprise. m Province : tapez en toutes lettres le nom de votre province. m Localité : Il s’agit de la ville où se trouve votre organisation. m Nom de l’entreprise : Il s ’agit obligatoirement de l’entreprise auprès de laquelle votre nom de domaine est enregistré. m Section organisationnelle : Il s’agit habituellement d’un nom similaire à celui d’un département. m Nom courant de votre serveur Web : Il s’agit du nom DNS, tel que server.apple.com m Adresse électronique : l’adresse à laquelle vous souhaitez recevoir le certificat. Le fichier “csr.pem” est généré à partir des informations introduites par vous. À l’invite, tapez ce qui suit, puis appuyez sur Retour. 156 Chapitre 7 cat csr.pem La commande cat permet de répertorier le contenu du fichier créé lors de l’étape 5 (csr.pem). Vous devriez alors visualiser la phrase “Begin Certificate Request” (“Introduire la requête de certificat”), suivie d’un message crypté. Le message se termine par la phrase “End Certificate Request” (“Terminer la requête de certificat”). Il s’agit de la requête de signature de certificat (CSR). Étape 2 : Obtenir un certificat de site Web Vous devez acquérir un certificat pour chaque site Web auprès de l’autorité compétente. Lors de l’acquisition de votre certificat, il est important de tenir compte des éléments suivants : m Vous devez fournir un nom de domaine InterNIC enregistré dans votre organisation. m Si l’on vous demande de choisir un vendeur de logiciels, sélectionnez Apache Freeware avec SSLeay. m Étant donné que vous avez déjà généré une CSR, à l’invite, ouvrez votre fichier CSR avec un éditeur de texte, puis copiez et collez le contenu du fichier CSR dans le champ de texte approprié sur le site Web du fournisseur de certificat. Au terme de la procédure, vous recevrez un message de courrier électronique contenant un identifiant sécurisé “Secure Server ID”. Il s’agit de votre certificat de serveur. Après réception du certificat, enregistrez-le sur le disque dur de votre serveur Web sous la forme d’un fichier nommé “server.crt”. Étape 3 : Installation du certificat sur votre serveur 1 Connectez-vous à votre serveur comme racine. 2 Créez un dossier portant le nom suivant (sauf s’il est déjà présent sur votre serveur) : /etc/httpd/ssl.crt/ 3 Copiez “server.crt” (le fichier comportant votre identifiant) dans le dossier. Étape 4 : Activer le SSL pour le site 1 Dans Admin Serveur, cliquez sur Web et choisissez Configurer le service Web. 2 Assurez-vous que l’option Activer la gestion SSL est sélectionnée pour l’ensemble du site. 3 Cliquez sur Sites, puis sélectionnez le site sur lequel vous comptez utiliser le certificat et cliquez sur Modifier. 4 Sélectionnez Activer SSL. Service Web 157 158 Chapitre 7 5 Cliquez sur le bouton de modification du fichier de certificat et collez le texte de votre fichier de certificat (celui que vous avez obtenu auprès du fournisseur de certificat) dans le champ de texte, puis cliquez sur Enregistrer. 6 Cliquez sur Modifier le fichier de clé et collez le texte de votre fichier de clé (le fichier key.pem, que vous avez configuré précédemment) dans le champ de texte, puis cliquez sur Enregistrer. 7 Cliquez sur le bouton de modification du fichier de certificat CA et collez le texte du fichier ca.crt dans le champ. (Il s’agit d’un fichier optionnel que vous avez éventuellement reçu du fournisseur de certificat.) Cliquez sur Enregistrer. 8 Appuyez sur l’onglet pour passer au champ “Phrase d’accès” et tapez la phrase d’accès à partir de votre CSR dans le champ de texte, puis cliquez sur OK. 9 Choisissez l’emplacement du fichier de consignation dans lequel seront enregistrées les transactions SSL et cliquez sur Enregistrer. 10 Arrêtez, puis redémarrez, le service Web. Contrôle de l’activité et de la performance du service Le service Web propose trois outils très pratiques pour vous aider à surveiller l’activité de votre serveur et à assurer un fonctionnement optimal de ce dernier : l’historique d’accès, d’erreurs et la fenêtre d’état. Historique d’accès et d’erreurs À l’aide d’Admin Serveur, vous pouvez visualiser à distance l’historique d’accès et d’erreurs du service Web. Cliquez sur Visualiseur d’historiques et choisissez Service Web ; sélectionnez ensuite access.log ou error.log dans le menu local. Le nombre d’entrées présentes dans les historiques dépendra de la taille et des objectifs de votre site Web. Le service Web dans Mac OS X Server utilisant le format d’historique Apache standard, vous pouvez employer n’importe quel outil d’analyse d’historique pour l’interprétation des données des historiques. Vous pouvez déterminer un emplacement pour vos fichiers d’historiques en utilisant le panneau Consignation dans la fenêtre des réglages de site. L’emplacement par défaut est /var/log/httpd/. Service Web 159 Fenêtre d’état Vous pouvez également surveiller l’activité du serveur dans la fenêtre d’état du service Web d’Admin Serveur. Pour ouvrir cette fenêtre, cliquez sur Web et choisissez Afficher l’état du service Web. La fenêtre d’État du service Web affiche l’état actuel du serveur et le cache performances. Si le service Web n’est pas en fonction, la fenêtre affiche “État : hors service”, ainsi que la date et l’heure d’arrêt du serveur. Quand le service Web est en fonction, la fenêtre affichée ressemble à celle ci-dessous. Les messages sur l’état du serveur s’affichent dans le champ “Démarrer/Arrêter messages d’état” (vous pouvez consulter le site Web d’Apache en cas de doute quant à leur signification). Les requêtes et les connexions (débit) actuels comprennent les données Apache et celles du cache performances. Les requêtes et débit du cache performances intègrent uniquement les données du cache performances. Configuration avancée d’Apache Si vous êtes un administrateur Web expert d’ Apache, il est préférable de configurer le service Web en modifiant httpd.conf, le fichier de configuration d’Apache. Si vous envisagez un grand nombre de modifications, il est conseillé de configurer votre service Web en utilisant uniquement le fichier de configuration d’Apache au lieu de l’Admin Serveur. 160 Chapitre 7 Les réglages de configuration (directives) que vous effectuez avec Admin Serveur sont consignés dans le fichier de configuration de ce dernier (httpd_macosxserver.conf ). Pour vous permettre d’éviter toute duplication ou encore les directives éventuellement incompatibles, les réglages qui peuvent être réalisés dans Admin Serveur apparaissent dans le fichier de configuration d’Apache précédés du signe (#). Apache ignore toutes les directives précédées de ce signe. Ainsi, la directive pour les connexions persistantes (KeepAlive) apparaît dans le fichier de configuration d’Apache (httpd.conf ) comme suit : #KeepAlive Off En revanche, si vous activez les connexions persistantes dans Admin Serveur, le fichier httpd_macosxserver.conf se présente de la façon suivante : KeepAlive On Étant donné que la directive de “désactivation” est précédée d’un signe dans le fichier de configuration d’Apache, il n’y a pas incompatibilité. Apache lira uniquement la directive présente dans le fichier de configuration de l’Admin Serveur. L’ensemble des réglages utilisés par l’Admin Serveur s’affichent dans le fichier httpd.conf précédés du signe (#). Ne les modifiez pas, sous peine d’anomalies de votre service Web. Important Attention Le fichier httpd_macosxserver.conf ne peut en aucun cas être modifié. Pour plus de détails sur Apache et son utilisation, consultez le site Web d’ Apache : www.apache.org. Désactivation du cache pour les pages Web dynamiques Si vous disposez de pages Web dynamiques sur votre site (telles que les pages générées par des scripts CGI ou des bases de données actualisées fréquemment), vous devez vous assurer que ces pages ne sont pas conservées dans le cache. Dans le cas contraire, vous risquez d’intégrer dans votre site des informations obsolètes et erronées. Votre serveur Web est configuré de telle façon que tout fichier HTML présent sur votre serveur affiche automatiquement une balise supplémentaire avec le délai d’expiration potentiel du fichier dans le cache. L’expiration par défaut dans le cache est de 1 seconde pour les pages HTML et de 1 heure pour les fichiers GIF. Si votre site est en train de servir des informations obsolètes et erronées, vous pouvez effectuer l’une des démarches suivantes : m Vérifiez si le cache performances n’est pas désactivé dans la fenêtre de Configuration du service Web de l’Admin Serveur. Service Web 161 m Modifiez vos scripts CGI (ou tout programme utilisé pour générer des pages HTML dynamiques) pour que les scripts comportent une balise “Cache-Control: no-cache” (“Contrôle cache : pas de cache”) dans la source de toute page HTML dynamique. m Consultez le fichier httpd.conf pour vérifier si les fichiers GIF sont conservés dans le cache. Si les fichiers GIF sont cachés et que vous ne le souhaitez pas, vous pouvez modifier le fichier httpd.conf. Pour ce faire, suivez les instructions ci-après : 1 Ouvrez le fichier httpd.conf avec un éditeur de texte. 2 Recherchez la phrase suivante : ExpiresByType image/gif A3600 Cette commande ordonne au serveur Web d’attribuer aux fichiers GIF une durée de cache de 1 heure (3600 secondes). 3 Insérez le signe (#) au début de la ligne, qui s’affichera alors de cette façon : #ExpiresByType image/gif A3600 Si ce signe est inséré, Admin Serveur ignore la directive de mise en cache des fichiers GIF, de sorte que ces derniers ne se trouvent plus dans le cache. 4 Redémarrez le service Web. Comprendre les domaines et les autorisations WebDAV Si vous utilisez WebDAV pour permettre la création interactive sur votre site Web, il est préférable de définir des domaines et des autorisations d’accès pour les utilisateurs. Tout site hébergé par vous peut être divisé en un certain nombre de domaines, possédant chacun un ensemble propre d’utilisateurs et de groupes disposant d’autorisations de navigation ou de création. Si votre site Web se trouve sur un intranet, il est préférable de créer des domaines. Définition de domaines Lorsque vous définissez un domaine, qui est en fait un dossier (ou un répertoire), les autorisations d’accès que vous définissez pour ce domaine s’appliquent au contenu du répertoire. Si un nouveau domaine est défini pour l’un des dossiers du domaine existant, seules les autorisations du nouveau domaine s’appliqueront à ce dossier et à son contenu. Pour plus de détails sur la création de domaines et la définition d’autorisations d’accès, consultez “Réglages d’accès pour sites Web” à la page 145. Définition d’autorisations WebDAV Le procédé Apache en fonction sur le serveur doit avoir accès aux fichiers et dossiers du site Web. Pour autoriser cet accès, Mac OS X Server installe un groupe intitulé “www”, composé des processus Apache situés dans la base de données Utilisateurs et groupes du serveur. Vous devez attribuer au groupe www un accès en lecture pour les fichiers des sites Web afin de lui permettre de transférer les fichiers vers les navigateurs lorsque les utilisateurs se connectent aux sites. Si vous utilisez WebDAV, le groupe www doit également disposer d’un accès en écriture pour les fichiers et dossiers des sites Web. Résolution de problèmes avec le service Web Si les utilisateurs ne peuvent se connecter au site Web de votre serveur : m Assurez-vous que le service Web est en fonction et que le site est activé. m Vérifiez le champ “Démarrer/Arrêter messages d’état dans la fenêtre d’état du service Web pour les messages. En cas de doute au sujet de la signification de ces messages, consultez le site Web d’Apache (www.apache.org). m Assurez-vous que les utilisateurs entrent l’URL adéquat lorsqu’ils se connectent au serveur Web. m Assurez-vous que le dossier correct est sélectionné comme dossier Web par défaut. Assurez-vous que le fichier HTML correct est sélectionné comme page par défaut. m Si votre site Web est limité à des utilisateurs spécifiques, vérifiez si les utilisateurs disposent d’autorisations d’accès pour votre site Web. m Assurez-vous que les ordinateurs des utilisateurs sont correctement configurés pour TCP/IP. S’il n’y a pas de problème apparent avec les réglages TCP/IP, employez un utilitaire “pinging” afin de vérifier les connexions au réseau. m Vérifiez s’il ne s’agit pas d’un problème DNS. Essayez d’utiliser l’adresse IP du serveur au lieu de son nom DNS pour vous connecter. m Assurez-vous que l’entrée de votre serveur DNS est correcte en ce qui concerne l’adresse IP et le nom de domaine du site Web. Si un module Web ne fonctionne pas comme prévu : m Consultez l’historique des erreurs dans le visualiseur d’historique et recherchez les informations susceptibles d’expliquer le dysfonctionnement. m Si ce module se trouvait sur votre serveur Web, consultez la documentation d’Apache sur ce module et assurez-vous que le fonctionnement de ce dernier est conforme à vos attentes. m Si vous avez vous-même installé ce module, consultez la documentation sur ce module Web et assurez-vous qu’il est correctement installé et qu’il est compatible avec les logiciels de votre serveur. Service Web 163 Pour plus de détails sur les modules Apache gérés pour Mac OS X Server, rendez-vous sur le site Web ci-dessous : www.apache.org/docs/mod/ Si une interface CGI n’entre pas en service : m Vérifiez s’il est indiqué que le code CGI est exécutable. Dans le cas contraire, il ne fonctionnera pas sur votre serveur, même si vous activez l’exécution en CGI dans l’Admin Serveur. m Vérifiez dans le code CGI si l’accès correct a été attribué. Mac OS X Server installe un groupe intitulé “www”, composé des processus Apache situés dans la liste Utilisateurs et groupes du serveur. Un programme CGI doit fournir un accès approprié (Lecture seule ou Lecture et écriture) au groupe www. Spécifications pour le service Web Nombre maximum de connexions simultanées Il n’existe aucune limite d’un point de vue technique. Ce nombre dépend des capacités de votre matériel et du mode de configuration de votre serveur Standards gérés Totalement compatible avec HTTP 1.1 et toute version antérieure Longueur maximale du nom du serveur pour les services de réseau Déterminée par Network Service Locator (NSL) Délai de connexion inactive 60 secondes (vous pouvez réinitialiser) Délai CGI 60 secondes Numéro de port du service Web 80 (vous pouvez réinitialiser) Où trouver des informations sur le service Web Pour toute information sur les fichiers de configuration et autres caractéristiques du service Web d’Apache, consultez les ressources suivantes : m Apache : The Definitive Guide, 2nd Edition, de Ben Laurie et Peter Laurie (chez O’Reilly and Associates, 1999) m Writing Apache Modules with Perl and C, de Lincoln Stein et Doug MacEachern (chez O’Reilly and Associates, 1999) m Web Performance Tuning, de Patrick Killelea (chez O’Reilly and Associates, 1998) 164 Chapitre 7 m Web Security & Commerce, de Simson Garfinkel et Gene Spafford (chez O’Reilly and Associates, 1997) m Pour plus d’informations sur Apache, rendez-vous sur le site Web d’Apache : www.apache.org m Pour une liste complète des méthodes utilisées par les clients WebDAV, consultez les documents RFC 2518. Les documents RFC donnent un aperçu d’un protocole ou service qui peut s’avérer utile pour les administrateurs débutants ainsi que des informations techniques plus détaillées pour les experts. Vous pouvez rechercher les documents RFC par numéro sur le site web suivant : www.faqs.org/rfcs Service Web 165 C H A P I T R E 8 8 Service de courrier En quoi consiste le service de courrier ? Le service de courrier de Mac OS X Server vous permet de fournir un service de courrier électronique aux utilisateurs via votre réseau ou via Internet. Pour que vos utilisateurs puissent envoyer et recevoir du courrier sur Internet, vous pouvez configurer le service de courrier à l’aide de tous les protocoles de courrier Internet standard : IMAP (Internet Message Access Protocol), POP (Post Office Protocol) et SMTP (Simple Mail Transfer Protocol). Les configurations de courrier standard utilisent le protocole SMTP pour envoyer le courrier et les protocoles POP et IMAP pour recevoir des messages sur le serveur local. Ces trois protocoles sont décrits ci-après. POP (Post Office Protocol) Le protocole POP est utilisé pour la réception, et non pour l’envoi, de courrier. Avec le protocole POP, le courrier est distribué sur un serveur partagé auquel les utilisateurs se connectent régulièrement pour télécharger leur courrier. Une fois que l’utilisateur a téléchargé son courrier, ce dernier est effacé du serveur et l’utilisateur peut alors se déconnecter afin de lire, classer et répondre à son courrier ou rédiger de nouveaux messages. POP fonctionne comme un service postal : il stocke le courrier et l’envoie ensuite à des adresses déterminées. L’un des avantages de POP est que votre serveur de courrier ne doit pas stocker le courrier téléchargé par les utilisateurs. Votre serveur ne nécessite donc pas un espace de stockage aussi important que s’il utilisait le protocole IMAP. Cependant, le courrier étant supprimé du serveur, si certains ordinateurs clients connaissent des problèmes de disque dur et perdent leurs fichiers de courrier, seule l’utilisation de données de sauvegarde vous permettra de récupérer ces fichiers. 167 POP ne représente pas le choix le plus approprié pour les utilisateurs clients qui accèdent à leur courrier depuis des endroits distincts (domicile, lieu de travail ou véhicule). Lorsqu’un utilisateur lit son courrier, ce dernier est téléchargé et supprimé complètement du serveur. Si l’utilisateur se connecte par après via un ordinateur différent, il ne sera plus possible d’accéder au courrier lu précédemment. IMAP (Internet Message Access Protocol) Le protocole IMAP est un protocole de courrier client-serveur qui permet aux utilisateurs d’accéder à leur courrier sur Internet quelque soit leur emplacement. Les utilisateurs peuvent envoyer et lire leur courrier à l’aide de nombreuses applications de messagerie Internet standard ou de tout client courrier compatible avec IMAP. Avec IMAP, le courrier des utilisateurs clients est stocké dans une boîte à lettres sur le serveur et s’affiche comme s’il était sur leur ordinateur local. Tout comme POP, IMAP fournit le courrier au serveur mais ce courrier n’est supprimé du serveur qu’au moment où l’utilisateur l’efface. IMAP représente le modèle serveur-client typique, qui permet à l’ordinateur de l’utilisateur de demander au serveur les en-têtes, les corps de certains messages ou encore de rechercher des messages en fonction de critères spécifiques. Ces messages sont téléchargés lors de leur ouverture par l’utilisateur. SMTP (Simple Mail Transfer Protocol) Le protocole SMTP est un protocole TCP/IP utilisé pour l’envoi et le transfert du courrier. Comme sa capacité de stockage des messages entrants en files d’attente est limitée, il n’est en général utilisé que pour envoyer le courrier, alors que les protocoles POP ou IMAP sont destinés à la réception du courrier. Avant de configurer le service de courrier Le mode de gestion du service de courrier dépend de la manière dont vous organisez votre serveur de courrier. Cette section comporte les informations sur l’utilisation du service de courrier sur votre réseau. Vous pouvez installer et utiliser le service de courrier Mac OS X sur un seul ou plusieurs serveurs. Service de courrier sur un serveur unique Lorsqu’un seul serveur est chargé d’assurer le service de courrier, tous les utilisateurs envoient des messages au même serveur. Les messages y sont stockés jusqu’à ce que l’application de courrier de l’utilisateur sollicite le téléchargement des messages sur l’ordinateur client. 168 Chapitre 8 Service de courrier pour domaines multiples Vous pouvez également vous servir de Mac OS X Server pour configurer le service de courrier pour plusieurs domaines. Par exemple, si vous fournissez le service de courrier pour plusieurs sociétés de l’immeuble où vous vous trouvez, chacune d’elles possédant un nom de domaine propre, vous pouvez configurer un service de courrier pour chaque domaine. De même, si votre organisation comporte un nombre d’utilisateurs supérieur à la limite de connexions simultanées gérée par votre serveur de courrier (cela dépend du type de connexion, POP ou IMAP, et de l’utilisation du serveur) ou encore un nombre de messages plus élevé que la limite de stockage des messages, il est préférable de répartir votre service de courrier sur plusieurs serveurs. Répartir le service de courrier sur plusieurs serveurs permet d’améliorer les performances (notamment d’augmenter le nombre de connexions et de messages gérables par le système de courrier), mais il est alors indispensable de gérer avec grande attention la base de données Utilisateurs et Groupes, les entrées DNS et les serveurs de courrier. En cas de partage du service de courrier sur plusieurs serveurs, ces derniers prennent part à une opération de stockage et de réexpédition. Chaque serveur de courrier stocke les messages entrants pour les utilisateurs se connectant à ce même serveur et réexpédie les messages entrants destinés aux utilisateurs se connectant aux autres serveurs. Enregistrements MX pour service de courrier basé sur Internet Lors de la configuration du service de courrier, le courrier entrant est envoyé à un ordinateur (appelé aussi hôte courrier), où il est conservé jusqu’au moment où un utilisateur se connecte à l’hôte pour lire le courrier. Vous devez également définir un ordinateur de remplacement pour la réception de courrier, au cas où l’hôte est indisponible. Le courrier sortant est envoyé de l’ordinateur d’un utilisateur vers un hôte de courrier sortant, qui l’envoie ensuite à un autre hôte sur Internet. Le courrier est ainsi transmis jusqu’à atteindre l’hôte gérant le courrier de l’utilisateur auquel il est destiné. Afin de proposer un service de courrier, vous devez disposer d’un ordinateur capable de fournir service DNS à votre réseau. Le serveur de courrier utilise DNS pour obtenir les adresses IP d’autres serveurs de courrier. Si vous fournissez le service de courrier via Internet, vous devez configurer le service DNS à l’aide d’enregistrements MX appropriés pour chaque domaine auquel vous souhaitez fournir le service de courrier. Les enregistrements MX sont constitués par les entrées d’un tableau DNS spécifiant le mode de traitement du courrier pour un domaine. Quand un autre serveur de courrier sur Internet doit envoyer du courrier dans votre domaine, il demande les enregistrements MX de votre domaine et le courrier est alors envoyé vers le serveur spécifié par vous dans les enregistrements MX. Pour plus d’informations sur la création d’enregistrements MX, consultez la section “Utilisation conjointe des services DNS et de courrier” à la page 312. Service de courrier 169 Configuration du service de courrier pour la première fois Étape 1 : Configurez les enregistrements MX Si vous souhaitez que les utilisateurs soient en mesure d’envoyer et de recevoir du courrier via Internet, vous devez vous assurer que le service DNS est configuré avec les enregistrements MX conformes pour votre serveur. Si vous disposez d’un fournisseur d’accès à Internet (FAI) qui fournit le service DNS pour votre réseau, contactez-le et demandez-lui de configurer les enregistrements MX pour vous. Pour plus d’informations sur le service DNS, consultez la section “Service DNS” à la page 310. Étape 2 : Démarrez le service de courrier Assurez-vous que l’ordinateur serveur affiche correctement le jour, l’heure, le fuseau horaire et les réglages d’heure d’été dans les préférences Date et heure. Le service de courrier utilise ces informations pour que chaque message soit horodaté. Si la façon dont les messages sont horodatés est inexacte, le traitement des messages par d’autres serveurs risque de connaître des problèmes. Une fois ces informations vérifiées, cliquez sur Courrier et choisissez Démarrer le service de courrier. Si vous avez demandé à l’Assistant réglages d’activer le service de courrier, arrêtezle, puis redémarrez-le pour que les modifications apportées soient appliquées. 170 Chapitre 8 Étape 3 : Configurez le service de courrier Vous devez sélectionner certains réglages pour votre service de courrier, notamment la manière de gérer le courrier, les protocoles que vous souhaitez activer et la fréquence de suppression du courrier sur le serveur. Dans Admin Serveur, cliquez sur Courrier et choisissez Configurer le service de courrier. La fenêtre des réglages du serveur de courrier (cf. ci-dessous) présente quatre panneaux : Général, Messages, Filtre et Protocoles. Cliquez sur chacun d’entre eux et choisissez les réglages souhaités. Pour plus d’informations sur ces réglages, consultez la section “Réglages du service de courrier” à la page 173. Service de courrier 171 Étape 4 : Sélectionnez les réglages d’hôte par défaut Un hôte désigne tout domaine à partir duquel vos utilisateurs ont reçu du courrier ou encore auquel vous avez livré du courrier. Vous devez sélectionner des réglages par défaut pour décider de la manière dont votre service de courrier va interagir avec d’autres hôtes. Pour ce faire, cliquez sur Courrier dans Admin Server et choisissez Configurer les réglages de l’hôte. La fenêtre des réglages par défaut de l’hôte (voir ci-dessous) comporte trois panneaux : Courrier entrant, Courrier sortant et Réglages de réseau. Cliquez sur chacun d’entre eux et choisissez les réglages souhaités. Pour plus d’informations sur ces réglages, consultez la section “Réglages des hôtes” à la page 182. Étape 5 : Activez le courrier pour les utilisateurs et créez un compte d’administrateur de courrier Le serveur de courrier utilise les informations de la base de données Utilisateurs et groupes afin de déterminer le mode de gestion du courrier pour vos utilisateurs. Vous pouvez soit configurer le courrier d’un utilisateur individuel lorsque vous créez une fiche, soit activer à tout moment ce service pour un utilisateur existant. Pour la marche à suivre concernant la définition d’attributs de courrier d’utilisateurs individuels, consultez la section “Réglages du service de courrier” à la page 71 du chapitre consacré aux utilisateurs et groupes. Vous devez également créer un compte d’utilisateur intitulé “postmaster”. Le serveur de courrier recherche cet utilisateur lorsqu’il effectue certaines opérations. Vous pouvez activer le courrier de l’administrateur de courrier et réexpédier le courrier qui lui est adressé vers d’autres comptes. 172 Chapitre 8 Remarquez que “postmaster” contient 10 caractères, alors que les noms abrégés sont limités à 8 caractères. Lorsque vous configurez le serveur de courrier, vous pouvez utiliser le nom long d’un utilisateur, il n’y a pas de limitation au nom abrégé à huit caractères. Créez un utilisateur en lui attribuant le nom long “postmaster”, et donnez-lui un nom abrégé comme par exemple “postmstr”. Réglages du service de courrier Les réglages du service de courrier vous permettent de configurer la manière dont votre serveur gère le courrier. Vous pouvez spécifier les noms des serveurs de courrier locaux, configurer la manière dont le serveur gère le stockage des messages et la consignation des erreurs et préciser les protocoles de courrier électronique et les techniques de filtre de courrier indésirable à utiliser. Pour accéder aux réglages de courrier, cliquez sur Courrier et choisissez Configurer le service de courrier. Cliquez sur un onglet pour visualiser les réglages de la fenêtre correspondante. Les réglages compris dans chaque panneau sont décrits dans les sections ci-dessous. Réglages généraux Utilisez ces réglages pour activer le démarrage automatique et pour inscrire les noms des serveurs de courrier locaux. Service de courrier 173 Lancer le serveur de courrier comme démarrage système Sélectionnez cette option si vous souhaitez que le service de courrier soit lancé lors du démarrage du serveur. La sélection de cette option vous garantit que vos utilisateurs disposeront toujours du service de courrier après une panne d’électricité ou tout autre événement imprévu. Noms des serveurs de courrier locaux Cette liste comporte l’ensemble des noms de domaine sous la responsabilité de votre serveur de courrier. Il est conseillé d’ajouter tous les noms susceptibles d’apparaître après @ dans les adresses du courrier destiné à votre serveur. Cette liste peut par exemple contenir des variantes de l’orthographe du nom de votre domaine ou de votre société. Vos réglages de courrier s’appliquent à tous les noms de domaine de la liste. Si vous avez configuré les enregistrements MX, il n’est pas nécessaire d’ajouter quoi que ce soit à la liste. Votre serveur de courrier procédera lui-même à l’ajout des noms rencontrés au cours de ses opérations quotidiennes. Si un nom de domaine de la liste ne possède aucun enregistrement MX, il ne sera identifié que par ce serveur de courrier. Tout courrier externe adressé à ce nom de domaine sera renvoyé. Il est conseillé de ne placer dans cette liste les noms de domaine sans enregistrements MX que pour gagner du temps avec le courrier (interne) local. Ajouter et supprimer Cliquez sur Ajouter et tapez, dans le champ de texte, le nom de domaine dont vous souhaitez que le serveur se charge. Pour supprimer un nom de la liste, sélectionnez-le et cliquez sur Supprimer. 174 Chapitre 8 Réglages des messages Pour accéder à la fenêtre Messages, cliquez sur Courrier, choisissez Configurer le service de courrier, puis cliquez sur l’onglet Messages. Ce panneau vous permet de spécifier une taille limite pour les messages, de configurer les copies aveugles et la réexpédition, ainsi que de programmer la suppression du courrier. Taille du message Sélectionnez cette option pour limiter la taille maximale des messages entrants. Tapez ensuite le nombre de kilo-octets dans le champ “Taille maximale du message entrant”. Copies carbone invisibles (CCI) Sélectionnez cette option si vous souhaitez envoyer des copies aveugles de tous les messages reçus par le serveur à un utilisateur ou groupe spécifique, puis tapez le nom de l’utilisateur ou du groupe dans le champ de texte (ou faites glisser un nom à partir de la liste Utilisateurs et groupes de Mac OS X Server). Cette option pourra vous être utile si vous devez contrôler les messages envoyés à un groupe. Il importe toutefois de tenir compte du volume de courrier engendré, qui dépendra de la taille de votre organisation. Suppression automatique du courrier Sélectionnez cette option pour que le courrier soit effacé automatiquement du serveur au-delà d’une période spécifiée. Tapez ensuite le nombre de jours dans les champs du courrier lu et non lu (ne tapez rien si vous ne souhaitez pas activer l’un des réglages.) Il est préférable de définir ces options en cas de problème d’espace disque. La suppression automatique du courrier supprime définitivement le courrier du serveur, y compris les messages des dossiers IMAP. Service de courrier 175 Réexpédier le courrier adressé à des utilisateurs inconnus Sélectionnez cette option pour que le courrier provenant d’un expéditeur local inconnu soit réexpédié à un autre utilisateur ou groupe de votre organisation. Tapez le nom de l’utilisateur ou du groupe dans le champ de texte. Cette personne ou ce groupe recevra l’ensemble du courrier égaré. Il est préférable d’utiliser cette option pour garantir la livraison du courrier comportant des adresses erronées. Si votre serveur reçoit du courrier dont l’adresse est mal rédigée, vous pouvez livrer le courrier manuellement dans la boîte à lettres de l’utilisateur concerné au lieu de le renvoyer à l’expéditeur. Vous pouvez également livrer le courrier envoyé à un département sans compte d’utilisateur (“[email protected]” par exemple) à la personne responsable des communications de ce département. Réglages des filtres Vous pouvez configurer des réglages de filtre pour le service de courrier afin de réduire le volume de courrier non désiré. Si vous activez l’une de ces options, votre serveur consultera soit les entrées DNS pour voir si l’adresse IP et le nom de l’expéditeur d’un message coïncident, soit un serveur ORBS pour savoir si le message provient d’un expéditeur de “courrier indésirable” connu. Vous devez toutefois tenir compte du ralentissement éventuel des performances de votre serveur de courrier, étant donné que ces opérations impliquent un recours au système DNS. Pour accéder au panneau Filtre, cliquez sur Courrier, choisissez Configurer le service de courrier, puis cliquez sur l’onglet Filtre. 176 Chapitre 8 Vérifier les connexion entrantes SMTP Sélectionnez cette option si vous souhaitez vérifier les tentatives de connexion entrantes avant de les accepter ou de les refuser. Si vous sélectionnez cette option, vous devez également spécifier quel serveur de courrier sera utilisé pour refuser le courrier. Vous pouvez soit choisir le serveur ORBS par défaut, soit un autre serveur ORBS en sélectionnant “Utiliser un autre serveur pour refuser le spam” et en saisissant le nom du serveur dans le champ texte. Consigner la connexion si le nom SMTP ne correspond pas à l’adresse IP Sélectionnez cette option pour créer une entrée d’historique chaque fois que le nom SMTP d’un message entrant ne correspond pas à son adresse IP. Le courrier sera quand même accepté, mais une entrée sera consignée dans l’historique pour que vous puissiez décider ultérieurement de ce que vous souhaitez en faire. Refuser si le nom ne correspond pas à l’adresse Sélectionnez cette option pour refuser et consigner le courrier mal libellé. Expéditeurs figurant dans la liste “util. et groupes” locale Sélectionnez cette option pour refuser le courrier entrant en provenance d’adresses non incluses dans la liste locale des utilisateurs et groupes. Par exemple, si l’utilisateur “Untel” envoie un courrier à partir de [email protected], et qu’Untel ne se trouve pas dans la liste Utilisateurs et Groupes, le serveur de courrier refuse le message. L’utilisation de ce réglage permet d’éviter à votre serveur de devenir un point de relais pour le courrier indésirable. Un point de relais est un serveur qui reçoit sans le vouloir des messages indésirables et les réexpédie immédiatement à un autre serveur. Refuser les messages de serveurs SMTP Sélectionnez cette option pour répertorier les serveurs SMTP dont vous ne souhaitez pas recevoir de courrier. Cliquez ensuite sur Modifier les serveurs et ajoutez les noms de domaine à la liste de rejet des serveurs SMTP. Service de courrier 177 Réglages de protocoles Vous pouvez sélectionner et configurer dans la fenêtre Protocoles les protocoles de courrier qui seront utilisés par votre serveur . Pour accéder à cette fenêtre, cliquez sur Courrier, choisissez Configurer le service de courrier, puis cliquez sur l’onglet Protocoles. Utiliser _ pour le transfert de messages Choisissez le mode de traitement des messages sortants. Vous pouvez choisir SMTP, Sendmail ou Aucun. Si vous choisissez SMTP, le bouton des Options SMTP est activé. Si vous choisissez Sendmail, tout le courrier SMTP entrant et sortant sera traité par Sendmail plutôt que par le serveur de courrier Mac OS X. Tout message envoyé à des utilisateurs de courrier locaux est traité par l’application Sendmail, et ensuite transféré au serveur de courrier Mac OS X pour être distribué. Les protocoles POP et IMAP continuent de fonctionner normalement, mais le courrier SMTP est alors soumis aux règles et aux paramètres de Sendmail. Choisissez Aucun si vous souhaitez empêcher l’envoi de nouveau courrier sortant. Cette option peut vous être utile pour isoler un problème ou empêcher des conflits avec d’autres logiciels de messagerie fonctionnant sur le même ordinateur. 178 Chapitre 8 Options de courrier entrant Sélectionnez le bouton Activer pour utiliser IMAP, POP3 et NotifyMail. Choisissez ensuite le port que vous souhaitez utiliser pour chacun. Le port par défaut de chacun est affiché à côté du champ Port. Vous êtes libre de choisir votre propre port, mais faites-le avec circonspection, car vous risquez d’empêcher la livraison du courrier à d’autres hôtes qui ne s’attendent pas à recevoir du courrier provenant de ports non connus. Évitez également d’utiliser un port employé par un autre service. Pour obtenir une liste des usages de port courants, consultez “Ports utilisés par les ordinateurs Mac OS X” à la page 335. Chaque protocole dispose de son propre bouton Options afin de vous permettre de sélectionner d’autres réglages. Ces fenêtres d’options sont décrites dans les sections suivantes. Activez NotifyMail Sélectionnez cette option si vous souhaitez que votre serveur avertisse les utilisateurs lorsqu’ils ont reçu du courrier. Ensuite, choisissez le port à utiliser pour cette opération. Réglages des Options SMTP Nom de la réponse entrante Tapez le nom de domaine qui sera renvoyé au serveur à l’origine du contact lors du déroulement d’une opération SMTP. La valeur par défaut pour ce réglage est le nom du serveur de courrier principal. En modifiant ce nom, vous pouvez limiter la réception de courrier non désiré, la véritable identité du serveur de courrier étant dissimulée. Nom de la réponse sortante Tapez le nom de domaine que les hôtes externes visualiseront. Ce nom sera ajouté aux messages de courrier sortants. La modification de ce nom présente des avantages et des inconvénients. Si vous disposez d’un coupe-feu NAT (Network Address Translation), vous devrez peut-être le modifier. Dans ce cas, il se peut que certains serveurs refusent votre courrier, étant donné qu’ils ne reconnaissent plus l’adresse d’expédition. Service de courrier 179 Autoriser relais SMTP si hôte est sauvegarde de la destination Sélectionnez cette option si vous souhaitez servir de remplacement pour un autre serveur de courrier mais que vous ne désirez pas appliquer vos réglages de filtre de courrier indésirable au courrier de l’autre hôte. Envoyer à l’administrateur de courrier les rapports non distribuables Sélectionnez cette option pour avertir l’administrateur de courrier lorsqu’un message ne peut être distribué, et qu’il est impossible d’en aviser l’expéditeur. Un rapport est normalement renvoyé à l’expéditeur pour l’informer de l’impossibilité de distribuer son courrier. Si ce rapport ne peut être livré pour un motif quelconque, la sélection de cette option permet d’envoyer le rapport sur le compte de l’administrateur. Veillez à configurer un compte d’utilisateur appelé “postmaster” dans Utilisateurs et groupes. Autoriser rapports de non distribution pour envois en nombre Sélectionnez cette option pour que les expéditeurs de courrier en nombre reçoivent des rapports de non distribution. Le courrier marqué comme “en nombre” ne génère en général aucun rapport de non distribution. Réglages des Options IMAP Nom de la réponse entrante Tapez le nom de domaine qui sera renvoyé à tout client IMAP se connectant sur votre serveur lors du déroulement d’une opération IMAP. Autoriser l’accès d’administrateur IMAP Sélectionnez cette option pour autoriser l’administrateur d’un service de courrier à visualiser et à modifier le contenu de la base de données du courrier. 180 Chapitre 8 Port Tapez le numéro de port qui sera utilisé par l’administrateur pour visualiser les messages IMAP. Si vous optez pour un port autre que le port par défaut, veillez à ne pas employer un port déjà utilisé par un autre service ou protocole. Pour davantage de sécurité, il est également conseillé de configurer le service de filtres IP pour ce port. Pour obtenir une liste des usages de port courants, consultez “Ports utilisés par les ordinateurs Mac OS X” à la page 335. Utiliser des noms de dossiers IMAP respectant la casse Sélectionnez cette option pour autoriser les utilisateurs à créer des dossiers IMAP avec un nom identique mais une casse différente. Un utilisateur peut par exemple disposer de deux dossiers différents appelés “Urgent” et “urgent”. Autoriser _ Connexions par utilisateur à une même adresse IP Tapez le nombre de connexions IMAP que vous souhaitez autoriser pour chaque utilisateur à une même adresse IP. Le réglage par défaut est 32. La plage acceptée est comprise entre 1 et 999. Interrompre les connexions après _ minutes Tapez le nombre de minutes pendant lesquelles une connexion peut demeurer inactive avant son interruption. La valeur par défaut est de 30 minutes. La plage acceptée est comprise entre 1 et 999. L’arrêt des connexions inactives peut améliorer les performances du service de courrier. Réglages des Options POP3 Nom de la réponse entrante Tapez le nom de domaine qui sera renvoyé à tout client POP se connectant sur votre serveur lors du déroulement d’une opération POP. Service de courrier 181 Réglages des hôtes Vous pouvez créer des réglages par défaut pour les hôtes courrier dans la fenêtre correspondante. Pour accéder à la fenêtre des réglages par défaut des hôtes, cliquez sur Courrier et sélectionnez l’option de configuration des réglages d’hôte. Les trois fenêtres —Courrier entrant, Courrier sortant et Réglages de réseau— sont décrites dans les sections suivantes. Réglages du courrier entrant Cette fenêtre vous permet de configurer la manière dont les hôtes gèrent le courrier entrant. Pour accéder au panneau Courrier entrant, cliquez sur Courrier, choisissez l’option de configuration des réglages d’hôtes, puis cliquez sur l’onglet Courrier entrant. Distribuer uniquement aux adresses locales (aucun relais SMTP) Sélectionnez cette option pour que le serveur de courrier livre le courrier uniquement aux adresses valides de ce serveur. Vous ne devez choisir cette option que si l’hôte est le destinataire final du courrier. Si le présent serveur de courrier est désigné comme serveur de remplacement pour un autre hôte ou encore comme serveur relais SMTP pour d’autres serveurs, cette option risque d’empêcher l’expédition de courrier à d’autres hôtes. Important 182 Chapitre 8 Consigner les refus de destinataire dans l’historique Sélectionnez cette option pour créer une entrée dans l’historique des erreurs à chaque refus de courrier. Envoyer tous les messages en copie aveugle à : Sélectionnez cette option pour envoyer des copies aveugles de tous les messages entrants à une seule adresse ou à un seul groupe que vous aurez spécifié au préalable. Tapez le nom d’un utilisateur ou groupe dans le champ. Réglages du courrier sortant Ce panneau vous permet de configurer la manière dont les hôtes gèrent le courrier sortant. Pour accéder au panneau Courrier sortant, cliquez sur Courrier, choisissez Configurer les réglages d’hôte, puis cliquez sur l’onglet Courrier sortant. Autoriser le courrier en partance Choisissez cette option dans le menu local pour autoriser l’envoi du courrier en dehors du domaine de l’hôte. Limiter aux utilisateurs locaux Choisissez cette option dans le menu local pour limiter le courrier sortant au domaine de l’hôte. Si vous choisissez cette option, les autres options de ce panneau ne seront plus disponibles. Utilisez-la pour les utilisateurs d’un réseau local (LAN) plutôt que d’un autre serveur SMTP. Service de courrier 183 Expiration des messages après _ heures Tapez le nombre d’heures d’attente à la suite desquelles votre serveur n’essaiera plus de livrer un message. La valeur par défaut est de 72 heures. Si la livraison du courrier ne peut être effectuée pendant la période que vous avez spécifiée, un rapport de non distribution est envoyé à l’utilisateur et le message est effacé. Réessayer les connexions ratées toutes les _ minutes Tapez le nombre de minutes d’attente respectées par votre serveur entre les différentes tentatives de connexion à d’autres serveurs SMTP. La durée la plus courte autorisée est d’une minute ; la durée par défaut est de 20 minutes. Prévenir l’expéditeur de la non distribution après _ heures Sélectionnez cette option pour prévenir l’expéditeur d’un message que ce dernier n’a pas encore été distribué. Tapez ensuite le nombre d’heures d’attente à respecter avant de prévenir l’expéditeur. Votre serveur essaiera d’envoyer le message jusqu’à expiration de la limite fixée par vous dans “Expiration des messages après _ heures”. La valeur par défaut est de quatre heures. Prévenir l’administrateur de la non distribution Sélectionnez cette option pour prévenir l’administrateur que le courrier ne peut être distribué. Un rapport est normalement renvoyé à l’expéditeur pour l’informer de l’impossibilité de distribuer son courrier. Si, pour une raison quelconque, le rapport n’a pu être expédié, ce dernier sera envoyé à l’administrateur de courrier grâce à cette option. Veillez à configurer un compte d’utilisateur appelé “postmaster” dans Utilisateurs et groupes. Retransmettre le courrier SMTP via : Sélectionnez cette option pour que l’ensemble du courrier sortant soit retransmis via un autre serveur. Tapez le nom DNS du serveur dans le champ de texte. Votre serveur regroupera le courrier sortant pour le transmettre à l’autre serveur, qui agit comme un “proxy” (mandataire) pour la livraison du courrier. Ce réglage peut s’avérer utile si vous disposez d’une connexion lente ou si le nombre de connexions initiées vous est facturé. Vous devrez peut-être utiliser ce réglage pour contourner certaines restrictions coupe-feu. 184 Chapitre 8 Réglages de réseau Ce panneau vous permet de choisir le port SMTP sortant et de définir les options DNS, cache et délais. Pour accéder au panneau des réglages de réseau, cliquez sur Courrier, choisissez Configurer les réglages d’hôte, puis cliquez sur l’onglet Réglages de réseau. Requête DNS Choisissez le type d’entrées DNS que vous souhaitez demander pour votre service. Vous pouvez choisir enregistrement A, liste MX ou les deux. Un enregistrement A associe un nom d’hôte à une adresse IP. Les enregistrements MX sont les données de tableau DNS qui spécifient quels ordinateurs du domaine vont recevoir le courrier. Pour plus d’informations sur les enregistrements MX, consultez la page 169. Réglages de la mémoire cache Le serveur stocke les noms de domaines approuvés dans un cache et n’en vérifie les informations que si vous le lui ordonnez. Cette caractéristique permet d’améliorer les performances, étant donné que votre serveur ne doit pas contacter le serveur DNS pour chaque message. Vous êtes libre de choisir les options de cache : Respecter les réglages DNS TTL (Time To Live) : sélectionnez ce réglage si vous désirez utiliser les réglages DNS par défaut. Le courrier est en général réexpédié continuellement jusqu’à établissement d’une connexion. TTL fixe une limite au nombre de tentatives de contact de DNS par le serveur en vue de l’obtention d’informations avant de renoncer et de générer un rapport de non distribution. Service de courrier 185 Conserver les résultats DNS en cache pendant _ minutes : sélectionnez cette option si vous souhaitez mettre à jour régulièrement les informations DNS en mémoire cache. Tapez ensuite le nombre de minutes pendant lesquelles l’information sera conservée en cache. Cette option annule le réglage par défaut TTL DNS. Délais Lorsqu’une tentative de connexion dépasse le délai spécifié, elle prend fin et vous êtes prévenu que la connexion “a expiré”. Il est préférable d’augmenter ce délai si vous disposez d’une connexion lente ou intermittente, ou encore sujette à des expirations fréquentes. Établir la connexion : tapez le nombre de secondes autorisées pour l’établissement d’une connexion. Lecture/écriture : tapez le nombre de secondes pendant lesquelles les messages seront lus et écrits avant leur expiration et l’abandon de la connexion. Port de sortie SMTP Tapez le numéro du port que vous souhaitez utiliser pour les paquets SMTP sortants. Si vous optez pour un port autre que le port par défaut, veillez à ne pas employer un port déjà utilisé par un autre service ou protocole. Sources d’informations supplémentaires sur le service de courrier Pour obtenir des informations d’ordre général au sujet des protocoles de courrier et autres technologies, consultez les sources suivantes : m Vous trouverez une bonne présentation générale du service de courrier dans Internet Messaging, de David Strom et Marshall T. Rose (Prentice Hall, 1998). m Pour plus d’informations sur les enregistrements MX, consultez “DNS and Electronic Mail” dans DNS and BIND, 3rd edition, de Paul Albitz, Cricket Liu et Mike Loukides (O’Reilly and Associates, 1998). m Vous pouvez également consulter Removing the Spam: Email Processing and Filtering, de Geoff Mulligan (Addison-Wesley Networking Basics Series, 1999). m Pour en savoir plus sur les normes de courrier électronique, consultez Essential E-Mail Standards: RFCs and Protocols Made Practical, de Pete Loshin ( John Wiley & Sons, 1999). Internet propose en outre un très grand nombre d’informations sur les différents protocoles de courrier, le système DNS et autres rubriques connexes. Les documents RFC donnent un aperçu des protocoles et services, ainsi qu’une description détaillée du comportement normal de chaque protocole. Si vous êtes novice en tant qu’administrateur de serveur, certaines informations d’arrière-plan figurant dans les documents RFC vous seront probablement utiles. Si vous êtes un administrateur confirmé, vous pouvez trouver tous les détails pratiques et techniques relatifs à un protocole dans le document RFC correspondant. Vous pouvez rechercher les documents RFC par numéro sur le site web suivant : www.faqs.org/rfcs (en anglais). Consultez les documents RFC suivants pour obtenir des détails techniques sur le mode de fonctionnement des protocoles de courrier : m POP : RFC 1725 m IMAP : RFC 2060 m SMTP : RFC 821 et RFC 822 Pour obtenir des explications simples sur le service de courrier, rendez-vous sur le site : m www.whatis.com Effectuez une recherche sur un terme technique quelconque afin d’obtenir une explication simple à son sujet. Ce site Web vous propose également un ensemble de liens qui renvoient à des informations plus détaillées sur le mode de fonctionnement d’une technologie précise. Service de courrier 187 C H A P I T R E 9 9 Serveur Enchaînement QuickTime Présentation du Serveur Enchaînement QuickTime Serveur Enchaînement QuickTime (la technologie QTSS) vous permet de diffuser des fichiers de média sur Internet en temps réel. Avec la diffusion en flux continu, les utilisateurs peuvent soit accéder à des données diffusées en direct ou pré-enregistrées, soit visionner sur demande des données pré-enregistrées. Les données diffusées en flux continu apparaissent à l’écran dès que l’ordinateur les reçoit, sans qu’il soit nécessaire de télécharger les fichiers. Voici quelques-unes des fonctions principales de Serveur Enchaînement QuickTime : m La Skip Protection, disponible quand les clients utilisent QuickTime 5, permet d’éviter les interruptions et encombrements de flux sur Internet, d’où une qualité plus élevée. m Deux procédés d’authentification, Digest and Basic, permettent de contrôler facilement l’accès aux données protégées. m La fonction listes de lecture permet de diffuser aisément un groupe de fichiers de données comme s’il s’agissait d’une transmission en direct. Elle peut s’avérer idéale pour la mise en place et la gestion d’une station de radio virtuelle. m L’administration basée sur le Web permet de configurer et de contrôler facilement votre serveur d’enchaînement, localement et à distance. m Un relais permet de créer une hiérarchie de plusieurs couches de serveurs dans le but de transmettre des flux à un nombre pratiquement illimité de clients. Visualisation de données en flux continu : principe de fonctionnement Les flux du Serveur Enchaînement peuvent être visualisés par les utilisateurs Macintosh et Windows travaillant avec QuickTime Player (disponible gratuitement sur le site Web d’Apple) ou toute autre application gérant QuickTime. Il est également possible de configurer les flux afin que les utilisateurs puissent les consulter dans un navigateur Web lorsqu’ils sont équipés du module QuickTime Plugin. Dès qu’un utilisateur commence à lire des données via une page Web, le module QuickTime Plugin envoie une demande au serveur. 189 Lorsqu’un utilisateur emploie QuickTime Player pour visionner des données multimédias à sa demande, l’ordinateur client demande au serveur de lire le fichier multimédia. Le serveur recherche le fichier de la séquence et s’il le trouve, envoie les données à l’ordinateur client. Lorsqu’un utilisateur accède à un programme en direct, le client Enchaînement QuickTime (par exemple, QuickTime Player) envoie une requête au Serveur Enchaînement QuickTime. Le serveur recherche un fichier SDP et s’il le trouve, commence à envoyer les données à l’ordinateur client. Un fichier SDP contient les informations concernant le format, la durée et l’auteur du programme diffusé en direct. Les fichiers SDP sont créés par le logiciel de diffusion de l’ordinateur qui capture les données en direct, mais pour que celles-ci puissent être diffusées, le fichier SDP doit auparavant être copié sur le serveur d’enchaînement. Lorsqu’un utilisateur accède à un programme pré-enregistré, il se déroule un processus similaire : le serveur cherche un fichier SDP. Dans ce cas précis, un fichier SDP est automatiquement créé dès que vous commencez à diffuser des listes de lecture. Si le fichier SDP n’est pas créé sur le serveur d’enchaînement, il doit être copié sur celui-ci pour que les données pré-enregistrées puissent être diffusées. À qui s’adresse le Serveur Enchaînement QuickTime ? Toute personne intéressée par la diffusion aussi bien audio que vidéo sur Internet en temps réel doit utiliser le Serveur Enchaînement QuickTime. Il peut par exemple vous servir à : m créer une station de radio sur Internet fonctionnant 24h/24 m diffuser des événements en direct tels que concerts, réunions d’entreprise ou réunions scolaires m créer un site Web d’apprentissage à distance, avec les vidéos des cours disponibles sur demande Avant d’installer le Serveur Enchaînement QuickTime Avant d’installer le Serveur Enchaînement QuickTime, prenez connaissance des conditions propres au serveur Enchaînement énumérés ci-après : Configuration requise par les ordinateurs clients m Tout ordinateur équipé de QuickTime 4 ou d’une version ultérieure peut visualiser des données diffusées par le Serveur Enchaînement QuickTime. L’utilisation de QuickTime 5 n’est pas obligatoire mais conseillée. Vous pouvez télécharger le logiciel client QuickTime sur le site Web QuickTime : www.apple.com/quicktime (en anglais) 190 Chapitre 9 Configuration requise par le serveur m Vous pouvez utiliser le serveur Enchaînement QuickTime avec les systèmes suivants : Power Mac G4, Macintosh Server G4, Power Mac G4 Cube, Power Macintosh G3, Macintosh Server G3 et iMac. m La version la plus récente de Mac OS X Server doit être installée. m Votre ordinateur doit disposer d’au moins 128 méga-octets (Mo) de mémoire vive. Si votre serveur est soumis à un trafic intense, Apple vous recommande un minimum de 512 Mo de mémoire vive et une vitesse de processeur de 500 MHz ou plus. Configuration requise par la diffusion en direct Pour diffuser des données audio ou vidéo en direct, vous devez être équipé : m De matériel d’enregistrement audio, vidéo ou les deux. m D’un ordinateur équipé d’un logiciel de diffusion et d’une carte de capture vidéo ou audio. Il est également possible d’utiliser un ordinateur doté d’une connexion FireWire. Cet ordinateur sert à capturer et à coder l’audio ou la vidéo puis à la diffuser vers votre serveur d’enchaînement. Exemple de configuration pour vidéo en direct L’illustration ci-dessous montre un exemple de configuration de diffusion vidéo et audio en direct. La plupart des caméras vidéo sont équipées d’un microphone intégré. L’audio peut être diffusé à l’aide d’un simple microphone, d’une table de mixage ou autre équipement audio approprié. Un ordinateur Mac OS capture et code la vidéo et l'audio. Le signal codé est envoyé à un serveur d'enchaînement QuickTime via un réseau IP. Mac OS X Server équipé du serveur d'enchaînement QuickTime envoie le signal aux ordinateurs clients qui se connectent à l'aide de QuickTime Player. Serveur Enchaînement QuickTime 191 Configuration Serveur Enchaînement QuickTime pour la première fois Pour configurer et gérer le Serveur Enchaînement QuickTime, vous devez utiliser le programme Admin serveur Enchaînement basé sur le Web. Vous devez utiliser l’application Admin Serveur Enchaînement sur un ordinateur capable d’exécuter Netscape Navigator, Netscape Communicator ou Microsoft Internet Explorer, versions 4.5 ou ultérieures. Étape 1 : Ouverture d’Admin Serveur Enchaînement Pour ouvrir Admin Serveur Enchaînement : 1 Ouvrez un navigateur Web. 2 Sur votre serveur, saisissez l’adresse URL d’Admin Serveur Enchaînement (veillez à ajouter les deux points et le numéro de port, 1220). Par exemple : http://www.monserveur.com:1220 Remplacez “www.monserveur.com” par le nom de votre serveur. 3 Tapez l’identifiant et le mot de passe de l’administrateur du serveur d’enchaînement dans les champs Nom d’utilisateur et Mot de passe, puis cliquez sur OK. Par défaut, l’identifiant de session est “streamingadmin” et le mot de passe, “default”. La page Web d’Admin Serveur Enchaînement s’affiche et donne un aperçu de l’état du serveur. Cliquez sur État, Réglages ou Historiques en haut de la page pour administrer ces zones. Remarque : si votre serveur Enchaînement QuickTime a été correctement installé, vous pouvez également ouvrir Admin Serveur Enchaînement à partir du Dock. Pour accéder à une aide dans Admin Serveur Enchaînement, cliquez sur le point d’interrogation. Étape 2 : Sélection des réglages de votre serveur d’enchaînement Pour modifier les réglages du serveur d’enchaînement : 1 Cliquez sur Réglages. 2 Cliquez sur Réglages généraux, Réglages de consignation ou Réglages de listes. 3 Effectuez les modifications voulues, puis cliquez sur Soumettre. Pour plus d’informations sur les réglages disponibles, consultez la section “Réglages du serveur d’enchaînement” à la page 194. 192 Chapitre 9 Étape 3 : Configuration d’une page Web pour diffuser des données (optionnel) Vous pouvez intégrer des données en continu dans une page Web. Pour les visionner, les clients peuvent ainsi utiliser n’importe quel navigateur Web, en tapant simplement l’adresse URL de la page Web. Les utilisateurs peuvent par exemple saisir cette adresse URL : http://www.mapageweb.com/ “www.mapageweb.com” sera simplement remplacé par le nom DNS de votre site Web. Configuration d’une page Web pour la diffusion de données Pour intégrer des données diffusées en continu dans une page Web, vous devez utiliser la balise HTML EMBED. Pour une documentation détaillée sur les fonctions et emplois de la balise EMBED, rendez-vous sur www.apple.com/quicktime/products Le code de l’exemple suivant établit sur une page Web un lien graphique avec une séquence, “sample.mov”. ( Vous pouvez renommer l’Exemple de séquence fournie avec QuickTime et l’utiliser en exemple.) Dès qu’un utilisateur clique sur le lien, la diffusion de la séquence dans QuickTime Player commence. <HTML> <BODY> Exemple d’utilisation de la balise EMBED.<BR> <EMBED SRC=“http://mon.serverweb.com/linkimage.mov” width=“150” height=“64” href=“rtsp://mon.serveurenchainement.com/ sample.mov” target=“QuickTimePlayer”> </BODY> </HTML> L’URL spécifiée dans l’attribut SRC est un lien vers une image fixe, “linkimage.mov,” qui sert de lien d’accès à la séquence diffusée. Les attributs width et height donnent la largeur et la hauteur de l’image. L’attribut HREF est l’URL de la séquence, dont la diffusion commence dès que vous cliquez sur l’image. Vous pouvez également permettre à des utilisateurs de visionner des données diffusées en continu à partir d’une page Web, en créant une séquence de référence contenant une piste d’enchaînement avec une adresse URL RTSP renvoyant aux données sur votre serveur d’enchaînement. Stockez votre séquence de référence dans le même répertoire que votre site Web et ajoutez-lui un lien sur votre page Web. Pour plus d’informations sur la création de séquences de référence, rendez-vous sur developer.apple.com/quicktime/quicktimeintro/ tools/index.html et recherchez l’outil MakeRefMovie dans “WebMaster Tools”. Serveur Enchaînement QuickTime 193 Une séquence de référence peut être tout simplement un fichier de texte ayant pour extension “.mov” (par exemple “ref.mov”). Le format d’adresse du contenu du fichier est le suivant : rtsptext rtsp://mon.serveurenchainement.com/sample.mov Réglages du serveur d’enchaînement Réglages généraux Répertoire des séquences Toutes les données à indications du répertoire des séquences spécifié par vous sont disponibles pour la diffusion en continu. Ceci inclut : m les fichiers individuels m les répertoires contenant des fichiers m les liens à des données situées ailleurs L’emplacement par défaut du Répertoire Films est /Library/QuickTimeStreaming/Movies. Vous pouvez sélectionner un autre répertoire dans un autre volume. Procédé d’authentification Choisissez Basic ou Digest. Le serveur choisit par défaut le plus sûr des deux procédés d’authentification, Digest. Ce dernier requiert une connexion avec QuickTime 5 ou une version ultérieure. Le procédé d’authentification Basic est moins sûr mais il est compatible avec les versions antérieures de QuickTime. Enchaînement sur Port 80 Choisissez de lancer les enchaînements QuickTime sur le port HTTP 80. Si vous avez besoin de lancer les enchaînements derrière des pares-feu, vous devrez probablement activer la diffusion sur le port 80. L’activation du flux HTTP sur le port 80 n’empêche pas les flux HTTP sur d’autres ports. Des interférences peuvent cependant se produire avec le trafic HTTP du port 80 si vous fournissez le service Web sur le même serveur (consultez la section “Enchaînement sur Port 80” à la page 206 pour plus d’informations). Nombre maximum de connexions Quand le nombre maximum de connexions est atteint, les utilisateurs qui essaient de se connecter voient s’afficher un message indiquant que le serveur n’est pas disponible (erreur 453). Veillez à équilibrer la bande passante disponible, la taille des fichiers de données et le nombre de clients connectés. 194 Chapitre 9 Débit maximal Il s’agit du débit maximal du serveur. S’il est atteint, plus personne ne peut se connecter. Les utilisateurs qui essaient de se connecter voient s’afficher un message indiquant que le serveur n’est pas disponible (erreur 453). N’oubliez pas que le Serveur Enchaînement QuickTime peut partager une certaine capacité de production avec d’autres périphériques de votre réseau. Lancer le serveur au démarrage du système Cette option fait redémarrer le serveur d’enchaînement chaque fois que vous redémarrez votre ordinateur. Nouveau mot de passe d’administrateur Saisissez le nouveau mot de passe d’ouverture de session de l’administrateur du serveur d’enchaînement. Confirmez en le saisissant de nouveau sur la ligne suivante. Le mot de passe par défaut est “default”. Vous pouvez le remplacer à votre guise. Réglages de consignation Adaptez ces réglages en modifiant les informations dans les champs ou en cliquant sur le bouton souhaité. Vous pouvez demander que l’historique soit réinitialisé soit après un certain nombre de jours, soit dès qu’il atteint une certaine taille en kilo-octets (Ko). Les modifications prennent effet lorsque vous cliquez sur Soumettre. Historique des erreurs L’historique des erreurs affiche des messages d’erreur et d’information. Il sert à résoudre des problèmes de serveur. L’historique complet des erreurs se trouve dans /Library/ QuickTimeStreaming/Logs/Error.log. Historique des accès L’historique des accès indique le nombre d’accès à chaque fichier de données, avec la date et l’utilisateur, depuis la réinitialisation de l’historique. Les erreurs d’accès y sont également répertoriées. L’historique complet des accès se trouve dans /Library/QuickTimeStreaming/ Logs/StreamingServer.log. Utilisateurs connectés Cette fenêtre vous permet de consulter une liste des clients connectés à votre serveur d’enchaînement et de visualiser des informations complémentaires, comme la séquence qu’ils sont en train de regarder et leur adresse IP. Vous pouvez afficher l’information de différentes manières en utilisant les commandes écran citées ci-dessous. Nombre d’entrées à afficher Choisissez un nombre dans le menu local pour changer le nombre d’utilisateurs affichés. Serveur Enchaînement QuickTime 195 Intervalle de mise à jour de cette page Choisissez un nombre dans le menu local pour modifier la fréquence de mises à jour de la liste. Ordre Choisissez Croissant ou Décroissant dans le menu local pour sélectionner l’ordre de tri. Disposition des colonnes Cliquez sur l’intitulé de la colonne correspondant à l’ordre dans lequel vous voulez trier la liste des utilisateurs connectés. Stratégies et astuces concernant le serveur d’enchaînement Préparation de données en direct pour la diffusion Pour diffuser des données audio ou vidéo en direct, vous devez : 1 Configurer votre logiciel de diffusion en suivant les instructions incluses. 2 Connecter le matériel audio ou vidéo à l’ordinateur utilisé pour capturer et coder le signal. 3 Utiliser votre logiciel de diffusion pour créer un fichier SDP sur l’ordinateur que vous utilisez pour capturer et coder le signal en direct. Consulter les instructions fournies avec le logiciel de diffusion. 4 Copier le fichier SDP sur votre ordinateur Serveur Enchaînement QuickTime. Veiller à copier le fichier dans le répertoire que vous utilisez pour la diffusion. 5 Si vous désirez que les données soient diffusées sur une page Web, configurez celle-ci au moyen de la balise EMBED ou en créant une séquence de référence QuickTime distincte (consultez la section “Configuration d’une page Web pour la diffusion de données” à la page 193). 6 Assurez-vous que le serveur d’enchaînement est en fonction. 7 Démarrez votre logiciel de diffusion en suivant les instructions incluses. 8 Indiquez à vos utilisateurs comment visionner les données en leur communiquant soit une adresse URL RTSP pour accéder à votre fichier SDP, soit une adresse URL HTTP pour accéder à votre séquence de référence QuickTime, que vous avez placée sur votre serveur Web. Préparation de données stockées pour la diffusion Pour préparer des données stockées en vue de la diffusion : 196 Chapitre 9 Étape 1 : Ajoutez des pistes d’indications à vos données Les pistes d’indications contiennent des informations dont le serveur d’enchaînement a besoin pour la diffusion appropriée des données. La plupart des applications de création vous permettent d’exporter les données sous forme de séquence à indications QuickTime. Si vous disposez de QuickTime Pro, vous pouvez également indiquer une séquence à l’aide de QuickTime Player. QuickTime Pro est disponible à la fois sur les ordinateurs Mac OS et Windows. Vous trouverez sur le site Web QuickTime des informations sur la configuration requise et les instructions relatives à l’installation. À chaque piste d’un fichier doit correspondre une piste d’indications. Par exemple, une séquence avec une piste audio et une piste vidéo doit avoir deux pistes d’indications : une pour la piste audio et une pour la piste vidéo. Lorsque vous utilisez QuickTime Player pour exporter une séquence comme séquence à indications, QuickTime ajoute automatiquement le nombre de pistes d’indications adéquat. Pour exporter une séquence QuickTime comme séquence à indications : 1 Ouvrez QuickTime Player sur un ordinateur Mac OS ou Windows (vous devez pour cela disposer de QuickTime Pro). 2 Ouvrez le fichier auquel vous souhaitez apporter des indications. 3 Choisissez Exporter dans le menu Fichier. 4 Choisissez “Séquence à indications”dans le menu local, puis tapez un nouveau nom de fichier. 5 Cliquez sur Options dans la zone de dialogue d’exportation. 6 Sélectionnez Optimiser les indications destinées au serveur. Ceci est optionnel. Activée, cette option augmente la capacité du serveur à transmettre les données à un plus grand nombre de clients, mais peut doubler la taille du fichier. 7 Cliquez sur OK. 8 Cliquez sur Enregistrer. Étape 2 : Copiez le fichier de données sur votre Serveur Enchaînement QuickTime Assurez-vous de copier le fichier dans le répertoire que vous utilisez pour la diffusion. Diffusion de fichiers de données de sources diverses Les séquences QuickTime se composent généralement de plusieurs fichiers de données. Par exemple, il est possible de combiner un clip vidéo avec de la musique provenant de une ou plusieurs pistes CD. Quand vous exportez une séquence QuickTime, faites-en un fichier autonome afin que toutes les données sources y soient incluses. Ceci permet d’augmenter les performances du serveur. Serveur Enchaînement QuickTime 197 Pour diffuser des séquences qui ne sont pas autonomes, vous devez, en plus de l’introduction d’indications, m copier tous les fichiers requis par la séquence dans le même dossier ou répertoire m stocker tous les fichiers dans le répertoire de votre serveur que vous avez indiqué comme répertoire Films dans Admin Enchaînement QuickTime Utilisation de listes de lecture pour diffuser des données audio et vidéo pré-enregistrées Vous pouvez créer une “station de radio” virtuelle ou un programme vidéo en configurant la lecture de fichiers de données QuickTime pré-enregistrés dans un ordre donné (la liste de lecture). Lorsque vous configurez une série de listes de lecture et que vous cliquez sur le bouton Lecture pour chacune, vous diffusez les données sur le Serveur Enchaînement QuickTime, qui les envoie aux clients dans l’ordre que vous avez défini (aléatoire ou ordonné). Bien que les données soient pré-enregistrées, elles apparaissent comme une transmission en direct. Tous les utilisateurs voient les mêmes données lorsqu’ils se connectent. Pour diffuser des données, vous devez effectuer les opérations suivantes : Étape 1 : Préparation de données QuickTime et d’un fichier de séquence de référence Vous pouvez diffuser n’importe quelles données que le Serveur Enchaînement QuickTime est capable de diffuser. Pour préparer les données : m Pour chaque séquence de la liste de lecture, utilisez le même nombre et le même type de pistes. Veillez à ce que tous les fichiers contiennent des types de données compatibles. Par exemple, toutes les pistes audio doivent se servir des mêmes encodage, compression et débit. Il en est de même pour toutes les pistes vidéo. m Formatez les données de chaque fichier de la même manière. Par exemple, utilisez la même dimension d’image pour chaque fichier contenant une piste vidéo. m Assurez-vous que chaque élément est une séquence à indications QuickTime. Pour préparer une séquence de référence : m Définissez en général le premier fichier d’une liste de lecture comme la séquence de référence. Vous pouvez néanmoins sélectionner une séquence de référence distincte. m Si vous créez une séquence de référence distincte, il doit s’agir d’une séquence à indications QuickTime contenant les mêmes nombre et type de pistes, encodage, compression et débit que les véritables fichiers. 198 Chapitre 9 Étape 2 : Création d’une liste de lecture Pour créer des listes de lecture : 1 Dans Admin Serveur Enchaînement, cliquez sur Réglages puis sur Réglages de liste. 2 Cliquez sur Créer nouvelle liste. 3 Attribuez un nom à la liste. 4 Choisissez un mode de lecture dans le menu local : m Séquentiel : les données sont diffusées dans l’ordre de la liste. La diffusion s’arrête après la lecture du dernier fichier. m Boucle séquentielle : les données sont diffusées dans l’ordre de la liste. Après la lecture du dernier fichier, la liste est lue de nouveau dans le même ordre. m Aléatoire pondérée : les données sont diffusées de façon aléatoire en fonction des pondérations spécifiées dans l’étape 7 afin de déterminer combien de fois chaque élément est lu. Cette transmission dans le désordre ne s’arrête que lorsque vous y mettez volontairement fin. 5 Si vous voulez que le serveur enregistre les informations de diffusion dans l’historique, messages d’erreur inclus, cliquez sur Activer l’historique. 6 Cliquez sur Ajouter/Supprimer des éléments pour ajouter des fichiers de séquence à votre liste de lecture. 7 Définissez l’ordre et la pondération de vos fichiers de données. La diffusion peut se faire dans l’ordre ou de façon aléatoire, la liste pouvant être lue une fois ou plusieurs fois consécutives. Si vous transmettez les données de manière aléatoire, vous pouvez définir une “pondération” pour chaque fichier de la liste. Cette pondération, correspondant à un chiffre entre 1 et 10, détermine le nombre de lectures de chaque élément. Les fichiers dont la valeur de pondération est 10 sont ceux diffusés le plus souvent (placez la pondération après le nom de la séquence). Par défaut, la pondération d’un fichier est 10. En plus d’utiliser des pondérations, vous pouvez empêcher que la lecture d’un fichier ne se répète avant qu’un nombre déterminé d’autres fichiers ait été diffusé. 8 Déterminez le nombre d’éléments devant être lus avant que d’autres éléments de la liste ne se répètent (si vous leur avez affecté une pondération). 9 Cliquez sur Soumettre pour enregistrer votre liste de lecture. Remarque : les fichiers de données à indications et les listes de lecture peuvent être stockés n’importe où sur le serveur et non pas seulement dans le répertoire des séquences choisi. Les fichiers de données à indications stockés en dehors du répertoire des séquences peuvent être diffusés comme éléments d’une liste de lecture, mais ne sont pas directement accessibles par les clients QuickTime. Serveur Enchaînement QuickTime 199 Étape 3 : Démarrage du service de diffusion Pour lancer et arrêter les diffusions, revenez sur le panneau des réglages de liste de lecture d’Admin Serveur Enchaînement. Cliquez soit sur le bouton de lecture dans la colonne Contrôles pour lancer la transmission d’une liste de lecture, soit sur le bouton Arrêtez pour y mettre fin. Étape 4 : Indications sur la manière de se connecter à la diffusion Pour se connecter au programme, les utilisateurs doivent disposer d’un logiciel à même de lire des données QuickTime, comme QuickTime Player. Des résultats encore meilleurs seront obtenus avec la dernière version du logiciel QuickTime. Si vous configurez la diffusion de données en continu sur une page Web, les utilisateurs peuvent se connecter au programme en utilisant un navigateur Web doté d’un module QuickTime Plugin. Vous devez fournir aux utilisateurs l’URL de la page Web et bien intégrer le lien de sorte que les données soient diffusées d’un simple clic (consultez la section “Configuration d’une page Web pour la diffusion de données” à la page 193). Si les utilisateurs se connectent à l’aide de QuickTime Player, vous devez leur fournir l’adresse URL du fichier SDP qui est relié à la liste de lecture. Résolution de problèmes avec les listes de lecture Si vous activez la consignation, vous pouvez utiliser le fichier d’historique pour résoudre les problèmes de diffusion. Si les données de la liste de lecture ne sont pas en cours de diffusion : m Consultez Admin Serveur Enchaînement pour vérifier que le serveur d’enchaînement est en fonction. m Si le serveur d’enchaînement fonctionne, ouvrez Visualiseur d’opérations sur le serveur pour vérifier que le processus “PlaylistBroadcaster” est en cours. Si c’est le cas sans que les données soient diffusées, arrêtez la diffusion, effacez le fichier SDP de la diffusion à partir du répertoire Films du Serveur Enchaînement QuickTime, puis redémarrez la diffusion. Un nouveau fichier SDP est créé lorsque la diffusion reprend. Si les données de la liste de lecture ne sont pas diffusées de façon aléatoire : Assurez-vous que le mode de lecture Aléatoire pondérée est activé. Si la lecture s’arrête après une seule lecture des données : Assurez-vous que le mode de lecture est soit Boucle séquentielle, soit Aléatoire pondérée. Si vous choisissez Aléatoire pondérée et donnez une valeur autre que zéro aux éléments qui se répètent, faites en sorte que cette valeur soit inférieure au nombre de fichiers de la liste de lecture. 200 Chapitre 9 Si certaines des données de la liste ne sont pas lues : Vérifiez la pondération que vous avez attribuée à chaque fichier de la liste. Si vous modifiez la liste de lecture, les modifications ne prendront effet que si vous arrêtez la diffusion puis la démarrez de nouveau. Si les données ne sont pas transmises correctement : Assurez-vous que tous les fichiers de la liste ont les mêmes contenu, format et encodage. Assurezvous également que les utilisateurs ont la dernière version du logiciel QuickTime installée sur leur ordinateur. Si la transmission est lente : Assurez-vous que chaque fichier est une séquence à indications optimisée pour le serveur. Au coeur du Serveur Enchaînement QuickTime Formats de fichiers compatibles Vous pouvez diffuser ces fichiers de données à l’aide du Serveur Enchaînement QuickTime en lecture avec QuickTime Player, tant que les données indiquent : Catégorie Formats Vidéo QuickTime AVI Audio AIFF/AIFC SoundDesigner II Son Système 7 µLaw (AU) WAV MIDI Karaoke MIDI Standard MIDI Serveur Enchaînement QuickTime 201 Les fichiers de données peuvent être comprimés à l’aide des méthodes suivantes : Catégorie Méthode de compression-décompression (codec) Vidéo souhaitable Sorenson vidéo H.263 Motion JPEG A H.261 Vidéo gérée Animation Cinepak Graphismes Motion JPEG B MPEG-1 Photo JPEG Vidéo Aucun Audio souhaitable MP3 Codec QDesign Music QUALCOMM Pure Voice DVI 4:1 ALaw 2:1 µLaw 2:1 16-bit raw Audio géré IMA 4:1 MACE 3:1 MACE 6:1 Contrôle de l’accès aux données diffusées Le Serveur Enchaînement QuickTime comprend un module d’authentification, QTSSAccessModule, que vous pouvez utiliser pour contrôler l’accès des clients aux fichiers de données en flux continu. Deux procédés d’authentification sont gérés : Basic et Digest. Le serveur choisit par défaut le plus sûr des deux procédés d’authentification, Digest. Outre le contrôle de l’accès aux données diffusées, QTSSAccessModule vous permet de contrôler l’accès aux listes de lecture et l’accès d’administrateur à votre serveur d’enchaînement. Il ne contrôle pas l’accès aux données diffusées par un serveur relais. L’authentification des données véhiculées par un serveur relais doit être configurée par l’administrateur du serveur relais 202 Chapitre 9 Le Module QTSSAccess étant intégré au Serveur Enchaînement QuickTime, il est donc toujours activé. Équipement requis pour accéder aux données protégées Les utilisateurs doivent disposer de QuickTime 5 ou d’une version ultérieure pour pouvoir accéder à un fichier de données pour lequel le procédé d’authentification Digest est active. Si votre Serveur Enchaînement QuickTime est configuré pour l’utilisation de l’authentification élémentaire, les utilisateurs doivent disposer de QuickTime 4.1 ou ultérieur. Ils doivent saisir leurs nom et leur mot de passe d’utilisateur pour visionner des données. Les personnes qui tentent d’accéder à un fichier avec une version antérieure de QuickTime verront apparaître le message d’erreur “401: Non autorisé”. Configuration du contrôle d’accès Pour que le contrôle d’accès fonctionne, le répertoire que vous avez sélectionné comme répertoire de séquences doit comporter un fichier d’accès. S’il n’existe aucun fichier d’accès dans le répertoire Films du Serveur Enchaînement QuickTime, tous les clients ont accès aux données du répertoire. Pour configurer le contrôle d’accès, procédez aux étapes suivantes : m créez un fichier d’accès m créez un fichier d’utilisateur m ajoutez des utilisateurs au fichier Vous pouvez également créer un fichier de groupe, mais cela reste optionnel. Étape 1 : Création d’un fichier d’accès Un fichier d’accès est un fichier de texte appelé “qtaccess”, qui contient des informations sur les utilisateurs et les groupes autorisés à visualiser des données dans le répertoire où se trouve le fichier d’accès. Le répertoire utilisé pour le stockage des données peut contenir d’autres répertoires, et chacun d’entre eux peut posséder son propre fichier d’accès. Quand un utilisateur essaie d’accéder à un fichier de données, le serveur consulte un fichier d’accès pour vérifier s’il est autorisé à le lire. Le serveur recherche d’abord un fichier d’accès dans le répertoire contenant le fichier de données. S’il ne trouve pas de fichier d’accès, il poursuit ses recherches dans le répertoire supérieur. Le premier fichier d’accès trouvé est utilisé pour déterminer si l’utilisateur est autorisé à visualiser le fichier de données. Remarque : Le fonctionnement du fichier d’accès au Serveur Enchaînement QuickTIme ressemble à celui du fichier d’accès au serveur Web Apache. Vous pouvez créer un fichier d’accès avec n’importe quel éditeur de texte. Le nom du fichier doit être “qtaccess” et le fichier doit suivre ce format : AuthName<message> AuthUserFile <nom de fichier d’utilisateur> AuthGroupFile <nom de fichier de groupe> Serveur Enchaînement QuickTime 203 require user <nom d’utilisateur 1> <nom d’utilisateur 2> require group <nom de groupe 1> <nom de groupe 2> Tout ce qui n’est pas entre crochets est un mot clé. Tout ce qui est entre crochets correspond à des informations que vous fournissez. m “Message” correspond au texte qui s’affiche à l’écran des utilisateurs lorsque la fenêtre d’ouverture de session apparaît. Il est optionnel. Si votre message comprend des espaces (espace entre des mots par exemple), n’oubliez pas de le mettre entre guillemets. m “Nom de fichier d’utilisateur” est le chemin d’accès et le nom du fichier d’utilisateur. La valeur par défaut est /etc/streaming/qtusers. m “Nom de fichier de groupe” est le chemin d’accès et le nom du fichier de groupe. La valeur par défaut est /etc/streaming/qtgroups. Un fichier de groupe est optionnel. Si les utilisateurs sont nombreux, il peut être plus facile de créer un ou plusieurs groupes et de saisir le nom des groupes plutôt que celui de chacun des utilisateurs qui les composent. m “Nom d’utilisateur” correspond à un utilisateur autorisé à se connecter et à visionner le fichier de données. Le nom d’utilisateur doit se trouver dans le fichier utilisateur que vous avez spécifié. Vous pouvez également spécifier “valid-user”, qui désigne tout utilisateur valide. m “Nom de groupe” est un groupe dont les membres sont autorisés à se connecter et à visionner les données. Le groupe et ses membres doivent figurer dans le fichier de groupe que vous avez spécifié. Balises utilisateur supplémentaires Cette section décrit les balises que vous pouvez ajouter au fichier qtaccess. m “valid-user” “Valid-user” correspond à tout utilisateur figurant dans le fichier qtusers. “Require valid-user” signifie que tout utilisateur authentifié dans le fichier qtusers peut accéder aux fichiers de données. Si cette balise est employée, le serveur demandera aux utilisateurs de saisir des nom et mot de passe corrects pour avoir accès aux données. m “any-user” “Any-user” permet aux utilisateurs de visionner les données sans authentification préalable. Si “require any-user” est employé, tous les utilisateurs ont le droit d’accès ; aucun nom ni mot de passe n’est requis. 204 Chapitre 9 Étape 2 : Création d’un fichier d’utilisateur Pour permettre aux utilisateurs d’accéder à vos fichiers de données, vous devez les ajouter à un fichier d’utilisateur. Pour créer un fichier d’utilisateur, ouvrez une fenêtre de terminal et saisissez ce qui suit : qtpasswd -c <domaine d’authentification> <nom de fichier d’utilisateur> <nom d’utilisateur> “Domaine d’authentification” est le message qui s’affiche sur l’écran des clients dans la fenêtre d’authentification. Pour l’authentification Basic, si le mot clé “AuthName” est employé dans le fichier d’accès, les utilisateurs verront s’afficher le domaine figurant dans le fichier d’accès ; si le mot clé n’est pas employé, les utilisateurs verront le domaine du fichier d’utilisateur. Pour l’authentification Digest, le mot clé “AuthName” est ignoré dans le fichier d’accès, et le domaine d’authentification du fichier d’utilisateur est toujours affiché sur l’écran des utilisateurs clients. Si vous employez l’authentification Digest, le domaine ne peut pas être modifié une fois qu’un fichier d’utilisateur a été créé. Pour le modifier, vous devez créer un nouveau fichier d’utilisateur. Vous devez taper un mot de passe pour l’utilisateur. Un fichier est créé avec l’utilisateur spécifié. Remarque : l’option -c permet de créer un fichier. Cette option ne s’utilise qu’une seule fois ; si elle est employée pour un fichier existant, vous recevrez un message avant que le fichier ne soit écrasé. Étape 3 : Ajout d’utilisateurs au fichier d’utilisateur Pour ajouter un utilisateur au fichier d’utilisateur, ouvrez une fenêtre de terminal et saisissez ce qui suit : qtpasswd <nom de fichier d’utilisateur> <nom d’utilisateur> Un mot de passe pour l’utilisateur vous sera demandé. Saisissez de nouveau le même mot de passe. Étape 4 : ajout ou suppression de groupes Vous pouvez créer un fichier de groupe avec n’importe quel éditeur de texte, à condition qu’il respecte le format suivant : <nom de groupe>: <nom d’utilisateur1> <nom d’utilisateur2> <nom d’utilisateur3> Pour ajouter ou supprimer un groupe, il suffit de modifier le fichier de groupe que vous avez créé. Serveur Enchaînement QuickTime 205 Modifications du fichier d’utilisateur ou de groupe Pour supprimer un membre d’un fichier d’utilisateur ou de groupe, vous devez procéder de la manière suivante : m À l’aide d’un éditeur de texte, ouvrez le fichier d’utilisateur ou le fichier de groupe. Effacez le nom et les lignes de mot de passe cryptées de l’utilisateur dans le fichier d’utilisateur ; supprimez le nom d’utilisateur dans le fichier de groupe. Pour changer un mot de passe d’utilisateur : m Ouvrez une fenêtre de terminal et saisissez ce qui suit : qtpasswd <nom de fichier d’utilisateur> <nom d’utilisateur> Un mot de passe pour l’utilisateur vous sera demandé. Ce nouveau mot de passe remplacera celui du fichier. Franchissement de pare-feux et de réseaux à conversion d’adresse Le Serveur Enchaînement QuickTime envoie des données en utilisant des paquets UDP (User Datagram Protocol). Les pare-feux conçus pour protéger les informations sur un réseau bloquent souvent les paquets UDP. Les ordinateurs clients situés derrière un pare-feu bloquant les paquets UDP ne peuvent pas recevoir de données diffusées en continu. Cependant, le Serveur Enchaînement QuickTime permet également la diffusion via des connexions HTTP, ce qui permet de visualiser les données en continu même à travers des pares-feu configurés de manière très stricte. Il se peut que certains ordinateurs clients situés sur des réseaux à conversion d’adresse ne puissent pas recevoir les paquets UDP. Ils peuvent par contre recevoir les données diffusées via des connexions HTTP. Les utilisateurs rencontrant des difficultés pour la réception de données à travers un pare-feu ou via un réseau à conversion d’adresse doivent se procurer la dernière version du logiciel QuickTime. Si les problèmes persistent, leur administrateur de réseau devra leur fournir les réglages corrects pour les sections Proxy d’enchaînement et Transport par enchaînement du tableau de bord Réglages QuickTime. Les administrateurs de réseau peuvent également configurer leur logiciel pare-feu afin de permettre le débit RTP et RTSP. Enchaînement sur Port 80 Si vous configurez un Serveur Enchaînement sur Internet et que vous pensez que certains de vos clients sont protégés par des pares-feu autorisant exclusivement le trafic Web, vous devez activer l’enchaînement sur le port 80. Une fois que c’est fait, Serveur Enchaînement QuickTime accepte les connexions sur le port 80, le port par défaut destiné au trafic Web, et les clients QuickTime seront en mesure de se connecter à votre Serveur Enchaînement même s’ils se trouvent derrière un pare-feu destiné au trafic Web exclusivement. 206 Chapitre 9 Une fois la diffusion activée sur port 80, vous ne pouvez plus utiliser un serveur Web sur le même ordinateur que le serveur d’enchaînement, sauf si vous effectuez l’une des opérations suivantes : m Configurez plusieurs adresses IP sur votre serveur : ces adresses peuvent se trouver soit sur la même carte d’interface de réseau, soit sur plusieurs cartes. Configurez votre serveur Web et votre serveur d’enchaînement de manière à ce qu’ils acceptent les connexions sur des adresses IP distinctes. m Configurez votre serveur Web afin qu’il accepte les connexions sur un autre port que le port 80 : dans ce cas, changez toutes les adresses URL renvoyant au serveur Web afin d’y inclure le numéro de port choisi. Configuration d’un relais Les flux de données sont envoyés d’un serveur à un ordinateur client selon l’une des deux méthodes élémentaires suivantes : m La monodiffusion est une transmission individuelle. Chaque ordinateur client qui se connecte à un flux de données de diffusion reçoit son propre flux. m Un flux en multidiffusion est envoyé à une adresse de groupe. Cela signifie que plusieurs ordinateurs clients peuvent se connecter à un même flux. Un relais reçoit un programme entrant (monodiffusion ou multidiffusion) et le transmet sur une ou plusieurs adresses (le programme peut être relayé soit en monodiffusion soit en multidiffusion). Vous pouvez configurer votre serveur afin qu’il relaie plusieurs programmes à la fois. Les relais tirent parti de la multidiffusion, c’est-à-dire de la diffusion de données à plusieurs destinations à la fois. Ils constituent une manière efficace de diffuser des données à bande passante élevée, telles que le multimédia, quand un grand nombre d’utilisateurs souhaitent recevoir les mêmes données. Un relais peut servir à établir une diffusion volumineuse impliquant plusieurs niveaux de serveurs d’enchaînement. Par exemple, si 3 000 clients vont se connecter à un programme en direct et que vous voulez utiliser cinq serveurs différents afin de gérer le volume, vous pouvez faire envoyer votre programme par votre application de diffusion à un serveur d’enchaînement qui servira de relais. Ce relais peut envoyer ensuite une copie du programme à chacun des cinq serveurs d’enchaînement. En outre, un relais peut servir à tirer parti de la multidiffusion IP. La multidiffusion est une technologie Internet qui permet à un même flux d’être visionné par de nombreux clients, d’où une grande économie de bande passante. Attention, car la multidiffusion IP, qui doit être activée sur chaque routeur situé entre le client et le serveur, est désactivée sur certains routeurs Internet. Serveur Enchaînement QuickTime 207 Si la multidiffusion est activée sur le réseau de diffusion de votre programme (intranet d’entreprise ou de campus par exemple), un relais peut être utilisé pour recevoir une monodiffusion et la retransmettre comme multidiffusion. Cette multidiffusion peut être visionnée par n’importe quel client se connectant au flux. Un relais peut également retransmettre une multidiffusion sous forme de monodiffusion. Ceci est utile dans le cas où la multidiffusion ne couvre pas tout votre réseau. Exemple de configuration du relais d’un programme en direct Un ordinateur Mac OS capture et code la vidéo et l'audio à l'aide d'un logiciel de diffusion de tierce partie. Le signal codé est envoyé à un serveur d'enchaînement QuickTime via un réseau IP. Les ordinateurs destinataires reçoivent le signal relayé et l'envoient aux ordinateurs clients. Source (192.168.1.1) Destination (192.168.1.3) Relais (192.168.1.2) Un système Mac OS X Server équipé du serveur d'enchaînement QuickTime relaie le signal à plusieurs destinations (à l'aide des adresses IP et des ports comme spécifié dans le fichier exemple ci-dessous). Destination (192.168.1.4) Les ordinateurs clients se connectent au programme. Création d’un fichier de configuration de relais Pour configurer un relais, vous devez créer un fichier de configuration de relais et le copier dans le répertoire /etc/streaming. La façon la plus simple de créer un fichier de configuration de relais est de modifier le fichier échantillon fourni avec votre logiciel de serveur d’enchaînement. Le chemin d’accès et le nom de ce fichier est /etc/streaming/ streamingrelay.conf. Une source de relais et une ou plusieurs destinations de relais font partie d’une unité. Les informations concernant une destination de relais doivent suivre directement celles relatives à une source de relais. Il peut y avoir plus d’une unité dans un fichier de configuration. L’exemple suivant contient une source et deux destinations. Bien que les lignes relay_source et relay_destination apparaissent sur deux lignes dans l’exemple, chacune d’elles doit tenir sur une seule ligne dans votre fichier de configuration. Important 208 Chapitre 9 Exemple de fichier de configuration de relais : relay_source “in_addr=192.168.1.1 src_addr=192.168.1.2 in_ports=5000 5002 5004 ttl=15” relay_destination “dest_addr=192.168.1.3 out_addr=192.168.1.2 dest_ports=6980 6982 6984” relay_destination “dest_addr=192.168.1.4 out_addr=192.168.1.2 dest_ports=10010 10012 10014 ttl=15” Mots clés et valeurs qui peuvent apparaître dans le fichier de configuration de relais. Mot clé Valeur relay_source Suivi par les mots clés suivants et par une valeur appropriée pour chacun d’entre eux : in_addr, src_addr, in_ports, ttl in_addr Adresse IP d’entrée. Si la diffusion source est une multidiffusion, il s’agit de l’adresse IP multidiffusion. Si la diffusion source est une monodiffusion, il doit s’agir de l’une des adresses IP de l’ordinateur source. src_addr Adresse IP de la source (optionnel) in_ports Numéro de port des flux RTP dans le programme source. Il doit s’agir de nombres pairs. Le nombre de ports d’entrée doit correspondre au nombre de ports de sortie ; veillez à ce que les nombres de ports soient uniques et ne comportent pas de suites de chiffres identiques. ttl Durée de vie (s’il s’agit d’une source multidiffusion). La valeur de la durée de vie est utilisée dans le cas de multidiffusions, pour spécifier combien de fois un flux de données peut être passé d’un routeur à un autre avant que sa transmission soit stoppée. La valeur peut être comprise entre 0 et 255. Une valeur de 1 dessert les ordinateurs du réseau local. Plus le chiffre est grand, plus les paquets multidiffusion peuvent être envoyés sur de longues distances. relay_destination Suivi par les mots clés suivants et par une valeur appropriée pour chacun d’entre eux : dest_addr, out_addr, dest_ports, ttl dest_addr Adresse IP destinataire (monodiffusion ou multidiffusion) du relais out_addr Adresse IP de l’interface sur laquelle envoyer les paquets multidiffusion (optionnel). Si elle n’est pas définie clairement, l’interface de sortie est choisie automatiquement. Serveur Enchaînement QuickTime 209 Mot clé Valeur dest_ports Numéros de port des flux RTP au niveau du relais destinataire. Il doit s’agir de nombres pairs. Le nombre de ports d’entrée doit correspondre au nombre de ports de sortie ; veillez à ce que les numéros de ports soient uniques et ne comportent pas de suites de chiffres identiques. Utilisez des numéros de port non attribués à partir de 5000. include Suivi par un chemin d’accès et un nom de fichier de configuration de relais Dans tout fichier de configuration, les chaînes comprenant des espaces doivent être mises entre guillemets. Par exemple, vous devrez taper “Mon Serveur d’enchaînement” et non Mon Serveur d’enchaînement. Activation ou désactivation d’un relais Pour désactiver un relais, supprimez ou renommez le fichier de configuration de relais dans le répertoire /etc/streaming. Puis arrêtez le Serveur Enchaînement QuickTime et redémarrezle. Pour activer un relais, créez ou copiez un fichier de configuration de relais dans le répertoire /etc/streaming. Puis arrêtez le Serveur Enchaînement QuickTime et redémarrez-le. Résolution de problèmes avec le Serveur Enchaînement QuickTime Si Admin Serveur Enchaînement ne répond pas : Vérifiez que le script streamingadminserver.pl est activé. Si ce n’est pas le cas, ouvrez l’application Terminal (dans /Applications/Utilities) et passez sur l’administrateur racine en tapant “su root” suivi du mot de passe d’administrateur. Lancez ensuite le processus Admin Serveur Enchaînement en tapant “streamingadminserver.pl” dans l’application Terminal. Si le serveur ne démarre pas ou s’il s’éteint subitement : m Consultez l’historique des erreurs. m Assurez-vous que le fichier Serveur Enchaînement QuickTime se trouve dans le répertoire /usr/local/sbin/. Si l’ordinateur du serveur d’enchaînement se bloque ou est redémarré : m Une fois que l’ordinateur a redémarré, vous devez relancer toutes les listes de lecture, même si Admin Serveur Enchaînement indique qu’elles sont en cours de diffusion. m Assurez-vous que le Serveur Enchaînement QuickTime e est activé avant de redémarrer les listes de lecture. 210 Chapitre 9 Si les fichiers de données ne sont pas diffusés correctement : m Consultez l’historique des erreurs. m Assurez-vous que le fichier du film est reconnu par le Serveur Enchaînement QuickTime. Vérifiez la liste des formats de fichier compatibles, à la page 201. m Faites un essai de diffusion avec une séquence exemple pour vérifier le bon fonctionnement du serveur. Une séquence exemple est fournie avec le serveur. Si le serveur transmet la séquence, le problème peut provenir de la façon dont le fichier de séquence est préparé. Recréez la séquence. Si le serveur ne transmet pas la séquence, le problème peut provenir du serveur ou du réseau. m Ajoutez de nouveau les indications à la séquence en sélectionnat l’option Optimiser les indications destinées au serveur. m Vérifiez l’activité de diffusion du serveur et, si nécessaire, réduisez le nombre maximum de connexions ou le débit. m Si le problème se produit sur un ordinateur client Mac OS, ouvrez le tableau de bord TCP/IP de l’ordinateur client et assurez-vous que MacIP n’est pas sélectionné. m Si le problème se produit sur un ordinateur client, assurez-vous que l’utilisateur dispose des réglages corrects dans les sections Proxy d’enchaînement et Transport par enchaînement du tableau de bord Réglages QuickTime. L’administrateur de réseau de cet ordinateur client devrait pouvoir fournir à l’utilisateur les réglages appropriés. m Si vous voulez véhiculer plus d’un flux en direct, veillez à ce que chaque flux utilise un port UDP distinct. Dans le cas contraire, les ordinateurs clients afficheront un message signalant une erreur 500. Le réglage des ports s’effectue dans le fichier de configuration de relais. m Assurez-vous que le logiciel client gère le format de fichier en cours de diffusion. m Vérifiez la structure de l’URL. Si la transmission est lente : m Si vous êtes en train de diffuser des séquences QuickTime, passez-les en mode autonome à l’aide de votre application de création, et vérifiez que l’introduction d’indications est optimale pour les services d’enchaînement. m Réduisez le nombre maximum de connexions ou le débit. m Désactivez les autres services. m Placez les fichiers de données sur d’autres disques durs pour améliorer les performances du serveur. Serveur Enchaînement QuickTime 211 Étant donné que le Serveur Enchaînement QuickTime ne peut utiliser qu’un seul répertoire Films, vous devez créer des liens entre le répertoire Films sélectionné dans Admin Serveur Enchaînement et les fichiers de données situés sur d’autres disques durs. Pour cela : m Sur l’ordinateur où est activé le serveur Enchaînement QuickTime, maintenez enfoncée la touche Ctrl et glissez les dossiers contenant les données depuis les autres disques au dossier défini comme répertoire des séquences. Si les utilisateurs ne voient pas s’afficher les données en direct : m Assurez-vous que votre ordinateur de capture et d’encodage capture un signal provenant de l’équipement audio ou vidéo. m Assurez-vous que le fichier SDP se trouve dans le répertoire des séquences de votre serveur d’enchaînement. Sources d’informations supplémentaires sur le Serveur Enchaînement QuickTime Pour plus d’informations sur le Serveur Enchaînement QuickTime, consultez les ressources suivantes : m QuickTime site Web du Serveur Enchaînement www.apple.com/quicktime/products/qtss m Le site Web IP Multicast Initiative www.ipmulticast.com m Groupes de discussion lists.apple.com Les développeurs du serveur Enchaînement QuickTime sont invités à consulter la liste enchaînement-Server-Developers. Les utilisateurs du serveur Enchaînement QuickTime sont invités à consulter la liste enchaînement-Server-Users. 212 Chapitre 9 C H A P I T R E 10 Service Gestion Macintosh 10 Qu’est-ce que le service Gestion Macintosh ? Le service Gestion Macintosh vous permet de définir des règles communes à l’ensemble du réseau afin de contrôler l’accès des utilisateurs aux applications, aux volumes du serveur de fichiers et aux imprimantes. Vous pouvez également définir l’environnement qui apparaît aux utilisateurs lorsqu’ils se connectent. Gestionnaire Macintosh s’avère particulièrement utile pour fournir aux ordinateurs clients NetBoot la gestion de l’authentification et des préférences. Á qui s’adresse le service Gestion Macintosh ? Vous devez envisager l’utilisation du service Gestion Macintosh si : m vous souhaitez réduire les coûts de gestion d’un réseau d’ordinateurs Macintosh m vous désirez proposer aux utilisateurs une interface compatible et fiable tout en leur permettant d’accéder à leurs documents à partir d’un ordinateur quelconque m vous devez garantir l’usage informatique des secteurs déterminants, tels que bureaux administratifs, salles de cours ou laboratoires informatiques en libre service Exemple : utilisation du Gestionnaire Macintosh pour contrôler l’accès aux ordinateurs Supposons que vous venez d’acheter plusieurs ordinateurs Macintosh afin de créer et d’éditer des séquences. Par manque d’espace, vous avez dû installer les nouveaux ordinateurs dans un laboratoire en libre service, à côté d’autres ordinateurs à usage courant. Vous pouvez utiliser Gestionnaire Macintosh afin que l’usage de ces nouveaux ordinateurs soit exclusivement réservé aux utilisateurs devant réaliser des travaux de présentation vidéo. Vous devez pour cela affecter des utilisateurs spécifiques à un groupe de travail “présentation vidéo”, créer une “liste” spéciale des ordinateurs destinés à cet usage et autoriser l’accès de ces ordinateurs uniquement au groupe de travail de “présentation vidéo”. 213 Avant d’installer Gestionnaire Macintosh Avant d’installer l’application Gestionnaire Macintosh, vous devez connaître les capacités système requises énumérées ci-après : Configuration requise par les ordinateurs clients m versions Mac OS 8.1 à Mac OS 9.x m 1 méga-octet (Mo) minimum de mémoire vive disponible m écran 16 bit recommandé pour l’utilisation de l’environnement Tableaux Capacités requises pour les ordinateurs administrateurs m versions Mac OS 9 ou ultérieures et Mac OS X m minimum de 2 Mo de mémoire vive disponible m résolution d’écran minimum de 800 x 600 Installation du Gestionnaire Macintosh pour la première fois Lors de la première installation du Gestionnaire Macintosh, procédez comme suit : Étape 1 : Assurez-vous que les utilisateurs possédant des répertoires d’accueil existent dans Utilisateurs et groupes Tout utilisateur importé dans Gestionnaire Macintosh doit tout d’abord exister dans la base de données Mac OS X Server Utilisateurs et groupes. Chaque utilisateur que vous souhaitez importer doit également posséder un répertoire d’accueil. Pour plus de détails, consultez “Configuration des utilisateurs et groupes pour la première fois” à la page 63. Étape 2 : Assurez-vous que le service Gestion Macintosh est en fonction Utilisez le module Gest. Macintosh d’Admin Serveur pour vous assurer que le service est en marche. Si c’est le cas, un globe apparaît sur l’icône du service et le premier élément du menu indique Arrêter le service Gestion Macintosh. S’il indique “Démarrer le service Gestion Macintosh”, sélectionnez-le pour lancer Gestionnaire Macintosh. Étape 3 : connectez-vous en tant qu’administrateur Ouvrez le Gestionnaire Macintosh à l’aide du module Gest. Macintosh d’Admin Serveur ou en cliquant sur l’icône du Gestionnaire Macintosh dans le Dock. Connectez-vous au serveur en utilisant un compte administrateur de Mac OS X Server (par la suite, vous pourrez vous connecter en utilisant soit ce compte, soit d’autres comptes administrateurs définis par vos soins). 214 Chapitre 10 Étape 4 : Ajoutez des comptes d’utilisateurs Dans la fenêtre Utilisateurs du Gestionnaire Macintosh, vous pouvez importer des utilisateurs à partir du Mac OS X Server. Les informations utilisateur requises, comme le nom et l’adresse de courrier électronique, sont importées dans le gestionnaire Macintosh en même temps que le compte utilisateur. Si vous ne souhaitez importer aucun utilisateur pour le moment, vous pouvez configurer le compte Tous les autres utilisateurs et accorder un accès immédiat à ceux qui possèdent des noms et mots de passe Mac OS X Server (consultez la section “Pour procurer un accès rapide aux utilisateurs non importés” à la page 252). Après avoir ajouté un utilisateur, vous pouvez également définir des options spécifiques au gestionnaire Macintosh (telles que type d’utilisateur, appartenance à des groupes de travail, etc.). Étape 5 : Créez un administrateur pour Gestionnaire Macintosh Vous devez créer au moins un compte administrateur pour Gestionnaire Macintosh afin d’empêcher les autres utilisateurs de contourner la sécurité. Les administrateurs Gestionnaire Macintosh sont habilités à gérer tous les réglages de l’application et peuvent utiliser leurs mots de passe pour se connecter à la place de n’importe quel autre utilisateur (sauf un autre administrateur Gestionnaire Macintosh). Vous pouvez également définir des comptes d’administrateur de groupe de travail pour des tiers (par exemple, pour des professeurs ou des coordinateurs techniques) qui ont besoin d’ajouter ou de modifier des comptes d’utilisateurs ou des groupes de travail. Ils ont également accès aux dossiers de remise de documents. Les administrateurs de groupe peuvent utiliser toutes les caractéristiques du Gestionnaire Macintosh auxquelles l’administrateur de celui-ci leur donne accès. Étape 6 : Créez un groupe de travail Vous devez créer au moins un groupe de travail d’utilisateurs. Les groupes de travail vous permettent de regrouper les utilisateurs en fonction des autorisations et des ressources partagées, telles que logiciels, imprimantes et ordinateurs. Si vous le souhaitez, vous pouvez par exemple créer un groupe de travail pour des types d’utilisateurs spécifiques et un autre pour les utilisateurs nécessitant une imprimante spécifique pour un projet. Les utilisateurs ne peuvent se connecter au réseau Gestionnaire Macintosh tant qu’un groupe de travail ne leur a pas été affecté (un même utilisateur peut appartenir à plusieurs groupes de travail). Pour plus de détails, consultez la section “Création de groupes de travail pour satisfaire les besoins de votre réseau” à la page 253. Étape 7 : Définissez des options de sécurité Vous devez définir certaines options de sécurité dans l’onglet Global afin de sauvegarder les informations et de contrôler l’accès de votre réseau. Service Gestion Macintosh 215 Si certains ordinateurs clients de votre réseau sont équipés de versions antérieures à Mac OS 9, utilisez l’onglet Sécurité de la fenêtre Global pour spécifier le mode de traitement et de stockage des préférences utilisateurs (par exemple les préférences et les dossiers favoris d’un fond d’écran ou d’un navigateur web) pour ce type de client. Choisissez l’une des options suivantes : m Copier tout le dossier Préférences : Tous les éléments du dossier Préférences de l’utilisateur sont copiés à partir du serveur lors de la connexion, puis vers celui-ci lors de la déconnexion, quelle que soit la nature et la taille de l’élément. Sachez que la copie d’éléments inutiles ou volumineux pourra augmenter les temps de connexion et de déconnexion. m Ne copier que les préférences Internet ou définies par l’administrateur : Si vous utilisez des préférences gérées, toutes les préférences du dossier Préférences préservées sont copiées (consultez à ce sujet “Fonctionnement du Gestionnaire Macintosh avec les préférences” à la page 257). Si vous n’utilisez pas de préférences gérées, les fichiers et dossiers suivants seront copiés à partir du serveur lorsque l’utilisateur se connectera : StuffIt Expander Preferences, RealAudio™ Player Preferences, Internet Preferences, NCSA Telnet Preferences, Fetch Prefs, NewsWatcher Prefs, JPEGView Preferences, Netscape ƒ et Explorer (le dossier cache situé dans les dossiers Netscape ƒ et Explorer est supprimé). Réglages du Gestionnaire Macintosh Pour accéder aux réglages du service Gestion Macintosh, ouvrez Gestionnaire Macintosh, connectez-vous au serveur et cliquez sur l’onglet des réglages à modifier. 216 Chapitre 10 Réglages élémentaires des utilisateurs L’onglet Élémentaire de la fenêtre Utilisateurs vous permet de configurer des options élémentaires pour les utilisateurs de Gestionnaire Macintosh. Nom, nom abrégé et identifiant Ces éléments sont importés de la base de données Utilisateurs et groupes et ne peuvent être modifiés à cet endroit. Le “nom abrégé” est le nom raccourci de l’utilisateur, que vous avez défini dans l’application Admin Serveur. Les utilisateurs peuvent l’employer à la place de leur nom d’utilisateur complet pour se connecter au gestionnaire Macintosh et à d’autres services de réseau. Si un utilisateur ne possède pas encore d’adresse, Gestionnaire Macintosh peut en attribuer une d’après le nom abrégé et le domaine que vous indiquez dans l’onglet Contrôle de la fenêtre Ordinateurs. Service Gestion Macintosh 217 Type d’utilisateur Le menu local “Type d’utilisateur” vous propose trois types de comptes à affecter aux utilisateurs : m Les comptes d’utilisateurs sont destinés aux personnes (étudiants ou employés généralement) qui utilisent un ordinateur pour leur travail quotidien. Ce type d’utilisateur ne possède aucune autorisation pour employer l’application d’administration Gestionnaire Macintosh. m Les comptes d’administrateurs de groupe sont destinés aux personnes (généralement enseignants ou cadres) qui doivent être habilitées à ajouter ou modifier les comptes d’utilisateurs et/ou les groupes de travail. L’administrateur de groupe doit demander à l’administrateur Gestionnaire Macintosh quelles fonctions de Gestionnaire Macintosh il peut utiliser. L’administrateur de groupe de travail doit faire partie de chaque groupe de travail qu’il dirige. m Les comptes d’administrateur Gestionnaire Macintosh sont destinés aux personnes qui sont responsables du réseau et qui doivent configurer les options affectant l’ensemble des utilisateurs et groupes. Les administrateurs du gestionnaire Macintosh sont habilités à utiliser toutes les fonctionnalités disponibles dans Gestionnaire Macintosh. C’est le seul type d’utilisateur qui puisse configurer un compte d’administrateur de groupe de travail ou d’administrateur Gestionnaire Macintosh. Vous devez affecter chaque utilisateur et administrateur de groupe à un groupe afin qu’ils puissent se connecter. Commentaires Tapez tout renseignement (maximum 63 caractères) permettant de faciliter l’identification de l’utilisateur. Accès de l’utilisateur m Sélectionnez “L’utilisateur peut se connecter” pour permettre à l’utilisateur de se connecter à n’importe quel ordinateur administré avec Gestionnaire Macintosh. Vous pouvez retirer un compte instantanément en désactivant cette option. m Sélectionnez “Désactivez l’accès à compter du” pour désactiver les comptes d’utilisateurs du Gestionnaire Macintosh à une date spécifique. 218 Chapitre 10 Réglages avancés des utilisateurs L’onglet Avancé de la fenêtre Utilisateurs vous permet de configurer des options avancées pour les utilisateurs du Gestionnaire Macintosh. Les options qui apparaissent diffèrent en fonction du type d’utilisateur (défini dans l’onglet Élémentaire). Fenêtre Avancé d’un administrateur Gestionnaire Macintosh Service Gestion Macintosh 219 Accès m Sélectionnez “L’usager ne peut se connecter qu’à un ordinateur à la fois” pour autoriser un membre à se connecter à un seul des ordinateurs connectés à ce serveur Gestionnaire Macintosh. Les utilisateurs configurés avec cette restriction devront se déconnecter de l’ordinateur utilisé pour pouvoir se connecter à un autre ordinateur ou en emprunter un. Fenêtre Avancé d’un utilisateur m Sélectionnez “L’utilisateur a accès au système” pour permettre à un utilisateur d’accéder à tous les éléments présents sur l’ordinateur client, y compris le Finder et le Dossier Système. Lorsqu’un utilisateur disposant de l’accès au système se connecte à un ordinateur client, “Accès au système” s’affiche comme option dans la zone de dialogue d’ouverture. Les administrateurs du gestionnaire Macintosh ont toujours accès au système. 220 Chapitre 10 Courrier électronique Sélectionnez “Placer les informations de courrier électronique dans les préférences Internet” pour que Gestionnaire Macintosh relève le courrier lorsqu’un utilisateur se connecte. L’utilisateur doit posséder un compte de messagerie POP ou IMAP. Lors de la première importation des utilisateurs dans Gestionnaire Macintosh, le nom du compte de messagerie et les données du serveur de courrier de chaque membre sont importés de la base de données Mac OS X Server, ainsi que d’autres données relatives aux utilisateurs. Si les informations de messagerie d’un utilisateur n’existent pas déjà dans la base de données Mac OS X Server, vous pouvez saisir des données de serveur de courrier dans l’onglet Contrôle de la fenêtre Ordinateurs. Pour configurer Gestionnaire Macintosh afin qu’il relève automatiquement le courrier, vous devez activer la levée du courrier lors de la connexion via l’onglet Options de la fenêtre Groupes de travail, et l’utilisateur doit pouvoir accéder à un logiciel de messagerie. Quotas m Sélectionnez “Régler quota de stockage de l’utilisateur sur_K” et tapez une valeur dans le champ afin de limiter la quantité d’espace disque que les utilisateurs peuvent occuper dans leur répertoire d’accueil. Sélectionnez “N’avertir l’usager que s’il dépasse cette limite” pour que Gestionnaire Macintosh avertisse les membres lorsqu’ils dépassent la limite prévue. Cette option ne les empêche pas d’enregistrer d’autres documents. m Sélectionnez “Autoriser l’utilisateur à dépasser les quotas” pour qu’il puisse dépasser la limite d’impression définie dans l’onglet Imprimantes de la fenêtre Groupes de travail. Remarque : Cette option est le seul élément qui apparaît sur l’onglet Avancé lorsque “Tous les autres utilisateurs” est sélectionné. Service Gestion Macintosh 221 Autoriser cet administrateur de groupe de travail à Sélectionnez “Importer, modifier et effacer des utilisateurs (sauf les administrateurs) et “Créer, modifier et effacer des groupes de travail (s’il en est membre)” pour permettre à l’utilisateur de réaliser ces tâches. Ils n’apparaissent que si l’utilisateur est un administrateur de groupe. Fenêtre Avancé d’un administrateur de groupe Autorisé à modifier Si vous autorisez l’utilisateur à créer, à modifier et à effacer des groupes de travail, sélectionnez les onglets des réglages de groupe que vous souhaitez que l’administrateur puisse modifier. Vous pouvez par exemple sélectionner uniquement l’option Membres si vous souhaitez que l’utilisateur puisse ajouter des membres à un groupe de travail, ou les effacer, sans pouvoir toucher à aucun autre réglage du groupe. 222 Chapitre 10 Réglages des membres de groupes de travail L’onglet Membres de la fenêtre Groupes de travail vous permet de choisir un environnement et d’ajouter des membres à vos groupes. Chaque utilisateur ou administrateur de groupe doit être affecté au minimum à un groupe de travail pour pouvoir se connecter. L’utilisateur peut faire partie d’un maximum de 42 groupes. Nom du groupe Un nom de groupe de travail accepte la plupart des caractères (y compris le point, le soulignement, le tiret et l’espace) hormis les deux-points (:), et ne peut dépasser 31 caractères. Service Gestion Macintosh 223 Environnement L’environnement détermine l’interface que les utilisateurs du groupe voient apparaître et le type d’accès aux ressources du réseau dont ses membres disposent. Vous pouvez configurer trois types d’environnement : m Finder constitue le bureau Mac OS standard. L’accès est peu restreint pour les utilisateurs dans ce type d’environnement. m L’environnement Finder restreint ressemble au bureau Mac OS standard, mais il protège les ordinateurs contre les intrusions en restreignant le champ d’action des utilisateurs. m L’environnement Tableaux offre une interface simplifiée dont les icônes, agrandies, facilitent la manipulation de l’ordinateur par les novices, notamment les enfants. Cet environnement procure la sécurité optimale, car les utilisateurs n’ont pas directement accès au volume de démarrage. Si vous autorisez l’accès à des volumes de serveur ou à des supports amovibles, chaque élément de volume ou de support apparaîtra sous forme de tableau une fois monté. Vous pouvez spécifier les noms de groupe et les tableaux Documents de l’utilisateur dans l’onglet Accès de la fenêtre Ordinateurs. Utilisateurs disponibles Dans cette liste figurent les noms de tous les utilisateurs importés dans Gestionnaire Macintosh, notamment le compte “Tous les autres utilisateurs”. Cliquez sur un utilisateur de la liste puis sur Ajouter pour l’inclure à un groupe de travail. Vous pouvez également cliquer sur un utilisateur et le faire glisser de cette liste vers celle des Membres du groupe de travail. Membres de groupe de travail Tous les types d’utilisateurs peuvent être membres d’un groupe de travail : utilisateur, administrateur de groupe ou administrateur Gestionnaire Macintosh. Un groupe de travail peut compter jusqu’à 1500 membres. Sélectionnez un utilisateur de la liste et cliquez sur Supprimer pour l’effacer du groupe. 224 Chapitre 10 Réglages d’éléments de groupes de travail L’onglet Éléments de la fenêtre Groupes de travail vous permet de mettre des fichiers et applications d’ordinateurs clients à disposition des membres de groupes. Les membres peuvent ouvrir n’importe quel élément des volumes locaux Sélectionnez cette option pour autoriser les membres à ouvrir tous les fichiers situés sur des volumes locaux. Si vous cochez cette option, vous pouvez également définir la liste de raccourcis afin de permettre aux membres de groupes d’accéder rapidement à un ensemble d’applications. Autoriser les membres à n’ouvrir que ces éléments Sélectionnez cette option pour que les membres du groupe puissent utiliser uniquement les éléments que vous sélectionnez. Si vous sélectionnez cette option, vous devez établir la liste des éléments approuvés en-dessous. Volume Si vous définissez une liste d’éléments de raccourcis ou d’éléments approuvés, choisissez le volume contenant ces éléments à partir du menu local Volume. Les éléments du volume choisi apparaissent dans le champ situé en dessous. Repérez et sélectionnez un élément, puis faites-le glisser ou cliquez sur Ajouter pour l’inclure à la liste de droite. Service Gestion Macintosh 225 Éléments de raccourcis Cette liste apparaît si vous autorisez des membres de groupe à ouvrir n’importe quel élément ou s’il s’agit d’un groupe de l’environnement Finder. Ajoutez des éléments à la liste pour que les membres puissent y accéder rapidement. Ces éléments apparaissent réunis dans un dossier pour les groupes de l’environnement Finder restreint, dans un tableau pour ceux de l’environnement Tableaux. La liste des éléments de raccourcis est facultative. Remarque : Dans l’environnement Finder, seule la liste des éléments de raccourcis apparaît. Si vous y ajoutez des éléments, ils apparaîtront sous forme d’alias sur le bureau de l’utilisateur. Éléments approuvés Cette liste apparaît si vous autorisez les membres du groupe à ouvrir uniquement l’élément que vous sélectionnez. Vous devez ajouter à la liste des éléments approuvés tous les éléments auxquels vous souhaitez autoriser l’accès des utilisateurs. Ces éléments apparaissent réunis dans un dossier pour les groupes de l’environnement Finder restreint et dans un tableau pour ceux de l’environnement Tableaux. Rechercher les éléments sélectionnés Lorsque vous désignez une application ou un document comme élément approuvé, il est conservé sous forme d’alias de l’application ou du document originaux. Lorsqu’un utilisateur se connecte, l’ordinateur localise le fichier d’origine pour chacun des éléments approuvés avant de télécharger un alias vers l’ordinateur client. Vous pouvez décider de l’emplacement sur lequel l’ordinateur recherche les éléments du groupe de travail en sélectionnant l’une des options ci-dessous dans le menu local “Rechercher les éléments sélectionnés” : m “sur le volume original de l’élément seulement” recherche l’élément sur le volume où il se situait à l’origine (soit un volume de serveur, soit un volume local). L’ordinateur ne peut examiner que les volumes montés. m “sur les volumes locaux d’abord” examine les volumes locaux disponibles sur un ordinateur client. Si l’élément est introuvable et que l’original se trouvait sur un serveur, l’ordinateur effectue la recherche sur tout volume monté. m “sur les volumes du serveur de groupes d’abord” examine le volume contenant le groupe de travail. Si l’ordinateur ne trouve pas l’élément, il le recherche sur le volume de démarrage et sur d’autres volumes locaux. m “sur les volumes locaux uniquement” recherche l’élément sur les volumes montés en local, notamment le volume de démarrage, les partitions supplémentaires et les disques durs connectés en direct. m “sur les volumes du serveur de groupes uniquement” ordonne à l’ordinateur de rechercher l’élément sur l’un des volumes AFP montés pour ce groupe. Si l’élément reste introuvable sur l’un de ces volumes, il ne peut être ouvert. 226 Chapitre 10 N’oubliez pas que pour un ordinateur client NetBoot, un volume local est le disque dur de l’ordinateur ou tout disque dur externe directement relié à l’ordinateur. Le volume de démarrage d’un ordinateur client NetBoot est un volume distant néanmoins considéré comme un volume local. Si vous approuvez des éléments pour des stations de travail et que vous utilisez l’application Gestionnaire Macintosh sur un ordinateur sur lequel le partage de fichiers personnels est activé, ou sur lequel le service de fichiers AFP est en fonction, vous pourrez obtenir des résultats inattendus. Si vous avez des problèmes, utilisez Gestionnaire Macintosh sur un ordinateur qui ne soit pas équipé du service de fichiers. Si vous approuvez tous les éléments en choisissant “sur les volumes locaux uniquement” comme critère de recherche des éléments sélectionnés, vous pouvez utiliser Gestionnaire Macintosh sur un ordinateur fonctionnant avec le service de fichiers sans risquer d’obtenir des résultats inattendus. Important Service Gestion Macintosh 227 Réglages Autorisations des groupes de travail L’onglet Autorisations de la fenêtre Groupes de travail vous permet de sélectionner divers réglages d’autorisations pour chaque groupe. Les autorisations que vous pouvez établir pour un groupe de travail dépendent de son environnement de bureau. La majorité des autorisations ne peuvent être restreintes pour les groupes de l’environnement Finder, mais il existe plusieurs options que vous pouvez configurer pour les groupes des environnements Tableaux et Finder restreint. Fenêtre Autorisations d’un groupe de l’environnement 228 Chapitre 10 Protéger vous pouvez renforcer la sécurité de la station de travail en contrôlant la capacité des applications à modifier des secteurs spécifiques sur les ordinateurs clients. m Sélectionnez “Verrouiller le bureau de l’utilisateur sur le volume de démarrage” pour empêcher les membres ou les applications de modifier le bureau ou d’écrire dessus. m Sélectionnez “Appliquer la sécurité des fichiers pour les stations Mac OS 9” afin de garantir une sécurité maximale. Si vous appliquez la sécurité au niveau des fichiers, vous empêchez les applications d’écrire sur des zones réservées, mais il est possible que certaines applications plus anciennes ne puissent alors pas démarrer correctement ou que le système signale des erreurs de disque. Si vous n’imposez pas la sécurité au niveau des fichiers, les applications peuvent écrire des informations partout où cela s’avère nécessaire. m Sélectionnez “Dossier Système” et “Dossier Applications” pour protéger un de ces fichiers ou les deux (pour les groupes de l’environnement Finder). Le dossier Applications doit être déjà créé et se trouver dans la partie supérieure du disque de démarrage. Fenêtre Autorisations d’un groupe de l’environnement Finder restreint Service Gestion Macintosh 229 Les membres du groupe peuvent m Sélectionnez “Lire des CD audio” pour permettre aux membres des groupes des environnements Tableaux et Finder restreint de lire des CD audio sur l’ordinateur. Un disque compact audio est un CD dont la première piste contient des données audio. L’ordinateur client ne pouvant distinguer un CD audio d’un autre, l’autorisation d’accès aux CD audio doit concerner soit tous les CD, soit aucun. m Sélectionnez “Effectuer des captures d’écran” pour permettre aux membres des groupes des environnements Tableaux et Finder restreint de réaliser des captures d’écran. Les captures d’écran sont enregistrées automatiquement dans le dossier des documents de l’utilisateur. Si l’espace disque est limité, il est préférable d’empêcher les utilisateurs d’effectuer des captures d’écran. m Sélectionnez “Ouvrir les éléments approuvés sur les supports amovibles” pour permettre aux membres des environnements Tableaux et Finder restreint d’ouvrir n’importe quelle application de supports amovibles (autres que les CD). Vous pouvez configurer les options des CD et DVD dans l’onglet CD-ROM de la fenêtre Global. Sachez que le fait d’autoriser l’ouverture d’applications approuvées fournies sur des supports amovibles peut exposer les ordinateurs clients aux virus. À moins que vous ne puissiez scanner le support amovible avant de l’utiliser, il est préférable de laisser ce réglage désactivé afin de protéger l’ordinateur des virus. Autorisations Vous pouvez opter pour lecture seule, écriture seule, lecture/écriture ou aucune autorisation sur les emplacements suivants : m Dossier partagé du groupe : si vous sélectionnez un volume de données de groupe dans la fenêtre Options, ce dossier est créé pour le groupe. Seuls les membres du groupe de travail peuvent l’utiliser. m Dossier partage global : si vous sélectionnez un volume de données de groupe dans la fenêtre Options, ce dossier est créé. Les membres de tous les groupes de travail dont le dossier de groupe se trouve sur le même volume ont accès à ce dossier. m Dossier Remise de documents du groupe : si vous sélectionnez un volume de données de groupe dans la fenêtre Options, vous pouvez configurer un dossier de remise de documents pour le groupe. Il faut qu’au moins un administrateur de groupe, ou un administrateur Gestionnaire Macintosh, appartienne au groupe de travail pour pouvoir utiliser cette fonction. L’administrateur est la seule personne qui puisse voir le dossier. Les membres du groupe de travail placent les éléments dans le dossier soit en choisissant Remettre dans le menu Fichier en environnement Tableaux, soit en faisant glisser l’élément dans le dossier de remise en environnement Finder restreint. m Supports amovibles (excepté les CD) : ceci comprend les disquettes, les disques Zip et tous les autres types de support amovible, à l’exception des CD. Vous pouvez configurer les options des CD et DVD dans l’onglet CD-ROM de la fenêtre Global. 230 Chapitre 10 m Dossier du disque de démarrage appelé : l’administrateur Gestionnaire Macintosh peut créer deux types de dossiers sur le disque de démarrage de l’ordinateur client, chacun étant réservé à un usage particulier. Le premier dossier est de type standard et vous pouvez le nommer à votre guise (par exemple “Standard”) et le définir en lecture seule ou en lecture/écriture. Ce type de dossier peut être utilisé pour stocker des images clip art ou pour le téléchargement d’un navigateur web. Il peut également servir comme emplacement préférentiel pour le stockage des fichiers de travail des applications de reproduction vidéo et audio, ce qui évite de stocker et de copier ces fichiers sur des volumes distants. Le deuxième type de fichier vous permet d’accorder des autorisations spéciales au contenu des dossiers en leur affectant un nom commençant par la puce 8 (par exemple •Applications spé). Tout dossier dont le nom commence par cette puce permet aux utilisateurs d’ouvrir n’importe quelle application qu’il contient, même si celleci n’apparaît pas dans la liste des éléments approuvés de leur groupe de travail. Par exemple, dans un studio de conception graphique élaboré, quelques uns des ordinateurs peuvent être équipés du logiciel Final Cut Pro à la place d’iMovie. L’administrateur peut configurer le dossier spécial sur ces ordinateurs, lui attribuer un nom commençant par la puce 8 et y placer Final Cut Pro, au lieu de créer un groupe de travail spécifique pour ces ordinateurs. Les membres de ce groupe travaillant sur d’autres ordinateurs disposeront à l’écran d’un dossier vide qu’ils pourront utiliser comme espace de stockage. Les utilisateurs des ordinateurs équipés de Final Cut Pro, installé dans le dossier spécial, peuvent ouvrir l’application Final Cut Pro uniquement sur ces ordinateurs. Cette caractéristique fonctionne pour les groupes des environnements Finder restreint et Tableaux. Soyez extrêmement vigilant lorsque vous utilisez un dossier spécial. Toute application copiée dans ce dossier peut est ouverte. Par conséquent, si certaines applications d’un disque dur local ne doivent pas être ouvertes, il faut les supprimer de l’ordinateur. Menu Pomme Sélectionnez chaque élément (“Sélecteur et explorateur réseau”, “Tableaux de bord” et “(Afficher les autres éléments)”) que vous souhaitez afficher dans le menu Pomme des membres (groupes des environnements Tableaux et Finder restreint). Pour les groupes de l’environnement Tableaux, vous pouvez également limiter les types d’éléments qui apparaîtront dans les menus Fichier et Spécial. Les éléments cochés s’affichent dans le menu. Les trois types de groupes comportent certains tableaux de bord qui sont toujours illimités. Il s’agit des tableaux de bord AppleTalk, Date et heure, Gestionnaire d’extensions, Partage de fichiers, Accès au trousseau, Gestionnaire d’emplacements, Utilisateurs multiples, Disque de démarrage et TCP/IP. Service Gestion Macintosh 231 Réglages Volumes des groupes de travail L’onglet Volumes de la fenêtre Groupes de travail vous permet de sélectionner divers réglages de volume pour chaque groupe. Volumes Cette liste affiche tous les volumes disponibles. Elle comprend tous les points de partage définis à l’aide d’Admin Serveur. Si vous souhaitez qu’un volume soit monté lorsque les membres du groupe se connectent, sélectionnez-en un et faites-le glisser sur la liste de droite ou cliquez sur Ajouter. Monter à la connexion Cette liste affiche tous les volumes dont vous avez sélectionné le montage à chaque connexion de membres du groupe sur des ordinateurs clients. Pour supprimer un volume de la liste, sélectionnez-le et cliquez sur Supprimer. 232 Chapitre 10 Au montage Lors du montage du volume, vous devrez spécifier un nom et un mot de passe. Vous pouvez choisir l’une de ces options pour fournir les informations nécessaires : m Sélectionnez “Exiger le nom de l’utilisateur” si vous montez un volume utilisant des noms d’utilisateur et des mots de passe différents de ceux du Gestionnaire Macintosh. Les utilisateurs doivent taper un nom et un mot de passe de volume valides. m Sélectionnez “Se connecter automatiquement comme utilisateur AFP suivant” pour autoriser tous les membres à se connecter avec le même nom d’utilisateur. Cette procédure n’est pas aussi sûre que la connexion par nom particulier, parce qu’elle ne vous permet pas de contrôler l’accès individuellement ni de vérifier qui est connecté au serveur. Toujours tenter d’abord de se connecter à l’aide des nom et mot de passe de l’utilisateur Lorsque cette option est activée, toutes les autres options de montage que vous sélectionnez sont utilisées uniquement si la connexion automatique échoue. Si vous ne sélectionnez pas la connexion automatique, la seule option utilisée est celle de montage que vous choisissez. Utiliser les autorisations AFP Sélectionnez cette option pour contrôler l’accès au volume à l’aide des autorisations AFP déjà définies. Cette option est disponible uniquement sur les environnements Tableaux et Finder restreint. Exiger un mot de passe d’administrateur pour démonter Sélectionnez cette option pour qu’un mot de passe d’administrateur de groupe ou d’administrateur Gestionnaire Macintosh soit requit pour démonter le volume. Afficher le volume sur un tableau Sélectionnez cette option pour que le volume apparaisse dans un tableau dans l’environnement Tableaux. Service Gestion Macintosh 233 Réglages d’impression des groupes de travail L’onglet Imprimantes de la fenêtre Groupes de travail vous permet de sélectionner des options d’impression pour chaque groupe. Les membres utilisent l’imprimante sélectionnée dans Accès au système Sélectionnez cette option pour obliger les membres à utiliser l’imprimante affectée par défaut à leur ordinateur client, soit par un utilisateur connecté via le groupe de travail “Accès au système”, soit par un autre utilisateur avant l’activation de Gestionnaire Macintosh. Il peut s’agir d’une imprimante du bureau, mais ce n’est pas obligatoire. Si l’imprimante souhaitée ne gère pas les services d’impression, vous devez utiliser cette option pour permettre aux membres de l’utiliser. Pour définir une imprimante Accès au système, il faut qu’un administrateur se connecte à chaque ordinateur client en utilisant le groupe de travail Accès au système et désigne une imprimante à l’aide du sélecteur. Si vous spécifiez qu’un groupe doit utiliser l’imprimante Accès au système mais que vous ne choisissez pas l’imprimante à partir d’un ordinateur client, les utilisateurs qui se connectent à cet ordinateur ne pourront pas imprimer, sauf s’ils ont accès au Sélecteur. Les membres disposant du sélecteur peuvent sélectionner l’une des imprimantes qui s’affichent à eux. Lorsque vous utilisez Gestionnaire Macintosh sur Mac OS X, vous ne pouvez sélectionner que les imprimantes compatibles PostScript™ comme imprimantes “Accès au système”. 234 Chapitre 10 Lorsque l’utilisateur se déconnecte d’un ordinateur client, l’imprimante que l’administrateur a choisie à l’origine comme imprimante Accès au système redevient l’imprimante par défaut. Autoriser les membres à n’utiliser que ces imprimantes Sélectionnez cette option pour mettre une ou plusieurs imprimantes du bureau à disposition d’un groupe de travail. Faites glisser chaque imprimante de la liste des imprimantes disponibles sur celle des imprimantes sélectionnées, puis cliquez sur l’imprimante que vous souhaitez employer et réglez ses paramètres. Pour que les imprimantes du bureau fonctionnent correctement dans Gestionnaire Macintosh, elles doivent être configurées sur chaque ordinateur client par un utilisateur connecté via un groupe “Accès au système”. Il est possible que les imprimantes qui n’auraient pas encore été définies dans “Accès au système” ne soient pas disponibles ou ne fonctionnent pas de manière fiable. Imprimantes disponibles Cette liste affiche toutes les imprimantes du bureau que vous pouvez mettre à disposition du groupe de travail. Pour ajouter une imprimante à la liste “Imprimantes sélectionnées”, sélectionnez-en une et cliquez sur Ajouter. Si vous ne trouvez pas l’imprimante souhaitée, vous pouvez la définir en cliquant sur Créer une nouvelle. Imprimantes sélectionnées Cette liste affiche toutes les imprimantes du bureau mises à disposition du groupe de travail. Si vous souhaitez définir une imprimante par défaut pour ce groupe, sélectionnez-la et cliquez sur Imprimante par défaut. Exiger un mot de passe d’administrateur pour imprimer sur cette imprimante Sélectionnez cette option pour qu’un mot de passe d’administrateur de groupe ou d’administrateur Gestionnaire Macintosh soit requis pour l’utilisation de l’imprimante de bureau sélectionnée. Ne dévoilez jamais votre mot de passe d’administrateur aux utilisateurs. Pour garantir la sécurité de votre propre compte d’administrateur, vous pouvez configurer un compte d’administrateur de groupe sans aucune autorisation d’administration et utiliser pour l’impression le mot de passe de ce compte. Limiter les utilisateurs à _ pages tous les _ jours Sélectionnez cette option et indiquez un nombre de pages et de jours pour limiter l’impression de documents sur une durée donnée pour les membres du groupe. Vous pouvez supprimer le quota d’un utilisateur particulier via l’onglet Avancé de la fenêtre Utilisateurs. Vous ne pouvez configurer des quotas que pour les imprimantes de bureau. Le nombre de pages désigne le décompte de pages du document, et non de feuilles. Si un utilisateur imprime deux pages par feuille, le nombre de pages est le double du nombre de feuilles. Les pages sont comptées même si l’impression a échoué (par exemple, en cas de bourrage de papier). Service Gestion Macintosh 235 Exiger un mot de passe d’administrateur pour imprimer sur toute imprimante Sélectionnez cette option pour qu’un mot de passe d’administrateur de groupe ou d’administrateur Gestionnaire Macintosh soit requis pour l’utilisation de toute imprimante de bureau, ou encore d’une imprimante spécifique uniquement. Ne dévoilez jamais votre mot de passe d’administrateur aux utilisateurs. Pour garantir la sécurité de votre propre compte d’administrateur, vous pouvez configurer un compte d’administrateur de groupe sans aucune autorisation d’administration et utiliser pour l’impression le mot de passe de ce compte. Imprimer les informations de l’utilisateur sur chaque page Sélectionnez cette option pour que le nom d’utilisateur, celui du groupe de travail ainsi que l’heure d’impression figurent en haut ou en bas de chaque page. Ces informations peuvent écraser d’autres informations déjà présentes sur la page. Réglages des options de groupes de travail L’onglet Options de la fenêtre Groupes de travail vous permet de sélectionner divers réglages pour chaque groupe, notamment le volume partagé et les événements devant se produire lors de la connexion. 236 Chapitre 10 Stockés sur le volume Choisissez un volume dans lequel le groupe de travail puisse sauvegarder des documents partagés et y accéder. Celui-ci est appelé “volume partagé du groupe” ou “volume de données du groupe”. Au montage Choisissez le mode de connexion au volume de données du groupe pour les utilisateurs : m “Exiger le nom de l’utilisateur” oblige les utilisateurs à taper un nom et un mot de passe valides pour ce volume. Cette option s’avère utile si vous montez un volume qui n’emploie pas les mêmes noms et mots de passe que ceux importés de la base de données de Mac OS X Server. m L’option “Se connecter automatiquement à l’aide des nom et mot de passe par défaut” n’est disponible que si le volume est le serveur Gestion Macintosh désigné. Si cette option est sélectionnée, l’ordinateur tente de se connecter au volume du groupe de travail à l’aide d’un nom d’utilisateur et d’un mot de passe génériques. L’utilisateur générique est configuré automatiquement. Cette procédure n’est pas aussi sûre que la connexion par nom particulier, parce qu’elle ne vous permet pas de contrôler l’accès individuellement ni de vérifier qui est connecté au serveur. m L’option “Se connecter automatiquement comme utilisateur AFP suivant” connecte tous les utilisateurs sous le même nom. Cette procédure n’est pas aussi sûre que la connexion par nom particulier, parce qu’elle ne vous permet pas de contrôler l’accès individuellement ni de vérifier qui est connecté au serveur. Remarque : Dans la version 2.0 de Gestionnaire Macintosh, le volume de données du groupe est indépendant du volume de stockage des documents de l’utilisateur. Le volume de données du groupe contient le dossier global partagé, le dossier groupe partagé et le dossier des préférences gérées. Par ailleurs, les documents de l’utilisateur sont stockés sur le volume du répertoire d’accueil, comme défini dans le module Utilisateurs et groupes de Mac OS X Server. Toujours tenter d’abord de se connecter à l’aide des nom et mot de passe de l’utilisateur Si vous sélectionnez cette option, l’ordinateur tente la connexion au volume du groupe en utilisant les nom et mot de passe Gestionnaire Macintosh de l’utilisateur (importés de votre base de données Mac OS X Server). Message de groupe Tapez le message que vous souhaitez faire apparaître lorsqu’un membre se connecte au groupe de travail. Service Gestion Macintosh 237 Démarrage et ouverture m Sélectionnez “Ouvrir des éléments dans le dossier Ouverture au démarrage” pour lancer automatiquement des éléments du dossier Ouverture au démarrage désigné lorsque des membres se connectent. Le dossier désigné des ordinateurs équipés de Mac OS 9 et de versions ultérieures correspond au répertoire /Library/Startup Items situé sur le serveur Gestionnaire Macintosh. Pour les ordinateurs équipés de versions antérieures à Mac OS 9, le dossier désigné est le dossier Ouverture au démarrage situé dans le Dossier Système sur le disque dur de l’ordinateur client. m Sélectionnez “Relever le courrier électronique lorsque les membres se connectent” pour que la levée du courrier s’effectue à la connexion si l’utilisateur dispose d’un compte de messagerie POP. Si un utilisateur ne possède pas encore d’adresse, vous devrez probablement indiquer des réglages de serveur de courrier dans l’onglet Contrôle de la fenêtre Ordinateurs afin que Gestionnaire Macintosh puisse générer une adresse. m Sélectionnez “Copier les préférences lorsque des membres du groupe se connectent” pour que les préférences définies dans l’onglet Sécurité de la fenêtre Global soient copiées à la connexion (ordinateurs clients équipés de versions antérieures à Mac OS 9 uniquement). Ce réglage n’est pas nécessaire pour les ordinateurs clients équipés de MaC OS 9 ou d’une version ultérieure, puisque les préférences résident sur le serveur et n’ont pas besoin d’être copiées. Éjection de CD-ROM Sélectionnez “Exiger un mot de passe d’administrateur pour éjecter les CD-ROM” pour que la saisie d’un nom et d’un mot de passe d’administrateur de groupe ou d’administrateur de Gestionnaire Macintosh soit requise afin d’éjecter des CD ROM (non valable pour les groupes de travail du Finder). 238 Chapitre 10 Réglages des listes d’ordinateurs Les réglages effectués dans l’onglet Listes s’appliquent à tous les ordinateurs de la liste sélectionnée. Les listes d’ordinateurs vous permettent de définir de manière encore plus précise les utilisateurs pouvant accéder aux ordinateurs et aux groupes de travail. Par exemple, un groupe de travail composé de membres du personnel peut être nécessaire pour utiliser un ensemble d’ordinateurs spécifique. Aucun utilisateur se connectant à d’autres ordinateurs du réseau —y compris les membres du personnel— ne pourra accéder au groupe de travail personnel. Cette fonctionnalité permet aux administrateurs de contrôler l’accès au logiciel et au matériel de manière plus souple. Nom de la liste Ce type de nom accepte la plupart des caractères (y compris le point, le soulignement, le tiret et l’espace), hormis les deux-points (:), et ne peut dépasser 31 caractères. Service Gestion Macintosh 239 Accès Le menu local Accès comporte quatre options : m “Activé” permet aux utilisateurs de se connecter. Ce mode s’emploie d’ordinaire, sauf si vous devez effectuer des opérations de maintenance sur vos ordinateurs, par exemple installer des logiciels ou lancer un logiciel de maintenance de disque dur. m Le mode “Désactivé : demandez à l’utilisateur” permet à l’utilisateur de choisir d’éteindre son ordinateur, d’aller dans le Finder (un mot de passe d’administrateur étant requis) ou de choisir un nouveau serveur Gestionnaire Macintosh. m Le mode “Désactivé : ouvrez le Finder” connecte automatiquement l’utilisateur au Finder. m “Désactivé : choisissez un autre serveur” invite l’utilisateur à sélectionner un autre serveur Gestionnaire Macintosh. Ordinateurs de la liste Ce champ affiche toutes les ordinateurs de la liste sélectionnée. Pour ajouter un ordinateur à la liste, cliquez sur Ajouter. Pour supprimer un ordinateur, sélectionnez-le et cliquez sur Supprimer. 240 Chapitre 10 Réglages de groupe des ordinateurs L’onglet Groupes de travail de la fenêtre Ordinateurs vous permet de restreindre l’usage des ordinateurs d’une liste à certains groupes précis. Par exemple, en milieu éducatif, il peut être utile de ne permettre qu’aux utilisateurs du groupe de travail Enseignants de se connecter aux ordinateurs situés dans la salle des professeurs. Tous les groupes peuvent utiliser ces ordinateurs Sélectionnez cette option pour que les membres de tous les groupes de travail puissent utiliser n’importe lequel des ordinateurs figurant dans la ou les listes d’ordinateurs sélectionnées. N’autoriser que ces groupes à utiliser ces ordinateurs Sélectionnez cette option pour indiquer quels groupes de travail peuvent utiliser les ordinateurs figurant dans la ou les listes sélectionnées. Groupes disponibles Cette liste affiche tous vos groupes de travail Gestionnaire Macintosh. Elle n’est disponible que si vous sélectionnez l’option précédente, “N’autoriser que ces groupes à utiliser ces ordinateurs”. Pour accorder l’accès d’un groupe de travail à un ordinateur de la liste sélectionnée, sélectionnez ce groupe et cliquez sur Ajouter. Service Gestion Macintosh 241 Groupes autorisés Cette liste affiche les groupes auxquels vous avez accordé l’accès aux ordinateurs de la liste sélectionnée. Réglages de contrôle des ordinateurs Les réglages effectués dans l’onglet Contrôle de la fenêtre Ordinateurs s’appliquent à tous les ordinateurs de la liste sélectionnée. Déconnecter le serveur si aucun utilisateur ne se connecte dans les _ minutes Si vous sélectionnez cette option, l’ordinateur cesse de solliciter le serveur une fois passé un certain délai, indiqué en minutes. L’écran de connexion est toujours affiché sur l’ordinateur et une croix verte apparaît sur l’icône du serveur dans la barre de menu. L’ordinateur ne consultera de nouveau le serveur pour obtenir des mises à jour ou d’autres informations que lorsqu’un utilisateur se connectera de nouveau. L’utilisation de ce réglage maintient le trafic au minimum sur le réseau, mais empêche également les mises à jour automatiques jusqu’à ce qu’un utilisateur se connecte et se déconnecte de nouveau. Synchroniser les horloges de l’ordinateur avec l’horloge du serveur Si votre réseau n’a pas accès à un serveur d’horloge de réseau, sélectionnez cette option afin de coordonner les horloges de l’ordinateur avec celle du serveur. 242 Chapitre 10 Imposer comme nom du disque de l’ordinateur Sélectionnez cette option pour que Gestionnaire Macintosh renomme le disque dur client selon vos indications. Cette option est principalement destinée aux clients NetBoot, dont le volume de démarrage est intitulé par défaut “NetBoot HD”. En imposant, par exemple, le nom “Macintosh HD”, vous pouvez garantir que les noms de chemin de toutes les applications utilisées sur ces ordinateurs clients seront identiques à ceux des ordinateurs n’utilisant pas NetBoot. Cette option est facultative pour les environnements d’ordinateurs non NetBoot. Économies d’énergie Les réglages Économies d’énergie vous permettent de définir les heures d’ouverture et de fermeture automatique des ordinateurs clients disposant de cette fonctionnalité. Pour déterminer si vous pouvez utiliser ce réglage avec un ordinateur, vérifiez si le tableau de bord Économies d’énergie (version 2.0 ou ultérieure) se trouve dans le dossier Tableaux de bord de votre ordinateur. Certains ordinateurs suspendent leur activité au lieu de s’éteindre, selon les réglages que vous choisissez. Adresses électroniques des utilisateurs Gestionnaire Macintosh peut créer une adresse électronique pour les utilisateurs qui n’en possèdent pas, à l’aide de l’alias et du nom de domaine que vous spécifiez dans le champ “Nom de domaine par défaut”. Vous devez également taper les adresses de serveurs POP (réception) et SMTP (envoi). Lorsque des utilisateurs se connectent au réseau Gestionnaire Macintosh, tout réglage de messagerie importé supplantera celui de Gestionnaire Macintosh. Pour que l’ordinateur relève le courrier dès que l’utilisateur se connecte, cochez l’option “Relever le courrier lorsque des membres se connectent” dans l’onglet Options de la fenêtre Groupes de travail. Service Gestion Macintosh 243 Réglages Sécurité des ordinateurs Les réglages effectués dans l’onglet Sécurité de la fenêtre Ordinateurs s’appliquent à tous les ordinateurs de la liste sélectionnée. Les utilisateurs peuvent m Sélectionnez “Désactivez les extensions lors du démarrage” pour permettre aux utilisateurs de désactiver les extensions en appuyant sur la touche Maj au démarrage. Cette commande ne désactive jamais les extensions de Gestionnaire Macintosh, mais elle affecte d’autres extensions. m Sélectionnez “Forcer à quitter des applications” pour permettre aux utilisateurs de quitter une application de force en appuyant sur les touches Ctrl-Option-Échap. N’oubliez pas que des problèmes de sécurité peuvent survenir en conséquence. m Sélectionnez “Travailler hors connexion si le serveur Gestionnaire Macintosh est indisponible” pour permettre aux membres d’utiliser l’ordinateur si le volume de serveur n’est pas disponible. m Sélectionnez “Travailler hors connexion si le répertoire de départ de l’utilisateur est indisponible” pour permettre aux membres de travailler hors connexion si le volume hébergeant leur répertoire d’accueil n’est pas disponible. 244 Chapitre 10 m Sélectionnez “Basculer sur un autre serveur sans authentification” pour permettre aux ordinateurs clients de basculer sur un autre serveur Gestionnaire Macintosh sans saisir de mot de passe d’administrateur. Si cette option est activée, la sécurité peut en être affectée. Si vous disposez de serveurs équipés d’anciennes versions du logiciel serveur Gestionnaire Macintosh, utilisez cette option avec précaution. Le fait de basculer un ordinateur client sur un serveur plus ancien peut entraîner l’installation du logiciel client antérieur. Les ordinateurs peuvent m Sélectionnez “Accéder à tous les CD-ROM” pour mettre tous les CD-ROM et DVD-ROM à disposition des utilisateurs. m Sélectionnez “Accéder aux CD-ROM approuvés uniquement” pour limiter l’accès à une liste de disques approuvés. Si vous choisissez ce réglage, vous devez définir une liste de CD-ROM approuvés dans l’onglet CD-ROM de la fenêtre Global. m Sélectionnez “Afficher le tableau des CD-ROM insérés” pour faire apparaître un tableau lors de l’introduction d’un CD-ROM (dans l’environnement Tableaux). Les applications peuvent m Sélectionnez “Ouvrir d’autres applications, une aide par exemple” pour permettre aux applications d’ouvrir des utilitaires chaque fois que c’est nécessaire. Si cette option n’est pas activée, les applications ne pourront pas ouvrir d’autres applications proposant certaines fonctions. Les navigateurs Web, par exemple, ne pourront pas ouvrir les aides telles que PictureViewer. Si ce réglage est activé, la sécurité peut en être affectée. m Sélectionnez “Quitter le Finder” pour permettre aux applications, comme les “Installers”, de quitter le Finder sur des ordinateurs Mac OS 9. Si cette option est activée, certaines applications pourront contourner la sécurité. Si vous ne sélectionnez pas cette option, les applications qui doivent pouvoir quitter le Finder risquent de ne pas fonctionner correctement. Activer la déconnexion pour inactivité Sélectionnez cette option et tapez un chiffre pour définir le délai d’inactivité, en minutes, de l’ordinateur au-delà duquel les utilisateurs sont déconnectés de leur groupe de travail ou l’écran est verrouillé. Si vous sélectionnez “Déconnecter l’utilisateur”, l’utilisateur pourra s’il le souhaite enregistrer tous les documents non enregistrés, et sera renvoyé à l’écran de connexion. L’utilisateur ne peut quitter la zone de dialogue Enregistrer et continuer à travailler. Si vous sélectionnez “Verrouiller l’écran”, l’écran se vide et une zone de dialogue proposant à l’utilisateur de se déconnecter ou de taper un mot de passe pour continuer à travailler apparaît. Service Gestion Macintosh 245 Réglages d’ouverture de session des ordinateurs Les réglages effectués dans l’onglet Accès de la fenêtre Ordinateurs s’appliquent à tous les ordinateurs de la liste sélectionnée. Réglages d’ouverture de session Pour que l’utilisateur se connecte à un ordinateur, vous avez le choix entre les deux options suivantes : m Sélectionnez “Les utilisateurs tapent leur nom” pour que les membres soient invités à saisir leur nom dans la zone de dialogue d’ouverture. Cette méthode est généralement plus rapide et plus sûre que la sélection de noms dans une liste, mais elle suppose toutefois que la personne connaisse son nom d’utilisateur. m Sélectionnez “Les utilisateurs sélectionnent leur nom dans une liste (de 1 à 2000 membres)” pour permettre aux membres de rechercher leur nom dans une liste. Cette option demande parfois un certain temps avant que ne s’affiche la liste si vous gérez plus de 100 utilisateurs. Cette option est inutilisable si vous gérez plus de 2000 comptes Gestionnaire Macintosh. 246 Chapitre 10 Messages d’ouverture de session Vous pouvez créer deux types de messages d’ouverture de session (de 127 caractères au maximum) : m “Message bannière” apparaît dans la zone de dialogue d’ouverture de la liste d’ordinateur sélectionnée. m “Message de serveur” apparaît une fois que l’utilisateur est connecté à l’un des ordinateurs de la liste sélectionnée. Noms des tableaux Vous pouvez personnaliser les noms des tableaux “groupe de travail” et “documents de l’utilisateur” de l’environnement Tableaux. m Sélectionnez “Afficher le nom du groupe de travail” pour que le nom de chaque groupe apparaisse sur son tableau “documents du groupe”. Si vous préférez, cliquez sur le bouton situé en-dessous pour saisir un autre nom dans le champ. m Sélectionnez “Afficher le nom de l’utilisateur” pour que le nom de chaque membre apparaisse sur son tableau “documents”. Si vous préférez, cliquez sur le bouton situé en-dessous pour saisir un autre nom dans le champ. Service Gestion Macintosh 247 Réglages Emprunt des ordinateurs Vous pouvez autoriser des utilisateurs à emprunter des ordinateurs à l’aide de l’onglet Emprunt de la fenêtre Ordinateurs. Un utilisateur peut par exemple emprunter un ordinateur portable et l’emmener chez lui pour continuer à travailler sur un projet après les cours. Les caractéristiques de sécurité de Gestionnaire Macintosh fonctionneront également sur l’ordinateur emprunté. Ces ordinateurs peuvent être empruntés Sélectionnez cette option pour permettre aux utilisateurs d’emprunter un des ordinateurs de la liste. m Sélectionnez “Tous les utilisateurs peuvent emprunter ces ordinateurs” pour permettre à tous les utilisateurs d’emprunter un des ordinateurs figurant dans cette liste. m Sélectionnez “N’autoriser que ces utilisateurs à emprunter ces ordinateurs” pour que seuls les utilisateurs que vous indiquez puissent emprunter un ordinateur. 248 Chapitre 10 Réglages globaux de sécurité Les options de l’onglet Sécurité de la fenêtre Global vous permettent de préserver l’intégrité de votre réseau Gestionnaire Macintosh et de protéger les documents de vos utilisateurs contre toute intrusion. Nombre maximum d’entrées d’historiques Tapez un chiffre pour limiter le nombre d’entrées d’historique pouvant être inclues dans l’historique des activités du serveur. Vous pouvez consulter l’historique à l’aide du menu Rapport. Autoriser l’accès en invité Sélectionnez cette option pour permettre aux utilisateurs invités de se connecter (à condition qu’ils aient été ajoutés à un groupe de travail). Autoriser tous les autres utilisateurs Sélectionnez cette option pour permettre à tout utilisateur possédant un nom et un mot de passe Utilisateurs et groupes de se connecter à un ordinateur client, même sans avoir été importé dans Gestionnaire Macintosh. Service Gestion Macintosh 249 Quitter l’application d’administration après inactivité de _ minutes Sélectionnez cette option et indiquez le délai, en minutes, au-delà duquel l’application d’administration du Gestionnaire Macintosh se ferme si elle ne présente aucune activité. Les clients doivent s’authentifier avec Kerberos Sélectionnez cette option si vous souhaitez que les informations d’accès des clients soient vérifiées à l’aide du protocole d’authentification réseau Kerberos. Les utilisateurs peuvent changer de mot de passe Sélectionnez cette option pour autoriser tous les utilisateurs à changer de mot de passe. Si vous décidez de désactiver cette autorisation, l’option permettant de changer un mot de passe n’est pas disponible dans la zone de dialogue de connexion de l’utilisateur. Les utilisateurs peuvent se connecter à l’aide d’un mot de passe d’administrateur de serveur Sélectionnez cette option pour autoriser l’administrateur du système à se connecter à n’importe quel compte utilisateur à l’aide du nom de ce dernier et du mot de passe d’administrateur. Lorsque vous copiez les préférences des utilisateurs Les deux réglages suivants permettent de contrôler le mode de reproduction des préférences utilisateur pour les ordinateurs clients équipés de versions antérieures à Mac OS 9. Les utilisateurs peuvent modifier leurs préférences (par exemple l’image de bureau) tout en étant connectés à un ordinateur client antérieur à Mac OS 9. En revanche, une fois que l’utilisateur se déconnecte, seules les préférences que vous autorisez à sauvegarder sont conservées. m L’option “Copier tout le dossier Préférences” ordonne au Gestionnaire Macintosh de copier tous les éléments du dossier Préférences, quelles que soient leur nature ou leur taille. Tenez compte du fait que la copie d’éléments superflus ou volumineux peut ralentir l’ouverture et la fermeture des sessions. m L’option “Ne copier que les préférences Internet ou définies par l’administrateur” configure Gestionnaire Macintosh pour qu’il copie ces fichiers et dossiers chaque fois qu’un utilisateur se connecte : m Préférences StuffIt Expander m Préférences RealAudio™ Player m Préférences Internet m Préférences NCSA Telnet m Préférences Fetch m Préférences NewsWatcher m Préférences JPEGView 250 Chapitre 10 m Netscape ƒ m Explorer En ce qui concerne Netscape et Explorer, les dossiers sont copiés mais les dossiers caches qui se trouvent à l’intérieur sont supprimés. Réglages globaux des CD-ROM À l’aide de l’onglet CD-ROM de la fenêtre Global, vous pouvez autoriser l’accès à tous les CD-ROM et DVD-ROM ou encore limiter l’accès à une liste de disques. Lorsque vous ajoutez un disque à la liste des disques disponibles, vous pouvez en visualiser le contenu. Vous pouvez soit autoriser l’accès des utilisateurs à tous les éléments d’un disque, soit le limiter aux éléments de votre choix. L’onglet Autorisations de la fenêtre Groupes de travail permet d’autoriser l’utilisation des CD audio. Service Gestion Macintosh 251 Trucs et astuces pour l’utilisation du Gestionnaire Macintosh Cette section comprend quelques conseils permettant d’utiliser Gestionnaire Macintosh de manière effective. Pour procurer un accès rapide aux utilisateurs non importés Pour accorder un accès authentifié et configurer des environnements personnalisés pour les membres, la méthode la plus rapide et la plus simple consiste à utiliser le compte Tous les autres utilisateurs de la liste des utilisateurs importés. Si vous activez l’ouverture du compte Tous les autres utilisateurs, les membres possédant des comptes dans la base de données Utilisateurs et groupes de Mac OS X Server peuvent se connecter à des ordinateurs clients même sans avoir été importés dans Gestionnaire Macintosh. Ils bénéficieront des autorisations d’accès et de l’environnement que vous avez défini pour le compte Tous les autres utilisateurs dans Gestionnaire Macintosh et pourront accéder à leurs répertoires d’accueil, préférences et documents (la fonction Tous les autres utilisateurs diffère de l’accès en invité, puisque les invités ne bénéficient pas de l’authentification de mot de passe et ne peuvent stocker de fichiers ni de préférences). Par exemple, dans une université disposant d’une base de données utilisateur centralisée, le service Gestion Macintosh d’un laboratoire informatique peut être défini uniquement avec le compte Tous les autres utilisateurs. Tous les utilisateurs du campus pourvus d’un compte Mac OS X Server peuvent entrer dans cette salle, se connecter et avoir accès à leur répertoire d’accueil, à leurs préférences et à leurs documents. Il n’est pas nécessaire qu’ils soient importés individuellement dans Gestionnaire Macintosh auparavant. Remarque : Le compte Tous les autres utilisateurs ne peut être employé pour emprunter des ordinateurs ou travailler hors connexion sur un ordinateur client. Les quotas de disque ne sont pas imposés aux membres qui se connectent à l’aide du compte Tous les autres utilisateurs. Définition d’un compte Tous les autres utilisateurs Pour définir le compte Tous les autres utilisateurs : 252 Chapitre 10 1 Si le compte Tous les autres utilisateurs n’apparaît pas dans la liste des utilisateurs importés du Gestionnaire Macintosh, cliquez sur l’onglet Sécurité de la fenêtre Global, puis sur “Autoriser tous les autres utilisateurs”. 2 Cliquez sur l’onglet Utilisateurs et sélectionnez “Tous les autres utilisateurs” dans la liste des utilisateurs importés. 3 Effectuez toutes les modifications souhaitées dans les onglets Élémentaire et Avancé de la fenêtre Utilisateurs. 4 Cliquez sur l’onglet Groupes de travail et ajoutez le compte Tous les autres utilisateurs à un groupe. 5 Changez les réglages de groupe de travail en fonction de vos besoins pour le compte Tous les autres utilisateurs. 6 Assurez-vous que les ordinateurs sont bien disponibles pour le groupe de travail dans la fenêtre Ordinateurs. Emplacement du compte Tous les autres utilisateurs à l’ouverture Si la configuration choisie pour vos ordinateurs clients implique la saisie des nom et mot de passe des utilisateurs lorsqu’ils se connectent, ils doivent simplement saisir ces informations Mac OS X Server dans la zone de dialogue d’ouverture Gestionnaire Macintosh. Si vous autorisez les utilisateurs à choisir leur nom dans une liste lorsqu’ils se connectent, le compte Tous les autres utilisateurs apparaît en haut de la liste, juste en-dessous de la mention Invité. Lorsque les utilisateurs sélectionnent le compte Tous les autres utilisateurs, une zone de dialogue d’ouverture apparaît, leur permettant de taper leurs nom et mot de passe Mac OS X Server. Installation du Gestionnaire Macintosh sur des réseaux étendus ou en pleine croissance Si votre réseau regroupe un grand nombre d’utilisateurs, vous aurez probablement besoin de plusieurs volumes de serveur. De même, vous pouvez anticiper la nécessité éventuelle pour votre réseau de disposer d’un autre serveur ou d’une autre partition et souhaiter définir ce serveur, ou partition, afin de faciliter la transition. Pour cela, configurez le réseau avec des serveurs supplémentaires pour y stocker les fichiers de groupe partagés, les répertoires d’accueil, les dossiers clip art, les sites web d’un département ou d’une classe, les CD partagés et les applications spéciales du réseau. De cette manière, une fois que les utilisateurs se connectent au Gestionnaire Macintosh, ils peuvent accéder au contenu d’autres points de partage, notamment ceux résidant sur d’autres volumes. L’onglet Options de la fenêtre Groupes de travail permet de sélectionner l’emplacement sur lequel les fichiers de groupe partagés sont stockés. La configuration de plusieurs points de partage vous permet notamment de conserver les fichiers correspondants dans des groupes faciles à gérer. De plus, si vous avez besoin d’ajouter une partition de disque dur ou un autre serveur, vous pouvez facilement déplacer les points de partage sur ces nouveaux volumes. Création de groupes de travail pour satisfaire les besoins de votre réseau La plupart des réglages que vous effectuez dans Gestionnaire Macintosh concernent les groupes de travail des utilisateurs, et non les utilisateurs individuels. Pour pouvoir spécifier un réglage pour un utilisateur, vous devez placer celui-ci dans un groupe de travail. Service Gestion Macintosh 253 Lorsque vous définissez des groupes de travail, pensez à la mise en commun des projets et aux besoins de ceux-ci. Par exemple, posez-vous les questions suivantes : m Souhaitez-vous que certains de vos utilisateurs (par exemple des utilisateurs invités) disposent d’un environnement de bureau restreint, et notamment un accès limité à certains éléments du menu, dossiers et logiciels locaux, etc. ? Si c’est le cas, créez un groupe de travail pour ces utilisateurs et affectez cet environnement de bureau au groupe de travail. Pour plus de détails, consultez la section “Choix d’environnements de bureau pour vos groupes de travail” à la page 255. m Souhaitez-vous que certains utilisateurs puissent accéder facilement à certains logiciels et fichiers ? Si oui, créez un groupe de travail autorisant l’accès de ces utilisateurs. m Certains utilisateurs ont-ils besoin de travailler en collaboration sur des documents, et donc également d’accéder à un dossier partagé ? Si c’est le cas, vérifiez qu’il existe un groupe de travail comportant uniquement ces utilisateurs et définissez un dossier de groupe de travail partagé. m Souhaitez-vous que certains utilisateurs puissent vérifier le travail d’un dossier que seuls les administrateurs (par exemple, les professeurs ou les surveillants) puissent ouvrir ? Si c’est le cas, créez un groupe de travail pour ces utilisateurs uniquement et définissez un dossier Remise de documents pour ce groupe. m Souhaitez-vous que certains utilisateurs bénéficient d’un accès spécial à une imprimante en particulier ? Si c’est le cas, vérifiez qu’il existe un groupe de travail comportant uniquement ces utilisateurs et donnez-leur accès à l’imprimante. m Souhaitez-vous restreindre l’usage de certains ordinateurs à un groupe d’utilisateurs spécifique ? Si c’est le cas, créez un groupe de travail réservé à ces utilisateurs, puis dressez à l’aide de l’onglet Ordinateurs une liste comprenant les ordinateurs souhaités, et enfin affectez ce groupe à cette liste. N’oubliez pas que vous pouvez affecter un même utilisateur à plusieurs groupes de travail. 254 Chapitre 10 Choix d’environnements de bureau pour vos groupes de travail L’environnement de bureau d’un groupe de travail détermine l’interface que les utilisateurs du groupe voient apparaître et le type d’accès aux ressources du réseau dont ses membres disposent. Dans l’onglet Membres de la fenêtre Groupes de travail, vous avez le choix entre les types d’environnements suivants. Environnement Description Quand l’utiliser Finder m Apparence et comportement similaires au bureau standard Mac OS. m Les utilisateurs bénéficient d’un accès libre à toutes les applications de leur disque dur local. m Les répertoires d’accueil des utilisateurs sont montés lors de la connexion et l’utilisation de certains tableaux de bord est limitée. Lorsque vous souhaitez que vos utilisateurs bénéficient d’un maximum de liberté et que le contrôle de l’administrateur ne constitue pas une priorité majeure. Service Gestion Macintosh 255 Environnement Description Quand l’utiliser Finder restreint m Ressemble au bureau standard Mac OS, tout en limitant le champ d’action des utilisateurs. m Les utilisateurs peuvent parcourir leur disque dur local, cependant l’administrateur détermine ce qu’ils peuvent ouvrir sur leur ordinateur. Lorsque vous souhaitez choisir ce qui peut être ouvert sur les ordinateurs clients, tout en permettant aux utilisateurs d’accéder au bureau standard Mac OS. Tableaux m Il s’agit d’une simple interface, pourvue de grandes icônes, qui facilite l’utilisation d’un ordinateur pour les débutants. Les utilisateurs peuvent uniquement accéder et voir les éléments qui ont été affectés à leur(s) groupe(s) de travail. m Si vous permettez l’accès à des volumes de serveur ou à des supports amovibles, chaque volume ou support apparaît sous forme de tableau une fois monté. m Vous pouvez spécifier les noms des tableaux (dans l’onglet Accès de la fenêtre Ordinateurs). Lorsque vous souhaitez que l’environnement des utilisateurs soit le plus simple possible et/ou que l’administrateur puisse exercer un contrôle maximum sur l’utilisation des ordinateurs Maximisation de la sécurité L’utilisation du Gestionnaire Macintosh offre un grand nombre de possibilités permettant de garantir une sécurité optimale. Consultez l’Aide du Gestionnaire Macintosh pour savoir comment m interdire l’accès à tous les utilisateurs qui ne sont pas référencés m empêcher toute modification de l’environnement de démarrage, des réglages système et autres options administratives m empêcher que les applications ne contournent la sécurité m empêcher les applications d’en ouvrir d’autres m limiter l’accès du lecteur CD m restreindre l’utilisation des applications sur les supports amovibles 256 Chapitre 10 Pour afficher l’aide à l’écran, choisissez Aide Gestionnaire Macintosh dans le menu d’aide ou cliquez sur le point d’interrogation situé en bas à gauche de chaque fenêtre du Gestionnaire Macintosh. Au coeur du Gestionnaire Macintosh Cette section contient des informations “d’arrière-plan” sur le fonctionnement du Gestionnaire Macintosh. Ces informations peuvent s’avérer particulièrement utiles pour solutionner des problèmes. Démarrage du Gestionnaire Macintosh Voici ce qui se produit lorsqu’un ordinateur client démarre et qu’un utilisateur se connecte : m Une zone de dialogue d’ouverture apparaît. Les utilisateurs doivent soit taper un nom, soit choisir un nom dans une liste, selon la configuration que vous avez définie pour Gestionnaire Macintosh. m Gestionnaire Macintosh valide le nom et le mot de passe de l’utilisateur en utilisant le répertoire Mac OS X Server. L’application du Gestionnaire Macintosh consulte ensuite ses propres bases de données afin de vérifier si l’utilisateur possède un compte. m Si l’utilisateur appartient à plusieurs groupes de travail, il en choisit un dans la liste de ses groupes de travail. m Gestionnaire Macintosh localise et ouvre les bases de données de l’utilisateur, du groupe de travail et de l’ordinateur. m L’environnement de groupe de travail et d’autres réglages sont activés. m L’utilisateur voit les messages d’accès du serveur et du groupe de travail, le cas échéant. m L’utilisateur voit apparaître un alias vers son dossier de documents sur le bureau (sauf dans un environnement Tableaux). Fonctionnement du Gestionnaire Macintosh avec les préférences Cette section décrit le mode de stockage des préférences propres à l’utilisateur (par exemple, les sites “favoris” du navigateur web et le fond d’écran du bureau) dans un environnement Gestionnaire Macintosh et comment un administrateur peut les contrôler grâce à l’utilisation d’un dossier Préférences gérées. L’administration des préférences est légèrement différente selon qu’il s’agit d’un ordinateur Mac OS 9 ou d’un modèle antérieur. Ces différences seront décrites le moment venu. Service Gestion Macintosh 257 Stockage des préférences Par défaut, les préférences sont stockées et accessibles de la manière suivante : m Lorsque le client n’est pas connecté : la plupart de ses préférences individuelles sont stockées sur le serveur, qu’il soit équipé d’un ordinateur client Mac OS 9 ou d’un modèle antérieur. m Lorsqu’un utilisateur client se connecte au Gestionnaire Macintosh : l’application recherche les préférences individuelles de cet utilisateur, qui s’appliquent tout le temps que dure la connexion. L’emplacement de stockage des préférences pendant la durée de connexion de l’utilisateur dépend de la version installée sur l’ordinateur client, selon qu’il s’agit de Mac OS 9 ou d’une version antérieure de Mac OS : m Pour les clients équipés de versions antérieures à Mac OS 9 : les préférences sont stockées dans le dossier Préférences du Dossier Système situé sur le disque dur de l’ordinateur client. m Pour les clients Mac OS 9 : les préférences sont stockées dans le dossier /Library/ Preferences du répertoire d’accueil de l’utilisateur. Dans certains cas, les préférences des utilisateurs Mac OS 9 peuvent être stockées dans le dossier Préférences du dossier Utilisateurs situé sur le disque dur de l’ordinateur, mais pas dans le dossier Préférences du Dossier Système. Utilisation des préférences gérées Vous pouvez également utiliser les “préférences gérées” pour personnaliser le mode de traitement des préférences en vue de besoins et d’objectifs spécifiques. Par exemple, vous pouvez faire en sorte que les utilisateurs démarrent toujours avec un ensemble de préférences définies par vos soins, ou que certaines préférences définies pas l’utilisateur ne soient jamais annulées. Vous pouvez regrouper les préférences gérées en trois catégories : préférences initiales, préférences forcées et préférences maintenues. La possibilité d’utiliser ces catégories dépend de la version Mac OS installée sur l’ordinateur client : Clients équipés de Mac OS 9 Clients équipés de versions antérieures à Mac OS 9 Préférences initiales Oui Oui Préférences forcées Oui Oui Préférences maintenues Non Oui Le dossier Préférences gérées (et les dossiers Préférences initiales, Préférences forcées et Préférences préservées qu’il contient) est créé lors de la première connexion d’un membre d’un groupe de travail. 258 Chapitre 10 Pour utiliser les préférences gérées : 1 Configurez un volume de données de groupe dans l’onglet Volumes de la fenêtre Groupes de travail. 2 À partir d’un ordinateur client, connectez-vous au volume de données du groupe de travail. Un dossier Préférences gérées contenant les dossiers Préférences initiales, Préférences forcées et Préférences maintenues, vides, est créé automatiquement sur le volume de données du groupe de travail. 3 Créez toutes les préférences que vous souhaitez placer dans les dossiers Préférences initiales ou Préférences forcées. 4 Copiez les préférences que vous avez créées sur les dossiers Préférences initiales ou Préférences forcées du volume de données du groupe de travail. 5 Si vous souhaitez créer des préférences maintenues pour les ordinateurs clients équipés de versions antérieures à Mac OS 9, placez les fichiers et/ou les dossiers avec le nom de ces préférences dans le dossier Préférences maintenues. Si la préférence appropriée apparaît sous forme de fichier, l’élément de même nom que vous placez dans le dossier Préférences maintenues doit être un fichier. De même, si la préférence adéquate est un dossier, l’élément doit également être un dossier. 6 Répétez les étapes 1 à 5 pour chaque volume de données du groupe de travail. Pour plus de détails sur l’utilisation de chaque type de préférence gérée, consultez les sections suivantes. Préférences initiales Le dossier Préférences initiales vous permet d’attribuer un ensemble donné de préférences à chaque utilisateur lors de l’ouverture. Si une préférence a déjà été définie dans le dossier Préférences initiales pour l’utilisateur, Gestionnaire Macintosh ne la remplace pas. Ce processus se répétant à chaque fois qu’un utilisateur se connecte, vous pourrez par la suite ajouter des fichiers de préférences dans le dossier Préférences initiales si vous installez un autre logiciel. Lorsqu’un utilisateur ouvre un logiciel pour la première fois, une copie des fichiers de préférences de cette nouvelle application est transférée sur son dossier Préférences. Lorsqu’un utilisateur se connecte pour la première fois, certaines préférences sont créées, même si vous n’utilisez pas de dossier Préférences initiales. Si vous placez les éléments suivants dans le dossier Préférences initiales, ils ne seront pas copiés sur le dossier de l’utilisateur : m Préfs Options menu Pomme m Préfs Sélecteur d’application m Préférences Internet Service Gestion Macintosh 259 m m m m m m Préférences clavier Trousseaux Location Manager Prefs Préférences Mac OS Préférences TSM Préférences utilisateur Exemple : à quel moment utiliser le dossier Préférences initiales ? Supposons que vous souhaitez affecter à tous vos utilisateurs un ensemble de signets et de préférences préconfigurés pour Internet Explorer, mais uniquement la première fois qu’ils se connectent. Pour cela, respectez la procédure suivante : 1 Définissez les signets et préférences souhaités sur votre ordinateur d’administration. 2 Ouvrez le dossier Préférences situé dans le Dossier Système sur votre ordinateur d’administration et recherchez le dossier Explorateur. Copiez ce dossier intégralement sur le dossier Préférences initiales du serveur Gestionnaire Macintosh. Voici ce qui se produit lorsqu’un client se connecte : m Lorsqu’un utilisateur client Mac OS 9 se connecte : Gestionnaire Macintosh recherche un dossier intitulé “Explorateur” dans le dossier /Library/Preferences du répertoire d’accueil de l’utilisateur. Si Gestionnaire Macintosh ne trouve aucun dossier de ce nom dans le dossier de l’utilisateur, il copie le nouveau dossier Explorateur (et tout ce qu’il contient) du dossier Préférences initiales vers le dossier de l’utilisateur. Si le dossier de l’utilisateur contient déjà un dossier Explorer, Gestionnaire Macintosh met à jour ce dernier, remplace les anciens fichiers par de nouveaux portant le même nom et ajoute tout fichier placé dans le dossier Préférences forcées depuis la dernière connexion du client. Si le dossier Préférences de l’utilisateur comprend des fichiers ou des dossiers pourvus de noms uniques ne correspondant à aucun fichier du dossier Préférences forcées, Gestionnaire Macintosh n’y touche pas. Pour éviter que les fichiers ne s’accumulent et ne saturent l’espace disque, contrôlez le dossier Préférences de l’utilisateur aussi souvent que nécessaire. m Lorsqu’un client équipé d’une version antérieure à Mac OS 9 se connecte : Gestionnaire Macintosh recherche le dossier “Explorateur” à deux endroits : sur le dossier Préférences du répertoire d’accueil de l’utilisateur, puis sur le dossier Préférences du Dossier Système de l’ordinateur client. Si Gestionnaire Macintosh ne le trouve pas dans le dossier Préférences de l’utilisateur, il copie le dossier Explorateur dans ce dernier ainsi que dans le dossier Préférences de l’ordinateur client et remplace toute copie existante à cet emplacement. Si le dossier existe déjà dans le dossier Préférences de l’utilisateur, aucune copie n’est effectuée. 260 Chapitre 10 Remarque : Dans le cas des ordinateurs équipés de versions antérieures à Mac OS 9, si Gestionnaire Macintosh ne trouve aucun dossier Explorateur à l’un des deux emplacements, il copie le dossier Explorateur à cet endroit précis. L’utilisateur peut ensuite rencontrer des problèmes d’incohérence s’il change d’ordinateur client. Préférences forcées Le dossier Préférences forcées vous permet d’obliger les utilisateurs à démarrer avec l’ensemble de préférences que vous spécifiez, à chaque fois qu’ils se connectent. Si un utilisateur modifie ses préférences, elles seront remplacées par celles du dossier Préférences forcées la prochaine fois qu’il se connectera. Exemple : à quel moment utiliser le dossier Préférences forcées ? Supposez que vous souhaitez affecter à tous vos utilisateurs un ensemble de signets et de préférences préconfigurés pour Internet Explorer, qui soient valables à chaque fois qu’ils se connectent. Pour cela, respectez la procédure suivante : 1 Définissez les signets et préférences souhaités sur votre ordinateur d’administration. 2 Ouvrez le dossier Préférences situé dans le Dossier Système sur votre ordinateur d’administration et recherchez le dossier Explorateur. Copiez ce dossier intégralement sur le dossier Préférences forcées du serveur Gestionnaire Macintosh. Voici ce qui se produit lorsqu’un client se connecte : m Lorsqu’un utilisateur client Mac OS 9 se connecte : Gestionnaire Macintosh recherche un dossier intitulé “Explorateur” dans le dossier /Library/Preferences du répertoire d’accueil de l’utilisateur. Si Gestionnaire Macintosh ne trouve aucun dossier de ce nom dans le dossier de l’utilisateur, il copie le nouveau dossier Explorateur (et tout ce qu’il contient) du dossier Préférences forcées vers le dossier de l’utilisateur. Si le dossier de l’utilisateur contient déjà un dossier de ce nom, Gestionnaire Macintosh le supprime et le remplace par le dossier Explorateur du dossier Préférences forcées. m Lorsqu’un client équipé d’une version antérieure à Mac OS 9 se connecte : Gestionnaire Macintosh copie le dossier Explorateur du dossier Préférences forcées vers le dossier Préférences du Dossier Système de l’ordinateur client, même s’il contient déjà d’autres copies. Aucun fichier ou dossier n’est copié sur le dossier Préférences de l’utilisateur dans le répertoire d’accueil. Service Gestion Macintosh 261 Préférences maintenues Le dossier Préférences maintenues fonctionne uniquement avec les ordinateurs clients équipés de versions antérieures à Mac OS 9. Les fichiers et dossiers que vous placez dans le dossier Préférences maintenues ne sont en fait jamais copiés. Gestionnaire Macintosh examine les fichiers et dossiers du dossier Préférences maintenues et dresse une liste contenant les noms de tous les éléments qu’il contient. Gestionnaire Macintosh utilise ensuite cette liste afin de déterminer quelles préférences doivent être copiées entre le serveur et l’ordinateur client au moment de la connexion et de la déconnexion. L’utilisation du dossier Préférences maintenues, qui permet de limiter les préférences copiées, peut vous aider à réduire les temps de connexion et de déconnexion. Certaines préférences sont copiées systématiquement, qu’elles existent ou non dans le dossier Préférences maintenues, et d’autres ne sont jamais copiées, même si elles y sont déjà présentes : Préférences copiées systématiquement Préférences qui ne sont jamais copiées Préférences Barre des réglages Préférences AppleTalk Préférences date et heure Préfs client Préférences Finder Profiles ColorSync Préférences Mac OS Préfs Fonds d’écran Préférences Tableaux Préfs Économies d’énergie Préférences Gestionnaire d’extensions Éléments multi-utilisateurs Préfs multi-utilisateurs Préférences Open Transport Accès distant Préférences TCP/IP Fichier de données Utilisateurs & groupes Copie de sauvegarde du fichier de données Utilisateurs & groupes m Lorsqu’un utilisateur se connecte via un ordinateur client équipé d’une version antérieure à Mac OS 9 : Gestionnaire Macintosh examine le dossier Préférences maintenues et dresse une liste des noms des fichiers et des dossiers qu’il contient. Gestionnaire Macintosh ajoute ensuite les noms des éléments à la liste “always copied” pour créer une liste combinée. Enfin, Gestionnaire Macintosh copie tous les fichiers et dossiers de la liste combinée du dossier Préférences de l’utilisateur, situé sur le serveur, vers le dossier Préférences de l’ordinateur client. Tous les fichiers et dossiers du dossier Préférences du client portant le même nom que ceux de la liste combinée sont supprimés. Si un élément de la liste n’existe ni dans le dossier Préférences de l’utilisateur sur le serveur ni dans le dossier Préférences situé sur l’ordinateur client, il n’est pas pris en compte. m Lorsque l’utilisateur se déconnecte : Gestionnaire Macintosh suit le même processus afin de déterminer quelles préférences sont recopiées du dossier Préférences de l’ordinateur client sur le dossier Préférences de l’utilisateur situé sur le serveur. Tous les éléments coïncidant avec ceux de la liste combinée sont supprimés du dossier Préférences de l’ordinateur client. Remarque : Il est possible qu’un membre se connectant à l’aide du groupe de travail “Accès au système” ne puisse utiliser certaines applications, du fait que les préférences correspondantes ont été effacées du dossier Préférences une fois que le dernier utilisateur s’est déconnecté. Comment Gestionnaire Macintosh garantit la sécurité Gestionnaire Macintosh a été conçu afin que les utilisateurs d’ordinateurs clients ne puissent désactiver les extensions système en maintenant la touche Maj enfoncée au démarrage de l’ordinateur. Les utilisateurs ne peuvent désactiver l’application Gestionnaire Macintosh dans le tableau de bord Gestionnaire d’extensions, ni déplacer les extensions Gestionnaire Macintosh du dossier Extensions situé dans le Dossier Système. Gestionnaire Macintosh dispose d’un grand nombre d’autres sauvegardes permettant de garantir la sécurité. Les sauvegardes suivantes fonctionnent sur tous les environnements de bureau. La plupart sont activées par défaut et certaines peuvent être désactivées par l’administrateur Gestionnaire Macintosh : m Tous les environnements empêchent les utilisateurs de modifier certains réglages système. Ceux-ci comprennent les réglages réseau (tableaux de bord de configuration AppleTalk et TCP/IP), Économies d’énergie et multi-utilisateurs. m Les utilisateurs ne sont pas autorisés à accéder aux répertoires d’accueil d’autres utilisateurs, quel que soit le groupe de travail. m Les utilisateurs ne peuvent renommer les fichiers du Gestionnaire Macintosh, ni modifier le type de fichier ou son auteur. m Lorsqu’un utilisateur éteint ou redémarre son ordinateur, les modifications effectuées sont enregistrées. Service Gestion Macintosh 263 m Les utilisateurs ne peuvent forcer la fermeture d’une application pour contourner la sécurité du Gestionnaire Macintosh (vous devez activer cette option dans l’onglet Sécurité de la fenêtre Ordinateurs). m Les utilisateurs ne peuvent éjecter un support amovible ou démonter des volumes de serveur sans l’aide d’un mot de passe d’administrateur (vous devez activer ces options dans l’onglet Options de la fenêtre Groupes de travail ou dans l’onglet Sécurité de la fenêtre Ordinateurs). Comment les ordinateurs clients sont-ils actualisés à partir du serveur ? Une copie du dossier Éléments multi-utilisateurs, contenant les informations relatives aux réglages de votre Gestionnaire Macintosh, est stockée automatiquement dans le Dossier Système de chaque ordinateur client (pour plus de détails à ce sujet, consultez la section “À propos du point de partage du Gestionnaire Macintosh” à la page 265). Ce dossier permet à vos utilisateurs de travailler hors connexion et d’optimaliser les rendements du fait que Gestionnaire Macintosh peut rechercher des informations plus rapidement sur l’ordinateur client. Le dossier Éléments multi-utilisateurs contient des informations sur l’emplacement du serveur Gestionnaire Macintosh, de sorte que les membres n’ont généralement pas besoin de choisir un serveur pour pouvoir se connecter. Un dossier Cache d’éléments multiutilisateur est également créé dans le dossier Éléments multi-utilisateurs, à l’intérieur du dossier Préférences. Ce dossier cache contient des éléments qui accélèrent le temps d’accès. Si le dossier Éléments multi-utilisateurs du client est effacé, le client télécharge une nouvelle copie, vierge, à partir du serveur. Le dossier Éléments multi-utilisateurs du client est également mis à jour lorsque vous effectuez des modifications dans Gestionnaire Macintosh. Lorsqu’un ordinateur client est connecté au serveur, mais qu’aucun utilisateur n’y a accédé, Gestionnaire Macintosh procède à des contrôles périodiques pour voir si des éléments ont besoin d’être actualisés. Gestionnaire Macintosh ne vérifie pas les informations modifiées si un utilisateur est connecté à un ordinateur l’actualisation s’effectue uniquement au moment de la déconnexion. Si un ordinateur est déconnecté automatiquement du serveur suite à une période d’inactivité donnée, aucun contrôle de mise à jour n’est effectué avant qu’un utilisateur ne se connecte et ne se déconnecte d’une station. 264 Chapitre 10 Comment Gestionnaire Macintosh effectue-t’il le suivi des utilisateurs, des groupes de travail et des listes d’ordinateurs ? Les informations relatives aux utilisateurs, aux groupes de travail et aux ordinateurs sont stockées dans des fichiers de base de données situés dans les dossiers Utilisateurs, Groupes et Ordinateurs. (ces dossiers se trouvent dans le dossier Éléments multi-utilisateurs du point de partage du Gestionnaire Macintosh, décrit dans la section suivante). Chaque dossier contient deux fichiers de base de données. L’un des fichiers contient un index de chaque enregistrement de la base de données (par exemple, le nom d’un groupe de travail) et l’autre contient les informations spécifiques à chaque enregistrement (comme les membres, les autorisations et l’environnement d’un groupe de travail). Même si les bases de données relatives aux utilisateurs, aux groupes et aux ordinateurs n’appartiennent pas à une base de données relationnelle plus importante, chacune se rapporte à des informations stockées dans les autres bases de données. Par exemple, les base de données des utilisateurs contiennent une liste des groupes de travail auxquels un utilisateur appartient. Pour préserver la cohérence entre les bases de données, Gestionnaire Macintosh vérifie les références d’une base de données à l’autre et actualise les bases de données en fonction des besoins. Pour que les bases de données fonctionnent correctement, vous n’avez rien à faire. Si vous essayez de modifier les bases de données directement, vous risquez d’y insérer des incohérences et de perdre les informations qui y sont stockées. Si cela se produit, il vous faudra recréer les informations relatives aux utilisateurs, aux groupes de travail et aux ordinateurs en utilisant le logiciel d’administration du Gestionnaire Macintosh, ou en restaurant les informations à partir d’une copie de sauvegarde. À propos du point de partage du Gestionnaire Macintosh Lors de l’installation du logiciel serveur Gestionnaire Macintosh, un point de partage “Gestionnaire Macintosh” est créé sur le serveur. Celui-ci est défini avec les autorisations appropriées afin que Gestionnaire Macintosh puisse y accéder. Le point de partage du Gestionnaire Macintosh sert principalement à alimenter la base de données. Les membres ne peuvent voir le contenu du point de partage et n’agissent pas en interaction avec celui-ci. Vous pouvez transférer le point de partage Gestionnaire Macintosh sur un autre volume à condition que son nom soit le même, que le dossier reste un point de partage et que les autorisations d’accès soient identiques. Service Gestion Macintosh 265 Dossier Éléments multi-utilisateurs Le dossier Éléments multi-utilisateurs se trouve dans le point de partage “Gestionnaire Macintosh”. Il contient des informations sur les options que vous définissez à l’aide du Gestionnaire Macintosh, telles que l’emplacement du serveur Gestionnaire Macintosh, les alias correspondant à des éléments du groupe de travail, les informations de la mémoire cache et les bases de données des utilisateurs, des groupes et des listes d’ordinateurs. Le dossier Éléments multi-utilisateurs contient les éléments suivants : m Journal d’activité : ce fichier contient les entrées d’historiques. Il est utilisé pour générer des rapports, par exemple sur l’utilisation des imprimantes et sur les activités. m Préfs CD-ROM : ce fichier contient une liste des CD que les utilisateurs sont autorisés à utiliser, ainsi que les réglages relatifs à des éléments spécifiques de chaque CD. m Ordinateurs : ce dossier contient des fichiers de base de données dans lesquels sont stockés les réglages du Gestionnaire Macintosh pour chaque liste d’ordinateurs que vous avez définie. m Groupes : ce dossier contient un dossier pour chaque groupe de travail et fichiers de base de données dans lequel sont stockés les réglages du Gestionnaire Macintosh de chaque groupe de travail. Une version compressée des éléments du groupe est stockée sur le serveur (les alias des éléments sont stockés sur l’ordinateur client). m Fichier Éléments multi-utilisateurs : ce fichier contient les archives des fichiers se trouvant actuellement dans le dossier Éléments multi-utilisateurs. Vous ne devez pas l’ouvrir ni le modifier. S’il est effacé, il sera recréé la prochaine fois que vous utiliserez Gestionnaire Macintosh. m Imprimantes : ce dossier contient des fichiers représentant les imprimantes du bureau définies dans Gestionnaire Macintosh. Un fichier est créé pour chaque imprimante utilisée par un groupe de travail. Lorsqu’un utilisateur se connecte à un groupe de travail qui utilise une imprimante du bureau, le fichier d’impression est copié sur le bureau de l’ordinateur client. Il est préférable d’utiliser Gestionnaire Macintosh pour modifier les informations relatives à l’impression ; vous ne devez pas ouvrir ou supprimer des éléments du dossier des imprimantes. Si vous supprimez un fichier d’impression de ce dossier, les membres du groupe de travail souhaitant utiliser cette imprimante voient apparaître un message indiquant que le système ne la trouve pas. m Utilisateurs : ce dossier contient des fichiers de base de données dans lesquels sont stockés les réglages du Gestionnaire Macintosh pour chaque compte utilisateur et un dossier pour chaque utilisateur qui s’est connecté au serveur au moins une fois. 266 Chapitre 10 Utilisation du Gestionnaire Macintosh avec les Services NetBoot Même lorsque l’utilisation de NetBoot avec Gestionnaire Macintosh n’est pas nécessaire, la combinaison des deux facilite encore plus la gestion de l’installation du système de chaque ordinateur dans les salles informatique et dans les salles de cours. Pour utiliser NetBoot avec Gestionnaire Macintosh, modifiez les options du tableau de bord Utilisateurs multiples à l’aide de l’utilitaire Admin Bureau NetBoot, afin que les ordinateurs clients NetBoot récupèrent au démarrage les informations du compte via Gestionnaire Macintosh (consultez “Utilisation d’Admin de Bureau NetBoot” à la page 283). Exemple : une école primaire créé un laboratoire informatique et l’équipe d’ordinateurs Grâce à cet équipement technologique, l’école vise à : m Soutenir les objectifs pédagogiques dans différents domaines de l’enseignement, tels que la lecture et les mathématiques. m Garantir les mêmes ressources logicielles sur chaque ordinateur. m Promouvoir la sécurité du bureau en empêchant les élèves de toucher inconsidérément aux ressources informatiques et du réseau. m Configurer un réseau qui soit facile à maintenir. m Permettre le stockage centralisé des documents. Pour atteindre ces objectifs technologiques, elle emploiera les stratégies de gestion de réseau suivantes : m Utiliser un serveur équipé de l’image Mac OS que les ordinateurs clients NetBoot utilisent au démarrage ainsi que du logiciel Serveur Gestionnaire Macintosh. Le serveur stockera également les documents et les applications des utilisateurs. m Utiliser Gestionnaire Macintosh afin de définir des options garantissant la sécurité du bureau. m Définir des comptes administrateurs de groupe pour les enseignants, avant de leur apprendre à utiliser Gestionnaire Macintosh pour gérer les comptes d’utilisateurs et les groupes de travail. m Configurer les ordinateurs clients afin qu’ils démarrent à partir de l’image Mac OS du serveur. Les ordinateurs clients utilisent un logiciel système fournit par le serveur NetBoot, ce qui vous permet de garantir que chaque ordinateur possède la même version de logiciel et l’accès aux mêmes applications. Quels que soient les changements effectués par les utilisateurs lors d’une session, les ordinateurs retrouvent la même configuration système une fois que ceux-ci se sont déconnecté. Service Gestion Macintosh 267 Vous pouvez garantir la sécurité du bureau en utilisant Gestionnaire Macintosh pour contrôler les ressources du réseau auxquelles les élèves peuvent accéder. Vous pouvez protéger les dossiers Système et Applications et définir des options qui assurent la sécurité lorsque des applications sont utilisées. La maintenance du réseau est facile à assurer puisque les applications de l’utilisateur doivent être installées uniquement sur une image de disque stockée sur le serveur. Une fois que le réseau est configuré, les tâches de gestion quotidiennes sont minimes. L’enseignant peut gérer les comptes d’utilisateurs et les groupes de travail à partir de n’importe quel ordinateur connecté au serveur. Les enseignants peuvent distribuer et ramasser des devoirs via le réseau. Un enseignant peut également mettre des ressources de réseau, des applications et des CD à disposition des élèves afin de promouvoir les objectifs éducatifs du cours. Résolution de problèmes grâce au Gestionnaire Macintosh Cette section traite de certains problèmes que vous pouvez rencontrer lors de l’utilisation de Gestionnaire Macintosh. En cas de problèmes complexes, la section “Au coeur du Gestionnaire Macintosh” à la page 257 pourra vous être utile. Problèmes de connexion au Gestionnaire Macintosh Si vous avez oublié un mot de passe d’administrateur : Contactez l’administrateur système de votre Mac OS X Server ou modifiez le mot de passe d’administrateur à l’aide de l’application Admin Serveur. Si un utilisateur ne parvient pas à ouvrir un fichier (par exemple un fichier multimédia) à partir d’une page web : Vérifiez que les réglages du groupe de travail de l’utilisateur permettent aux applications d’en ouvrir d’autres (voir l’onglet Sécurité de la fenêtre Ordinateurs). Pour que les utilisateurs puissent ouvrir des applications à partir de pages web, sélectionnez “Ouvrir d’autres applications, une aide par exemple” dans la zone Les applications peuvent. Si l’ordinateur client ne parvient pas à trouver le serveur ou à s’y connecter : m Vérifiez que le serveur est activé. Si vous venez de démarrer le serveur, il peut mettre quelques minutes à apparaître. m Si votre réseau possède des zones AppleTalk, les utilisateurs disposant de versions antérieures à Mac OS 9 devront probablement sélectionner la zone dans laquelle il réside. Sur les ordinateurs Mac OS 9, utilisez l’explorateur réseau pour vérifier que vous êtes bien connecté au serveur. Pour obtenir les meilleurs résultats, il est recommandé de configurer les ordinateurs clients afin qu’ils se connectent au serveur via TCP/IP et non via AppleTalk. m Vérifiez que la capacité de mémoire de l’ordinateur client n’est pas faible et que celui-ci est toujours connecté au réseau. 268 Chapitre 10 m Si plusieurs ordinateurs démarrent simultanément, le chargement du réseau pourra être trop élevé. Essayez de démarrer moins d’ordinateurs à la fois. Si vous ne parvenez pas à accéder au Finder à partir d’un autre environnement : m Appuyez sur les touches Ctrl-Maj-Échap une fois que la zone de dialogue de bienvenue apparaît. Saisissez ensuite soit le mot de passe du possesseur de l’ordinateur soit les nom et mot de passe d’un administrateur. m Si vous avez accès au système, choisissez le groupe de travail “Accès au système” lorsque vous ouvrez une session. m Si vous n’avez pas accès au système et que vous avez besoin du Finder régulièrement, demandez à l’administrateur de votre Gestionnaire Macintosh d’activer l’accès au système pour votre compte. Problèmes que les utilisateurs client peuvent rencontrer Si les utilisateurs ne parviennent pas à se connecter au serveur : Vérifiez que le serveur dispose de suffisamment d’espace disque libre. Vérifiez que le compte utilisateur n’a pas été effacé ou que le mot de passe n’a pas changé. Consultez également l’onglet Élémentaire de la fenêtre Utilisateurs pour voir si le login d’accès de l’utilisateur n’a pas été désactivé. Si l’ordinateur d’un utilisateur se bloque : Si l’ordinateur utilise un logiciel système antérieur à Mac OS 9, vérifiez que le partage de fichiers est désactivé. Si un utilisateur ne parvient pas à ouvrir ou à faire fonctionner correctement une application : m Si l’option “Appliquer la sécurité des fichiers pour les stations Mac OS 9” est activée pour ce groupe de travail, il est possible que certaines applications antérieures ne fonctionnent pas correctement et signalent des erreurs (consultez à ce sujet “Réglages Autorisations des groupes de travail” à la page 228). m Certaines applications écrivent sur des fichiers spéciaux, ou les créent, à des emplacements autres que le dossier Préférences du Dossier Système. Si un utilisateur a des problèmes avec une application, cela pourrait en être la cause. Essayez de mettre le dossier application (et tout ce qu’il contient) dans un dossier appelé “Autres applications•” (la puce Option-@ doit constituer le dernier caractère du nom), dans le dossier Applications de l’ordinateur client (nommé “Applications (Mac OS 9)” sur les ordinateurs dotés de Mac OS 9.1 ou d’une version ultérieure). Si une application se trouve dans le dossier Autres applications•, l’application peut lire, écrire et ouvrir tous les plug-in et fichiers nécessaires à son fonctionnement. Service Gestion Macintosh 269 Si les utilisateurs ne parviennent pas à voir un volume auquel ils se sont connectés via le sélecteur : Dans l’environnement Tableaux, un volume monté n’est pas visible aux utilisateurs, sauf si vous sélectionnez “Afficher le volume sur un tableau” dans l’onglet Volumes de la fenêtre Groupes de travail. Si un utilisateur éprouve des difficultés pour accéder à ses fichiers partagés : Vérifiez que l’utilisateur appartient à plusieurs groupes de travail. Par défaut, les dossiers partagés des groupes de travail de tous les groupes se trouvent sur le même volume de serveur. Cependant, si vous stockez les documents de groupe sur des volumes différents, il est possible que les membres ne puissent accéder à tous leurs documents partagés sans changer de groupe. L’utilisateur devra mettre à jour sa version d’AppleShare, ou vous devrez déplacer son répertoire d’accueil sur un autre volume à l’aide d’Admin Serveur. Si une application nécessite un fichier que l’utilisateur ne parvient pas à ouvrir : Il est possible que vous n’ayez pas autorisé l’utilisateur à accéder aux documents situés en dehors de son répertoire d’accueil. Vous pouvez autoriser l’utilisateur à accéder à un autre dossier de manière temporaire. Consultez le tableau Autorisations du tableau Groupes de travail. Si un volume de données du groupe de travail a été créé, mais que les documents partagés du groupe de travail n’apparaissent plus dans l’environnement Tableaux : m Assurez-vous que l’emplacement du dossier Utilisateurs n’a pas changé. Le dossier Utilisateurs se trouve généralement au niveau supérieur du volume de serveur ou du volume de données du groupe de travail. m Vérifiez que le volume de données du groupe de travail que vous avez choisi est celui dans lequel se trouvent les documents partagés. Si les utilisateurs ne parviennent pas à utiliser l’option glisser-déposer entre applications : Pour des raisons de sécurité, la plupart des fonctions glisser-déposer ne sont pas disponibles. Utilisez les commandes copier et coller. Si l’application qui s’ouvre n’est pas la bonne : Chaque application est identifiée par les quatre caractères de l’identifiant de son auteur et non par le nom de fichier de l’application. Il est possible qu’une autre application s’ouvre si l’identifiant du créateur a été affecté à deux applications distinctes. Essayez de reconstruire le bureau de l’ordinateur client. 270 Chapitre 10 Si un utilisateur ne peut accéder à son répertoire d’accueil : m Assurez-vous qu’un répertoire d’accueil a été configuré pour l’utilisateur dans le module Utilisateurs et groupes d’Admin Serveur. m Vérifiez que les autorisations de ce répertoire d’accueil ont été définies correctement. m Vérifiez que le serveur sur lequel se trouve le répertoire d’accueil de l’utilisateur est en fonction. Où trouver plus d’informations sur Gestionnaire Macintosh ? Pour obtenir des informations complémentaires sur Gestionnaire Macintosh, consultez les sources suivantes : m Vous trouverez sur le site web d’AppleCare plusieurs sources d’information différentes, notamment Knowledge Base, une base de données regroupant des articles techniques relatifs aux produits, à leur usage et à leur implémentation. www.apple.com/support (en anglais) m Les listes de discussion (Mac OS X Server et Gestionnaire Macintosh) vous permettent d’échanger des idées et des astuces avec d’autres administrateurs de serveur. Vous pouvez vous inscrire sur une liste de discussion à l’adresse web suivante : www.lists.apple.com (en anglais) Service Gestion Macintosh 271 C H A P I T R E 11 NetBoot 11 Présentation de NetBoot NetBoot permet aux administrateurs de réseau de configurer et de mettre à jour instantanément les ordinateurs clients Mac OS 9 en actualisant l’image disque qui se trouve sur le serveur de démarrage des clients. Chaque image disque contient un Dossier Système à partir duquel tous les clients peuvent démarrer. NetBoot garantit que les systèmes clients constituent les images parfaites de la configuration que vous avez définie sur le serveur. Toute modification effectuée sur le serveur est automatiquement répercutée sur les ordinateurs clients lors du redémarrage. Vous pouvez utiliser Gestionnaire Macintosh pour procurer à n’importe quel utilisateur d’ordinateur client NetBoot des services d’authentification ainsi qu’un environnement de travail personnalisé. À qui s’adresse NetBoot ? NetBoot est conçu pour tout type d’organisation utilisant des ordinateurs Macintosh sur un réseau. Par exemple, il permet aux enseignants d’introduire la technologie dans leur classe par le biais d’ordinateurs bon marché et faciles à gérer tels que l’iMac. NetBoot est idéal pour les enseignants qui souhaitent : m augmenter le nombre d’ordinateurs mis à disposition des élèves, m atteindre des objectifs technologiques malgré un budget restreint, m réduire les coûts de gestion de l’infrastructure informatique, m profiter au maximum des ressources technologiques existant sur le marché. Le serveur NetBoot convient également parfaitement aux entreprises disposant de réseaux Macintosh, particulièrement celles souhaitant remplacer des ordinateurs utilisés à l’origine pour la saisie de données ou le traitement de texte. Ces entreprises peuvent réduire leurs coûts informatiques au minimum en utilisant du matériel Macintosh à prix avantageux et en bénéficiant de conditions d’administration réduites grâce à NetBoot. 273 Avant de configurer NetBoot Avant de configurer NetBoot, tenez-compte de la configuration requise suivante : Configuration requise par les ordinateurs clients m Image Mac OS 9.1 fournie avec Mac OS X Server m iMac, iBook, Power Macintosh G3 (modèles “bleu” et “blanc”), Power Mac G4, Power Mac G4 Cube, PowerBook (FireWire) ou PowerBook G4 m Au moins 64 Mo de mémoire vive Une adresse IP est nécessaire pour chacun des ordinateurs que vous comptez faire démarrer à partir de votre Mac OS X Server afin de l’identifier comme élément unique du réseau. Cette version de NetBoot permet aux ordinateurs clients d’obtenir leurs adresses IP à l’aide du protocole DHCP (seuls certains modèles d’ordinateurs Macintosh bénéficient de cette fonctionnalité). La précédente version de NetBoot permettait seulement aux ordinateurs de démarrer en se procurant des adresses IP à l’aide de BootP (le protocole “bootstrap”). Cette nouvelle version gère les protocoles DHCP aussi bien que BootP. Si l’ordinateur client le permet, DHCP constitue la méthode privilégiée pour obtenir une adresse IP. Avant d’installer votre serveur NetBoot, il est nécessaire de : 1 Déterminer quels sont les ordinateurs pouvant démarrer avec le protocole DHCP et ceux nécessitant BootP. Pour plus de détails, consultez la section “Adresses IP clientes” à la page 276. 2 Déterminer les plages d’adresses IP spécifiques que vous souhaitez affecter aux ordinateurs démarrant avec BootP. 3 Consulter la section “Organisation du réseau”, pour rassembler toutes les informations nécessaires à la configuration du réseau NetBoot. Vous pouvez organiser ces informations à l’aide de la fiche de configuration du serveur NetBoot contenue dans ce chapitre. Organisation du réseau Afin d’organiser votre réseau, vous devez rassembler les informations qui vous aideront lors de sa configuration. Vous pouvez noter ces informations sur la Fiche de configuration de NetBoot, fournie la page 281. Étape 1 : Détermination du nombre de clients à connecter au serveur Le nombre d’ordinateurs clients NetBoot que vous pouvez connecter au serveur dépend de la configuration de ce dernier et de plusieurs autres facteurs. Un serveur NetBoot configuré de la manière suivante peut facilement gérer 50 ordinateurs clients NetBoot : m Ordinateur Macintosh G3 ou G4 doté d’un processeur à 400 MHz ou plus m 256 Mo de mémoire vive 274 Chapitre 11 m Minimum de deux disques durs de 9 Go (plusieurs disques durs permettent à NetBoot d’attribuer des ressources de manière plus efficace). m Ethernet Gigabit ; carte Ethernet tétraport 100Base-T ou supérieure Si vous souhaitez utiliser un serveur configuré différemment ou gérer plus de 25 ordinateurs clients, tenez compte des facteurs suivants : m Vitesse d’Ethernet : afin d’optimiser les performances, il est fortement recommandé d’utiliser des connexions 100Base-T ou supérieures aussi bien pour les ordinateurs clients que pour le serveur. m Capacité du disque dur et nombre d’ordinateurs clients NetBoot : le serveur NetBoot requiert une certaine quantité d’espace disque pour chaque client connecté. La quantité d’espace nécessaire dépend de la taille et de la configuration de l’image système. m Capacité du disque dur et nombre d’utilisateurs : si le nombre d’utilisateurs est élevé, il est conseillé d’ajouter à votre réseau un serveur de fichier distinct pour stocker les documents des utilisateurs. Par défaut, si vous utilisez Gestionnaire Macintosh, les documents et préférences d’utilisateurs sont stockés sur le serveur NetBoot, mais vous pouvez enregistrer ces informations sur n’importe quel serveur AFP. m Emplacement du serveur et des ordinateurs clients : les ordinateurs clients NetBoot qui requièrent BootP doivent être placés sur le même sous-réseau que le serveur, et il ne peut y avoir qu’un seul serveur BootP sur ce sous-réseau. Un même sous-réseau peut cependant comprendre plusieurs serveurs NetBoot pour assurer la gestion des images. m Nombre de ports Ethernet sur le serveur : si vous utilisez des cartes tétraport 100Base-T, vous pourrez améliorer vos performances en répartissant les clients NetBoot sur plusieurs ports Ethernet de votre serveur. Vous pouvez ajouter des ports en ajoutant des cartes Ethernet ou en utilisant plusieurs ports d’une carte Ethernet multiport. Chaque port doit être destiné à un segment différent. Étape 2 : Collecte des informations pour l’Assistant réglages NetBoot Les informations indiquées dans cette section sont nécessaires pour chaque port Ethernet que vous comptez utiliser pour des clients NetBoot. Au fur et à mesure que vous recueillez les informations, inscrivez-les sur la fiche de configuration du serveur NetBoot, fournie à la page 281. Si vous avez acquis votre logiciel avec un serveur, ce dernier pourra disposer d’un maximum de cinq ports Ethernet. L’un d’eux est le port Ethernet intégré fourni avec le serveur. Les ports se trouvent sur les cartes Ethernet installées sur le serveur. Le nombre de ports dont vous disposez dépend de la configuration de votre serveur. La connexion entre le serveur et les clients NetBoot doit s’effectuer au minimum via une carte Ethernet 100Base-T. NetBoot 275 Adresses IP et masque de sous-réseau des ports Chaque port Ethernet que vous utilisez pour les clients NetBoot doit disposer d’une adresse IP et d’un masque de sous-réseau. Il est préférable d’utiliser un masque de sous-réseau limitant le trafic local aux adresses IP des clients NetBoot connectés à ce port. Adresses IP clientes Déterminez les clients NetBoot pouvant utiliser le protocole DHCP et ceux qui ne peuvent pas. Les ordinateurs Macintosh suivants fonctionnent avec DHCP : m tous les ordinateurs iMac à chargement par fente m tous les ordinateurs iBook m tous les ordinateurs Power Mac G4 m tous les ordinateurs Power Mac G4 Cube m tous les ordinateurs PowerBook FireWire m tous les ordinateurs PowerBook G4 En ce qui concerne les autres modèles Macintosh, vous devrez probablement exécuter la dernière mise à jour de programme interne (disponible sur le site web d’Apple) pour activer cette fonctionnalité ou déterminer si l’ordinateur en est équipé. (Le programme de mise à jour affiche un message si cette dernière n’est pas nécessaire sur l’ordinateur.) m Pour les clients utilisant DHCP : Si l’ordinateur client peut utiliser DHCP, il n’est pas nécessaire de saisir son adresse IP sur la fiche de configuration du serveur NetBoot, sauf si le sous-réseau de l’ordinateur ne comprend aucun serveur DHCP. m Pour les clients utilisant BootP : Pour les clients NetBoot connectés aux ports utilisant BootP, vous devez indiquer une ou plusieurs plages d’adresses IP. Vous devez attribuer au moins une adresse IP par ordinateur, mais il est préférable d’en prévoir quelques-unes de plus en cas d’extension. 276 Chapitre 11 Informations de routage IP Les Les informations de routage IP que vous indiquez dans l’Assistant réglages NetBoot dépendent de la configuration de votre réseau. Dans ce cas, le serveur est un homologue des clients NetBoot sur un sous-réseau unique chacun d’entre eux est connecté directement au routeur. Si votre configuration est ainsi définie, sélectionnez Peer dans la fenêtre de routage IP des clients NetBoot de l’Assistant réglages NetBoot. Dans le champ “Adresse IP du routeur”, tapez l’adresse IP du routeur. Concentrateur ou commutateur Internet Routeur Clients Serveur Les clients NetBoot sont connectés directement au routeur. NetBoot 277 La configuration indiquée ci-dessous ressemble à la précédente, à la différence près qu’elle comprend deux sous-réseaux clients NetBoot. Chaque sous-réseau est relié à un port différent sur le routeur comme sur le serveur. Si votre configuration est ainsi définie, sélectionnez Peer dans la fenêtre de routage IP des clients NetBoot de l’Assistant réglages NetBoot. Dans le champ “Adresse IP du routeur”, tapez l’adresse IP du port de routeur que vous connectez à ce sous-réseau. Internet Concentrateur ou commutateur Routeur Clients (sous-réseau 1) Concentrateur ou commutateur Clients (sous-réseau 2) Serveur Les clients NetBoot sont connectés directement au routeur. 278 Chapitre 11 Dans cette configuration, le serveur sert de routeur vers un ou plusieurs sous-réseaux clients NetBoot. Si votre configuration est ainsi définie, sélectionnez Passerelle dans la fenêtre de routage IP des clients NetBoot de l’Assistant réglages NetBoot. Il n’est pas nécessaire de préciser une adresse de routeur. Concentrateur ou commutateur Internet Serveur Routeur Clients (sous-réseau 2) Concentrateur ou commutateur Clients (sous-réseau 1) Le serveur sert de passerelle vers le routeur. Remarque : Pour que les clients puissent accéder à Internet, les tableaux de routage doivent être mis à jour afin d’indiquer que le serveur sert de passerelle au sous-réseau client. Vous devez créer une entrée distincte pour chaque sous-réseau client. Utilisez le logiciel fourni avec votre routeur pour apporter des modifications au tableau de routage. NetBoot 279 Si votre configuration est ainsi définie, sélectionnez Passerelle dans la fenêtre de configuration du routage IP de l’Assistant réglages NetBoot. Aucune adresse IP de routeur n’est nécessaire. Concentrateur ou commutateur Serveur Clients (sous-réseau 2) Concentrateur ou commutateur Clients (sous-réseau 1) Pas de routeur— les clients NetBoot n’ont pas accès à Internet. 280 Chapitre 11 Fiche de configuration de NetBoot Vous devez indiquer les informations suivantes pour chaque port Ethernet. Le nombre de ports dont vous disposez dépend de la configuration de votre serveur. Planification des ports NetBoot Spécifiez ces informations à l’aide du format d’adresse IP (par exemple, 124.50.66.93) : Port Ethernet intégréX Port carte Ethernet 3 Adresse IP : . . . Adresse IP : . . . Masque sous-réseau : . . . Masque sous-réseau : . . . . . . Adresse du routeur : . . . Plage adresse BootP (si nécessaire) Adresse du routeur : Plage adresse BootP (si nécessaire) Type de serveur DÉBUT FIN . N “Peer” . . N Passerelle Port carte Ethernet 1 Adresse IP : Type de serveur . . . . FIN . . . N “Peer” N Passerelle . Adresse IP : . . . . . . . . . Masque sous-réseau : Adresse du routeur : . . . Adresse du routeur : DÉBUT . . . FIN . . . Plage adresse BootP (si nécessaire) Type de serveur . . Port carte Ethernet 4 . Masque sous-réseau : Plage adresse BootP (si nécessaire) . DÉBUT N “Peer” N Passerelle Type de serveur . . . DÉBUT . . . FIN . . . N “Peer” N Passerelle Port carte Ethernet 2 Adresse IP : . . . Masque sous-réseau : . . . Adresse du routeur : Plage adresse BootP (si nécessaire) Type de serveur . . . DÉBUT . . . FIN . . . N “Peer” N Passerelle NetBoot 281 Première configuration du logiciel de serveur NetBoot Si vous n’avez pas encore lu la section “Organisation du réseau” à la page 274 ni rempli la Fiche de configuration de NetBoot, faites-le maintenant avant de poursuivre. Vous devrez avoir ces informations à portée de main lorsque vous utiliserez l’Assistant réglages NetBoot. Étape 1 : Installation du logiciel de serveur NetBoot (facultatif) Si vous avez acquis votre logiciel avec un serveur, le logiciel de serveur NetBoot est déjà installé. Vous pouvez passer directement à la deuxième étape. Si vous avez acquis votre logiciel Mac OS X Server sans matériel, vous devez installer le logiciel de serveur NetBoot, fourni sur un CD à part avec votre logiciel Mac OS X Server. Vous devez l’installer sur un ordinateur déjà doté d’un logiciel Mac OS X Server installé et configuré. Pour installer le logiciel de serveur NetBoot, procédez comme suit : 1 Insérez le CD NetBoot dans le lecteur de CD-ROM de votre ordinateur. 2 Double-cliquez sur l’icône du CD NetBoot. 3 Double-cliquez sur NetBoot.pkg. 4 Suivez les instructions qui s’affichent à l’écran. Utilisez le mot de passe d’administrateur que vous avez défini dans l’Assistant réglages de Mac OS X Server. L’installateur vous guide tout au long de la procédure nécessaire à l’installation du logiciel. Étape 2 : Utilisation de l’Assistant réglages NetBoot Si vous venez d’installer le logiciel NetBoot, l’Assistant réglages devrait s’ouvrir automatiquement. Si l’Assistant n’est pas lancé, procédez comme suit : 1 Connectez-vous au serveur Mac OS X Server en tant qu’administrateur. Utilisez le mot de passe d’administrateur que vous avez défini dans l’Assistant réglages de Mac OS X Server. 2 Double-cliquez sur Assistant dans le répertoire /Applications/Utilities. 3 Lorsque la fenêtre de l’Assistant s’ouvre, double-cliquez sur Assistant réglages NetBoot. 4 Suivez les instructions qui s’affichent à l’écran. L’Assistant réglages vous guide tout au long de la procédure nécessaire à la configuration du logiciel. Pour obtenir davantage d’informations sur chaque étape, cliquez sur le bouton En savoir plus de la fenêtre. Pour modifier toute information de configuration, vous pouvez faire appel à l’Assistant réglages NetBoot. 282 Chapitre 11 Étape 3 : Configuration de Gestionnaire Macintosh Si vous comptez utiliser Gestionnaire Macintosh afin de proposer aux utilisateurs clients NetBoot des services d’authentification et des environnements de travail personnalisés, vérifiez qu’il est configuré et que des utilisateurs ont été importés de la base de données Utilisateurs et groupes de Mac OS X Server. Configurez les groupes de travail et les réglages Gestionnaire Macintosh dont vous avez besoin (consultez à ce sujet le chapitre 10, intitulé “Service Gestion Macintosh”, à la page 213). Assurez-vous qu’au moins un administrateur Gestionnaire Macintosh est affecté au groupe de travail “Accès au système”. Étape 4 : Démarrage d’un ordinateur client NetBoot Tout ordinateur Mac OS pouvant démarrer à partir d’un serveur NetBoot peut devenir client NetBoot. Le cas échéant, procédez à la mise à jour du programme interne de votre ordinateur. Pour plus de détails, consultez le site web d’Apple. Pour démarrer un ordinateur client NetBoot, procédez comme suit : 1 Connectez l’ordinateur client au réseau. 2 Maintenez la touche N enfoncée pendant que vous mettez l’ordinateur sous tension. L’ordinateur recherche un serveur NetBoot. La recherche du serveur et le démarrage peuvent prendre quelques secondes. Si l’ordinateur ne démarre toujours pas au bout d’une minute, consultez la section “Résolution des problèmes liés à NetBoot” à la page 290. Une fois l’ordinateur lancé, vous voyez apparaître sur l’ordinateur un volume intitulé “NetBoot HD”. Ouvrez le tableau de bord Disque de démarrage et choisissez Disque de réseau. Au prochain démarrage de l’ordinateur, vous n’aurez pas à enfoncer la touche N. Une fois qu’un ordinateur a été lancé à partir du serveur NetBoot, il démarrera dorénavant à partir de ce dernier, sauf en cas de problème (par exemple si le serveur est éteint) ou si vous changez de disque dans le tableau de bord Disque de démarrage. Utilisation d’Admin de Bureau NetBoot Le volume NetBoot HD que vous voyez apparaître au démarrage d’un ordinateur client NetBoot est une image disque en lecture seule, que vous ne pouvez modifier. Pour installer un nouveau logiciel sur l’image disque ou changer la configuration du système, vous devez utiliser l’application Admin de Bureau NetBoot afin de créer une copie de l’image que vous pourrez modifier. Une fois terminé, Admin de Bureau NetBoot remplace l’image disque existante par celle que vous avez modifiée. NetBoot 283 Installation d’un logiciel ou modification de l’image disque Pour installer un logiciel ou changer l’image disque NetBoot HD, vous devez démarrer sur un ordinateur client NetBoot, vous connecter au volume du serveur NetBoot et ouvrir le programme Admin de Bureau NetBoot, comme indiqué ci-après. Les changements effectués ne sont pas appliqués tant que l’ordinateur client NetBoot exécutant Admin de Bureau NetBoot n’a pas redémarré. Avant de commencer, vous devez disposer des informations suivantes : m Nom et mot de passe d’un utilisateur bénéficiant d’autorisations d’accès en lecture et en écriture sur le volume du serveur NetBoot (par exemple, l’administrateur du Mac OS X Server). Remarque : si vous utilisez Gestionnaire Macintosh avec des ordinateurs clients NetBoot, chaque fois que vous démarrez ou redémarrez un ordinateur, vous devez vous connecter en tant qu’administrateur de Gestionnaire Macintosh client appartenant au groupe de travail “Accès au système”. Pour installer un logiciel ou changer l’image disque NetBoot HD : 1 Connectez-vous au volume du serveur en utilisant les nom et mot de passe d’un utilisateur bénéficiant d’autorisations d’accès en lecture et en écriture (par exemple, l’administrateur de Mac OS X Server) et ouvrez l’application Admin de Bureau NetBoot. À moins que vous ne l’ayez changée de place, l’application se trouve dans le dossier Admin de Bureau NetBoot, situé dans le dossier Admin du serveur NetBoot. 2 Si vous installez un nouveau logiciel, agrandissez l’image disque (si nécessaire). Assurez-vous que l’image disque dispose de suffisamment de place pour le logiciel que vous souhaitez installer. N’augmentez cependant pas la taille d’une image plus que nécessaire. Vous ne pouvez réduire la taille d’une image sans revenir à une copie de sauvegarde. Remarque : si vous installez une nouvelle version de Mac OS, augmentez la taille de l’image disque NetBoot HD d’au moins 50 Mo. 3 Cliquez sur Effectuer une copie privée. Admin de Bureau NetBoot crée une copie de l’image disque. Cette opération peut durer quelques minutes et ne doit pas être interrompue. Une fois la copie terminée, votre ordinateur client NetBoot redémarre automatiquement. Une copie d’image disque étant associée à l’ordinateur client NetBoot que vous avez utilisé pour la créer, vous devez effectuer les modifications sur l’image à l’aide du même ordinateur. Si vous changez d’ordinateur, vous ne pourrez plus voir les modifications effectuées et les utilisateurs ne pourront pas les utiliser. Par ailleurs, vous augmentez le risque de modification de l’image disque par des utilisateurs non autorisés. Important 284 Chapitre 11 4 Installez le logiciel ou modifiez la configuration du système. Si vous installez un logiciel, suivez les instructions fournies avec le logiciel. Si nécessaire, redémarrez l’ordinateur. Si vous installez une application, ouvrez-la. Cela vous permet de taper un numéro d’enregistrement, le cas échéant. Si vous ne saisissez aucun numéro maintenant, les utilisateurs devront en taper un à chaque fois qu’ils ouvriront l’application. Par ailleurs, la plupart des applications créent un fichier de préférences dans le Dossier Système. Si vous n’ouvrez pas l’application, les utilisateurs ne pourront probablement pas l’ouvrir du fait que les préférences n’existent pas. 5 Assurez-vous que la corbeille ne contient aucun fichier à conserver. (La corbeille est vidée automatiquement à la fin de l’étape suivante). Remarque : si vous ne parvenez pas à vider la corbeille parce qu’elle contient des fichiers en cours d’utilisation, vous devrez probablement redémarrer l’ordinateur. 6 Ouvrez l’application Admin de Bureau NetBoot, puis cliquez sur Enregistrer ou sur Éliminer. L’ordinateur redémarre automatiquement. Si vous avez besoin d’effectuer d’autres changements, cliquez sur Quitter et reprenez à partir de l’étape 5. 7 Redémarrez l’ordinateur client NetBoot, puis ouvrez l’application Admin de Bureau NetBoot. Si vous souhaitez conserver une copie de sauvegarde de l’ancienne image disque, laissez l’option “Sauvegarder les disques précédents” sélectionnée. Les copies de sauvegarde sont stockées dans le dossier Images de sauvegarde du dossier Images partagées situé sur le serveur NetBoot. 8 Si vous avez cliqué sur Enregistrer lors de l’étape 6, cliquez sur Redémarrer. Sinon, cliquez sur OK. Si vous cliquez sur Redémarrer, Admin de Bureau NetBoot enregistre vos modifications, efface l’ancienne image disque, puis redémarre l’ordinateur. Les modifications seront appliquées au prochain redémarrage d’un ordinateur client NetBoot. Si vous cliquez sur OK, Admin de Bureau NetBoot efface l’ancienne image disque. NetBoot 285 Astuces et stratégies pour utiliser NetBoot Amélioration des performances NetBoot Un certain nombre de facteurs influent sur les performances des clients NetBoot. Vous pouvez adapter certains facteurs afin de diminuer le temps de démarrage des ordinateurs NetBoot, améliorer les performances des ordinateurs clients et augmenter le nombre de clients que vous pouvez gérer. Vous pouvez également effectuer des réglages en vue d’augmenter les performances du réseau et du serveur. Les facteurs que vous modifiez en vue d’optimiser les performances de votre réseau dépendent de la configuration de celui-ci. La meilleure stratégie consiste à identifier les secteurs dont l’impact sera le plus important et à les changer en premier. Vous constaterez probablement que la mise en place, ne serait ce que de quelques uns des changements suggérés dans cette section, peut améliorer de manière conséquente le fonctionnement pour l’utilisateur. Facteurs influant sur les performances du réseau m Un réseau Ethernet 100Base-T ou supérieur vous permet d’optimiser les performances car le serveur et les clients se trouvent sur le même segment ou concentrateur. Vous devez utiliser au minimum un réseau Ethernet 10Base-T “commuté” pour les ordinateurs clients, à condition que le serveur dispose d’une connexion 100Base-T ou supérieure sur le réseau commuté 10Base-T. Bien que NetBoot fonctionne avec un réseau Ethernet commuté 10Base-T, les connexions 100Base-T ou supérieures permettent un rendement optimal. m Avant de configurer un réseau NetBoot, analysez les utilisations courantes des membres, afin de pouvoir déterminer le nombre d’ordinateurs clients à connecter à chaque segment ou concentrateur. Si vous prévoyez une utilisation importante, vous aurez probablement besoin de répartir certains services (comme le service de fichiers Apple ou le Gestionnaire Macintosh) sur plusieurs serveurs. m Dans un environnement NetBoot, il est toujours préférable d’utiliser des commutateurs plutôt que des concentrateurs. NetBoot et AirPort Apple ne fournit pas d’assistance pour l’utilisation de la technologie AirPort sans fil avec des clients NetBoot. Facteurs influant sur les performances du serveur m Sur un réseau pourvu d’un seul serveur, chaque client utilise ce dernier pour démarrer et accéder à la mémoire virtuelle ainsi qu’aux fichiers et applications. Le disque dur du serveur et le réseau sont par conséquent très sollicités. Vous pouvez augmenter la quantité de mémoire vive installée sur le serveur à au moins 256 Mo afin de réduire la charge du disque dur. 286 Chapitre 11 m La vitesse du processeur du serveur est également importante, particulièrement sur un réseau possédant un seul serveur. Vous devez toujours utiliser l’ordinateur disponible le plus rapide comme serveur. m Si vous utilisez Gestionnaire Macintosh, l’ajout d’un autre disque dur peut également contribuer à améliorer les performances, étant donné que le serveur Gestion Macintosh doit accorder simultanément l’accès du même volume de serveur à un grand nombre de clients. m L’utilisation d’un autre serveur compatible avec le protocole AFP pour le stockage de documents peut également réduire la charge de travail du serveur. m Vous serez peut-être tenté de réorganiser les fichiers système associés à NetBoot et Gestionnaire Macintosh. Vous risquez cependant de le faire de manière incorrecte et de rendre votre serveur inutilisable. Il est donc recommandé de ne pas toucher aux fichiers système. Facteurs influant sur les performances des clients m La méthode la plus sûre pour améliorer les performances consiste probablement à augmenter la quantité de mémoire vive sur chaque ordinateur client. Ce dernier a ainsi besoin d’utiliser moins de mémoire virtuelle et peut recourir plus fréquemment à la mémoire cache. m Vous pouvez également augmenter les performances des ordinateurs clients en les configurant afin qu’ils utilisent la mémoire virtuelle de leur propre disque dur, plutôt que via le réseau (option par défaut). Cela peut réduire le trafic sur le réseau et diminuer la charge sur le disque dur du serveur, tout en améliorant les performances du client, particulièrement lorsqu’il ouvre des applications. Pour autoriser les clients à utiliser la mémoire virtuelle de leur propre disque dur, modifiez l’image système sur le serveur à l’aide d’Admin de Bureau NetBoot, comme indiqué dans la section “Installation d’un logiciel ou modification de l’image disque” à la page 284. Une fois que vous avez réalisé une copie modifiable de l’image et après avoir redémarré l’ordinateur, ouvrez le tableau de bord Mémoire et sélectionnez le disque dur local dans la zone Mémoire virtuelle. Une fois les réglages de mémoire virtuelle modifiés, mettez la nouvelle image système à disposition des utilisateurs à l’aide d’Admin de Bureau NetBoot. Vérifiez que le nom du disque local est le même pour tous les clients NetBoot. m Si un ordinateur client dispose d’une grande quantité de mémoire vive, il est conseillé de désactiver sa mémoire virtuelle. Notez cependant que dans Mac OS 9, la mémoire virtuelle est activée par défaut et que son utilisation est généralement recommandée. m Si vous utilisez Gestionnaire Macintosh, vous pouvez enregistrer des fichiers de préférences pour chaque utilisateur individuellement. Ces fichiers sont stockés sur le serveur. Plus vous enregistrez de préférences, plus les ordinateurs clients tarderont à les charger lorsqu’un utilisateur se connectera. Si vous constatez des ralentissements importants juste après la connexion, essayez de réduire le nombre de préférences enregistrées dans Gestionnaire Macintosh. NetBoot 287 Attention, vous ne devez pas enregistrer la mémoire cache du navigateur Web d’un utilisateur. Ce type de mémoire cache peut prendre de l’ampleur rapidement dans un environnement utilisant très fréquemment des navigateurs Internet. En configurant Gestionnaire Macintosh pour qu’il n’enregistre pas le cache du navigateur, vous éliminez le transfert de ces fichiers volumineux entre le serveur et le client, ce qui réduit les temps de démarrage après connexion de façon spectaculaire. Résumé Pour améliorer les performances, voici quelques conseils : m Utilisez toujours au minimum une connexion Ethernet 100Base-T entre le serveur et le réseau de résidence des clients NetBoot. m La connexion minimum recommandée entre l’ordinateur client et le réseau s’effectue via une carte-Ethernet 10Base-T duplex commutée. Une connexion Ethernet 100Base-T duplex ou semi-duplex minimum est recommandée. Les commutateurs Ethernet doivent être configurés afin de gérer la négociation automatique du mode duplex. m Choisissez des configurations de serveur, de réseau et d’ordinateur client correspondant aux utilisations courantes de vos membres. m Ajoutez des serveurs à votre réseau et envisagez la répartition de NetBoot, Gestionnaire Macintosh et du service de fichiers Apple sur différents serveurs. m Augmentez la mémoire vive du serveur pour réduire la charge exercée sur son disque dur. m Ajoutez des disques durs à votre serveur pour améliorer les performances. m Utilisez l’ordinateur le plus puissant dont vous disposez en tant que serveur, particulièrement s’il s’agit d’un réseau pourvu d’un seul serveur. m Augmentez la mémoire vive des clients NetBoot pour réduire l’utilisation de la mémoire virtuelle en réseau. m Configurez les clients NetBoot pour qu’ils utilisent la mémoire virtuelle de leur disque dur local. m Réduisez le nombre de préférences d’utilisateurs enregistrées par Gestionnaire Macintosh. m N’enregistrez pas les caches de navigateur Web. 288 Chapitre 11 Contenu de NetBoot Tandis que les précédentes versions de NetBoot comprenaient à la fois une image disque Système et une image disque Application, le serveur NetBoot nécessite maintenant une seule image, l’image disque NetBoot HD. Vous pouvez soit installer des applications sur l’image disque NetBoot HD, soit continuer à utiliser l’image disque Application. Vous pouvez également continuer à utiliser Admin de Bureau NetBoot pour effectuer des modifications sur l’image disque Application. L’utilisation de l’image Mac OS 9.1, fournie par le serveur NetBoot, étant obligatoire pour tout ordinateur client NetBoot, chacun doit posséder un contrat de licence pour exécuter Mac OS 9.1. Ce qui signifie que soit Mac OS 9.1 est inclus avec l’ordinateur clients, soit que vous avez acquis une licence permettant son utilisation. Les contrats de licence de Mac OS X Server et du serveur NetBoot ne comprennent aucune licence Mac OS. Important Un ordinateur client NetBoot utilisant Mac OS 9 requiert 64 Mo de mémoire vive. Si la mémoire d’un ordinateur NetBoot est insuffisante, augmentez la mémoire virtuelle en conséquence à l’aide d’Admin de Bureau NetBoot. Pour cela, utilisez le tableau de bord Mémoire après avoir redémarré à partir de la copie privée de l’image NetBoot HD. Dans la mesure du possible, suivez les recommandations indiquées pour allouer de la mémoire virtuelle au disque dur local de l’ordinateur client (consultez la section “Facteurs influant sur les performances des clients” à la page 287). NetBoot 289 Résolution des problèmes liés à NetBoot Si un ordinateur client NetBoot ne démarre pas : m Il arrive qu’un ordinateur ne démarre pas immédiatement parce que le réseau est très sollicité par d’autres ordinateurs. Patientez quelques minutes avant d’essayer à nouveau. m Vérifiez que tous les câbles sont branchés correctement et qu’ils assurent l’alimentation de l’ordinateur et du serveur. Pour de plus amples détails, consultez les informations de dépannage livrées avec l’ordinateur client. m Vérifiez que l’une des extrémités du câble Ethernet est branchée sur le port Ethernet de l’ordinateur et que l’autre est reliée à un connecteur Ethernet en état de marche sur un commutateur ou un concentrateur. m Assurez-vous que vous n’avez pas dépassé le nombre maximal d’adresses IP affectées à votre réseau. m Si vous avez installé de la mémoire ou une carte d’extension sur l’ordinateur client, assurez-vous qu’elle est bien installée. m Si le serveur possède plusieurs cartes Ethernet ou si vous utilisez plusieurs ports d’une carte Ethernet multiports, vérifiez si les ordinateurs qui utilisent la même carte ou le même port peuvent démarrer. S’ils ne peuvent pas démarrer non plus, vérifiez que le port Ethernet que vous avez configuré sur le serveur est bien celui auquel l’ordinateur client est connecté. Les ports Ethernet 1 et 4 des cartes multiports sont faciles à confondre. Les ports des cartes préinstallées sur les serveurs Macintosh sont numérotés 4, 3, 2, 1 (de gauche à droite) ; ces indications figurent au dos de l’ordinateur. m Si l’ordinateur concerné possède un disque dur local doté d’un Dossier Système, débranchez le câble Ethernet et essayez de démarrer l’ordinateur à partir du disque dur local. Rebranchez ensuite le câble Ethernet et essayez de démarrer l’ordinateur à partir du réseau. Si vous utilisez Gestionnaire Macintosh et qu’un utilisateur ne parvient pas à se connecter à un client NetBoot : m Vérifiez si l’utilisateur peut se connecter aux autres ordinateurs. Si c’est le cas, il est probable que l’ordinateur auquel l’utilisateur n’arrive pas à se connecter soit relié à un serveur Gestionnaire Macintosh sur lequel l’utilisateur ne possède pas de compte. S’il existe plusieurs serveurs Gestionnaire Macintosh, assurez-vous que l’utilisateur a bien sélectionné celui qui correspond à son compte. m Ouvrez Gestionnaire Macintosh et assurez-vous que l’utilisateur est membre d’au moins un groupe de travail. m Ouvrez Gestionnaire Macintosh et réinitialisez le mot de passe de l’utilisateur. 290 Chapitre 11 C H A P I T R E 12 Services de réseau 12 Présentation des services de réseau Les services de réseau contrôlent les communications Internet sur un réseau TCP/IP. Le Mac OS X Server comprend les services de réseau suivants : m Service d’agent de répertoire SLP m Service DHCP m Service DNS m Service de filtres IP Les services de réseau vous permettent d’administrer les adresses IP de votre entreprise, d’organiser les ressources du réseau, de gérer les noms de domaine et de configurer les filtres IP pour empêcher les connexions Internet indésirables. Si la taille de votre réseau est relativement importante, les services de réseau vous seront probablement très utiles. Ce chapitre comprend une section pour chacun des quatre services de réseau proposés avec Mac OS X Server. Dans chaque section, vous trouverez les informations qui vous aideront à mieux comprendre le fonctionnement du service, ses caractéristiques et sa première installation. Ces informations sont accompagnées d’illustrations des principaux panneaux de réglages et de commentaires relatifs aux options de ces panneaux. La plupart des sections incluent également des informations destinées aux administrateurs réseau plus expérimentés ainsi que les endroits où trouver des informations complémentaires. 291 Service d’agent de répertoire SLP Le service d’agent de répertoire SLP propose une structure pour les services (ou ressources) disponibles sur un réseau et permet aux utilisateurs d’y accéder facilement. Tout ce qui est accessible à l’aide d’une adresse URL, notamment les serveurs de fichiers, serveurs WebDAV, serveurs NFS, imprimantes et serveurs web personnels, peut constituer un service de réseau. Lorsqu’un service est ajouté à votre réseau, il utilise le protocole SLP pour “s’inscrire” ou pour signaler sa présence et identifier le service proposé sur le réseau. Il n’est pas nécessaire de le configurer manuellement. Lorsqu’un ordinateur client a besoin de localiser un service de réseau, il utilise ce protocole pour rechercher les services correspondants à ce type. Tous les services référencés qui correspondent à la requête de l’ordinateur client sont affichés pour l’utilisateur, qui pourra ensuite opter pour l’un d’eux. L’agent de répertoire SLP constitue une version améliorée du protocole SLP original, qui stocke les services de réseau référencés dans un entrepôt central. Vous pouvez configurer un agent de répertoire afin qu’il effectue le suivi des services d’une ou plusieurs étendues (groupes de services). Lorsqu’un ordinateur client recherche des services de réseau, l’agent de répertoire de l’étendue dans laquelle il se trouve lui renvoie une liste des services disponibles. Étant donné qu’un ordinateur client a besoin de rechercher des services uniquement au niveau local, le trafic du réseau est maintenu au minimum et les utilisateurs peuvent se connecter aux services de réseau plus rapidement. À qui s’adresse le service d’agent de répertoire SLP (“SLP DA”) ? Le service SLP envoie normalement des requêtes à l’ensemble des services SLP sur un réseau, ce qui risque d’accroître considérablement le trafic sur le réseau. Si votre réseau est important, les communications SLP peuvent ralentir ses performances et augmenter la durée d’attente des utilisateurs qui essayent de localiser les services de réseau. Vous pouvez améliorer les performances SLP en configurant le service SLP DA. Vous pouvez également envisager de définir plusieurs agent de répertoire, afin que les ordinateurs clients puissent contacter l’agent de répertoire le plus proche et que les services puissent être référencés avec plusieurs agents. Avant d’installer le service SLP DA Avant l’installation d’un service d’agent de répertoire SLP, lisez cette section pour en apprendre plus sur la définition d’étendues et vous assurer de la compatibilité du client et du routeur. 292 Chapitre 12 Définition d’étendues Pour définir des étendues, vous devez déterminer le mode d’organisation des ordinateurs sur votre réseau. Une étendue peut être constituée soit par un regroupement logique d’ordinateurs, par exemple l’ensemble des ordinateurs utilisés par le département de production, soit par un regroupement physique, tel que l’ensemble des ordinateurs situés au premier étage. Vous pouvez définir une étendue en tant que simple partie ou en tant qu’ensemble de votre réseau. Même si vous n’envisagez pas de diviser votre réseau en étendues, vous aurez toujours besoin d’au moins une étendue pour utiliser le service d’agent de répertoire SLP. Compatibilité entre client et routeur Vos ordinateurs clients doivent utiliser un Mac OS 9.1 ou version ultérieure pour utiliser le service d’agent de répertoire SLP. Les versions de SLP sur Mac OS 9.0 continueront d’utiliser l’adressage multidiffusion. Si votre réseau utilise des routeurs qui ne gèrent pas la multidiffusion IP, vous devrez les mettre à jour ou installer la tunnellisation . Consultez la documentation fournie avec vos routeurs pour obtenir des informations sur la tunnellisation. Première installation du service d’agent de répertoire SLP Pour une première installation du service d’agent de répertoire SLP, respectez la procédure suivante. Si vous souhaitez obtenir des détails sur la réalisation d’une de ces tâches, consultez l’Aide qui s’affiche à l’écran. Étape 1 : Configurez les réglages de consignation Vous pouvez consigner des évènements pour faciliter le contrôle de l’activité SLP DA. En cas de problèmes, ou si vous désirez améliorer les performances du service, les entrées de l’historique peuvent fournir des informations importantes permettant d’émettre un diagnostic. Les erreurs du service SLP DA sont consignées automatiquement, mais vous pouvez configurer le service pour qu’il consigne également d’autres types d’événements. Pour configurer les réglages de consignation, cliquez sur l’onglet Réseau, puis sur Service SLP et choisissez Configurer SLP DA. Choisissez ensuite les réglages souhaités. Vous trouverez des informations complémentaires sur les réglages dans la section “Réglages du service SLP DA” à la page 295. Services de réseau 293 Étape 2 : Créez des étendues pour votre réseau Pour créer des étendues, cliquez sur Service SLP et choisissez Afficher les services référencés. La fenêtre des services référencés apparaît. Cliquez sur Nouvelle étendue et tapez un nom pour celle que vous êtes en train de créer, dans la zone de dialogue Ajouter étendue, indiquée ci-dessous. Le service SLP DA convertit ce nom au format adéquat et l’ajoute à la liste de la fenêtre des services référencés. 294 Chapitre 12 Étape 3 : Affectez des services de réseau à chaque étendue Après avoir créé une étendue, vous pouvez affecter des services de réseau à cette dernière. Dans la fenêtre des services référencés, cliquez sur Nouveau service. Dans la zone de dialogue Ajouter service proxy (indiquée ci-dessous), vous pouvez choisir une étendue et y ajouter le service souhaité. Pour plus de détails sur la zone de dialogue Ajouter service proxy, consultez “Réglages des services référencés” à la page 297. Étape 4 : Lancez le service SLP DA Pour démarrer le service d’agent de répertoire SLP, cliquez sur Service SLP et choisissez Démarrer SLP DA. Quand ce service est activé, un globe apparaît sur l’icône du service. Étant donné que les services disponibles sur le réseau s’inscrivent avec l’agent de répertoire , ils apparaîtront dans la fenêtre des services référencés sous l’étendue correspondante. Réglages du service SLP DA Configuration des réglages SLP DA La fenêtre Configurer SLP vous permet de choisir les réglages de consignation du service SLP DA. Pour accéder à cette fenêtre, cliquez sur l’onglet Réseau, puis sur Service SLP et choisissez Configurer SLP DA. Services de réseau 295 Inscriptions et résiliations Sélectionnez cette option si vous souhaitez consigner les inscriptions et les résiliations de services. Les services se réinscrivent de manière périodique et vous pouvez également les référencer manuellement. Si un service n’a pas été activé au bout d’un certain temps, il est résilié. Termes Sélectionnez cette option si vous souhaitez consigner uniquement la résiliation des services. Une fois activée, cette option réduit le nombre d’entrées d’historique créées. Requêtes de services Sélectionnez cette option si vous souhaitez consigner chaque requête de service sur le réseau effectuée par un ordinateur client. Les requêtes de service étant fréquentes sur un réseau, le fait de sélectionner cette option pourra générer un grand nombre d’entrées d’historique. Requêtes d’agent de répertoire Sélectionnez cette option si vous souhaitez consigner toutes les requêtes d’informations sur l’agent de répertoire de la part des ordinateurs clients. Cette option pourra également générer un grand nombre d’entrées d’historique. 296 Chapitre 12 Réglages des services référencés La fenêtre des services référencés vous permet de visualiser les étendues et services référencés ainsi que de créer et gérer des étendues et services. En haut de la fenêtre sont affichés le nom d’hôte et l’adresse IP du Mac OS X Server auquel vous êtes connecté, le nombre de services en cours et le nombre total de services référencés. Pour accéder à la fenêtre des services référencés, cliquez sur Service SLP et choisissez Afficher les services référencés. La liste affiche l’ensemble des étendues définies sur ce serveur. Cliquez sur le triangle situé à côté d’une étendue pour voir les services qui y sont référencés. Afficher Choisissez les types de services que vous souhaitez voir apparaître dans le menu local Afficher. Vous pouvez sélectionner Tous les services ou choisir parmi les autres types de services disponibles. Supprimer Sélectionnez une étendue ou un service dans la liste et cliquez sur Supprimer pour résilier un service ou éliminer une étendue. La résiliation d’un service non local pourra n’être que temporaire si celui-ci se réinscrit automatiquement avec l’agent de répertoire. Nouvelle étendue Cliquez sur Nouvelle étendue pour créer une nouvelle étendue. Services de réseau 297 Nouveau service Cliquez sur Nouveau service pour inscrire un service avec SLP DA et l’affecter à l’étendue sélectionnée. La zone de dialogue Ajouter service proxy s’affiche en bas. Étendue Choisissez l’étendue à laquelle vous souhaitez ajouter un service. URL Tapez l’URL du service. Liste d’attributs Tapez les informations relatives au service dans ce champ. Les attributs sont des propriétés qui décrivent le service, telles que le nom de celui-ci, le nombre de pages qui peuvent être imprimées à la minute, etc. Ce champ est facultatif et si vous ne connaissez pas le format correct à utiliser, vous ne devez rien y saisir. Pour plus de détails sur les attributs, consultez la section “Utilisation de la liste d’attributs” à la page 299. Trucs et astuces pour utiliser le service SLP DA Si vous êtes un administrateur avancé, il est préférable de prendre connaissance et d’utiliser certaines caractéristiques supplémentaires du service SLP DA. Travailler à l’aide d’historiques Les entrées d’historiques du service SLP DA sont stockées dans l’historique du système. Pour accéder à l’historique du système, cliquez sur l’onglet Général d’Admin Serveur, puis sur Visualiseur d’historique et choisissez Logiciel système. Dans le menu local, choisissez Historique du système. Cet historique pouvant comprendre des centaines d’entrées, effectuez la recherche en indiquant “slpd” pour obtenir les événements du service SLP DA. 298 Chapitre 12 Lorsque vous configurez la consignation, vous choisissez les types d’événements que vous souhaitez consigner. Le tableau ci-dessous présente la chaîne d’erreurs associée à chaque type d’événement consigné dans l’historique. Chaînes d’erreur Événement du service SLP DA REG Inscriptions et résiliations EXP Termes (services ayant été résiliés) SR Requêtes de services DA Requêtes d’agent de répertoire ERR Erreurs du protocole SLP Consignation des messages de débogage En plus des options de consignation décrites auparavant dans ce chapitre, vous pouvez choisir de consigner tous les événements, y compris les messages de débogage. Cette fonction est utile pour les administrateurs de système avancés. Pour consigner les messages de débogage, maintenez la touche Option enfoncée et cliquez sur Service SLP, puis choisissez Configurer SLP DA. Vous disposerez de l’option Tous les messages dans la fenêtre Configurer SLP. Utilisation de la liste d’attributs Les services peuvent signaler leur présence sur le réseau accompagnés d’une liste d’attributs. Ces attributs sont répertoriés sous forme codée qui respecte un format spécifique. Les agents de répertoire utilisent la liste d’attributs pour faciliter la correspondance entre les requêtes des clients et les services appropriés. Voici l’exemple d’une liste d’attributs correspondant à l’imprimante réseau appelée Amazon. Il s’agit d’une imprimante LPR située dans l’étendue Recherche. La liste d’attributs saisie par l’administrateur pourra avoir cet aspect : (Name=Amazon),(Description=For research dept only),(Protocol=LPR), (location-description=bldg 6),(media-size=na-letter),(resolution=res-600),x-OK Services de réseau 299 Si vous créez une liste d’attributs pour un service, l’agent de répertoire doit l’examiner lorsqu’il recherche des services. Par conséquent, si vous créez une liste d’attributs dont le format est incorrect, vous pourriez par inadvertance empêcher l’agent de répertoire d’utiliser un service. Service DHCP Le service DHCP vous permet d’administrer et de distribuer des adresses IP aux ordinateurs clients à partir de votre serveur. Lors de la configuration du serveur DHCP, vous affectez un bloc d’adresses IP qui peuvent être mises à la disposition des clients. À chaque fois qu’un ordinateur client démarre, il recherche un serveur DHCP (vous pouvez en avoir plusieurs sur votre réseau), puis il sollicite une adresse IP auprès du serveur DHCP qu’il a trouvé. Le serveur DHCP recherche une adresse IP disponible et l’envoie à l’ordinateur client en indiquant une “période de bail” (durée pendant laquelle l’ordinateur client pourra utiliser cette adresse) et les informations relatives à la configuration. Vous pouvez utiliser le module DHCP d’Admin Serveur pour m configurer et administrer le service DHCP m créer et administrer des sous-réseaux m configurer des options DNS et NetInfo pour les ordinateurs clients m visualiser les ordinateurs clients DHCP et NetBoot À qui s’adresse le service DHCP ? Si le nombre de clients de votre société est supérieur au nombre d’adresses IP, le service DHCP vous sera utile. Les adresses IP sont affectées en fonction de la demande et lorsqu’elles ne sont pas utilisées, elles sont mises à disposition des autres clients. Si nécessaire, vous pouvez utiliser une combinaison d’adresses IP statiques et dynamiques pour votre réseau. Pour plus de détails sur l’allocation statique et dynamique d’adresses IP, lisez la section suivante. Les plus grandes entreprises peuvent également bénéficier de certaines des autres fonctions fournies par le service DHCP, comme par exemple la possibilité de définir des options DNS et NetInfo pour les ordinateurs clients. Si votre réseau est peu important et que vous disposez de suffisamment d’adresses IP pour chacun de vos clients, vous n’aurez pas forcément besoin d’utiliser le service DHCP. Vous pouvez utiliser l’une des méthodes décrites dans la suite de ce chapitre pour affecter des adresses IP statiques à tous les clients de votre réseau. 300 Chapitre 12 Avant d’installer le service DHCP Avant d’installer le service DHCP, lisez cette section pour obtenir des informations sur la création de sous-réseaux et l’affectation d’adresses IP statiques et dynamiques, pour savoir comment localiser votre serveur sur le réseau, et pour éviter les adresses IP réservées. Création de sous-réseaux Les sous-réseaux sont constitués par des groupements d’ordinateurs clients sur un même réseau afin de faciliter leur administration. Vous pouvez organiser des sous-réseaux à votre convenance. Par exemple, vous pouvez créer des sous-réseaux pour différents groupes au sein d’une organisation, ou en fonction des différents étages d’un bâtiment. Une fois que vous avez regroupé les ordinateurs clients en sous-réseaux, vous pouvez configurer des options pour tous les ordinateurs d’un sous-réseau en une seule fois plutôt que de définir des options pour chaque ordinateur client individuellement. Répartition dynamique d’adresses IP La répartition dynamique permet d’attribuer une adresse IP pour une durée déterminée (la “période de bail”) ou jusqu’à ce que l’ordinateur client n’en ait plus besoin, quel que soit leur ordre. En utilisant des périodes de bail très courtes, le service DHCP peut reconfigurer de manière dynamique les réseaux qui comportent plus d’ordinateurs que d’adresses IP disponibles. Utilisation d’adresses IP statiques Les adresses IP statiques sont attribuées à un ordinateur ou à un dispositif une seule fois et ne font par la suite l’objet d’aucune modification. Vous pouvez avoir besoin d’affecter des adresses IP statiques aux ordinateurs qui doivent assurer une présence continue sur Internet, tels que les serveurs web. Les adresses IP statiques peuvent également être utiles pour d’autres appareils qui doivent être disponibles aux utilisateurs du réseau sur le moment, tels que les imprimantes. Admin Serveur ne permet pas de configurer le “bootp daemon” pour affecter des adresses IP statiques à l’aide du protocole bootp (constituant la base du DHCP) Pour utiliser ce protocole, vous pouvez utiliser l’application Gestionnaire NetInfo de Mac OS X afin de créer les propriétés adéquates dans la base de données NetInfo locale. Pour localiser le serveur DHCP Lorsqu’un ordinateur client recherche un serveur DHCP, un message est diffusé. Si votre serveur DHCP se trouve dans un sous-réseau différent de l’ordinateur client, vous devez vérifier que les routeurs qui se connectent à vos sous-réseaux peuvent réexpédier les diffusions du client et les réponses du serveur DHCP. Si vous avez sur votre réseau un programme de relais pouvant transmettre des communications BootP, il fonctionnera aussi pour DHCP. Sinon, vous devez placer le serveur DHCP sur le même sous-réseau que vos clients. Services de réseau 301 Affectation d’adresses IP réservées Certaines adresses IP ne peuvent être attribuées à des hôtes individuels. Il s’agit notamment des adresses réservées pour le “loopback” et celles réservées à l’utilisation en multidiffusion. Votre fournisseur d’accès à Internet ne vous affectera pas ces adresses. Si vous essayez de configurer l’utilisation de ce type d’adresses pour le DHCP, le système vous avertira qu’elles ne peuvent être utilisées et vous invitera à taper des adresses valides. Première installation du service DHCP Si vous avez configuré les ports de votre serveur à l’aide d’Assistant réglages lors de l’installation de Mac OS X Server, certaines informations DHCP sont déjà configurées. Pour finir de configurer le service DHCP, vous devrez suivre les instructions indiquées dans cette section. Vous trouverez des informations complémentaires sur les choix de réglages pour chaque étape dans la section suivante, “Réglages du service DHCP”. Étape 1 : Création de sous-réseaux Dans Admin Serveur, cliquez sur l’onglet Réseau, puis sur DHCP/NetBoot et choisissez Configurer DHCP. Si vous avez configuré des ports dans l’Assistant réglages, les informations relatives au port sont indiquées dans la fenêtre Sous-réseaux (la liste des plages d’adresses de sous-réseaux indiquée est extraite de la base de données NetInfo locale de l’hôte ; elle comprend au départ une plage d’adresses de sous-réseaux pour chaque port Ethernet actif ). 302 Chapitre 12 Cliquez sur Nouveau pour créer des sous-réseaux, ou choisissez un sous-réseau existant et cliquez sur Modifier. Dans l’onglet Général de la fenêtre des réglages de sous-réseaux, vous devez définir une plage d’adresses IP pour chaque sous-réseau et spécifier l’adresse du routeur. Si vous n’utilisez pas de routeur sur votre réseau, entrez l’adresse IP de votre serveur dans le Routeur. Lorsque vous cliquez sur Activer DHCP, vous pouvez choisir une période de bail pour l’adresse IP. Cliquez sur les onglets DNS et NetInfo pour définir les options de vos ordinateurs clients. Les réglages par défaut du serveur apparaissent le cas échéant dans chaque panneau. Le fait de configurer les options de ces panneaux constitue un point de départ pour les ordinateurs clients lorsque le service DHCP est activé. Étape 2 : Définition des historiques pour le service DHCP Vous pouvez consigner l’activité et les erreurs de DHCP afin de contrôler les requêtes et d’identifier les problèmes sur votre serveur plus aisément. Le service DHCP enregistre des messages de diagnostic dans le fichier historique du système. Pour éviter que ce fichier devienne trop volumineux, vous pouvez supprimer la plupart des messages en sélectionnant “des erreurs graves seulement (modéré)” dans l’onglet Consignation de la fenêtre Configurer DHCP. Services de réseau 303 Étape 3 : Démarrage du service DHCP Cliquez sur DHCP/NetBoot et choisissez Démarrer DHCP. Si le démarrage du serveur s’effectue correctement, l’élément de menu devient Arrêter DHCP et un globe apparaît sur l’icône DHCP/NetBoot. Réglages du service DHCP Pour accéder aux réglages DHCP, cliquez sur l’onglet Réseau d’Admin Serveur, puis sur DHCP/NetBoot et choisissez Configurer DHCP. La fenêtre Configurer DHCP comporte deux onglets : Sous-réseaux et Consignation. Réglages de consignation Pour accéder aux réglages de consignation, cliquez sur l’onglet Consignation dans la fenêtre de configuration de DHCP. Consigner toute l’activité (maximal) Les avertissements peuvent vous signaler des conditions dans lesquelles des données sont incohérentes, mais qui n’empêchent pas le serveur DHCP de fonctionner. Consigner les erreurs graves seulement (modéré) Les erreurs graves signalent les situations pour lesquelles il est nécessaire d’envisager des mesures immédiates (si, par exemple, le serveur DHCP ne peut démarrer). 304 Chapitre 12 Réglages des sous-réseaux Pour accéder aux réglages de sous-réseaux, cliquez sur l’onglet Sous-réseaux dans la fenêtre de configuration de DHCP. Cliquez sur Nouveau ou sélectionnez un sou-réseau dans la liste et cliquez sur Modifier pour accéder à la fenêtre des réglages de sous-réseaux, qui comporte trois onglets : Général, NetInfo et DNS. Vous trouverez une description des réglages de chacune des trois fenêtres dans les sections suivantes. Services de réseau 305 Réglages généraux de sous-réseaux L’onglet Général de la fenêtre des réglages de sous-réseaux vous permet de définir des options d’ordre général pour le sous-réseau, par exemple le type de port utilisé et son nom. Nom de sous-réseau Tapez un nom pour le sous-réseau. Vous devez choisir un nom qui vous permette de vous souvenir de l’objectif du sous-réseau, comme par exemple Labo allemand ou 5ème étage. Port Choisissez un port pour ce sous-réseau dans le menu local. Le menu indique le nombre d’interfaces réseau qui sont installées sur votre serveur. Début et fin Tapez les adresses IP souhaitées pour constituer le début et la fin de cette plage d’adresses de sous-réseau. Vous pouvez définir un deuxième bloc d’adresses pour ce sous-réseau en créant une nouvelle plage d’adresses de sous-réseaux. Si des plages multiples sont affectées à un sous-réseau, celles-ci ne peuvent se chevaucher. Masque de sous-réseau Entrez le masque de sous-réseau de cette plage d’adresses IP. Cliquez sur Valeurs par défaut pour que le serveur DHCP en définisse un automatiquement. 306 Chapitre 12 Routeur La plage d’adresse d’un port est définie dans les Préférences réseau du serveur. Si le sousréseau utilise un autre port pour les communications extérieures au sous-réseau, vous devez taper l’adresse du routeur. Activer DHCP Cliquez sur Activer DHCP si vous souhaitez que les clients de ce sous-réseau utilisent DHCP pour contacter des services. Les ordinateurs clients reçoivent une adresse IP quelconque disponible lorsqu’ils démarrent. Délai de bail Tapez un chiffre dans cette fenêtre et choisissez une valeur dans le menu local pour limiter la durée pendant laquelle l’ordinateur client peut utiliser une adresse IP. Lorsque le bail arrivera à la moitié de son terme, cette durée sera renégociée si l’adresse est toujours utilisée. Valeurs par défaut Cliquez sur ce bouton pour appliquer au port la plage d’adresses de sous-réseau par défaut. Cette plage comprend toutes les adresses valides correspondant au port, d’après l’adresse IP et le masque de sous-réseau de celui-ci. Réglages DNS de sous-réseaux Le panneau DNS de la fenêtre des réglages de sous-réseaux vous permet de spécifier les informations DNS qui seront fournies aux ordinateurs clients d’un sous-réseau. Services de réseau 307 Domaine par défaut Tapez le nom de domaine associé à ce sous-réseau. Serveurs DNS Entrez les adresses IP des serveurs qui fourniront les informations DNS aux ordinateurs clients du sous-réseau. Vous devez choisir dans la liste au moins deux serveurs DNS afin de garantir que les services de réseau ne seront pas interrompus en cas d’indisponibilité d’un des serveurs. Vous pouvez en indiquer trois au maximum. Valeurs par défaut Si vous cliquez sur ce bouton, le service DHCP obtient des informations à partir d’une recherche DNS procurant le nom de domaine et les serveurs DNS par défaut. Réglages NetInfo de sous-réseaux Le panneau NetInfo vous permet de “lier” les ordinateurs clients d’un sous-réseau à une base de données ou à un domaine NetInfo spécifiques. Pour plus de détails sur le service NetInfo, consultez le chapitre 2, intitulé “Services de répertoire”. Balise NetInfo Tapez le nom du domaine NetInfo que ce sous-réseau devra contacter pour obtenir des informations. Le nom de la base de données est une balise qui se présente sous forme de chaîne de texte ; par exemple, “réseau”. 308 Chapitre 12 Parents NetInfo Entrez une adresse IP pour chacun des serveurs auquel vous souhaitez lier ce sous-réseau. Le lien avec un serveur parent s’avère utile si vous souhaitez permettre à des utilisateurs clients de se connecter à partir d’endroits différents tout en ayant accès aux mêmes informations. Vous pouvez avoir plusieurs parents pour chaque sous-réseau. Valeurs par défaut Cliquez sur ce bouton pour utiliser les valeurs par défaut du serveur. Trucs et astuces pour l’utilisation du service DHCP Le service DHCP fournit quelques outils très utiles pour le contrôle des ordinateurs clients DHCP et NetBoot. Vous pouvez examiner les listes de clients DHCP et NetBoot, et également consulter le fichier historique du système pour voir s’il contient des erreurs DHCP. Visualisation de listes de clients DHCP et NetBoot Les listes des clients DHCP et NetBoot affichent à un moment déterminé des instantanés des clients dans la base de données. Les listes sont mises à jour toutes les cinq minutes, mais vous pouvez également cliquer sur Rafraîchir pour les actualiser manuellement. Dans les deux listes, vous pouvez changer les critères de tri en cliquant sur les intitulés de colonne. La fenêtre Client DHCP donne les informations suivantes pour chaque client : m L’adresse IP fournie au client. Les adresses refusées sont indiquées avec la mention “Refusée” dans la colonne de gauche intitulée “Heure”. m Le nombre de jours avant échéance du bail, jusqu’à ce que celle-ci soit inférieure à 24 heures ; et ensuite le nombre d’heures et de minutes m L’identifiant du client DHCP. Il correspond en général, mais pas systématiquement, à l’adresse matérielle. m Le nom de l’ordinateur m L’adresse du matériel La fenêtre Clients NetBoot donne les informations suivantes pour chaque client : m Le chemin vers l’image du disque de démarrage utilisé par le client m L’adresse Ethernet du client (à partir du panneau de contrôle TCP/IP) m La version du logiciel système et le type de CPU Visualisation des entrées historiques du service DHCP Les événements DHCP sont consignés dans l’historique du système. Pour le consulter, cliquez sur l’onglet Général d’Admin Serveur, puis sur Visualiseur d’historique et choisissez Logiciel système. Dans le menu local, choisissez Historique du système. Les entrées DHCP sont précédées de “bootpd”. Services de réseau 309 Service DNS Lorsque vos clients veulent se connecter à une ressource du réseau telle qu’un serveur Web ou un serveur de fichier, il peuvent le faire par le nom du domaine (par exemple, www.exemple.com) plutôt que par l’adresse IP (par exemple 192.168.12.12). Le service DNS est une base de données distribuée qui associe les adresses IP à des noms de domaines, afin que vos clients puissent trouver les ressources demandées. Un serveur DNS met à jour une liste des noms de domaine et des adresses IP associées à chaque nom. Lorsqu’un ordinateur a besoin de l’adresse IP correspondant à un nom, il envoie un message au serveur DNS (également appelé serveur de noms). Le serveur de noms cherche l’adresse IP et la renvoie à l’ordinateur. Si le serveur de noms ne trouve pas l’adresse IP en local, il envoie des messages à d’autres serveurs de noms sur Internet pour l’obtenir. Mac OS X Server utilise BIND (Berkeley Internet Name Domain) pour l’implémentation de protocoles DNS. BIND est une mise en oeuvre de logiciel libre et est utilisé par la majorité des serveurs de noms sur Internet. À qui s’adresse le service DNS ? Si votre fournisseur d’accès à Internet ne gère pas le service DNS sur votre réseau et que vous entrez dans l’un des cas de figure suivants, vous devez installer un service DNS : m Vous disposez d’un serveur de messagerie sur votre réseau. m Vous souhaitez créer des sous-domaines dans votre domaine primaire. Avant d’installer le service DNS Lisez cette section pour envisager l’utilisation du service DNS sur votre réseau. Une connaissance approfondie du DNS est également souhaitable avant d’essayer de configurer votre propre serveur DNS. . La troisième édition de l’ouvrage DNS and BIND de Paul Albitz et Cricket Liu (chez O’Reilly and Associates, 2001) constitue une bonne source d’informations sur le sujet. Définition de plusieurs serveurs de noms Il est conseillé de configurer au moins un serveur de noms primaire et un serveur de noms secondaire. De cette manière, le serveur de noms secondaire peut prendre la relève au cas où le serveur de noms primaire s’arrête subitement. Les informations du serveur secondaire proviennent du serveur primaire, moyennant transfert périodique de toutes les informations à partir de ce dernier. 310 Chapitre 12 Normalement, les serveurs DNS d’un domaine stockent dans un cache les informations DNS des autres serveurs, ce qui permet aussi d’assurer la disponibilité des services DNS. Les informations DNS sont généralement stockées dans le cache pour une durée déterminée, appelée valeur TTL (Time-To-Live). Lorsqu’une paire nom de domaine/adresse IP se trouve dans la mémoire cache depuis plus longtemps que la valeur TTL spécifiée, l’entrée est supprimée du cache du serveur de noms (mais elle est maintenue dans le serveur DNS primaire). Première installation du service DNS Si vous utilisez un serveur de noms DNS externe et que vous avez saisi son adresse IP dans l’Assistant réglages, l’installation est déjà effectuée. Si vous installez votre propre serveur DNS, suivez la procédure indiquée dans cette section. Étape 1 : Inscription de votre nom de domaine L’inscription de noms de domaine est gérée par un organisme central appelé InterNIC. InterNIC vérifie que les noms de domaines sont uniques sur Internet. (pour plus de détails, consultez le site www.internic.net). Si vous n’inscrivez pas votre nom de domaine, votre réseau ne pourra pas communiquer sur Internet. Une fois que vous avez inscrit un nom de domaine, vous pouvez créer des sous-domaines dans ce domaine, à condition de définir un serveur DNS sur votre réseau afin d’effectuer le suivi des noms de sous-domaine et des adresses IP. Par exemple, Apple se trouve dans le domaine “.com” et possède les sous-domaines “corp” (corp.apple.com) et “austin” (austin.apple.com). Le serveur DNS d’Apple effectue le suivi des informations de ses sous-domaines, comme les noms d’hôte (ou d’ordinateur), les adresses IP statiques, les alias et les échangeurs de courrier . Étape 2 : Configuration de BIND BIND est le nom du programme qui met en oeuvre DNS. On l’appelle également “name daemon” ou “named”, lorsque le programme est en cours. Pour installer et configurer BIND, vous devez modifier le fichier de configuration et le fichier de zone. Le fichier de configuration se trouve dans le répertoire suivant : /etc/named.conf Le nom du fichier de zone est basé sur l’adresse IP du serveur et commence par “db.” Par exemple, le fichier de zone db.192.168.12.1 se trouvera dans le répertoire suivant : /var/named/db.192.168.12.1 Services de réseau 311 Étape 3 : Configuration d’un enregistrement MX (Mail Exchange) (optionnel). Si vous proposez un service de courrier sur Internet, vous devez configurer un enregistrement MX pour votre serveur. Pour plus de détails à ce sujet, lisez la section suivante. Étape 4 : Démarrage du service DNS Pour lancer le service DNS, cliquez sur l’onglet Réseau d’Admin Serveur, puis sur Service DNS, et choisissez Démarrer DNS. Un globe apparaît sur l’icône DNS lorsque le service est en fonction, et le premier élément de menu devient Arrêter DNS. Trucs et astuces pour utiliser le service DNS Utilisation conjointe des services DNS et de courrier Si vous envisagez de proposer un service de courrier sur votre réseau, vous devez configurer DNS afin que le courrier entrant soit distribué à l’hôte approprié sur votre réseau. Lorsque vous configurez le service de courrier, vous définissez une série d’hôtes, appelés “échangeurs de courrier” ou “hôtes MX”, avec différentes priorités. L’hôte possédant la plus haute priorité recevra le courrier en premier. S’il n’est pas disponible, l’hôte suivant dont la priorité est la plus élevée recevra le courrier etc. Considérons par exemple que le nom d’hôte de votre serveur est “fiable” dans le domaine “exemple.com”. Faute d’enregistrement MX, les adresses de votre utilisateur devront inclure le nom de votre ordinateur serveur de courrier, de la manière suivante : [email protected] Si vous désirez changer votre serveur de courrier ou réexpédier des messages , vous devez communiquer à vos utilisateurs des expéditeurs potentiels d’une nouvelle adresse. Vous avez également la possibilité de créer un enregistrement MX pour chaque domaine que vous souhaitez administrer avec votre serveur de courrier et adresser le courrier à l’ordinateur approprié. Lorsque vous configurez un enregistrement MX, vous devez inclure une liste de tous les ordinateurs susceptibles de recevoir du courrier pour un domaine. Cette liste permet d’envoyer le courrier à un autre ordinateur si votre serveur est occupé ou en panne. Un numéro de priorité est affecté à chaque ordinateur de la liste . Celui dont le numéro est le plus petit est consulté en premier. Si cet ordinateur n’est pas disponible, le système consulte le numéro suivant, etc. Lorsqu’un ordinateur est disponible, il récupère le courrier et l’envoie au serveur de courrier principal une fois qu’il est accessible et celui-ci se charge de la distribution du courrier. Voici un exemple de liste : exemple.com 10 fiable.exemple.com 20 our-backup.exemple.com 30 last-resort.exemple.com 312 Chapitre 12 Les enregistrements MX sont également utilisés pour le courrier sortant. Lorsque votre serveur envoie du courrier, il examine les enregistrements MX pour savoir si la destination est locale ou située sur Internet. Le même processus se répète ensuite en sens inverse. Si le serveur principal de destination n’est pas disponible, votre serveur de courrier essaie de contacter tous les ordinateurs de la liste MX de destination, jusqu’à ce que l’un d’entre eux accepte le courrier. Si vous ne saisissez pas correctement les informations MX dans votre serveur DNS, le service de courrier ne fonctionnera pas. Pour plus de détails sur les enregistrements MX, consultez la liste d’ouvrages à la fin de ce chapitre. Utilisation d’un service DNS avec des adresses IP affectées de manière dynamique Le dynamique DNS est un dispositif qui vous permet de modifier la liste des noms de domaines ou des adresses IP sans ordonner au serveur de noms de recharger la liste modifiée. Cela signifie que vous pouvez actualiser le serveur de noms à distance et modifier les données DNS facilement. Vous pouvez utiliser le DNS dynamique avec le service DHCP. DHCP affecte une adresse IP dynamique à chaque ordinateur client au démarrage. Il est probable que les adresses IP soient affectées de manière aléatoire par un serveur DHCP, c’est pourquoi il peut s’avérer utile de leur attribuer des entrées DNS significatives par la même occasion.. Par exemple, si, quand “Pierre” démarre son ordinateur le matin, le serveur DHCP lui affecte une adresse IP dynamique, une entrée DNS “pierre.exemple.com” peut être associée à cette adresse IP. Même si l’adresse IP de Pierre change à chaque fois qu’il démarre son ordinateur, son nom DNS restera inchangé. Cela permet aux utilisateurs de communiquer avec l’ordinateur de Pierre sans connaître son adresse IP. Vous pouvez également utiliser le DNS dynamique pour fournir des noms d’hôtes statiques pour les utilisateurs qui se connectent à Internet par l’intermédiaire d’un modem. Un fournisseur d’accès à Internet peut configurer le DNS dynamique de sorte qu’un ordinateur d’accueil ait le même nom d’hôte à chaque fois qu’il se connecte. Services de réseau 313 Surveillance du service DNS Vous pouvez utiliser Admin Serveur pour vérifier l’état du service DNS et pour consulter les statistiques de requête de serveur. La fenêtres des statistiques du DNS affichée ici présente les statistiques pour différents types de requêtes. Pour afficher la fenêtre des statistiques du DNS, cliquez sur l’onglet Réseau, puis sur Service DNS et choisissez Statistiques DNS. m Serveur de noms (NS) : sollicite le serveur de noms accrédité pour une zone donnée m Adresse (A) : sollicite l’adresse IP associée à un nom de domaine m Nom canonique (CName) : sollicite le “nom réel” d’un serveur en cas d’introduction d’un “surnom” ou d’un alias. Par exemple, le nom canonique de courrier.apple.com pourrait être “courrierSrv473.apple.com” m Pointeur (PTR) : sollicite le nom de domaine d’une adresse IP donnée (recherche inversée) 314 Chapitre 12 m Échangeur de courrier (MX) : sollicite le nom de l’ordinateur d’une zone donnée utilisée pour le courrier m Source d’autorité (SOA) : sollicite les informations relatives au serveur de noms partagé avec d’autres serveurs du même type et éventuellement l’adresse courrier du contact technique de celui-ci m Texte (TXT): enregistrements sous forme de texte utilisés par l’administrateur Pour afficher la fenêtre d’état du DNS, cliquez sur l’onglet Réseau, puis sur Service DNS et choisissez État DNS. Services de réseau 315 Service de filtres IP En quoi consiste le service de filtres IP? Le service de filtres IP est un pare-feu logiciel qui protège les applications réseau fonctionnant sur votre Mac OS X Server. Lorsque vous activez le service de filtres IP, c’est comme si vous construisiez un mur pour en limiter l’accès. Le service de filtres IP scrute les paquets de données IP entrants et les refuse ou les accepte en fonction de l’ensemble de filtres que vous avez créé. Vous pouvez limiter l’accès à n’importe quel service IP en fonction sur le serveur et personnaliser les filtres pour tous les clients entrants, ou pour une plage d’adresses IP clientes. Les services tels que Web et FTP sont identifiés sur votre serveur par un numéro de port TCP ou UDP. Lorsqu’un ordinateur essaie de se connecter à votre serveur, le service de filtres IP scrute la liste de filtres à la recherche d’un numéro de port correspondant. Si le numéro de port se trouve sur la liste, le filtre appliqué est celui dont la plage d’adresse est la plus spécifique. Si le numéro de port n’est pas dans la liste, le filtre Tout port contenant la plage d’adresse la plus spécifique est utilisé. Le graphique ci-dessous illustre ce processus. Y a-t-il un filtre pour le port 80 ? Oui Un ordinateur Le serveur commence avec l'adresse IP à rechercher les filtres 10.221.41.33 tente de se connecter au serveur via Internet (port 80) Y a-t-il un filtre contenant l'adresse IP 10.221.41.33 ? Non Localise le filtre Tout Port contenant la plus petite plage où se trouve l'adresse 10.221.41.33 Oui Que spécifie le filtre ? Refus Autorisation Connexion réalisée 316 Chapitre 12 Connexion refusée Les filtres de port que vous créez sont appliqués aux paquets TCP et peuvent également être appliqués aux paquets User Datagram Protocol UDP. Vous pouvez par ailleurs configurer des filtres afin de limiter le protocole ICMP, le protocole IGMP et les paquets NetInfo. Lorsque vous installez le service de filtres IP pour la première fois, tous les paquets TCP entrants sont refusés jusqu’à ce que vous changiez les filtres pour autoriser l’accès. Par défaut, toutes les adresses qui ne sont pas affectées de manière spécifique sont refusées. Par conséquent, vous devez créer des filtres si vous souhaitez autoriser l’accès à votre serveur. Si vous désactivez le service de filtres IP, toutes les adresses disposeront d’un accès à votre serveur. Important À qui s’adresse le service de filtres IP ? Si vous envisagez de partager des données sur Internet et que vous ne disposez pas d’un routeur ou d’un pare-feu affecté à la protection de vos données contre tout accès non autorisé, il est conseillé d’utiliser le service de filtres IP. Ce service fonctionne parfaitement dans le cadre des petites et moyennes entreprises, des écoles et des bureaux de petite taille ou à la maison. Les grandes organisations déjà pourvues d’un pare-feu peuvent utiliser le service de filtres IP pour exercer un contrôle encore plus précis sur leurs serveurs. Par exemple, les groupes de travail individuels au sein d’une grande entreprise, ou les écoles appartenant à un groupe scolaire, pourront utiliser le service de filtres IP pour contrôler l’accès à leurs propres serveurs. Avant d’installer le service de filtres IP Lorsque vous démarrez le service de filtres IP, la configuration par défaut refuse l’accès de tous les paquets entrants provenant d’ordinateurs distants. Cette configuration garantit la sécurité au plus haut niveau. Vous pouvez ensuite ajouter de nouveaux filtres IP pour autoriser l’accès du serveur aux clients ayant besoin d’utiliser les services. Tout d’abord, réfléchissez aux services que vous souhaitez proposer sur votre serveur. Les services de courrier, Web et FTP nécessitent généralement l’accès à partir d’ordinateurs sur Internet. Les services de fichiers et d’impression seront très probablement limités à votre sous-réseau local. Une fois que vous avez choisi les services que vous souhaitez protéger en utilisant le service de filtres IP, vous devez m déterminer les adresses IP auxquelles vous souhaitez autoriser l’accès à votre serveur m déterminer les adresses IP auxquelles vous souhaitez refuser l’accès à votre serveur Ensuite, créez les filtres appropriés. Pour savoir comment fonctionnent les filtres d’adresses IP et comment les créer, lisez les sections suivantes. Services de réseau 317 Qu’est-ce qu’un filtre ? Un filtre est constitué d’une adresse IP, d’un masque de sous-réseau, et parfois d’un numéro de port et d’un type d’accès. L’adresse IP et le masque de sous-réseau déterminent la plage d’adresses IP à laquelle s’applique le filtre. Adresse IP Les adresses IP se composent de quatre segments, dont les valeurs sont comprises entre 0 et 255, séparés par des points (par exemple, 192.168.12.12). Les segments des adresses IP vont de général à spécifique (par exemple, le premier segment pourra appartenir à tous les ordinateurs de l’ensemble d’une entreprise, tandis que le dernier segment pourra appartenir à un ordinateur spécifique situé à un étage donné d’un bâtiment). Masque de sous-réseau Le masque de sous-réseau, comme l’adresse IP, est constitué de quatre segments. Un masque sert à indiquer les segments pouvant varier, et dans quelle proportion, dans l’adresse IP spécifiée. Les seules valeurs que vous pouvez utiliser dans un segment de masque de sousréseau sont m 0 m 128 m 192 m 224 m 240 m 248 m 252 m 254 m 255 Les segments d’un masque allant de général à spécifique, plus les segments du masque de sous-réseau contiennent des zéros, plus la plage d’adresses qui en résulte est étendue. Un masque de sous-réseau de 255.255.255.255 est le plus restreint et indique qu’il s’agit d’une adresse IP simple. Aucune des valeurs d’un segment, sauf 255, ne peut être suivie de segments contenant la valeur zéro. Les exemples de masques suivants ne sont pas valides car, dans chacun des cas, une valeur est suivie d’une valeur non nulle : m 255.255.128.255 m 255.0.128.128 m 255.255.252.255 318 Chapitre 12 Utilisation de plages d’adresse Lors de la création de filtres à l’aide d’Admin Serveur, vous entrez une adresse IP et un masque de sous-réseau. Admin Serveur vous indique la plage d’adresse qui en résulte et vous pouvez la changer en modifiant le masque de sous-réseau. Lorsque vous indiquez une plage de valeurs possibles pour un segment d’adresse quelconque, celui-ci est appelé caractère de remplacement. Le tableau ci-dessous donne des exemples de plages d’adresse créées en vue d’objectifs spécifiques. Objectif Échantillon Adresse IP Masque de sous-réseau Plage d’adresse Créer un filtre pour spécifier une adresse IP simple 10.221.41.33 255.255.255.255 10.221.41.33 (adresse simple) Créer un filtre laissant le dernier segment de la plage d’adresse IP comme caractère de remplacement 10.221.41.33 255.255.255.0 10.221.41.0 à 10.221.41.255 Créer un filtre réservant une partie du troisième segment et la totalité du quatrième comme caractère de remplacement 10.221.41.33 255.255.252.0 10.221.40.0 à 10.221.43.255 Sélectionnez “Toutes les adresses IP” Toutes les adresses IP Créer un filtre s’appliquant à toutes les adresses entrantes Services de réseau 319 Priorité d’adresses IP Si vous créez plusieurs filtres pour un même numéro de port, la priorité revient au filtre dont la plage d’adresses est la plus spécifique. Le tableau ci-dessous illustre ce fonctionnement. Si une requête provient d’une adresse comprise dans la plage spécifiée sur la première ligne, l’accès est autorisé. Si ce n’est pas le cas, la deuxième ligne est vérifiée. La dernière ligne, Toute, refuse l’accès. Vous ne pouvez pas définir en même temps Refuser et Autoriser pour une plage d’adresses strictement identique. Port Adresse IP Masque Mode d’accès Résultat 80 ( Web) 10.221.41.33 255.255.255.255 Autoriser L’adresse 10.221.41.33 est autorisée. 80 ( Web) 10.221.41.33 255.255.252.0 Autoriser L’adresse de la plage 10.221.40.0 à 10.221.43.255 est autorisée. Tout Refuser Toutes les adresses sont refusées. 80 ( Web) Adresses IP multiples Un serveur peut gérer plusieurs adresses IP individuelles alors que le service de filtres IP applique un seul ensemble de filtres à toutes les adresses IP du serveur. Si vous créez plusieurs alias d’adresses IP, les filtres que vous créerez s’appliqueront à toutes ces adresses IP. Première installation du service de filtres IP Après avoir déterminé quels filtres vous avez besoin de créer, suivez la procédure ci-après pour l’installation du service de filtres IP. Si vous avez besoin d’aide complémentaire pour réaliser l’une de ces étapes, consultez l’Aide des filtres IP. Étape 1 : Configuration du service de filtres IP Pour configurer le service de filtres IP, cliquez sur l’onglet Réseau d’Admin Serveur. Cliquez ensuite sur Filtre IP et choisissez Configurer le service de filtres IP. Vous pouvez configurer le service de filtres IP afin qu’il consigne les paquets refusés et autorisés, démarre automatiquement, applique des filtres de port TCP à UDP et à d’autres paquets, et installe l’accès à NetInfo. Pour plus de détails sur les réglages, consultez la section “Réglages du service de filtres IP” à la page 321. 320 Chapitre 12 Étape 2 : Ajout des filtres à la liste de filtres IP Consultez la section “Avant d’installer le service de filtres IP” à la page 317 pour toute information sur le fonctionnement et la création des filtres IP. Pour ajouter des filtres, cliquez sur Filtre IP et choisissez Afficher la liste de filtres IP. Cliquez ensuite sur Nouveau et créez un filtre. Pour plus de détails sur la création de nouveaux filtres, consultez la section “Réglages de la fenêtre Filtre IP” à la page 327. Étape 3 : Démarrage du service de filtres IP Cliquez sur Service de filtres IP et choisissez Démarrer le service de filtres IP. Si vous ajoutez ou modifiez un filtre après avoir démarré le service de filtres IP, le nouveau filtre modifiera les connexions déjà établies avec le serveur. Par exemple, si vous refusez tout accès à votre serveur FTP après le démarrage du service de filtres IP, les ordinateurs déjà connectés à votre serveur FTP seront déconnectés. Important Réglages du service de filtres IP Vous utilisez la fenêtre de configuration du service de filtres IP pour effectuer les réglages généraux et pour définir le mode d’application des filtres à NetInfo et à UDP ainsi que la consignation. Pour accéder aux réglages du service de filtres IP, cliquez sur l’onglet Réseau d’Admin Serveur. Cliquez ensuite sur Filtre IP et choisissez Configurer le service de filtres IP. La fenêtre Configurer le service de filtres IP comporte trois onglets : Généraux, NetInfo et Avancés. Vous trouverez une description des réglages de chacun des panneaux dans les sections suivantes. Services de réseau 321 Réglages généraux Utilisez l’onglet Général pour définir le démarrage automatique, configurer la consignation et spécifier la manière dont les notifications sont gérées. Pour accéder à la fenêtre Général, cliquez sur Filtre IP et choisissez Configurer le service de filtres IP. Démarrer le service de filtres IP au démarrage du système Sélectionnez cette option si vous souhaitez que le service de filtres IP soit lancé automatiquement au démarrage du serveur. Une fois activée, cette option assure le fonctionnement du filtrage en cas de coupures de courant ou de fermetures accidentelles. Envoyer notification au client si la connexion est refusée Sélectionnez cette option pour envoyer une réponse aux clients dont les tentatives de connexion sont refusées. Normalement, il est préférable de sélectionner cette option puisqu’elle empêche les clients de surcharger le serveur en réessayant. Cependant, un utilisateur mal intentionné pourrait profiter du réglage de la réponse pour lancer une “attaque pour refus de service” sur votre serveur en le bombardant de messages qui seront refusés et auxquels il devra envoyer une réponse. Consultez la section “Prévention des “attaques pour refus de service”” à la page 331. Important Consigner tous les paquets refusés Sélectionnez cette option pour créer une entrée d’historique pour chaque tentative de connexion refusée par l’un des filtres de votre liste. 322 Chapitre 12 Consigner tous les paquets autorisés Sélectionnez cette option pour créer une entrée d’historique pour chaque connexion autorisée par les filtres de votre liste. Les deux options de consignation peuvent générer un grand nombre d’entrées d’historique, risquant ainsi de surcharger l’espace disque et de dégrader les performances du serveur. Il est préférable d’utiliser l’option “Consigner tous les paquets refusés” uniquement sur de courtes périodes. Important Réglages NetInfo Le panneau NetInfo vous permet d’autoriser ou de refuser l’accès à des domaines partagés NetInfo. Pour accéder à la fenêtre NetInfo, cliquez sur Filtre IP et choisissez Configurer le service de filtres IP. Cliquez ensuite sur l’onglet NetInfo. Lorsque le serveur ne dispose d’aucun domaine partagé NetInfo, le panneau NetInfo n’est pas actif. Lorsque le serveur possède un ou plusieurs domaines partagés NetInfo, choisissez le domaine dans lequel vous allez travailler à partir du menu local “Domaine visible du réseau”. Services de réseau 323 Si le domaine n’a pas été configuré en vue de l’utilisation d’un port spécifique, NetInfo sélectionne de manière dynamique un port compris dans la plage 600 à 1023. Vous devez spécifier les adresses IP qui auront accès à chacun de ces ports. Si le domaine a été configuré en vue de l’utilisation d’un port spécifique, vous pouvez indiquer les adresses IP autorisées sur ce port. L’aide à l’écran vous indique comment configurer un domaine partagé NetInfo en vue de l’utilisation d’un port spécifique. 324 Chapitre 12 tous Sélectionnez cette option pour autoriser l’accès au domaine partagé Netinfo pour toutes les adresses IP. Il est préférable d’utiliser cette option uniquement lorsque votre réseau interne est protègé d’Internet par un pare-feu qui bloque le trafic externe visant les ports utilisés pour NetInfo (111 et 600– 1023 ou un port spécifique configuré pour le domaine). Si vous ne disposez pas d’un pare-feu distinct, la sélection de ce réglage pourrait nuire à la sécurité de votre serveur. restreindre à la liste Sélectionnez cette option pour spécifier les adresses IP disposant d’un accès NetInfo. Entrez une adresse IP dans le champ de texte et appuyez sur la touche retour avant d’en saisir une autre. Pour saisir une plage d’adresses IP, tapez une barre oblique (/) à la fin de l’adresse. For exemple, 192.168.33.3/24 correspond aux plages 192.168.33.0 à 192.168.33.255. Réglages avancés Le panneau Avancé permet de restreindre les ports UDP en utilisant la même liste de filtres que celle appliquée aux ports TCP. Pour accéder à la fenêtre Avancé, cliquez sur Filtre IP et choisissez Configurer le service de filtres IP. Cliquez ensuite sur l’onglet Avancé. Services de réseau 325 Appliquer les filtres de la liste de filtres IP aux ports UDP suivants : Pour appliquer les filtres aux ports UDP, sélectionnez cette option et indiquez une plage de ports UDP ou sélectionnez “tous les ports UDP”. Par défaut, tous les messages UDP sont autorisés. Appliquez des filtres aux ports UDP avec modération. Plusieurs services peuvent utiliser UDP pour communiquer avec le serveur et “rejeter” les filtres susceptibles de provoquer un engorgement du trafic sur le serveur. Consultez la liste des ports UDP dans la section “Ports utilisés par les ordinateurs Mac OS X” à la page 335 avant d’effectuer tout réglage à cet endroit. Vous devriez également créer des filtres “d’autorisation” pour des services spécifiques afin d’empêcher leur engorgement. Les services suivants sont compris : m DNS sur le port 53 m DHCP sur le port 67 m SLP sur le port 427 m Exploration du service de noms Windows sur les ports 137 et 138 m Assistant réseau sur le port 3283 m NFS sur le port 2049 Les ports UDP supérieurs à 1023 étant affectés de manière dynamique par certains services, il est impossible de déterminer à l’avance leurs numéros de ports précis. Pour plus de détails, consultez la section “Ports utilisés par les ordinateurs Mac OS X” à la page 335. Refuser la réponse ICMP echo (“ping”) Sélectionnez cette option si vous ne souhaitez pas répondre aux pings d’autres serveurs d’hôtes. Ping est un outil de gestion de réseau courant basé que le protocole ICMP (Internet Control Message Protocol). Le test Ping permet de déterminer la disponibilité d’un serveur réseau grâce à l’envoi d’une série de paquets circulant entre deux hôtes, et de mesurer la durée moyenne d’un aller et retour ainsi que le pourcentage de perte de calcul. Le fait de ne pas répondre aux pings du réseau permet d’éviter une attaque pour refus de service. Cependant, d’autres services dépendant de l’outil ping de votre serveur seront incapables de détecter sa présence. Refuser le protocole IGMP Sélectionnez cette option si vous ne souhaitez pas gérer la mise en réseau par multidiffusion. IGMP est utilisé par certains hôtes et routeurs pour l’envoi de paquets à des listes d’hôtes. Le Serveur Enchaînement QuickTime utilise l’adressage multidiffusion, tout comme le protocole SLP. Si le protocole IGMP est désactivé, ces types de services ne peuvent fonctionner correctement. 326 Chapitre 12 Réglages de la fenêtre Filtre IP Les filtres IP sont gérés à l’aide de la liste de filtres IP. Pour ouvrir la fenêtre d’un filtre IP, cliquez sur l’un des boutons situés en bas de la fenêtre Liste de filtres IP. Si vous sélectionnez un filtre existant et que vous cliquez sur les boutons Modifier ou Dupliquer, la fenêtre qui apparaît contient les informations actualisées de l’élément sélectionné. Pour plus de détails sur la manipulation de la liste de filtres IP, consultez “Pour travailler avec la liste de filtres IP” à la page 331. Cliquez sur le bouton Nouveau pour créer un filtre IP. Accès Choisissez si ce filtre doit autoriser ou refuser l’accès du serveur pour les adresses IP que vous spécifiez. Services de réseau 327 Numéro de port Choisissez un numéro de port dans le menu local. Si vous souhaitez créer un filtre s’appliquant à tous les ports du serveur, choisissez Tout port. Si vous ne trouver pas le port que vous souhaitez utiliser dans ce menu, tapez le numéro du port dans le champ de texte. Vous trouverez une liste de numéros de ports TCP et UDP dans la section “Ports utilisés par les ordinateurs Mac OS X” à la page 335. Nom du port Si vous avez entré un numéro de port ne correspondant pas à un numéro standard, tapez un nom qui vous permettra d’identifier le mode d’utilisation de ce port. Appliquer à Sélectionnez les adresses IP auxquelles ce filtre s’appliquera. Vous avez le choix entre m toutes les adresses IP m une plage d’adresses IP m une seule adresse IP Adresse IP Entrez l’adresse IP à laquelle vous souhaitez que ce filtre s’applique. Si vous avez choisi “toutes les adresses IP,” ce champ n’est pas disponible. Rechercher adresse IP Cliquez sur ce bouton si vous ne connaissez pas l’adresse IP à laquelle vous souhaitez appliquer un filtre. Tapez le nom d’hôte DNS pour pouvoir trouver son adresse IP. Cliquez sur Appliquer pour entrer l’adresse IP trouvée dans le champ d’adresses IP de la fenêtre Filtre IP. Masque de sous-réseau Entrez le masque de sous-réseau que vous souhaitez appliquer si vous avez sélectionné “une plage d’adresses IP”. Vous pouvez visualiser la plage d’adresses obtenue sous ce champ. Pour plus de détails sur l’utilisation des masques de sous-réseau, consultez la section “Utilisation de plages d’adresse” à la page 319. Utiliser mon sous-réseau Cliquez sur ce bouton pour utiliser la valeur du masque de sous-réseau stockée dans les préférences réseau du serveur. 328 Chapitre 12 Trucs et astuces pour utiliser le service de filtres IP L’action commune des filtres IP que vous avez créés permet d’assurer la sécurité de votre réseau. Les exemples suivants montrent comment utiliser les filtres en fonction de buts spécifiques. Pour bloquer l’accès aux utilisateurs d’Internet Pour autoriser l’accès des utilisateurs de votre sous-réseau au service web de votre serveur, tout en refusant l’accès au public sur Internet : Accès Port Adresse IP Autoriser 80 ( Web) Dans Admin Serveur, choisissez “une plage d’adresses IP” et cliquez sur l’option Utiliser mon sousréseau de la fenêtre Filtre IP. Refuser 80 ( Web) Tout Pour bloquer le courrier publicitaire Pour refuser le courrier électronique provenant d’un expéditeur de courrier commercial dont l’adresse IP est 17.128.100.0 et accepter tout les autres messages électroniques sur Internet : Accès Port Adresse IP Refuser 25 (SMTP) 17.128.100.0 Autoriser 25 (SMTP) Tout Définissez de manière très précise les plages d’adresse des filtres que vous créez pour bloquer les paquets SMTP entrants courrier. Par exemple, si vous définissez un filtre sur le port 25 destiné à refuser le courrier provenant de n’importe quelle adresse, vous empêcherez la distribution du courrier de vos utilisateurs. Important Pour autoriser l’accès au service de fichiers Apple à un client Pour autoriser l’accès d’un client disposant d’une adresse IP de 10.221.41.33 au serveur de fichiers Apple : Accès Port Adresse IP Autoriser 548 (AFP/TCP) 10.221.41.33 Refuser 548 (AFP/TCP) Tout Services de réseau 329 Utilisation d’historiques pour surveiller le service de filtres IP Lors de la configuration du service de filtres IP, vous pouvez choisir de consigner les paquets refusés et autorisés. Le visualiseur d’historique d’Admin Serveur permet d’accéder à tous les historiques du service de Mac OS X Server. Cliquez sur Visualiseur d’historique et choisissez Logiciel système, puis Historique du système, et recherchez les entrées commençant par “ipfw”. Les filtres que vous créez dans Admin Serveur répondent à une ou plusieurs règles du logiciel de filtrage sous-jacent. Les entrées d’historique font apparaître la règle appliquée, les adresses IP du client et du serveur et d’autres types d’informations. Pour plus de détails sur les règles et leur signification, consultez la section “Création de règles de filtres IP via ipfw” à la page 340. Les exemples suivants indiquent des entrées d’historique de filtre IP et la manière de les interpréter. Exemple d’historique nº1 Dec 12 13:08:16 ballch5 mach_kernel: ipfw: 65000 Unreach TCP 10.221.41.33:2190 192.168.12.12:80 in via en0 Cette entrée indique que le service de filtres IP a utilisé la règle 65000 pour refuser (“unreach”) l’accès du serveur 192.168.12.12 sur le port Web 80 via le port Ethernet 0, au client distant situé sur 10.221.41.33:2190. Exemple d’historique nº2 Dec 12 13:20:15 mayalu6 mach_kernel: ipfw: 100 Accept TCP 10.221.41.33:721 192.168.12.12:515 in via en0 Cette entrée indique que le service de filtres IP a utilisé la règle 100 pour autoriser l’accès du serveur 192.168.12.12 sur le port d’impression LPR 515, via le port Ethernet 0, au client distant situé sur 10.221.41.33:721. Exemple d’historique nº3 Dec 12 13:33:15 smithy2 mach_kernel: ipfw: 10 Accept TCP 192.168.12.12:49152 192.168.12.12:660 out via lo0 Cette entrée indique que le service de filtres IP a utilisé la règle 10 pour s’envoyer un paquet sur le port 660 via le périphérique “loopback” 0. 330 Chapitre 12 Prévention des “attaques pour refus de service” Lorsque le serveur reçoit une demande de connexion TCP de la part d’un client à qui l’accès est refusé, il envoie par défaut une réponse stipulant le refus de connexion. Ceci empêche le client refusé de renvoyer la demande à de multiples reprises. Un individu malveillant peut toutefois générer une série de demandes de connexion TCP à partir de l’adresse IP d’un client refusé, ce qui force le serveur à lui répondre continuellement et exclut ainsi les autres utilisateurs qui tentent de se connecter. Il s’agit d’un des types d’attaque pour refus de service. Afin de faciliter la prévention de ces attaques, évitez de sélectionner l’option “Envoyer une notification au client si la connexion est refusée” dans l’onglet Général de la fenêtre Configurer le service de filtres IP. Songez cependant qu’en désactivant cette option certains clients pourront essayer de se connecter de nouveau, ce qui risque de provoquer des encombrements sur le serveur. Sélectionnez cette option uniquement si vous pensez que votre serveur est exposé à ce type d’attaque. Modification de l’état du filtre IP par défaut Le filtre Tout port défini pour Tous constitue le filtre par défaut pour le service de filtres IP. Tous les paquets entrants n’appartenant pas à la plage d’adresse d’un des ports de la liste, ou appartenant à une plage d’adresse du filtre Tout port, seront soit autorisés soit refusés, en fonction de l’accès défini pour Tous. Lorsque vous démarrez le service de filtres IP, le filtre Tout port pour Tous refuse l’accès par défaut, vous empêchant d’attribuer un accès à vos services de façon non intentionnelle. En cas de nécessité, vous pouvez modifier l’option Tout filtre pour autoriser l’accès. Mais réfléchissez bien avant de prendre cette décision. Si vous changez la valeur par défaut en autorisant l’accès, vous devez refuser de manière explicite tout accès à vos services en configurant des filtres de ports spécifiques pour tous les services nécessitant une protection. Pour travailler avec la liste de filtres IP La liste de filtres IP présente l’ensemble des filtres du serveur. Les filtres sont regroupés par numéros de port, qui sont classé dans l’ordre numérique. Les filtres d’un port apparaissent dans leur ordre de priorité, des filtres dont la plage d’adresses IP (ou l’adresse IP unique) est la plus spécifique aux filtres dont la plage d’adresse est la plus étendue (ou Toutes). Après avoir sélectionné un filtre, vous pouvez cliquer sur les boutons Dupliquer ou Modifier pour ouvrir la fenêtre des filtres IP, décrite à la page 327. Services de réseau 331 Le bouton Rechercher constitue un outil puissant qui peut vous aider à détecter les problèmes de filtres et à vérifier la sécurité. Lorsque vous cliquez sur ce bouton, la fenêtre Rechercher un filtre IP s’affiche. Choisissez le critère de recherche que vous souhaitez utiliser à partir des menus locaux. Vous pouvez effectuer votre recherche par port, adresse IP et type d’accès (autorisé ou refusé). Les résultats de votre recherche apparaissent en bas de la fenêtre. Résolution de problèmes à l’aide du service de filtres IP Si vous ne parvenez pas à accéder au serveur via TCP/IP : m Vérifiez les filtres dans la liste de filtres. Si vous avez démarré le service de filtres IP mais que vous n’avez pas ajouté de filtres complémentaires, tous les accès TCP à votre serveur sont refusés par défaut. m Arrêtez le service de filtres IP. Ajoutez de nouveaux filtres à votre liste afin d’autoriser l’accès à des ordinateurs dont vous avez spécifié les adresses IP. Démarrez ensuite le service de filtres IP. Si vous avez des difficultés à situer des filtres spécifiques : m Utilisez le bouton Rechercher dans la fenêtre comportant la liste des filtres IP pour situer des filtres spécifiques par adresse IP, par port ou par type d’accès. 332 Chapitre 12 Si vous souhaitez examiner des paquets refusés : m Activez la consignation des paquets refusés dans la fenêtre Configurer le service de filtres IP. Pour consulter les entrées consignées, cliquez sur l’onglet Général d’Admin Serveur puis sur Visualiseur d’historique. Choisissez Logiciel système, puis Historique du système dans le menu local. Pour plus d’informations sur les services de réseau Les documents RFC (Request for Comments) proposent un aperçu d’un protocole ou d’un service ainsi que des informations détaillées sur le fonctionnement escompté du protocole. Si vous êtes novice en tant qu’administrateur de serveur, certaines informations d’arrièreplan comprises dans les documents RFC vous seront probablement utiles. Si vous êtes un administrateur confirmé, vous pouvez trouver tous les détails pratiques et techniques relatifs à un protocole dans le document RFC correspondant. Vous pouvez rechercher les documents RFC par numéro sur le site web suivant : www.faqs.org/rfcs (en anglais). Consultez le document RFC mentionné pour toute information détaillée sur ce qui suit : m DCHP : RFC 2131 m DNS dynamique : RFC 2136 et RFC 2137 m SLP DA : RFC 2608 m Service de filtres IP : consultez le document RFC 792 pour obtenir des informations sur ICMP. Vous trouverez la documentation relative à IGMP en annexe I du RFC 1112. Les adresses de multidiffusion importantes sont documentées dans le document Assigned Numbers RFC le plus récent, actuellement le document RFC 1700. Pour toute information sur DNS et BIND, consultez : m DNS and BIND, 3ème édition, de Paul Albitz et Cricket Liu (chez O’Reilly and Associates, 1998). m Le site web d’ISC (International Software Consortium), www.isc.org (en anglais). Services de réseau 333 A N N E X E A A Rubriques avancées Cet annexe contient des informations utiles pour les administrateurs de système ou de réseau expérimentés : m La section “Rubriques TCP/IP” ci-dessous, comporte un certain nombre de rubriques, comme les listes des ports TCP et UDP utilisés par les ordinateurs Mac OS X, ainsi que les instructions pour la configuration d’un réseau TCP/IP privé. m “Formats de fichiers pour l’importation ou l’exportation d’utilisateurs et groupes” à la page 343 fournit un exemple de déclaration XML utilisée pour décrire des utilisateurs et groupes dans un fichier. m “Spécification des données LDAP” à la page 351 décrit le format correct des données obtenues de serveurs LDAP ainsi que les étapes nécessaires à la configuration de l’accès à un serveur LDAP. m “Sauvegarde des informations du serveur” à la page 367 fournit des instructions pour la sauvegarde des données NetInfo et des données spécifiques à un service de votre serveur. Rubriques TCP/IP Le lecture de cette section vous fournira des informations utiles pour réaliser une configuration TCP/IP avancée. Ports utilisés par les ordinateurs Mac OS X Le tableau suivant propose les numéros de port TCP et UDP couramment utilisés par les ordinateurs Mac OS X et Mac OS X Server. Ces ports peuvent être utilisés lorsque vous configurez vos filtres IP. 335 Remarque : pour visualiser les documents RFC répertoriés dans ces tableaux, visitez www.faqs.org/rfcs. 336 Annexe A Port TCP Utilisé pour Référence 7 écho RFC 792 20 Données FTP RFC 959 21 Contrôle FTP RFC 959 22 ssh (secure shell) 23 Telnet RFC 854 25 SMTP (courrier) RFC 821 53 DNS RFC 1034 79 Finger RFC 1288 80 HTTP ( Web) RFC 2068 88 Kerberos RFC 1510 110 POP3 (courrier) RFC 1081 111 Appel de procédure à distance (RPC) RFC 1057 113 AUTH RFC 931 115 sftp 119 NNTP (nouvelles) RFC 977 139 Fichiers et impression Windows (SMB) RFC 100 143 IMAP (accès au courrier) RFC 2060 389 LDAP (annuaires) RFC 2251 427 SLP (localisation de services) 443 SSL (HTTPS) 514 shell 515 LPR (impression) 532 netnews RFC 1179 Port TCP Utilisé pour Référence 548 AFP (AppleShare) 554 RTSP, protocole de diffusion en temps réel (QTSS) 600–1023 Services RPC pour Mac OS X (par exemple, NetInfo) 626 Administration IMAP (service de courrier Mac OS X et courrier AppleShare IP 6.x) 660 Admin Serveur 985 NetInfo (lors de la création d’un domaine partagé à l’aide de Config domaine NetInfo) 7070 RTSP, protocole de diffusion en temps réel (QTSS) 8000–8999 Service web 16080 Service Web avec cache performances 2236 Gestionnaire Macintosh 24000–24999 Service Web avec cache performances Port UDP Utilisé pour 7 écho 53 DNS 67 Serveur DHCP (BootP) 68 Client DHCP 69 Protocole de transfert de fichiers TFTP 111 Appel de procédure à distance (RPC) 123 Protocole de synchronisation d’horloge (NTP) 137 Service WINS ( Windows Name Service) 138 Windows Datagram Service 161 Protocole SNMP (Simple Network Management Protocol) 427 SLP (localisation de services) RFC 2326 Référence Rubriques avancées 337 Port UDP Utilisé pour 497 Retrospect 513 who 514 Syslog 554 RTSP, protocole de diffusion en temps réel (QTSS) 600–1023 Services RPC pour Mac OS X (par exemple, NetInfo) 985 NetInfo (lors de la création d’un domaine partagé à l’aide de Config domaine NetInfo) 2049 Service NFS (Network File System) 3283 Apple Network Assistant 6970 et supérieurs QTSS (Serveur Enchaînement QuickTime) 7070 Protocole de diffusion en temps réel alternatif (QTSS) Référence Configuration d’un réseau TCP/IP privé Si vous possédez un réseau local disposant d’une connexion à Internet, vous devez configurer votre serveur et les ordinateurs clients avec des adresses IP et autres informations propres à Internet. Ces adresses IP vous sont attribuées par votre fournisseur d’accès à Internet (FAI). Si vous n’envisagez pas de connecter votre réseau local à Internet et que vous souhaitez utiliser TCP/IP comme protocole de transmission des informations sur votre réseau, vous pouvez configurer un réseau TCP/IP “privé”. Lorsque vous configurez un réseau privé, vous devez choisir vos adresses IP parmi les blocs d’adresses réservés par l’IANA (Internet Assigned Numbers Authority) aux réseaux privés (Intranets) : m 10.0.0.0 à –10.255.255.255 (préfixe 10/8) m 172.16.0.0 à –172.31.255.255 (préfixe 172.16/12) m 192.168.0.0–192.168.255.255 (préfixe 192.168/16) Si vous envisagez de vous connecter plus tard à Internet, vous devez vous inscrire sur un registre Internet et configurer votre réseau privé à l’aide des adresses IP fournies par ce registre. Sinon, vous devrez reconfigurer chaque ordinateur de votre réseau. Important Lorsque vous configurez un réseau TCP/IP privé, vous pouvez également fournir le service DNS. Grâce à TCP/IP et DNS, les utilisateurs de votre réseau privé pourront accéder aisément aux services de fichiers, Web, courrier et autres disponibles sur votre réseau. 338 Annexe A Configuration de plusieurs adresses IP sur un port Lorsque vous configurez votre serveur pour la première fois, l’Assistant réglages vous permet de configurer une adresse IP pour chaque port Ethernet disponible sur le serveur. Dans certains cas, vous pouvez décider de configurer plusieurs adresses IP sur un port particulier. Par exemple, si vous utilisez le serveur pour héberger plusieurs sites Web, il s’avère utile d’accepter des requêtes provenant de noms de domaines différents (URL) sur le même port. Pour cela, vous devez établir plusieurs configurations sur le même port, une pour chaque nom de domaine, puis utiliser le module Web d’Admin Serveur pour affecter chaque site à une configuration particulière. Pour configurer plusieurs adresses IP sur un port : 1 Ouvrez Préférences Système, puis cliquez sur Réseau. 2 Choisissez Options avancées dans le menu local Configurer. 3 Cliquez sur Nouveau. 4 Attribuez un nom à la nouvelle configuration de port puis choisissez le port à configurer dans le menu local Port. Cliquez sur OK. 5 Choisissez, dans le menu local Configurer, la configuration de port que vous venez d’ajouter. 6 Cliquez sur l’onglet TCP, puis choisissez Manuellement dans le menu local Configurer. Tapez la nouvelle adresse IP et d’autres informations de description du port. Cliquez sur Enregistrer. Rubriques avancées 339 Création de règles de filtres IP via ipfw Vous pouvez utiliser la commande ipfw en même temps que les module de filtres IP d’Admin Serveur pour : m Afficher les règles créées par le module de filtres IP. Chaque filtre se traduit par une ou plusieurs règles. m Créer des filtres dont les caractéristiques ne peuvent être définies à l’aide du module Filtre IP. Il est par exemple conseillé d’utiliser des règles propres à un type particulier de protocole IP, ou bien, de filtrer ou de bloquer les paquets sortants. m Compter le nombre de fois où les règles sont appliquées. Si vous utilisez la commande “ipfw”, veillez à ne pas modifier les règles créées à l’aide du module Filtre IP. Toute modification apportée aux règles du module Filtre IP demeure temporaire. Chaque fois qu’il est relancé, le service de filtres IP recrée toutes les règles définies à l’aide du module Filtre IP. Voici un résumé de la manière dont le module Filtre IP attribue les numéros de règle : 340 Annexe A Numéro Action du module Filtre IP 10 Boucle arrière 20 Abandon de tout paquet provenant ou en direction de 127.0.0.0/8 (diffusion) 30 Abandon de tout paquet provenant ou en direction de 224.0.0.0/3 (diffusion) 40 Abandon des paquets TCP en direction de 224.0.0.0/3 (diffusion) 100–64000 Filtres de ports spécifiques définis par l’utilisateur 63200 Refus des réponses écho “icmp”. Créé lorsque l’option Refuser la réponse écho ICMP est sélectionnée dans la section Avancés de la fenêtre Configurer le service de filtres IP. 63300 Refus du protocole “igmp”. Créé lorsque l’option Refuser IGMP est sélectionnée dans la section Options avancées de la fenêtre Configurer le service de filtres IP. 63400 Autorisation de l’accès au port 111 pour tout paquet TCP ou UDP (nécessaire pour NetInfo). Créée lorsqu’un domaine NetInfo partagé est trouvé sur le serveur. Numéro Action du module Filtre IP 63500 Autorisation de l’accès aux ports des domaines partagés NetInfo pour les paquets TCP et UDP spécifiés par l’utilisateur. Vous pouvez configurer NetInfo de sorte qu’il utilise un port statique ou qu’il sélectionne de manière dynamique un port compris entre 600 et 1023. Utilisez ensuite la fenêtre Configurer le service de filtres IP afin d’autoriser l’accès à ces ports soit pour l’ensemble des clients, soit pour certains clients spécifiques. 64000–65000 Filtres définis par l’utilisateur pour tout type de port Rubriques avancées 341 La commande d’affichage “ipfw show” utilisée dans l’application Terminal vous permet d’examiner les règles actuellement définies pour votre serveur. La commande “show” permet d’afficher quatre colonnes d’informations : Colonnes Informations 1 Le numéro de la règle. Le degré de priorité de la règle est inversement proportionnel à son numéro. 2 Le nombre d’applications du filtre depuis sa création 3 Le nombre d’octets auxquels le filtre a été appliqué 4 Une description de la règle ipfw show 0010 0020 0020 0030 0040 00100 260 32688 allow log ip from any to any via lo* 0 0 deny log ip from 127.0.0.0/8 to any in 0 0 deny log ip from any to 127.0.0.0/8 in 0 0 deny log ip from 224.0.0.0/3 to any in 0 0 deny log tcp from any to 224.0.0.0/3 in 1 52 allow log tcp from 111.222.33.3 to 111.222.31.3 660 in ... Pour créer de nouvelles règles, utilisez la commande “ipfw add”. L’exemple suivant illustre la création de la règle 200, un filtre qui empêche les paquets TCP provenant d’un client dont l’adresse IP est 10.123.123.123 d’accéder au port 80 du système dont l’adresse IP est 17.123.123.123 : ipfw add 200 deny tcp from 10.123.123.123 to 17.123.123.123 80 Pour supprimer une règle, utilisez la commande “ipfw delete”. Cet exemple permet de supprimer la règle 200 : ipfw delete 200 Pour davantage d’informations, consultez les pages du manuel concernant ipfw. 342 Annexe A Sources d’informations supplémentaires sur la configuration TCP/IP Pour une initiation aux protocoles TCP/IP, consultez l’ouvrage suivant : m TCP/IP Illustrated, Volume 1: The Protocols, par W. Richard Stevens (Addison-Wesley Professional Computing Series, 1994). L’ouvrage ci-dessous propose des astuces et des instructions pour l’administration TCP/IP : m TCP/IP Network Administration, 2ème édition, par Craig Hunt (O’Reilly and Associates, 1997). Pour obtenir des informations sur la configuration d’un réseau privé, recherchez le document RFC 1918 sur ce site Web : www.faqs.org/rfcs Formats de fichiers pour l’importation ou l’exportation d’utilisateurs et groupes Le module Utilisateurs et groupes d’Admin Serveur vous permet d’exporter les utilisateurs et groupes d’un domaine NetInfo vers un fichier, puis d’utiliser ce fichier pour importer les définitions dans le domaine NetInfo d’un autre serveur. Le codage des informations d’utilisateurs et groupes se fait à l’aide du format XML. Vous pouvez également utiliser un éditeur de texte pour créer manuellement des fichiers contenant des définitions XML d’utilisateurs et groupes. Remarque : Les informations du répertoire d’accueil ne sont pas exportées et ne peuvent être encodées manuellement dans un fichier XML. Les répertoires d’accueil sont créés lors de l’importation d’utilisateurs, selon les réglages spécifiés dans le répertoire d’accueil par défaut. Utilisez le module Utilisateurs et groupes d’Admin Serveur sur un serveur pour configurer une stratégie de répertoire d’accueil par défaut avant d’importer des utilisateurs dans des domaines NetInfo situés sur le serveur. Cette section présente un exemple de fichier d’utilisateurs et groupes, puis décrit comment coder votre propre fichier. Rubriques avancées 343 Exemple de fichier XML L’exemple comporte trois types d’informations : m Informations relatives à l’en-tête : l’en-tête définit les éléments qui se trouvent dans le corps du fichier (uglist, user, group, etc.). L’information sur l’utilisateur doit précéder celle concernant le groupe dans le corps du fichier. Dans l’exemple, l’en-tête occupe les lignes 1 à 2. m Informations sur les utilisateurs : l’exemple de fichier contient des attributs décrivant deux utilisateurs, Jean Dupont et Jeanne Dubois. La définition de Jean s’étend de la ligne 4 à la ligne 40, celle de Jeanne des lignes 41 à 42. m Informations sur les groupes : l’exemple contient des informations sur les groupes nommés “Imported Group” et “Primary”, dont les membres sont Jean Dupont et Jeanne Dubois. La définition du premier groupe va de 43 à 48. Le deuxième groupe commence à la ligne 49 et se termine à la ligne 50. 344 Annexe A <!XML version=“1.0” <--1 <!DOCTYPE MacOSXServer100 [ <!ELEMENT uglist ( user | group* ) > <!ELEMENT user ( nameList? pass? homeDir? pluginDataList ) > <!Imported Group user comment CDATA #IMPLIED uid CDATA #IMPLIED gid CDATA #IMPLIED shell CDATA #IMPLIED logEnabled ( canLogin | noLogin ) “canLogin” isAdminUser ( isAdmin | notAdmin ) “notAdmin” > <!ELEMENT nameList name* > <!ELEMENT name EMPTY > <!Imported Group name text CDATA > <!ELEMENT pass EMPTY <!Imported Group pass format ( crypt| clearText | secure) “clearText” text CDATA > <!ELEMENT pluginDataList pluginData* > <!ELEMENT pluginData EMPTY > <!Imported Group pluginData signature CDATA #REQUIRED data CDATA #REQUIRED > <!ELEMENT group memberName* > <!Imported Group group name CDATA #REQUIRED gid CDATA #IMPLIED > <!ELEMENT memberName EMPTY > <!Imported Group memberName name CDATA #REQUIRED > ]> <--2 Rubriques avancées 345 <uglist> <user logEnabled = “canLogin” isAdminUser = “notAdmin” uid = “1200” gid = “0” shell = “/bin/tcsh”> < namelist > < name text = “jdupont” /> < name text = “Jean Dupont” /> < /namelist > < pass format = “clearText” text = “password” /> <pluginDataList> <pluginData signature = “Mail” data = “<dict> <key>kAttributeVersion</key> <string>AppleMail 1.0</string> 346 Annexe A <--3 <--4 <--5 <--6 <--7 <--8 <--9 <--10 <--11 <--12 <--13 <--14 <--15 <--16 <--17 <--18 <--19 <key>kMailAccountState</key> <string>Enabled</string> <--20 <--21 <key>kIMAPLoginState</key> <string>IMAPAllowed</string> <--22 <--23 <key>kPOP3LoginState</key> <string>POP3Allowed</string> <--24 <--25 <key>kMailAccountLocation</key> <string>domain.example.com</string> <--26 <--27 <key>kAutoForwardValue</key> <string>[email protected]</string> <--28 <--29 <key>kNotificationState</key> <string>NotificationStaticIP</string> <--30 <--31 <key>kNotificationStaticIPValue</key> <string>[1.2.3.4]</string> <--32 <--33 <key>kSeparateInboxState</key> <string>OneInbox</string> <--34 <--35 <key>kShowPOP3InboxInIMAP</key> <string>HidePOP3Inbox</string> <--36 <--37 </dict>”> </pluginDataList> </user> <--38 <--39 <--40 <user loginEnabled = “canLogin” isAdminUser = “notAdmin” uid = “1201” gid = “10” shell = “None”> <namelist> <name = “jdoe” /> <text = “Jane Doe” /> </namelist> <pass format = “clearText” text = “password2” /> </user> <--41 <--42 <group name = “Imported Group” gid = “2000” > <memberName name = “jdubois” /> <memberName name = ”jdubois” /> </group> <--43 <--44 <--45 <--46 <--47 <group name = “Primary” gid = “10” > <memberName name = “jdupont” /> <memberName name = “jdubois” /> </group> <--49 <--48 <--50 </uglist> <--51 Rubriques avancées 347 Création de votre propre fichier Utilisateurs et groupes Suivez la procédure ci-après pour saisir des informations dans un fichier de texte que vous pouvez ensuite importer à l’aide du module Utilisateurs et groupe d’Admin Serveur : 348 Annexe A 1 Ouvrez une application d’édition de texte. 2 Introduisez les informations de l’en-tête au début du fichier, exactement comme indiqué dans les lignes 1 à 2 de l’exemple. 3 Introduisez les informations comme indiqué à la ligne 3. Cette ligne marque le début de vos informations d’utilisateurs et groupes. 4 Introduisez les informations comme indiqué à la ligne 4. Cette ligne marque le début de votre première définition d’utilisateur. 5 Tapez l’attribut indiquant si l’utilisateur peut ou non se connecter au serveur. Le format à utiliser est présenté à la ligne 5. Pour activer la connexion, spécifiez entre guillemets “canLogin” ou “noLogin” pour la désactiver. 6 Tapez l’attribut indiquant si l’utilisateur peut agir comme administrateur du serveur. Le format à utiliser est présenté à la ligne 6. Entre guillemets, spécifiez “isAdmin” pour activer les autorisations d’administrateur ou “notAdmin” pour les désactiver pour cet utilisateur. 7 Tapez l’identifiant de l’utilisateur comme à la ligne 7 et spécifiez entre guillemets un numéro identifiant de manière unique l’utilisateur. 8 Tapez l’identifiant de groupe principal de l’utilisateur comme à la ligne 8, en spécifiant entre guillemets un numéro de groupe qui sera défini plus tard dans le fichier (étapes 14 à 20). 9 Identifiez le shell par défaut à utiliser pour les interactions via lignes de commande avec le serveur. Le format à utiliser est présenté à la ligne 9. Entre les guillemets, tapez soit le chemin d’accès et le nom de fichier du script, soit l’expression “None” pour empêcher l’accès via lignes de commande. 10 Tapez les noms complet et abrégé de l’utilisateur tel qu’indiqué aux lignes 10 à 12. Tapez les informations exactement comme indiqué, à l’exception de celles qui figurent entre guillemets, qui correspondent aux noms que vous attribuez. 11 Tapez le mot de passe de l’utilisateur comme indiqué dans les lignes 13 à 15. Les informations des lignes 13 et 14 doivent correspondre exactement à celles de l’exemple. Sur la ligne suivante, indiquez le mot de passe d’utilisateur entre guillemets comme indiqué à la ligne 15. 12 Si l’utilisateur ne compte pas utiliser le service de courrier sur un Mac OS X Server, ignorez cette étape.Mac OS X Server Sinon, tapez les attributs de courrier de l’utilisateur comme suit : a Tapez les lignes 16 à 19 exactement comme indiqué. b Tapez deux lignes pour définir le mode de gestion du courrier de l’utilisateur (l’état du courrier). Identifiez l’attribut en respectant exactement les indications de la ligne 20. Spécifiez une valeur comme indiqué à la ligne 21. Utilisez la valeur “Off ” pour désactiver la distribution du courrier, “Enabled” pour l’activer ou “Forward” pour réexpédier le courrier de l’utilisateur. c Tapez deux lignes pour définir l’attribut d’état de connexion IMAP de l’utilisateur, qui détermine si l’utilisateur peut accéder à son courrier via le protocole IMAP (Internet Message Access Protocol). Identifiez l’attribut en respectant exactement les indications de la ligne 22. Spécifiez une valeur comme indiqué à la ligne 23. Utilisez la valeur “IMAPAllowed” pour permettre à l’utilisateur d’accéder à son courrier via IMAP ou “IMAPDeny” pour empêcher l’accès IMAP. d Tapez deux lignes pour définir l’attribut d’accès POP3 de l’utilisateur, qui détermine si l’utilisateur peut accéder à son courrier via le protocole POP (Post Office Protocol). Identifiez l’attribut en respectant exactement les indications de la ligne 24. Spécifiez une valeur comme indiqué à la ligne 25. Utilisez la valeur “POP3Allowed” pour permettre à l’utilisateur d’accéder à son courrier via POP3 ou “POP3Deny” pour empêcher l’accès POP3. e Tapez deux lignes pour définir l’attribut d’emplacement du compte de courrier de l’utilisateur, qui détermine où est stocké le courrier de l’utilisateur. Identifiez l’attribut en respectant exactement les indications de la ligne 26. Spécifiez une valeur comme indiqué à la ligne 27. Cette valeur doit de préférence correspondre au nom de domaine ou à l’adresse IP du serveur qui stocke le courrier de l’utilisateur. f Si vous avez attribué la valeur “Forward” à l’état du compte de courrier de l’utilisateur, tapez deux lignes pour définir l’attribut de réexpédition automatique de l’utilisateur. Identifez l’attribut en respectant exactement les indications de la ligne 28. Spécifiez pour ce dernier une valeur comme indiqué à la ligne 29. Utilisez une valeur correspondant à une adresse de courrier RFC 822 valide. g Tapez deux lignes pour définir l’attribut d’état de notification de l’utilisateur, qui détermine si l’utilisateur est automatiquement averti de l’arrivée du courrier. Identifiez l’attribut en respectant exactement les indications de la ligne 30. Spécifiez une valeur comme indiqué à la ligne 31. Utilisez la valeur “NotificationOff ” pour éviter la notification automatique, “NotificationLastIP” pour envoyer une notification à la dernière adresse d’où l’utilisateur s’est connecté ou “NotificationStaticIP” pour envoyer une notification à une adresse IP spécifique. h Si vous avez attribué la valeur “NotificationStaticIP” à l’attribut d’état de notification de l’utilisateur, tapez deux lignes pour définir l’attribut d’adresse IP statique de notification. Identifiez l’attribut en respectant exactement les indications de la ligne 32. Spécifiez l’adresse IP comme indiqué à la ligne 33. Rubriques avancées 349 i Tapez deux lignes pour définir l’attribut d’état de boîtes de réception séparées de l’utilisateur, qui détermine si l’utilisateur gère son courrier POP3 et IMAP à l’aide de boîtes distinctes. Identifiez l’attribut en respectant exactement les indications de la ligne 34. Spécifiez une valeur comme indiqué à la ligne 35. Utilisez la valeur “DualInbox” pour activer l’utilisation de boîtes de réception différentes. Sinon, utilisez la valeur “OneInbox.” j Tapez deux lignes pour définir l’attribut d’affichage de la boîte POP dans un dossier IMAP, qui détermine si un dossier IMAP intitulé “POP Inbox” est affiché. Identifiez l’attribut en respectant exactement les indications de la ligne 36. Spécifiez une valeur comme indiqué à la ligne 37. Utilisez la valeur “ShowPOP3Inbox” pour afficher le dossier. Sinon, utilisez la valeur “HidePOP3Inbox.” k Terminez la définition de l’utilisateur en tapant les lignes 38 à 40 exactement comme indiqué. 350 Annexe A 13 Répétez les étapes 4 à 12 pour tout utilisateur supplémentaire que vous souhaitez ajouter au fichier. 14 Introduisez les informations exactement comme indiqué à la ligne 43. Cette ligne marque le début de votre première définition de groupe. 15 Tapez le nom du groupe entre guillemets comme indiqué à la ligne 44. 16 Tapez l’identifiant du groupe entre guillemets comme indiqué à la ligne 45. 17 Tapez le nom de l’un des utilisateurs définis plus tôt dans le fichier et que vous souhaitez incorporer au groupe. Tapez les informations de la ligne 46 exactement comme indiqué. Sur la ligne suivante, indiquez entre guillemets le nom abrégé de l’utilisateur comme indiqué à la ligne 47. 18 Répétez l’étape 17 pour chaque utilisateur que vous souhaitez ajouter au groupe. 19 Terminez la définition du groupe en tapant les informations exactement comme indiqué à la ligne 48. 20 Répétez les étapes 14 à 19 pour tout groupe supplémentaire que vous souhaitez définir dans le fichier. 21 Tapez la ligne 51 exactement comme indiqué à la fin de votre fichier. Cette ligne marque la fin de vos informations d’utilisateur et groupe. 22 Enregistrez le fichier en utilisant l’extension “xml”. 23 Dans Admin Serveur, utilisez le module Utilisateurs et groupes pour importer les définitions d’utilisateurs et groupes dans le fichier. Les répertoires d’accueil sont configurés selon les réglages du répertoire d’accueil par défaut. Sources d’informations supplémentaires sur le format de XML Pour toute information sur la création et la modification de fichiers XML, consultez les ouvrages suivants : m The XML Pocket Reference, par Robert Eckstein (O’Reilly, 1999). m Presenting XML, par Richard Light (Sams.Net Publishing, 1997). m Learning XML, par Erik Ray, avec Christopher Maoen (O’Reilly, novembre 2000). m The XML Handbook, par Charles F. Goforth (Prentice Hall PTR, 1998). Pour une liste exhaustive d’ouvrages sur le format XML, visitez le site Web suivant : www.oasis-open.org/cover/bib-strt.html Spécification des données LDAP Ce chapitre présente une description des données que votre serveur peut obtenir à partir d’un serveur LDAP pour les utilisations suivantes : m Authentification et autorisation des utilisateurs. m Recherche de services de réseau, tels que serveurs et imprimantes AFP. Il décrit également les noms d’éléments de données LDAP, utilisés lorsque vous ne procédez pas à un mappage explicite à l’aide de l’application Directory Setup. Il présente en outre une description du mode d’utilisation de l’application Directory Setup pour configurer un Mac OS X Server afin d’utiliser les données de serveurs LDAP. Assurezvous que tout serveur LDAP auquel accède votre Mac OS X Server fournit les données requises au format décrit dans cette section. Mappage des données d’utilisateur Le tableau ci-dessous décrit la manière dont votre Mac OS X Server utilise les données d’utilisateurs. Déterminez les données que votre serveur doit obtenir d’un serveur LDAP. L’expression “Tous les services” dans la colonne de gauche inclut les services AFP, SMB, FTP, HTTP, NFS, WebDAV, POP, IMAP, Admin Serveur, la fenêtre d’ouverture de session Mac OS X et Gestionnaire Macintosh. Composant de serveur Élément utilisé Utilité Tous les services Nom de l’entrée Requis pour l’authentification Tous les services Nom réel Requis pour l’authentification Rubriques avancées 351 352 Annexe A Composant de serveur Élément utilisé Utilité Tous les services Mot de passe Requis pour l’authentification. Si le serveur LDAP contient un mot de passe crypté, ce dernier est lu et utilisé pour l’authentification. Sinon, le serveur LDAP valide le mot de passe à l’aide de la commande “LDAP BIND”. Tous les services Identifiant unique Requis pour l’autorisation (par exemple, autorisations de fichiers et comptes de courrier) Tous les services Identifiant de groupe principal Facultatif mais recommandé. Utilisé pour l’autorisation (par exemple, autorisations de fichiers et comptes de courrier) m Service FTP m Service web m Service de fichiers Apple m Service NFS m Gestionnaire Macintosh m Fenêtre d’ouverture de session de Mac OS X m Préférences de l’application et préférences système Répertoire d’accueil Facultatif Service de courrier Attribut de courrier Requis pour la connexion au service de courrier de votre serveur Service de courrier Adresse électronique Facultatif Lorsque vous utilisez l’application Format de répertoire pour configurer votre serveur pour l’accès au serveur LDAP, servez-vous du panneau Enregistrements pour affecter le type “Utilisateurs” à une ou plusieurs bases de recherche du serveur LDAP fournissant les éléments d’utilisateur dont vous avez besoin. Ensuite, utilisez le panneau Données pour affecter chaque élément à un ou plusieurs champs LDAP susceptibles de leur fournir des valeurs. Assurez-vous que chaque élément de donnée d’utilisateur requis par votre serveur est disponible sur le serveur LDAP aux formats décrits ci-dessous : Élément Format d’affectation LDAP Exemples Nom de l’entrée : liste de noms associés à un utilisateur ; le nom de l’entrée et le nom réel sont tous deux nécessaires ASCII Jean Jean D. J. Dupont Nom réel : nom unique, généralement le nom complet de l’utilisateur ASCII Jean-Pierre Dupont Identifiant unique : identifiant d’utilisateur unique Chaîne ASCII de 32 bits non signée, composée des chiffres 0 à 9 Plage : 100 à 4 294 967 295 Les valeurs inférieures à 100 sont généralement attribuées aux comptes de système. Zéro est réservé au système. Mot de passe : mot de passe de l’utilisateur Cryptage UNIX Identifiant de groupe principal : association du groupe principal de l’utilisateur Chaîne ASCII de 32 bits non signée, composée des chiffres 0 –à 9 Plage : 0 à 4 294 967 295 Commentaires : toutes les informations que vous souhaitez donner ASCII Jean est responsable du marketing Rubriques avancées 353 354 Annexe A Élément Format d’affectation LDAP Exemples Shell utilisateur : emplacement du shell par défaut utilisé pour les interactions via lignes de commande avec le serveur. Chemin d’accès /bin/tcsh /bin/sh Aucun Attribut de courrier : configuration du service de courrier d’un utilisateur. Consultez le tableau suivant pour toute information sur les champs individuels. Liste des propriétés de Mac OS X <dict> <key>kAttributeVersion</key> <string>Apple Mail 1.0</string> <key>kAutoForwardValue</key> <string>[email protected]</string> <key>kIMAPLoginState</key> <string>IMAPAllowed</string> <key>kMailAccountLocation</key> <string>domain.example.com</string> <key>kMailAccountState</key> <string>Enabled</string> <key>kNotificationState</key> <string>NotificationStaticIP</string> <key>kNotificationStaticIPValue</key> <string>[1.2.3.4]</string> <key>kPOP3LoginState</key> <string>POP3Allowed</string> <key>kSeparateInboxState</key> <string>OneInbox</string> <key>kShowPOP3InboxInIMAP</key> <string>HidePOP3Inbox</string> </dict> Élément Format d’affectation LDAP Exemples Adresse de courrier électronique : adresse de courrier électronique vers laquelle le courrier doit automatiquement être expédié lorsqu’aucun attribut de courrier n’est défini pour un utilisateur Toute adresse légale de courrier RFC 822 ou URL valide “envoyer à :” [email protected] envoyerà:[email protected] Répertoire d’accueil l’emplacement d’un répertoire d’accueil basé sur AFP Liste des propriétés de Mac OS X <homeDir> <url>afp://server/sharepoint</url> <path>usershomedirectory</path> </homeDir> Dans l’exemple ci-dessous, le répertoire d’accueil de Tom King est K-M/Tom King, qui réside en dessous du répertoire du point de partage, Utilisateurs : <homeDir> <url>afp://exemple.com/utilisateurs</url> <path>K-M/Tom King</path> </homeDir> Assurez-vous que chaque champ d’attribut de courrier pour lequel vous configurez votre serveur en vue d’un retrait depuis un serveur LDAP possède le format présenté dans le tableau ci-dessous. Si un champ quelconque possède une valeur incorrecte, les attributs de courrier seront ignorés (en d’autres termes, ils seront traités comme si l’état du compte de messagerie était désactivé). Rubriques avancées 355 356 Annexe A Champ des attributs de courrier Format d’affectation LDAP Exemples Version d’attributs Valeur requise insensible à la casse qui doit être réglé sur l’“AppleMail 1.0” <key>kAttributeVersion</key> <string>AppleMail 1.0</string> État du compte de messagerie Mot clé requis insensible à la casse décrivant l’état du compte d’utilisateur. Il doit être réglé sur l’une des valeurs suivantes : “Off ”, “Enabled” ou “Forward”. <key>kMailAccountState</key> <string>Enabled</string> État de connexion POP3 Mot clé requis insensible à la casse indiquant si l’utilisateur peut accéder au courrier via POP. Il doit être réglé sur l’une des valeurs suivantes : “POP3Allowed” ou “POP3Deny”. <key>kPOP3LoginState</key> <string>POP3Deny</string> État de connexion IMAP Mot clé requis insensible à la casse indiquant si l’utilisateur peut accéder au courrier en utilisant IMAP. Il doit être réglé sur l’une des valeurs suivantes : “IMAPAllowed” ou “IMAPDeny”. <key>kIMAPLoginState</key> <string>IMAPAllowed</string> Emplacement du compte de messagerie Une valeur requise indiquant le nom de domaine ou l’adresse IP du serveur Mac OS X Server sur lequel sera stocké le courrier de l’utilisateur <key>kMailAccountLocation</key> <string>domaine.exemple.com </string> Champ des attributs de courrier Format d’affectation LDAP Exemples Valeur d’auto-expédition Champ requis uniquement si l’état du compte de messagerie est réglé sur la valeur “Réexpédier”. Cette valeur doit être une adresse de courrier RFC 822 valide. <key>kAutoForwardValue</key> <string>[email protected]</ string> État de la notification Mot clé optionnel indiquant s’il est nécessaire de prévenir l’utilisateur de l’arrivée d’un nouveau courrier. S’il est fourni, il doit être réglé sur l’une des valeurs suivantes : “NotificationOff ”, “NotificationLastIP” ou “NotificationStaticIP”. Si ce champ est absent, la valeur “NotificationOff ” sera définie. <key>kNotificationState</key> <string>NotificationOff</string> Valeur de notification statique IP Adresse IP optionnelle, en format décimal, entre crochets ([xxx.xxx.xxx.xxx]). Si ce champ est absent, l’état de notification est interprété comme “NotificationLastIP”. Ce champ est utilisé uniquement lorsque l’état de notification possède la valeur “NotificationStaticIP”. <key>kNotificationStaticIPValue </key> <string>[1.2.3.4]</string> Rubriques avancées 357 358 Annexe A Champ des attributs de courrier Format d’affectation LDAP Exemples État des boîtes de réception séparées Mot clé optionnel insensible à la casse indiquant si l’utilisateur gère le courrier POP et IMAP en utilisant différentes boîtes de réception. S’il est fourni, il doit être réglé sur l’une des valeurs suivantes : “OneInbox” ou “DualInbox”. Si cette valeur est absente, la valeur “OneInbox” sera définie. <key>kSeparateInboxState</key> <string>OneInbox</string> Afficher la boîte de réception POP3 dans IMAP Mot clé optionnel insensible à la casse indiquant si les messages POP sont affichés dans la liste des dossiers IMAP de l’utilisateur. S’il est fourni, il doit être réglé sur l’une des valeurs suivantes : “ShowPOP3Inbox” ou “HidePOP3Inbox”. Si ce champ est absent, la valeur ShowPOP3Inbox sera définie. <key>kShowPOP3InboxInIMAP</key> <string>HidePOP3Inbox</string> Affectation des données du service de réseau Vous pouvez configurer votre serveur de façon à ce qu’il accède aux données LDAP décrivant les services de réseau, tels que les serveurs de fichiers et les imprimantes. Les applications Mac OS X qui utilisent NSL (Network Service Locator) pour s’informer sur les services de réseau utilisent ces données pour rendre ces services accessibles aux utilisateurs. Par exemple, si un serveur LDAP stocke les entrées décrivant les serveurs Web pour lesquels vous voulez attribuer un accès aux utilisateurs, ces serveurs Web sont répertoriés dans le Finder lorsque les utilisateurs choisissent la commande Connecter au serveur. Pour configurer votre serveur de manière à ce qu’il puisse accéder aux données du service de réseau LDAP, utilisez le panneau Enregistrements de l’application Directory Setup pour affecter les types des entrées de chacun des services à une ou plusieurs bases de recherche du serveur LDAP fournissant les données réseau. Les types de données éventuellement sélectionnés comprennent AFPServer (serveur AFP), WebServer (serveur Web) et Printers (imprimantes). Ensuite, pour chaque type de donnée, utilisez le panneau Données afin d’affecter les deux éléments présentés dans le tableau ci-dessous à un ou plusieurs champs LDAP pouvant leur fournir des valeurs : Élément Format d’affectation LDAP Exemples Nom de l’entrée : nom d’une entrée ASCII La classe de Mme Dubois URLForNSL: emplacement réseau du service adresse URL valide afp://afp.exemple.org/ https://securesite.exemple.org Rubriques avancées 359 Utilisation des affectations par défaut Si vous configurez un serveur LDAP pour la première fois, vous pouvez tirer parti des noms par défaut des éléments de données LDAP. Lorsque les noms de champs LDAP correspondent à ceux figurant dans le tableau ci-dessous, il n’est pas nécessaire de dresser la carte des affectations de ces noms en utilisant le panneau Données de l’application Directory Setup : Élément Nom de champ LDAP par défaut Nom de l’entrée cn, sn, dn Adresse électronique mail, email Identifiant unique unixid Nom réel realname Attribut de courrier applemail Commentaire comment Groupe grouplist Mot de passe passwd Identifiant de groupe principal groupid Répertoire d’accueil home, homeloc URLForNSL networklocurl Appartenance de groupe userlist Alias de l’entrée aliasdata Shell utilisateur shell Il est à noter que Groupe, éventuellement associé avec les données d’un utilisateur, répertorie les groupes auxquels un utilisateur appartient, alors que Appartenance de groupe permet de répertorier les utilisateurs appartenant à un groupe. 360 Annexe A Configuration de l’accès LDAP Cette section présente les étapes de configuration de l’accès LDAP pour un utilisateur vers toutes les données susceptibles d’être obtenues à partir d’un serveur LDAP, comme décrit dans l’exemple ci-dessous : Élément Exemple Nom de champ LDAP Exemple de valeur LDAP Nom de l’entrée nom abrégé bsmith Identifiant unique userid 1200 Nom réel realname Jean Bob Smith Attribut de courrier applemail <dict> <key>kAttributeVersion</key> <string>Apple Mail 1.0</string> <key>kAutoForwardValue</key> <string>[email protected]</string> <key>kIMAPLoginState</key> <string>IMAPAllowed</string> <key>kMailAccountLocation</key> <string>domain.example.com</string> <key>kMailAccountState</key> <string>Enabled</string> <key>kNotificationState</key> <string>NotificationStaticIP</string> <key>kNotificationStaticIPValue</key> <string>[1.2.3.4]</string> <key>kPOP3LoginState</key> <string>POP3Allowed</string> <key>kSeparateInboxState</key> <string>OneInbox</string> <key>kShowPOP3InboxInIMAP</key> <string>HidePOP3Inbox</string> </dict> Commentaire comment Bob est une bonne ressource pour l’administration de réseau. Rubriques avancées 361 Élément Exemple Nom de champ LDAP Exemple de valeur LDAP Mot de passe passwd Si l’affectation d’attribut du mot de passe est effacé ou désaffecté, le tente d’utiliser la commande LDAP BIND pour authentifier les utilisateurs.Mac OS X Server Sinon, le champ du mot de passe doit comporter un mot de passe crypté UNIX, qui sera utilisé pour authentification par le serveur. Identifiant de groupe principal primarygroupid 10 Répertoire d’accueil homedir Le répertoire d’accueil de l’utilisateur, R-S/Bob Smith, est placé dans un répertoire de point de partage appelé Users (Utilisateurs) : <homeDir> <url>afp://exemple.com/Utilisateurs</ url> <path>R-S/Bob Smith</path> </homeDir> Shell utilisateur loginshell /bin/sh Les étapes suivantes expliquent également comment configurer l’accès LDAP aux informations d’un groupe : Élément Exemple Nom de champ LDAP Exemple de valeur LDAP Nom de l’entrée gn Groupe primaire Identifiant unique groupid 10 Appartenance de groupe groupmemberlist bsmith, jdoe Vous ne pouvez utiliser les données LDAP pour attribuer les droits d’un administrateur à un utilisateur. Si vous souhaitez qu’un utilisateur puisse utiliser les applications d’administration du serveur, ajoutez l’utilisateur au groupe Administrateur dans le domaine local NetInfo du serveur en utilisant le module Utilisateurs et groupes d’Admin Serveur. 362 Annexe A Suivez les étapes ci-dessous pour configurer un serveur de façon à ce qu’il puisse accéder aux données d’utilisateur et de groupe : 1 Configurez le serveur LDAP : a Configurez le serveur LDAP pour gérer la vérification de mot de passe et l’authentification basée sur LDAP. b Modifiez les entrées et les attributs du serveur LDAP afin de fournir les données requises par Mac OS X Server. 2 Activez la gestion LDAP pour Mac OS X Server : a Ouvrez l’application Directory Setup, qui se trouve dans Applications/Utilities. b Cliquez sur le verrou pour vous connecter en tant qu’administrateur de serveur. c Sélectionnez LDAPv2, puis cliquez sur Configurer. d Cliquez sur Nouveau. 3 Identifiez le serveur LDAP : a Cliquez sur l’onglet Identité. b Dans le champ Nom, tapez un nom descriptif pour le serveur LDAP. c Dans le champ Adresse, tapez le nom de domaine ou l’adresse IP du serveur LDAP. 4 Définissez la base de recherche LDAP : a Cliquez sur l’onglet Enregistrements. b Sélectionnez Utilisateurs dans la liste des types d’entrées. Modifiez ensuite les valeurs d’affectation par défaut (ou=particulier, o=nom de société) afin de spécifier une ou plusieurs bases de recherche sur le serveur LDAP fournissant les informations utilisateurs. c Sélectionnez Groupes dans la liste des types d’entrées. Modifiez ensuite les valeurs d’affectation par défaut (ou=particulier, o=nom de société) afin de spécifier une ou plusieurs bases de recherche sur le serveur LDAP fournissant les informations groupes. 5 Dressez la carte des affectations des données d’utilisateur : a Cliquez sur l’onglet Données pour affecter aux champs de serveur LDAP aptes à fournir les données les informations d’utilisateurs nécessaires à Mac OS X Server. “Mappage des données d’utilisateur” à la page 351 décrit le format sous lequel les valeurs des éléments de données individuelles doivent être fournies par le serveur LDAP. b Affectez les noms servant à identifier un utilisateur, y compris le nom abrégé de l’utilisateur. Sélectionnez le nom de l’entrée dans la colonne des types de données. Dans la colonne des affectations, modifiez les noms de champs LDAP par défaut (cn, sn et dn) afin de pouvoir identifier un ou plusieurs des champs LDAP stockant des noms d’utilisateurs. Rubriques avancées 363 c Définissez l’identifiant de l’utilisateur par un numéro spécifique à ce dernier. Sélectionnez d e f g h i 6 364 Annexe A l’identifiant unique dans la colonne des types de données. Modifiez ensuite le nom de champ LDAP par défaut (unixid) si cela s’avère nécessaire pour spécifier le champ LDAP qui stocke l’identifiant de l’utilisateur. Affectez le nom complet de l’utilisateur. Dans la colonne des types de données, sélectionnez Nom réel. Modifiez ensuite le nom de champ LDAP par défaut (nom réel) si cela s’avère nécessaire pour identifier le champ LDAP qui stocke le nom complet. Si les utilisateurs comptent utiliser le service de courrier sur le serveur, affectez l’attribut de courrier. Dans la colonne des types de données, sélectionnez Attribut de courrier. Modifiez ensuite le nom de champ LDAP par défaut (courrier Apple) si nécessaire pour identifier le champ LDAP qui stocke l’attribut de courrier dans le format requis. Affectez l’adresse de réexpédition pour les utilisateurs sans attribut de courrier. Sélectionnez Adresse de courrier dans la colonne des types de données. Modifiez ensuite les noms de champ LDAP par défaut (courrier et courrier électronique) si nécessaire pour identifier le nom de champ LDAP qui stocke l’adresse de réexpédition. Affectez le mot de passe de l’utilisateur uniquement si le serveur LDAP stocke les mots de passe d’utilisateurs en format crypté UNIX. Modifiez le nom de champ LDAP par défaut (mot de passe) si nécessaire pour identifier le champ LDAP qui stocke le mot de passe. Affectez l’identifiant de groupe primaire. Dans la colonne des types de données, sélectionnez ID de groupe primaire. Modifiez ensuite le nom de champ LDAP par défaut (groupid) si nécessaire pour identifier le champ LDAP qui stocke l’ID de groupe pour le groupe primaire de l’utilisateur. Affectez le répertoire d’accueil. Dans la colonne des types de données, sélectionnez Répertoire d’accueil. Modifiez ensuite les noms de champ LDAP par défaut (home et homeloc) si nécessaire pour identifier le champ LDAP qui stocke l’information du répertoire d’accueil dans le format requis. Affectez le shell de connexion de l’utilisateur (le shell par défaut utilisé pour les interactions via lignes de commande avec le serveur). Sélectionnez Shell d’utilisateur dans la colonne des types de données. Modifiez ensuite le nom de champ LDAP par défaut (shell) si nécessaire pour identifier le champ LDAP qui stocke le chemin et le nom de fichier du shell. Entrez “None” pour interdire toute interaction via lignes de commande. Affectez les données de groupe (si nécessaire) : a Dans le panneau Données, affectez les informations groupes nécessaires à Mac OS X Server aux champs de serveur LDAP habituellement utilisés pour rechercher les données. b Affectez le nom de groupe. Sélectionnez le nom de l’entrée dans la colonne des types de données. Dans la colonne des affectations, entrez un ou plusieurs champs LDAP stockant les noms de groupes. c Définissez l’identifiant de groupe par un numéro spécifique à ce dernier. Sélectionnez l’identifiant unique dans la colonne des types de données. Entrez ensuite le champ LDAP stockant l’ID de groupe. d Affectez les membres d’un groupe. Dans la colonne des types de données, sélectionnez Membres du groupe. Modifiez ensuite le nom de champ LDAP par défaut (userlist) si nécessaire pour identifier le champ LDAP qui stocke une liste des utilisateurs associés au groupe. Les utilisateurs doivent être identifiés par leur nom abrégé. 7 Définissez les attributs de connexions entre Mac OS X Server et le serveur LDAP : a Cliquez sur l’onglet Accès. b Sélectionnez “Utiliser l’accès anonyme” si votre Mac OS X Server doit se connecter au serveur LDAP sans entrer de nom et de mot de passe. Sinon, sélectionnez “Use the username and password below” et tapez les nom et mot de passe (par exemple, cn=admin, cn=users, dc=example, dc=com) que votre serveur doit utiliser pour établir une connexion au serveur LDAP. Assurez-vous que le serveur LDAP est configuré pour accepter tout nom ou mot de passe spécifié par vous. c Tapez le nombre maximum de secondes (délai d’ouverture et de fermeture) autorisé pour effectuer une tentative de connexion. La valeur par défaut est de 120 secondes. d Tapez le nombre maximum de secondes autorisé pour rechercher des données sur le serveur LDAP (délai de recherche). La valeur par défaut est de 120 secondes. e Identifiez le port qui doit être utilisé pour la connexion. La valeur par défaut du port est 389. Assurez-vous que tout numéro spécifié par vous est réellement utilisé par le serveur LDAP. f Cliquez sur OK. g Cochez la case Activer afin que le serveur LDAP que vous venez de configurer puisse être utilisé par les services de répertoire, puis fermez la fenêtre et cliquez sur Enregistrer. h Dans le panneau Services, cochez la case LDAPv2, puis cliquez sur Appliquer si ce dernier est activé. Rubriques avancées 365 8 366 Annexe A Indiquez la manière dont vous souhaitez que Mac OS X Server utilise les données stockées sur le serveur LDAP : a Si vous souhaitez que votre serveur recherche systématiquement les entrées du serveur LDAP quand les informations requises pour un utilisateur ne peuvent être obtenues dans les domaines NetInfo pour l’utilisation desquelles le serveur est configuré, ajoutez le serveur LDAP à la politique de recherche. Cliquez sur l’onglet Authentification. Choisissez l’option de réseau NetInfo dans le menu local de recherche pour afficher la hiérarchie NetInfo par défaut configurée pour le serveur. Si la hiérarchie comporte un ou plusieurs domaines parents, prenez note de ces derniers. Choisissez l’option “Chemin personnalisé” dans le menu local de recherche. Si la hiérarchie NetInfo par défaut du serveur comporte un ou plusieurs domaines parents, ajoutez chacun des domaines parents à la liste. Cliquez sur Ajouter, sélectionnez le parent du domaine local, puis cliquez de nouveau sur Ajouter. Faites de même pour le parent suivant éventuel et ainsi de suite jusqu’à ce que l’ensemble des domaines de la hiérarchie NetInfo par défaut soient répertoriés. Pour ajouter un serveur LDAP à la politique de recherche, cliquez sur Ajouter, sélectionnez le serveur LDAP, puis cliquez de nouveau sur Ajouter. Si nécessaire, glissez l’entrée Serveur LDAP pour l’afficher en dessous de la hiérarchie NetInfo par défaut. Plus sa position est élevée dans la liste, plus vite elle sera recherchée si une entrée la précédant dans la liste ne fournit pas les informations requises pour un utilisateur. Cliquez sur Appliquer. b Si vous souhaitez que votre serveur recherche les entrées du serveur LDAP uniquement quand les informations requises pour certains utilisateurs ne peuvent être obtenues dans les domaines NetInfo, définissez un alias pour chacun de ces utilisateurs. Ouvrez Admin Serveur, cliquez sur l’onglet Général, puis sur Utilisateurs et groupes, et choisissez Rechercher les utilisateurs et groupes. Choisissez “Répertoires sélectionnés” dans le menu local “Rechercher dans” pour sélectionner le serveur LDAP. Établissez des critères de recherche pour l’utilisateur et cliquez sur Rechercher. Choisissez “Afficher la liste des utilisateurs et groupes” dans le menu Utilisateurs et groupes, puis sélectionnez le domaine dans lequel vous voulez ajouter l’alias. Glissez l’utilisateur de la fenêtre des résultats de recherche à la fenêtre de la liste des utilisateurs et groupes. Sauvegarde des informations du serveur Veillez à sauvegarder régulièrement les fichiers système de votre serveur afin de limiter la perte de données si vous rencontrez un problème de serveur et que vous devez réutiliser ces fichiers. Sauvegardez au moins les fichiers comportant les données suivantes : m ID des utilisateurs administrateur et racines : les fichiers système sont la propriété des ID des utilisateurs administrateur de système et racine existant au moment de leur création. En vue d’une réutilisation éventuelle des fichiers système, il faut que ces mêmes ID se trouvent sur le serveur afin de garder les autorisations originales. Pour vous assurer que vous pourrez recréer ces identifiants d’utilisateur, exportez périodiquement les informations groupes et utilisateurs du serveur vers un fichier utilisant le module Utilisateurs et groupes d’Admin Serveur. m Données NetInfo : les informations sur les domaines NetInfo sont stockées dans les fichiers résidant sur /var/db/netinfo/. Sauvegardez l’ensemble du répertoire. Lors de l’activation du Gestionnaire d’authentification des clients Windows, un fichier comportant le mot de passe crypté pour chacun des domaines NetInfo du serveur est stocké dans /var/db/netinfo/. Si le nom de la base de données NetInfo est MyDomain, le fichier clé de cryptage sera .MyDomain.tim. m Base de données du service de courrier : la base de données du service de courrier réside dans /Library/AppleMailServer/MacOSXMailDB. Sauvegardez ce fichier. m Configuration des services de répertoire les réglages de configuration utilisant l’application Directory Setup sont stockés dans /Library/Preferences/DirectoryService/. Sauvegardez l’ensemble du répertoire. Rubriques avancées 367 A N N E X E B B Fiche d’informations de Mac OS X Server Cet annexe comprend une fiche servant à recueillir les informations concernant votre serveur. Elle est identique à la fiche contenue dans la brochure Premiers contacts avec Mac OS X Server, fournie avec les CD d’installation de votre serveur. Vous pouvez effectuer des copies de la fiche située dans cette annexe en cas de besoin. Consultez la brochure Premiers contacts avec Mac OS X Server pour savoir comment utiliser cette fiche. 369 Glossaire A, B Protocole client/serveur utilisé par les ordinateurs Macintosh ou compatibles Macintosh pour partager des fichiers et des services en réseau. AFP utilise TCP/IP et d’autres protocoles pour les communications entre ordinateurs d’un réseau. AFP (Apple Filing Protocol) C CGI (Common Gateway Interface) Script ou programme permettant d’ajouter des fonctions dynamiques à un site Web. Un script CGI transmet les informations entre un site Web et une application au service du site. Par exemple, si un utilisateur remplit un formulaire sur le site, un script CGI enverra le message à une application qui traitera les données et renverra une réponse à l’utilisateur. D, E Protocole utilisé pour la distribution d’adresses IP aux ordinateurs clients. Chaque fois qu’un ordinateur client démarre, il recherche un serveur DHCP, puis sollicite une adresse IP auprès de celui qu’il a trouvé. Le serveur DHCP recherche une adresse IP disponible et l’envoie à l’ordinateur client en indiquant une “période de bail” : durée pendant laquelle l’ordinateur client pourra utiliser cette adresse. DHCP (Dynamic Host Configuration Protocol) DNS (Domain Name System) Base de données distribuée qui affecte des adresses IP à des noms de domaine. Un serveur DNS conserve une liste de noms et d’adresses IP associées à chaque nom. Lorsqu’un ordinateur a besoin de l’adresse IP correspondant à un nom, il envoie un message au serveur DNS (également appelé serveur de noms). Le serveur de noms cherche l’adresse IP et la renvoie à l’ordinateur. Si le serveur de noms ne trouve pas l’adresse IP en local, il envoie des messages à d’autres serveurs de noms sur Internet pour l’obtenir. 373 F, G FTP (File Transfer Protocol) Protocole permettant aux ordinateurs de transférer des fichiers sur un réseau. Les clients FTP dont le système d’exploitation gère le protocole FTP peuvent se connecter à un serveur de fichiers et télécharger des fichiers, en fonction des autorisations d’accès dont ils bénéficient. La plupart des navigateurs Internet et bon nombre d’applications gratuites (“freeware”) peuvent être utilisés pour accéder à un serveur FTP. H Ensemble de symboles ou de codes insérés dans un fichier destiné à être affiché par un navigateur Web. Le balisage indique au navigateur Web comment afficher les mots et images d’une page Web pour l’utilisateur. HTML (Hypertext Markup Language) HTTP (Hypertext Transfer Protocol) Protocole d’application qui définit l’ensemble des règles d’échange de fichiers sur Internet. I, J, K Organisation chargée d’attribuer les adresses IP et les paramètres de protocole, ainsi que de gérer les noms de domaine. IANA (Internet Assigned Numbers Authority) Protocole destiné au contrôle des messages et à la génération de rapports d’erreur, utilisé entre serveurs hôtes et passerelles. Certaines applications Internet l’emploient pour envoyer un paquet en aller-retour entre deux hôtes afin de déterminer la durée de ces aller-retour et de détecter d’éventuels problèmes sur le réseau. ICMP (Internet Control Message Protocol) Le protocole IGMP est utilisé par les hôtes et routeurs pour envoyer des paquets à des listes d’hôtes qui désirent participer. Il s’agit de la multidiffusion. Le serveur d’enchaînement QuickTime utilise l’adressage multidiffusion, tout comme le protocole SLP. IGMP (Internet Group Management Protocol) IMAP (Internet Message Access Protocol) Protocole de courrier client-serveur permettant aux utilisateurs d’accéder à leur courrier quel que soit leur emplacement sur Internet. Le courrier n’est pas supprimé automatiquement du serveur lorsque l’utilisateur le télécharge. FAI (Fournisseur d’accès à Internet) Entreprise qui vend l’accès à Internet et qui fournit généralement l’hébergement de sites web dédiés au commerce électronique, ainsi que des services de courrier. L Protocole client-serveur standard permettant d’accéder à un service de répertoire annuaire. LDAP (Lightweight Directory Access Protocol) LPR (Line Printer Remote) 374 Glossaire Protocole standard d’impression via TCP/IP. M MBONE (Multicast Backbone) Réseau virtuel gérant la multidiffusion IP. Il utilise le même support physique qu’Internet, mais il est conçu pour transformer les paquets de données multidiffusion en paquets de données à diffusion individuelle. Norme Internet utilisée pour spécifier le comportement à adopter lorsqu’un navigateur Web demande un fichier répondant à certaines caractéristiques. Le suffixe d’un fichier décrit le type de fichier dont il s’agit et vous devez déterminer la manière dont vous souhaitez que le serveur réponde lorsqu’il reçoit des fichiers pourvus de certains suffixes. La combinaison de chaque suffixe et de la réponse correspondante s’appelle “association de type MIME”. MIME (Multipurpose Internet Mail Extension) Enregistrement MX (Mail Exchange record) Entrée d’une table DNS spécifiant le mode de gestion du courrier pour un domaine. Lorsqu’un serveur de courrier Internet doit distribuer du courrier à un domaine, il demande l’enregistrement MX du domaine, qui envoie le courrier à l’ordinateur spécifié dans cet enregistrement. N NetBIOS (Network Basic Input/Output System) Programme permettant aux applications situées sur des ordinateurs différents de communiquer à l’intérieur d’un réseau local LAN. Protocole client/serveur utilisant TCP/IP pour permettre aux utilisateurs distants d’accéder à des fichiers comme s’ils se trouvaient sur le réseau local. Le service NFS exporte les volumes partagés vers les ordinateurs en fonction de l’adresse IP, plutôt que des nom et mot de passe d’utilisateur. NFS (Network File System) NSL (Network Service Locator) Technologie Apple qui simplifie la recherche de ressources réseau basées sur TCP/IP. O ORBS (Open Relay Behaviour-modification System) Base de données accessible via le système DNS, qui traque les “spammeurs” connus (expéditeurs de courrier indésirable). Cette base de données répertorie les serveurs SMTP autorisant le relais; les expéditeurs de courrier indésirable utilisent ces serveurs pour réexpédier leurs messages. P POP (Post Office Protocol) Protocole de messagerie utilisé pour la réception de courrier. Le courrier est téléchargé, puis stocké sur l’ordinateur de l’utilisateur. Q QTSS (Serveur d’Enchaînement QuickTime) Technologie permettant de diffuser des données en temps réel sur Internet. Glossaire 375 R Protocole de transport réseau “point à point” adapté aux applications qui transmettent des données en temps réel (audio, vidéo ou simulation), par l’intermédiaire de services de réseau en multidiffusion ou en diffusion individuelle. RTP (Real-Time Transport Protocol) Protocole servant à contrôler la livraison des données ayant des propriétés de temps réel. Le protocole RTSP propose une structure extensible qui permet de livrer des données en temps réel de manière fiable et sur demande, par exemple des données audio et vidéo. Les sources de données peuvent inclure aussi bien des données en direct que des clips enregistrés. Ce protocole est destiné au contrôle des sessions de diffusion de données multiples, à la sélection des canaux de livraison de type UDP, UDP multidiffusion et TCP, ainsi que des mécanismes de livraison basés sur le protocole RTP. RTSP (Real Time Streaming Protocol) S SDP (Session Description Protocol) Protocole utilisé avec le serveur d’enchaînement QuickTime. Un fichier SDP contient des informations sur le format, la synchronisation et l’auteur de la diffusion en direct. SLP (Service Location Protocol) DA (Directory Agent) Protocole utilisé pour répertorier les services disponibles sur un réseau afin de permettre aux utilisateurs d’y accéder facilement. Lorsqu’un service est ajouté au réseau, il utilise le protocole SLP pour s’inscrire sur le réseau. SLPDA constitue une version améliorée du protocole SLP original, qui centralise l’inscription des services de réseau. Protocole permettant aux ordinateurs clients d’accéder aux fichiers et aux services de réseau. Il peut être utilisé via TCP/IP, Internet ou d’autres protocoles. Les services Windows utilisent le protocole SMB pour fournir l’accès aux serveurs, imprimantes et autres ressources de réseau. SMB (Server Message Block) Protocole TCP/IP utilisé pour envoyer et transférer du courrier. Comme sa capacité de stockage des messages entrants en files d’attente est limitée, il n’est en général utilisé que pour envoyer le courrier, alors que les protocoles POP ou IMAP sont destinés à la réception du courrier. SMTP (Simple Mail Transfer Protocol) Protocole Internet qui permet d’envoyer sur Internet des informations cryptées et authentifiées. SSL (Secure Sockets Layer) T Méthode utilisée avec le protocole IP (Internet Protocol) pour envoyer via Internet des données sous forme de messages individuels entre ordinateurs. Pendant que le protocole IP se charge de la livraison des données, TCP effectue le suivi des unités de données individuelles (appelées paquets) qui constituent un message, afin d’assurer un routage efficace via Internet. TCP (Transmission Control Protocol) 376 Glossaire Durée de stockage spécifiée des informations DNS en mémoire cache. Lorsqu’une paire nom de domaine/adresse IP se trouve en mémoire cache depuis plus longtemps que la durée TTL spécifiée, l’entrée est supprimée du cache du serveur de noms (mais pas du serveur DNS principal). TTL (Time-to-Live) U Méthode de communication utilisant le protocole IP pour envoyer une unité de données (appelée datagramme) d’un ordinateur à un autre sur un réseau. Les applications réseau qui ont de toutes petites unités de données à échanger peuvent utiliser le protocole UDP à la place du TCP. UDP (User Datagram Protocol) Adresse d’un fichier accessible sur Internet. L’adresse URL se compose du nom du protocole utilisé pour accéder à la ressource, du nom de domaine qui identifie un ordinateur spécifique sur Internet et de la description hiérarchique de l’emplacement du fichier sur l’ordinateur. URL (Uniform Resource Locator) USB (Universal Serial Bus) Norme de communication entre un ordinateur et des périphériques externes utilisant un câble de connexion directe bon marché. V VPN (Virtual Private Network) Réseau privé virtuel utilisant le cryptage ainsi que d’autres technologies pour garantir des communications sécurisées sur un réseau public, en général Internet. Ces réseaux sont généralement moins onéreux que les vrais réseaux privés se servant de lignes privées, mais requièrent le même système de cryptage aux deux extrémités de la ligne. Le cryptage peut être réalisé par des logiciels carpe-feux ou par des routeurs. W Environnement de création en direct qui permet aux utilisateurs clients de prendre des pages Web, de les modifier, puis de les restituer pendant que le site est activé. WebDAV (Web-based Distributed Authoring and Versioning) Service de résolution de noms utilisé par les ordinateurs Windows pour faire coïncider les noms des clients avec les adresses IP. Un serveur WINS peut se trouver soit sur le réseau local, soit a l’extérieur sur Internet. WINS (Windows Internet Naming Service) X, Y, Z XML (Extensible Markup Language) Format universel des documents et des données accessibles sur le Web. Glossaire 377 Index A accès réglages de 246–247 accès en invité autorisation 96, 249 autoriser 106 description 96 restriction 82, 92 service FTP 114 Admin. Bureau Voir Admin de Bureau NetBoot Admin Bureau NetBoot 32 Admin de Bureau NetBoot 36, 283–285 administrateur adresse de retour 144 ajout à Gestionnaire Macintosh 215 connexion en tant qu'utilisateur 250 connexion en tant que 214 groupes de travail 215 modification de compte 64 mots de passe 64 administrateurs de groupe de travail 215 administration 19–44 Admin Serveur 32–35 barre d'outils 33–34 connexion 32, 37 description 31 Admin Serveur Enchaînement 192 description 31–32, 36 ouverture 36, 192 pas de réponse 210 adresses IP accès NetInfo 325 adresses multiples 320, 339 adresses réservées 302 attribution 302 configuration pour les ports 339 DHCP 300 dynamiques 301 filtres 328 multiples 207 NetBoot et 274, 276 plages 319 priorité des filtres 320 sites Web 142 statiques 301 adresses IP dynamiques 301 adresses IP statiques 301 AFP (Apple Filing Protocol) 93, 373 agent de répertoire 30 Agent de répertoire (DA) 295 agent de répertoire SLP 30, 376 aide 17 aide en ligne 17 alertes 34 alias, utilisateur 59 Apple Filing Protocol. Voir AFP Apple menu, access to 231 AppleTalk 93, 97, 100, 122 application Directory Setup 56, 60 applications accès aux 225–227, 245 définition de politiques de recherche pour 60 379 problèmes avec les 269 application Terminal 44, 342 Assistant réglages NetBoot 275–280, 282 association de type MIME 153 Assurez 101 attaques pour refus de service 326, 331 attribut d'accès IMAP 349 attribut d'état de connexion POP3 349 audio diffusion 198–201 diffusion en continu 191 en direct 191, 196 pré-enregistré 198–201 authentification alias des utilisateurs 59 basée sur LDAP 55 utilisateurs 45 authentification Basic 194 authentification Digest 194 authentification élémentaire 203 authentification Kerberos 250 autorisation Aucune 80 autorisations. Voir autorisation d'accès autorisations AFP 233 Autorisations clients pour NFS 113 autorisations d'accès catégories d'utilisateurs 81 définition pour WebDAV 162, 163 description 79 données en flux continu 202–206 dossiers 92 éléments partagés 79–82 explicites 80 exportations NFS 112–113 fichiers 92 fichiers de données 203–206 des groupes de travail Gestionnaire Macintosh 228–231 groupes 40, 94 hiérarchie 81 invités 82, 92 point de partage 83 points de partage 40, 94 réglages WebDAV 145–147 restriction 93 380 Index sites Web 133, 134, 145–147 types d' 80 utilisateurs 40, 94, 220 utilisateurs clients 81 autorisations de lecture seule 113 autorisations Écriture seule 80 autorisations explicites 80 autorisations Groupe 81, 86 autorisations Lecture et écriture 80 autorisations Lecture seule 80 Autorisations Monde pour NFS 113 autorisations Monde pour NFS 82 autorisations Possesseur 81, 85 autorisations Tous 81, 86 B balise de serveur NetInfo 308 balise EMBED 193 base de données Utilisateurs et groupes 214 base de recherche LDAP 363 .bin (MacBinary) format 118 BIND 310, 311 boîte de remise 81 bouton Copier 86 bouton Rechercher 332 C cache, DNS 186 cache, serveur Web désactivation pour les pages Web dynamiques 161–162 performances et 143 serveurs proxy 140 stockage 141 CD-ROM accès aux 245 éjection 238 mots de passe 238 en tant que point de partage 89 préférences 266 problèmes d'accès 89 réglages globaux 251 Centre d'impression 121, 124 certificat CA 149, 155 CGI (Common Gateway Interface) 373 chaînes d'erreurs 299 champ d'attributs de courrier 355–358 champs LDAP 56 clients NetBoot connectés au serveur 274–275 liste 309 performances 287–288 clients Windows 102, 104 commande ipfw 340–342 commentaires, utilisateur 71, 218 Common Gateway Interface. Voir CGI compression des données en continu 202 compte postmaster 172–173 comptes d'administrateurs de groupe 218 comptes d'utilisateurs 215, 218 comptes de messagerie 72 compte Tous les autres utilisateurs 252 connexion administrateur 214 Admin Serveur 32, 37 Gestionnaire Macintosh 35, 268 utilisateurs 218 connexions HTTP, enchaînement via 206 connexions persistantes 149 connexions Telnet 67 consignation des paquets 322 coupes-feu 179 courrier Voir aussi courrier électronique; messages activation d'un utilisateur 72 activation d’un utilisateur 73 désactivation d'un utilisateur 72 en nombre 180 entrant 182–183 option NotifyMail 73 réexpédition 74, 176, 312 sortant 183–184 courrier électronique. Voir courrier; messages courrier électronique, Gestionnaire Macintosh 221, 238, 243 CSR (certificate signing request) 156, 156 D DA (Agent de répertoire) 295 DA (Directory Agent) 376 daemons nfsd 111 Dans 47 déconnexion des messages 100 délais 137, 186 dépannage applications 269 attaques pour refus de service 331 filtres IP 332 groupes 78 listes de lecture 200–201 NetBoot 290 problèmes de partage 89 serveur Enchaînement QuickTime 210–212 service d'impression 129–130 service de fichiers Apple 100 service FTP 118–119 service Gestion Macintosh 268–271 services Windows 109 service Web 163–164 système bloqué 269 utilisateurs 78 utilisateurs clients 269–271 Description des services de fichiers 91 DHCP (Dynamic Host Configuration Protocol) activation 307 clients NetBoot et 276 description 30, 373 diffusions arrêt d'une liste de lecture 200 audio 198–201 connexion d'utilisateurs aux 200 démarrage d'une liste de lecture 200 vidéo 198–201 Directory Agent (DA) 376 disque dur capacité du 275 nom du 243 DNS (Domain Name System) description 373 service de courrier et le 169 DNS (Domain Name System). Voir DNS DNS dynamique 313 DNS service uses for 310 Index 381 documents RFC 187 documents RFC (Request for Comments) 187 domaine de l'édition 24 domaine de la création 24 domaine parent NetInfo 309 domaines Voir aussi domaines NetInfo description 46, 61 enfants 50, 52, 53 limitation des utilisateurs dans les 54 locaux 46, 50, 62 parents 52, 53, 309 partagés 47–49, 50, 62 service de courrier 169 domaines, WebDAV 146, 162 domaines enfants 50, 52, 53 domaines locaux 46, 47, 50, 62 domaines NetInfo 50–55 Voir aussi domaines ajout 63 configuration 54–55, 76 création 54 création de hiérarchies 54 données stockées sur des 46 hiérarchies à deux niveaux 51–52 hiérarchies à plusieurs niveaux 53 partage et 50 politiques de recherche 57 recherche dans les hiérarchies 53 réglages 323–325 domaines parents 52, 53, 308, 309 domaines partagés 47, 47–49, 50, 62 données diffusées en continu audio/vidéo en direct 191, 196 contrôle de l'accès aux 206 performances des 211 sources multiples 197 sur des pages web 193–194 visualisation 190 données du service de réseau LDAP 359 données en flux continu contrôle de l'accès aux 202 conversion d'adresse 206 flux en monodiffusion 207 flux en multidiffusion 207 382 Index pares-feu et 206 réseaux et 206 sources multiples 198 sur le port 80 206 visualisation 189 dossier Documents 134 dossier Éléments multi-utilisateurs 264, 266 dossier Extensions 263 dossier Groupes 266 dossier Imprimantes 266 dossier Ordinateurs 266 dossier partagé de groupe 230 dossier partage global 230 dossier Préférences 216 dossier Préférences forcées 261 dossier Préférences initiales 259–261 dossier Préférences maintenues 262 Dossier Remise de documents du groupe 230 dossiers autorisations 92 création 83 dossier Documents 134 dossier Extensions 263 dossier Groupes 266 dossier Imprimantes 266 dossier partage global 230 dossier Préférences 216 dossier Préférences forcées 261 dossier Préférences gérées 257 dossier Préférences initiales 259–261 dossier Préférences maintenues 262 installation de NFS et 111 partage 111 dossier Utilisateurs 266 Dynamic Host Configuration Protocol. Voir DHCP E échangeurs de courrier 312 éditeur de types MIME 155 Éléments de consignation réglages 144 éléments de consignation activité DHCP 303 événements DHCP 309 messages de débogage 299 niveau de détail 107 réglages 98–99, 107, 304 réglages des 195 réglages pour 293 Enregistrements MX (Mail Exchange) 169, 375 enregistrements MX (Mail Exchange) 312 environnement Finder 224, 255, 269 environnement Finder restreint 224, 256 environnements 224 environnements de bureau 255–256 environnement Tableaux 224, 256 étendue, réseau 297 étendues, réseau 293, 294–295 Extensible Markup Language. Voir XML extensions, nom de fichier 118 extensions de noms de fichier 118 F FAI (Fournisseur d'accès à Internet) 374 fenêtre Autorisations 228–231 Fenêtre Avancé 222 fenêtre Avancé 219 fenêtre Configurer le service Web 135–147 fenêtre d'état du service Web 160 fenêtre de partage 84–88 fenêtre des réglages du site 141–149 fenêtre des services référencés 297–298 fenêtre des statistiques du DNS 314 fenêtre Disques et points de partage 87 fenêtre Groupes de travail 223–224, 255 fenêtre Messages 175–176 fenêtre Protocoles 178–179 fiche d'informations, Mac OS X Server 369 fichier d'historique SSL 149 fichier de certificat 148, 156–157 fichier de clé 148 fichier Éléments multi-utilisateurs 266 fichier Journal d'activité 266 fichier préfs CD-ROM 266 fichier qtaccess 204 fichiers autorisations 92 compressés 118 comprimés 202 conversion de 118 fichiers d'accès pour les données en continu 203–204 fichiers de groupe 206 fichiers GIF 162 fichiers compressés 118 fichiers d'accès pour les données en continu 203–204 fichiers d'historique historiques d'accès 144 historiques de site Web 144 fichiers d'historiques affichage 35 historique des accès 98 historique des erreurs 99, 145, 299 historique du système 298 historiques des erreurs 183 historiques SSL 149 utilisation 298 fichiers d'utilisateur 206 fichiers de base de données du Gestionnaire Macintosh 265 fichiers de configuration de relais 208–210 fichiers de consignation historique d'accès 159 historique d'erreurs 159 surveillance du service de filtres IP 330 fichiers de données compression 202 contrôle de l'accès aux 203–206 copie sur le Serveur Enchaînement QuickTime 197–198 en diffusion continue et 211 listes de lecture 198–201 pistes d'indications 197 préparation de l'enchaînement 198 préparation pour la diffusion 196 problèmes de diffusion en continu 200 protégés 203 fichiers de groupe 206 fichiers GIF 162 fichiers historiques historiques d'impression 124 historiques des accès 195 historiques des erreurs 195 Index 383 historiques des files d'attente 127 historiques du serveur 126 fichiers XML 348–350 fichier Utilisateurs et groupes 348–350 files d'attente configuration 125 gestion 123 noms des 127 partage 122–123, 128 protocole LPR 128 réglages des 127–128 File Transfer Protocol. Voir FTP films 198 films de référence 198 filtres, IP adresses IP 328 ajout 321 description 318 identification des problèmes 332 ports UDP 326 filtre Tout port pour Tous 331 flux de données relais 207–210 flux en monodiffusion 207 flux en multidiffusion 207 format MacBinary (.bin) 118 formats de fichiers exportation d'utilisateurs et de groupes 343–351 importation d'utilisateurs et de groupes 343–351 Serveur Enchaînement QuickTime 201–202 Fournisseur d'accès à Internet (FAI) 374 fournisseurs de service Web 25 FTP (File Transfer Protocol) connexions 119 description 27, 374 FTP anonyme 92, 114 FTP anonyme 92, 114 G Gestionnaire d'authentification 103 Gestionnaire Macintosh Voir aussi ordinateurs; utilisateurs; groupes de travail 384 Index capacités système requises 214 comptes d'administrateur 218 connexion 35 description 31, 35 ouverture 36 GID (ID de groupe) 67, 75 glossaire 373–377 groupes 61–78 Voir aussi groupes de travail accès aux points de partage 40 ajout 205 ajout d'utilisateurs aux 75 astuces 76–77 autorisations d'accès 40, 94 caractéristiques des 63 caractéristiques des membres des 75 configuration 63–64 création 64, 74 définition pour le serveur 39 description 39, 61 exportation 76, 343–351 formats de fichiers 343–351 importation 76, 343–351 modification 74 nom des 75 préparation de la configuration 63 primaires 67 problèmes avec les 78 réglages des 74–75 suppression 205 types de données pour les 56 groupes de travail accès aux ordinateurs 241 configuration 253–254 création 215 environnements de bureau 255–256 noms des 223 nom Windows 105 réglages d'autorisations 228–231 réglages des éléments 225–227 réglages des imprimantes 234–236 réglages des membres 223–224 réglages des options 236–238 réglages des volumes 232–233 restreindre l'usage d'ordinateurs à 241–242 suivi des informations dans Gestionnaire Macintosh 265 guide mode d'utilisation 15–16 H hiérarchies parent-enfant 50–53 historique d'accès 159 historique d'erreurs 159 historique des accès 98 historique des erreurs 99, 145, 299 historique du système 298 historiques d'accès 144 historiques d'impression 124 historiques des accès 195 historiques des erreurs 183, 195 historiques des files d'attente 127 historiques du serveur 126 hôtes courrier 182–186 hôtes MX 312 HTML (Hypertext Markup Language) 374 HTTP (Hypertext Transfer Protocol) 374 HTTP port 80 206 Hypertext Markup Language (HTML) 374 Hypertext Transfer Protocol (HTTP) 374 I IANA (Internet Assigned Numbers Authority) 374 ICMP (Internet Control Message Protocol) 374 ID de groupe (GID) 67, 75 ID des utilisateurs 45 ID utilisateur 67 IGMP (Internet Group Management Protocol) 326, 374 image disque NetBoot HD 284–285 IMAP (Internet Message Access Protocol) description 168, 374 impression 125 imprimantes ajout 125 connexion au serveur 121–122 limitation de l'usage des 235 mots de passe 235, 236 partage 121–130 imprimantes compatibles PostScript 121–130, 234 imprimantes du bureau 235 Informations de routage IP 277–280 Inscription via InterNIC 311 interface de lignes de commande 44 Internet 338 Voir aussi Web Internet Assigned Numbers Authority (IANA) 374 Internet Control Message Protocol (ICMP) 374 Internet Group Management Protocol (IGMP) 326, 374 Internet Message Access Protocol. Voir IMAP invités Voir aussi utilisateurs description 82, 92 limitation des connexions 97 nombre maximum de connexions 97 restriction de l'accès 82 K Knowledge Base 271 L l 93 la 102 LDAP (Lightweight Directory Access Protocol) 374 Le 79, 185 Line Printer Remote. Voir LPR liste d'attributs 299 liste de filtres IP 327, 331–332 liste des clients DHCP 309 liste des utilisateurs importés 252 listes de courrier 271 listes de discussion 271 listes de lecture 198–201 logiciel client QuickTime 190 Lorsque 152 LPR (Line Printer Remote) 374 M Mac OS X Server accès aux informations utilisateur 49–50 Index 385 administration 19–44 affichage des informations 35 configuration 16, 36–42 description 19 données partagées et 46–49 fiche d'informations pour 369 informations externes au 49 installation 37 ports utilisés 335–338 ressources 43–44 restrictions des mot de passe 77 rubriques avancées 335–367 services compris 26–31 utilisation dans des environnements différents 20–25 Mail Exchange. Voir MX masques de sous-réseau 276, 306, 318, 328 matériel pour l'enseignement supérieur 22–23 MBONE (Multicast Backbone) 375 membres de groupe 230 menu local Autorisations 86 Message d'accueil lors d'une connexion au service de fichiers Apple 96 messages Voir aussi courrier électronique;courrier copies aveugles 175, 183 distribution impossible 180 entrants 179 expiré 184 notification 179 protocoles des 178–179 rapports de non distribution 184 réexpédition 176 réglages des 175–176 sortants 178 spam et 176–177 suppression automatique de 175 messages bannière pour FTP 116 messages d'accueil pour FTP 116 messages de débogage 299 messages de type "OUVREZ-MOI" pour FTP 117 milieu éducatif 21–23 MIME (Multipurpose Internet Mail Extension) 153–155, 375 Module d'impression 123 386 Index module d'impression 121 module de filtres IP 340 module Filtre IP 342 module mod_auth_apple 150 module mod_hfs_apple 151 module mod_macbinary_apple 150 module mod_perl 152 module mod_redirectacgi_apple 151 module mod_sherlock_apple 150 module MySQL 152 module Partage 79–89 module PHP 152 module QuickTime Plugin 189, 200 modules Apache 150–152 modules de services 33–34 modules open source 151–152 modules Utilisateurs et groupes 343 modules Web 150–152 modules Web spécifiques au Macintosh 150 module Tomcat 151 module Utilisateurs et groupes 61–78 Moniteur d'impression 123, 127 Moniteur de file 123 mot de passe racine 64 mots de passe administrateur 64 authentification et 45 cleartext 103, 109 cryptage 103 éjection de CD-ROM 238 imprimantes 236 pour l'impression 235 restrictions des 77 serveurs de fichiers 101 systèmes Windows 103 utilisateur racine 64 utilisateurs 39, 66, 250 Multicast Backbone (MBONE) 375 Multipurpose Internet Mail Extension. Voir MIME N navigateurs Web 133 NetBIOS (Network Basic Input/Output System) 375 NetBoot 273–290 capacités système requises 274–275 démarrage d'un ordinateur client 283 démarrage d’un ordinateur client 283 description 29, 273 fiche de configuration du serveur 281 installation 282–283 installation du logiciel pour 282 performances 286–288 préparation de l'installation 274–281 problèmes avec 290 stratégies de gestion 286–288 technologie AirPort et 286 utilisation de Gestionnaire Macintosh avec 267–268 utilisations pour 273 Network Basic Input/Output System (NetBIOS) 375 Network File System. Voir NFS Network Service Locator (NSL) 375 NFS (Network File System) 88, 375 noms de domaine ajout au service de courrier 174 inscription 311 serveurs de courrier 174 suppression du service de courrier 174 noms de domaines sites Web 142 NSL (Network Service Locator) 375 numéro de série, serveur 35 ORBS (Open Relay Behaviour-modification System) 375 ordinateur bloqué 269 ordinateurs contrôle de l'accès 213 réglages d'accès des 246–247 réglages de contrôle 242–243 réglages de sécurité 244–245 réglages des emprunts 248 réglages des groupes de travail 241–242 réglages des listes 239–240 suivi des informations dans Gestionnaire Macintosh 265 système bloqué 269 ordinateurs clients accès aux données protégées 203 accès aux éléments des 225–227 activation d'AppleTalk 94 adresses IP 276 ajout à la liste d'accès NFS 113 capacités système requises 274 codage des clients anciens 97 configuration de l'impression pour 125 mise à jour avec serveur Gestionnaire Macintosh 264 nombre maximum de connexions 97, 107 service d'agent de répertoire SLP 293 suppression 113 version AppleShare et 93, 270 outil MakeRefMovie 193 O onglet Accès 246–247 onglet Automontage 87–88 onglet Contrôle 242–243 onglet Éléments 225–227 onglet Emprunt 248 onglet Global 215–216, 249–251 onglet Imprimantes 234–236 onglet Options 236–238 onglet Sécurité 244–245 onglet Volumes 232–233 Open Relay Behaviour-modification System. See ORBS option NotifyMail 73 P page code 106 pages Web désactivation du cache 161–162 dynamiques 161–162 par défaut 134 pages web données en continu des 193–194 lecture de données en continu via 189 pages Web dynamiques 161–162 panneau Accès 145–147 Panneau Consignation 144 panneau Consignation 107 panneau Contrôle d'accès NFS 88, 112 Index 387 panneau Filtre 176–177 panneau NetInfo du service DHCP 308–309 panneau Proxy 140–141 panneau Sécurité 148–149 panneau Types MIME 139 panneau Utilisateurs inactifs 99–100 panneau Voisinage 108 paquets UDP 206 pare-feux 206 partage autorisations 79–82 configuration 83–84 données de réseau 46–49 dossiers 111 fichiers/volumes 79–89 files d'attente 128 imprimantes 121–130 problèmes avec le 89 réglages pour le 84–88 service de courrier 169 performance surveillance 159–160 performances cache et 143 clients NetBoot 286, 287–288 connexions persistantes 149 diffusion en continu 211 réseaux NetBoot 286 serveur NetBoot 286–288 phrase d'accès SSL 149 pilotes LPR 123 pistes d'indications 197 plate-formes croisées pour le service de fichiers 103 point de partage CD-ROM en tant que 89 configuration sur un serveur 76 création 83 définition d'autorisations pour 83 description 79 point de partage Gestionnaire Macintosh 265–266 points de partage autorisations d'accès 40 création 37 388 Index description 37 Gestionnaire Macintosh 265–266 multiples 253 service FTP 114 politiques de recherche 57–60 configuration 60 définition pour des applications personnelles 60 définition pour le serveur 60 description 50 domaines NetInfo 57 par défaut 57 personnalisées 55, 58 serveurs LDAP 56 POP (Post Office Protocol) 167, 375 port 80 194, 206 port HTTP 80 194 ports adresses IP 276, 339 destinés aux sites Web 143 nom 328 numéros 328 ordinateurs sous Mac OS X 335–338 ports de sous-réseaux 306 ports Ethernet 275, 281, 290 ports HTTP 194 ports SMTP 186 ports TCP 335–337 ports UDP 326, 337 ports de sous-réseaux 306 ports Ethernet 275, 281, 290 ports SMTP 186 ports TCP 335–337 ports UDP 326, 337 préférences CD-ROM 266 définies par l'administrateur 216 forcées 261 gérées 258–259 Gestionnaire Macintosh et 216, 257–263 initiales 259–261 Internet 216 maintenues 262–263 stockage des 258 utilisateur 250, 258 préférences gérées 258 problèmes. Voir dépannage procédé d'authentification Digest 203 programmes en direct 190 pré-enregistrés 190, 198–201 utilisateurs se connectant aux 200 Programmes CGI activation de l'exécution 144 programmes CGI activation de l'exécution en CGI 153 installation 153 problèmes 164 utilisation 153 protocole BootP 274, 276, 301 protocole DHCP (Dynamic Host Configuration Protocol) clients NetBoot et 276 protocole IMAP réglages 181 réglages du 180 protocole IMAP (Internet Message Access Protocol) réglages du 73 protocole LDAP (Lightweight Directory Access Protocol) 46 Protocole LDAP (Lightweight Directory Access Protocol). Voir LDAP protocole LPR 122, 128 protocole POP (Post Office Protocol) 73 Protocole POP. Voir POP protocole SDP (Session Description Protocol) 190 protocole SMB 102, 123 Protocole SMTP connections 177 protocole SMTP réglages 179–180 Protocole SMTP. Voir SMTP Q QTSS. Voir Serveur Enchaînement QuickTime QTSSAccessModule 202 QuickTime 5 189, 190, 194, 203 QuickTime Player 190, 197 QuickTime Pro 197 R Real Time Streaming Protocol (RTSP) 376 Real-Time Transport Protocol (RTP) 376 réexpédition de courrier 74, 176 réglages 176–177 automontage 87–88 consignation 98–99, 107, 144, 195, 293, 304 Contrôle d'accès NFS 88 courrier indésirable 177 de partage généraux 85–86 groupes 74–75 messages 175–176 NetInfo 323–325 proxy 140–141 répertoires d'accueil 38 réseaux 185–186 sécurité 148–149 serveur Enchaînement QuickTime 192, 194–196 service d'impression 126–129 service de courrier 71–74, 173–186 service de fichiers Apple 94–100 service FTP 115 service Gestion Macintosh 216–251 service NFS 111–113 services Windows 105–108 service Web 135–147 sites Web 138–139, 141–147 sous-réseaux 305–309 types MIME 139 utilisateurs 64–74 utilisateurs connectés 195 réglages d'automontage 88 réglages d'économies d'énergie 243 réglages de filtre, courrier indésirable 177 réglages de montage auto 87 réglages de partage généraux 86 réglages des filtres de courrier indésirable, courrier indésirable 176 réglages généraux de partage 85 réglages POP3 181 réglages proxy 140–141 Index 389 réglages Voisinage 108 règles, filtres IP 340–342 relais, flux de données 207–210 relais SMTP 180, 182, 184 répertoire Films 194 répertoires d'accueil accès impossible 271 accès impossible aux fichiers des 78 base de données Utilisateurs et groupes 214 création manuelle 69 définition 38, 68–70, 77 montage automatique 76–77 organisation 70 réglages par défaut 38 utilisateurs réels 117 réponses ICMP echo 326 requête de signature de certificat (CSR) 157, 157 réseau configuration de groupes de travail en 253–254 réseaux données en flux continu et 206 étendues 293, 294–295 organisation 274–280 partage de files d'attente sur 122–123 performances NetBoot 286 réseaux TCP/IP 338–343 ressources de gestion 43 vitesse du réseau Ethernet 286 réseaux Ethernet 275, 286 ressources gestion de réseaux 43 Mac OS X Server 43–44 Serveur Enchaînement QuickTime 212 serveur Web d'Apache 43 service de courrier 186–187 services de fichiers 120 services de réseau 333 service Web 164 TCP/IP 343 XML 351 routeurs 293, 307 RTP (Real-Time Transport Protocol) 376 RTSP (Real Time Streaming Protocol) 376 390 Index S sauvegardes, serveur 367 scripts, CGI 152 SDP (Session Description Protocol) 376 Secure Sockets Layer. Voir SSL sécurité 82 actions limitées pour les utilisateurs 244 exportations NFS 110 Gestionnaire Macintosh et 263 optimisation 256 options de 215–216 précautions en matière de partage de fichiers 92 réglages de l'ordinateur client 229, 244–245 réglages globaux 249–251 restriction de l'accès aux fichiers 82 serveurs FTP 114, 117 sites Web 133 transactions Web sécurisées 148–149 WebDAV 133 sécurité de la station 229 séquence de référence 194 séquences 193 séquences de référence 198 Serveur d'Enchaînement QuickTime (QTSS) description 375 serveur de fichiers Apple 329 serveur de fichiers Windows 105 Serveur Enchaînement QuickTime (QTSS) 189 configuration 192 configuration requise 190 contrôle de l'accès aux données en flux continu 202 conversion d'adresse 206 copie de fichiers de données sur 198 description 189 fonctions du 189 formats de fichiers compatibles 201 préparation de fichiers de données pour 198 préparation de la configuration 190 ressources 212 utilisations pour 190 visualisation de données en flux continu 189 serveur Enchaînement QuickTime (QTSS) astuces 196–201 configuration 194 contrôle de l'accès aux données diffusées 206 copie de fichiers de données sur 197 formats de fichiers compatibles 202 préparation de l'installation 191 problèmes avec 210–212 réglages du 192, 194–196 relais 207–210 utilisateurs connectés au 195 visualisation de données en flux continu 190 serveur Enchaînement QuickTime(QTSS) description 28 serveurs Voir aussi serveurs LDAP; Mac OS X Server; serveur Enchaînement QuickTime activation de SSL 157–159 actualisation des clients avec 264 administration par les utilisateurs 39 adresses IP multiples 207 clients NetBoot connectés aux 274–275 compte de messagerie sur des 72 configuration de point de partage sur 76 connexion d'imprimantes aux 121–122 démarrage impossible 210 fermeture inopinée 210 impossible de se connecter aux 269 navigation 102 nom 95 noms 105 numéro de série 35 performance 159–160 performances 149, 286–288 sauvegarde 367 serveurs de fichiers 100 serveurs de fichiers Windows 105 serveurs de noms 30, 310 serveurs DHCP 313 serveurs DNS 30, 308 serveurs FTP 114, 116, 119 serveurs LDAP 55–56, 363 serveurs NetBoot 281–283 serveurs ORBS 176, 177 serveurs proxy 140–141 serveurs SMTP 177 serveurs WINS 108 serveur Web d'Apache 43, 132, 160 surveillance de l'activité 159–160 utilisateurs administrateurs 66 utilisateurs se connectant aux 66 serveurs de courrier 312 serveurs de noms 30, 310 serveurs DHCP 301, 313 serveurs DNS 30, 308, 310 serveurs FTP connexion impossible 119 messages bannière 116 messages d'accueil 116 sécurité 114, 117 serveurs Internet. Voir serveurs Web serveurs LDAP 55–56 affectations par défaut 360 attributs de connexion 56 authentification et 55 configuration 55–56, 363 configuration de l'accès aux données 361–366 connexions 365 description 46 identification 56, 363 politiques de recherche 56 spécifications des données 351–366 stockage des données 366 serveurs NetBoot 281–283 serveurs ORBS 176, 177 serveurs proxy 140–141 serveurs SMTP 177 serveurs Web Voir également serveurs certificat 157 connexions persistantes 137 délais de connexion 137 maximum de requêtes 137 serveur Web d'Apache 43, 132, 160 serveurs Windows 105–108 serveurs WINS 108 serveur Web d'Apache Index 391 configuration 132, 160 ressources 43, 164 service d'agent de répertoire SLP 292 avant l'installation 292 démarrage 295 installation 293–295 utilisations 292 service d'impression 121–130 configuration 125 démarrage 125 description 27, 102, 121 installation 124 préparation de l'installation 124 problèmes avec le 129–130 réglages du 126–129 service de courrier 167–187 activation des utilisateurs 72–73 activation pour les utilisateurs 172–173 configuration 170, 171, 173 courrier indésirable et 176–177 démarrage 170 description 28, 167 domaines multiples 169 enregistrements MX 170 partage 169 préparation de l'installation 168–169 protocole IMAP 168 protocole POP 167 protocole SMTP (Simple Mail Transfer Protocol) 168 réglages 173–186 réglages de l'hôte 172, 182–186 réglages de réseau 185–186 réglages des protocoles 178–181 réglages du 71–74 ressources 186–187 serveur unique 168 utilisation du service DNS 312 service de fichiers Apple 93–101 avant l'installation 93 configuration 94 démarrage 83, 94 Description 91 description 27 installation 94 392 Index problèmes 100 réglages 94–100 spécifications 101 service de filtres IP 316–333 ajout de filtres 321 astuces 329–332 avant l'installation 317–320 configuration 320 démarrage 321 démarrage automatique 322 description 30, 316–317 historiques 330 installation 320–321 modification de l'état par défaut 331 problèmes 332 réglages 321–328 surveillance 330 utilisations 317 service de répertoire SLP réglages 295 service DHCP 300–309 astuces 309 avant l'installation 301–302 consignation 303 démarrage 304 description 30 historiques 309 installation 302–304 réglages 304–309 utilisations 300 service DNS 310–315 adresses IP dynamiques 313 astuces 312–315 avant l'installation 310 démarrage 312 description 30 installation 311 surveillance 314–315 utilisation avec le service de courrier 312 Service FTP Description 91 service FTP 114–120 accès en invité 114 anonyme 114, 115 avant l'installation 114 configuration 115 démarrage 115 description 117–118 installation 114 points de partage 114 problèmes 118–119 réglages 115 spécifications 120 stratégies 116–117 service Gestion Macintosh 213–271 adresses électroniques 243 ajout d'un administrateur 215 ajout de comptes d'utilisateurs 215 arrêt 36 comptes de messagerie 221 connexion en tant qu'administrateur 214 contrôle d'accès et 213 démarrage 36, 214, 257 description 29, 213 fichiers de base de données 265 installation 214–216, 253, 283 optimisation de la sécurité 256 préférences 257–263 préparation de l'installation 214 problèmes avec 268–271 réglages du 216–251 réseaux de grande taille et 253 sécurité et 263 sources d'information 271 stratégies de gestion 252–257 suivi des informations dans 265 utilisation avec NetBoot 267–268 utilisation du 213 Service Location Protocol. Voir SLP Service NFS Description 91 service NFS 110–113 avant l'installation 110 configuration 111 description 27 installation 111 partage de dossiers 111 réglages 111–113 réglages du contrôle d'accès 112–113 utilisations 110 services Voir aussi services spécifiques administration 31–36 compris dans Mac OS X Server 26–31 configuration de services complémentaires 41–42 données utilisateur requises par les 45 inscriptions 296 référencés 298 requêtes 296 résiliations 296 termes 296 services d'application 31 Services de fichiers Les types de 91 services de fichiers 91–120 avant l'installation 91–93 description 26, 102 ressources 120 services de gestion des clients 28 services de navigation de domaine 108 services de répertoire 26, 45–60 services de réseau affectation à des étendues 295 affectation des données 359 affectation des données affectation 359 description 291 ressources 333 services compris avec Mac OS X Server 29 service SLP DA 300 astuces 298–300 réglages 298 service SSL (Secure Sockets Layer) 155–159 Services Windows Description 91 services Windows 102–109 activation de l'impression 125 avant l'installation 104 configuration 104 démarrage 104 description 27 installation 104 problèmes 109 réglages 105–108 spécifications 109 Index 393 service Web 131–165 astuces 149–163 autorisations de site Web 134 configuration 132, 134 démarrage 135 description 28, 131 dossier Documents 134 installation 133–135 installation de sites Web 132 outils 159–160 page par défaut 134 performance du serveur 159–160 préparation de la configuration 131–133 problèmes 163–164 réglages 135–147 ressources 164 spécifications 164 surveillance de l'activité du serveur 159–160 transactions sûres 132, 155–159 service Windows avant l'installation 102 Session Description Protocol (protocole SDP) 190 Session Description Protocol (SDP) 376 Sites Web chemin 146 informations 138 réglages 147 réglages d'accès 147 répertoires 143 sites Web activation/désactivation 138 adresses IP 142 ajout 138 attribution d'autorisations 134 autorisations d'accès 133 connexion 135 connexions persistantes 137, 149 duplication 138 hébergement 133, 135 installation 132 modification 138 nombre maximal de connexions 137 noms de domaines 142 page par défaut 134 394 Index problèmes de connexion 163 réglages 138–139, 141 réglages d'accès 145 sécurité 133 serveur Web d'Apache 43 suppression 139 sites web AppleCare 271 logiciel client QuickTime 190 QuickTime 197 site web d'AppleCare 271 site web QuickTime 197 SLP (Service Location Protocol) 29, 95, 376 SMB (Server Message Block) 376 SMTP (Simple Mail Transfer Protocol) description 168, 376 noms 177 sources d'information service Gestion Macintosh 271 sous-réseaux création 301, 302–303 réglages 305–309 spécifications données LDAP 351–366 service de fichiers Apple 101 service FTP 120 services Windows 109 service Web 164 SSL (Secure Sockets Layer) activation 136, 148, 157–159 description 132, 376 suffixes MIME 153 supports amovibles 230 systèmes Mac OS directives sur les plate-formes croisées 103 protocole LPR 123 versions antérieures de 258 systèmes Mac OS X 335–338 systèmes UNIX 123 systèmes Windows directives sur les plate-formes croisées 103 impression et 125, 126 protocole LPR 123 validation de mot de passe 103 T tâches d'impression gestion 123 priorité des 128, 129 réglages des 129 surveillance 123 suspension 128, 129 tâches d'impression LPR 126 TCP (Transmission Control Protocol) 112, 376 TCP/IP accès impossible au serveur 332 réseaux privés 338 ressources 343 rubriques avancées 335–343 technologie AirPort 286 Time to Live (TTL) 377 Transmission Control Protocol (TCP) 112, 376 transmissions en direct 191, 196 TTL (Time to Live) 377 tunnellisation 293 type de données Password 56 type de données RealName 56 type de données RecordName 56 type de données UniqueID 56 types de données informations groupe 56 informations utilisateur 56 Types MIME 139 U UDP (User Datagram Protocol) 112, 377 Unicode 93, 102 Universal Serial Bus (USB) 122, 377 URL (Uniform Resource Locators) 377 USB (Universal Serial Bus) 122, 377 User Datagram Protocol. Voir UDP utilisateur Personne 113 utilisateurs 61–78 Voir aussi invités accès au Gestionnaire Macintosh 252 accès aux données protégées 203 accès aux informations relatives aux 49–50 accès aux points de partage 40 activation du service de courrier 72–173 activation du service de courrier pour les 73, 172 administrateurs du serveur 66 administration du serveur 39 ajout aux fichiers d'utilisateur pour l'accès à la diffusion 205 ajout aux groupes 223–224 ajout de groupes 75 alias 59 astuces 76–77 authentification 45 autorisations d'accès 40, 94, 220, 228–231 caractéristiques des 62 catégories 81 commentaires 71, 218 configuration 63–64 connectés au serveur d'enchaînement 195 connexion 218 connexion à des programmes 200 connexion impossible 78 création 64 déconnexion automatique 77 définition dans un domaine local 47 définition de répertoires d'accueil pour 77 définition de répertoires d'accueil pour les 68–70 définition pour le serveur 38–39 désactivation du service de courrier des 72 description 61 données de réglage 113 données partagées et 46–49 données requises par les services 45 exportation 76, 343–351 formats de fichiers 343–351 importation 76, 343–351 informations relatives aux 61–62 limitation des connexions 97 limitation des utilisateurs par domaine 54 modification 65 mots de passe 39, 66, 250 nom 38 nombre maximum de connexions en continu 194 nom des 45, 65, 217 Index 395 non référencés 82 ouverture de session 66 préférences 250, 258 préparation de la configuration 63 problèmes avec les 78 réexpédition du courrier des 74 réglages avancés du Gestionnaire Macintosh 219–222 réglages d'affectation 351–358 réglages des 64–74 réglages de sécurité 244 réglages élémentaires du Gestionnaire Macintosh 217–218 shell d'accès des 67 suivi des informations dans Gestionnaire Macintosh 265 types d' 218 types de données pour les 56 utilisateurs anonymes FTP 118 utilisateurs clients 81 utilisateurs réels vs anonymes 117 utilisateurs référencés 93 utilisateurs clients 81, 269–271 utilisateurs non référencés. Voir invités utilisateurs Windows activation de l'impression pour les 125 connexion impossible 109 V vidéo diffusion 198–201 diffusion en continu 191 en direct 191, 196 pré-enregistré 198–201 Virtual Private Networks ( VPN) 377 Visualiseur d'historique 35, 163 visualiseur d'historique 121, 124 Voisinage réseau 109 VPN ( Virtual Private Networks) 377 W Web-based Distributed Authoring and Versioning. Voir WebDAV 396 Index WebDAV ( Web-based Distributed Authoring and Versioning) activation 137, 143 définition d'autorisations d'accès 162, 163 définition de domaines 162 description 131, 377 sécurité 133 WebObjects 31 Windows Internet Naming Service. Voir WINS WINS ( Windows Internet Naming Service) 102, 377 X XML (Extensible Markup Language) description 377 exemple 344–347 ressources 351