▼
Scroll to page 2
of
264
Mac OS X Server Administration de serveur Pour Leopard 10.5 K Apple Inc. © 2007 Apple Inc. Tous droits réservés. En vertu de la législation en vigueur sur les droits d’auteur, ce manuel ne peut pas être copié, dans son intégralité ou partiellement, sans l’accord préalable écrit d’Apple. Le logo Apple est une marque d’Apple Inc., déposée aux États-Unis et dans d’autres pays. En l’absence du consentement écrit d’Apple, l’utilisation à des fins commerciales de ce logo via le clavier (Option + 1) pourra constituer un acte de contrefaçon et/ou de concurrence déloyale. Tous les efforts nécessaires ont été mis en œuvre pour que les informations contenues dans ce manuel soient les plus exactes possibles. Apple n’est pas responsable des erreurs d’impression ou de reproduction. Apple 1 Infinite Loop Cupertino, CA 95014-2084 408-996-1010 www.apple.com Apple, le logo Apple, AirPort, AppleTalk, Final Cut Pro, FireWire, iCal, iDVD, iMovie, iPhoto, iPod, iTunes, Mac, Macintosh, le logo Mac, Mac OS, PowerBook, QuickTime et SuperDrive sont des marques d’Apple Inc., déposées aux États-Unis et dans d’autres pays. Finder, le logo FireWire et Safari sont des marques d’Apple Inc. AppleCare et Apple Store sont des marques de service d’Apple Inc., déposées aux États-Unis et dans d’autres pays. .Mac est une marque de service d’Apple Inc. PowerPC est une marque d’International Business Machines Corporation, utilisée sous licence. Les autres noms de sociétés et de produits mentionnés ici sont des marques de leurs détenteurs respectifs. La mention de produits tiers n’est effectuée qu’à des fins informatives et ne constitue en aucun cas une approbation ni une recommandation. Apple n’assume aucune responsabilité vis-à-vis des performances ou de l’utilisation de ces produits. Le produit décrit dans ce manuel incorpore une technologie de protection des droits d’auteur protégée par des revendications de procédé incluses dans certains brevets et autres droits de propriété intellectuelle détenus aux États-Unis par Macrovision Corporation et d’autres propriétaires de droits. L’utilisation de cette technologie de protection des droits d’auteur doit être autorisée par Macrovision Corporation et est réservée à un cadre domestique et à d’autres circonstances limitées, à moins de disposer d’une autorisation spéciale de la part de Macrovision Corporation. Tout désassemblage ou ingénierie inverse est interdit. Revendications de produit des brevets nº 4.631.603, 4.577.216, 4.819.098 et 4.907.093 (États-Unis) sous licence pour un usage limité. Publié simultanément aux États-Unis et au Canada. F019-0932/2007-09-01 1 Table des matières Préface 11 11 12 12 13 14 14 15 15 À propos de ce guide Nouveautés d’Admin Serveur Contenu de ce guide Utilisation de l’aide à l’écran Guides d’administration de Mac OS X Server Visualisation de guides PDF à l’écran Impression des guides PDF Obtenir des mises à jour de documentation Pour obtenir des informations supplémentaires Chapitre 1 17 17 18 19 20 21 24 Vue d’ensemble du système et normes standard prises en charge Configuration requise pour l’installation de Mac OS X Server Description des configurations de serveur Configuration avancée en action Améliorations apportées à Mac OS X Server Leopard Normes standard prises en charge L’héritage UNIX de Mac OS X Server Chapitre 2 25 26 26 27 27 28 29 29 30 30 30 31 32 33 34 Planification Planification Planification pour la mise à niveau ou la migration vers Mac OS X Server 10.5 Mise en place d’une équipe de planification Identification des serveurs à mettre en place Choix des services à héberger sur chaque serveur Définition d’une stratégie de migration Mise à niveau et migration à partir d’une version antérieure de Mac OS X Server Migration à partir de Windows NT Définition d’une stratégie d’intégration Définition de la configuration de l’infrastructure matérielle Définition de l’infrastructure minimale pour la configuration du serveur Vérification de la disponibilité du matériel nécessaire pour le serveur Limitation de la nécessité de déplacer des serveurs après la configuration Définition de politiques de sauvegarde et de restauration 3 34 35 36 37 38 39 4 Description des politiques de sauvegarde et de restauration Description des types de sauvegarde Description de la planification de sauvegardes Description des restaurations Autres considérations en matière de politique de sauvegarde Outils de ligne de commande de restauration et de sauvegarde Chapitre 3 41 42 42 43 45 45 46 47 48 49 50 51 51 53 54 54 55 56 Outils d’administration Admin Serveur Ouverture de l’application Admin Serveur et authentification Interface d’Admin Serveur Personnalisation de l’environnement d’Admin Serveur Assistant du serveur Gestionnaire de groupe de travail Interface de Gestionnaire de groupe de travail Personnalisation de l’environnement du Gestionnaire de groupe de travail Répertoire Interface de Répertoire Utilitaire d’annuaire Contrôle de serveur Gestion des images système Gestion de l’enchaînement de données Utilitaires de ligne de commande Xgrid Admin Apple Remote Desktop Chapitre 4 57 57 58 58 59 59 60 60 61 61 61 62 62 63 64 65 66 Sécurité À propos de la sécurité physique À propos de la sécurité du réseau Coupe-feu et filtres de paquets Zone démilitarisée réseau Réseaux locaux virtuels Filtrage MAC Chiffrement du transport Chiffrement de la charge utile À propos de la sécurité des fichiers Autorisations d’accès aux fichiers et aux dossiers À propos du chiffrement des fichiers Suppression sécurisée À propos de l’authentification et de l’autorisation Signature unique À propos des certificats, de SSL et de l’infrastructure à clé publique Clés publiques et privées Table des matières Chapitre 5 67 67 68 68 68 69 70 71 71 73 74 75 75 75 76 76 77 77 77 77 79 80 80 81 81 84 84 Certificats Autorités de certificat Identités Certificats auto-signés Gestionnaire de certificats dans Admin Serveur Préparation des certificats Demande de certificat auprès d’une autorité de certificat Création d’un certificat auto-signé Création d’une autorité de certificat Utilisation d’une AC pour créer un certificat destiné à quelqu’un d’autre Importation d’un certificat Gestion des certificats Modification d’un certificat Distribution d’un certificat public d’AC à des clients Suppression d’un certificat Renouvellement d’un certificat arrivé à expiration Utilisation de certificats SSH et les clés SSH Ouverture de session SSH à base de clés Génération d’une paire de clés pour SSH Sécurité au niveau de l’administration Définition de privilèges au niveau de l’administration Sécurité au niveau du service Définition d’autorisations de liste SACL Pratiques d’excellence en matière de sécurité Directives en matière de mots de passe Création de mots de passe complexes 85 85 87 88 88 88 89 89 89 90 90 90 91 92 93 Installation et déploiement Vue d’ensemble de l’installation Configuration requise pour l’installation de Mac OS X Server Instructions matérielles pour l’installation de Mac OS X Server Collecte des informations nécessaires Préparation d’un ordinateur administrateur À propos du disque d’installation du serveur Configuration de services réseau Connexion au répertoire au cours de l’installation Installation du logiciel serveur sur un ordinateur en réseau À propos du démarrage pour l’installation Avant de démarrer Accès à distance au DVD d’installation Démarrage à partir du DVD d’installation Démarrage à partir d’une partition alternative Table des matières 5 Chapitre 6 97 98 106 107 107 109 111 112 114 115 115 Démarrage à partir d’un environnement NetBoot Préparation des disques pour l’installation de Mac OS X Server Identification du serveur distant lors de l’installation de Mac OS X Server Installation interactive du logiciel serveur Installation locale à partir du disque d’installation Installation à distance à l’aide d’Assistant du serveur Installation à distance à l’aide de VNC Installation du logiciel serveur à l’aide de l’outil de ligne de commande installer Installation de plusieurs serveurs Mise à niveau d’un ordinateur de Mac OS X à Mac OS X Server Comment rester à jour 117 117 117 118 118 119 120 121 122 122 123 124 125 127 128 130 130 132 133 134 136 137 140 Configuration initiale du serveur Informations nécessaires Report de la configuration de serveur après l’installation Connexion au réseau lors de la configuration initiale du serveur Configuration de serveurs avec plusieurs ports Ethernet À propos des réglages établis au cours de la configuration initiale du serveur Spécification de l’utilisation initiale d’Open Directory Mise à jour sans changer l’utilisation de répertoire Configuration d’un serveur comme serveur autonome Configuration d’un serveur pour la connexion à un système de répertoire Utilisation de la configuration interactive de serveur Configuration interactive d’un serveur local Configuration interactive d’un serveur distant Configuration interactive d’un lot de serveurs distants Utilisation de la configuration automatique de serveurs Création et enregistrement de données de configuration Données de configuration enregistrées dans un fichier Données de configuration enregistrées dans un répertoire Stockage de copies de sauvegarde des données de configuration enregistrées Transmission des fichiers de données de configuration aux serveurs Procédure de recherche par un serveur de données de configuration enregistrées Configuration automatique de serveurs avec des données enregistrées dans un fichier Configuration automatique de serveurs avec des données enregistrées dans un répertoire Détermination de l’état des configurations Utilisation de la sous-fenêtre Destination pour les informations d’état de configuration Gestion des échecs de configuration Gestion des avertissements de configuration Obtention d’informations d’état sur l’installation de la mise à niveau Configuration des services Ajout de services à l’affichage Serveur 143 143 143 144 144 145 145 6 Table des matières 145 146 146 147 148 149 149 149 150 150 150 151 151 Chapitre 7 153 154 154 154 155 155 156 157 157 158 159 159 162 162 163 164 164 165 165 166 167 168 169 170 170 171 171 172 174 Configuration d’Open Directory Configuration de la gestion des utilisateurs Configuration des services de fichiers Configuration du service d’impression Configuration de service web Configuration du service de messagerie Configuration de services réseau Configuration de services d’image système et de services de mise à jour de logiciels Configuration de la diffusion de données Configuration de Podcast Producer Configuration du service WebObjects Configuration du service iChat Configuration du service iCal Gestion Ports utilisés pour l’administration Ports ouverts par défaut Ordinateurs permettant d’administrer un serveur Configuration d’un ordinateur administrateur Administration au moyen d’un ordinateur non Mac OS X Utilisation des outils d’administration Ouverture de l’application Admin Serveur et authentification Ajout et suppression de serveurs dans Admin Serveur Regroupement manuel de serveurs Regroupement de serveurs à l’aide de groupes intelligents Utilisation des réglages d’un serveur spécifique Modification de l’adresse IP d’un serveur Modification du nom d’hôte du serveur après la configuration Modification du type de configuration du serveur Administration des services Ajout et suppression de services dans Admin Serveur Importation et exportation des réglages de service Contrôle de l’accès aux services Utilisation de SSL pour l’administration à distance des serveurs Gestion du partage Autorisations d’administration par niveaux Définition des autorisations d’administration Notions élémentaires sur Gestionnaire de groupe de travail Ouverture de Gestionnaire de groupe de travail et authentification Administration de comptes Gestion des utilisateurs et des groupes Définition des préférences gérées Utilisation de données de répertoire Table des matières 7 174 175 Chapitre 8 8 175 176 180 180 181 181 182 183 183 184 185 185 187 189 190 191 191 191 Personnalisation de l’environnement de Gestionnaire de groupe de travail Gestion d’ordinateurs de versions antérieures à la version 10.5 à partir de serveurs de version 10.5 Assistants de configuration des services Fichiers de données et de configuration critiques Amélioration de la disponibilité des services Élimination des points de défaillance uniques Utilisation de Xserve pour obtenir une haute disponibilité Utilisation d’une alimentation de réserve Configuration du redémarrage automatique de votre serveur Pour assurer de bonnes conditions de fonctionnement Fourniture de répliques Open Directory Agrégation de liens Le protocole d’agrégation de liens (LACP, Link Aggregation Control Protocol) Scénarios d’agrégation de liens Configuration de l’agrégation de liens dans Mac OS X Server Contrôle de l’état de l’agrégation de liens Équilibrage de la charge Vue d’ensemble des démons Visualisation des démons en cours d’exécution Contrôle des démons 193 193 194 194 195 195 196 196 197 198 199 201 201 201 204 205 205 207 207 208 208 Contrôle Planification d’une politique de contrôle Planification d’une réponse de contrôle Widget d’état du serveur Contrôle de serveur RAID Admin Console Outils de contrôle de disque Outils de contrôle de réseau Notification dans Admin Serveur Contrôle des aperçus de l’état du serveur à l’aide d’Admin Serveur Protocole SNMP (Simple Network Management Protocol) Activation des rapports SNMP Configuration de snmpd Démons de notification et de contrôle des événements Journalisation Syslog Journalisation de débogage du service de répertoire Journalisation Open Directory Journalisation AFP Outils de contrôle supplémentaires Table des matières Chapitre 9 209 209 210 Exemple de configuration Un seul Mac OS X Server dans une petite entreprise Configuration du serveur Annexe 221 Feuille d’opérations avancées de Mac OS X Server Glossaire 235 Index 257 Table des matières 9 Préface À propos de ce guide Le présent guide constitue le point de départ pour toute personne souhaitant administrer Mac OS X Leopard Server en mode de configuration avancée. Il contient des informations sur l’utilisation d’Admin Serveur pour la planification, les pratiques, les outils, l’installation, le déploiement, etc. Administration du serveur n’est pas le seul guide nécessaire pour administrer un serveur en mode avancé, mais il offre une vue d’ensemble sur la planification, l’installation et la maintenance de Mac OS X Server à l’aide d’Admin Serveur. Nouveautés d’Admin Serveur Admin Serveur, outil d’administration de serveur Apple à la fois puissant, flexible et très complet, est inclus avec Mac OS X Server 10.5. Ses capacités ont été renforcées en ce qui concerne la fiabilité et la prise en charge des normes standard. Admin Serveur bénéficie également de plusieurs améliorations :  Nouvelle interface revue et rationalisée.  Gestion des points de partage (une fonctionnalité qui provient de Gestionnaire de groupe de travail).  Notification des événements.  Administration par niveaux (autorisations administratives déléguées).  Possibilité d’afficher ou de masquer les services selon les besoins.  Vues d’ensemble simples et détaillées de l’état d’un ou de plusieurs serveurs.  Groupes de serveurs.  Groupes de serveurs intelligents.  Possibilité d’enregistrer et de restaurer facilement des configurations de services.  Possibilité d’enregistrer et de restaurer facilement des préférences Admin Serveur. 11 Contenu de ce guide Ce guide comprend les chapitres suivants :  Chapitre 1, « Vue d’ensemble du système et normes standard prises en charge, » fournit une brève vue d’ensemble des systèmes et des normes standard Mac OS X Server.  Chapitre 2, « Planification, » vous aide à planifier l’utilisation de Mac OS X Server.  Chapitre 3, « Outils d’administration, » constitue une référence sur les outils utilisés pour administrer des serveurs.  Chapitre 4, « Sécurité, » est un bref guide sur les politiques et pratiques en matière de sécurité.  Chapitre 5, « Installation et déploiement, » est un guide d’installation de Mac OS X Server.  Chapitre 6, « Configuration initiale du serveur, » est un guide sur la configuration de votre serveur après l’installation.  Chapitre 7, « Gestion, » explique comment utiliser Mac OS X Server et les services.  Chapitre 8, « Contrôle, » montre comment surveiller Mac OS X Server et comment y ouvrir une session. Remarque : étant donné qu’Apple publie régulièrement de nouvelles versions et mises à jour de ses logiciels, les illustrations de ce document peuvent être différentes de celles qui s’affichent à l’écran. Utilisation de l’aide à l’écran Visualisation Aide permet d’obtenir des instructions à l’écran tout en gérant Leopard Server. L’aide peut être affichée sur un serveur ou sur un ordinateur administrateur (Un ordinateur administrateur est un ordinateur Mac OS X sur lequel est installé le logiciel d’administration de serveur Leopard Server.) Pour obtenir de l’aide dans le cas d’une configuration avancée de Mac OS X Leopard Server : m Ouvrez Admin Serveur ou Gestionnaire de groupe de travail, puis :  Utilisez le menu Aide pour rechercher une tâche à exécuter.  Choisissez Aide > Aide Admin Serveur ou Aide > Aide Gestionnaire de groupe de travail avant d’explorer les rubriques d’aide et d’effectuer des recherches. L’Aide l’écran contient des instructions issues de Administration du serveur et d’autres guides d’administration avancés décrits dans « Guides d’administration de Mac OS X Server ». 12 Préface À propos de ce guide Pour visualiser les rubriques d’aide les plus récentes concernant les serveurs : m Assurez-vous que le serveur ou l’ordinateur administrateur est connecté à Internet pendant que vous consultez l’Aide. Visualisation Aide extrait automatiquement les rubriques d’aide les plus récentes depuis Internet et les stocke en mémoire cache. Lorsque vous n’êtes pas connecté à Internet, Visualisation Aide affiche les rubriques d’aide mises en cache. Guides d’administration de Mac OS X Server Premiers contacts traite de l’installation et de la configuration des configurations standard et de groupe de travail de Mac OS X Server. Pour les configurations avancées, consultez Administration du serveur, qui regroupe la planification, l’installation, la configuration et l’administration du serveur en général. Une série de guides supplémentaires, énumérés ci-dessous, décrit la planification, la configuration, ainsi que la gestion avancée des services individuels. Vous pouvez obtenir ces guides au format PDF sur le site web de documentation de Mac OS X Server : www.apple.com/fr/server/documentation Ce guide... explique comment : Premiers contacts et Feuille d’opération d’installation et de configuration Installer Mac OS X Server et le configurer pour la première fois. Administration de ligne de commande Installer, configurer et gérer Mac OS X Server à l’aide de fichier s de configuration et d’outils de ligne de commande UNIX. Administration des services de fichier Partager certains volumes ou dossiers de serveur entre les clients du serveur, à l’aide des protocoles AFP, NFS, FTP et SMB. Administration du service iCal Configurer et gérer le service de calendrier partagé d’iCal. Administration du service iChat Configurer et gérer le service de messagerie instantanée d’iChat. Configuration de la sécurité de Mac OS X Renforcer la sécurité des ordinateurs (clients) Mac OS X, comme l’exigent les entreprises et les organismes publics. Configuration de la sécurité de Mac OS X Server Renforcer la sécurité de Mac OS X Server et de l’ordinateur sur lequel il est installé, comme l’exigent les entreprises et les organismes publics. Administration du service de messagerie Configurer et gérer les services de messagerie IMAP, POP et SMTP sur le serveur. Administration des services de réseau Installer, configurer et administrer les services DHCP, DNS, VPN, NTP, coupe-feu IP, NAT et RADIUS sur le serveur. Administration d’Open Directory Configurer et gérer les services de répertoire et d’authentification, ainsi que configurer les clients autorisés à accéder aux services de répertoire. Administration de Podcast Producer Configurer et gérer le service Podcast Producer destiné à enregistrer, traiter et distribuer des podcasts. Préface À propos de ce guide 13 Ce guide... explique comment : Administration du service d’impression Héberger les imprimantes partagées et gérer les files d’attente et travaux d’impression associés. Administration de QuickTime Streaming et Broadcasting Capturer et encoder du contenu QuickTime. Configurer et gérer le service QuickTime Streaming en vue de diffuser des données multimédias en temps réel ou à la demande. Administration du serveur Mettre en place l’installation et la configuration avancées du logiciel serveur et gérer des options qui s’appliquent à plusieurs services ou à l’intégralité du serveur. Administration de Mise à jour de logiciels et d’Imagerie système Utiliser NetBoot, NetInstall et Mise à jour de logiciels pour automatiser la gestion du système d’exploitation et des autres logiciels utilisés par les ordinateurs clients. Mise à niveau et migration Utiliser des réglages de données et de services correspondant à une version antérieure de Mac OS X Server ou de Windows NT. Gestion des utilisateurs Créer et gérer des comptes utilisateur, des groupes et des ordinateurs. Configurer les préférences gérées des clients Mac OS X. Administration des technologies web Configurer et gérer des technologies web telles que les blogs, WebMail, wiki, MySQL, PHP, Ruby on Rails (RoR) et WebDAV. Xgrid Administration et informati- Configurer et gérer des grappes de calcul de systèmes Xserve et que à hautes performances d’ordinateurs Mac. Glossaire Mac OS X Server Savoir à quoi correspondent les termes utilisés pour les produits de serveur et les produits de stockage. Visualisation de guides PDF à l’écran Lorsque vous lisez la version PDF d’un guide à l’écran, vous pouvez :  Afficher les signets pour visualiser le plan du guide et cliquer sur un signet pour accéder directement à la section correspondante.  Rechercher un mot ou une phrase pour afficher une liste des endroits où ce mot ou cette phrase apparaît dans le document. Cliquez sur un de ces endroits pour afficher la page correspondante.  Cliquer sur une référence croisée pour accéder directement à la rubrique référencée. Cliquez sur un lien pour visiter le site web dans votre navigateur. Impression des guides PDF Si vous devez imprimer un guide, procédez comme suit pour économiser du papier et de l’encre :  Économisez de l’encre ou du toner en évitant d’imprimer la couverture.  Si vous disposez d’une imprimante couleur, économisez de l’encre en choisissant une option d’impression en niveaux de gris ou en noir et blanc dans une des sections de la zone de dialogue Imprimer. 14 Préface À propos de ce guide  Réduisez le volume du document imprimé et économisez du papier en imprimant plusieurs pages par feuille. Dans la zone de dialogue Imprimer, réglez Échelle sur 115 % (155 % pour Premiers contacts). Choisissez ensuite Mise en page dans le menu local sans titre. Si votre imprimante prend en charge l’impression recto verso (duplex), sélectionnez l’une des options proposées. Sinon, choisissez 2 dans le menu local Pages par feuille et, si vous le souhaitez, Simple extra fine dans le menu Bordure. (Si vous utilisez Mac OS X 10.4 ou antérieur, le réglage Échelle se trouve dans la zone de dialogue Format d’impression et les réglages relatifs à la mise en page dans la zone de dialogue Imprimer.) Il peut s’avérer utile d’agrandir les pages imprimées même si vous n’imprimez pas en recto verso, car la taille des pages PDF est inférieure à celle du papier d’imprimante standard. Dans la zone de dialogue Imprimer ou dans la zone de dialogue Format d’impression, essayez de régler Échelle sur 115 % (155 % pour Premiers contacts qui possède des pages de la taille d’un CD). Obtenir des mises à jour de documentation Apple publie régulièrement des pages d’aide révisées ainsi que de nouvelles éditions de ses guides. Certaines pages d’aide révisées sont des mises à jour des dernières éditions de ces guides.  Pour afficher les nouvelles rubriques d’aide à l’écran d’une application de serveur, assurez-vous que votre serveur ou votre ordinateur administrateur est connecté à Internet et cliquez sur le lien des dernières rubriques d’aide ou de mise à jour dans la page d’aide principale de l’application.  Pour télécharger les guides les plus récents en format PDF, rendez-vous sur le site web de documentation de Mac OS X Server : www.apple.com/fr/server/documentation/ Pour obtenir des informations supplémentaires Pour plus d’informations, consultez les ressources suivantes :  Documents Ouvrez-moi : mises à jour importantes et informations spécifiques. Recherchez-les sur les disques du serveur.  Site web de Mac OS X Server (www.apple.com/fr/server/macosx) : passerelle vers des informations détaillées sur de nombreux produits et technologies.  Site web de service et d’assistance Mac OS X Server (www.apple.com/fr/support/macosxserver) : accès à des centaines d’articles du service d’assistance d’Apple.  Groupes de discussions Apple, en anglais, (discussions.apple.com) : un moyen de partager questions, connaissances et conseils avec d’autres administrateurs.  Site web des listes d’envoi Apple, en anglais, (www.lists.apple.com) : abonnez-vous à des listes d’envoi afin de pouvoir communiquer par courrier électronique avec d’autres administrateurs. Préface À propos de ce guide 15 1 Vue d’ensemble du système et normes standard prises en charge 1 Mac OS X Server, qui contient tout ce dont vous avez besoin pour fournir des services de groupe de travail et Internet reposant sur des normes standard, constitue une solution serveur de pointe, basée sur UNIX, facile à déployer et à gérer. Le présent chapitre contient les informations nécessaires pour prendre des décisions quant au lieu et à la manière de déployer Mac OS X Server. Il comporte des informations générales sur les options de configuration, sur les protocoles standard utilisés, sur ses racines UNIX, ainsi que sur les configurations de réseau et de coupe-feu nécessaires pour l’administration de Mac OS X Server. Configuration requise pour l’installation de Mac OS X Server L’ordinateur de bureau ou le serveur Macintosh sur lequel vous installez Mac OS X Server 10.5 Leopard doit être doté des éléments suivants :  Un processeur Intel ou PowerPC G4 ou G5 cadencé à 867 MHz ou plus.  FireWire intégré.  Au moins 1 Go de mémoire vive (RAM).  Au moins 10 gigaoctets (Go) d’espace disque disponible.  Un nouveau numéro de série pour Mac OS X Server 10.5. Le numéro de série utilisé avec une version antérieure de Mac OS X Server ne permet pas de s’enregistrer pour la version 10.5. Un lecteur de DVD intégré est pratique mais pas obligatoire. Les moniteurs et claviers sont optionnels. Vous pouvez installer le logiciel serveur sur un ordinateur sans moniteur ni clavier à l’aide d’un ordinateur administrateur. Pour en savoir plus, consultez la section « Configuration d’un ordinateur administrateur » à la page 155. 17 Description des configurations de serveur Mac OS X Server peut adopter trois configurations de fonctionnement distinctes : la configuration avancée, la configuration de groupe de travail et la configuration standard. Les serveurs en configuration avancée sont plus flexibles et nécessitent davantage de compétences d’administration. Ils peuvent être personnalisés pour toute une série d’usages et de besoins. Une configuration avancée de Mac OS X Server donne à l’administrateur système expérimenté un contrôle complet sur la configuration des services pour lui permettre de faire face à toutes sortes de besoins au sein d’une organisation. Après la configuration initiale à l’aide d’Assistant réglages, vous pouvez utiliser de puissantes applications d’administration, telles qu’Admin Serveur et Gestionnaire de groupe de travail, ou des outils de ligne de commande pour configurer les réglages avancés des services fournis par le serveur. Les deux autres configurations constituent des sous-ensembles des services et des fonctionnalités possibles dans une configuration avancée. Elles disposent d’une application d’administration simplifiée, nommée Préférences du serveur, et sont destinées à des rôles plus spécifiques au sein d’une organisation. La configuration de groupe de travail de Mac OS X Server est destinée aux groupes de travail créés au sein d’organisations possédant déjà un serveur de répertoire. Une configuration de groupe de travail se connecte à un serveur de répertoire existant au sein de votre organisation et intègre les utilisateurs et groupes du répertoire de l’organisation à un répertoire de serveur de groupe de travail. La configuration standard de Mac OS X Server offre une configuration automatisée et une administration simplifiée pour un serveur indépendant au sein d’une petite organisation. Le tableau qui suit résume les fonctionnalités et les possibilités de chacune des configurations. Fonctionnalité Avancée Groupe de travail Standard Modification des réglages des services à l’aide de... Admin Serveur Préférences serveur Préférences serveur Les réglages des services sont... Non configurés Préréglés sur quelques valeurs par défaut courantes Préréglés sur les valeurs par défaut courantes Les utilisateurs et les groupes sont gérés à l’aide de... Gestionnaire de groupe Préférences serveur de travail Les réglages des services Non d’utilisateur sont définis automatiquement 18 Oui Chapitre 1 Vue d’ensemble du système et normes standard prises en charge Préférences serveur Oui Fonctionnalité Avancée Groupe de travail Standard Utilisable comme serveur autonome Oui Non Oui Utilisable comme maître Open Directory Oui Non Oui Utilisable comme réplique Open Directory Oui Oui Non Utilisable comme passe- Oui relle réseau dédiée Non Oui Utilisable comme réplique Active Directory Oui Non Non Surveillé et sauvegardé à l’aide de... Toute méthode implémentée par l’administrateur système Préférences du serveur Préférences du serveur Dépend d’une infrastructure de services existante Non Oui Non Dépend d’un système DNS existant bien structuré Oui Oui Non Pour en savoir plus sur les configurations Standard et Groupe de travail, ainsi que sur les services activés par défaut pour ces configurations, consultez la section Premiers contacts. Configuration avancée en action L’illustration qui suit montre plusieurs configurations avancées de Mac OS X Server en service au sein d’une grande organisation. Internet DCHP, DNS, RADIUS, VPN Maître Open Directory iCal, iChat et messagerie Web avec wiki et blog QuickTime Streaming Dossiers de départ de partage de fichiers AirPort Extreme Création d’image système et mise à jour de logiciels Réplique Open Directory Chapitre 1 Vue d’ensemble du système et normes standard prises en charge 19 Chaque serveur est configuré pour fournir certains des services. Par exemple, l’un des serveurs fournit les services iCal, iChat et de messagerie pour toute l’organisation. Un autre assure la diffusion en continu de données QuickTime et Podcast Producer. Pour garantir une haute disponibilité des dossiers de départ et des points de partage, un serveur de fichiers principal et un serveur de fichiers de réserve disposent d’options de basculement IP configurées de telle sorte qu’en cas de défaillance du serveur principal, le serveur de réserve prend le relais de façon transparente. Le serveur de fichiers principal et le serveur de réserve utilisent un réseau de stockage Xsan pour accéder au même système de stockage RAID sans l’endommager. Pour une haute disponibilité des services de répertoire, des répliques Open Directory fournissent le service de répertoire si le maître Open Directory est déconnecté. Le domaine Open Directory dispose de comptes d’utilisateur, de groupe d’utilisateurs, d’ordinateurs et de groupes d’ordinateurs. Cela permet de gérer les préférences d’utilisateur Mac OS X au niveau du groupe d’utilisateurs et du groupe d’ordinateurs. Le service web permet d’héberger un site web sur Internet pour l’organisation. Il fournit également des sites web wiki sur un intranet pour les groupes de l’organisation. Améliorations apportées à Mac OS X Server Leopard Mac OS X Server comporte plus de 250 nouvelles fonctionnalités, ce qui constitue le plus grand nombre d’améliorations apportées au système d’exploitation serveur depuis le lancement de Mac OS X Server. Voici quelques une de ces améliorations :  Service Xgrid 2 : le service Xgrid 2 permet d’obtenir des performances de super-ordinateur en répartissant les calculs sur des ensembles d’ordinateurs Mac OS X dédiés ou partagés. Xgrid 2 comprend GridAnywhere, qui permet aux logiciels compatibles Xgrid de tourner où vous voulez, même si vous n’avez pas configuré de contrôleur ni d’agents, et Scoreboard, utilisé pour classer par ordre de priorité les agents à utiliser pour différentes tâches. Le contrôleur de cluster fournit un accès centralisé au pool de calcul distribué, appelé cluster de calcul.  Services de fichiers : les services de fichiers améliorés offrent un meilleur niveau de performances et de sécurité pour chacun des services de fichiers réseau, une prise en charge du protocole SMB nettement plus perfectionnée et un système NFS version 3 sécurisé à l’aide de l’authentification Kerberos et d’AutoFS.  iChat Server 2 : iChat Server 2 peut fédérer sa communauté d’utilisateurs avec des communautés issues d’autres systèmes de messagerie XMPP (Extensible Messaging and Presence Protocol), tels que Google Talk, pour permettre aux membres de la communauté du serveur iChat de dialoguer en ligne avec les membres des communautés fédérées. 20 Chapitre 1 Vue d’ensemble du système et normes standard prises en charge  Service de messagerie : le service de messagerie prend dorénavant en charge la mise en grappe de systèmes de stockage de courrier lorsqu’il est utilisé avec Xsan. Il comprend également une fonction de messages d’absence. Ses performances dans le cadre de services de messagerie à 64 bits avec SMTP, IMAP et POP ont été améliorées.  Open Directory 4 : cette nouvelle version d’Open Directory comporte de nouvelles possibilités en matière de proxy LDAP, des autorisations couvrant plusieurs domaines, la réplication en cascade et les ensembles de répliques.  Authentification RADIUS : RADIUS permet l’authentification des clients qui se connectent au réseau via des bornes d’accès AirPort.  QuickTime Streaming Server 6 : le serveur QuickTime Streaming Server amélioré prend en charge l’adaptation du taux de bits 3GPP version 6 pour une diffusion en continu fluide vers des téléphones portables quel que soit l’encombrement du réseau. Il s’intègre avec Open Directory sur votre serveur lors de l’authentification de la livraison de contenu et offre de meilleures performances avec le service 64 bits.  Services web : les administrateurs de serveur web disposent maintenant d’Apache 2.2 (pour les nouvelles installations et les installations de mise à niveau) ou 1.3 (pour les systèmes mis à niveau par un système). MySQL 5, PHP et Apache sont intégrés. Ruby on Rails with Mongrel a été inclus pour simplifier le développement d’applications web. Normes standard prises en charge Mac OS X Server fournit des services de groupe de travail et Internet basés sur des normes standard. Plutôt que de développer des technologies de serveur propriétaires, Apple a décidé de s’appuyer sur les meilleurs projets open-source : Samba 3, OpenLDAP, Kerberos, Postfix, Apache, Jabber, SpamAssassin, etc. Mac OS X Server intègre ces technologies robustes et les améliore grâce à une interface de gestion unifiée et cohérente. Comme il est construit sur des normes standard ouvertes, Mac OS X Server est compatible avec les infrastructures réseau et informatiques existantes. Il utilise des protocoles natifs pour fournir des services de répertoire, de fichiers, de partage d’imprimante et l’accès réseau sécurisé à des clients Mac, Windows et Linux. Une architecture de services de répertoire basée sur des normes standard permet la gestion centralisée des ressources du réseau à l’aide de n’importe quel serveur LDAP, même des serveurs propriétaires tels que Microsoft Active Directory. La fondation open-source basée sur UNIX rend le portage et le déploiement d’outils existants sur Mac OS X Server particulièrement faciles. Chapitre 1 Vue d’ensemble du système et normes standard prises en charge 21 Voici quelques-unes des technologies basées sur des normes standard qui donnent à Mac OS X Server toute sa puissance :  Kerberos : Mac OS X Server intègre une autorité d’authentification basée sur la technologie Kerberos du MIT (RFC 1964) pour fournir aux utilisateurs un accès à signature unique à des ressources réseau sécurisées. L’utilisation de l’authentification Kerberos forte et de la signature unique maximise la sécurité des ressources réseau tout en fournissant aux utilisateurs un accès plus facile à une grande variété de services réseau compatibles avec Kerberos. Pour les services qui n’ont pas encore été kerbérisés, le service SASL intégré négocie le protocole d’authentification le plus strict possible.  OpenLDAP : Mac OS X Server comprend un serveur de répertoire LDAP robuste et un serveur de mot de passe Kerberos sûr pour fournir des services de répertoire et d’authentification aux clients Mac, Windows et Linux. Apple a construit le serveur Open Directory à partir d’OpenLDAP, le serveur LDAP open-source le plus répandu, afin qu’il puisse fournir des services de répertoire tant dans les environnements constitués uniquement de Mac que dans les environnements contenant différents types de plateformes. LDAP fournit un langage commun pour l’accès aux répertoires, ce qui permet aux administrateurs de consolider les informations provenant de différente plateformes et de définir un espace de noms unique pour toutes les ressources réseau. Cela signifie un seul répertoire pour tous les systèmes Mac, Windows et Linux du réseau.  RADIUS : le protocole RADIUS (Remote Authentication Dial-In User Service) est un protocole d’authentification, d’autorisation et de gestion de comptes utilisé par la norme de sécurité 802.1x pour contrôler l’accès au réseau par des clients en configuration mobile ou fixe. Mac OS X Server utilise RADIUS pour s’intégrer avec les bornes d’accès AirPort et faire office de base de données de filtre d’adresses MAC centrale. En configurant RADIUS et Open Directory, vous pouvez contrôler l’accès à votre réseau sans fil. Mac OS X Server utilise le projet de serveur FreeRADIUS. FreeRADIUS prend en charge les éléments nécessaires pour créer un serveur RADIUS : LDAP, MySQL, PostgreSQL, les bases de données Oracle, EAP, EAP-MD5, EAP-SIM, EAP-TLS, EAP-TTLS, EAP-PEAP et les sous-types LEAP de Cisco. Mac OS X Server prend en charge les serveurs proxy avec basculement et répartition de la charge.  Service de messagerie : Mac OS X Server utilise des technologies robustes issues de la communité open-source pour fournir des solutions de serveur de messagerie complètes et faciles à utiliser. La prise en charge complète des protocoles de courrier électronique Internet (IMAP, POP et SMTP) assure la compatibilité avec les clients de messagerie électronique standard sur les systèmes Mac, Windows et Linux. 22 Chapitre 1 Vue d’ensemble du système et normes standard prises en charge  Technologies web : les technologies web de Mac OS X Server reposent sur le serveur web open-source Apache, le serveur HTTP le plus utilisé sur Internet. Grâce à des performances optimisées pour Mac OS X Server, Apache fournit un hébergement web rapide et fiable, ainsi qu’une architecture extensible pour la fourniture de contenus dynamiques et de services web sophistiqués. Comme le service web de Mac OS X Server repose sur Apache, vous pouvez ajouter des fonctionnalités avancées à l’aide de simples modules d’extension. Mac OS X Server contient tout ce dont les webmestres professionnels ont besoin pour déployer des services web sophistiqués : outils intégrés pour la publication collaborative, scripts incorporés, modules Apache, scripts CGI personnalisés, pages JavaServer Pages et servlets Java. Les sites utilisant des bases de données peuvent être liés à la base de données MySQL fournie. La capacité de connexion ODBC et JDBC à d’autres solutions de base de données est également prise en charge. Le service web prend également en charge le protocole WebDAV (Web-based Distributed Authoring and Versioning).  Services de fichiers : vous pouvez configurer les services de fichiers de Mac OS X Server de façon à autoriser les clients à accéder aux fichiers, applications et autres ressources partagées sur un réseau. Mac OS X Server prend en charge la plupart des grands protocoles de service pour une compatibilité maximum, notamment les protocoles suivants :  Apple Filing Protocol (AFP) pour partager des ressources avec des clients qui utilisent des ordinateurs Macintosh.  Server Message Block (SMB) pour partager des ressources avec des clients qui utilisent des ordinateurs Windows. Ce protocole est fourni par le projet open-source Samba.  Network File System (NFS) pour partager des fichiers et des dossiers avec des clients UNIX.  File Transfer Protocol (FTP) pour partager des fichiers avec toute personne utilisant un logiciel client FTP.  IPv6 : IPv6 est l’acronyme de « Internet Protocol Version 6 » (RFC 2460). IPv6 est le protocole Internet de nouvelle génération conçu pour remplacer le protocole Internet actuel, IP Version 4 (IPv4 ou juste IP). IPv6 améliore le routage et l’autoconfiguration de réseau. Il augmente le nombre d’adresses réseau à 3 x 1038 et rend NAT superflu. IPv6 devrait remplacer graduellement IPv4 pendant une période de transition de plusieurs années au cours de laquelle les deux protocoles devraient coexister. Les services réseau de Mac OS X Server sont entièrement compatibles avec IPv6 et prêts pour la transition vers ce système d’adressage de nouvelle génération, tout en demeurant totalement compatibles avec IPv4. Chapitre 1 Vue d’ensemble du système et normes standard prises en charge 23  SNMP : le protocole SNMP (Simple Network Management Protocol) est utilisé pour surveiller l’état de fonctionnement de périphériques reliés à un réseau. Il s’agit d’un ensemble de normes standard rédigées par l’Internet Engineering Task Force (IETF) pour la gestion de réseau et comprenant un protocole Application Layer, un schéma de base de données et un ensemble d’objets de données. Mac OS X Server utilise la suite opensource net-snmp pour fournir le service SNMPv3 (c’est-à-dire RFC 3411-3418). L’héritage UNIX de Mac OS X Server Mac OS X Server dispose de fondations UNIX construites à partir du micro-noyau Mach et des dernières évolutions de la communauté open-source BSD (Berkeley Software Distribution). Ces fondations fournissent à Mac OS X Server une plateforme informatique 64 bits stable et à hautes performances pour le déploiement d’applications et de services hébergés sur serveur. Mac OS X Server est construit sur un système d’exploitation open-source appelé Darwin qui appartient à la famille BSD de systèmes similaires à UNIX. BSD est une famille de variantes de UNIX issues de la version Berkeley de UNIX. Mac OS X Server comporte en outre plus de 100 projets open-source, en plus des améliorations et extensions propriétaires apportées par Apple. La portion BSD du noyau Mac OS X provient principalement de FreeBSD, une version de 4.4BSD qui offre des fonctionnalités de mise en réseau, des performances, une sécurité et une compatibilité avancées. Les variantes de BSD sont généralement dérivées (parfois indirectement) de 4.4BSD-Lite Release 2 du groupe Computer Systems Research Group (CSRG) de l’université de Californie, à Berkeley. Bien que la portion BSD de Mac OS X provienne principalement de FreeBSD, elle comporte certaines modifications. Pour en savoir plus sur les modifications de bas niveau, consultez la documentation développeur d’Apple relative à Darwin. 24 Chapitre 1 Vue d’ensemble du système et normes standard prises en charge 2 Planification 2 Avant d’installer et de configurer Mac OS X Server, faites un peu de planification et familiarisez-vous avec les différentes options qui sont à votre disposition. Les principaux objectifs de la phase de planification sont de s’assurer que :  les serveurs que vous déployez répondent aux besoins des utilisateurs et administrateurs,  les conditions préalables en matière de serveur et de services et qui affectent l’installation et la configuration initiale ont été identifiées. La planification de l’installation est particulièrement importante si vous intégrez Mac OS X Server dans un réseau existant, si vous migrez à partir de versions antérieures de Mac OS X Server ou si vous prévoyez de mettre en place plusieurs serveurs. Mais même dans un environnement à un serveur unique, il est préférable d’évaluer rapidement les besoins auxquels répondra le serveur. Ce chapitre pourra servir de base à votre réflexion. Il ne fournit pas de guide de planification rigoureux et ne contient pas les détails nécessaires pour déterminer si vous devez implémenter un service particulier et évaluer les ressource dont vous avez besoin. Considérez simplement ce chapitre comme une occasion de réfléchir au meilleur moyen de bénéficier au maximum des avantages que présente Mac OS X Server dans votre environnement. Comme la conception, la planification n’est pas non plus forcément un processus linéaire. Il n’est pas nécessaire de suivre les sections de ce chapitre dans l’ordre. Différentes sections offrent des suggestions qui peuvent être mises en œuvre de manière simultanée ou itérative. 25 Planification Lors de la phase de planification, vous devez déterminer de quelle manière vous prévoyez d’utiliser Mac OS X Server et identifier les opérations nécessaires avant son installation. Il peut s’avérer nécessaire, par exemple, de mettre un serveur existant à niveau avec la version 10.5 tout en continuant à héberger des services de répertoires, de fichiers et de messagerie pour les clients de votre réseau. Avant d’installer votre logiciel de serveur, nous vous recommandons de préparer les données à faire migrer vers votre nouveau serveur et de vous demander si le moment est opportun pour mettre en œuvre une nouvelle solution de services de répertoires. Lors de la phase de planification, vous décidez également quelles options d’installation et de configuration du serveur sont les plus adaptées à vos besoins. Par exemple, Premiers contacts contient un exemple illustrant l’installation et la configuration initiale d’un serveur dans un scénario de petite entreprise où le serveur fonctionne en mode de configuration standard. Planification pour la mise à niveau ou la migration vers Mac OS X Server 10.5 Si vous utilisez une version antérieure de Mac OS X Server et que vous souhaitez réutiliser les données et réglages, vous pouvez procéder à une mise à niveau ou à une migration vers la version 10.5. Vous pouvez procéder à une mise à niveau avec Leopard Server si vous utilisez Mac OS X Server 10.4 Tiger ou 10.3 Panther et que vous n’avez pas besoin de remplacer le matériel du serveur. La mise à niveau est simple, car elle préserve les données et réglages existants. La mise à niveau peut être effectuée à l’aide de n’importe laquelle des méthodes d’installation décrites dans ce chapitre ou des méthodes avancées décrites dans ce guide. Si vous ne pouvez pas procéder à une mise à niveau parce que vous devez, par exemple, formater le disque de démarrage ou remplacer le matériel de votre serveur, vous pouvez faire migrer vos données et réglages vers un ordinateur sur lequel vous avez déjà installé Leopard Server. La migration est prise en charge à partir de la dernière version de Mac OS X Server 10.4 Tiger, Mac OS X Server 10.3.9 Panther, Mac OS X Server 10.2.8 Jaguar et Windows NT 4 ou ultérieur. Pour obtenir des informations complètes sur la migration de données et de réglages vers un autre Mac ou Xserve, consultez la section Mise à niveau et migration. Le guide de mise à niveau et de migration fournit des instructions complètes pour la réutilisation de données et de réglages dans ces deux scénarios. 26 Chapitre 2 Planification Mise en place d’une équipe de planification Impliquez dans le processus de planification de l’installation des personnes représentant des points de vue différents et capables de vous aider à répondre aux questions suivantes :  Quels besoins quotidiens un serveur doit-il satisfaire ? Quelles sont les activités pour lesquelles les utilisateurs et les groupes de travail dépendront du serveur ? Si le serveur doit être employé dans une salle de cours, veillez à consulter le formateur qui gérera ses services et qui l’administrera au quotidien.  Quels sont les besoins à satisfaire en matière de gestion des utilisateurs ? Les ordinateurs des utilisateurs seront-ils sans disque et devront-ils donc démarrer via NetBoot ? Sera-t-il nécessaire de mettre en place la gestion des clients Macintosh et des répertoires de départ sur le réseau ? Les personnes ayant de l’expérience dans le domaine de l’administration de serveur doivent discuter avec les utilisateurs du serveur n’ayant pas de compétences techniques particulières, afin que ces derniers comprennent mieux l’intérêt de certains services.  Quels services existants non Apple, tel qu’Active Directory, le serveur devra-t-il intégrer ? Si vous avez prévu de remplacer un ordinateur Windows NT, envisagez d’utiliser pour cela Mac OS X Server, qui gère de manière complète les clients Windows. Assurezvous que les administrateurs qui connaissent ces autres systèmes participent au processus de planification.  Quelles sont les caractéristiques du réseau dans lequel le serveur sera installé ? Devrez-vous mettre à jour les alimentations électriques, les commutateurs ou d’autres composants réseau ? Le moment est-il venu de réorganiser les infrastructures où sont hébergés vos serveurs ? Une personne ayant des connaissances en matière de systèmes et de réseaux pourra contribuer à la prise de décision et remplir la Feuille d’opérations avancée Mac OS X Server incluse en annexe. Identification des serveurs à mettre en place Effectuez un inventaire des serveurs :  De combien de serveurs disposez-vous actuellement ?  Comment sont-ils utilisés ?  Comment optimiser l’utilisation des serveurs que vous souhaitez garder ?  Y a-t-il des serveurs que vous souhaitez supprimer ? Lesquels peuvent être remplacés par Mac OS X Server?  Avec quels serveurs non Apple faudra-t-il intégrer Mac OS X Server ? Pourquoi ?  Y a-t-il des serveurs Mac OS X Server à mettre à niveau avec la version 10.5 ?  Combien de nouveaux ordinateurs Mac OS X devront être mis en place ? Chapitre 2 Planification 27 Choix des services à héberger sur chaque serveur Identifiez quels services vous voulez héberger sur chaque Mac OS X Server et sur chaque serveur non Apple que vous choisissez d’utiliser. Pour répartir des services entre serveurs, vous devez connaître à la fois les utilisateurs et les services. Voici quelques exemples d’influence des options de services et des configurations matérielles et logicielles requises sur ce qui est installé sur chacun des serveurs :  Les implémentations de services de répertoire peuvent aller de l’utilisation des répertoires existants et de l’authentification Kerberos hébergée sur des serveurs non Apple à des répertoires Open Directory sur des serveurs disséminés partout dans le monde. Les services de répertoire nécessitent une analyse et une planification approfondies. Administration d’Open Directory peut vous aider à mieux comprendre les options et les possibilités.  Les dossiers de départ des utilisateurs du réseau peuvent être regroupés sur un seul serveur ou répartis sur plusieurs. Bien que l’on puisse déplacer les dossiers de départ en cas de besoin, vous risquez de devoir modifier un grand nombre d’enregistrements d’utilisateur et de point de partage. Par conséquent, mettez au point une stratégie qui demeurera valable pendant une durée raisonnablement longue. Pour en savoir plus sur les dossiers de départ, consultez la section Gestion des utilisateurs.  Certains services permettent de limiter l’espace disque sollicité par chaque utilisateur. Vous pouvez, par exemple, définir des quotas pour les dossiers de départ et pour le courrier des utilisateurs. Pensez aux quotas comme un moyen de maximiser l’espace disque disponible sur un serveur qui stocke des dossiers de départ et des bases de données de messagerie. Gestion des utilisateurs décrit les quotas relatifs aux dossiers de départ et au courrier au niveau des utilisateurs, tandis que Administration du service de messagerie décrit les quotas relatifs au courrier au niveau des services.  Les besoins en matière d’espace disque dépendent également des types de fichiers hébergés par le serveur. Ainsi, un environnement créatif nécessite de très importantes capacités de stockage du fait du volume important des fichiers de données multimédias, alors qu’une école primaire a des besoins de stockage de fichiers plus modestes. Administration des services de fichier décrit le partage de fichiers.  Si vous installez un serveur de diffusion de données en continu, allouez un espace disque suffisant pour assurer la diffusion en continu d’un certain nombre d’heures de vidéo ou de son. Pour connaître les configurations matérielle et logicielle requises et voir un exemple de configuration, consultez la section Administration de QuickTime Streaming et Broadcasting.  Le nombre d’ordinateurs client NetBoot que vous pouvez connecter à un serveur dépend du nombre de connexions Ethernet du serveur, du nombre d’utilisateurs, de la quantité de RAM et d’espace disque disponible, ainsi que d’autres facteurs. Le service DHCP doit être disponible. Pour obtenir des instructions sur la planification des capacités NetBoot, consultez la section Administration de Mise à jour de logiciels et d’Imagerie système. 28 Chapitre 2 Planification  Mac OS X Server offre une gestion complète des utilisateurs Windows. Vous pouvez regrouper les tâches de gestion sur des serveurs fournissant des services de contrôleur principal de domaine ou bien répartir les services sur différents serveurs. Administration d’Open Directory et Administration des services de fichier décrivent les options disponibles.  Si vous voulez utiliser un RAID logiciel pour segmenter des disques ou les mettre en miroir, vous aurez besoin de deux lecteurs non FireWire ou plus sur un serveur. Pour en savoir plus, consultez l’aide en ligne d’Utilitaire de disque. Avant de prendre des décisions définitives quant à la répartition des services hébergés par les différents serveurs, familiarisez-vous avec les guides d’administration de chacun des services à déployer. Définition d’une stratégie de migration Si vous utilisez une version de Mac OS X Server comprise entre 10.2 et 10.4 ou un serveur Windows NT, examinez les opportunités de déplacement des données et des réglages vers Mac OS X Server 10.5. Mise à niveau et migration à partir d’une version antérieure de Mac OS X Server Si vous utilisez des ordinateurs sous Mac OS X Server 10.2, 10.3 ou 10.4, envisagez leur mise à niveau ou leur migration vers une configuration avancée de Mac OS X Server 10.5 Leopard. Si vous utilisez Mac OS X Server 10.4 ou 10.3 et que vous n’avez pas besoin de changer d’ordinateur, vous pouvez procéder à une installation de mise à niveau. La mise à niveau est simple, car elle préserve les données et réglages existants. Lorsque cette approche est impossible, vous pouvez migrer les données et les réglages. Vous devrez procéder à une migration, et non à une mise à niveau, dans les cas suivants :  Le disque dur d’un serveur 10.3 ou 10.4 doit être reformaté ou le serveur ne satisfait pas à la configuration minimale requise pour Leopard. Pour en savoir plus, consultez la section « Description de la configuration requise pour l’installation de Mac OS X Server » à la page 66.  Vous souhaitez déplacer vers un autre serveur les données et les réglages que vous utilisiez sur un serveur de version 10.3 ou 10.4.  Vous souhaitez déplacer les données et les réglages utilisés sur un serveur 10.2. La migration est prise en charge à partir des dernières versions de Mac OS X Server 10.4, 10.3 et 10.2. Une migration consiste à installer et configurer une configuration avancée de Leopard Server, à y restaurer les fichiers à partir du serveur antérieur et à effectuer les ajustements manuels nécessaires. Chapitre 2 Planification 29 Pour des informations complètes, lisez la section Mise à niveau et migration. Migration à partir de Windows NT Une configuration avancée de Leopard Server est capable de fournir divers services à des utilisateurs d’ordinateur Microsoft Windows 95, 98, ME, XP, NT 4 et 2000. En fournissant ces services, Leopard Server peut remplacer les serveurs Windows NT dans les petits groupes de travail. Pour plus d’informations sur la migration d’utilisateurs, de groupes, de fichiers et d’autres éléments depuis un serveur Windows NT vers Mac OS X Server, consultez la section Mise à niveau et migration. Définition d’une stratégie d’intégration Il y a deux aspects à prendre en compte lorsque vous intégrez Mac OS X Server à un environnement hétérogène :  la configuration de Mac OS X Server de manière à exploiter les services existants,  la configuration d’ordinateurs non Apple pour l’utilisation de Mac OS X Server. Le premier aspect concerne principalement l’intégration des services de répertoire. Déterminez quels ordinateurs Mac OS X Server utiliseront des répertoires existants (tels qu’Active Directory, LDAPv3 et NIS) et des services d’authentification existants (tels que Kerberos). Pour les options et les instructions, consultez la section Administration d’Open Directory. L’intégration peut se résumer à l’activation d’une option dans Utilitaire d’annuaire ou nécessiter la reconfiguration des services existants et des réglages de Mac OS X Server. Le deuxième aspect consiste principalement à déterminer le niveau de prise en charge que Mac OS X Server doit fournir aux utilisateurs d’ordinateurs Windows. Administration des services de fichier et Administration d’Open Directory contiennent des informations sur les différentes possibilités. Définition de la configuration de l’infrastructure matérielle Déterminez s’il est nécessaire d’apporter des modifications au site ou à la topologie du réseau avant d’installer et de configurer les serveurs.  Qui administrera le serveur, et de quel type d’accès au serveur auront besoin les administrateurs ? Les serveurs de salle de classe doivent être facilement accessibles aux instructeurs, tandis que ceux qui hébergent des informations de répertoire pour tout un réseau doivent être sécurisés en contrôlant l’accès aux locaux dans lesquels ils sont installés. 30 Chapitre 2 Planification Les outils d’administration de Mac OS X Server offrant une solution complète d’administration du serveur à distance, il est rare qu’un administrateur ait besoin d’accéder physiquement au serveur.  Certaines conditions de climatisation ou d’alimentation électrique doivent-elles être remplies ? Pour plus d’informations à ce sujet, consultez la documentation livrée avec le matériel du serveur.  Comptez-vous effectuer la mise à niveau d’éléments tels que des câbles, des commutateurs et des boîtiers d’alimentation ? Le moment est peut-être adéquat pour le faire.  Votre réseau TCP/IP et ses sous-réseaux sont-ils configurés pour prendre en charge les services et les serveurs que vous souhaitez déployer ? Définition de l’infrastructure minimale pour la configuration du serveur L’infrastructure de configuration de serveur est constituée des services et des serveurs que vous devez configurer en premier parce que d’autres en dépendent. Par exemple, si vous souhaitez utiliser Mac OS X Server pour fournir des services DHCP, une horloge de réseau et BootP à d’autres serveurs, vous devez configurer et activer le ou les serveurs fournissant ces services et démarrer ces derniers avant de configurer les serveurs qui en dépendent. Par ailleurs, si vous voulez automatiser la configuration des serveurs en utilisant des données de configuration stockées dans un répertoire, vous devez d’abord configurer les serveurs DHCP et les serveurs de répertoires. Le travail d’infrastructure de configuration requis dépend de la complexité de votre site et de vos objectifs. En général, les services DHCP, DNS et de répertoires sont souhaitables ou obligatoires pour un réseau moyen ou de grande taille :  La couche d’infrastructure la plus essentielle comprend des services de réseau tels que DHCP et DNS. Tous les services fonctionnent mieux si un service DNS est disponible sur le réseau, et de nombreux services requièrent son bon fonctionnement. Si vous n’hébergez pas de service DNS, consultez l’administrateur responsable du serveur DNS lorsque vous configurez vos propres serveurs. Les conditions de DNS requises pour les services individuels sont indiquées dans les guides d’administration propres à chaque service. La configuration de DHCP doit se faire en fonction de la topologie physique de votre réseau.  Autre composant d’infrastructure essentiel : les services de répertoire, qui sont nécessaires pour le partage des données entre services, serveurs et ordinateurs. Le type de données le plus couramment partagé est celui employé par les utilisateurs et les groupes, même si les informations de configuration telles que les enregistrements de montage et les autres données de répertoires sont également partagées. Chapitre 2 Planification 31 Les infrastructures de services de répertoire sont nécessaires lorsque vous souhaitez héberger des services d’authentification multi-plateformes ou que plusieurs services doivent utiliser les mêmes noms et mots de passe. Voici un exemple de l’ordre dans lequel vous pouvez configurer une infrastructure de serveurs comprenant les services DNS, DHCP et de répertoire. Les services peuvent être configurés sur le même serveur ou sur différents serveurs : 1 Installez le serveur DNS. 2 Installez DHCP. 3 Configurez DHCP pour indiquer l’adresse du serveur DNS et que celui-ci offre ses services aux clients DHCP. 4 Installez un serveur de répertoires comprenant si besoin est un service de contrôleur principal de domaine Windows. 5 Remplissez le répertoire avec les données des utilisateurs, des groupes et des dossiers de départ. Ce processus peut impliquer l’importation des utilisateurs et des groupes, la configuration des points de partage, la configuration des préférences gérées, etc. 6 Configurez DHCP pour indiquer l’adresse du serveur de répertoires et que celui-ci offre ses services aux clients DHCP. Vos besoins particuliers peuvent modifier cette séquence. Ainsi, si vous souhaitez utiliser des services tels que VPN, NAT ou coupe-feu IP, leur installation devra être prise en compte lors de la configuration de DNS et de DHCP. Vérification de la disponibilité du matériel nécessaire pour le serveur Il est parfois préférable d’attendre que tout le matériel soit en place avant de commencer la configuration du serveur. Par exemple, évitez de configurer un serveur dont vous souhaitez stocker les données en miroir tant que tous les disques à configurer pour la mise en miroir ne sont pas disponibles. De même, il vaut mieux attendre que le sous-système RAID soit en place avant d’installer un serveur de dossiers de départ ou tout serveur qui l’utilisera. 32 Chapitre 2 Planification Limitation de la nécessité de déplacer des serveurs après la configuration Essayez de placer un serveur dans son emplacement réseau final (sous-réseau IP) avant de le configurer pour la première fois. Si vous souhaitez éviter tout accès non autorisé ou prématuré au cours du démarrage, vous pouvez configurer un coupe-feu afin de protéger le serveur lors de la finalisation de sa configuration. Si vous ne pouvez pas éviter de déplacer un serveur après la configuration initiale, vous devez commencer par modifier les réglages qui dépendent de l’emplacement réseau. Par exemple, l’adresse IP et le nom d’hôte du serveur, stockés dans les deux répertoires et fichiers de configuration du serveur, doivent être mis à jour. Lorsque vous déplacez un serveur, respectez les règles suivantes :  Limitez la durée pendant laquelle le serveur se trouve dans son emplacement temporaire, de façon à limiter la quantité d’informations à modifier.  Reportez la configuration des services qui dépendent des réglages réseau, jusqu’à ce que le serveur se trouve à son emplacement final. Ces services incluent la réplication Open Directory, les réglages Apache (tels que les domaines virtuels), DHCP et d’autres réglages d’infrastructure réseau dont dépendent d’autres ordinateurs.  Attendez avant d’importer les comptes d’utilisateur finaux. Limitez-vous aux comptes de test afin de minimiser les informations réseau propres à l’utilisateur (telles que l’emplacement du dossier de départ) devant être modifiées après le déplacement.  Une fois que vous avez déplacé le serveur, vous pouvez modifier son adresse IP dans la sous-fenêtre Réseau de Préférences Système (ou utiliser l’outil networksetup). Quelques minutes après avoir modifié l’adresse IP ou le nom du serveur, Mac OS X Server utilise automatiquement l’outil de ligne de commande changeip pour mettre à jour le nom, l’adresse, d’autres données stockées dans le domaine Open Directory, le domaine de répertoire local et les fichiers de configuration de service sur le serveur. Il est parfois nécessaire d’ajuster manuellement des configurations réseau comme les entrées DNS du serveur ou son mappage statique DHCP. Pour obtenir des informations sur l’outil changeip, consultez sa page man et la section Administration de ligne de commande.  Reconfigurez la politique de recherche des ordinateurs (tels que les ordinateurs des utilisateurs et les serveurs DHCP) qui ont été configurés pour utiliser le serveur dans son emplacement d’origine. Chapitre 2 Planification 33 Définition de politiques de sauvegarde et de restauration Tous les systèmes de stockage finissent par tomber en panne un jour. L’usure de l’équipement, un accident ou un sinistre informatique peuvent provoquer la perte de vos données et de vos réglages de configuration. Avant d’installer un système de données, vous devriez donc mettre en place un plan destiné à empêcher la perte de données ou à en réduire l’impact. Description des politiques de sauvegarde et de restauration De très nombreuses raisons expliquent l’existence d’une politique de sauvegarde et de restauration. Vos données sont sujettes à des pannes de matériel causées par l’usure, des catastrophes naturelles ou provoquées par l’homme ou simplement la corruption des données. Vous ne pouvez pas empêcher certaines pertes de données, mais un plan de sauvegarde et de restauration vous permettra au moins de récupérer vos données. Ces politiques de sauvegarde et de restauration doivent être adaptées à votre situation, vos besoins et votre propre détermination par rapport aux données à sauvegarder, à la fréquence des sauvegardes et au temps et aux efforts à investir pour les restaurer. Les sauvegardes constituent un investissement en temps, en argent, en efforts d’administration et, souvent, en performances. Cet investissement permet toutefois d’obtenir un bénéfice net en termes d’intégrité des données. Vous pouvez éviter d’importants coûts financiers, juridiques et organisationnels si vous disposez d’une politique de sauvegarde et de restauration bien planifiée et bien exécutée. Ces politiques spécifient les procédures et les pratiques adaptées à vos besoins en matière de restauration. Il existe en substance trois types de besoins en matière de restauration :  Restauration d’un fichier supprimé ou corrompu.  Reprise après une défaillance de disque (ou la suppression de fichiers due à une catastrophe).  Archivage de données à des fins organisationnelles (comptabilité, obligations juridiques, etc.). Chaque besoin de restauration détermine le type, la fréquence et la méthode à utiliser pour sauvegarder vos données. Il est recommandé de conserver des sauvegardes quotidiennes de tous les fichiers. Cela permet de restaurer rapidement les fichiers écrasés ou supprimés. Vous disposez ainsi pour chaque jour d’une granularité au niveau du fichier : tout fichier peut être restauré le lendemain. 34 Chapitre 2 Planification Il existe d’autres niveaux de granularité. Il se peut, par exemple, que vous deviez restaurer les données de toute une journée à la fois. Dans ce cas, il y a granularité au niveau de l’instantané quotidien : elle vous permet de restaurer l’ensemble des données de votre organisation telles qu’elles étaient un jour donné. La gestion de tels instantanés quotidiens n’est toutefois pas toujours pratique. Vous pouvez alors décider de conserver un ensemble d’instantanés mobiles donnant une granularité au niveau de l’instantané quotidien uniquement pour le mois écoulé. De même, il est possible de se contenter de niveaux de restauration trimestriels, semestriels, etc. Il est également parfois nécessaire de disposer d’un stockage à des fins d’archivage, c’està-dire de données stockées accessibles uniquement dans des circonstances exceptionnelles. Le stockage à des fins d’archivage peut être permanent, ce qui signifie que les données sont conservées pour une durée illimitée. Votre organisation doit répondre aux questions suivantes :  Que doit-on sauvegarder ?  Quelle est la granularité requise pour les besoins de restauration ?  À quelle fréquence faut-il sauvegarder les données ?  Quelle doit être l’accessibilité des données (combien de temps prendra leur restauration) ?  Quels sont les processus mis en place pour récupérer après un sinistre informatique durant une procédure de sauvegarde ou de restauration ? Les réponses à ces questions font partie intégrante de votre politique de sauvegarde et de restauration. Description des types de sauvegarde Il existe de nombreux types de fichiers de sauvegarde (ils sont décrits plus loin) et, au sein de chaque type, de nombreux formats et méthodes différents. Chaque type de sauvegarde est utilisé à des fins différentes et implique des considérations différentes.  Images complètes : les images complètes sont des copies de données effectuées avec une précision de l’ordre de l’octet. Elles capturent l’état complet du disque dur jusqu’à la plus petite unité de stockage. Ces sauvegardes permettent aussi de conserver des copies du système de fichiers d’un disque et des portions inutilisées ou effacées du disque en question. Elles peuvent être utilisées pour réaliser une analyse détaillée des données du disque source. Une telle fidélité rend souvent la restauration de fichiers individuels plus difficile. Ils sont souvent compressés et ne sont décompressés que pour restaurer l’ensemble des fichiers. Chapitre 2 Planification 35  Copies complètes au niveau du fichier : ces copies sont des fichiers de sauvegarde conservés en tant que doubles. Elles ne capturent pas les détails les plus fins sur les portions inutilisées du disque source, mais elles fournissent un enregistrement complet des fichiers tels qu’ils étaient au moment de la sauvegarde. Si l’un des fichiers est modifié, la prochaine sauvegarde complète au niveau du fichier effectue une copie de l’ensemble des données en plus du fichier qui a été modifié.  Sauvegardes incrémentales : les sauvegardes incrémentales commencent par des copies au niveau du fichier, mais ne copient que les fichiers qui ont été modifiés depuis la dernière sauvegarde. Cela offre l’avantage d’économiser l’espace de stockage et de capturer toutes les modifications en vigueur au moment où elles sont apportées.  Instantanés : un instantané est une copie des données telles qu’elles étaient dans le passé. Les instantanés peuvent être réalisés à partir de collections de fichiers ou, plus souvent, à partir de liens vers d’autres fichiers au sein d’un ensemble de fichiers de sauvegarde. Ils s’avèrent pratiques pour réaliser des sauvegardes de données volatiles (données souvent modifiées, telles que les bases de données en cours d’utilisation ou les serveurs de messagerie qui envoient et reçoivent des messages électroniques). Ces types de sauvegarde ne s’excluent pas mutuellement ; ils ne représentent que des approches différentes de la copie de données à des fins de sauvegarde. Ainsi, Time Machine de Mac OS X utilise une copie complète au niveau du fichier comme sauvegarde de base, puis des sauvegardes incrémentales pour créer des instantanés des données d’un ordinateur un jour donné. Description de la planification de sauvegardes La sauvegarde de fichiers demande du temps et des ressources. Avant de décider d’un plan de sauvegarde, posez-vous les questions suivantes :  Quelle est la quantité de données à sauvegarder ?  Combien de temps la sauvegarde va-t-elle durer ?  Quand la sauvegarde doit-elle avoir lieu ?  Quelles seront les autres tâches exécutées par l’ordinateur pendant ce temps ?  Quel type d’allocation de ressources sera nécessaire ? Par exemple : quelle est la bande passante réseau nécessaire pour supporter la charge ? Quel est l’espace disque nécessaire sur les lecteurs de sauvegarde ou combien de bandes de sauvegarde seront-elles nécessaires ? Quelle sera la charge sur les ressources informatiques pendant la sauvegarde ? Quels sont les besoins en personnel pour la sauvegarde ? Vous verrez que les différents types de sauvegarde requièrent des réponses différentes à ces questions. Par exemple, une copie de fichiers incrémentale peut prendre moins de temps et copier moins de données qu’une copie de fichiers complète (parce que seule une partie de l’ensemble de données a été modifiée depuis la dernière sauvegarde). 36 Chapitre 2 Planification Une sauvegarde incrémentale peut, par conséquent, être planifiée pendant une période d’utilisation normale, car l’impact sur les utilisateurs et le système peut être très faible. Une sauvegarde image complète, par contre, peut avoir un impact très important sur les utilisateurs et le système si elle est réalisée en période d’utilisation normale. Choix d’un schéma de rotation de sauvegarde Les schémas de rotation de sauvegarde déterminent la méthode la plus efficace de sauvegarde de données sur une période donnée. Comme exemple de schéma de rotation, on pourrait citer le schéma de rotation grand-père, père, fils. Dans ce schéma, vous pouvez réaliser des sauvegardes incrémentales quotidiennes (fils), des sauvegardes complètes hebdomadaires (père) et des sauvegardes complètes mensuelles (grand-père). Dans le schéma de rotation grand-père - père - fils, le nombre d’ensembles de données que vous utilisez par sauvegarde détermine la quantité d’historique de sauvegarde dont vous disposez. Par exemple, si vous utilisez huit ensembles de sauvegarde pour les sauvegardes quotidiennes, vous avez huit jours d’historique de sauvegarde hebdomadaire étant donné que vous recyclez les ensembles de données tous les huit jours. Description des restaurations Une politique ou une solution de sauvegarde ne peut être complète sans un plan de restauration des données. Les pratiques et les procédures adoptées peuvent varier en fonction de ce que l’on restaure. Votre organisation peut, par exemple, avoir des tolérances spécifiques concernant la durée de non-fonctionnement des systèmes critiques pendant la restauration des données. Les questions suivantes doivent être posées :  Combien de temps la restauration des données va-t-elle durer à chaque niveau de granularité ? Par exemple, combien de temps prendra la restauration d’un fichier ou d’un message électronique supprimé ? Combien de temps prendra la restauration d’une image complète de disque dur ? Combien de temps faudrait-il pour rétablir l’état de l’ensemble du réseau il y a trois jours plus ?  Quel est le processus le plus efficace pour chaque type de restauration ? Par exemple, pourquoi restaurer un état antérieur de la totalité du serveur pour un seul fichier ?  Quelle est la quantité de travail demandée à l’administrateur pour chaque type de restauration ? Quel est le niveau d’automatisation à atteindre pour exploiter au mieux le temps de l’administrateur ?  Dans quelles circonstances les restaurations sont elles lancées ? Quels sont les critères d’exécution d’une restauration ? (Qui, quoi et pourquoi) Chapitre 2 Planification 37 Les pratiques et les procédures de restauration doivent être testées régulièrement. Un ensemble de données de sauvegarde qui n’a pas prouvé sa capacité de restauration correcte ne peut pas être considéré comme une sauvegarde fiable. L’intégrité d’une sauvegarde se mesure à sa fidélité de restauration. Définition d’un mécanisme de vérification de sauvegarde Une sauvegarde n’a pas d’intérêt si vous ne pouvez pas l’utiliser pour restaurer des données perdues. Nous vous conseillons d’avoir une stratégie de restaurations test régulières. Certains fournisseurs de logiciels de tierces parties gèrent cette fonctionnalité. Si vous utilisez toutefois vos propres solutions de sauvegarde, vous devez développer les procédures de test nécessaires. Autres considérations en matière de politique de sauvegarde Tenez compte des points supplémentaires suivants pour votre politique de sauvegarde :  Faut-il utiliser la compression de fichiers ? Si oui, de quel type ?  Y a-t-il des sauvegardes et des archives sur site et hors site ?  Existe-t-il des considérations particulières quant au type de données stockées ? En ce qui concerne les fichiers Mac OS X, par exemple : l’utilitaire de sauvegarde peut-il préserver les métadonnées des fichiers, les branches de ressources et les privilèges des listes de contrôle d’accès (ACL) ? Sélection du type de support de sauvegarde Plusieurs facteurs peuvent vous aider à déterminer le type de support à utiliser :  Coût. Utilisez le coût par giga-octet pour déterminer le support à utiliser. Ainsi, si vos besoins en matière de stockage sont limités, vous pouvez justifier un coût par gigaoctet plus élevé, mais s’il vous faut un espace de stockage important, le coût devient un facteur important dans votre décision. L’une des solutions de stockage les plus économiques est celle offerte par les réseaux redondants de disques indépendants (RAID). Cette solution vous garantit non seulement un faible coût par giga-octet, mais ne nécessite en outre aucune des manipulations spéciales requises par d’autres types de stockage économiques tels que les bandes magnétiques.  Capacité. Si vous ne sauvegardez qu’une petite quantité de données, un support de stockage de faible capacité fera l’affaire. Mais si vous avez besoin de sauvegarder de grandes quantités de données, utilisez des périphériques à haute capacité tels qu’un réseau RAID.  Vitesse. Lorsque votre objectif est de rendre votre serveur disponible la majorité du temps, la vitesse de restauration devient un facteur déterminant pour le choix du support. Les systèmes de sauvegarde sur bande magnétique peuvent être très économiques, mais ils sont nettement moins rapides que les réseaux RAID. 38 Chapitre 2 Planification  Fiabilité. Une rotation réussie est l’objectif de toute bonne stratégie de sauvegarde. Si vous ne pouvez pas restaurer les données perdues, les efforts et l’argent que vous aurez investis dans la sauvegarde des données seront gâchés, et la disponibilité de vos services sera compromise. Pour éviter la perte de données, il est donc essentiel que vous choisissiez un support très fiable. Les bandes magnétiques sont en ce sens plus sûres que les disques durs car elles ne contiennent pas de pièces mobiles.  Durée de vie des archives. Vous ne pouvez jamais savoir quand vous aurez besoin des données sauvegardées. C’est pourquoi vous devez opter pour un support conçu pour durer longtemps. Certains facteurs, tels que la poussière et l’humidité, peuvent endommager les supports de stockage et entraîner la perte de données. Outils de ligne de commande de restauration et de sauvegarde Mac OS X Server fournit plusieurs outils de ligne de commande de sauvegarde et restauration de données :  rsync. Utilisez cette commande pour synchroniser les copies de sauvegarde de vos données avec les originaux. L’outil rsync ne copie que les fichiers modifiés.  ditto. Utilisez cette commande pour exécuter des sauvegardes totales.  asr. Utilisez cette commande pour sauvegarder et restaurer un volume entier. Pour en savoir plus sur ces commandes, consultez la section Administration de ligne de commande. La fonctionnalité Time Machine de Leopard n’est pas recommandée pour la sauvegarde de fichiers de serveur ni la sauvegarde système de serveurs en configuration avancée. Remarque : la commande launchdctl permet d’automatiser la sauvegarde des données à l’aide des commandes sus-mentionnées. Pour en savoir plus sur l’utilisation de launchd, consultez la section Administration de ligne de commande. Chapitre 2 Planification 39 3 Outils d’administration 3 Administrez Mac OS X Server au moyen d’applications graphiques ou d’utilitaires de ligne de commande. Les outils de Mac OS X Server permettent différentes approches d’administration de serveur :  Vous pouvez administrer les serveurs en local (directement sur le serveur utilisé) ou à distance à partir d’un autre serveur, d’un ordinateur Mac OS X ou d’un poste de travail UNIX.  Les applications graphiques, comme Admin Serveur et Gestionnaire de groupe de travail, facilitent l’administration du serveur et sécurisent les communications pour l’administration du serveur à distance. Vous pouvez utiliser ces applications sur un ordinateur Mac OS X Server (elles se trouvent dans le répertoire /Applications/Server/) ou sur un ordinateur Mac OS X sur lequel vous les avez installées en suivant les instructions de la section « Configuration d’un ordinateur administrateur » à la page 155.  Des utilitaires de ligne de commande sont accessibles pour les administrateurs qui préfèrent administrer le serveur à l’aide de commandes. Pour l’administration du serveur à distance, vous pouvez soumettre les commandes dans une session SSH (Secure Shell). Vous pouvez taper les commandes sur les ordinateurs Mac OS X Server et Mac OS X au moyen de l’application Terminal, qui se trouve dans le dossier /Applications/Utilitaires/. Vous pouvez également les exécuter à partir d’un ordinateur non Macintosh, comme décrit dans la rubrique « Administration au moyen d’un ordinateur non Mac OS X » à la page 155. 41 Admin Serveur L’application Admin Serveur vous permet d’administrer des services sur un ou plusieurs ordinateurs Mac OS X Server. Admin Serveur vous permet également de spécifier des réglages prenant en charge plusieurs services, tels que la création et la gestion de certificats SSL, la gestion du partage de fichiers, ainsi que la définition des utilisateurs et groupes autorisés à accéder aux services. Les informations sur l’utilisation d’Admin Serveur pour gérer les services apparaissent dans les guides d’administration individuels et dans les informations à l’écran, accessibles via le menu Aide d’Admin Serveur. Les informations sur l’utilisation d’Admin Serveur pour la gestion des services figurent dans les différents guides d’administration et dans les sections suivantes. Ouverture de l’application Admin Serveur et authentification Admin Serveur est installé dans le dossier /Applications/Server/, à partir duquel vous pouvez l’ouvrir dans le Finder. Vous pouvez également ouvrir Admin Serveur en cliquant sur l’icône correspondante dans le Dock ou sur le bouton Admin Serveur dans la barre d’outils du Gestionnaire de groupe de travail. Pour sélectionner un serveur à utiliser, tapez son adresse IP ou son nom DNS dans la zone de dialogue d’ouverture de session ou cliquez sur Serveurs disponibles pour le choisir dans une liste de serveurs. Tapez le nom d’utilisateur et le mot de passe d’un administrateur de serveur, puis cliquez sur Se connecter. 42 Chapitre 3 Outils d’administration Interface d’Admin Serveur L’interface d’Admin Serveur est décrite ci-après. Chaque élément est expliqué dans le tableau ci-dessous. A B F C E G H D I J O K L M N Chapitre 3 Outils d’administration 43 A Liste de serveurs : contient les serveurs, les groupes, les groupes intelligents et, si vous le souhaitez, les services administrés pour chaque serveur. Sélectionnez un groupe pour afficher un résumé de l’état de tous les ordinateurs qui le composent. Sélectionnez un ordinateur pour afficher une vue d’ensemble et les réglages de serveur. Sélectionnez le service d’un serveur pour contrôler et configurer ce service. B Boutons contextuels : affichent les informations et les sous-fenêtres de configuration disponibles. C Barre d’outils : affiche les boutons contextuels disponibles. Si un bouton est grisé ou inactif, cela signifie que vous ne possédez pas les autorisations administratives pour y accéder. D Zone de travail principale : affiche l’état et les options de configuration. Ces informations sont différentes en fonction du service et du bouton contextuel sélectionné. E Serveurs disponibles : affiche l’explorateur de réseau local que vous pouvez utiliser pour découvrir des serveurs à ajouter à votre liste de serveurs. F Tous les serveurs : affiche tous les ordinateurs qui ont été ajoutés à Admin Serveur, quel que soit leur état. G Serveur : affiche le nom d’hôte du serveur géré. Sélectionnez-le pour afficher un résumé de l’état du matériel, du système d’exploitation, des services actifs et du système. H Service : affiche le service administré pour un serveur donné. Sélectionnez-le pour afficher l’état du service, des historiques et des options de configuration. I Groupe : affiche un groupe de serveurs créés par un administrateur. Sélectionnez-le pour afficher un résumé de l’état de tous les ordinateurs du groupe. Pour en savoir plus, consultez la section « Regroupement manuel de serveurs » à la page 158. J Groupe intelligent : affiche un groupe automatique composés de serveurs répondant à des critères de sélection prédéterminés. Pour en savoir plus, consultez la section « Regroupement de serveurs à l’aide de groupes intelligents » à la page 159. K Bouton Ajouter : affiche un menu local contenant des éléments que vous pouvez ajouter à la liste de serveurs : serveurs, groupes et groupes intelligents. L Bouton Action : affiche un menu local contenant les actions possibles pour le service ou le serveur sélectionné, comme déconnecter un serveur, partager l’écran du serveur, etc. M Bouton Réactualiser : permet d’envoyer une demande d’état à tous les ordinateurs qui figurent dans la liste de serveurs. 44 N Bouton de démarrage/d’arrêt de service : ce bouton permet de démarrer ou d’arrêter le service sélectionné. O Barre d’action : contient des boutons et des menus locaux comportant des commandes permettant d’agir sur les serveurs ou les services sélectionnés dans la liste de serveurs. Utilisez ces commandes pour enregistrer ou annuler des modifications de réglages. Contient le bouton Ajouter, le bouton Action, le bouton de démarrage/d’arrêt de service, ainsi que les boutons Revenir et Enregistrer. Chapitre 3 Outils d’administration Personnalisation de l’environnement d’Admin Serveur Pour contrôler l’environnement d’Admin Serveur, vous avez le choix entre les options ci-après.  Pour contrôler la liste des services à administrer, consultez la section « Ajout et suppression de services dans Admin Serveur » à la page 164.  Pour contrôler l’apparence des listes d’Admin Serveur, la fréquence d’actualisation et d’autres comportements, choisissez Admin Serveur > Préférences. Assistant du serveur Assistant du serveur est utilisé pour les tâches suivantes :  Les installations du serveur à distance.  La configuration initiale d’un serveur local.  La configuration initiale de serveurs distants.  La préparation de données pour la configuration automatisée d’une configuration avancée. La page de démarrage d’Assistant du serveur est illustrée ci-dessous. L’Assistant du serveur se trouve dans /Applications/Server/. Pour obtenir des informations sur l’utilisation d’Assistant du serveur, utilisez ses boutons Aide ou consultez le chapitre 6, « Configuration initiale du serveur, » à la page 117. Chapitre 3 Outils d’administration 45 Gestionnaire de groupe de travail Mac OS X Server comprend Gestionnaire de groupe de travail, un outil de gestion des utilisateurs que vous pouvez utiliser pour créer et gérer des comptes d’utilisateur, de groupe d’utilisateurs, d’ordinateur et de groupe d’ordinateurs. Vous pouvez aussi l’utiliser pour accéder à l’inspecteur, une fonctionnalité avancée qui permet de modifier des entrées Open Directory. Le Gestionnaire de groupe de travail est installé dans le dossier /Applications/Server/, à partir duquel vous pouvez l’ouvrir dans le Finder. Il est également possible d’ouvrir Gestionnaire de groupe de travail en cliquant sur Présentation > Gestionnaire de groupe de travail, dans la barre des menus d’Admin Serveur. Gestionnaire de groupe de travail fonctionne en association étroite avec un domaine de répertoire. Les domaines de répertoire sont similaires à des bases de données et sont optimisées pour le stockage d’informations de compte et le traitement de l’authentification. Les informations relatives au Gestionnaire de groupe de travail sont disponibles dans de nombreux documents :  Gestion des utilisateurs explique comment utiliser Gestionnaire de groupe de travail pour la gestion des comptes et des préférences. Ce guide explique aussi comment importer et exporter des comptes.  Administration d’Open Directory décrit comment utiliser l’inspecteur. Une fois que vous avez ouvert Gestionnaire de groupe de travail, vous pouvez ouvrir une fenêtre Gestionnaire de groupe de travail en choisissant Serveur > Nouvelle fenêtre Gestionnaire de groupe de travail. Important : lorsque vous vous connectez à un serveur ou que vous vous authentifiez dans Gestionnaire de groupe de travail, assurez-vous que l’emploi des majuscules dans le nom que vous tapez respecte l’emploi des majuscules dans le nom d’administrateur de serveur ou de compte d’administrateur de domaine utilisé. 46 Chapitre 3 Outils d’administration Interface de Gestionnaire de groupe de travail L’interface de Gestionnaire de groupe de travail est décrite ci-après. Chaque élément est expliqué dans le tableau qui suit. A B C D E F I G J H Chapitre 3 Outils d’administration 47 A Admin Serveur : cliquez sur ce bouton pour ouvrir l’application Admin Serveur. B Boutons de réglages : cliquez sur Comptes pour afficher ou modifier des réglages de compte ou sur Préférences pour afficher ou modifier des réglages de préférences. C Barre d’outils : cliquez sur les icônes pour exécuter les commandes en question. La barre d’outils est personnalisable. D Chemin d’accès au répertoire : utilisez ce chemin pour voir le répertoire que vous modifiez. Cliquez sur l’icône représentant un globe pour sélectionner un domaine de répertoire. Cliquez sur le cadenas pour vous authentifier. E Onglets de type d’enregistrement : utilisez ces onglets pour afficher les enregistrements des utilisateurs, des groupes, des ordinateurs ou tous les enregistrements. L’onglet Inspecteur apparaît également si l’inspecteur est activé. F Filtres de texte : utilisez-les pour filtrer les noms d’enregistrement. G Liste des enregistrements : utilisez cette liste pour afficher tous les noms d’enregistrement correspondant au type d’enregistrement sélectionné. H Barre de sélection : utilisez cette barre pour voir le nombre d’enregistrements trouvés et sélectionnés. I Zone de travail principale : utilisez-la pour travailler sur les options de compte, de préférences et de configuration. La zone de travail principale varie en fonction du type d’utilisateur, de groupe ou de préférences. J Zone d’action : utilisez cette zone pour enregistrer et annuler des modifications, ainsi que pour appliquer des configurations prédéfinies aux enregistrements sélectionnés. Personnalisation de l’environnement du Gestionnaire de groupe de travail Il existe plusieurs moyens d’adapter l’environnement du Gestionnaire de groupe de travail :  Pour accéder aux préférences de Gestionnaire de groupe de travail, choisissez Gestionnaire de groupe de travail > Préférences. Vous pouvez configurer des options telles que la résolution des noms DNS, l’activation de l’inspecteur, l’obligation de saisir une requête de recherche pour afficher la liste des enregistrements et le nombre maximum d’enregistrements à afficher.  Pour personnaliser la barre d’outils, choisissez Affichage > Personnaliser la barre d’outils.  Pour inclure des utilisateurs et groupes prédéfinis dans les listes d’utilisateurs et de groupes, choisissez Affichage > Afficher les utilisateurs et groupes du système.  Pour ouvrir Admin Serveur, cliquez sur le bouton de barre d’outils Admin Serveur. 48 Chapitre 3 Outils d’administration Répertoire Répertoire permet aux utilisateurs d’accéder à des informations partagées sur les personnes, les groupes, les emplacements et les ressources de l’organisation. Ils peuvent utiliser Répertoire pour partager des contacts, ajouter des groupes, configurer des services de groupe et gérer les coordonnées de leurs contacts. Lorsqu’un utilisateur consulte les informations d’une autre personne, il n’accède pas seulement à ses coordonnées. Si la personne a fourni une photo, l’utilisateur peut voir à quoi il ou elle ressemble. Il peut voir le superviseur et les supérieurs hiérarchiques directs de la personne. Il a accès aux groupes publics auxquels la personne appartient. Il peut également imprimer une carte sur laquelle est indiqué le lieu où se trouve cette personne. Répertoire exploite plusieurs applications Mac OS X. Les utilisateurs peuvent créer des contacts partagés à partir d’entrées de Carnet d’adresses, cliquer sur des adresses électroniques pour envoyer des messages à l’aide de Mail ou charger des services web de groupe dans Safari. Chapitre 3 Outils d’administration 49 Interface de Répertoire L’interface de Répertoire est décrite ci-après. Chaque élément est expliqué dans le tableau ci-dessous. A 50 B C D E F A Champ Rechercher : utilisez ce champ pour faire des recherches parmi les différents types d’enregistrement. Les nombres qui apparaissent à gauche des boutons de type d’enregistrement indiquent le nombre d’enregistrements répondant aux critères de recherche. B Boutons de type d’enregistrement : cliquez sur ces boutons pour afficher les types d’enregistrement de répertoire correspondants. C Liste des résultats : utilisez cette liste pour afficher les résultats de la recherche d’enregistrements. D Enregistrement : affiche l’enregistrement sélectionné dans la liste de résultats. E Bouton Ajouter : utilisez ce bouton pour ajouter un enregistrement de personne, de groupe, d’emplacement ou de ressource. F Bouton Modifier : cliquez sur ce bouton pour modifier l’enregistrement sélectionné. Chapitre 3 Outils d’administration Utilitaire d’annuaire Utilitaire d’annuaire est la principale application permettant de configurer les connexions d’un ordinateur Mac OS X à Open Directory, Active Directory et à d’autres domaines de répertoire et de définir la politique de recherche et les protocoles de détection de services de l’ordinateur. L’interface d’Utilitaire d’annuaire est décrite ci-après avec des options de configuration avancée. Utilitaire d’annuaire est installé sur les ordinateurs Mac OS X Server et Mac OS X dans /Applications/Utilitaires/. Pour obtenir des informations sur la façon d’utiliser Utilitaire d’annuaire, consultez la section Administration d’Open Directory ou l’Aide Utilitaire d’annuaire. Contrôle de serveur Utilisez Contrôle de serveur pour surveiller le matériel Xserve local ou distant et pour déclencher des notifications par courrier électronique lorsque les circonstances l’imposent. Contrôle de serveur fournit des informations sur le système d’exploitation, les lecteurs de disque, l’alimentation, la température du boîtier et du processeur, les ventilateurs, la sécurité et le réseau. Chapitre 3 Outils d’administration 51 L’interface de Contrôle de serveur est illustrée ci-dessous. Contrôle de serveur est installé dans le répertoire /Applications/Server/ lorsque vous installez votre serveur ou configurez un ordinateur administrateur. Pour ouvrir Contrôle de serveur, cliquez sur l’icône de l’application dans le Dock ou double-cliquez sur son icône dans le répertoire /Applications/Server/. Dans Admin Serveur, choisissez Présentation > Contrôle de serveur. Pour identifier le serveur Xserve à surveiller, cliquez sur Ajouter un serveur, identifiez le serveur et tapez le nom d’utilisateur et le mot de passe d’un administrateur du serveur. Pour spécifier la fréquence d’actualisation des données, utilisez le menu local « Mettre à jour tous les » de la sous-fenêtre Infos. Pour gérer différentes listes de serveurs Xserve à contrôler, choisissez Fichier > Exporter ou Fichier > Importer. Pour regrouper toutes les listes en une seule, choisissez Fichier > Fusionner. Les témoins LED du système figurant sur les parties avant et arrière d’un serveur Xserve s’allument lorsque le service est requis. Utilisez Contrôle de serveur pour savoir plus exactement pourquoi les témoins s’allument. Vous pouvez également allumer les témoins d’un serveur Xserve afin de l’identifier dans une baie de serveurs. Pour cela, sélectionnez le serveur et cliquez sur Témoin système dans la sous-fenêtre Infos. Pour configurer l’application Contrôle de serveur de sorte qu’elle vous avertisse par courrier électronique de tout changement de l’état du serveur Xserve, cliquez sur Modifier les notifications. Pour chaque serveur, configurez les conditions dont vous souhaitez être averti. Le message électronique peut provenir de Contrôle de serveur ou du serveur lui-même. 52 Chapitre 3 Outils d’administration Contrôle de serveur conserve des historiques de l’activité sur chaque serveur Xserve. Pour afficher un journal, cliquez sur Afficher l’historique. L’historique indique par exemple le nombre de fois où Contrôle de serveur a tenté de contacter le serveur et quelles connexions ont réussi. Les historiques indiquent également les modifications de l’état du serveur. Ces historiques n’incluent pas l’activité système sur le serveur. Pour plus d’informations, reportez-vous à l’aide de Contrôle de serveur. Gestion des images système Vous pouvez utiliser les applications Mac OS X Server suivantes pour configurer et gérer des images NetBoot et NetInstall :  L’Utilitaire d’images de système permet de créer des images disque Mac OS X. Il est installé avec le logiciel Mac OS X Server dans le dossier /Applications/Server/.  Admin Serveur permet d’activer et de configurer le service NetBoot et les services connexes. Il est installé avec le logiciel Mac OS X Server dans le dossier /Applications/Server/.  PackageMaker permet de créer des fichiers d’installation que vous pouvez utiliser pour ajouter des logiciels à des images disque. Utilisez Xcode Tools pour accéder à PackageMaker. Vous trouverez un programme d’installation d’Xcode Tools sur le DVD d’installation du serveur, dans le dossier Other Installs.  Property List Editor permet de modifier des listes de propriétés telles que NBImageInfo.plist. Vous pouvez accéder à Property List Editor à partir d’Xcode Tools. L’interface d’Utilitaire d’images de système est illustrée ci-dessous. Chapitre 3 Outils d’administration 53 Administration de Mise à jour de logiciels et d’Imagerie système contient des instructions sur l’utilisation de toutes ces applications. Gestion de l’enchaînement de données Administration de QuickTime Streaming et Broadcasting contient des instructions sur l’administration de QuickTime Streaming Server (QTSS) à l’aide d’Admin Serveur. Administration de QuickTime Streaming et Broadcasting décrit aussi QTSS Publisher, une application facile à utiliser pour gérer des données et les préparer pour la diffusion en continu ou le téléchargement progressif. Utilitaires de ligne de commande Si vous êtes administrateur et préférez travailler dans un environnement de ligne de commande, Mac OS X Server s’y prête aisément. À partir de l’application Terminal dans Mac OS X, vous pouvez utiliser les shells UNIX intégrés (sh, csh, tsh, zsh, bash) afin d’utiliser les outils d’installation et de configuration du logiciel serveur, ainsi que configurer et contrôler des services. Vous pouvez également soumettre des commandes à partir d’un ordinateur non Mac OS X. Lorsque vous administrez des serveurs distants, vous travaillez de façon sécurisée dans une session SSH (Secure Shell). Administration de ligne de commande décrit Terminal, SSH, les commandes d’administration de serveur et les fichiers de configuration. 54 Chapitre 3 Outils d’administration Xgrid Admin Vous pouvez utiliser Xgrid Admin pour surveiller des contrôleurs, grilles et travaux Xgrid locaux ou distants. Vous pouvez ajouter des contrôleurs et des agents afin de surveiller et de spécifier les agents qui n’ont pas encore rejoint de grille. Vous pouvez également utiliser Xgrid Admin pour interrompre, arrêter ou redémarrer des travaux. L’interface d’Utilitaire d’images de système est illustrée ci-dessous. Xgrid Admin est installé dans /Applications/Server/ lors de l’installation du serveur ou de la configuration d’un ordinateur administrateur. Pour ouvrir Xgrid Admin, double-cliquez sur l’icône Xgrid Admin dans /Applications/Server/. Pour plus d’informations, reportez-vous à l’aide de Xgrid Admin. Chapitre 3 Outils d’administration 55 Apple Remote Desktop Apple Remote Desktop (ARD), que vous pouvez acheter séparément, est une application de gestion d’ordinateurs en réseau, facile à utiliser. Elle simplifie la configuration, la surveillance et la maintenance des ordinateurs distants et vous permet d’interagir avec les utilisateurs. L’interface d’Apple Remote Desktop est illustrée ci-dessous. ARD permet de contrôler et d’observer des écrans d’ordinateur, de configurer des ordinateurs et d’installer des logiciels. Vous pouvez entrer en communication avec un ou plusieurs utilisateurs à la fois pour leur fournir une aide ou une assistance. Vous pouvez effectuer des opérations élémentaires de dépannage des problèmes de réseau. Vous pouvez également générer des rapports d’audit des caractéristiques du matériel et des logiciels installés. Vous pouvez également utiliser ARD pour contrôler l’installation sur un ordinateur que vous démarrez à partir d’un disque d’installation de Mac OS X Server 10.5 ou ultérieur, car cette application inclut une fonctionnalité de visualiseur VNC. Pour en savoir plus sur Apple Remote Desktop, visitez www.apple.com/fr/remotedesktop/. 56 Chapitre 3 Outils d’administration 4 Sécurité 4 Des politiques et des pratiques de sécurité vigilantes peuvent réduire le risque en matière d’intégrité du système et de confidentialité des données. Mac OS X Server est bâti sur des fondations UNIX robustes qui intègrent à leur architecture de nombreuses fonctionnalités de sécurité. Des technologies de pointe basées sur des normes standard protègent votre serveur, votre réseau et vos données. Ces technologies comprennent notamment un coupe-feu intégré avec analyse de paquets à état, des services puissants de chiffrement et d’authentification, des architectures de sécurité des données et la prise en charge des listes de contrôle d’accès (ACL). La lecture de ce chapitre peut servir de base à votre réflexion. Il ne constitue pas un guide de planification rigoureux et ne contient pas les détails dont vous avez besoin pour déterminer s’il faut mettre en place une politique de sécurité particulière et en évaluer les besoins en ressources. Considérez plutôt ce chapitre comme une occasion de planifier et d’établir les politiques de sécurité nécessaires dans votre environnement. Vous trouverez plus d’informations dans Configuration de la sécurité de Mac OS X Server et Configuration de la sécurité de Mac OS X. À propos de la sécurité physique La sécurité physique d’un serveur est un aspect souvent négligé de la sécurité des ordinateurs. N’oubliez pas que toute personne qui a accès physiquement à un ordinateur (par exemple, qui peut en ouvrir le boîtier ou y connecter un clavier, etc.) a un contrôle presque total sur l’ordinateur et les données qui s’y trouvent. Une personne ayant accès physiquement à un ordinateur peut ainsi :  redémarrer l’ordinateur à partir d’un autre disque dur externe en contournant tous les mécanismes d’ouverture de session existants ;  retirer les disques durs et utiliser des techniques de récupération de données ;  installer des enregistreurs de frappe matériels sur le clavier d’administration local ; 57 Vous devez déterminer, au sein de votre propre organisation et de votre environnement, quelles sont les précautions nécessaires, efficaces et rentables pour protéger la valeur de vos données et de votre réseau. Si vous faites partie d’une organisation où la salle des serveurs est protégée par des barrières allant du sol au plafond, par exemple, pensez à sécuriser également les conduites d’air qui mènent à la salle. D’autres organisations opteront pour un simple rack à serveurs ou un mot de passe Open Firmware. À propos de la sécurité du réseau La sécurité du réseau est aussi importante pour l’intégrité des données que la sécurité physique. Bien que la plupart des gens comprennent immédiatement la nécessité de mettre sous clé un serveur coûteux, ils ne voient pas toujours de manière évidente la nécessité de restreindre l’accès aux données qui se trouvent sur ce serveur. Les sections qui suivent contiennent des suggestions, des techniques et des technologies pour vous aider à sécuriser votre réseau. Coupe-feu et filtres de paquets De la même façon qu’une cloison pare-feu agit comme une barrière physique qui protège de la chaleur et des dommages provoqués par la chaleur au sein d’un bâtiment ou dans un véhicule, un coupe-feu réseau agit comme une barrière pour protéger vos ressources réseau en empêchant le piratage de données par des sources externes. Le service de coupe-feu de Mac OS X Server est un logiciel qui protège les applications réseau exécutées sur le serveur Mac OS X Server. L’activation du service de coupe-feu est similaire à l’érection d’un mur destiné à limiter l’accès. Le service de coupe-feu analyse les paquets IP entrants et les rejette ou les accepte sur la base d’un ensemble de règles que vous avez créé. Vous pouvez restreindre l’accès à tout service IP exécuté par le serveur ou personnaliser des règles pour tous les clients entrants ou pour une plage d’adresses IP clientes. Les services, tels que les services web et FTP, sont identifiés sur le serveur par un numéro de port TCP (Transmission Control Protocol) ou UDP (User Datagram Protocol). Lorsqu’un ordinateur tente de se connecter à un service, le service de coupe-feu analyse la liste des règles afin de retrouver le numéro de port correspondant. Lorsqu’une règle s’applique à la transmission de paquets de la connexion, l’action spécifiée dans la règle (par exemple, autoriser ou refuser) est exécutée. La nécessité d’appliquer des règles supplémentaires peut ensuite être évaluée en fonction de l’action. 58 Chapitre 4 Sécurité Zone démilitarisée réseau Dans le domaine de la sécurité de réseau informatique, une zone démilitarisée (ZD) est une zone du réseau (un sous-réseau) qui se trouve entre le réseau interne d’une organisation et un réseau externe comme Internet. Les connexions du réseau externe et du réseau interne vers la zone démilitarisée sont autorisées, tandis que les connexions de la zone démilitarisée sont limitées au réseau externe et ne sont pas autorisées vers le réseau interne. Cela permet à une organisation de fournir des services au réseau externe tout en protégeant le réseau interne contre d’éventuelles menaces provenant d’un hôte se trouvant dans la zone démilitarisée. Toute personne qui compromet un hôte de la zone démilitarisée ne pourra pas se connecter au réseau interne. La zone démilitarisée est souvent utilisée pour connecter des serveurs qui doivent être accessibles à partir du réseau externe ou d’Internet, comme les serveurs de courrier, les serveurs web et les serveurs DNS. Les connexions à partir du réseau externe vers la zone démilitarisée sont souvent contrôlées à l’aide de coupe-feu et de la conversion des adresses. Une zone démilitarisée peut être créée en configurant un coupe-feu : chaque réseau est connecté à un port différent du coupe-feu. C’est ce que l’on appelle une configuration de coupe-feu à trois jambes. Cette configuration a l’avantage de la simplicité, mais la faiblesse d’un point de défaillance unique. Une autre approche consiste à utiliser deux coupe-feu, une zone démilitarisée connectée au deux coupe-feu entre les deux, et à connecter l’un des coupe-feu au réseau interne et l’autre au réseau externe. Cela offre en outre l’avantage d’empêcher des erreurs de configuration accidentelles autorisant l’accès du réseau externe au réseau interne. On appelle ce type de configuration un coupe-feu avec sous-réseau protégé. Réseaux locaux virtuels Mac OS X Server permet la prise en charge des réseaux locaux virtuels (VLAN) 802.1q sur les ports Ethernet et les cartes PCI gigabit Ethernet disponibles ou intégrées dans les serveurs Xserve. Un réseau local virtuel permet à plusieurs ordinateurs se trouvant sur différents réseaux locaux physiques de communiquer entre eux comme s’ils se trouvaient sur le même réseau local. Cette solution présente comme avantages une utilisation plus efficace de la bande passante réseau et une meilleure sécurité, car le trafic de diffusion ou de multidiffusion n’est envoyé qu’aux ordinateurs situés sur le segment de réseau commun. La prise en charge des réseaux locaux virtuels par le Xserve G5 est conforme à la norme standard IEEE 802.1q. Chapitre 4 Sécurité 59 Filtrage MAC Le filtrage MAC (ou le filtrage d’adresses de couche 2) fait référence à un contrôle d’accès dans lequel l’adresse MAC d’une interface réseau, ou adresse Ethernet (adresse 42 bits assignée à chaque interface réseau), est utilisée pour déterminer l’accès au réseau. Les adresses MAC sont propres à chaque carte. L’utilisation du filtrage MAC sur un réseau autorise et refuse l’accès au réseau à certains périphériques, plutôt qu’à certains utilisateurs ou types de trafic réseau. Les utilisateurs individuels ne sont pas identifiés par une adresse MAC, seuls les périphériques le sont, de sorte qu’une personne autorisée doit disposer d’une liste de périphériques autorisés qu’elle utilise pour accéder au réseau. En théorie, le filtrage MAC permet à un administrateur réseau d’autoriser ou de refuser l’accès au réseau à des hôtes et des périphériques associés à l’adresse MAC, mais il existe en pratique des méthodes permettant d’éviter cette forme de contrôle d’accès par la modification de l’adresse (spoofing) ou l’échange physique de cartes réseau entre hôtes. Chiffrement du transport Le transfert sécurisé de données sur un réseau implique le chiffrement du contenu des paquets envoyés d’un ordinateur à l’autre. Mac OS X Server peut fournir les protocoles de chiffrement TLS (Transport Layer Security) et son prédécesseur, SSL (Secure Sockets Layer), qui sécurisent les communications sur Internet telles que la navigation web, le courrier électronique et d’autres transferts de données. Ces protocoles de chiffrement permettent aux applications clientes et serveur de communiquer d’une façon conçue pour empêcher l’écoute électronique, la falsification et la contrefaçon de messages. TLS utilise la cryptographie pour fournir l’authentification aux extrémités et la confidentialité des communications sur Internet. Ces connexions chiffrées authentifient le serveur (s’assurent de son identité), mais le client demeure non authentifié. Pour bénéficier d’une authentification mutuelle (dans laquelle chaque côté de la connexion est assurée de l’identité de l’autre), vous devez utiliser une infrastructure à clé publique (ICP) sur les clients qui se connectent. Mac OS X Server utilise OpenSSL et a intégré le chiffrement du transport dans les outils et services suivants :  SSH  VPN  Service web  Service de messagerie  Services de répertoire  Serveur iChat 60 Chapitre 4 Sécurité Chiffrement de la charge utile Plutôt que de chiffrer le transfert d’un fichier sur le réseau, vous pouvez chiffrer le contenu du fichier. Les fichiers bénéficiant d’un chiffrement puissant peuvent être interceptés pendant le transit, mais ils demeurent illisibles. La plupart des systèmes de chiffrement du transport requièrent la participation des deux parties qui interviennent de la transaction. Certains services (comme le service de messagerie SMTP) ne peuvent pas utiliser ces techniques d’une façon fiable ; le chiffrement du fichier proprement dit demeure alors la seule méthode fiable de protection du contenu du fichier. Pour en savoir plus sur le chiffrement de fichiers, consultez la section « À propos du chiffrement des fichiers » à la page 62. À propos de la sécurité des fichiers Par défaut, les fichiers et les dossiers sont la propriété de l’utilisateur qui les a créés. Une fois créés, les éléments conservent leurs privilèges (combinaison entre propriété et autorisations), même lorsqu’on les déplace, à moins que ces privilèges ne soient modifiés explicitement par leur propriétaire ou un administrateur. C’est pourquoi les nouveaux fichiers et dossiers que vous créez ne sont pas accessibles par les utilisateurs clients s’ils ont été créés dans un dossier pour lequel ces utilisateurs ne possèdent pas de privilèges. Lorsque vous configurez des points de partage, assurez-vous que les éléments autorisent des privilèges d’accès appropriés pour les utilisateurs avec lesquels vous voulez les partager. Autorisations d’accès aux fichiers et aux dossiers Mac OS X Server prend en charge deux types d’autorisations d’accès aux fichiers et aux dossiers :  Autorisations standard POSIX (Portable Operating System Interface)  Listes de contrôle d’accès (ACL) Les autorisations POSIX vous permettent de contrôler l’accès aux fichiers et dossiers sur la base de trois catégories d’utilisateurs : Propriétaire, Groupe et Tout le monde. Bien que ces autorisations permettent un contrôle adéquat des personnes qui accèdent à un fichier ou un dossier, elles n’ont pas la flexibilité et la granularité dont beaucoup d’organisations ont besoin pour gérer des environnements d’utilisateurs élaborés. Les autorisations des listes de contrôle d’accès fournissent un ensemble plus étendu d’autorisations pour un fichier ou un dossier et permettent de désigner plusieurs utilisateurs et groupes comme propriétaires. Les listes de contrôle d’accès sont de plus compatibles avec Windows Server 2003 et Windows XP, ce qui vous donne une plus grande flexibilité dans un environnement multiplateforme. Chapitre 4 Sécurité 61 Pour en savoir plus sur les autorisations de fichier, consultez les sections Administration des services de fichier et Configuration de la sécurité de Mac OS X Server. À propos du chiffrement des fichiers Mac OS X dispose d’un certain nombre de technologies de chiffrement de fichiers, à savoir :  FileVault : FileVault effectue un chiffrement à la volée sur le dossier de départ de chaque utilisateur. Il chiffre donc l’ensemble du répertoire dans un volume virtuel, qui est monté, et déchiffre les données selon les besoins.  Secure VM : Secure VM chiffre la mémoire virtuelle système (les données de mémoire écrites temporairement sur le disque dur). En tant que tel, il n’est pas utilisé pour chiffrer des fichiers d’utilisateur, mais confère plus de sécurité à votre système en empêchant la lecture et l’exploitation des fichiers de mémoire virtuelle.  Utilitaire de disque : Utilitaire de disque peut créer des images disque dont le contenu est chiffré et protégé par mot de passe. Les images disque fonctionnent comme un support amovible, tel qu’un disque dur ou une carte mémoire flash USB, mais n’existent que sous la forme d’un fichier stocké sur l’ordinateur. Une fois que vous avez créé l’image disque chiffrée, il suffit de double-cliquer dessus pour la monter sur votre système. Tous les fichiers que vous faites glisser sur l’image montée sont chiffrés et stockés dans l’image disque. Vous pouvez ensuite envoyer l’image disque à d’autres utilisateurs de Mac OS X. S’ils disposent du mot de passe de déverrouillage, ils peuvent extraire les fichiers que vous avez verrouillés dans l’image disque. Pour en savoir plus, sachez que les méthodes de chiffrement de fichiers suivantes sont décrites dans le Guide de configuration de la sécurité de Mac OS X Server :  Création d’une nouvelle image disque chiffrée.  Création d’une image disque chiffrée à partir de données existantes. Suppression sécurisée Lorsque vous placez un fichier dans la Corbeille et que vous videz cette dernière, ou lorsque vous supprimez un fichier à l’aide de l’outil UNIX « rm », les fichiers proprement dits ne sont pas supprimés du disque dur. Ils sont simplement déplacés de la liste des fichiers contrôlés et protégés par le système d’exploitation. Tous espace de votre disque dur considéré comme de l’espace libre (dans lequel le système d’exploitation peut placer un fichier) contient plus que probablement des fichiers qui ont été supprimés auparavant. Ces fichiers peuvent être récupérés à l’aide d’utilitaires d’analyse et d’annulation de suppression. Pour supprimer totalement des données, vous devez utiliser une méthode de suppression plus sûre. Les experts en sécurité recommandent d’écraser plusieurs fois les fichiers supprimés et l’espace libre à l’aide de données aléatoires. 62 Chapitre 4 Sécurité Mac OS X Server fournit les outils suivants pour supprimer des fichiers de façon sûre :  Vider la Corbeille en mode sécurisé (une commande du menu Finder que l’on peut utiliser à la place de la commande « Vider la Corbeille »).  srm (un utilitaire UNIX qui supprime les fichiers de façon sûre et que l’on peut utiliser à la place de « rm »). À propos de l’authentification et de l’autorisation L’authentification consiste à vérifier l’identité d’une personne, tandis que l’autorisation consiste à vérifier qu’une personne authentifiée dispose de l’autorité requise pour effectuer une certaine action. L’authentification est donc nécessaire pour l’autorisation. Dans le contexte informatique, lorsque vous saisissez un nom d’utilisateur et un mot de passe, vous êtes authentifié sur l’ordinateur parce qu’il part du principe qu’une seule personne (en l’occurrence, vous) connaît à la fois le nom d’utilisateur et le mot de passe. Une fois que vous êtes authentifié, le système d’exploitation vérifie si vous figurez dans des listes de personnes autorisées à accéder à certains fichiers et, si vous êtes autorisé à y accéder, vous autorise l’accès à ces fichiers. Comme l’autorisation ne peut pas se faire sans authentification, le terme autorisation est parfois utilisé pour la combinaison de l’authentification et de l’autorisation. Sous Mac OS X Server, les utilisateurs qui tentent d’utiliser différents services (comme ouvrir une session sur un poste de travail conscient des répertoires ou monter un volume distant) doivent s’authentifier en fournissant un nom d’utilisateur et un mot de passe pour que les privilèges d’utilisateur puissent être déterminés. Il y a plusieurs façons d’authentifier des utilisateurs :  Authentification Open Directory. Basée sur le protocole normalisé SASL (Simple Authentication and Security Layer), l’authentification Open Directory prend en charge de nombreuses méthodes d’authentification, notamment CRAM-MD5, APOP, WebDAV, SHA-1, LAN Manager, NTLMv1 et NTLMv2. C’est la façon la plus efficace d’authentifier des utilisateurs Windows. Les méthodes d’authentification peuvent être désactivées de façon sélective pour rendre le stockage des mots de passe sur le serveur plus sûr. Par exemple, si aucun client n’utilise les services Windows, vous pouvez désactiver les méthodes d’authentification NTLMv1 et LAN Manager pour empêcher le stockage de mots de passe sur le serveur à l’aide de ces méthodes. Toute personne parvenant, d’une façon ou d’une autre, à accéder à votre base de données de mots de passe ne pourrait pas exploiter les failles de ces méthodes d’authentification pour pirater des mots de passe. Chapitre 4 Sécurité 63 L’authentification Open Directory vous permet de configurer des politiques de mots de passe pour des utilisateurs individuels ou pour tous les utilisateurs dont les enregistrements sont stockés dans un répertoire particulier, avec des exceptions si nécessaire. L’authentification Open Directory permet aussi de spécifier des politiques de mots de passe pour des répliques de répertoire individuelles. Vous pouvez, par exemple, spécifier une longueur de mot de passe minimum ou exiger qu’un utilisateur change de mot de passe à sa prochaine ouverture de session. Vous pouvez aussi désactiver l’ouverture de session pour les comptes inactifs ou après un certain nombre de tentatives infructueuses d’ouverture de session.  Authentification Kerberos 5. L’authentification Kerberos permet l’intégration dans des environnements Kerberos existants. Le centre de distribution de clés (Key Distribution Center ou KDC) de Mac OS X Server prend entièrement en charge les politiques de mots de passe que vous configurez sur le serveur. L’utilisation de Kerberos permet également de bénéficier d’une fonctionnalité appelée la signature unique, décrite dans la section qui suit. Les services suivants de Mac OS X Server prennent en charge l’authentification Kerberos : AFP (Apple Filing Protocol), courrier électronique, FTP (File Transfer Protocol), SSH (Secure Shell), fenêtre d’ouverture de session, LDAPv3, VPN (Virtual Private Network), serveur iChat, économiseur d’écran et Apache (via le protocole SPNEGO).  Stockage de mots de passe dans des comptes utilisateur. Cette approche peut être utile lors de la migration de comptes utilisateur à partir de versions antérieures du serveur. Il se peut toutefois qu’elle ne prenne pas en charge les clients qui nécessitent certains protocoles d’authentification sûrs pour le réseau comme APOP.  Authentification LDAPv3 non Apple. Cette approche est disponible pour les environnements dans lesquels un serveur LDAPv3 est configuré pour authentifier les utilisateurs.  RADIUS (protocole d’authentification pour le contrôle de l’accès au réseau de clients à configurations mobiles ou fixes). Pour en savoir plus sur RADIUS dans Mac OS X Server, consultez la section Administration des services de réseau. Signature unique Mac OS X Server utilise Kerberos pour l’authentification par signature unique, ce qui évite aux utilisateurs de devoir saisir un nom d’utilisateur et un mot de passe pour chaque service séparément. Avec la signature unique, l’utilisateur saisit toujours un nom d’utilisateur et un mot de passe dans la fenêtre d’ouverture de session. Par contre, une fois la session ouverte, il ne doit plus saisir de nom d’utilisateur ni de mot de passe pour accéder au service de fichiers Apple, au service de messagerie ni aux autres services qui utilisent l’authentification Kerberos. Pour utiliser la signature unique, les utilisateurs et les services doivent être kerbérisés, c’est-à-dire configurés pour l’authentification Kerberos, et doivent utiliser le même centre de distribution de clés Kerberos. 64 Chapitre 4 Sécurité Les comptes utilisateur qui résident dans un répertoire LDAP de Mac OS X Server et qui possèdent le type de mot de passe Open Directory utilisent le centre de distribution de clés intégré du serveur. Ces comptes utilisateur sont configurés automatiquement pour Kerberos et la signature unique. Les services kerbérisés de ce serveur utilisent également le centre de distribution de clés intégré du serveur et sont configurés automatiquement pour la signature unique. Ce centre de distribution de clés Mac OS X Server peut aussi authentifier des utilisateurs pour des services fournis par d’autres serveurs. Une configuration minimale est suffisante pour que d’autres serveurs sous Mac OS X Server puissent utiliser le centre de distribution de clés de Mac OS X Server. Kerberos a été développé au MIT pour fournir une authentification et une communication sécurisées sur des réseaux ouverts tels qu’Internet. Kerberos fournit des preuves d’identité aux deux parties. Il vous permet de prouver qui vous êtes auprès des services réseau que vous voulez utiliser. Il prouve aussi à vos applications que les services réseau sont authentiques et n’ont pas fait l’objet d’une opération de spoofing (mystification). Comme d’autres systèmes d’authentification, Kerberos ne fournit toutefois pas d’autorisation. Chaque service réseau détermine lui-même ce qu’il vous autorise à faire en fonction de l’identité établie. Kerberos permet à un client et à un serveur de s’identifier mutuellement de façon nettement plus sûre que les méthodes d’authentification par mot de passe et par question-réponse traditionnelles. Kerberos fournit aussi un environnement à signature unique dans lequel les utilisateurs ne doivent s’authentifier qu’une fois par jour, par semaine ou par période, ce qui rend l’authentification moins lourde. Mac OS X Server et Mac OS X 10.3 à 10.5 prennent en charge la version 5 de Kerberos. À propos des certificats, de SSL et de l’infrastructure à clé publique Mac OS X Server prend en charge de nombreux services utilisant le protocole SSL (Secure Socket Layer) pour le transfert de données chiffrées. SSL utilise un système d’infrastructure à clé publique (ICP) pour générer et maintenir des certificats d’identité pour les services dans lesquels SSL a été activé. Les systèmes d’infrastructure à clé publique permettent aux deux parties d’une transaction de données de s’authentifier mutuellement et d’utiliser des clés de chiffrement et d’autres informations qui figurent dans les certificats d’identité, afin de chiffrer et de déchiffrer les messages qui transitent entre les deux parties. Une infrastructure à clé publique permet à toutes les parties qui communiquent de bénéficier de la confidentialité, de l’intégrité des messages et de l’authentification de la source des messages sans devoir échanger d’informations secrètes au préalable. Chapitre 4 Sécurité 65 La technologie SSL fait appel à un système d’ICP pour sécuriser la transmission de données et l’authentification des utilisateurs. Elle crée un canal de communication sécurisé initial permettant de négocier une transmission de clé secrète plus rapidement. Mac OS X Server utilise SSL pour fournir une transmission de données chiffrées pour le service de courrier électronique, le service web et le service de répertoire. Les sections qui suivent contiennent d’autres informations concernant certains aspects importants des infrastructures à clé publique :  « Clés publiques et privées » à la page 66.  « Certificats » à la page 67.  « Autorités de certificat » à la page 67.  « Identités » à la page 68. Clés publiques et privées Dans un ICP, deux clés numériques sont créées : la clé publique et la clé privée. La clé privée n’est pas distribuée à tout le monde et est souvent chiffrée par une phrase clé. La clé publique, par contre, est distribuée aux parties qui communiquent. Les fonctionnalités de base des clés peuvent être résumées comme suit : Type de clé Fonctionnalités Publique  Permet de chiffrer des messages qui ne peuvent être déchiffrés que par une personne possédant la clé privée correspondante.  Permet de vérifier la signature qui figure sur un message provenant d’une clé privée. Privée  Permet de signer numériquement un message ou un certificat pour en établir l’authenticité.  Permet de déchiffrer des messages chiffrés avec la clé publique.  Permet de chiffrer des messages qui ne peuvent être déchiffrés que par la clé privée elle-même. Les services web, de courrier électronique et de répertoire utilisent la clé publique avec SSL pour négocier une clé partagée pendant la durée de la connexion. Ainsi, un serveur de messagerie envoie sa clé publique à un client se connectant et entame la négociation pour l’établissement d’une connexion sécurisée. Le client se connectant utilise la clé publique pour chiffrer une réponse à la négociation. Comme le serveur de messagerie dispose de la clé privée, il peut déchiffrer la réponse. La négociation continue jusqu’à ce que le serveur de messagerie et le client disposent d’un secret partagé pour chiffrer le trafic entre les deux ordinateurs. 66 Chapitre 4 Sécurité Certificats Les clés publiques se trouvent souvent dans des certificats. Un utilisateur peut signer numériquement des messages à l’aide de sa clé privée et les autres utilisateurs peuvent vérifier la signature à l’aide de la clé publique qui se trouve dans le certificat du signataire émis par une autorité de certificat (AC) au sein de l’ICP. Un certificat de clé publique (on parle parfois aussi de certificat d’identité) est un fichier de format déterminé (Mac OS X Server utilise le format x.509) contenant les éléments suivants :  La moitié clé publique d’une paire clé privée-clé publique.  Des informations relatives à l’identité de l’utilisateur de la clé, telles que le nom et les coordonnées.  Une période de validité (durée pendant laquelle on peut être sûr de l’exactitude du certificat).  L’URL d’une personne possédant l’autorité nécessaire pour révoquer le certificat (son centre de révocation).  La signature numérique d’une autorité de certificat ou de l’utilisateur de la clé. Autorités de certificat Une autorité de certificat (AC) est une entité accompagnée d’un certificat associé qui signe et émet des certificats d’identité numériques établissant que la partie identifiée est digne de confiance. En ce sens, il s’agit d’une tierce partie de confiance entre deux transactions. Dans les systèmes x.509, les AC sont hiérarchiques par nature, chacune étant certifiée par d’autres AC jusqu’à une autorité racine suprême. Une autorité racine est une AC qui bénéficie de la confiance de suffisamment de ou de toutes les parties intéressées de sorte qu’elle ne doive pas être authentifiée par une autre tierce partie. La hiérarchie des certificats va toujours du bas vers le haut, avec un certificat d’autorité racine au sommet. Une AC peut être une entreprise qui, en échange d’une commission, signe et émet un certificat de clé publique proclamant que l’AC atteste que la clé publique du certificat appartient bien à son propriétaire, comme indiqué dans le certificat. D’une certaine façon, l’AC est une sorte de notaire numérique. Pour effectuer une demande de certificat auprès d’une AC, il est nécessaire de fournir ses coordonnées et des informations sur son identité, ainsi que la clé publique. L’AC vérifie l’identité du demandeur afin que les utilisateurs puissent être sûrs que les certificats émis par cette AC appartiennent bien au demandeur identifié. Chapitre 4 Sécurité 67 Identités Les identité, dans le contexte du gestionnaire de certificats de Mac OS X Server, sont la combinaison d’un certificat signé pour les deux clés d’une paire de clés d’une ICP. Les identités sont utilisées par le trousseau système et sont disponibles pour les différents services qui prennent en charge SSL. Certificats auto-signés Les certificats auto-signés sont des certificats signés numériquement par la clé privée de la paire de clés incluse dans le certificat. Cette solution remplace la signature du certificat par une AC. En signant un certificat vous-même, vous attestez que vous êtes bien celui que vous prétendez être. Aucune tierce partie de confiance n’est impliquée. Gestionnaire de certificats dans Admin Serveur L’application Gestionnaire de certificats de Mac OS X Server est intégrée à Admin Serveur pour vous aider à créer, utiliser et maintenir des identités pour les services pour lesquels SSL est activé. L’interface d’Admin Serveur est illustrée ci-dessous (avec le Gestionnaire de certificats sélectionné). Gestionnaire de certificats fournit la gestion intégrée de certificats SSL dans Mac OS X Server pour tous les services qui permettent l’utilisation de certificats SSL. 68 Chapitre 4 Sécurité Gestionnaire de certificats permet de créer des certificats auto-signés et des demandes de signature de certificat (en anglais Certificate-Signing Requests ou CSR) pour obtenir un certificat signé par une AC. Les certificats, auto-signés ou signés par une AC, sont accessibles par les services qui prennent en charge SSL. Les identités, qui étaient auparavant créées et stockées dans des fichiers OpenSSL, peuvent également être importées dans Gestionnaire de certificats et sont alors accessibles à tous les services prenant en charge SSL. Gestionnaire de certificats dans Admin Serveur ne vous permet pas de signer et d’émettre des certificats en tant qu’AC ni de signer et d’émettre des certificats en tant qu’autorité racine. Si vous avez besoin de ces fonctions, vous pouvez utiliser l’application Assistant AC d’Apple qui se trouve dans /Applications/Utilitaires/. Elle permet d’obtenir ces fonctions, ainsi que d’autres. Les certificats auto-signés et émis par une AC créés dans Assistant AC d’Apple peuvent être utilisés dans Gestionnaire de certificats par simple importation. Gestionnaire de certificats affiche les informations suivantes pour chaque certificat :  Le nom du domaine pour lequel le certificat a été émis.  Les dates de validité.  L’autorité signataire (par exemple, l’entité de l’AC ou, si le certificat est auto-signé, la mention « Self-Signed »). Préparation des certificats Pour pouvoir utiliser SSL dans les services de Mac OS X Server, vous devez d’abord créer ou importer des certificats. Vous pouvez créer votre propre certificat auto-signé, générer une demande de signature de certificat (CSR) à envoyer à une AC ou importer un certificat préalablement créé avec OpenSSL. Sélectionnez une AC pour signer votre demande de certificat. Si vous n’avez pas d’AC pour signer votre demande, vous pouvez devenir votre propre AC, puis importer vos certificats d’AC dans la base de données de confiance racine de tous les ordinateurs que vous gérez. Si vous utilisez un certificat auto-signé, envisagez d’utiliser une AC auto-signée afin de signer une CSR à utiliser pour vos services, puis importez le certificat public de votre AC dans le trousseau système de tous les ordinateurs clients. Ces deux options partent du principe que vous avez le contrôle des ordinateurs clients. Chapitre 4 Sécurité 69 Demande de certificat auprès d’une autorité de certificat Gestionnaire de certificats vous aide à créer une demande de signature de certificat (CSR) à envoyer à votre AC désignée. Pour demander un certificat signé : 1 Dans Admin Serveur, sélectionnez le serveur qui possède des services prenant en charge SSL. 2 Cliquez sur Certificats. 3 Cliquez sur le bouton Ajouter (+) sous la liste Certificats. 4 Saisissez les informations relatives à l’identité. Le nom usuel est le nom de domaine complet du serveur qui va utiliser les services pour lesquels SSL est activé. 5 Saisissez les dates de validité de début et de fin. 6 Sélectionnez une taille pour la clé privée (la taille par défaut est 1024 bits). 7 Saisissez une phrase clé pour la clé privée. Cette phrase clé devrait être plus sûre qu’un simple mot de passe. Il est recommandé d’utiliser au moins 20 caractères, de mélanger majuscules et minuscules, nombres et/ou signes de ponctuation, de ne pas répéter de caractères et de ne pas utiliser de termes figurant dans un dictionnaire. 8 Cliquez sur le bouton en forme d’engrenage et choisissez « Créer une demande de signature de certificats ». 9 Suivez les instructions à l’écran pour demander un certificat signé à l’AC que vous avez choisie. Vous pouvez, par exemple, le faire en ligne ou fournir l’adresse électronique. 10 Cliquez sur Envoyer la demande. 11 Cliquez sur Terminé pour enregistrer les informations d’identité. Lorsque l’AC répond au message électronique, elle l’inclut dans le texte d’un message électronique. 12 Assurez-vous à nouveau que le certificat est sélectionné dans le champ Certificats. 13 Cliquez sur le bouton en forme d’engrenage, puis choisissez « Ajouter un certificat signé ou renouvelé de l’autorité de certificat ». 14 Copiez les caractères entre « ==Begin CSR== » et « ==End CSR== » dans la zone de texte. 15 Cliquez sur OK. 16 Cliquez sur Enregistrer. 70 Chapitre 4 Sécurité Création d’un certificat auto-signé Lorsque vous créez une identité dans Gestionnaire de certificats, vous créez un certificat auto-signé. Gestionnaire de certificats crée une paire clé privée-clé publique possédant la taille de clé spécifiée (entre 512 et 2048 bits) dans le trousseau système. Il crée ensuite le certificat auto-signé correspondant dans le trousseau système. Une CSR est également générée pendant la création du certificat auto-signé. Elle n’est pas stockée dans le trousseau, mais écrite sur disque à l’emplacement /etc/certificates/ cert.nom.usuel.tld.csr, où « nom.usuel.tld » est le nom usuel du certificat émis. Pour créer un certificat auto-signé : 1 Dans Admin Serveur, sélectionnez le serveur qui possède les services prenant en charge SSL. 2 Cliquez sur Certificats. 3 Cliquez sur le bouton Ajouter (+). 4 Saisissez les informations relatives à l’identité. Le nom usuel est le nom de domaine complet du serveur qui va utiliser les services pour lesquels SSL est activé. 5 Saisissez les dates de validité de début et de fin. 6 Sélectionnez une taille pour la clé privée (la taille par défaut est 1024 bits). 7 Saisissez une phrase clé pour la clé privée. Cette phrase clé devrait être plus sûre qu’un simple mot de passe. Il est recommandé d’utiliser au moins 20 caractères, de mélanger majuscules et minuscules, nombres et signes de ponctuation, de ne pas répéter de caractères et de ne pas utiliser de termes figurant dans un dictionnaire. 8 Cliquez sur Terminé pour enregistrer les informations d’identité. 9 Cliquez sur Enregistrer. Création d’une autorité de certificat Si vous voulez pouvoir signer le certificat de quelqu’un d’autre, vous devez créer une autorité de certificat (AC). Les autorités de certificat sont parfois appelées certificats racine. En utilisant le certificat racine, vous deviendrez la tierce partie de confiance pour les transactions de ce certificat, vous portant ainsi garant de l’identité du détenteur du certificat. Si vous faite partie d’une organisation importante, vous pouvez décider d’émettre ou de signer des certificats pour des personnes de votre organisation, afin de bénéficier des avantages de sécurité offerts par les certificats avec vos propres services informatiques. Il se peut toutefois que certaines organisations externes ne reconnaissent pas ou ne fassent pas confiance à votre autorité en matière de signature. Chapitre 4 Sécurité 71 Pour créer une AC : 1 Démarrez Trousseau d’accès. Trousseau d’accès est un utilitaire qui se trouve dans le répertoire /Applications/Utilitaires/. 2 Dans le menu Trousseau d’accès, sélectionnez Assistant Certificat > Créer une autorité de certificat. L’Assistant Certificat démarre. Il va vous guider tout au long du processus de création de l’AC. 3 Choisissez de créer une Autorité de certification racine auto-signée. 4 Fournissez à Assistant Certificat les informations requises, puis cliquez sur Continuer. Pour créer une AC, vous allez devoir fournir les informations suivantes :  Une adresse électronique.  Le nom de l’autorité émettrice (vous ou votre organisation). Vous devez aussi spécifier s’il faut ignorer les valeurs par défaut et s’il faut faire de cette AC l’AC par défaut de l’organisation. Si vous n’avez pas d’AC par défaut pour votre organisation, autorisez Assistant Certificat à faire de la présente AC l’AC par défaut. Dans la plupart des cas, il n’est pas recommandé d’ignorer les valeurs par défaut. Si vous ne les ignorez pas, passez directement à l’étape 16. 5 Si vous préférez ignorer les valeurs par défaut, fournissez les informations suivantes dans les écrans qui suivent :     Un numéro de série unique pour le certificat racine. Le nombre de jours de fonctionnement de l’autorité de certificat avant son expiration. Le type de certificat utilisateur que cette AC signe. Si vous voulez créer pour l’AC un site web auquel les utilisateurs peuvent accéder pour la distribution des certificats d’AC. 6 Cliquez sur Continuer. 7 Fournissez à Assistant Certificat les informations requises, puis cliquez sur Continuer. Pour créer une AC, vous allez devoir fournir les informations suivantes :      L’adresse électronique de la partie responsable des certificats. Le nom de l’autorité de certificat (vous ou votre organisation). Le nom de l’organisation. Le nom d’unité de l’organisation. L’emplacement de l’autorité émettrice. 8 Sélectionnez une taille de clé et un algorithme de chiffrement pour le certificat d’AC, puis cliquez sur Continuer. 72 Chapitre 4 Sécurité Une clé de grande taille demande plus de calculs de la part des ordinateurs, mais est nettement plus sûre. L’algorithme à sélectionner dépend plus de vos besoins en termes d’organisation que de considérations techniques. Les algorithmes DSA et RSA sont tous deux des algorithmes de chiffrement forts. L’algorithme DSA est une norme standard du gouvernement fédéral des États-Unis pour les signatures numériques. L’algorithme RSA constitue une avancée plus récente dans le domaine des algorithmes. 9 Sélectionnez une taille de clé et un algorithme de chiffrement pour les certificats à signer, puis cliquez sur Continuer. 10 Sélectionnez les extensions d’utilisation de clé dont vous avez besoin pour le certificat d’AC, puis cliquez sur Continuer. Vous devez sélectionner au minimum Signature et Signature de certificat. 11 Sélectionnez les extensions d’utilisation de clé dont vous avez besoin pour les certificats à signer, puis cliquez sur Continuer. Les sélections d’utilisation de clé par défaut sont basées sur le type de clé sélectionné auparavant dans l’assistant. 12 Spécifiez d’autres extensions à ajouter au certificat d’AC, puis cliquez sur Continuer. Vous devez sélectionner « Inclure l’ext. de contraintes élémentaires » et « Utiliser ce certificat comme autorité de certification ». 13 Spécifiez éventuellement d’autres extensions à ajouter au certificat d’AC, puis cliquez sur Continuer. Aucune n’est obligatoire. 14 Sélectionnez le trousseau « Système » pour stocker le certificat d’AC. 15 Choisissez de faire confiance aux certificats de cet ordinateur signés par l’AC que vous avez créée. 16 Cliquez sur Continuer et authentifiez-vous comme administrateur pour créer le certificat et la paire de clés. 17 Lisez et suivez les instructions qui figurent à la dernière page de l’Assistant Certificat. Vous pouvez maintenant émettre des certificats destinés à des parties de confiance et signer des demandes CSR. Utilisation d’une AC pour créer un certificat destiné à quelqu’un d’autre Vous pouvez utiliser votre certificat d’AC pour émettre un certificat pour quelqu’un d’autre. On appelle parfois cette opération signer une demande de signature de certificat (CSR). En le faisant, vous affirmez que vous êtes une partie de confiance et que vous pouvez vérifier l’identité du détenteur du certificat. Chapitre 4 Sécurité 73 Pour que vous puissiez créer un certificat destiné à une autre personne, cette dernière doit d’abord générer une demande de signature de certificat. Elle peut utiliser l’Assistant Certificat pour générer la demande de signature de certificat et vous envoyer la demande par message électronique. Vous devez ensuite utiliser le texte de la demande de signature de certificat pour créer le certificat. Pour créer un certificat destiné à quelqu’un d’autre : 1 Démarrez Trousseau d’accès. Trousseau d’accès est un utilitaire qui se trouve dans le répertoire /Applications/Utilitaires/. 2 Dans le menu de Trousseau d’accès, sélectionnez Assistant Certificat > Créer un certificat pour quelqu’un d’autre en tant qu’autorité de certificat. L’Assistant Certificat démarre et vous guide tout au long du processus de création de l’AC. 3 Faites glisser la demande de signature de certificat dans la zone cible. 4 Choisissez l’AC émettrice et signez la demande. Vous pouvez aussi ignorer les valeurs par défaut de la demande. 5 Cliquez sur Continuer. Si vous ignorez les valeurs par défaut de la demande, fournissez à l’Assistant Certificat les informations requises, puis cliquez sur Continuer. Le certificat est maintenant signé. L’application de courrier électronique par défaut s’ouvre avec le certificat signé comme pièce jointe. Importation d’un certificat Vous pouvez importer un certificat et une clé privée OpenSSL préalablement générés dans Gestionnaire de certificats. Les éléments sont stockés comme éléments disponibles dans la liste des identités et sont disponibles pour les services pour lesquels SSL a été activé. Pour importer un certificat de type OpenSSL existant : 1 Dans Admin Serveur, sélectionnez le serveur qui possède les services prenant en charge SSL. 2 Cliquez sur Certificats. 3 Cliquez sur le bouton Importer. 4 Saisissez le nom et le chemin du fichier du certificat existant. Vous pouvez aussi parcourir le disque et spécifier son emplacement. 5 Saisissez le nom et le chemin du fichier de clé privée existant. Vous pouvez aussi parcourir le disque et spécifier son emplacement. 6 Saisissez la phrase clé de la clé privée. 7 Cliquez sur Importer. 74 Chapitre 4 Sécurité Gestion des certificats Une fois qu’un certificat a été créé et signé, vous n’avez plus grand chose à faire. Les certificats ne peuvent être modifiés que dans Admin Serveur et ne peuvent plus être modifiés une fois qu’une AC les a signés. Les certificats auto-signés peuvent être modifiés. Vous devez supprimez les certificats si les informations qu’ils possèdent (informations de contact, etc.) ne sont plus exactes ou si vous pensez que la paire de clés a été compromise. Modification d’un certificat Une fois que la signature de certificat d’une AC a été ajoutée, le certificat ne peut plus être modifié. Il est toutefois possible de modifier des certificats auto-signés. Tous les champs du certificat (y compris le nom de domaine et la phrase clé de la clé privée, la taille de la clé privée, etc.) peuvent être modifiés. Si l’identité a été exportée sur disque à partir du trousseau système, elle doit être réexportée. Pour modifier un certificat : 1 Dans Admin Serveur, sélectionnez le serveur qui possède des services prenant en charge SSL. 2 Cliquez sur Certificats. 3 Sélectionnez l’identité certificat à modifier. Il doit s’agir d’un certificat auto-signé. 4 Cliquez sur le bouton Modifier (/). 5 Cliquez sur Modifier. Distribution d’un certificat public d’AC à des clients Si vous utilisez des certificats auto-signés, un avertissement est affiché dans la plupart des applications d’utilisateur pour vous avertir que l’autorité de certificat n’est pas reconnue. D’autres logiciels, tels que le client LDAP, refusent purement et simplement d’utiliser SSL si l’AC du serveur est inconnue. Mac OS X Server n’est livré qu’avec des certificats provenant d’AC commerciales connues. Pour empêcher cet avertissement, votre certificat d’AC doit être exporté vers chaque ordinateur client qui se connecte au serveur sécurisé. Pour distribuer le certificat d’AC auto-signé : 1 Copiez le certificat d’AC auto-signé (le fichier nommé ca.crt) sur chaque ordinateur client. Il est préférable de le distribuer à l’aide d’un support non réinscriptible tel qu’un CD-R. L’utilisation de supports non réinscriptibles empêche la corruption du certificat. 2 Ouvrez l’outil Trousseau d’accès en double-cliquant sur l’icône ca.crt à l’emplacement où le certificat a été copié sur l’ordinateur client. Chapitre 4 Sécurité 75 3 Ajoutez le certificat au trousseau système à l’aide de Trousseau d’accès. Vous pouvez aussi utiliser la commande certtool dans Terminal : sudo certtool i ca.crt k=/System/Library/Keychains/Systems Désormais, toute application cliente qui procède à des vérifications par rapport au trousseau système (comme Safari et Mail) reconnaît tous les certificats signés par votre AC. Suppression d’un certificat Lorsqu’un certificat est arrivé à expiration ou a été compromis, vous devez le supprimer. Pour supprimer un certificat : 1 Dans Admin Serveur, sélectionnez le serveur qui possède des services prenant en charge SSL. 2 Cliquez sur Certificats. 3 Sélectionnez l’identité certificat à supprimer. 4 Cliquez sur le bouton Suprimmer (-) et sélectionnez Supprimer. 5 Cliquez sur Enregistrer. Renouvellement d’un certificat arrivé à expiration Tous les certificats ont une date d’expiration. Vous devez donc mettre à jour les certificats lorsqu’ils expirent. Pour renouveler un certificat arrivé à expiration : 1 Demandez un nouveau certificat à l’AC. Si vous êtes votre propre AC, créez-en un nouveau à l’aide de votre propre certificat racine. 2 Dans Admin Serveur, sélectionnez dans la liste Serveurs le serveur possédant le certificat en cours d’expiration. 3 Cliquez sur Certificats. 4 Sélectionnez l’identité certificat à modifier. 5 Cliquez sur le bouton d’action, puis choisissez « Ajouter un certificat signé ou renouvelé de l’autorité de certificat ». 6 Collez le certificat renouvelé dans le champ de texte, puis cliquez sur OK. 7 Cliquez sur le bouton Modifier pour rendre le certificat modifiable. 8 Réglez les dates du certificat. 9 Cliquez sur Enregistrer. 76 Chapitre 4 Sécurité Utilisation de certificats Dans Admin Serveur, les différents services comme le service web, le service de courrier électronique, le service VPN, etc., affichent une liste déroulante reprenant les certificats sélectionnables par l’administrateur. Comme l’apparence des services varie, l’emplacement de la liste déroulante varie également. Consultez le guide d’administration relatif au service que vous tentez d’utiliser avec un certificat. SSH et les clés SSH SSH est un protocole réseau qui établit un canal sécurisé entre votre ordinateur et un ordinateur distant. Il utilise la cryptographie à clé publique pour authentifier l’ordinateur distant. Il assure également le chiffrement du trafic et l’intégrité des données échangées entre les deux ordinateurs. SSH est souvent utilisé pour ouvrir une session sur une machine distante afin d’y exécuter des commandes, mais il permet aussi de créer un tunnel de données sécurisé en réexpédiant ces données via un port TCP arbitraire. De plus, il peut transférer des fichiers à l’aide des protocoles SFTP et SCP associés. Par défaut, un serveur SSH écoute le trafic sur le port TCP 22 standard. Mac OS X Server utilise OpenSSH comme base pour ses outils SSH. Ouverture de session SSH à base de clés L’authentification à base de clés est utile pour des tâches telles que l’automatisation des transferts et des sauvegardes de fichiers et la création de scripts de basculement parce qu’il permet aux ordinateurs de communiquer sans exiger la saisie d’un mot de passe par un utilisateur. Il n’est pas sûr de copier la clé privée d’un ordinateur sur un autre ordinateur. Important : l’authentification à base de clés comporte des risques. Si la clé privée que vous générez est compromise, des utilisateurs non autorisés peuvent accéder à vos ordinateurs. Vous devez déterminer si les avantages de l’authentification à base de clés valent le risque. Génération d’une paire de clés pour SSH La présente section décrit brièvement le processus de configuration de l’ouverture de session SSH à base de clés sous Mac OS X et Mac OS X Server. Pour configurer SSH à base de clés, vous devez générer les clés que les deux ordinateurs vont utiliser pour établir et valider leurs identités mutuelles. Chapitre 4 Sécurité 77 Pour ce faire, exécutez les commandes suivantes dans Terminal : 1 Vérifiez s’il existe un dossier .ssh dans votre dossier de départ en saisissant la commande : ls -ld ~/.ssh. Si .ssh apparaît dans les résultats, passez à l’étape 2. Si .ssh n’apparaît pas dans les résultats, exécutez mkdir ~/.ssh et continuez à l’étape 2. 2 Dans le shell, allez dans le répertoire ssh masqué en saisissant la commande suivante : cd ~/.ssh 3 Générez les clés publique et privée en saisissant la commande suivante : ssh-keygen -b 1024 -t dsa -f id_dsa -P '' Le drapeau -b règle la longueur des clés sur 1024 bits, -t indique qu’il faut utiliser l’algorithme de hachage DSA, -f définit le nom de fichier comme id_dsa et -P suivi de deux apostrophes simples définit le mot de passe de la clé privée comme étant nul. Un mot de passe de clé privée nul permet d’automatiser les connexions SSH. 4 Créez un fichier de clé autorisée vierge en saisissant la commande suivante : touch authorized_keys2 5 Copiez la clé publique dans le fichier de clé autorisée en saisissant la commande suivante : cat id_dsa.pub >> authorized_keys2 6 Changez les autorisations de la clé privée en saisissant la commande suivante : chmod 400 id_dsa Les autorisations de la clé privée doivent être définies de façon à ce que le fichier ne puisse pas être lu par tout le monde. 7 Copiez la clé publique et les listes de clés autorisées dans le dossier de départ de l’utilisateur spécifié sur l’ordinateur distant en saisissant la commande suivante : scp authorized_keys2 username@remotemachine:~/.ssh/ Si vous devez établir une communication dans les deux sens entre des serveurs, répétez le processus ci-dessus sur le second ordinateur. Ce processus doit être répété pour tout utilisateur devant ouvrir une session SSH à base de clés. L’utilisateur root n’est pas une exception. Le dossier de départ de l’utilisateur root sur Mac OS X Server se trouve à l’emplacement /var/root/. SSH à base de clés avec exemple de script Une grappe de serveurs constitue un environnement idéal pour utiliser le SSH à base de clés. Le script Perl suivant est un exemple de trivial de création de script qui ne doit pas être implémenté. Il montre simplement comment se connecter via un tunnel SSH à tous les serveurs définis dans la variable serverList, exécuter softwareupdate, installer les mises à jour disponibles et redémarrer l’ordinateur si nécessaire. Le script part du principe que le SSH à base de clés a été configuré correctement pour l’utilisateur root sur tous les serveurs à mettre à jour. 78 Chapitre 4 Sécurité #!/usr/bin/perl # \@ est la séquence d’échappement pour le symbole « @ ». my @serverList = ('root\@serveurexemple1.exemple.com', 'root\@serveurexemple2.exemple.com'); foreach $server (@serverList) { open SBUFF, "ssh $server -x -o batchmode=yes 'softwareupdate -i -a' |"; while(<SBUFF>) { my $flag = 0; chop($_); #check for restart text in $_ my $match = "Veuillez redémarrer immédiatement"; $count = @{[$_ =~ /$match/g]}; if($count > 0) { $flag = 1; } } close SBUFF; if($flag == 1) { `ssh $server -x -o batchmode=yes shutdown -r now` } } Sécurité au niveau de l’administration Mac OS X Server peut utiliser un autre niveau de contrôle d’accès pour plus de sécurité. Il est possible d’affecter des administrateurs à des services qu’ils peuvent configurer. Ces limitations sont définies serveur par serveur. Cette méthode peut être utilisée par un administrateur sans restrictions pour assigner des droits administratifs à d’autres utilisateurs du groupe admin. Cela donne un modèle d’administration par niveaux dans lequel certains administrateurs ont plus de privilèges que d’autres pour les services assignés. Cela permet d’obtenir une méthode de contrôle d’accès pour des fonctionnalités et des services de serveur individuels. Exemple : Alice (administratrice en chef ) contrôle tous les services d’un serveur donné et peut limiter la capacité d’autres utilisateurs du groupe admin (comme Robert et Catherine) à modifier des réglages sur le serveur. Elle peut assigner l’administration des services DNS et de coupe-feu à Robert tout en laissant l’administration du service de messagerie à Catherine. Dans ce scénario, Catherine ne peut pas modifier le coupe-feu ni aucun autre service à l’exception du service de courrier électronique. De même, Robert ne peut pas modifier les services qui ne lui ont pas été assignés. Chapitre 4 Sécurité 79 Les contrôles d’administration par niveaux sont effectifs dans Admin Serveur et dans l’outil de ligne de commande serveradmin. Ils ne permettent pas d’empêcher la modification des différents fichiers de configuration UNIX à travers tout le système. Les fichiers de configuration UNIX doivent être protégés par des autorisations de type POSIX ou des listes de contrôle d’accès. Définition de privilèges au niveau de l’administration Vous pouvez désigner les services que d’autres utilisateurs du groupe admin peuvent modifier. Pour ce faire, l’administrateur qui procède à cette désignation doit disposer d’un accès total non modifié. Le processus de définition des privilèges au niveau de l’administration est décrit dans « Autorisations d’administration par niveaux » à la page 168. Sécurité au niveau du service Vous pouvez utiliser une liste de contrôle d’accès de service (SACL) pour désigner ceux qui sont autorisés à utiliser un service donné. Il ne s’agit pas d’un moyen d’authentification, mais d’une liste des personnes possédant les droits d’accès appropriés pour utiliser un service donné. Les listes SACL vous permettent d’ajouter un niveau de contrôle d’accès aux autorisations standard et par liste de contrôle d’accès normales. Seuls les utilisateurs et les groupes qui figurent dans une SACL ont accès au service en question. Par exemple, pour empêcher des utilisateurs d’accéder à des points de partage AFP sur un serveur, y compris à des dossiers de départ, supprimez-les de la liste SACL du service AFP. L’application Admin Serveur de Mac OS X Server vous permet de configurer des listes SACL. Open Directory authentifie les comptes utilisateur et les listes SACL autorisent l’utilisation des services. Si Open Directory vous authentifie, la liste SACL de la fenêtre d’ouverture de session détermine si vous pouvez ouvrir une session, la liste SACL du service AFP détermine si vous pouvez vous connecter au service de fichiers Apple, et ainsi de suite. 80 Chapitre 4 Sécurité Définition d’autorisations de liste SACL Les listes SACL vous permettent de désigner les utilisateurs et groupes qui ont accès aux services de Mac OS X Server, notamment aux services AFP, FTP et de fichiers Windows. Pour définir des autorisations de liste SACL pour un service : 1 Ouvrez Admin Serveur. 2 Sélectionnez le serveur dans la listes Serveurs. 3 Cliquez sur Réglages. 4 Cliquez sur Accès. 5 Pour restreindre l’accès à tous les services ou désélectionner cette option afin de définir des autorisations d’accès par service, sélectionnez « Pour tous les services ». 6 Si vous avez désélectionné « Pour tous les services », sélectionnez un service dans la liste Service. 7 Pour accorder un accès sans restriction aux services, cliquez sur « Autoriser tous 8 les utilisateurs et groupes ». Pour restreindre l’accès à certains utilisateurs et groupes : a Sélectionnez « Autoriser les utilisateurs et groupes ci-dessous ». b Cliquez sur le bouton Ajouter (+) pour ouvrir le volet Utilisateurs et groupes. c Faites glisser des utilisateurs et des groupes depuis le volet Utilisateurs et groupes jusque dans la liste. 9 Cliquez sur Enregistrer. Pratiques d’excellence en matière de sécurité Les administrateurs de serveur sont chargés de s’assurer que des mesures de sécurité raisonnables sont prises pour protéger un serveur contre d’éventuelles attaques. Un serveur compromis met en danger non seulement les ressources et les données qu’il contient, mais aussi les ressources et les données qui se trouvent sur les autres systèmes connectés. Un système compromis peut être utilisé comme base pour lancer une attaque sur d’autres système à l’intérieur ou à l’extérieur de votre réseau. Assurer la sécurité de serveurs nécessite de trouver un équilibre entre le coût d’implémentation des mesures de sécurité d’une part et la probabilité d’une attaque réussie et l’impact de cette attaque d’autre part. Il n’est pas possible d’éliminer tous les risques de sécurité pour un serveur sur un réseau, mais il est possible de réduire les probabilités de brèche et de lutter plus efficacement contre les attaques réalisées. Chapitre 4 Sécurité 81 Les pratiques d’excellence pour l’administration d’un système de serveur comprennent notamment :  Effectuer la mise à jour de vos système avec les correctifs de sécurité et les mises à jour critiques.  Rechercher régulièrement de nouvelles mises à jour.  Installer les outils antivirus appropriés et les utiliser de manière régulière, ainsi que mettre régulièrement à jour les logiciels et les fichiers de définitions de virus. Bien que les ordinateurs Mac soient beaucoup moins menacés par les virus que les ordinateurs Windows, les risques de contamination ne sont pas nuls.  Restreindre l’accès physique au serveur. Comme l’accès local permet généralement à un intrus de contourner la plupart des systèmes de sécurité, protégez la salle des serveurs, les racks de serveurs et les jonctions du réseau. Utilisez des verrous de sécurité. Le verrouillage des systèmes est une mesure de sécurité à conseiller.  S’assurer qu’il existe une protection adéquate contre les dommages physiques aux serveurs et veiller au bon fonctionnement de la climatisation de la salle des serveurs.  Prendre toutes les précautions supplémentaires nécessaires pour sécuriser les serveurs. Par exemple, activer les mots de passe Open Firmware, chiffrer les mots de passe chaque fois que c’est possible et sécuriser les supports de sauvegarde.  Sécuriser l’accès logique au serveur. Par exemple, supprimer ou désactiver les comptes qui ne sont plus nécessaires. Les comptes des parties extérieures doivent être désactivés lorsqu’ils ne sont pas utilisés.  Configurer des listes SACL si nécessaire. Utilisez ces listes pour spécifier qui peut accéder aux services.  Configurer des listes ACL si nécessaire. Servez-vous de ces listes pour contrôler qui peut accéder aux points de partage et à leur contenu.  Protéger tout compte possédant des privilèges root ou d’administrateur système en adoptant les pratiques de mot de passe recommandées faisant appel à des mots de passe complexes. Pour obtenir des informations plus spécifiques sur les mots de passe, consultez la section « Directives en matière de mots de passe » à la page 84 .  Ne pas utiliser de comptes administrateur (du groupe « admin » UNIX) pour un usage quotidien. Restreindre l’utilisation des privilèges d’administration en n’utilisant jamais le nom d’utilisateur admin et le mot de passe correspondant pour un usage quotidien.  Sauvegarder régulièrement les données critiques du système et conserver les copies de sauvegarde dans un emplacement hors site sûr. 82 Chapitre 4 Sécurité Vos supports de sauvegarde ne vous serviraient à rien s’ils étaient détruits avec l’ordinateur pendant un incendie de la salle des ordinateurs. Les plans de sauvegarde/restauration doivent être testés pour s’assurer que la restauration fonctionne.  Analyser régulièrement les historiques d’audit système et enquêter sur tous les motifs de trafic inhabituel.  Désactiver les services qui ne sont pas nécessaires sur votre système. En effet, toute vulnérabilité qui se produit dans un service de votre système peut compromettre l’ensemble du système. Dans certains cas, la configuration par défaut d’un système peut conduire à des vulnérabilités exploitables dans les services qui ont été implicitement activés et dont les options par défaut sont peu fiables. L’activation d’un service ouvre un port à partir duquel les utilisateurs peuvent accéder à votre système. Bien que l’activation d’un service de coupe-feu contribue à empêcher les accès non autorisés, un port de service inactif constitue un point faible susceptible d’être exploité par un attaquant.  Activer le service de coupe-feu sur les serveurs, en particulier à la frontière du réseau. Le coupe-feu de votre serveur est sa première ligne de défense contre les accès non autorisés. Pour en savoir plus, consultez le chapitre sur la configuration du service de coupe-feu dans Administration des services de réseau. Si votre serveur est particulièrement sujet aux attaques, envisagez l’achat d’un coupe-feu matériel de tierces parties comme ligne de défense supplémentaire.  Si nécessaire, installer un coupe-feu local sur les serveurs critiques ou sensibles. Implémenter un coupe-feu local protège le système contre les attaques qui pourraient venir de l’intérieur du réseau de l’organisation ou d’Internet.  Pour une protection supplémentaire, implémenter un réseau privé virtuel local (VPN) qui fournit un tunnel chiffré sécurisé pour toutes les communications entre un ordinateur client et une application serveur. Certains périphériques de réseau fournissent une combinaison de fonctions : coupe-feu, détection des intrusions et VPN.  Administrer les serveurs à distance. Assurez l’administration de vos serveurs à distance en vous servant d’applications telles que Admin Serveur, Contrôle de serveur, Admin RAID et Apple Remote Desktop. La réduction de l’accès physique aux systèmes limite les risques de mauvaises surprises. Chapitre 4 Sécurité 83 Directives en matière de mots de passe De nombreuses applications et de nombreux services exigent que l’on crée des mots de passe pour s’authentifier. Mac OS X contient des applications qui aident à créer des mots de passe complexes (à l’aide d’Assistant mot de passe) et à stocker vos mots de passe en toute sécurité (à l’aide de Trousseau d’accès). Création de mots de passe complexes Suivez les conseils ci-dessous pour créer des mots de passe complexes :  Utilisez un mélange de caractères alphabétiques (majuscules et minuscules), numériques et spéciaux (comme ! et @).  N’utilisez pas de mots ou de combinaisons de mots disponibles dans un dictionnaire, quelle qu’en soit la langue.  Ne vous contentez pas d’ajouter un nombre à un mot alphabétique (par exemple, « fou-fou2 ») si votre mot de passe doit contenir un nombre.  Ne remplacez pas des lettres par des chiffres ou des symboles qui leur ressemblent (par exemple, « V3RT » au lieu de « VERT »).  N’utilisez pas de noms propres.  N’utilisez pas de dates.  Créez des mots de passe d’au moins 12 caractères. Les mots de passe longs sont généralement plus sûrs que les mots de passe courts.  Utilisez des mots de passe impossibles à deviner, même par quelqu’un qui connaît bien vos centres d’intérêts.  Créez des mots de passe aussi aléatoires possibles. Vous pouvez utiliser Assistant mot de passe (qui se trouve dans /System/Bibliothèque/ CoreServices/ pour vérifier la complexité de vos mots de passe. 84 Chapitre 4 Sécurité 5 Installation et déploiement 5 Que vous installiez Mac OS X Server sur un seul serveur ou sur une grappe de serveurs, sachez qu’il existe des outils et des processus pour vous aider à réussir l’installation et le déploiement. Sur certains ordinateurs, Mac OS X Server est installé d’origine. Sur d’autres ordinateurs, le logiciel serveur doit être installé. Par exemple, si vous installez Leopard Server sur un ordinateur équipé de Mac OS X, vous transformez cet ordinateur en serveur sous Mac OS X Server. L’installation de Leopard Server sur un serveur existant équipé de Mac OS X Server 10.2 à 10.4 met à niveau le logiciel serveur avec la version 10.5. Si Leopard Server est déjà installé, une nouvelle installation actualise l’environnement du serveur. Le présent chapitre contient des instructions destinées à une nouvelle installation de Leopard Server à l’aide de diverses méthodes. Vue d’ensemble de l’installation Vous avez déjà planifié le nombre et le type de serveurs à installer. Étape 1 : Assurez-vous que vous disposez de la configuration requise Assurez-vous que le serveur cible est conforme à la configuration requise. Pour en savoir plus, consultez les sections :  « Configuration requise pour l’installation de Mac OS X Server » à la page 87  « Instructions matérielles pour l’installation de Mac OS X Server » à la page 88 Étape 2 : Rassemblez les informations Rassemblez toutes les informations dont vous avez besoin avant de commencer. Cela permet non seulement d’effectuer une installation sans problèmes, mais peut également vous aider à prendre certaines décisions en matière de planification. Pour en savoir plus, consultez les sections :  Chapitre 2, « Planification, » à la page 25. 85  Annexe , « Feuille d’opérations avancées de Mac OS X Server, » à la page 221.  « À propos du disque d’installation du serveur » à la page 89. Étape 3 : Configurez l’environnement Si vous ne contrôlez pas l’ensemble de l’environnement réseau (serveurs DNS, serveur DHCP, coupe-feu, etc.), vous devez coordonner vos efforts avec l’administrateur réseau avant l’installation. Un système DNS opérationnel avec recherches inversées complètes, ainsi qu’un coupe-feu autorisant la configuration constituent le strict minimum pour l’environnement de configuration. Si vous prévoyez de connecter le serveur à un système de répertoire existant, vous devez aussi coordonner vos efforts avec ceux de l’administrateur de répertoire. Consultez les sections suivantes :  « Connexion au répertoire au cours de l’installation » à la page 89.  « Installation du logiciel serveur sur un ordinateur en réseau » à la page 90. Si vous administrez le serveur à partir d’un autre ordinateur, vous devez créer un ordinateur d’administration. Pour en savoir plus, consultez la section « Préparation d’un ordinateur administrateur » à la page 88. Étape 4 : Démarrez l’ordinateur à partir d’un disque d’installation Vous ne pouvez pas effectuer d’installation sur le disque à partir duquel l’ordinateur a démarré, mais vous pouvez procéder à une mise à niveau. Pour les installations spéciales et les mises à niveau, vous devez démarrer le serveur à partir d’un disque d’installation plutôt que du disque cible. Consultez les sections suivantes :  « À propos du démarrage pour l’installation » à la page 90.  « Accès à distance au DVD d’installation » à la page 91.  « Démarrage à partir du DVD d’installation » à la page 92.  « Démarrage à partir d’une partition alternative » à la page 93.  « Démarrage à partir d’un environnement NetBoot » à la page 97. Étape 5 : Préparez le disque cible Si vous procédez à une installation spéciale, vous devez préparer le disque cible en vous assurant qu’il possède le bon format et le bon schéma de partition. Consultez les sections suivantes :  « Préparation des disques pour l’installation de Mac OS X Server » à la page 98.  « Sélection d’un système de fichiers » à la page 99.  « Partitionnement d’un disque dur » à la page 100.  « Création d’un ensemble RAID » à la page 102.  « Effacement d’un disque ou d’une partition » à la page 105. 86 Chapitre 5 Installation et déploiement Étape 6 : Démarrez le programme d’installation Le programme d’installation prend des logiciels du disque de démarrage et des paquets du logiciel serveur et les installe sur le disque cible. Consultez les sections suivantes :  « Identification du serveur distant lors de l’installation de Mac OS X Server » à la page 106  « Installation interactive du logiciel serveur » à la page 107  « Installation locale à partir du disque d’installation » à la page 107  « Installation à distance à l’aide d’Assistant du serveur » à la page 109  « Installation à distance à l’aide de VNC » à la page 111  « Installation du logiciel serveur à l’aide de l’outil de ligne de commande installer » à la page 112 Étape 7 : Configurez les services Redémarrez depuis le disque cible pour passer à l’étape de configuration. Pour en savoir plus sur la configuration du serveur, consultez la section « Configuration initiale du serveur » à la page 117. Configuration requise pour l’installation de Mac OS X Server L’ordinateur de bureau ou le serveur Macintosh sur lequel vous installez Mac OS X Server 10.5 Leopard doit être doté des éléments suivants :  Un processeur Intel ou PowerPC G4 ou G5 cadencé à 867 MHz ou plus.  FireWire intégré.  Au moins 1 Go de mémoire vive (RAM).  10 Go minimum d’espace disque disponible.  Un nouveau numéro de série pour Mac OS X Server 10.5. Le numéro de série utilisé avec une version antérieure de Mac OS X Server ne permet pas de s’enregistrer pour la version 10.5. Un lecteur de DVD intégré est pratique mais pas obligatoire. Les moniteurs et claviers sont optionnels. Vous pouvez installer le logiciel serveur sur un ordinateur sans moniteur ni clavier à l’aide d’un ordinateur administrateur. Pour en savoir plus, consultez la section « Préparation d’un ordinateur administrateur » à la page 88. Si vous utilisez un disque d’installation de Mac OS X Server 10.5 ou ultérieur, vous pouvez contrôler l’installation depuis un autre ordinateur avec le visualiseur VNC. Un visualiseur VNC open-source est disponible. Apple Remote Desktop, décrit à la page 56, contient des fonctionnalités de visualiseur VNC. Chapitre 5 Installation et déploiement 87 Instructions matérielles pour l’installation de Mac OS X Server Lors de l’installation du logiciel serveur sur un système Xserve, la procédure à suivre pour démarrer l’ordinateur en vue de l’installation dépend du type de matériel Xserve.Les procédures sont décrites dans le Guide de l’utilisateur Xserve ou dans le guide Présentation fourni avec le système Xserve. Collecte des informations nécessaires Utilisez la Feuille d’opérations avancée Mac OS X Server pour noter les informations relatives à chacun des serveurs que vous souhaitez installer. Les paragraphes suivants fournissent des explications complémentaires sur les éléments de la Feuille d’opérations avancée Mac OS X Server. La Feuille d’opérations avancée Mac OS X Server se trouve dans l’Annexe, à la page 221. Préparation d’un ordinateur administrateur Vous pouvez utiliser un ordinateur administrateur pour installer, configurer et administrer Mac OS X Server à partir d’un autre ordinateur. Un ordinateur administrateur est un ordinateur équipé de Mac OS X 10.5 ou de Mac OS X Server Leopard que l’on utilise pour administrer des serveurs distants. En fait, si vous installez et configurez Mac OS X Server sur un ordinateur doté d’un moniteur et d’un clavier, cet ordinateur est déjà un ordinateur administrateur. Pour définir un ordinateur équipé de Mac OS X comme ordinateur administrateur, vous devez installer un autre logiciel. Important : si vous disposez d’applications et d’outils administratifs provenant de Mac OS X Server 10.4 Tiger ou antérieur, ne les utilisez pas avec Leopard Server. Pour activer l’administration à distance de Mac OS X Server à partir d’un ordinateur Mac OS X : 1 Assurez-vous que la version 10.5 Leopard de Mac OS X est installée sur l’ordinateur Mac OS X. 2 Assurez-vous que l’ordinateur dispose d’au moins 1 Go de RAM et 1 Go d’espace disque disponible. 3 Insérez le CD Administration Tools. 4 Ouvrez le dossier du programme d’installation. 5 Ouvrez ServerAdministrationSoftware.mpkg pour lancer le programme d’installation et suivez les instructions à l’écran. 88 Chapitre 5 Installation et déploiement À propos du disque d’installation du serveur Vous pouvez installer le logiciel serveur à l’aide du disque Mac OS X Server Install Disc. Ce disque d’installation contient tout ce dont vous avez besoin pour installer Mac OS X Server. Il contient également un dossier nommé Other Installs comprenant des programmes d’installation pour la mise à niveau d’un ordinateur Mac OS X avec Mac OS X Server et pour l’installation séparée de logiciels d’administration de serveur, l’application Répertoire, l’application Capture de podcast, le logiciel X11 et les outils de développement Xcode. Outre le disque d’installation, Mac OS X Server est livré avec le CD Administration Tools. Vous pouvez utiliser ce CD pour configurer un ordinateur administrateur. Ce disque contient également les programmes d’installation de l’application Répertoire, de l’application Capture de podcast et de l’application QTSS Publisher. Pour les administrateurs avancés, ce disque contient les programmes d’installation de PackageMaker et de Property List Editor. Configuration de services réseau Pour pouvoir procéder à l’installation, vous devez disposer des réglages suivants pour votre service réseau ou les configurer :  DNS : vous devez disposer d’un nom de domaine complet pour l’adresse IP de chaque serveur dans le système DNS. La zone DNS doit disposer de l’enregistrement de recherche inversée pour la paire nom et adresse. L’absence de système DNS stable et opérationnel avec recherche inversée provoque des pannes de service et des comportements inattendus.  DHCP : il est recommandé de ne pas assigner d’adresses IP dynamiques aux serveurs. Si votre serveur reçoit son adresse IP via DHCP, configurez un mappage statique sur le serveur DHCP afin qu’il reçoive chaque fois la même adresse IP (via son adresse Ethernet).  Coupe-feu ou routage : en plus du ou des coupe-feu exécutés sur votre serveur, le routeur de sous-réseau peut mettre en place certaines restrictions en matière de trafic réseau. Assurez-vous que l’adresse IP du serveur est disponible pour le trafic que vous prévoyez de gérer et les services que vous prévoyez d’exécuter. Connexion au répertoire au cours de l’installation Si vous souhaitez utiliser un serveur en tant que maître Open Directory, assurez-vous qu’il dispose d’une connexion Ethernet active à un réseau sécurisé avant de procéder à l’installation et la configuration initiale. Chapitre 5 Installation et déploiement 89 Installation du logiciel serveur sur un ordinateur en réseau Lorsque vous démarrez un ordinateur depuis un disque d’installation du serveur, le protocole SSH démarre automatiquement afin que les installations à distance puissent être réalisées. Important : avant d’installer ou de réinstaller Mac OS X Server, assurez-vous que le réseau est sécurisé. En effet, SSH donne à d’autres personnes l’accès à l’ordinateur par le réseau. Définissez, par exemple, la topologie du réseau de façon à ce que seuls les utilisateurs de confiance puissent accéder au sous-réseau de l’ordinateur serveur. À propos du démarrage pour l’installation L’ordinateur ne peut pas procéder à une installation sur son propre volume de démarrage. Vous devez donc démarrer d’une autre façon, par exemple :  Supports optiques, DVD.  Volumes alternatifs (autres partitions du disque dur ou disques FireWire externes).  Netboot. L’ordinateur doit effectuer l’installation à partir du disque ou de l’image ayant servi à son démarrage. Monter un autre point de partage avec un programme d’installation ne marchera pas. Le programme d’installation utilise certains fichiers actuellement actifs sur la partition du système ayant servi au démarrage pour la nouvelle installation. Avant de démarrer Si vous procédez à une installation spéciale plutôt qu’à la mise à jour d’un serveur existant, sauvegardez toutes les informations utilisateur qui se trouvent sur le disque ou la partition sur lequel vous installez le logiciel serveur. Si vous procédez à la mise à niveau d’un serveur existant, assurez-vous que d’éventuelles données de configuration enregistrées ne seront pas détectées et utilisées pour installer automatiquement une configuration avancée. Assistant du serveur recherche d’éventuelles données de configuration enregistrées sur tous les disques montés et dans tous les répertoires auxquels le serveur est configuré pour accéder. Les données de configuration enregistrées écraseront les réglages existants du serveur. Pour en savoir plus sur la configuration automatique d’un serveur, consultez la section « Utilisation de la configuration automatique de serveurs » à la page 128. 90 Chapitre 5 Installation et déploiement Accès à distance au DVD d’installation Lorsque vous l’utilisez comme disque de démarrage, le DVD d’installation fournit certains services pour l’accès à distance. Lorsque vous démarrez à partir du DVD, SSH et VNC sont disponibles. VNC vous permet d’utiliser un visualiseur VNC (tel qu’Apple Remote Desktop) pour afficher l’interface utilisateur comme si vous utilisiez le clavier, la souris et le moniteur de l’ordinateur distant. Tout ce que vous pouvez faire directement sur l’ordinateur à l’aide du clavier et de la souris est disponible à distance et localement. Les seules exceptions sont la réinitialisation forcée, d’autres manipulations matérielles et le maintien de touches enfoncées au démarrage. SSH vous permet l’accès par ligne de commande à l’ordinateur avec des privilèges d’administrateur. Pour accéder à l’ordinateur avec VNC : 1 Démarrez l’ordinateur cible à partir du DVD d’installation de Mac OS X Server 10.5 ou ultérieur. La procédure à suivre dépend du type de matériel cible. Pour en savoir plus sur les options de disque de démarrage, consultez la section « À propos du démarrage pour l’installation » à la page 90. 2 Utilisez votre visualiseur VNC pour établir une connexion au serveur cible. 3 Identifiez le serveur cible. Si le serveur cible fait partie d’une liste de serveurs disponibles fournie par le visualiseur VNC, sélectionnez-le dans cette liste. Sinon, vous devrez saisir une adresse IP au format IPv4 (000.000.000.000). Si vous ignorez l’adresse IP et que le serveur distant réside sur le sous-réseau local, utilisez la commande sa_srchr pour identifier les ordinateurs du sous-réseau local sur lesquels vous pouvez installer le logiciel serveur : saisissez ce qui suit à partir d’un ordinateur sur lequel les outils Mac OS X Server sont installés : /system/library/serversetup/sa_srchr 224.0.0.1 Cette commande renvoie l’adresse IP et l’EthernetID (ainsi que d’autres informations) des serveurs du sous-réseau local qui ont démarré à partir du disque d’installation. 4 Lorsque vous êtes invité à fournir un mot de passe, saisissez les huit premiers chiffres du numéro de série matériel intégré au serveur. Pour rechercher le numéro de série, cherchez une étiquette sur le serveur. Si vous effectuez l’installation sur un vieil ordinateur qui ne dispose pas de numéro de série de matériel intégré, tapez le mot de passe 12345678. Si vous utilisez Apple Remote Desktop comme visualiseur VNC, saisissez le mot de passe sans préciser de nom d’utilisateur. Chapitre 5 Installation et déploiement 91 Pour accéder à l’ordinateur avec SSH : 1 Démarrez l’ordinateur cible à partir du DVD d’installation de Mac OS X Server 10.5 ou ultérieur. La procédure à suivre dépend du type de matériel cible. Pour en savoir plus sur les options de disque de démarrage, consultez la section « À propos du démarrage pour l’installation » à la page 90. 2 Utilisez Terminal pour ouvrir une connexion shell sécurisée au serveur cible. Le nom d’utilisateur est root et le mot de passe est constitué des huit premiers chiffres du numéro de série matériel intégré du serveur. Pour rechercher le numéro de série, cherchez une étiquette sur le serveur. Si vous effectuez l’installation sur un vieil ordinateur qui ne dispose pas de numéro de série de matériel intégré, tapez le mot de passe 12345678. Si vous ignorez l’adresse IP et que le serveur distant réside sur le sous-réseau local, utilisez la commande sa_srchr pour identifier les ordinateurs du sous-réseau local sur lesquels vous pouvez installer le logiciel serveur : saisissez ce qui suit à partir d’un ordinateur sur lequel les outils Mac OS X Server sont installés : /system/library/serversetup/sa_srchr 224.0.0.1 Cette commande renvoie l’adresse IP et l’EthernetID (ainsi que d’autres informations) des serveurs du sous-réseau local qui ont démarré à partir du disque d’installation. Démarrage à partir du DVD d’installation C’est la méthode la plus simple pour démarrer l’ordinateur si vous avez un accès physique au serveur et si ce dernier dispose d’un lecteur optique. Application d’installation ou outil d’installation dans l’application Terminal Si le serveur cible est un Xserve équipé d’un lecteur de DVD intégré, démarrez le serveur à partir du DVD d’installation en suivant les instructions du Guide de l’utilisateur Xserve relatives au démarrage à partir d’un disque système. Si le serveur cible ne dispose pas de lecteur de DVD intégré, vous pouvez utiliser un lecteur de DVD FireWire externe. Vous pouvez également installer le logiciel serveur sur un système Xserve sans lecteur de DVD en déplaçant son module de disque vers un autre système Xserve doté, lui, d’un tel lecteur. 92 Chapitre 5 Installation et déploiement Pour démarrer l’ordinateur à partir du disque d’installation. 1 Allumez l’ordinateur et insérez le disque d’installation de Mac OS X Server dans le lecteur de DVD. 2 Si vous utilisez un lecteur de DVD intégré, redémarrez l’ordinateur en maintenant la touche C enfoncée. Vous pouvez relâcher la touche C lorsque le logo Apple s’affiche. Vous pouvez aussi redémarrer l’ordinateur en maintenant la touche Option enfoncée, en sélectionnant l’icône représentant le disque d’installation et en cliquant sur la flèche vers la droite. Vous devez utiliser cette méthode si vous démarrez à partir d’un lecteur de DVD externe. 3 Si vous procédez à une installation sur un Xserve, la procédure de démarrage à partir d’un DVD peut être différente. Pour en savoir plus, consultez le Guide de l’utilisateur ou le guide Présentation inclus avec votre Xserve. 4 Après le redémarrage de l’ordinateur, choisissez la langue à utiliser pendant l’installation, puis cliquez sur le bouton représentant une flèche. Le programme d’installation est à présent en cours d’exécution. Démarrage à partir d’une partition alternative Pour une installation sur un seul serveur, il se peut que la préparation au démarrage à partir d’une partition alternative prenne plus de temps que la simple utilisation du DVD d’installation. La création de l’image, l’analyse et la restauration de l’image sur une partition de démarrage peut prendre plus de temps qu’une installation unique à partir d’un DVD. Par contre, si vous procédez régulièrement à des réinstallations, si vous créez une installation basée sur un lecteur FireWire externe pour plusieurs ordinateurs ou si vous avez besoin d’un autre type de distribution en masse (pour des serveurs Xserve en grappe sans lecteur de DVD par exemple), cette méthode peut s’avérer très efficace. Cette méthode convient bien à l’installation sur des ordinateurs auxquels vous n’avez pas un accès physique aisé. Avec suffisamment de préparation, cette méthode peut être modifiée pour déployer aisément en masse des copies de Mac OS X Server dont vous possédez les licences. Pour utiliser cette méthode, vous devez disposer d’une installation existante quelconque sur l’ordinateur. Elle est destinée aux environnements dans lesquels un certain niveau d’infrastructure existante de Mac OS X Server est présent, mais elle peut ne pas convenir pour une première installation de serveur. Pour démarrer à partir d’une partition alternative, il y a quatre étapes élémentaires. Chapitre 5 Installation et déploiement 93 Étape 1 : Préparez les disques et les partitions sur l’ordinateur cible Avant de commencer, vous devez disposer d’au moins deux partitions sur l’ordinateur cible. La première servira de partition de démarrage initiale et finale, la seconde de partition temporaire pour le programme d’installation. Vous pouvez utiliser un seul disque contenant plusieurs partitions ou plusieurs disques. Utilisez l’application Utilitaire de disque pour préparer les disques. Pour en savoir plus sur la préparation et le partitionnement d’un disque dur, consultez l’aide d’Utilitaire de disque. Étape 2 : Créez une image restaurable du DVD d’installation Cette étape ne doit pas nécessairement être réalisée sur l’ordinateur cible. Elle peut être effectuée sur un ordinateur administrateur, mais il doit y avoir assez d’espace disque pour créer une image de l’ensemble du DVD d’installation. Pour créer une image du DVD d’installation : 1 Insérez le DVD d’installation. 2 Lancez Utilitaire de disque. 3 Sélectionnez l’icône de la première session sous l’icône du lecteur optique. Elle se trouve dans la liste des périphériques, dans la partie gauche de la fenêtre. 4 Choisissez Fichier > Nouvelle > « image disque de <Sélectionnez un périphérique> ». 5 Donnez un nom à l’image, sélectionnez un type d’image (Lecture seule, Lire/écrire ou Comprimé), puis cliquez sur Enregistrer. 6 Une fois l’image créée, sélectionnez-la dans la liste de gauche. 7 Dans le menu, choisissez Images > Examiner une image pour la restaurer. 8 Saisissez un nom d’utilisateur et un mot de passe d’administrateur. L’image disque du programme d’installation peut maintenant être restaurée sur votre partition supplémentaire. ∏ Astuce : si vous préférez travailler avec la ligne de commande, vous pouvez utiliser hdiutil pour créer l’image disque et asr pour examiner l’image afin de la restaurer. Toutes les commandes doivent être exécutées avec des privilèges de super-utilisateur ou de root. La commande suivante, par exemple, crée une image disque nommée « Installer.dmg » à partir du périphérique disk1s1 : hdiutil create -srcdevice disk1s1 Installer.dmg La commande suivante examine l’image « Installer.dmg » et la prépare à la restauration : asr imagescan --source Installer.dmg 94 Chapitre 5 Installation et déploiement Étape 3 : Restauration de l’image sur une partition alternative Vous pouvez restaurer l’image disque sur une partition de l’ordinateur ou sur un disque dur externe. Une fois que la restauration est terminée, la partition restaurée fonctionne comme le DVD d’installation. Assurez-vous que la partition alternative fait au moins la taille de l’image disque. La restauration de l’image disque sur la partition efface toutes les données qui figurent sur la partition. Pour restaurer l’image : 1 Démarrez l’ordinateur cible. 2 Assurez-vous que l’image ne réside pas sur la partition qui va être effacée. 3 Lancez Utilitaire de disque. 4 Dans la liste de périphériques qui se trouve dans la partie gauche de la fenêtre, sélectionnez l’image du DVD d’installation. 5 Cliquez sur Restaurer. 6 Faites glisser l’image d’installation de la partie gauche de la fenêtre vers le champ Source. 7 Faites glisser la partition alternative de la liste des périphériques qui se trouve dans la partie gauche de la fenêtre vers le champ Destination. 8 Sélectionnez Effacer la destination. 9 Cliquez sur Restaurer. Si vous préférez travailler avec la ligne de commande, utilisez l’outil asr pour restaurer l’image sur la partition. L’utilisation d’asr requiert des privilèges de super-utilisateur ou de root. La syntaxe de base est : sudo asr restore -s <imageComprimée> -t <volumeCible> --erase Ainsi, pour restaurer une image nommée « Installer.dmg » sur la partition « ExtraHD », la syntaxe serait : asr restore -s Installer.dmg -t ExtraHD --erase Pour en savoir plus sur asr et ses possibilités, consultez la page man de l’outil. ∏ Astuce : vous pouvez utiliser asr pour restaurer un disque sur un réseau en multidiffusant les blocs vers les ordinateurs clients. La fonctionnalité de serveur de multidiffusion d’asr permet de placer une copie de l’image d’installation sur une partition de tous les ordinateurs capables de recevoir les paquets de multidiffusion. Pour configurer cette opération, vous aurez besoin des informations figurant dans la page man de l’outil. Comme l’outil asr peut aussi aller chercher l’image cible sur un serveur HTTP en utilisant des URL http ou https comme source, l’image ne doit pas nécessairement résider sur l’ordinateur cible. Chapitre 5 Installation et déploiement 95 Étape 4 : Sélectionnez la partition alternative en tant que disque de démarrage. Une fois que la partition est restaurée, elle peut servir de disque de démarrage et d’installation pour votre serveur. Vous devez maintenant démarrer l’ordinateur à partir de la partition. Une fois que l’ordinateur est en service, vous disposez d’un programme d’installation Mac OS X Server, comme si vous aviez démarré l’ordinateur à partir du DVD. Pour démarrer l’ordinateur à partir du disque d’installation : 1 Allumez l’ordinateur et maintenez la touche Option enfoncée. 2 Sélectionnez l’icône représentant la partition d’installation, puis cliquez sur la flèche vers la droite. Vous devez utiliser cette méthode si vous démarrez à partir d’un lecteur de DVD externe. Si vous procédez à une installation sur un Xserve, la procédure de démarrage à partir d’un DVD peut être différente. Pour en savoir plus, consultez le Guide de l’utilisateur de Xserve ou le guide Présentation qui accompagnait votre Xserve. 3 Après le redémarrage de l’ordinateur, choisissez la langue à utiliser pendant l’installation, puis cliquez sur le bouton représentant une flèche. Le programme d’installation est à présent en cours d’exécution. Si vous préférez travailler avec la ligne de commande, vous pouvez définir le volume de démarrage à l’aide de l’outil systemsetup. Sous Mac OS X Server 10.4 ou ultérieur, l’outil systemsetup se trouve dans /usr/sbin/systemsetup. Si vous utilisez le client Mac OS X pendant ce processus, l’outil se trouve dans /Système/Bibliothèque/CoreServices/RemoteManagement/ARDAgent.app/Contents/Support/systemsetup. Vous devrez utiliser les options de commande -liststartupdisks et -setstartupdisk pour rechercher le volume d’installation que vous venez de restaurer et le sélectionner comme disque de démarrage. Toutes les commandes émises avec systemsetup doivent être exécutées avec des privilèges de super-utilisateur ou de root. Voici un exemple de commande permettant de sélectionner le disque de démarrage : systemsetup -setstartupdisk “/Volumes/Mac OS X Server Install Disk” Exécutez ensuite la commande shutdown -r pour redémarrer. Pour en savoir plus sur systemsetup, consultez la section Administration de ligne de commande et la page man de l’outil. 96 Chapitre 5 Installation et déploiement Démarrage à partir d’un environnement NetBoot Si vous disposez d’une infrastructure NetBoot, elle constitue la façon la plus simple de réaliser des installations et des déploiements de masse. Cette méthode peut être utilisée pour des grappes de serveurs dépourvus de lecteur optique ou de logiciel système, comme vous pouvez le voir dans l’illustration ci-dessous : Mac OS X Server Serveurs cible NetBoot Ordinateur administrateur Destination Commencer l’installation du serveur Serveurs cible Elle peut aussi être utilisée dans des environnements où un grand nombre de serveurs doit être déployé de façon efficace. Cette section n’explique pas comment créer l’infrastructure NetBoot requise. Si vous voulez configurer des options NetBoot et NetInstall pour votre réseau, vos serveurs et vos ordinateurs clients, consultez la section Administration de Mise à jour de logiciels et d’Imagerie système. Cette section contient des instructions permettant de créer une image NetInstall à partir du disque d’installation de Mac OS X Server et de démarrer un serveur à partir de cette image. Il n’est pas nécessaire de préparer le disque dur. Étape 1 : Créez une image NetInstall à partir du DVD d’installation Cette étape ne doit pas nécessairement être réalisée sur l’ordinateur cible. Elle peut être réalisée sur un ordinateur administrateur disposant de l’espace disque suffisant pour créer une image de l’ensemble du DVD d’installation. 1 Lancez Utilitaire d’images de système, dans /Applications/Server/. 2 Sélectionnez le DVD d’installation à gauche, puis l’image NetInstall à droite. 3 Cliquez sur Continuer. 4 Saisissez le nom et la description de l’image. Ces informations seront visibles par les clients qui sélectionneront l’image en tant que disque de démarrage. 5 Cliquez sur Créer, puis sélectionnez un emplacement pour l’enregistrement de l’image disque. Chapitre 5 Installation et déploiement 97 Une fois terminée, cette image peut être utilisée avec un serveur NetBoot pour démarrer un serveur en vue d’une installation. Pour en savoir plus sur les images NetInstall et Utilitaire d’images de système, y compris sur les options de personnalisation, consultez la section Administration de Mise à jour de logiciels et d’Imagerie système. Étape 2 : Démarrez l’ordinateur à partir du serveur NetBoot Il existe quatre manières de procéder, selon votre environnement.  Dans l’interface utilisateur graphique de l’ordinateur cible, sélectionnez le disque NetInstall dans la sous-fenêtre Disque de démarrage de Préférences Système.  Redémarrez l’ordinateur tout en maintenant la touche « n » enfoncée. Le premier serveur NetBoot qui répondra à l’ordinateur démarrera ce dernier à l’aide de son image par défaut.  Redémarrez l’ordinateur tout en maintenant la touche Option enfoncée. L’ordinateur affiche les disques de démarrage disponibles soit localement sur l’ordinateur, soit à distance sur les serveurs NetBoot et NetInstall. Sélectionnez un disque et poursuivez le démarrage.  Utilisez la ligne de commande localement ou à distance pour spécifier le serveur NetBoot à partir duquel l’ordinateur doit démarrer : sudo bless --netboot --server bsdp://serveur.exemple.com Préparation des disques pour l’installation de Mac OS X Server Avant de réaliser une installation spéciale de Mac OS X Server, vous pouvez partitionner le disque dur de l’ordinateur serveur en plusieurs volumes, créer un ensemble RAID ou bien effacer le disque ou la partition cible. Si vous utilisez un disque d’installation de Mac OS X Server 10.5 ou ultérieur, vous pouvez réaliser ces tâches depuis un autre ordinateur en réseau en utilisant un visualiseur VNC, tel qu’Apple Remote Desktop, avant de lancer une installation spéciale. AVERTISSEMENT : avant de partitionner un disque, de créer un ensemble RAID ou d’effacer un disque ou une partition d’un serveur existant, conservez toutes les données de l’utilisateur que vous souhaitez sauvegarder en les copiant sur un autre disque ou une autre partition. 98 Chapitre 5 Installation et déploiement Sélection d’un système de fichiers Un système de fichiers est une méthode de stockage et d’organisation de fichiers informatiques et des données qu’ils contiennent sur un périphérique de stockage tel qu’un disque dur. Mac OS X Server prend en charge plusieurs types de système de fichiers pour le stockage sur disque dur. Chaque système de fichiers a ses propres avantages. À vous de choisir celui qui répond le mieux aux besoins de votre organisation. Pour en savoir plus, consultez ce qui suit : developer.apple.com/technotes/tn/tn1150.html Les systèmes suivants sont disponibles : Mac OS étendu (journalisé), ou HFS+J Le système de fichiers HFS+J est le système de fichiers par défaut de Mac OS X Server. Un volume HFS+J dispose d’un journal facultatif permettant d’accélérer la restauration lors du montage d’un volume démonté de façon incorrecte (après une coupure de courant ou un plantage par exemple). Le journal accélère et simplifie la restauration des structures du volume dans un état cohérent, sans qu’il soit nécessaire d’analyser l’ensemble des structures. Le journal n’est utilisé que pour les structures et les métadonnées des volumes ; il ne protège pas le contenu des branches de ressources. En d’autres mots, ce journal protège l’intégrité des structures de disque sous-jacentes, mais pas les données qui pourraient être endommagées en raison d’une erreur d’écriture ou d’une coupure de courant accidentelle. Pour plus d’informations sur HFS+J, consultez la documentation développeur Apple à l’adresse : developer.apple.com/documentation/MacOSX/Conceptual/BPFileSystem/Articles/Comparisons.html Mac OS X étendu (sensible à la casse, journalisé), ou HFSX HFSX est une extension de HFS Plus et permet aux volumes d’avoir des noms de fichier et de répertoire sensibles à la casse. La présence de noms sensibles à la casse signifie qu’il peut y avoir en même temps dans le même répertoire deux objets dont les noms ne diffèrent que par la casse des lettres. Vous pourriez par exemple avoir comme noms de fichier uniques Bob, BOB et bob au sein du même répertoire. Les volumes sensibles à la casse sont pris en charge comme volumes de démarrage. Un système de fichiers HFSX pour Mac OS X Server doit être sélectionné spécifiquement lors de l’effacement d’un volume et la préparation de l’installation initiale. HFSX est un format disponible pour l’option « Effacer et installer » pour les installations locales. HFSX n’est pas un format disponible pour les installations contrôlées à distance. Si vous prévoyez d’utiliser NFS, utilisez le format sensible à la casse HFSX. Chapitre 5 Installation et déploiement 99 Un volume HFSX peut être soit sensible à la casse, soit insensible à la casse. La sensibilité à la casse (ou l’insensibilité à la casse) est étendue à l’ensemble du volume ; ce réglage s’applique à tous les noms de fichier et de répertoire du volume. Pour déterminer si un volume HFSX est sensible à la casse, utilisez le champ keyCompareType de l’en-tête B-tree du fichier de catalogue. La valeur kHFSBinaryCompare indique que le volume est sensible à la casse. La valeur kHFSCaseFolding indique que le volume est insensible à la casse. Remarque : ne présupposez jamais qu’un volume HFSX est sensible à la casse. Utilisez toujours keyCompareType pour le vérifier. Sachez également que les logiciels de tierce partie ne fonctionnent pas toujours correctement avec la sensibilité à la casse. Important : les noms sensibles à la casse n’ignorent pas les caractères ignorables Unicode. Cela signifie qu’un même répertoire peut posséder plusieurs noms considérés comme équivalents selon les règles de comparaison Unicode, mais différents sur un volume HFSX sensible à la casse. Partitionnement d’un disque dur Partitionner le disque dur permet de créer un volume destiné au logiciel système du serveur et un ou plusieurs autres pour les données et les autres logiciels. Le partitionnement efface le contenu du disque. La taille minimale recommandée pour une partition d’installation est de 20 Go. Un volume plus important est recommandé pour les configurations standard ou les configurations de groupe de travail, car elles conservent les dossiers partagés et les sites web de groupe sur le volume de démarrage avec le logiciel serveur. Effacer un disque revient à créer une seule partition de volume sur un disque et à effacer ce volume. Pensez à consacrer un disque dur ou un volume de disque dur partitionné au logiciel serveur. Placez les logiciels supplémentaires, les points de partage, les sites web, etc. sur d’autres disques ou volumes. Avec cette approche, vous pouvez mettre à niveau ou réinstaller le logiciel serveur sans affecter les autres logiciels ni les données utilisateur. Si vous devez stocker des logiciels ou des données supplémentaires sur le volume système, la mise en miroir sur un autre disque constitue une solution intéressante. ∏ 100 Astuce : une ou deux partitions supplémentaires vides sur le disque d’installation cible peut vous donner plus de flexibilité lors de l’installation et du déploiement. Cet espace supplémentaire peut, par exemple, vous permettre de placer temporairement en miroir votre installation courante avant de réaliser une mise à jour ou de bénéficier d’un disque d’installation rapide. Chapitre 5 Installation et déploiement Partitionnement d’un disque à l’aide d’Utilitaire de disque Vous pouvez utiliser le programme d’installation pour ouvrir l’application Utilitaire de disque, puis utiliser cette dernière pour effacer le volume cible ou tout autre volume. Vous pouvez effacer le volume cible à l’aide du format Mac OS étendu, Mac OS étendu (journalisé), Mac OS étendu (sensible à la casse) ou Mac OS étendu (sensible à la casse, journalisé). Il n’est pas possible de partitionner le disque de démarrage ni d’effacer le volume de démarrage actif. 1 Lancez Utilitaire de disque. Si vous êtes dans le programme d’installation, Utilitaire de disque est accessible à partir du menu Utilitaires. Sinon, lancez l’application à partir de /Applications/Utilitaires/Utilitaire de disque. 2 Sélectionnez le disque à partitionner. Vous ne pouvez pas sélectionner votre disque de démarrage actuel. Sélectionner un volume sur le disque vous permettra d’effacer le volume, mais ne créera pas un autre schéma de partition. 3 Cliquez sur Partition. 4 Choisissez votre schéma de partition et suivez les instructions présentées dans la fenêtre pour définir tous les paramètres nécessaires. 5 Cliquez sur Appliquer. Vous trouverez dans l’Aide Utilitaire de disque des instructions sur le partitionnement du disque dur en plusieurs volumes, sur la création d’un ensemble RAID et sur l’effacement du disque ou de la partition cible. Pour afficher cette aide, ouvrez Utilitaire de disque sur un autre ordinateur Macintosh doté de Mac OS X 10.5 et choisissez Aide > Aide Utilitaire de disque. Partitionnement d’un disque à l’aide de la ligne de commande Vous pouvez utiliser l’outil de ligne de commande diskutil pour partitionner et effacer un disque dur. Pour utiliser cette méthode, vous devez normalement utiliser un shell distant (SSH) pour ouvrir une session sur l’ordinateur qui vient de démarrer. L’outil de partition de disques est diskutil. Comme dans Utilitaire de disque, vous pouvez effacer le volume cible à l’aide du format Mac OS étendu, du format Mac OS étendu (journalisé), du format Mac OS étendu (sensible à la casse) et du format Mac OS étendu (sensible à la casse, journalisé).  Vous ne pouvez pas partitionner le disque de démarrage ni effacer le volume de démarrage actif.  Toutes les opérations diskutil potentiellement destructives doivent être réalisées avec des privilèges de super-utilisateur ou de root. Chapitre 5 Installation et déploiement 101 Pour en savoir plus sur diskutil et sur d’autres usages de cet outil, consultez la section Administration de ligne de commande. Pour obtenir la syntaxe complète de la commande diskutil, consultez la page man de l’outil. La commande à utiliser dépend du format de disque et du matériel utilisé. Veillez à utiliser des arguments de ligne de commande adaptés à vos propres besoins. En guise d’exemple, la commande suivante permet de partitionner un disque dur unique de 120 Go en deux volumes HFS+ de 60 Go journalisés (« Démarrage » et « Données ») permettant de démarrer un ordinateur Macintosh à processeur PowerPC. La syntaxe de base est : diskutil partitionDisk périphérique nombreDePartitions APMFormat <formatPartie1 nomPartie1 taillePartie1> <formatPartie2 nomPartie2 taillePartie2> La commande est donc : diskutil partitionDisk disk0 2 APMFormat JournaledHFS+ Démarrage 50% JournaledHFS+ Données 50% Création d’un ensemble RAID Si vous installez Mac OS X Server sur un ordinateur doté de plusieurs disques durs internes, vous pouvez créer une matrice redondante de disques indépendants (RAID) pour optimiser la capacité de stockage, améliorer les performances et augmenter la fiabilité en cas de défaillance de disque. Un ensemble RAID en miroir, par exemple, augmente la fiabilité en écrivant vos données simultanément sur deux disques ou plus. Si l’un des disques est défaillant, votre serveur utilise automatiquement l’un des autres disques de l’ensemble RAID. Utilitaire de disque permet de configurer un ensemble RAID. Il propose deux types d’ensembles RAID et une option de disque supplémentaire :  Un ensemble RAID entrelacé (RAID 0) répartit les fichiers sur les différents disques qui composent l’ensemble. Un ensemble RAID entrelacé améliore les performances de vos logiciels parce qu’il permet de lire et d’écrire sur tous les disques de l’ensemble en même temps. Vous pouvez utiliser un ensemble RAID entrelacé si vous travaillez avec des fichiers volumineux tels que les fichiers vidéonumériques.  Un ensemble RAID en miroir (RAID 1) duplique les fichiers sur les différents disques qui composent l’ensemble. Comme ce schéma maintient deux copies des fichiers ou plus, il fournit des copies de sauvegarde permanentes de ces derniers. Il peut en outre vous aider à garder des données disponibles en cas de défaillance de l’un des disques de l’ensemble. La mise en miroir est recommandée si vous disposez de fichiers ou d’applications partagés auxquels les utilisateurs accèdent fréquemment. 102 Chapitre 5 Installation et déploiement Vous pouvez configurer la mise en miroir RAID après avoir installé Mac OS X Server si le disque utilisé pour l’installation n’est pas partitionné. Afin d’éviter toute perte de données, vous devez configurer la mise en miroir RAID le plus tôt possible.  Un ensemble de disques concaténés vous permet d’utiliser plusieurs disques comme s’il s’agissait d’un volume unique. Il ne s’agit pas d’un véritable ensemble RAID et cette solution n’améliore ni la redondance ni les performances. Vous pouvez combiner différents ensembles RAID pour combiner leurs avantages. Vous pouvez, par exemple, créer un ensemble RAID qui combine l’accès rapide aux disques d’un ensemble RAID entrelacé et la protection des données d’un ensemble RAID en miroir. Pour ce faire, créez deux ensembles RAID d’un type, puis un ensemble RAID d’un autre type en utilisant les deux premiers ensembles RAID comme disques. Les ensembles RAID que vous combinez doivent tous être créés à l’aide d’Utilitaire de disque ou de diskutil dans Mac OS X 10.4 ou ultérieur. La méthode de partitionnement utilisée sur les disques ne peut pas être mixte (la plateforme PPC est au format APMFormat, la plateforme Intel est au format GPTFormat) au sein d’un même ensemble RAID. Les ordinateurs Mac Pro et les Xserve à processeur Intel peuvent démarrer à partir d’un volume RAID logiciel. Certains Mac à processeur Intel ne prennent pas en charge le démarrage à partir de volumes RAID logiciels. Si vous tentez de démarrer ces Mac à processeur Intel à partir d’un volume RAID logiciel, il se peut que l’ordinateur affiche un point d’interrogation clignotant lors du démarrage. Les ordinateurs suivants ne prennent pas en charge le démarrage à partir de volumes RAID logiciels :  iMac (début 2006)  Mac mini (début 2006) Aucun Mac à processeur PPC ne prend en charge le démarrage à partir de volumes RAID logiciels. Si vous avez besoin d’une prise en charge plus sophistiquée de RAID, pensez aux réseaux RAID matériels. Ils disposent d’un matériel RAID dédié et d’une capacité de stockage pouvant dépasser 5 téraoctets. Création d’un ensemble RAID à l’aide d’Utilitaire de disque Vous pouvez utiliser le programme d’installation pour ouvrir l’application Utilitaire de disque, puis utiliser cette dernière pour créer l’ensemble RAID à partir de disques disponibles. Il n’est pas nécessaire d’effacer les disques avant de créer l’ensemble. La création d’un ensemble RAID efface le contenu des disques concernés. Chapitre 5 Installation et déploiement 103 Les volumes de l’ensemble RAID peuvent être au format Mac OS étendu, Mac OS étendu (journalisé), Mac OS étendu (sensible à la casse), Mac OS étendu (sensible à la casse, journalisé) et MS-DOS FAT. Pour en savoir plus sur les formats de volume, consultez la section « Préparation des disques pour l’installation de Mac OS X Server » à la page 98. Vous ne pouvez pas créer un ensemble RAID à partir du disque de démarrage actif. 1 Lancez Utilitaire de disque. Si vous êtes dans le programme d’installation, Utilitaire de disque est accessible via le menu Utilitaires. Sinon, lancez l’application à partir de /Applications/Utilitaires/Utilitaire de disque. 2 Sélectionnez le disque à intégrer à l’ensemble RAID. Vous ne pouvez pas sélectionner le disque de démarrage actif. Lors de la création d’ensembles RAID ou de l’ajout de disques, il est recommandé de spécifier l’ensemble du disque plutôt qu’une partition du disque. 3 Cliquez sur RAID. 4 Sélectionnez le type d’ensemble RAID souhaité. 5 Faites glisser les disques vers la fenêtre. 6 Suivez les instructions présentées dans la fenêtre pour définir tous les paramètres nécessaires. 7 Cliquez sur Créer. Vous trouverez dans l’Aide Utilitaire de disque des instructions sur le partitionnement du disque dur en plusieurs volumes, sur la création d’un ensemble RAID et sur l’effacement du disque ou de la partition cible. Pour afficher cette aide, ouvrez Utilitaire de disque sur un autre ordinateur Macintosh doté de Mac OS X 10.5 et choisissez Aide > Aide Utilitaire de disque. Création d’un ensemble RAID à l’aide de la ligne de commande Vous pouvez utiliser l’outil de ligne de commande diskutil pour créer un ensemble RAID. Pour utiliser cette méthode, vous devez normalement utiliser un shell distant (SSH) pour ouvrir une session sur l’ordinateur qui vient de démarrer. L’outil de création d’ensembles RAID est diskutil. Tout comme Utilitaire de disque, diskutil permet de créer un volume RAID au format Mac OS étendu, Mac OS étendu (journalisé), Mac OS étendu (sensible à la casse), Mac OS étendu (sensible à la casse, journalisé) ou MS-DOS FAT. N’oubliez toutefois pas ce qui suit :  Vous ne pouvez pas créer un ensemble RAID à partir du disque de démarrage actif.  Lors de la création d’ensembles RAID ou de l’ajout de disques, spécifiez l’ensemble du disque plutôt qu’une partition du disque. 104 Chapitre 5 Installation et déploiement  Toutes les opérations diskutil potentiellement destructives doivent être réalisées avec des privilèges de super-utilisateur ou de root. Pour en savoir plus sur diskutil et sur d’autres usages de cet outil, consultez la section Administration de ligne de commande. Pour la syntaxe complète de la commande diskutil, consultez la page man de l’outil. La commande à utiliser dépend de vos besoins en matière de réseau RAID. Utilisez des arguments de ligne de commande adaptés à vos propres besoins. En guise d’exemple, la commande suivante crée un ensemble RAID en miroir (RAID 1) à partir des deux premiers disques installés dans l’ordinateur (disk0 et disk1), le volume RAID résultant étant appelé DonnéesEnMirroir. La syntaxe de base est : diskutil createRAID mirror nomDeL’ensemble format périphérique périphérique ... La commande est donc : diskutil createRAID mirror DonnéesEnMirroir JournaledHFS+ disk0 disk1 Effacement d’un disque ou d’une partition Vous disposez, selon vos outils préférés et votre environnement informatique, de plusieurs options pour effacer un disque :  Effacement d’un disque à l’aide du programme d’installation : vous avez la possibilité d’effacer un disque ou une partition lorsque vous utilisez le programme d’installation de Mac OS X Server. Lorsque vous sélectionnez le volume cible dans le programme d’installation, vous pouvez aussi sélectionner une option permettant d’effacer le disque ou la partition cible lors de l’installation à l’aide du format Mac OS étendu (journalisé). Il s’agit du format recommandé pour un volume de démarrage Mac OS X Server.  Effacement d’un disque à l’aide d’Utilitaire de disque : vous pouvez utiliser le programme d’installation pour ouvrir l’application Utilitaire de disque, puis utiliser cette dernière pour effacer le volume cible ou tout autre volume. Vous pouvez effacer le volume cible à l’aide du format Mac OS étendu ou Mac OS étendu (journalisé). Vous pouvez effacer d’autres volumes à l’aide du format Mac OS étendu (sensible à la casse) ou du format Mac OS étendu (sensible à la casse, journalisé). Le programme d’installation de Mac OS X Server permet d’effacer, mais pas de partitionner un disque ou une partition. Lorsque vous sélectionnez le volume cible dans le programme d’installation, vous pouvez aussi sélectionner une option permettant d’effacer le disque ou la partition cible lors de l’installation à l’aide du format Mac OS étendu (journalisé). Il s’agit du format recommandé pour un volume de démarrage Mac OS X Server. Chapitre 5 Installation et déploiement 105 Vous trouverez dans l’Aide Utilitaire de disque des instructions sur le partitionnement du disque dur en plusieurs volumes, sur la création d’un ensemble RAID et sur l’effacement du disque ou de la partition cible. Pour afficher cette aide, ouvrez Utilitaire de disque sur un autre ordinateur Macintosh doté de Mac OS X 10.5 et choisissez Aide > Aide Utilitaire de disque.  Effacement d’un disque à l’aide de la ligne de commande : vous pouvez utiliser la ligne de commande pour effacer des disques à l’aide de l’outil diskutil. Effacer un disque à l’aide de diskutil provoque la perte de toutes les partitions du volume. La commande d’effacement d’un disque complet est : diskutil eraseDisk format nom [OS9Drivers | APMFormat | MBRFormat | GPTFormat] périphérique Par exemple : diskutil eraseDisk JournaledHFS+ MacProHD GPTFormat disk0 Il existe également une option permettant de supprimer les données de façon sécurisée en écrasant plusieurs fois le disque à l’aide de données aléatoires. Pour plus de détails, consultez la page man de diskutil. Pour effacer un volume particulier sur un disque, vous devez utiliser une commande légèrement différente : diskutil eraseVolume format nom périphérique Par exemple : diskutil eraseVolume JournaledHFS+ PartitionSansTitre /Volumes/PartitionOriginale Pour en savoir plus sur diskutil et sur d’autres usages de cet outil, consultez la section Administration de ligne de commande. Pour la syntaxe complète de la commande diskutil, consultez la page man de l’outil. Identification du serveur distant lors de l’installation de Mac OS X Server Pour les installations de serveurs distants, vous devez connaître les informations suivantes concernant le serveur cible :  L’identité du serveur cible : lorsque vous utilisez Assistant du serveur, vous devez soit reconnaître le serveur cible parmi une liste de serveurs sur votre sous-réseau local, soit saisir son adresse IP (au format IPv4 : 000.000.000.000) s’il réside sur un sous-réseau différent.Les informations relatives aux serveurs figurant dans la liste comprennent l’adresse IP, le nom d’hôte et l’adresse MAC (Media Access Control), également appelée adresse matérielle ou adresse Ethernet. Si vous utilisez un visualiseur VNC pour contrôler à distance l’installation de Mac OS X Server 10.5 ou ultérieur, il est possible qu’il vous permette de sélectionner le serveur cible parmi une liste de serveurs VNC disponibles. Si ce n’est pas le cas, vous devez saisir l’adresse IP du serveur (au format IPv4 : 000.000.000.000). 106 Chapitre 5 Installation et déploiement L’adresse IP du serveur cible est assignée par un serveur DHCP sur le réseau. S’il n’existe pas de serveur DHCP, le serveur cible utilise une adresse de type 169.xxx.xxx unique parmi les serveurs du sous-réseau local. Vous pouvez modifier l’adresse IP ultérieurement, lors de la configuration du serveur. Si vous ignorez l’adresse IP et que le serveur distant se trouve sur le sous-réseau local, utilisez la commande sa_srchr pour identifier les ordinateurs du sous-réseau local sur lesquels vous pouvez installer le logiciel serveur : saisissez ce qui suit à partir d’un ordinateur existant sur lequel les outils Mac OS X Server sont installés : /system/library/serversetup/sa_srchr 224.0.0.1 Cette commande renvoie l’adresse IP et l’EthernetID (ainsi que d’autres informations) des serveurs du sous-réseau local qui ont démarré à partir du disque d’installation.  Le mot de passe prédéfini du serveur cible : ce mot de passe est constitué des huit premiers chiffres du numéro de série matériel incorporé au serveur. Pour rechercher le numéro de série, cherchez une étiquette sur le serveur. Les ordinateurs plus anciens ne possèdent pas de numéro de série incorporé ; pour ces systèmes, utilisez la suite de chiffres 12345678. Installation interactive du logiciel serveur Vous pouvez utiliser le disque d’installation pour installer le logiciel serveur de manière interactive sur un serveur local ou un serveur distant, ou sur un ordinateur sur lequel Mac OS X est préinstallé. Installation locale à partir du disque d’installation Vous pouvez installer Mac OS X Server directement sur un ordinateur équipé d’un écran, d’un clavier et d’un lecteur optique, comme dans l’illustration ci-dessous : Application d’installation ou outil d’installation dans l’application Terminal Si vous disposez d’un DVD d’installation, le lecteur optique doit être en mesure de lire les disques DVD. Vous pouvez aussi procéder à l’installation directement sur un ordinateur sans écran, clavier ni lecteur optique capable de lire votre disque d’installation. Dans ce cas, démarrez l’ordinateur cible en mode disque cible et reliez-le à un ordinateur administrateur à l’aide d’un câble FireWire. Chapitre 5 Installation et déploiement 107 Utilisez l’ordinateur administrateur pour installer le logiciel serveur sur le disque ou sur une partition de l’ordinateur cible (qui apparaît sous la forme d’une icône de disque sur l’ordinateur administrateur). Ces instructions supposent que vous avez démarré l’ordinateur à l’aide du DVD d’installation, d’une partition d’installation ou d’un disque NetInstall. Si ce n’est pas le cas, consultez les instructions à ce sujet qui commencent à la section « À propos du démarrage pour l’installation » à la page 90. Pour installer le logiciel serveur localement : 1 Après le démarrage de l’ordinateur, choisissez la langue que le serveur doit utiliser, puis cliquez sur Continuer. 2 Lorsque le programme d’installation s’ouvre, si vous souhaitez effectuer une installation spéciale, vous pouvez si vous le souhaitez utiliser le menu Utilitaires pour ouvrir l’application Utilitaire de disque et préparer le disque ou la partition cible. Si vous n’avez pas préparé votre disque pour l’installation, vous pouvez le faire maintenant à l’aide d’Utilitaire de disque. Pour plus d’instructions sur la préparation de votre disque pour l’installation, consultez la section « Préparation des disques pour l’installation de Mac OS X Server » à la page 98. 3 Avancez dans les sous-fenêtres du programme d’installation en suivant les instructions affichées. 4 Lorsque la sous-fenêtre Sélectionner une destination apparaît, choisissez un disque ou un volume (partition) cible en vous assurant que celui-ci se trouve à l’état adéquat. Si vous procédez à une installation spéciale, vous pouvez cliquer sur Options pour formater le disque ou le volume de destination au format Mac OS étendu (journalisé). Sélectionnez Effacer pour formater le disque au format Mac OS étendu (journalisé), puis cliquez sur OK. Si le volume que vous avez sélectionné contient Mac OS X Server 10.3.9 ou 10.2.8 et que vous souhaitez procéder à une mise à niveau, cliquez sur Options, sélectionnez « Ne pas effacer », puis cliquez sur OK. Important : lorsque vous effectuez une mise à niveau, assurez-vous que les données de configuration enregistrées ne sont pas détectées par inadvertance et utilisées par le serveur. Si vous utilisez des données de configuration enregistrées, les réglages de serveur ne sont pas compatibles avec les réglages enregistrés et peuvent provoquer des comportements inattendus. Pour en savoir plus, consultez la section « Procédure de recherche par un serveur de données de configuration enregistrées » à la page 136. 5 Avancez dans les sous-fenêtres du programme d’installation en suivant les instructions affichées. Lorsque l’installation est terminée, l’ordinateur redémarre et vous pouvez procéder à la configuration initiale du serveur. 108 Chapitre 5 Installation et déploiement 6 Si vous utilisez un ordinateur administrateur pour une installation sur un serveur en mode disque cible et connecté à l’aide d’un câble FireWire : a Quittez Assistant du serveur lorsqu’il démarre automatiquement sur l’ordinateur administrateur. b Éteignez l’ordinateur administrateur et le serveur. c Démarrez l’ordinateur administrateur et le serveur normalement (pas en mode disque cible). Vous pouvez maintenant utiliser Assistant du serveur à partir de l’ordinateur administrateur et configurer le serveur à distance. Le Chapitre 6, « Configuration initiale du serveur, » à la page 117 explique comment configurer un serveur localement ou à distance. Installation à distance à l’aide d’Assistant du serveur Pour installer Mac OS X Server sur un serveur distant à partir du DVD d’installation, d’une partition d’installation ou d’un disque NetInstall, vous avez besoin d’un ordinateur administrateur à partir duquel vous pouvez utiliser Assistant du serveur pour gérer l’installation, comme dans l’illustration ci-dessous : Ordinateur administrateur Bienvenue >programme d’installation >programme d’installation Sous-réseau 1 Sous-réseau 2 Une fois que l’ordinateur a démarré, vous pouvez contrôler et gérer autant de serveurs que vous le souhaitez à partir d’un ordinateur d’administration. Important : si vous disposez d’applications et d’outils administratifs provenant de Mac OS X Server 10.4 Tiger ou antérieur, ne les utilisez pas avec Leopard Server. Chapitre 5 Installation et déploiement 109 Si vous souhaitez utiliser l’interface utilisateur du programme d’installation, vous pouvez utiliser VNC pour afficher le programme d’installation distant et communiquer avec ce dernier. Pour en savoir plus, consultez la section « Installation à distance à l’aide de VNC » à la page 111. Ces instructions supposent que vous avez démarré l’ordinateur à l’aide du DVD d’installation, d’une partition d’installation ou d’un disque NetInstall. Si ce n’est pas le cas, consultez les instructions à ce sujet qui commencent à la section « À propos du démarrage pour l’installation » à la page 90. Pour installer le logiciel sur un serveur distant à l’aide d’Assistant du serveur : 1 Une fois que l’ordinateur cible a démarré à partir du DVD d’installation, d’une partition d’installation ou d’un disque NetInstall, lancez Assistant du serveur qui se trouve dans le dossier /Applications/Server/ de l’ordinateur administrateur. Vous n’avez pas besoin d’être administrateur sur l’ordinateur local pour utiliser Assistant du serveur. 2 Sélectionnez l’option Installer le logiciel sur un serveur distant. 3 Pour chaque serveur cible prévu, identifiez le serveur cible et ajoutez-le à la liste. S’il se trouve sur le sous-réseau local, sélectionnez-le dans la liste, sinon, cliquez sur le bouton Ajouter (+) et saisissez une adresse IP au format IPv4 (000.000.000.000). Si vous disposez déjà d’une liste de serveurs enregistrée, chargez-la maintenant en choisissant Fichier > Charger la liste de serveurs. 4 Lorsque vous êtes invité à fournir un mot de passe, saisissez les huit premiers chiffres du numéro de série matériel intégré au serveur. Pour rechercher le numéro de série, cherchez une étiquette sur le serveur. Si vous effectuez l’installation sur un vieil ordinateur qui ne dispose pas de numéro de série de matériel intégré, tapez le mot de passe 12345678. 5 Une fois que vous avez ajouté tous les serveurs à la liste, enregistrez cette dernière en vue d’un usage ultérieur en choisissant Fichier > Enregistrer la liste de serveurs. 6 Avancez dans les écrans d’installation en suivant les instructions affichées. 7 Lorsque la sous-fenêtre Volumes apparaît, sélectionnez un disque ou un volume (partition) cible, assurez-vous qu’il ou elle est dans l’état adéquat, puis cliquez sur Continuer. 110 Chapitre 5 Installation et déploiement Si le volume que vous avez sélectionné contient Mac OS X Server 10.4.10 ou 10.3.9 et que vous souhaitez procéder à une mise à niveau, sélectionnez « Ne pas effacer ». Sinon, sélectionnez Effacer pour formater le disque au format Mac OS étendu (journalisé). Cliquez sur OK. AVERTISSEMENT : lorsque vous procédez à une mise à niveau, assurez-vous que les données de configuration enregistrées ne sont pas détectées par inadvertance et utilisées par le serveur. Si vous utilisez des données de configuration enregistrées, les réglages de serveur ne sont pas compatibles avec les réglages enregistrés et peuvent provoquer des comportements inattendus. Pour en savoir plus, consultez la section « Procédure de recherche par un serveur de données de configuration enregistrées » à la page 136. 8 Avancez dans les écrans d’installation en suivant les instructions affichées. Pendant l’installation, vous pouvez ouvrir une autre fenêtre Assistant du serveur pour installer le logiciel serveur sur d’autres ordinateurs.Pour cela, choisissez Fichier > Nouvelle fenêtre. Une fois l’installation terminée, le serveur cible redémarre et vous pouvez procéder à la configuration initiale du serveur. Le Chapitre 6, « Configuration initiale du serveur, » à la page 117 vous indique comment procéder. Installation à distance à l’aide de VNC Si vous utilisez un disque d’installation de Mac OS X Server 10.5 ou ultérieur, vous pouvez contrôler l’installation depuis un autre ordinateur en utilisant un visualiseur VNC open-source ou Apple Remote Desktop. Vous pouvez ainsi contrôler à distance la préparation du disque ou de la partition cible avant de procéder à l’installation. Vous pouvez partitionner le disque dur en plusieurs volumes, créer un ensemble RAID ou bien effacer le disque ou la partition cible. Le processus d’installation à distance à l’aide de VNC est identique au processus d’installation locale effectué avec un clavier et un moniteur, sauf que vous devez d’abord vous connecter au serveur VNC sur l’ordinateur cible à l’aide d’un client VNC tel qu’Apple Remote Desktop. Pour en savoir plus sur la connexion à un ordinateur ayant démarré à partir d’un DVD d’installation, consultez la section « Accès à distance au DVD d’installation » à la page 91. Pour en savoir plus sur l’exécution locale du programme d’installation, consultez la section « Installation locale à partir du disque d’installation » à la page 107. Chapitre 5 Installation et déploiement 111 Installation du logiciel serveur à l’aide de l’outil de ligne de commande installer L’outil installer permet d’installer le logiciel serveur sur un ordinateur local ou distant à partir de la ligne de commande.Pour en savoir plus sur le programme d’installation :  Consultez la section Administration de ligne de commande.  Ouvrez l’application Terminal et tapez installer, installer -help ou man installer. Ces instructions supposent que vous avez démarré l’ordinateur à l’aide du DVD d’installation, d’une partition d’installation ou d’un disque NetInstall. Si ce n’est pas le cas, consultez les instructions à ce sujet qui commencent à la section « À propos du démarrage pour l’installation » à la page 90. Pour installer le logiciel serveur à l’aide de la commande installer : 1 Ouvrez une session de ligne de commande avec le serveur cible en choisissant l’une des options suivantes :  Installation d’un serveur local : lorsque le programme d’installation s’ouvre, ouvrez l’application Terminal en choisissant Utilitaires > Ouvrir Terminal.  Installation d’un serveur distant : à partir de Terminal sur un ordinateur administrateur ou à partir d’une station de travail UNIX, établissez comme utilisateur root une session SSH avec le serveur en remplaçant <adresse ip> par l’adresse IP du serveur cible : ssh root@<adresse ip> ∏ Si vous ignorez l’adresse IP et que le serveur distant se trouve sur le sous-réseau local, utilisez la commande sa_srchr pour identifier les ordinateurs du sous-réseau local sur lesquels vous pouvez installer le logiciel serveur : /system/library/serversetup/sa_srchr 224.0.0.1 monordinateur.exemple.com#PowerMac4,4#<adresse ip>#<adresse mac>#Mac OS X Server 10.5#RDY4PkgInstall#2.0#512 Vous pouvez également utiliser Assistant du serveur pour générer les informations relatives aux ordinateurs sur le sous-réseau local. Ouvrez Assistant du serveur, sélectionnez « Installer le logiciel sur un ordinateur distant », puis cliquez sur Continuer pour accéder à la sous-fenêtre Destination et générer une liste de serveurs en attente d’installation. 2 Lorsque vous êtes invité à fournir un mot de passe, saisissez les huit premiers chiffres du numéro de série matériel intégré au serveur. Pour rechercher le numéro de série, cherchez une étiquette sur le serveur. Si l’ordinateur cible a été configuré en tant que serveur, vous trouverez également le numéro de série du matériel dans /Système/Bibliothèque/ServerSetup/SerialNumber. Si vous effectuez l’installation sur un vieil ordinateur qui ne dispose pas de numéro de série de matériel intégré, tapez le mot de passe 12345678. 112 Chapitre 5 Installation et déploiement 3 Identifiez le volume du serveur cible sur lequel vous souhaitez installer le logiciel serveur. Pour répertorier les volumes disponibles pour l’installation du logiciel serveur à partir du disque d’installation, tapez la commande suivante : /usr/sbin/installer -volinfo -pkg /System/Installation/Packages/ OSInstall.mpkg Vous pouvez également identifier une image NetInstall que vous avez créée et montée: /usr/sbin/installer -volinfo -pkg /Volumes/ServerNetworkImage10.5/ System/Installation/Packages/OSInstall.mpkg La liste affichée dépend de votre environnement ; l’exemple ci-dessous présente trois volumes disponibles : /Volumes/Mount 01 /Volumes/Mount1 /Volumes/Mount02 4 Si vous ne l’avez pas encore fait, préparez les disques pour l’installation. Pour en savoir plus sur la préparation des disques pour l’installation, consultez la section « Préparation des disques pour l’installation de Mac OS X Server » à la page 98. Si Mac OS X Server 10.4.10 ou 10.3.9 est installé sur le volume cible, l’exécution de l’outil permet de mettre à niveau le serveur avec la version 10.5 en conservant les fichiers des utilisateurs. installer Si vous ne procédez pas à une mise à niveau mais à une installation spéciale, sauvegardez les fichiers d’utilisateur à conserver, puis utilisez la commande diskutil pour effacer le volume et le formater en autorisant la journalisation : /usr/sbin/diskutil eraseVolume HFS+ "Mount 01" "/Volumes/Mount 01" /usr/sbin/diskutil enableJournal "/Volumes/Mount 01" Vous pouvez également utiliser diskutil pour partitionner le volume et configurer la mise en miroir. Pour en savoir plus sur cette commande, consultez la page man diskutil. Important : ne stockez pas de données sur le disque dur ou la partition où est installé le système d’exploitation. Vous évitez de cette manière la perte de données dans l’éventualité d’une réinstallation ou d’une mise à niveau du logiciel système. Si vous devez stocker des logiciels ou données supplémentaires sur la partition système, envisagez une mise en miroir du disque. 5 Installez le système d’exploitation sur un volume figurant dans la liste générée à l’étape 3. Par exemple, pour utiliser Montage 01 dans l’exemple de l’étape 4 pour une installation à partir du disque d’installation de serveur, tapez : /usr/sbin/installer -verboseR -lang en -pkg /System/Installation/ Packages/OSInstall.mpkg -target "/Volumes/Mount 01" Si vous utilisez une image NetInstall, la commande l’identifie comme indiqué à l’étape 3. Chapitre 5 Installation et déploiement 113 Lorsque vous saisissez le paramètre -lang, utilisez l’une des valeurs suivantes : en (pour anglais), de (pour allemand), fr (pour français) ou ja (pour japonais). Au cours de l’installation, l’état d’avancement des opérations est affiché. Tandis que l’installation progresse, vous pouvez ouvrir une autre fenêtre Terminal pour installer le logiciel serveur sur un autre ordinateur. 6 Lorsque l’installation est terminée, redémarrez le serveur en saisissant : /sbin/reboot ou /sbin/shutdown -r Assistant du serveur s’ouvre automatiquement dès que l’installation est terminée. Vous pouvez maintenant configurer le serveur. Pour en savoir plus, consultez la section « Configuration initiale du serveur » à la page 117. Installation de plusieurs serveurs Vous pouvez utiliser Assistant du serveur, le visualiseur VNC ou l’outil installer pour lancer plusieurs installations du logiciel serveur. Après avoir utilisé Assistant du serveur pour lancer l’installation du logiciel serveur sur plusieurs ordinateurs distants, vous pouvez choisir Fichier > Nouvelle fenêtre pour installer le logiciel sur un autre lot d’ordinateurs. Lorsque vous exécutez Assistant du serveur à partir d’un ordinateur d’administration pour l’installation sur plusieurs ordinateurs, regroupez les configurations matérielles identiques. Par exemple, choisissez tous les ordinateurs Xserve Intel ou tous les Mac mini G4. Après avoir utilisé un visualiseur VNC pour contrôler l’installation de Mac OS X Server 10.5 ou ultérieur sur un ordinateur distant, vous pouvez utiliser ce même visualiseur VNC pour établir une connexion à un autre ordinateur distant et contrôler l’installation réalisée sur ce dernier.Comme elle implique de communiquer séparément avec chaque serveur, cette méthode d’installation sur plusieurs serveurs est moins efficace. La méthode d’installation la plus efficace serait entièrement automatisée. Ouvrir l’application Terminal et utiliser l’outil installer pour lancer séparément l’installation de chaque logiciel serveur n’offre pas cet avantage. Vous pouvez toutefois procéder de manière efficace en créant un script pour l’outil de ligne de commande (en utilisant des valeurs connues pour les adresses IP des serveurs, par exemple) afin d’automatiser plusieurs installations simultanées. Pour automatiser entièrement l’installation de serveurs, vous devez créer un script pour l’outil installer et disposer d’un contrôle poussé sur l’infrastructure réseau. 114 Chapitre 5 Installation et déploiement Si vous souhaitez, par exemple, inclure des adresses IP connues et les numéros de série matériel appropriés dans votre script, vous ne pouvez pas vous fier à des adresses IP assignées de façon aléatoire. Vous pouvez utiliser des adresses statiques assignées par DHCP pour supprimer cette incertitude et faciliter la création du script. Les méthodes, les langages de script et les diverses possibilités sont trop nombreuses pour être énumérés dans ce guide. Mise à niveau d’un ordinateur de Mac OS X à Mac OS X Server Vous pouvez utiliser le DVD d’installation de Mac OS X Server 10.5 pour mettre à niveau un ordinateur de bureau possédant les caractéristiques suivantes :  Mac OS X 10.5 ou ultérieur déjà installé;  disposant d’un processeur Intel;  ayant été introduit pendant l’été 2006 ou plus tard;  disposant de la configuration requise décrite dans « Configuration requise pour l’installation de Mac OS X Server » à la page 87. Pour mettre à niveau un ordinateur de Mac OS X à Mac OS X Server : 1 Démarrez l’ordinateur depuis le disque dur, selon la procédure habituelle. N’utilisez pas de disque d’installation. 2 Insérez le DVD d’installation, ouvrez le dossiers Other Installs, puis double-cliquez sur MacOSXServerInstall.mpkg pour exécuter le programme d’installation. Lorsque l’installation est terminée, votre ordinateur redémarre automatiquement et Assistant du serveur s’ouvre pour vous permettre de configurer le serveur. 3 Après le redémarrage du serveur, utilisez Mise à jour de logiciels pour installer les mises à jour du logiciel serveur. Comment rester à jour Une fois que vous avez configuré le serveur, il est recommandé de le mettre à jour chaque fois qu’Apple publie des mises à jour de logiciel serveur. Il existe différentes façons d’accéder aux mises à jour de Mac OS X Server :  Dans Admin Serveur, sélectionnez un serveur dans la liste Serveurs, puis cliquez sur le bouton Mises à jour du serveur.  Utilisez la sous-fenêtre Mise à jour de logiciels dans les Préférences Système.  Utilisez l’outil de ligne de commande softwareupdate.  Utilisez le service de mise à jour de logiciels de serveur.  Téléchargez une image disque de la mise à jour de logiciel sur : www.apple.com/fr/support/downloads Chapitre 5 Installation et déploiement 115 6 Configuration initiale du serveur 6 Les caractéristiques élémentaires de Mac OS X Server sont définies lors de la configuration du serveur. Le serveur peut fonctionner dans trois configurations différentes : avancée, standard et groupe de travail. Ces instructions s’appliquent à la configuration avancée. Après l’installation du logiciel serveur, l’étape suivante consiste à configurer le serveur. Il y a plusieurs manières de configurer un serveur :  En configurant un ou plusieurs serveurs de manière interactive.  En automatisant la configuration des serveurs par l’enregistrement des données de configuration dans un fichier ou dans un répertoire. Les serveurs à configurer sont ensuite paramétrés de manière à accéder à ces données. Informations nécessaires Pour comprendre et enregistrer des informations pour chaque serveur à configurer, consultez la section Feuille d’opérations avancée Mac OS X Server dans l’annexe, page 221. Les paragraphes suivants fournissent des explications complémentaires sur certains éléments de la feuille d’opérations. Si vous effectuez une mise à niveau depuis Mac OS X Server version 10.4.10 ou 10.3.9, Assistant du serveur affiche les réglages de serveur existants, mais vous pouvez les modifier. Prenez note, dans la Feuille d’opérations avancée Mac OS X Server, des réglages à utiliser par le serveur version 10.5. Report de la configuration de serveur après l’installation Assistant du serveur s’ouvre automatiquement sur un serveur non configuré et attend que vous commenciez la procédure de configuration. Pour configurer le serveur ultérieurement, vous pouvez reporter le processus de configuration en utilisant le clavier, la souris et le moniteur du serveur. 117 Pour reporter la configuration de Mac OS X Server : m Dans Assistant du serveur, appuyez sur Commande + Q sur le clavier du serveur, puis cliquez sur Éteindre. Assistant du serveur réapparaît au redémarrage du serveur. Si vous configurez un serveur sans clavier ni moniteur, vous pouvez saisir des commandes dans l’application Terminal pour éteindre le serveur à distance. Pour en savoir plus sur l’utilisation de la ligne de commande afin de se connecter à un ordinateur distant et de l’éteindre, consultez la section Administration de ligne de commande. Connexion au réseau lors de la configuration initiale du serveur Essayez de placer un serveur dans son emplacement réseau final (sous-réseau) avant de le configurer pour la première fois. Si vous souhaitez éviter tout accès non autorisé ou prématuré au cours du démarrage, vous pouvez configurer un coupe-feu afin de protéger le serveur lors de la finalisation de sa configuration. Si vous ne pouvez pas éviter de déplacer un serveur après la configuration initiale, vous devez commencer par modifier les réglages qui dépendent de l’emplacement réseau. Par exemple, l’adresse IP et le nom d’hôte du serveur, stockés dans les répertoires et fichiers de configuration du serveur, doivent être mis à jour. Pour plus d’informations, consultez la section « Modification du nom d’hôte du serveur après la configuration » à la page 162. Configuration de serveurs avec plusieurs ports Ethernet Votre serveur est équipé d’un port Ethernet intégré et éventuellement d’autres ports intégrés ou ajoutés. Lorsque vous utilisez l’Assistant du serveur pour configurer de manière interactive un ou plusieurs serveurs, tous les ports Ethernet disponibles d’un serveur sont répertoriés ; sélectionnez-en un ou plusieurs à activer et à configurer. Lorsque vous travaillez avec l’Assistant du serveur en mode hors connexion, cliquez sur un bouton Ajouter afin de créer manuellement une liste de ports à configurer. Si vous activez plusieurs ports, indiquez l’ordre dans lequel les ports doivent être utilisés par le serveur lors du routage du trafic vers le réseau. Bien que le serveur reçoive le trafic réseau sur un port actif quelconque, le trafic réseau initié par le serveur est acheminé via le premier port actif. Pour obtenir une description des attributs de configuration des ports, consultez la section Feuille d’opérations avancée Mac OS X Server dans l’annexe. 118 Chapitre 6 Configuration initiale du serveur À propos des réglages établis au cours de la configuration initiale du serveur Au cours de la configuration du serveur, les réglages de base suivants sont établis :  Le choix de la langue utilisée pour l’administration du serveur et le clavier de l’ordinateur est défini.  Le numéro de série du logiciel serveur est défini.  Un utilisateur administrateur de serveur est défini et le dossier de départ de l’utilisateur est créé.  La définition des points de partage AFP et FTP par défaut, tels que Éléments partagés, Utilisateurs et Groupes.  La configuration de base des informations Open Directory. Au moins un domaine de répertoire local est créé. Vous pouvez également configurer un répertoire LDAP pouvant être utilisé par d’autres ordinateurs, ou configurer le serveur afin d’obtenir les informations de répertoire à partir d’autres serveurs.  Le nom d’hôte, le nom d’ordinateur et le nom d’hôte local sont définis. Vous pouvez spécifier le nom de l’ordinateur et le nom d’hôte local, mais Assistant du serveur règle le nom d’hôte sur AUTOMATIC dans /etc/hostconfig. Avec ce réglage, le nom d’hôte du serveur est le premier nom qui est vrai dans cette liste :  Le nom fourni par le serveur DHCP ou BootP pour l’adresse IP principale.  Le premier nom renvoyé par une requête DNS inversé (adresse-vers-nom) pour l’adresse IP principale.  Le nom d’hôte local.  Le nom « localhost ».  Les interfaces réseau (ports) sont configurées. Les réglages TCP/IP et Ethernet sont définis pour chaque port que vous souhaitez activer.  La configuration éventuelle du service d’horloge réseau. Si vous procédez à la mise à niveau, les réglages de base actuels s’affichent au cours du processus de configuration, mais vous pouvez les modifier. D’autres réglages, tels que les points de partage que vous avez définis et les services que vous avez configurés, sont préservés. Pour obtenir une description des actions et des éléments à mettre à niveau, reportez-vous à la section Mise à niveau et migration. Vous ne pouvez réaliser qu’une seule fois la configuration initiale du serveur sans réinstaller ce dernier. Il existe toutefois d’autres moyens permettant de modifier les réglages établis lors de la configuration. Vous pouvez par exemple utiliser Admin Serveur ou Utilitaire d’annuaire pour gérer les réglages Open Directory. Chapitre 6 Configuration initiale du serveur 119 Spécification de l’utilisation initiale d’Open Directory Durant la procédure de création d’une configuration avancée, vous devez indiquer la façon dont le serveur stocke initialement les comptes utilisateur et d’autres informations de répertoire et comment il y accède. Vous devez choisir si le serveur se connecte à un système de répertoire ou fonctionne comme un serveur autonome. Après la configuration, vous pouvez soit créer ou modifier une connexion à un système de répertoire à l’aide d’Utilitaire d’annuaire, soit utiliser Admin Serveur pour transformer le serveur en maître ou en réplique Open Directory afin de modifier les réglages de service Open Directory du serveur. Pour plus d’informations sur la modification de services de répertoire, consultez la section Administration d’Open Directory. Lors de la configuration initiale d’un serveur, vous spécifiez sa configuration de services de répertoire. Les options sont les suivantes :  Aucune modification, option disponible uniquement lors de la mise à niveau à partir de Mac OS X Server 10.4.10 ou 10.3.9.  Serveur autonome, option utilisée pour configurer uniquement un domaine de répertoire local sur le serveur.  Connecté à un système de répertoire, option utilisée pour configurer le serveur pour obtenir les informations de répertoire d’un domaine de répertoire partagé déjà configuré sur un autre serveur. Dans toutes ces situations, l’authentification Open Directory est configurée sur le serveur et utilisée par défaut pour tout nouvel utilisateur ajouté aux domaines résidant sur le serveur. Si vous configurez plusieurs serveurs et qu’un ou plusieurs d’entre eux hébergent un répertoire partagé, configurez-les avant les serveurs qui utiliseront ces répertoires partagés. Remarque : si vous connectez Mac OS X Server 10. 5 à un domaine de répertoire Mac OS X Server 10.2 ou antérieur, les utilisateurs définis dans l’ancien domaine de répertoire ne peuvent pas être authentifiés avec la méthode MS-CHAPv2. Cette méthode peut s’avérer nécessaire pour authentifier de manière sécurisée les utilisateurs pour le service VPN de Mac OS X Server 10.5. Open Directory prend en charge l’authentification MS-CHAPv2 dans Mac OS X Server version 10.5, mais le serveur de mot de passe de Mac OS X Server version 10.2 ne prend pas en charge cette authentification. 120 Chapitre 6 Configuration initiale du serveur Après la configuration, utilisez si nécessaire les applications Utilitaire d’annuaire ou Admin Serveur pour parachever la configuration de répertoire du serveur. Utilitaire d’annuaire permet de configurer des connexions à plusieurs répertoires, y compris Active Directory et d’autres systèmes de répertoires non Apple, et de spécifier une stratégie de recherche (l’ordre dans lequel le serveur doit effectuer la recherche dans les domaines). Admin Serveur permet de configurer des répliques d’un maître Open Directory et de gérer les autres aspects de la configuration du service de répertoires d’un serveur. Administration d’Open Directory peut vous aider à choisir l’option de configuration d’utilisation de répertoire adaptée à vos besoins. Si vous effectuez une mise à niveau, le meilleur choix est « Aucune modification ». Si vous configurez un nouveau serveur, le plus simple est de choisir « Serveur autonome ». Après la configuration initiale du serveur, vous pouvez employer Utilitaire d’annuaire ou Admin Serveur pour ajuster et finaliser la configuration de répertoire. Mise à jour sans changer l’utilisation de répertoire Lorsque vous configurez un serveur en cours de mise à niveau de la version 10.2.8 ou 10.3.9 vers la version 10.5 et que vous souhaitez qu’il exploite la même configuration de répertoire qu’auparavant, choisissez Aucune modification dans la sous-fenêtre Utilisation du répertoire d’Assistant du serveur. Même lorsque vous souhaitez changer la configuration de répertoire du serveur, le choix le plus sûr reste Aucune modification, en particulier si vous envisagez de modifier la configuration de répertoire partagé d’un serveur. Vous pouvez, par exemple, passer de l’hébergement d’un répertoire à l’utilisation du répertoire partagé d’un autre serveur et vice versa ou effectuer la migration d’un domaine NetInfo partagé vers LDAP. Ces opérations de modification de l’utilisation du répertoire sont à réaliser après la configuration du serveur, de façon à préserver l’accès aux informations de répertoire relatives à votre réseau. Pour plus d’informations sur les options d’utilisation de répertoire et sur la façon d’employer Utilitaire d’annuaire et Admin serveur pour effectuer des modifications de répertoire, consultez la section Administration d’Open Directory. Pour plus d’informations sur la manière de continuer à utiliser les données de répertoire existantes lorsque vous modifiez les réglages de service de répertoire, consultez la section Mise à niveau et migration. Si vous choisissez l’option « Aucune modification » et que le serveur n’utilisait pas de serveur de mot de passe, l’authentification Open Directory est configurée. Lorsque vous ajoutez des utilisateurs à un domaine de répertoire Apple résidant sur le serveur, les mots de passe sont validés par défaut en utilisant l’authentification Open Directory. Chapitre 6 Configuration initiale du serveur 121 Configuration d’un serveur comme serveur autonome Un serveur autonome stocke et lit les informations de compte dans son domaine de répertoire local. Le serveur autonome utilise son domaine de répertoire local pour authentifier les clients auprès de ses services de fichiers, de courrier électronique et autres. Les autres serveurs et ordinateurs clients ne peuvent accéder au domaine de répertoire local du serveur autonome. L’authentification Open Directory est également configurée sur le serveur. Par défaut, elle est utilisée lorsqu’un utilisateur est ajouté au domaine local. Lorsqu’un utilisateur tente de se connecter au serveur ou d’utiliser l’un des services réclamant une authentification, le serveur authentifie l’utilisateur en consultant la base de données locale. Si l’utilisateur a un compte sur le système et fournit le mot de passe correct, l’authentification aboutit. Configuration d’un serveur pour la connexion à un système de répertoire S’il est connecté à un autre système de répertoire, votre serveur stocke les informations de compte et y accède dans le répertoire partagé d’un autre serveur et peut utiliser l’autre système de répertoire pour authentifier les clients auprès des services de fichiers, de courrier électronique et autres. Votre serveur peut également utiliser son domaine de répertoire local pour les comptes et l’authentification. Vous pouvez intégrer votre serveur dans une multitude de systèmes de répertoire en choisissant l’une des options suivantes lors de la configuration :  Serveur Open Directory : votre serveur peut utiliser LDAP pour stocker des informations sur un serveur Open Directory et y accéder. Avec cette option, vous devez connaître le nom DNS ou l’adresse IP du serveur Open Directory.  Tel que spécifié par le serveur DHCP : votre serveur obtient les informations de connexion à un système de répertoire auprès d’un serveur DHCP. Le serveur DHCP doit être configuré pour fournir l’adresse et la base de recherche d’un serveur LDAP (DHCP option 95). Le service de répertoire et le service DHCP sont indépendants l’un par rapport à l’autre. Ils ne doivent pas forcément être fournis par le même serveur.  Autre serveur de répertoire : si vous devez intégrer le serveur à un autre type de système de répertoire ou à plusieurs systèmes de répertoire, choisissez cette option et configurez les connexions ultérieurement à l’aide de l’application Utilitaire d’annuaire. Cette option permet d’intégrer votre serveur à quasiment tous les services de répertoire actuels, tels que Microsoft Active Directory, Novell eDirectory, un autre répertoire non Apple ou un domaine NIS. Pour plus d’informations sur l’utilisation de l’Utilitaire d’annuaire, consultez la section Administration d’Open Directory ou ouvrez l’Utilitaire d’annuaire, puis utilisez le menu Aide. 122 Chapitre 6 Configuration initiale du serveur Si vous configurez votre serveur afin qu’il se connecte à un serveur Open Directory disposant de Mac OS X Server version 10.3 ou antérieure, il se peut que vous ne puissiez pas bénéficier de certaines fonctionnalités :  Le service VPN nécessite l’authentification MS-CHAP2 qui n’est pas disponible avec les versions 10.2 ou antérieures.  Les répliques ne sont pas prises en charge par les versions 10.2 et antérieures.  La configuration Kerberos est beaucoup plus complexe dans la version 10.2. En outre, la synchronisation automatique de Kerberos et du serveur de mot de passe requiert la version 10.3 ou ultérieure.  Dans la version 10.3 et les versions antérieures, la liaison à des répertoires de confiance, la prise en charge des sous-domaines LDAP et les commandes d’Utilitaire d’annuaire ne sont pas disponibles. Utilisation de la configuration interactive de serveur Le moyen le plus simple de configurer un petit nombre de serveurs est de faire appel au processus d’Assistant du serveur, après avoir établi une connexion avec chacun des serveurs tour à tour. Vous devez fournir les données de configuration des serveurs de manière interactive, puis lancer immédiatement la configuration.La solution interactive est intéressante si vous avez peu de serveurs à configurer. La méthode interactive permet de configurer un serveur local ou un ou plusieurs serveurs distants. Pour exploiter cette démarche, ouvrez Assistant du serveur, connectez-vous à un ou plusieurs serveurs cibles, fournissez les données de configuration, puis lancez immédiatement la configuration. Il s’agit de la technique utilisée pour configurer un serveur local, comme décrit à la section « Configuration interactive d’un serveur local » à la page 124. Vous pouvez également utiliser cette méthode interactive pour configurer un serveur distant à partir d’un ordinateur administrateur. Pour obtenir des instructions, consultez la section « Configuration interactive d’un serveur distant » à la page 125. Lorsque plusieurs serveurs distants peuvent utiliser les mêmes données de configuration, vous pouvez fournir ces données, puis lancer la configuration simultanée de tous les serveurs au moyen d’un processus de configuration par lot. Si vous exécutez Assistant du serveur à partir d’un ordinateur d’administration pour configurer plusieurs serveurs, regroupez les configurations matérielles identiques. Par exemple, choisissez tous les ordinateurs Intel Xserve ou tous les Mac mini G4. Chapitre 6 Configuration initiale du serveur 123 Pour cette technique, représentée à gauche dans la figure ci-dessous, les identifiants réseau de tous les serveurs cibles doivent être définis via DHCP ou BootP. Pour obtenir des instructions, consultez la section « Configuration interactive d’un lot de serveurs distants » à la page 127. Bienvenue Bienvenue Bienvenue Sous-réseau 1 Sous-réseau 2 Pour personnaliser la configuration de serveurs individuels, vous pouvez gérer chacune d’elles séparément à partir d’une fenêtre distincte d’Assistant du serveur. Cette manière de procéder est représentée à droite dans l’illustration ci-dessus. Pour obtenir des instructions, consultez la section « Configuration interactive d’un serveur distant » à la page 125. Bien que l’illustration précédente montre des serveurs cibles se trouvant sur le même sousréseau que l’ordinateur administrateur dans un cas et sur un sous-réseau différent dans l’autre, les deux méthodes de configuration peuvent être employées indifféremment. Si le serveur cible est sur un autre sous-réseau, vous devez fournir son adresse IP. Assistant du serveur affiche une liste contenant les serveurs situés sur le même sous-réseau, afin que vous puissiez en sélectionner un ou plusieurs directement dans la liste. Configuration interactive d’un serveur local Après avoir installé le logiciel serveur sur un serveur, vous pouvez utilisez la méthode interactive pour le configurer localement si vous avez la possibilité d’accéder physiquement à l’ordinateur. Cette procédure s’applique à la configuration de serveur Avancée. Les instructions fournies ici ne sont pas compatibles avec les modes Standard et Groupe de travail. 124 Chapitre 6 Configuration initiale du serveur Pour configurer de manière interactive un serveur local : 1 Remplissez la Feuille d’opérations avancée Mac OS X Server disponible dans l’annexe. Pour des informations supplémentaires, reportez-vous à la section « Informations nécessaires » à la page 117. Assistant du serveur réapparaît au redémarrage du serveur. 2 Tapez les données de configuration notées sur la Feuille d’opérations avancée Mac OS X Server au fur et à mesure de votre progression dans les sous-fenêtres de l’Assistant, en suivant les instructions à l’écran. Vérifiez que tout serveur DHCP ou DNS que doit employer le serveur que vous configurez est bien en cours d’exécution. Une fois les données de configuration saisies, Assistant du serveur en affiche le résumé. 3 Révisez les données de configuration que vous avez saisies et, si nécessaire, cliquez sur Revenir pour les modifier. 4 Pour enregistrer les données de configuration sous forme de fichier texte ou dans un format utilisable pour une configuration automatique du serveur (un fichier de configuration ou une fiche de répertoire enregistré), cliquez sur Enregistrer sous. Pour chiffrer un fichier de configuration ou un enregistrement de répertoire, sélectionnez « Enregistrer au format crypté », puis tapez et confirmez une phrase secrète. Vous devez fournir la phrase secrète avant qu’un fichier de configuration chiffré puisse être utilisé par un serveur cible. 5 Pour lancer la configuration du serveur local, cliquez sur Appliquer. 6 Au terme de la configuration du serveur, cliquez sur Redémarrer. Vous pouvez maintenant ouvrir une session sous l’identité de l’administrateur créé pendant la configuration, afin de configurer les services. Configuration interactive d’un serveur distant Une fois le logiciel serveur installé sur un serveur, vous pouvez utiliser la méthode interactive pour le configurer à distance à partir d’un ordinateur administrateur capable de se connecter au serveur cible. Pour configurer de manière interactive un serveur distant : 1 Remplissez la Feuille d’opérations avancée Mac OS X Server disponible dans l’annexe. Pour obtenir des informations supplémentaires, reportez-vous à la section « Informations nécessaires » à la page 117. 2 Assurez-vous que le serveur cible est en cours d’exécution. 3 Sur un ordinateur administrateur, ouvrez Assistant du serveur qui se trouve dans /Applications/Server. Vous n’avez pas besoin d’être administrateur sur l’ordinateur administrateur pour utiliser l’Assistant du serveur. Chapitre 6 Configuration initiale du serveur 125 4 Dans la sous-fenêtre Bienvenue, sélectionnez « Configurer un serveur distant » et cliquez sur Continuer. 5 Dans la sous-fenêtre Destination, placez une coche dans la colonne Appliquer du serveur distant à configurer, tapez son mot de passe prédéfini dans le champ Mot de passe, puis cliquez sur Continuer pour vous connecter au serveur. Si le serveur cible n’apparaît pas dans la liste, cliquez sur Ajouter pour l’ajouter ou Actualiser pour voir s’il est disponible. 6 Sélectionnez la configuration de serveur Avancée. 7 Dans la sous-fenêtre Langue, choisissez la langue à employer pour administrer le serveur cible. 8 Si vous utilisez des données de configuration enregistrées, procédez comme suit : Dans la sous-fenêtre Langue, choisissez Fichier > Ouvrir le fichier de configuration ou Fichier > Ouvrir la fiche de répertoire pour charger les données de configuration enregistrées à employer. Si les données de configuration enregistrées sont chiffrées, tapez la phrase secrète lorsque vous y êtes invité. Choisissez éventuellement Présentation > Aller à Revoir pour vérifier les données de configuration, puis Revenir pour les modifier. 9 Si vous saisissez manuellement les données de configuration, procédez comme suit : Cliquez sur Continuer et saisissez les données de configuration au fur et à mesure de votre progression dans les sous-fenêtres de l’assistant, en suivant les instructions affichées, puis cliquez sur Continuer. Vérifiez que tout serveur DHCP ou DNS que doit employer le serveur que vous configurez est bien en cours d’exécution. 10 Une fois toutes les données de configuration spécifiées, vérifiez le résumé affiché par Assistant du serveur et cliquez si nécessaire sur Revenir pour modifier vos données. 11 Pour enregistrer les données de configuration sous forme de fichier texte ou dans un format utilisable pour une configuration automatique du serveur (en tant qu’enregistrement de répertoire ou fichier de configuration enregistré), cliquez sur Enregistrer sous. Pour chiffrer un fichier de configuration ou un enregistrement de répertoire, sélectionnez « Enregistrer au format crypté », puis tapez une phrase secrète et confirmez-la. Vous devez fournir la phrase secrète avant qu’un fichier de configuration chiffré puisse être utilisé par un serveur cible. 12 Pour lancer la configuration du serveur cible distant, cliquez sur Appliquer. 13 Au terme de la configuration du serveur, cliquez sur Continuer. Le serveur cible redémarre et vous pouvez ouvrir une session sous l’identité d’administrateur de serveur créée pendant la configuration, afin de configurer les services. 126 Chapitre 6 Configuration initiale du serveur Configuration interactive d’un lot de serveurs distants Vous pouvez employer la méthode interactive pour configurer un lot de serveurs si :  tous les serveurs sont accessibles à partir d’un ordinateur administrateur;  tous les serveurs utilisent le même type de processeur (Intel ou PowerPC, par exemple);  tous les serveurs utilisent les même données de configuration, à l’exception du numéro de série du logiciel serveur et des identités réseau (nom d’hôte, nom d’ordinateur et nom d’hôte local);  les identités réseau sont fournies par un serveur DHCP ou BootP. Si vous exécutez Assistant du serveur à partir d’un ordinateur d’administration pour configurer plusieurs serveurs, regroupez les configurations matérielles identiques. Choisissez par exemple tous les ordinateurs Intel Xserve ou tous les Mac mini G4. Si plusieurs serveurs possèdent des fichiers de configuration différents, vous pouvez ouvrir une nouvelle fenêtre Assistant du serveur pour chaque lot de serveurs. Cela permet de regrouper les serveurs par plateforme, par réglages, par sous-réseau ou par tout autre critère de votre choix. Pour configurer plusieurs serveurs distants de manière interactive, par lot : 1 Complétez la Feuille d’opérations avancée Mac OS X Server avec les réglages à utiliser pour tous les serveurs que vous souhaitez configurer. La Feuille d’opérations avancée Mac OS X Server se trouve sur le disque d’installation de Mac OS X Server, dans le dossier Documentation. Pour des informations supplémentaires, reportez-vous à la section « Informations nécessaires » à la page 117. Dans la Préface sont indiqués les autres emplacements de la Feuille d’opérations avancée Mac OS X Server. 2 Assurez-vous que les serveurs cibles et tous serveurs DHCP ou DNS qu’ils doivent employer sont en cours d’exécution. 3 Sur un ordinateur administrateur capable de se connecter à tous les serveurs cibles, ouvrez l’Assistant du serveur dans /Applications/Server/. Vous n’avez pas besoin d’être administrateur sur l’ordinateur administrateur pour utiliser l’Assistant du serveur. 4 Dans la sous-fenêtre Bienvenue, sélectionnez « Configurer un serveur distant » et cliquez sur Continuer. 5 Dans la sous-fenêtre Destination, placez une coche dans la colonne Appliquer de chaque serveur distant à configurer. Tapez ensuite le mot de passe prédéfini dans la case Mot de passe de chaque serveur et cliquez sur Continuer pour vous connecter aux serveurs. Si un serveur cible à configurer n’est pas dans la liste, cliquez sur Ajouter pour l’y ajouter. 6 Dans la sous-fenêtre Langue, choisissez la langue à employer pour administrer les serveurs cibles. Chapitre 6 Configuration initiale du serveur 127 7 Si vous utilisez des données de configuration enregistrées, procédez comme suit : Dans la sous-fenêtre Langue, choisissez Fichier > Ouvrir le fichier de configuration ou Fichier > Ouvrir la fiche de répertoire pour charger les données de configuration enregistrées à employer. Si les données de configuration enregistrées sont chiffrées, tapez la phrase secrète lorsque vous y êtes invité. Choisissez éventuellement Présentation > Aller à Revoir pour vérifier les données de configuration, puis Revenir pour les modifier. 8 Si vous saisissez manuellement les données de configuration, procédez comme suit : Cliquez sur Continuer et saisissez les données de configuration au fur et à mesure de votre progression dans les sous-fenêtres de l’assistant, en suivant les instructions affichées, puis cliquez sur Continuer. Vérifiez que tout serveur DHCP ou DNS que doit employer le serveur que vous configurez est bien en cours d’exécution. 9 Une fois toutes les données de configuration spécifiées, vérifiez le résumé affiché par Assistant du serveur et cliquez si nécessaire sur Revenir pour modifier vos données. 10 Pour enregistrer les données de configuration sous forme de fichier texte ou dans un format utilisable pour une configuration automatique du serveur (en tant qu’enregistrement de répertoire ou fichier de configuration enregistré), cliquez sur Enregistrer sous. Pour chiffrer un fichier de configuration ou un enregistrement de répertoire, sélectionnez « Enregistrer au format crypté », puis tapez une phrase secrète et confirmez-la. Vous devez fournir la phrase secrète avant qu’un fichier de configuration chiffré puisse être utilisé par un serveur cible. 11 Pour démarrer la configuration du serveur, cliquez sur Appliquer. 12 Pour lancer la configuration du serveur cible distant, cliquez sur Appliquer. 13 Au terme de la configuration du serveur, cliquez sur Continuer. Les serveurs cibles redémarrent et vous pouvez ouvrir une session sous l’identité de l’administrateur de serveur créé pendant la configuration, afin de configurer leurs services. Utilisation de la configuration automatique de serveurs Si vous devez configurer un nombre plus important de serveurs, pensez à utiliser la configuration automatique de serveurs. Cette méthode permet également d’enregistrer les données de configuration afin de les réutiliser si vous devez réinstaller par la suite le logiciel serveur. La méthode automatique est utile lorsque :  vous avez un nombre plus important de serveurs à configurer;  vous souhaitez préparer la configuration de serveurs pas encore disponibles;  vous souhaitez enregistrer des données de configuration à des fins de sauvegarde;  vous devez réinstaller fréquemment des serveurs. 128 Chapitre 6 Configuration initiale du serveur Pour utiliser la configuration automatique de serveurs, lancez Assistant du serveur afin de spécifier des données de configuration pour chaque ordinateur ou lot d’ordinateurs ; enregistrez ensuite les données dans un fichier ou un répertoire afin de créer des données de configuration, comme indiqué dans l’illustration suivante : Ordinateur administrateur Données de configuration dans un répertoire Données de configuration dans un fichier Enfin, fournissez les données de configuration aux serveurs cibles. Pour fournir les données, vous pouvez recourir à des méthodes différentes, telles que le stockage des fichiers sur disque dur ou sur support amovible ou leur enregistrement dans des entrées de répertoire. Par défaut, les données de configuration enregistrées sont chiffrées pour plus de sécurité. Lors de son premier démarrage, le serveur recherche les données de configuration automatique pour effectuer sa propre configuration avant de lancer Assistant réglages. La configuration automatique du serveur implique deux étapes principales : Étape 1 : Création des fichiers de données de configuration Pour créer des fichiers de données de configuration, vous pouvez vous reporter aux sections suivantes.  « Données de configuration enregistrées dans un fichier » à la page 130.  « Données de configuration enregistrées dans un répertoire » à la page 132.  « Création et enregistrement de données de configuration » à la page 130.  « Stockage de copies de sauvegarde des données de configuration enregistrées » à la page 133. Étape 2 : Mise à disposition des fichiers de données de configuration pour un serveur nouvellement installé Les sections suivantes décrivent la mise à disposition des données pour les serveurs :  « Procédure de recherche par un serveur de données de configuration enregistrées » à la page 136.  « Configuration automatique de serveurs avec des données enregistrées dans un fichier » à la page 137.  « Configuration automatique de serveurs avec des données enregistrées dans un répertoire » à la page 140. Chapitre 6 Configuration initiale du serveur 129 Création et enregistrement de données de configuration Pour travailler à partir de données de configuration enregistrées, établissez une stratégie pour nommer, chiffrer, stocker et transférer les données. Une manière de créer des données de configuration consiste à utiliser le mode hors connexion d’Assistant du serveur et à utiliser les données de configuration sans se connecter à des serveurs particuliers. Spécifiez les données de configuration, puis enregistrez-les dans un fichier ou un répertoire accessible à partir des serveurs cibles, comme indiqué dans les deux sections qui suivent. Les serveurs cibles sur lesquels le logiciel Mac OS X Server 10.5 a été installé détectent automatiquement la présence des données de données de configuration enregistrées et les utilisent pour se configurer eux-mêmes. Vous pouvez définir des données de configuration génériques utilisables pour configurer n’importe quel serveur. Par exemple, vous pouvez définir des données de configuration génériques pour un serveur en commande, ou configurer 50 ordinateurs Xserve qui doivent être configurés de manière identique. Vous pouvez également enregistrer des données de configuration adaptées à un serveur en particulier. Important : lorsque vous effectuez une mise à niveau, assurez-vous que les données de configuration enregistrées ne sont pas détectées par inadvertance et utilisées par le serveur. Si les données de configuration enregistrées sont utilisées, les réglages existants du serveur seront remplacés par les réglages enregistrés. Pour plus d’informations, reportez-vous à la section « Procédure de recherche par un serveur de données de configuration enregistrées » à la page 136. Données de configuration enregistrées dans un fichier Lorsque vous enregistrez des données de configuration dans un fichier, un serveur cible détecte ce fichier et l’utilise si :  Les données de configuration détectées par le serveur cible ne se trouvent pas dans un répertoire que le serveur peut exploiter. Pour plus d’informations sur la détection et l’utilisation de données de répertoire par un serveur afin de se configurer luimême, reportez-vous à la section « Données de configuration enregistrées dans un répertoire » à la page 132.  Le fichier de configuration se trouve sur un volume monté localement dans /Volumes/*/Auto Server Setup/, où * correspond à tout périphérique monté sous /Volumes. Un serveur cible recherche dans les volumes par ordre alphabétique des noms de périphériques. Le périphérique monté comme système de fichiers peut être le disque dur du serveur, un iPod, un DVD, un CD, un disque FireWire, un disque USB ou tout autre périphérique connecté physiquement au serveur (par exemple, /Volumes/AdminiPod/ Auto Server Setup/monserveur.exemple.com.plist). 130 Chapitre 6 Configuration initiale du serveur  Le nom du fichier de configuration est l’un de ceux qui suivent (lors de la recherche de fichiers de configuration, les serveurs cibles recherchent les noms dans l’ordre indiqué) : <adresse-MAC-du-serveur>.plist (incluez les zéros au début, mais ignorez les deuxpoints ; par exemple, 0030654dbcef.plist). <adresse-IP-du-serveur>.plist (par exemple, 10.0.0.4.plist). <nom-DNS-partiel-du-serveur>.plist (par exemple, monserveur.plist). <numéro-de-série-matériel-ordinateur>.plist (huit premiers caractères uniquement ; par exemple, ABCD1234.plist). <nom-DNS-complet-du-serveur>.plist (par exemple, monserveur.exemple.com.plist). <adresse-IP-partielle-du-serveur>.plist (par exemple, 10.0.plist correspond à 10.0.0.4 et à 10.0.1.2). generic.plist (fichier que tout serveur reconnaîtra, utilisé pour configurer les serveurs qui nécessitent les mêmes valeurs de configuration). Si le numéro de série spécifié dans le fichier n’est pas associé à une licence de site, vous devrez le définir manuellement après l’installation. Utilisez Admin Serveur ou la commande suivante dans l’application Terminal : serversetup -setServerSerialNumber.  La phrase secrète correcte est fournie au serveur quand les données de configuration sont chiffrées. Vous pouvez employer l’Assistant du serveur pour fournir une phrase secrète de manière interactive ou dans un fichier texte. Placez le fichier de phrase secrète sur un volume monté localement sur le serveur cible, dans /Volumes/*/Auto Server Setup/ <fichier-phrase-secrète>. Le fichier de phrase secrète peut porter l’un de ces noms. Les serveurs cibles recherchent les noms dans l’ordre suivant : <adresse-MAC-du-serveur>.pass (incluez les zéros au début, mais ignorez les deuxpoints ; par exemple, 0030654dbcef.pass). <adresse-IP-du-serveur>.pass (par exemple, 10.0.0.4.pass). <nom-DNS-partiel-du-serveur>.pass (par exemple, monserveur.pass). <numéro-de-série-matériel-ordinateur>.pass (huit premiers caractères uniquement ; par exemple, ABCD1234.pass). <nom-DNS-complet-du-serveur>.pass (par exemple, monserveur.exemple.com.pass). <adresse-IP-partielle-du-serveur>.pass (par exemple, 10.0.pass correspond à 10.0.0.4 et à 10.0.1.2). generic.pass (un fichier que tout serveur reconnaîtra). Si le numéro de série du logiciel serveur n’est pas associé à une licence de site, vous devrez le définir manuellement après l’installation. Utilisez Admin Serveur ou la commande suivante dans Terminal : serversetup -setServerSerialNumber. Chapitre 6 Configuration initiale du serveur 131 Si vous souhaitez réutiliser les données de configuration enregistrées après avoir réinstaller un serveur, vous pouvez stocker les fichiers de configuration du serveur dans une petite partition locale qui ne sera pas effacée lorsque vous réinstallerez le serveur. Les fichiers de configuration sont détectés et réutilisés après chaque réinstallation. Données de configuration enregistrées dans un répertoire Cette démarche requiert un minimum d’intervention pour configurer plusieurs serveurs, mais nécessite la présence d’une infrastructure DHCP et de répertoires. À l’aide d’Assistant du serveur, enregistrez les données de configuration dans un répertoire existant pour lequel l’ordinateur que vous utilisez est configuré et où les serveurs récemment installés doivent lire les données de configuration. Le système du répertoire doit accepter les données de configuration enregistrées. Open Directory offre une prise en charge intégrée des données de configuration stockées. Pour stocker des données de configuration dans un répertoire non Apple, vous devez d’abord étendre son système (voir Administration d’Open Directory). Lorsque vous enregistrez des données de configuration dans un répertoire, un serveur cible les détecte et les utilise si :  Le serveur cible obtient ses noms de réseau (nom d’hôte, nom d’ordinateur et nom d’hôte local) ainsi que sa configuration de port à partir d’un serveur DHCP.  Le serveur DHCP est configuré pour identifier l’adresse IP du serveur de répertoire où sont stockées les données de configuration. Pour obtenir des instructions de configuration de serveur DHCP, consultez la section Administration des services de réseau.  Les serveurs de répertoire et DHCP sont en cours d’exécution.  Les données de configuration sont stockées dans le répertoire, sur le chemin d’accès /AutoServerSetup/, et dans un enregistrement portant l’un des noms ci-dessous. Les serveurs cibles recherchent ces noms dans l’ordre suivant : <adresse-MAC-du-serveur>(incluez les zéros au début, mais ignorez les deux-points ; par exemple, 0030654dbcef ). <adresse-IP-du-serveur> (par exemple, 10.0.0.4). <nom-DNS-partiel-du-serveur> (par exemple, monserveur). <numéro-de-série-matériel-ordinateur> (huit premiers caractères uniquement ; par exemple, ABCD1234). <nom-DNS-complet-du-serveur> (par exemple, monserveur.exemple.com). <adresse-IP-partielle-du-serveur> (par exemple, 10.0 correspond à 10.0.0.4 et à 10.0.1.2). 132 Chapitre 6 Configuration initiale du serveur generic (enregistrement que tout serveur reconnaîtra, utilisé pour configurer les serveurs qui nécessitent les mêmes valeurs de configuration). Si le numéro de série spécifié dans le fichier n’est pas associé à une licence de site, vous devrez le définir manuellement après l’installation. Utilisez Admin Serveur ou la commande suivante dans l’application Terminal : serversetup -setServerSerialNumber.  La phrase secrète correcte est fournie au serveur (les données de configuration stockées dans un répertoire doivent toujours être chiffrées). Vous pouvez employer Assistant du serveur pour fournir une phrase secrète de manière interactive ou dans un fichier texte. Placez le fichier de phrase secrète sur un volume monté localement sur le serveur cible, dans /Volumes/*/Auto Server Setup/ <fichier-phrase-secrète>, où * correspond à tout périphérique monté sous /Volumes. Un serveur cible recherche dans les volumes par ordre alphabétique des noms de périphériques. Le fichier de phrase secrète peut porter l’un des noms suivants. Les serveurs cibles recherchent ces noms dans l’ordre suivant : <adresse-MAC-du-serveur>.pass (incluez les zéros au début, mais ignorez les deuxpoints ; par exemple, 0030654dbcef.pass). <adresse-IP-du-serveur>.pass (par exemple, 10.0.0.4.pass). <nom-DNS-partiel-du-serveur>.pass (par exemple, monserveur.pass). <numéro-de-série-matériel-ordinateur>.pass (huit premiers caractères uniquement ; par exemple, ABCD1234.pass). <nom-DNS-complet-du-serveur>.pass (par exemple, monserveur.exemple.com.pass). <adresse-IP-partielle-du-serveur>.pass (par exemple, 10.0.pass correspond à 10.0.0.4 et à 10.0.1.2). generic.pass (un fichier que tout serveur reconnaîtra). Si le numéro de série du logiciel serveur n’est pas associé à une licence de site, vous devrez le définir manuellement après l’installation. Utilisez Admin Serveur ou la commande suivante dans Terminal : serversetup -setServerSerialNumber. Stockage de copies de sauvegarde des données de configuration enregistrées Les données de configuration enregistrées ne servent pas uniquement à l’automatisation de la configuration de plusieurs serveurs. Elles permettent également de reconfigurer les serveurs si vous avez besoin de réinstaller le logiciel serveur. Il est possible de conserver des copies de sauvegarde des fichiers de données de configuration sur un serveur de fichiers du réseau. De la même façon, vous pouvez stocker les fichiers de données de configuration dans une partition locale qui ne sera pas effacée lorsque vous réinstallerez le logiciel serveur. Chapitre 6 Configuration initiale du serveur 133 Utilisation du chiffrement avec des fichiers de données de configuration Les données de configuration enregistrées sont chiffrées par défaut pour plus de sécurité.Avant qu’un serveur puisse s’autoconfigurer en utilisant des données chiffrées, il doit pouvoir accéder à la phrase secrète employée lors du chiffrement des données. La phrase secrète peut être fournie soit de manière interactive (en utilisant l’Assistant du serveur), soit à partir d’un fichier sur un volume local du serveur cible. Vous pouvez par exemple stocker le fichier avec la phrase secrète sur un iPod, puis connecter ce dernier à chacun des serveurs ayant besoin de la phrase secrète. Un serveur dont l’adresse IP serait 10.0.0.4 utiliserait ainsi le fichier /Volumes/MyIPod/Auto Server Setup/ 10.0.0.4.pass. Transmission des fichiers de données de configuration aux serveurs Utilisation de fichiers dans le système de fichiers Lorsque vous placez un fichier de configuration sur un volume (CD, DVD, iPod, clé USB, partition de disque) monté localement sur un serveur installé mais pas configuré, ce dernier détecte le fichier et l’utilise pour se configurer. Vous pouvez, par exemple, stocker plusieurs fichiers de configuration sur un iPod, puis connecter l’iPod au premier serveur pour lequel existe un fichier de configuration, comme le montre l’illustration suivante : iPod Vous pouvez ensuite connecter l’iPod au serveur suivant : iPod 134 Chapitre 6 Configuration initiale du serveur Chaque serveur reconnaît son propre fichier puisqu’il a été nommé en utilisant l’un de ses identifiants et que son emplacement est connu. Ainsi, un serveur dont les huit premiers caractères du numéro de série seraient WXYZ1234 utiliserait le fichier suivant pour s’autoconfigurer : /Volumes/MyIPod/Auto Server Setup/ WXYZ1234.plist. Une autre solution consiste à utiliser l’adresse IP d’un serveur comme identifiant. Un serveur dont l’adresse IP est 10.0.0.4 utiliserait le fichier suivant : /Volumes/MyIPod/Auto Server Setup/10.0.0.4.plist. Vous pouvez également utiliser un seul fichier nommé « generic.plist » par exemple, pour configurer plusieurs serveurs si les données de configuration n’ont pas besoin d’être individualisées et que les identités réseau des serveurs sont fournies via DHCP. Pour plus d’informations sur l’attribution d’un nom aux fichiers de configuration et sur leur utilisation, consultez la section « Procédure de recherche par un serveur de données de configuration enregistrées » à la page 136. Utilisation des réglages du répertoire Le serveur cible peut également se configurer à l’aide de données de configuration stockées dans un répertoire. Il doit alors être configuré pour accéder à ce dossier. Bien que le stockage de données de configuration dans un dossier soit la manière la plus automatisée de configurer plusieurs serveurs, cette approche suppose au préalable une infrastructure afin que les serveurs cibles puissent trouver les données de configuration stockées dans le répertoire. Les composants essentiels de l’infrastructure sont les services DHCP et Open Directory, comme le montre l’illustration ci-dessous : Serveur Open Directory Serveur DHCP Le serveur Open Directory de cet exemple héberge un répertoire LDAP dans lequel ont été enregistrées des données de configuration. L’adresse du serveur Open Directory est abonnée au service DHCP, exécuté sur un autre serveur dans le cas présent. Le service DHCP fournit l’adresse du serveur Open Directory aux serveurs cibles lorsqu’il affecte des adresses IP à ces serveurs. Les serveurs cibles détectent les données de configuration qui ont été stockées à leur intention dans le répertoire LDAP et les utilisent pour s’autoconfigurer. Chapitre 6 Configuration initiale du serveur 135 Vous pouvez enregistrer les données de configuration dans un répertoire Apple OpenLDAP ou dans tout autre répertoire gérant le système d’extensions Apple pour les données de configuration enregistrées. Ce système d’extensions est présenté dans Administration d’Open Directory. Pour plus d’informations sur l’attribution d’un nom aux fichiers de configuration et sur leur utilisation, consultez la section « Procédure de recherche par un serveur de données de configuration enregistrées » à la page 136. Procédure de recherche par un serveur de données de configuration enregistrées Un serveur récemment installé se règle lui-même en se basant sur les données de configuration enregistrées via la séquence de recherche ci-après. Lorsque le serveur trouve des données de configuration correspondant aux critères décrits, il interrompt la recherche et utilise ces données pour se configurer. 1 Le serveur recherche des fichiers de configuration sur les volumes montés localement, dans /Volumes/*/Auto Server Setup/, où * est un nom de système de fichiers. Il effectue une recherche alphabétique dans les volumes par nom de périphérique, en recherchant un fichier portant l’extension « .plist » et nommé à l’aide de son adresse MAC, son adresse IP, son nom DNS partiel, son numéro de série de matériel intégré, son nom DNS complet, son adresse IP partielle ou generic.plist, dans cet ordre. 2 Le serveur recherche ensuite dans un répertoire, pour lequel il est configuré, un enregistrement de configuration, dans un chemin d’accès nommé « AutoServerSetup ». Il recherche les enregistrements nommés à l’aide de son adresse MAC, son adresse IP, son nom DNS partiel (monserveur), son numéro de série de matériel intégré, son nom DNS complet (monserveur.exemple.com), son adresse IP partielle ou « generic », dans cet ordre. Si les données de configuration sont chiffrées, le serveur a besoin de la phrase secrète correcte avant de pouvoir effectuer ses réglages. Vous pouvez employer l’Assistant du serveur pour fournir la phrase secrète de manière interactive ou bien vous pouvez la fournir dans un fichier texte stocké dans /Volumes/*/Auto Server Setup/<fichierphrase-secrète>. Le serveur cible effectue une recherche alphabétique dans les volumes par nom de système de fichiers, en recherchant un fichier portant l’extension « .pass » et nommé à l’aide de son adresse MAC, son adresse IP, son nom DNS partiel, son numéro de série de matériel intégré, son nom DNS complet, son adresse IP partielle ou generic.plist, dans cet ordre. Important : lorsque vous effectuez une mise à niveau, assurez-vous que les données de configuration enregistrées ne sont pas détectées par inadvertance et utilisées par le serveur que vous mettez à niveau. Si des données de configuration enregistrées sont utilisées, les réglages existants du serveur sont remplacés par les réglages enregistrés. 136 Chapitre 6 Configuration initiale du serveur Les deux sections suivantes fournissent plus de détails sur la manière d’utiliser des données de configuration enregistrées. Configuration automatique de serveurs avec des données enregistrées dans un fichier Une fois le logiciel serveur installé sur un serveur, vous pouvez le configurer automatiquement en utilisant des données enregistrées dans un fichier. Pour enregistrer et appliquer les données de configuration à partir d’un fichier : 1 Complétez la Feuille d’opérations avancée Mac OS X Server pour chaque serveur à configurer. La Feuille d’opérations avancée Mac OS X Server est disponible dans l’annexe. 2 Sur un ordinateur administrateur, ouvrez Assistant du serveur qui se trouve dans /Applications/Server. Vous n’avez pas besoin d’être administrateur sur l’ordinateur administrateur pour utiliser l’Assistant du serveur. 3 Dans la sous-fenêtre Bienvenue, sélectionnez « Enregistrer les infos de configuration avancées dans un fichier ou une fiche de répertoire » pour travailler en mode hors connexion (connexion serveur inutile). 4 Dans la sous-fenêtre Langue, choisissez la langue à employer pour administrer les serveurs cibles. 5 Si vous voulez créer un fichier de configuration, passez à l’étape 6. Pour utiliser un fichier de configuration existant, passez à l’étape 7. Si vous comptez créer un fichier de configuration générique pour configurer plusieurs serveurs, prenez soin de ne pas spécifier de noms de réseau (nom d’ordinateur et nom d’hôte local) et assurez-vous que chaque interface réseau (port) est réglée pour être configurée « Via DHCP » ou « Via BootP ». 6 Cliquez sur Continuer et saisissez les données de configuration au fur et à mesure de votre progression dans les sous-fenêtres de l’Assistant, en suivant les instructions affichées. 7 Dans la sous-fenêtre Langue, choisissez Fichier > Ouvrir le fichier de configuration ou Fichier > Ouvrir la fiche de répertoire pour charger les données de configuration enregistrées sur lesquelles vous voulez travailler. Si les données de configuration enregistrées sont chiffrées, tapez la phrase secrète lorsque vous y êtes invité. Choisissez éventuellement Présentation > Aller à Revoir pour vérifier les données de configuration, puis Revenir pour les modifier. 8 Dans la sous-fenêtre Interfaces de réseau, cliquez sur Ajouter pour spécifier les interfaces de réseau. 9 Une fois les données de configuration spécifiées, vérifiez le résumé affiché par Assistant du serveur et cliquez si nécessaire sur Revenir pour modifier les données. 10 Cliquez sur Enregistrer sous, puis sélectionnez Fichier de configuration. Chapitre 6 Configuration initiale du serveur 137 11 Pour chiffrer le fichier, sélectionnez « Enregistrer au format crypté », puis tapez une phrase secrète et confirmez-la. Vous devez fournir la phrase secrète avant qu’un fichier de configuration chiffré puisse être utilisé par un serveur cible. 12 Cliquez sur OK, accédez à l’emplacement de destination du fichier, attribuez un nom au fichier en utilisant l’une des options suivantes, puis cliquez sur Enregistrer. Lors de la recherche de fichiers de configuration, les serveurs cibles recherchent les noms dans l’ordre indiqué : <adresse-MAC-du-serveur>.plist (incluez les zéros au début, mais ignorez les deuxpoints ; par exemple, 0030654dbcef.plist). <adresse-IP-du-serveur>.plist (par exemple, 10.0.0.4.plist). <nom-DNS-partiel-du-serveur>.plist (par exemple, monserveur.plist). <numéro-de-série-matériel-du-serveur>.plist (huit premiers caractères uniquement ; par exemple, ABCD1234.plist). <nom-DNS-complet-du-serveur>.plist (par exemple, monserveur.exemple.com.plist). <adresse-IP-partielle-du-serveur>.plist (par exemple, 10.0.plist correspond à 10.0.0.4 et à 10.0.1.2). generic.plist (fichier que tout serveur reconnaîtra, utilisé pour configurer les serveurs qui nécessitent les mêmes valeurs de configuration). 13 Placez le fichier dans un emplacement où les serveurs cibles peuvent le détecter. Un serveur peut détecter un fichier de configuration s’il réside sur un volume monté localement dans /Volumes/*/Auto Server Setup/, où * correspond à tout périphérique monté sous /Volumes. Il peut s’agir du disque dur du serveur ou d’un iPod, d’un DVD, d’un CD, d’un disque FireWire, d’un disque USB ou de tout autre périphérique connecté au serveur. Par exemple, si vous possédez un iPod nommé AdminiPod, le chemin d’accès utilisé sera /Volumes/AdminiPod/Auto Server Setup/<nom-fichier-configuration>. 14 Si les données de configuration sont chiffrées, rendez la phrase secrète accessible aux serveurs cibles. Vous pouvez fournir la phrase secrète de manière interactive, à l’aide de l’Assistant du serveur ou dans un fichier texte. Pour fournir la phrase secrète dans un fichier, suivez l’étape 15. Pour la fournir de manière interactive, passez à l’étape 16. 15 Pour fournir une phrase secrète dans un fichier, créez un fichier texte, tapez la phrase secrète du fichier de configuration enregistré sur la première ligne, puis enregistrez le fichier sous l’un des noms suivants (lors de la recherche de fichiers de configuration, les serveurs cibles recherchent ces noms dans l’ordre indiqué). 138 Chapitre 6 Configuration initiale du serveur <adresse-MAC-du-serveur>.pass (incluez les zéros au début, mais ignorez les deuxpoints ; par exemple, 0030654dbcef.pass). <adresse-IP-du-serveur>.pass (par exemple, 10.0.0.4.pass). <nom-DNS-partiel-du-serveur>.pass (par exemple, monserveur.pass). <numéro-de-série-matériel-du-serveur>.pass (huit premiers caractères uniquement ; par exemple, ABCD1234.pass). <nom-DNS-complet-du-serveur>.pass (par exemple, monserveur.exemple.com.pass). <adresse-IP-partielle-du-serveur>.pass (par exemple, 10.0.pass correspond à 10.0.0.4 et à 10.0.1.2). generic.pass (un fichier que tout serveur reconnaîtra). Enregistrez le fichier de phrase secrète sur un volume monté localement sur le serveur cible, dans /Volumes/*/Auto Server Setup/<fichier-phrase-secrète>, où * correspond à tout périphérique monté sous /Volumes. 16 Pour fournir de manière interactive une phrase secrète, utilisez l’Assistant du serveur sur un ordinateur administrateur capable de se connecter au serveur cible. a Dans la sous-fenêtre Bienvenue ou Destination, choisissez Fichier > Fournir la phrase secrète. b Dans la zone de dialogue, tapez l’adresse IP, le mot de passe et la phrase secrète du serveur cible. c Cliquez sur Envoyer. 17 Si vous utilisez un fichier de configuration générique et que le numéro de série ne correspond pas à une licence de site, vous devez, après la configuration, saisir le numéro de série du serveur à l’aide d’Admin Serveur ou de la ligne de commande. Dans Admin Serveur, sélectionnez le serveur, cliquez sur Réglages, puis sur Général. Vous pouvez également utiliser ssh dans l’application Terminal, afin de vous connecter au serveur et saisir la commande serversetup -setServerSerialNumber. Pour une description de la disposition d’un fichier de configuration enregistré et pour en savoir plus sur la commande serversetup, consultez la section Administration de ligne de commande. Chapitre 6 Configuration initiale du serveur 139 Configuration automatique de serveurs avec des données enregistrées dans un répertoire Une fois le logiciel serveur installé sur un serveur, vous pouvez le configurer automatiquement en utilisant des données enregistrées dans un répertoire. Cette méthode nécessite un répertoire et une infrastructure DHCP en place, comme dans la procédure ci-dessous. Pour enregistrer et appliquer des données de configuration dans une fiche de répertoire : 1 Assurez-vous que le répertoire dans lequel vous souhaitez enregistrer les données de configuration existe, que son système accepte les données de configuration enregistrées et qu’il est accessible à partir de votre ordinateur administrateur. Administration d’Open Directory décrit la configuration et l’accès aux répertoires. Il présente également le système pour les données de configuration enregistrées. La gestion des données de configuration enregistrées est intégrée aux répertoires Apple OpenLDAP mais le système des autres répertoires doit être étendu pour accepter ce type de données. 2 Complétez la Feuille d’opérations avancée Mac OS X Server pour chaque serveur à configurer. La Feuille d’opérations avancée Mac OS X Server est disponible dans l’annexe. 3 Sur un ordinateur administrateur, ouvrez Assistant du serveur dans /Applications/Server. Vous n’avez pas besoin d’être administrateur sur l’ordinateur administrateur pour utiliser l’Assistant du serveur. 4 Dans la sous-fenêtre Bienvenue, sélectionnez « Enregistrer les infos de configuration avancées dans un fichier ou une fiche de répertoire » pour travailler en mode hors connexion (connexion serveur inutile). 5 Dans la sous-fenêtre Langue, choisissez la langue à employer pour administrer les serveurs cibles. 6 Si vous voulez créer une nouvelle configuration, passez à l’étape 7. Pour travailler avec une configuration existante, passez à l’étape 8. Si vous créez des données de configuration génériques, prenez soin de ne pas spécifier de noms de réseau (nom d’ordinateur et nom d’hôte local) et assurez-vous que l’interface réseau (port) est définie pour être configurée « Via DHCP » ou « Via BootP ». 7 Cliquez sur Continuer et saisissez les données de configuration au fur et à mesure de votre progression dans les sous-fenêtres de l’Assistant, en suivant les instructions affichées. 140 Chapitre 6 Configuration initiale du serveur 8 Dans la sous-fenêtre Langue, choisissez Fichier > Ouvrir le fichier de configuration ou Fichier > Ouvrir la fiche de répertoire pour charger les données de configuration enregistrées sur lesquelles vous voulez travailler. Si les données de configuration enregistrées sont chiffrées, tapez la phrase secrète lorsque vous y êtes invité. Choisissez éventuellement Présentation > Aller à Revoir pour vérifier les données de configuration, puis Revenir pour les modifier. 9 Dans la sous-fenêtre Interfaces de réseau, cliquez sur Ajouter pour spécifier les interfaces de réseau. 10 Une fois toutes les données de configuration spécifiées, vérifiez le résumé affiché par Assistant du serveur et cliquez si nécessaire sur Revenir pour modifier vos données. 11 Cliquez sur Enregistrer sous, puis sélectionnez Fiche de répertoire. 12 Pour chiffrer le fichier, sélectionnez « Enregistrer au format crypté », puis tapez une phrase secrète et confirmez-la. Avant qu’un enregistrement de répertoire chiffré soit utilisable par un serveur cible, vous devez fournir la phrase secrète. 13 Spécifiez le répertoire dans lequel vous souhaitez enregistrer la configuration, puis cliquez sur OK. À l’invite, saisissez les informations requises pour vous authentifier en tant qu’administrateur de domaine de répertoire. Les réglages sont enregistrés dans le répertoire dans AutoServerSetup. Les serveurs cibles recherchent les noms d’enregistrement dans l’ordre suivant : <adresse-MAC-du-serveur>(incluez les zéros au début, mais ignorez les deux-points ; par exemple, 0030654dbcef ). <adresse-IP-du-serveur> (par exemple, 10.0.0.4). <nom-DNS-partiel-du-serveur> (par exemple, monserveur). <numéro-de-série-matériel-ordinateur> (huit premiers caractères uniquement ; par exemple, ABCD1234). <nom-DNS-complet-du-serveur> (par exemple, monserveur.exemple.com). <adresse-IP-partielle-du-serveur> (par exemple, 10.0 correspond à 10.0.0.4 et à 10.0.1.2). generic (enregistrement que tout serveur reconnaîtra, utilisé pour configurer les serveurs qui nécessitent les mêmes valeurs de configuration). 14 Assurez-vous que l’infrastructure correcte est en place de façon à ce que les serveurs devant employer la fiche de configuration stockée puissent la retrouver. Le serveur de répertoire stockant la fiche de configuration doit être en cours d’exécution. Le protocole DHCP doit être configuré pour identifier le serveur de répertoire auprès des serveurs cibles via l’Option 95. De plus, il faudra éventuellement configurer le DNS si vos données de répertoire comportent des noms DNS. Chapitre 6 Configuration initiale du serveur 141 Pour plus d’informations sur l’infrastructure, consultez la section « Définition de l’infrastructure minimale pour la configuration du serveur » à la page 31. Administration d’Open Directory et Administration des services de réseau fournissent des instructions de configuration des répertoires et de DHCP. 15 Si les données de configuration sont chiffrées, rendez la phrase secrète accessible aux serveurs cibles. Vous pouvez fournir la phrase secrète de manière interactive, à l’aide de l’Assistant du serveur ou dans un fichier texte. Pour fournir la phrase secrète dans un fichier, suivez l’étape 16. Pour la fournir de manière interactive, passez à l’étape 17. 16 Pour fournir une phrase secrète dans un fichier, créez un fichier texte, tapez la phrase secrète du fichier de configuration enregistré sur la première ligne, puis enregistrez le fichier sous l’un des noms suivants : Les serveurs cibles recherchent ces noms dans l’ordre suivant : <adresse-MAC-du-serveur>.pass (incluez les zéros au début, mais ignorez les deuxpoints ; par exemple, 0030654dbcef.pass). <adresse-IP-du-serveur>.pass (par exemple, 10.0.0.4.pass). <nom-DNS-partiel-du-serveur>.pass (par exemple, monserveur.pass). <numéro-de-série-matériel-ordinateur>.pass (huit premiers caractères uniquement ; par exemple, ABCD1234.pass). <nom-DNS-complet-du-serveur>.pass (par exemple, monserveur.exemple.com.pass). <adresse-IP-partielle-du-serveur>.pass (par exemple, 10.0.pass correspond à 10.0.0.4 et à 10.0.1.2). generic.pass (un fichier que tout serveur reconnaîtra). Placez le fichier de phrase secrète sur un volume monté localement sur le serveur cible, dans /Volumes/*/Auto Server Setup/<fichier-phrase-secrète>, où * correspond à tout périphérique monté sous le répertoire /Volumes. 17 Pour fournir de manière interactive une phrase secrète, utilisez l’Assistant du serveur sur un ordinateur administrateur capable de se connecter au serveur cible. a Dans la sous-fenêtre Bienvenue ou Destination, choisissez Fichier > Fournir la phrase secrète. b Dans la zone de dialogue, tapez l’adresse IP, le mot de passe et la phrase secrète du serveur cible. c Cliquez sur Envoyer. 18 Si vous utilisez une fiche de configuration générique et que le numéro de série du serveur ne correspond pas à une licence de site, vous devez indiquer le numéro de série du serveur à l’aide d’Admin Serveur ou de la ligne de commande à l’issue de la configuration. 142 Chapitre 6 Configuration initiale du serveur Dans Admin Serveur, sélectionnez le serveur, cliquez sur Réglages, puis sur Général. Pour utiliser la ligne de commande, utilisez ssh dans l’application Terminal afin de vous connecter au serveur et saisissez la commande serversetup -setServerSerialNumber. Pour une description du système de données de configuration enregistrées dans un répertoire, consultez la section Administration d’Open Directory. Pour plus d’informations sur serversetup, consultez la section Administration de ligne de commande. Détermination de l’état des configurations Lorsque la configuration est terminée, le serveur redémarre et affiche la fenêtre d’ouverture de session. Si la configuration échoue, vous en serez informé de plusieurs façons. Utilisation de la sous-fenêtre Destination pour les informations d’état de configuration L’Assistant du serveur affiche les informations d’erreurs dans sa sous-fenêtre Destination. Pour y accéder, dans la sous-fenêtre Bienvenue, sélectionnez « Configurer un serveur distant » et cliquez sur Continuer. Si le serveur ne figure pas dans la liste, cliquez sur Ajouter. Sélectionnez le serveur et examinez les informations affichées. Vous pouvez enregistrer une liste de serveurs à contrôler dans la sous-fenêtre Destination, en choisissant Fichier > Enregistrer la liste de serveurs. Lorsque vous souhaitez surveiller l’état de ces serveurs, utilisez Fichier > Charger la liste de serveur. Gestion des échecs de configuration Lorsqu’une configuration de serveur échoue, un historique d’erreurs est créé dans /Système/Bibliothèque/ServerSetup/Configured/POR.err sur le serveur cible.Le contenu de cet historique peut être affiché et le fichier d’historique effacé sur un ordinateur administrateur distant. Double-cliquez sur l’icône d’erreur d’un serveur dans la sous-fenêtre Destination de l’Assistant du serveur. Si vous y êtes invité, fournissez le mot de passe prédéfini et cliquez sur Envoyer. Le contenu de l’historique est affiché et vous pouvez cliquer sur Supprimer pour effacer le fichier d’historique. La configuration ne peut pas être redémarrée tant que ce fichier n’a pas été effacé. Chapitre 6 Configuration initiale du serveur 143 Si la configuration échoue parce qu’un fichier de phrase secrète est introuvable lors de l’utilisation de données de configuration enregistrées dans un fichier ou une fiche de répertoire, vous pouvez :  Utiliser l’Assistant du serveur pour indiquer de manière interactive une phrase secrète. Dans la sous-fenêtre Destination, choisissez Fichier > Fournir la phrase secrète.  Indiquer la phrase secrète dans un fichier texte. Placez le fichier de phrase secrète sur un volume monté localement sur le serveur cible, dans /Volumes/*/Auto Server Setup/<fichier-phrase-secrète>, où * correspond à tout périphérique monté sous / Volumes. Un serveur cible recherche dans les volumes par ordre alphabétique des noms de périphériques. Si la configuration d’un serveur distant échoue pour une raison ou une autre, réinstallez le logiciel serveur et recommencez la configuration initiale. Si la configuration d’un serveur local échoue, redémarrez l’ordinateur, exécutez de nouveau Assistant du serveur, puis redémarrez la configuration. Vous pouvez également réinstaller le logiciel serveur. Gestion des avertissements de configuration Lorsque la configuration est terminée, mais qu’il existe une condition nécessitant votre attention, un historique d’avertissement est créé dans /Bibliothèque/Logs/ServerAssistant.POR.status sur le serveur cible. Cliquez sur le lien ServerAssistant.status sur le bureau du serveur cible afin d’ouvrir ce fichier. Voici quelques-uns des messages que vous pouvez rencontrer dans l’historique :  Le numéro de série du logiciel serveur n’est pas valide. Ouvrez Admin Serveur, sélectionnez le serveur dans la liste Serveurs, cliquez sur Réglages, puis sur Général. Tapez le numéro de série correct, puis cliquez sur Enregistrer.  Étant donné que ce serveur a été configuré avec un fichier ou un enregistrement de répertoire générique et que le numéro de série ne correspond pas à une licence de site, vous devez saisir le numéro de série du logiciel serveur à l’aide d’Admin Serveur. Ouvrez Admin Serveur, sélectionnez le serveur dans la liste Serveurs, cliquez sur Réglages, puis sur Général. Tapez le numéro de série correct, puis cliquez sur Enregistrer.  L’administrateur de serveur défini dans les données de configuration existe déjà sur le serveur que vous avez mis à niveau. Obtention d’informations d’état sur l’installation de la mise à niveau Lorsque vous effectuez une mise à niveau, des fichiers d’historique peuvent être enregistrés sur le serveur cible. Pour plus d’informations sur les historiques de mise à niveau, reportez-vous aux informations de mise à niveau dans Mise à niveau et migration. 144 Chapitre 6 Configuration initiale du serveur Configuration des services Après avoir défini une configuration avancée, vous devez configurer les services à l’aide d’Admin serveur et ajouter des utilisateurs et des groupes à l’aide de Gestionnaire de groupe de travail. Les sections suivantes abordent la configuration initiale de services individuels et vous indiquent où trouver des instructions pour personnaliser les services en fonction de vos besoins. Ajout de services à l’affichage Serveur Pour pouvoir configurer un service, vous devez l’ajouter à l’affichage des serveurs dans Admin Serveur. Par défaut, aucun service n’est affiché pour votre serveur. Au fur et à mesure que vous sélectionnez des services à administrer, les sous-fenêtres de configuration adéquates deviennent disponibles dans une liste sous le nom de votre ordinateur. La première fois que vous lancez Admin serveur et que vous vous connectez à un serveur nouvellement installé, vous êtes invité à sélectionner les services à installer et à configurer sur ce serveur. Les services que vous sélectionnez dans la liste sont affichés au fur et à mesure sous le nom d’hôte du serveur dans la liste des serveurs. Pour pouvoir être activé ou configuré, un service doit être ajouté à la liste des services administrés. Pour changer de services à administrer : 1 Ouvrez Admin Serveur. 2 Sélectionnez un serveur, cliquez sur le bouton Réglages dans la barre d’outils, puis cliquez sur l’onglet Services. 3 Cochez la case de chaque service à activer. Configuration d’Open Directory À moins que votre serveur ne doive être intégré au système de répertoire d’un autre fabricant ou que l’architecture de répertoire d’un serveur que vous mettez à niveau doive être immédiatement modifiée, vous pouvez commencer à utiliser immédiatement les répertoires que vous avez configurés pendant la configuration du serveur. Administration d’Open Directory fournit des instructions concernant tous les aspects de la configuration de l’authentification et des domaines Open Directory, y compris :  la configuration de l’accès d’un ordinateur client à des données de répertoire partagé ;  la réplique de répertoires LDAP et des informations d’authentification de maîtres Open Directory ;  l’intégration avec Active Directory et d’autres répertoires non Apple ;  la configuration de la signature unique ;  l’utilisation de Kerberos et d’autres techniques d’authentification. Chapitre 6 Configuration initiale du serveur 145 Configuration de la gestion des utilisateurs À moins d’utiliser un serveur exclusivement pour héberger du contenu Internet (comme des pages web) ou pour créer une grappe de calcul, vous serez probablement amené à configurer des comptes d’utilisateur en plus du ou des comptes d’administrateur créés lors de la configuration du serveur. Gestion des utilisateurs vous explique comment utiliser Gestionnaire de groupe de travail pour établir une connexion au répertoire, définir les réglages d’utilisateur, configurer des comptes de groupe et des listes d’ordinateurs, définir des préférences gérées ou importer des comptes. Pour configurer un compte utilisateur : 1 Ouvrez le Gestionnaire de groupe de travail. 2 Authentifiez-vous en tant qu’administrateur de répertoire auprès du répertoire. 3 Dans la partie supérieure de la fenêtre de l’application, cliquez sur le bouton Comptes pour sélectionner le répertoire auquel ajouter des utilisateurs. 4 Cliquez sur le bouton Nouvel utilisateur. 5 Spécifiez les réglages d’utilisateur dans les différentes sous-fenêtres. Vous pouvez configurer des comptes d’utilisateur en utilisant le Gestionnaire de groupe de travail pour importer les réglages à partir d’un fichier. Configuration des services de fichiers Lorsque vous activez les services de partage de fichiers, les utilisateurs peuvent partager des éléments dans les dossiers sélectionnés. Activez et configurez les services de fichiers et les points de partage à l’aide d’Admin Serveur. Dans les versions de Mac OS X Server antérieures à Leopard Server, les points de partage étaient créés à l’aide de Gestionnaire de groupe de travail. Depuis lors, cette fonctionnalité a été dévolue à Admin Serveur. Administration des services de fichier fournit des instructions de gestion des points de partage et de configuration du partage de fichiers avec tous les protocoles. Pour configurer le partage de fichiers : 1 Ouvrez Admin Serveur. 2 Sélectionnez un serveur, cliquez sur le bouton Réglages dans la barre d’outils, puis cliquez sur l’onglet Services. 3 Cochez la case appropriée pour chaque service de fichiers à activer. Pour partager des fichiers avec des ordinateurs Macintosh, activez le service de fichiers Apple (service AFP). Pour partager des fichiers avec des ordinateurs Windows, activez le service SMB. Pour fournir l’accès File Transfer Protocol (FTP), activez le service FTP. 146 Chapitre 6 Configuration initiale du serveur Pour un partage avec des ordinateurs UNIX, activez le service NFS. 4 Sélectionnez Partage de fichiers dans la barre d’outils. 5 Sélectionnez un volume ou un dossier à partager. 6 Sélectionnez « Partager cet élément » pour chaque dossier ou volume à partager. 7 Cliquez sur les autres onglets afin de spécifier des attributs pour le point de partage. Configuration du service d’impression Lorsque vous activez le service d’impression, les utilisateurs de serveurs peuvent partager des imprimantes réseau PostScript ou des imprimantes PostScript et non PostScript connectées directement au serveur. Une file d’attente est configurée automatiquement pour toute imprimante USB connectée au serveur. Aucune file d’imprimante n’est automatiquement configurée pour les imprimantes réseau, mais il est facile d’en ajouter. Pour configurer une file d’imprimante partagée : 1 Ouvrez Admin Serveur. 2 Sélectionnez un serveur, cliquez sur le bouton Réglages dans la barre d’outils, puis cliquez sur l’onglet Services. 3 Cochez la case Service d’impression. 4 Dans la liste située sous le serveur, sélectionnez Service d’impression. Si le service n’est pas en cours d’exécution, cliquez sur le bouton de démarrage du service. 5 Cliquez sur Files d’attente. 6 Cliquez sur le bouton Ajouter (+). 7 Choisissez un protocole de connexion, identifiez une imprimante, puis cliquez sur OK. Les utilisateurs d’ordinateurs Mac OS X peuvent à présent ajouter l’imprimante à l’aide de Configuration d’imprimante. Pour plus d’informations sur la configuration des services d’impression, consultez la section Administration du service d’impression. Chapitre 6 Configuration initiale du serveur 147 Configuration de service web Vous pouvez utiliser le serveur HTTP Apache fourni avec Mac OS X Server pour héberger des sites web d’utilisateurs ou de serveur. Si vous avez activé le service web dans Assistant du serveur, votre serveur est prêt à fournir des pages HTML à partir de dossiers du serveur et de dossiers d’utilisateurs.  Pour visualiser le site de serveur principal, ouvrez un navigateur web sur un ordinateur ayant accès au serveur et tapez l’adresse IP ou le nom de domaine du serveur.  Pour visualiser le site d’un utilisateur, ajoutez une barre oblique (/), un tilde (~) et le diminutif de l’utilisateur après l’adresse du serveur. Par exemple, tapez http://192.268.2.1/~utilisateur Pour activer le service web s’il n’est pas en cours d’exécution : 1 Si vous disposez des fichiers HTML de votre site principal, copiez-les dans le dossier Documents du répertoire /Bibliothèque/WebServer. Si les fichiers de votre site sont organisés en dossiers, copiez la structure des dossiers entière dans le dossier Documents. Dans le cas d’un site d’utilisateur, les fichiers sont placés dans le dossier Sites du dossier de départ de l’utilisateur. Assurez-vous que les fichiers et les dossiers de contenu web possèdent les autorisations et les options de propriétaire requises. Pour un accès web normal ou un accès WebDAV en lecture seule, les fichiers doivent pouvoir être lus par l’utilisateur www, et les dossiers (y compris l’ensemble des dossiers existants) doivent pouvoir être lus et interrogés par celui-ci. En outre, pour un accès WebDAV en lecture/écriture, l’utilisateur www doit pouvoir écrire dans les fichiers et dans le dossier immédiatement supérieur. Si vous ne disposez pas encore de vos fichiers HTML, vous pouvez toujours activer le service web pour voir comment il fonctionne à l’aide des pages de démarrage par défaut fournies avec Mac OS X Server. 2 Ouvrez Admin Serveur. 3 Sélectionnez un serveur, cliquez sur le bouton Réglages dans la barre d’outils, puis cliquez sur l’onglet Services. 4 Cochez la case du service web. 5 Dans la liste sous le serveur, cliquez sur le bouton du service web. 6 Si le service n’est pas en cours d’exécution, cliquez sur le bouton Démarrer le service dans la barre d’outils. Administration des technologies web décrit de nombreux aspects du service web et explique notamment comment configurer SSL sur un site, activer WebMail et utiliser WebDAV pour le partage de fichiers. 148 Chapitre 6 Configuration initiale du serveur Configuration du service de messagerie Pour que vos utilisateurs puissent bénéficier de la totalité du service de messagerie disponible, vous devez définir d’autres réglages dont la configuration dépasse le cadre de ce guide. Administration du service de messagerie fournit des instructions de configuration et de gestion d’un serveur de messagerie. Configuration de services réseau Si vous voulez qu’un serveur héberge l’un des services réseau suivants, recherchez les instructions de configuration correspondantes dans Administration des services de réseau :  service DHCP  DNS  Service de coupe-feu  NAT (Network Address Translation)  RADIUS  VPN  service d’horloge réseau Configuration de services d’image système et de services de mise à jour de logiciels Pour plus d’informations sur l’utilisation de NetBoot et de NetInstall afin de simplifier la gestion et l’installation de systèmes d’exploitation clients et d’autres logiciels, consultez la section Administration de Mise à jour de logiciels et d’Imagerie système. Il indique comment créer des images disque et configurer Mac OS X Server de façon que d’autres ordinateurs Macintosh puissent démarrer ou installer via le réseau, à partir de ces images. Le même guide décrit comment configurer le service de mise à jour de logiciels, lequel vous permet de personnaliser les mises à jour des logiciels Apple sur les ordinateurs clients. Pour activer NetBoot et NetInstall pour l’administration : 1 Ouvrez Admin Serveur. 2 Sélectionnez un serveur, cliquez sur le bouton Réglages dans la barre d’outils, puis cliquez sur l’onglet Services. 3 Cochez la case du service NetBoot. Chapitre 6 Configuration initiale du serveur 149 Configuration de la diffusion de données Pour en savoir plus sur la manière d’administrer un serveur de diffusion en continu de flux de données en temps réel ou à la demande vers des ordinateurs clients, consultez la section Administration de QuickTime Streaming et Broadcasting. Pour activer le service QuickTime Streaming pour l’administration : 1 Ouvrez Admin Serveur. 2 Sélectionnez un serveur, cliquez sur le bouton Réglages dans la barre d’outils, puis cliquez sur l’onglet Services. 3 Cochez la case du service QuickTime Streaming. Configuration de Podcast Producer Pour plus d’informations sur la gestion d’un serveur de production de podcasts fournissant des données de syndication à des ordinateurs clients, consultez la section Administration de Podcast Producer. Pour activer le service Podcast Producer pour l’administration : 1 Ouvrez Admin Serveur. 2 Sélectionnez un serveur, cliquez sur le bouton Réglages dans la barre d’outils, puis cliquez sur l’onglet Services. 3 Cochez la case du service Podcast Producer. Configuration du service WebObjects Si vous souhaitez développer des applications WebObjects, reportez-vous à la bibliothèque de référence WebObjects, disponible sur le site developer.apple.com/referencelibrary/WebObjects/ (en anglais). Si vous souhaitez configurer un serveur d’applications WebObjects, reportez-vous à la section Déploiement de la bibliothèque de référence WebObjects. Administration des technologies web fournit des informations supplémentaires sur le service WebObject. Pour activer le service WebObject pour l’administration : 1 Ouvrez Admin Serveur. 2 Sélectionnez un serveur, cliquez sur le bouton Réglages dans la barre d’outils, puis cliquez sur l’onglet Services. 3 Cochez la case du service WebObject. 150 Chapitre 6 Configuration initiale du serveur Configuration du service iChat Outre les services déjà décrits permettant aux utilisateurs de communiquer (par exemple, les services de messagerie et de fichiers, ou encore les comptes et préférences de groupe), vous pouvez configurer un serveur iChat. La configuration du service iChat à l’aide d’Admin Serveur est décrite dans Administration du service iChat. Pour activer le service iChat pour l’administration : 1 Ouvrez Admin Serveur. 2 Sélectionnez un serveur, cliquez sur le bouton Réglages dans la barre d’outils, puis cliquez sur l’onglet Services. 3 Cochez la case du service iChat. Configuration du service iCal En activant le service iCal, vous pouvez partager et modifier des calendriers pour les utilisateurs et les groupes. Une application de calendrier compatible avec CalDAV permet de partager, de visualiser et de modifier des calendriers avec d’autres personnes. La configuration du service iCal à l’aide d’Admin Serveur est décrite dans Administration du service iCal. Pour activer le service iCal pour l’administration : 1 Ouvrez Admin Serveur. 2 Sélectionnez un serveur, cliquez sur le bouton Réglages dans la barre d’outils, puis cliquez sur l’onglet Services. 3 Cochez la case du service iCal. Chapitre 6 Configuration initiale du serveur 151 7 Gestion 7 Ce chapitre explique comment effectuer la gestion continue de vos systèmes, notamment en configurant des ordinateurs administrateurs, en désignant des administrateurs et en maintenant la durée de fonctionnement des services. Il comprend les sections suivantes :  « Ports utilisés pour l’administration » à la page 154.  « Ports ouverts par défaut » à la page 154.  « Ordinateurs permettant d’administrer un serveur » à la page 154.  « Utilisation des outils d’administration » à la page 156.  « Ouverture de l’application Admin Serveur et authentification » à la page 157.  « Ajout et suppression de serveurs dans Admin Serveur » à la page 157.  « Regroupement manuel de serveurs » à la page 158.  « Regroupement de serveurs à l’aide de groupes intelligents » à la page 159.  « Utilisation des réglages d’un serveur spécifique » à la page 159.  « Administration des services » à la page 164.  « Autorisations d’administration par niveaux » à la page 168.  « Notions élémentaires sur Gestionnaire de groupe de travail » à la page 170.  « Administration de comptes » à la page 171.  « Gestion d’ordinateurs de versions antérieures à la version 10.5 à partir de serveurs de version 10.5 » à la page 175.  « Assistants de configuration des services » à la page 175.  « Fichiers de données et de configuration critiques » à la page 176.  « Amélioration de la disponibilité des services » à la page 180.  « Configuration du redémarrage automatique de votre serveur » à la page 182.  « Équilibrage de la charge » à la page 190.  « Vue d’ensemble des démons » à la page 191. 153 Ports utilisés pour l’administration Les ports ci-dessous doivent être activés pour assurer le fonctionnement des applications d’administration Apple. Numéro et type de port Outil utilisé 22 TCP Shell de ligne de commande SSH 311 TCP Admin Serveur (avec SSL) 625 TCP Gestionnaire de groupe de travail 389, 686 TCP Répertoire 80 TCP Gestion de QuickTime Streaming 4111 TCP Xgrid Admin En outre, d’autres ports doivent être activés pour chaque service à exécuter sur votre serveur. Pour un guide de référence sur les ports, consultez la section Administration des services de réseau et le manuel du service approprié. Ports ouverts par défaut Après l’installation, le coupe-feu est désactivé par défaut en mode de serveur avancé, ce qui signifie que tous les ports sont ouverts. Lorsque le coupe-feu est activé, tous les ports sont bloqués sauf ceux de la liste ci-dessous pour toutes les adresses IP d’origine : Numéro et type de port Service 22 TCP Shell de ligne de commande SSH 311 TCP Admin Serveur (avec SSL) 626 UDP Prise en charge du numéro de série 625 TCP Format de répertoire distant ICMP (entrée et sortie) ping standard 53 UDP Résolution de nom DNS Ordinateurs permettant d’administrer un serveur Pour administrer un serveur localement au moyen des applications d’administration graphiques (dans /Applications/Server/), ouvrez une session sur le serveur en tant qu’administrateur, puis démarrez l’application. Pour administrer un serveur distant, ouvrez les applications sur un ordinateur administrateur. Un ordinateur administrateur est un ordinateur Mac OS X Server ou Mac OS X 10.5 ou ultérieur quelconque, sur lequel les outils d’administration ont été installés à partir du CD Mac OS X Server Admin Tools. Consultez la section « Configuration d’un ordinateur administrateur » à la page 155. 154 Chapitre 7 Gestion Vous pouvez exécuter les outils de ligne de commande à partir de l’application Terminal (dans le répertoire /Applications/Utilitaires/) et sur n’importe quel ordinateur Mac OS X Server ou Mac OS X. Vous pouvez également exécuter les utilitaires de ligne de commande depuis un poste de travail UNIX. Configuration d’un ordinateur administrateur Un ordinateur administrateur est un ordinateur équipé de Mac OS X ou Mac OS X Server 10.5 ou ultérieur, qui vous permet d’administrer des serveurs distants. Dans l’illustration ci-dessous, les flèches vont des ordinateurs administrateurs vers les serveurs qu’ils permettent d’administrer. Ordinateur administrateur Mac OS X Serveurs Mac OS X Une fois que vous avez installé et configuré un ordinateur Mac OS X Server doté d’un moniteur, d’un clavier et d’un lecteur optique, il constitue un ordinateur administrateur. Pour transformer un ordinateur équipé de Mac OS X en ordinateur administrateur, vous devez installer des logiciels supplémentaires. Pour activer l’administration à distance de Mac OS X Server à partir d’un ordinateur Mac OS X : 1 Assurez-vous que l’ordinateur Mac OS X est doté de Mac OS X version 10.5 ou ultérieure, et d’au moins 512 Mo de mémoire RAM et 1 Go d’espace disque inutilisé. 2 Insérez le CD Mac OS X Server Admin Tools. 3 Ouvrez le dossier du programme d’installation. 4 Démarrez le programme d’installation (ServerAdministrationSoftware.mpkg) et suivez les instructions à l’écran. Administration au moyen d’un ordinateur non Mac OS X Vous pouvez utiliser un ordinateur non Mac OS X prenant en charge SSH (comme un poste de travail UNIX) pour administrer Mac OS X Server à l’aide des utilitaires de ligne de commande. Pour plus d’informations, consultez la section Administration de ligne de commande. Chapitre 7 Gestion 155 Vous pouvez également utiliser un ordinateur capable d’exécuter un visualiseur VNC pour administrer Mac OS X Server. L’utilisation de VNC pour administrer le serveur est similaire à l’utilisation locale du clavier, de la souris et du moniteur. Pour activer un serveur VNC sur l’ordinateur Mac OS X Server, exécutez le partage d’écran dans la sous-fenêtre Partage des Préférences Système. Utilisation des outils d’administration Les informations relatives à chaque outil d’administration sont disponibles aux pages indiquées dans le tableau ci-dessous. Utilisez cette application ou cet outil Pour Consultez Programme d’installation Installer le logiciel serveur ou mettre à niveau la version 10.2 ou 10.3 page 85 Assistant du serveur Configurer un serveur en version 10.5 page 123 Gestionnaire de groupe de travail Administrer des comptes et leurs préférences gérées. page 170 Admin Serveur Configurer et surveiller des services et l’accès administrateur, configurer des points de partage. Configurer et administrer la diffusion en continu de données QuickTime page 159 page 42 Outils d’image système Gérer des images de disque NetBoot et page 53 NetInstall. Contrôle de serveur Contrôler l’équipement Xserve. page 195 QTSS Publisher Gérer les données et les préparer pour la diffusion en continu ou le téléchargement progressif. page 54 Apple Remote Desktop (facultatif) Surveiller et contrôler d’autres ordinateurs Macintosh. page 54 Utilitaires de ligne de commande Administrer un serveur au moyen d’un shell de commande UNIX. page 54 Xgrid Admin Surveiller des contrôleurs, des grilles et des tâches Xgrid localement ou à distance. page 55 L’application Admin Serveur vous permet d’administrer des services sur un ou plusieurs ordinateurs Mac OS X Server. Admin Serveur vous permet également de spécifier des réglages qui prennent en charge plusieurs services, tels que la création et la gestion de certificats SSL, ainsi que la définition des utilisateurs et groupes autorisés à accéder aux services. 156 Chapitre 7 Gestion Ouverture de l’application Admin Serveur et authentification Admin Serveur est installé dans /Applications/Server/. Vous pouvez ouvrir Admin Serveur dans le Finder ou en cliquant sur l’icône correspondante dans le Dock ou sur le bouton Admin dans la barre d’outils de Gestionnaire de groupe de travail. Pour sélectionner un serveur à utiliser, tapez son adresse IP ou son nom DNS dans la zone de dialogue d’ouverture de session ou cliquez sur Parcourir pour le choisir dans une liste de serveurs. Tapez le nom d’utilisateur et le mot de passe d’un administrateur de serveur, puis cliquez sur Se connecter. Ajout et suppression de serveurs dans Admin Serveur Les serveurs que vous pouvez administrer avec Admin Serveur apparaissent dans la liste Serveurs, sur le côté gauche de la fenêtre de l’application. Vous pouvez ajouter un serveur dans la liste Serveurs et ouvrir une session sur ce serveur en procédant de deux manières différentes :  Cliquez sur le bouton Ajouter (+) dans la barre d’action inférieure et choisissez Ajouter un serveur.  Choisissez Serveur > Ajouter un serveur dans la barre de menus. Lors de la prochaine ouverture d’Admin Serveur, tout ordinateur ajouté ici sera affiché dans la liste. Pour modifier l’ordre des serveurs dans la liste, glissez-les à la nouvelle position de votre choix. Chapitre 7 Gestion 157 Vous pouvez supprimer un serveur de la liste Serveurs de façon similaire. Sélectionnez tout d’abord le serveur à supprimer, puis effectuez l’une des actions suivantes :  Cliquez sur le bouton Effectuer l’action dans la barre d’action inférieure et choisissez Se déconnecter, puis Serveur distant.  Choisissez Serveur > Se déconnecter, puis Serveur > Serveur distant dans la barre des menus. Si un serveur de la liste Serveurs est affiché en gris, double-cliquez sur le serveur ou cliquez sur le bouton Se connecter dans la barre d’outils afin d’ouvrir une nouvelle session. Sélectionnez l’option « Mémoriser ce mot de passe dans mon trousseau » lorsque vous ouvrez une session pour activer la reconnexion automatique à la prochaine ouverture d’Admin Serveur. Regroupement manuel de serveurs Admin Serveur affiche les ordinateurs par groupes dans la section Liste des serveurs de la fenêtre de l’application. La liste par défaut des serveurs s’appelle Tous les serveurs. Il s’agit de la liste de tous les ordinateurs administrés possibles que vous avez ajoutés et auprès desquels vous êtes authentifiés. Vous pouvez créer d’autres groupes pour organiser à votre gré les ordinateurs du réseau. Les groupes de serveurs possèdent les caractéristiques suivantes :  Vous pouvez créer autant de listes que vous le souhaitez.  Les serveurs peuvent figurer dans plusieurs listes.  Les groupes peuvent être constitués selon n’importe quel schéma d’organisation imaginable : géographique, fonctionnel, matériel, voire esthétique.  Vous pouvez cliquer sur un nom de groupe pour afficher une vue d’ensemble de tous les serveurs du groupe. Vous pouvez partir de la liste Tous les serveurs pour définir des groupes de serveurs ciblés plus spécifiques. Pour ce faire, commencez par créer des listes vides, puis ajoutezy ultérieurement des serveurs figurant dans la liste Tous les serveurs. Pour créer un groupe de serveurs : 1 Cliquez sur le bouton Ajouter (+) sous la liste Serveur dans le bas de la fenêtre Admin Serveur. 2 Sélectionnez Ajouter un groupe, puis donnez un nom au groupe. Pour renommer un groupe, cliquez sur son nom, puis immobilisez le pointeur de la souris quelques secondes au-dessus du nom. Ce dernier devrait alors devenir modifiable. 3 Faites glisser les serveurs du groupe Tous les serveurs vers le nouveau groupe. 158 Chapitre 7 Gestion Regroupement de serveurs à l’aide de groupes intelligents Admin Serveur affiche les ordinateurs par groupes dans la section Liste des serveurs de la fenêtre de l’application. La liste par défaut des serveurs s’appelle Tous les serveurs. Il s’agit d’une liste de tous les ordinateurs administrés possibles que vous avez ajoutés et auxquels vous êtes authentifiés. Il est possible de créer des listes de serveurs qui se remplissent automatiquement en fonction de critères personnalisés. Une fois que vous avez créé un groupe intelligent, tout serveur ajouté à la liste Tous les serveurs (ou à une autre liste spécifiée) correspondant aux critères est ajouté de façon dynamique au groupe intelligent. Vous pouvez vous baser sur certains ou sur tous les critères suivants :  Services visibles  Services en cours d’exécution  Débit réseau  Utilisation du CPU  Adresse IP  Version du système d’exploitation Pour créer un groupe de serveurs intelligent : 1 Cliquez sur le bouton Ajouter (+) sous la liste Serveur dans le bas de la fenêtre Admin Serveur. 2 Sélectionnez « Ajouter un groupe intelligent ». 3 Attribuez un nom au groupe intelligent. 4 Définissez les critères d’affichage des serveurs dans la liste, puis cliquez sur OK. Le groupe s’affiche dans la liste Serveur. Utilisation des réglages d’un serveur spécifique Pour utiliser les réglages de serveur généraux, sélectionnez un serveur dans la liste Serveurs. La barre d’outils comporte alors un certain nombre de boutons qui affichent des options de configuration ou des onglets d’options de configuration. Chapitre 7 Gestion 159 L’illustration ci-dessous présente la sous-fenêtre Réglages d’un serveur : Le tableau suivant contient un descriptif résumé de chaque bouton : Bouton de barre d’outils Affichage Aperçu Informations sur le matériel, les logiciels, les services et l’état du serveur. Historiques Historique système et historique des systèmes de sécurité. Graphiques Historique graphique de l’activité du serveur. Partage Options de configuration pour la définition des dossiers de partage de fichiers, des points de partage et du montage automatique. Màj du serveur Mise à jour de logiciels disponibles auprès d’Apple pour mettre à jour les logiciels du serveur. Certificats Certificats de sécurité du serveur. Réglages Réglages réseau du serveur, numéro de série du logiciel serveur, contrôles d’accès aux services et autres informations. Un clic sur Réglages vous donne accès aux sous-fenêtres ci-dessous :  Sous-fenêtre Général : cliquez sur Général pour utiliser le numéro de série du serveur ou activer la prise en charge du protocole SNMP, NTP ou SSH, de la Gestion à distance et de la fonction de synchronisation des dossiers de départ mobiles côté serveur. 160 Chapitre 7 Gestion SNMP est l’abréviation de Simple Network Management Protocol, une norme qui facilite la surveillance et la gestion de l’ordinateur. Le serveur utilise le projet open source net-snmp pour son implémentation de SNMP. Bien qu’aucun des outils d’administration du serveur n’utilise ou ne nécessite SNMP, son activation permet la surveillance et la gestion du serveur à partir de logiciels SNMP tiers, tels que HP OpenView. Utilisez la case NTP (Network Time Protocol) pour activer le service NTP. Pour en savoir plus sur le protocole NTP, consultez la section Administration des services de réseau. SSH est l’abréviation de Secure Shell. Le serveur utilise le projet open-source OpenSSH pour son implémentation de SSH. Lorsque vous activez SSH, vous pouvez utiliser des outils de ligne de commande pour administrer le serveur à distance. SSH est également utilisé pour d’autres tâches d’administration à distance de serveurs, telles que la configuration initiale du serveur, la gestion du partage, ou encore l’affichage des chemins du système de fichiers et du contenu des dossiers dans les outils d’administration du serveur. SSH doit être activé lors de la création d’une réplique Open Directory, mais il peut ensuite être désactivé. Gestion à distance permet d’administrer le serveur à l’aide d’Apple Remote Desktop. Vous devez activer et désactiver l’administration d’Apple Remote Desktop dans cette sous-fenêtre plutôt que dans la sous-fenêtre Partage des Préférences Système. Le suivi des fichiers côté serveur pour la synchronisation des dossiers de départ mobiles est une fonction des dossiers de départ mobiles. Consultez la section Gestion des utilisateurs pour en savoir plus sur l’activation de cette fonction.  Sous-fenêtre Réseau : cliquez sur Réseau pour visualiser ou modifier le nom d’ordinateur ou le nom d’hôte local du serveur ou pour visualiser la liste des interfaces réseau de ce serveur et leurs informations d’adressage. Le nom d’ordinateur est le nom qu’un utilisateur voit lors de l’exploration du réseau (/Réseau). Le nom d’hôte local est généralement dérivé du nom d’ordinateur, mais il peut être modifié. Le tableau des interfaces réseau indique le nom de l’interface, le type d’adressage (IPv4 ou IPv6), l’adresse IP et le nom DNS trouvés par la recherche inversée de l’adresse.  Sous-fenêtre Date et heure : cliquez sur Date et heure pour régler la date et l’heure du serveur, la préférence de source NTP et le fuseau horaire. Administration des services de réseau fournit des informations supplémentaires sur le protocole NTP.  Sous-fenêtre Notifications : cliquez sur Notifications pour configurer les notifications automatiques d’événements Mac OS X Server. Vous devez indiquer l’adresse électronique et le déclencheur de notifications dans cette sous-fenêtre. « Notification dans Admin Serveur » à la page 198 fournit des informations plus détaillées sur les notifications. Chapitre 7 Gestion 161  Sous-fenêtre Accès : cliquez sur Accès pour contrôler les accès utilisateur à certains services et pour attribuer des privilèges d’administration aux utilisateurs. Lorsque vous sélectionnez l’onglet Services, vous configurez l’accès aux services pour les utilisateurs et les groupes (listes ACL des services). Vous pouvez configurer le même accès à tous les services, ou bien sélectionner un service et personnaliser ses réglages d’accès. Les contrôles d’accès sont simples. Choisissez entre autoriser tous les utilisateurs et groupes à utiliser les services, ou autoriser uniquement certains utilisateurs et groupes à utiliser les services. L’onglet Administrateurs vous permet d’accorder aux utilisateurs des privilèges d’administration ou de contrôle des services du serveur. « Définition des autorisations d’administration » à la page 169 fournit des informations plus détaillées sur ces réglages.  Sous-fenêtre Services : cliquez sur Services pour afficher ou masquer des services de ce serveur dans Admin Serveur. Modification de l’adresse IP d’un serveur Vous pouvez modifier l’adresse IP d’un serveur à partir de la sous-fenêtre Réseau des Préférences Système ou à l’aide de l’outil networksetup. est invoqué dès qu’un changement d’adresse réseau est détecté, indépendamment des circonstances de la modification. L’outil changeip parcourt tous les fichiers de configuration et les emplacements de stockage de l’adresse IP du serveur pour effectuer les remplacements nécessaires. L’adresse IP du serveur peut être modifiée sans qu’il soit nécessaire d’invoquer changeip à partir de la ligne de commande. changeip Modification du nom d’hôte du serveur après la configuration Lorsque vous procédez à la configuration initiale du serveur dans le cadre d’une nouvelle installation, Assistant du serveur définit la valeur du nom d’hôte en affectant la valeur AUTOMATIC au paramètre de nom d’hôte dans /etc/hostname. Avec ce réglage, le nom d’hôte du serveur est le premier nom qui est vrai dans cette liste :  Le nom fourni par le serveur DHCP ou BootP pour l’adresse IP principale  Le premier nom renvoyé par une requête DNS inversé (adresse-vers-nom) pour l’adresse IP principale  Le nom d’hôte local  Le nom « localhost » Si vous souhaitez modifier le nom d’hôte après la configuration initiale, n’utilisez pas la sous-fenêtre Partage des Préférences Système pour modifier le nom d’ordinateur du serveur ; utilisez l’outil de ligne de commande changeip. Pour plus de détails, consultez la section Administration de ligne de commande ou la page man de changeip. 162 Chapitre 7 Gestion Modification du type de configuration du serveur Après avoir installé un serveur en configuration Standard ou Groupe de travail, il est possible de transformer cette configuration en configuration Avancée. Tous les réglages précédemment définis dans les Préférences Système sont conservés dans la nouvelle configuration. Aucun approvisionnement automatique des services de l’utilisateur ne se produit à nouveau. Le coupe-feu Préférences du serveur, distinct du coupe-feu Admin Serveur, est désactivé par la conversion de la configuration du serveur en configuration Avancée. Vous devrez activer et configurer le coupe-feu via Admin Serveur. Une fois la conversion effectuée, l’administration du serveur se fait à l’aide d’Admin Serveur et d’autres outils associés. Préférences Système ne peut être utilisé ; la conversion est irréversible et n’a lieu qu’une fois. Pour modifier la configuration de votre serveur : 1 Configurez un ordinateur d’administration, doté d’Admin Serveur, de Gestionnaire de groupe de travail et d’autres outils d’administration. Pour obtenir des instructions spécifiques, consultez la section « Configuration d’un ordinateur administrateur » à la page 155. 2 Lancez Admin Serveur et ouvrez une session sur le serveur à convertir. Pour plus d’informations sur l’ouverture de session, consultez la section « Ouverture de l’application Admin Serveur et authentification » à la page 157. Une zone de dialogue apparaît pour vous demander si vous souhaitez convertir le mode de configuration du serveur en mode Avancé. 3 Cliquez sur « Convertir à Avancé ». Le serveur n’est plus en mode de configuration Standard ou Groupe de travail. Chapitre 7 Gestion 163 Administration des services Pour utiliser un service particulier sur un serveur sélectionné dans la liste Serveurs d’Admin Serveur, cliquez sur le service dans la liste affichée sous le serveur. Vous pouvez afficher les informations relatives à un service (historiques, graphiques, etc.) et gérer ses réglages. Voici un exemple de sous-fenêtre de configuration de service dans Admin Serveur. Pour démarrer ou arrêter un service, sélectionnez-le, puis cliquez sur Démarrer <nom du service> ou sur Arrêter <nom du service> dans la barre d’outils inférieure. Ajout et suppression de services dans Admin Serveur Admin Serveur n’affiche que les services que vous administrez et masque toutes les autres sous-fenêtres de configuration de service tant qu’elles ne sont pas nécessaires. Pour pouvoir administrer un service, vous devez l’activer pour un serveur spécifique. Il apparaît alors sous le nom du serveur dans la liste principale Serveur. Pour ajouter ou supprimer un service dans Admin Serveur : 1 Sélectionnez le serveur destiné à héberger le service souhaité. 2 Cliquez sur le bouton Réglages dans la barre d’outils. 3 Cliquez sur Services. 4 Sélectionnez le service souhaité, puis cliquez sur Enregistrer. Le service, prêt pour la configuration, est alors affiché dans la liste. 164 Chapitre 7 Gestion Importation et exportation des réglages de service Pour copier des réglages de service d’un serveur vers un autre ou pour les enregistrer dans un fichier de liste de propriétés en vue de leur réutilisation, exécutez la commande d’exportation des réglages de service dans Admin Serveur. Pour exporter des réglages : 1 Sélectionnez le serveur souhaité. 2 Choisissez Serveur > Exporter > Réglages de service dans la barre des menus. 3 Sélectionnez les services dont vous souhaitez copier les réglages. 4 Cliquez sur Enregistrer. Le fichier créé contient toutes les informations de configuration de service sous la forme d’un document XML plist. Pour importer des réglages : 1 Sélectionnez le serveur cible destiné à recevoir les réglages. 2 Choisissez Serveur > Importer > Réglages de service dans la barre des menus. 3 Recherchez le fichier de service enregistré et sélectionnez-le. Cette fonction ne reconnaît que les documents XML plist, comme celui qui a été généré lors de l’exportation des réglages. 4 Cliquez sur Ouvrir. Contrôle de l’accès aux services Vous pouvez utiliser Admin Serveur pour configurer les utilisateurs et groupes qui peuvent utiliser les services hébergés par un serveur. Vous devez définir l’accès aux services pour les utilisateurs et les groupes (SACL). Vous pouvez configurer le même accès à tous les services, ou bien sélectionner un service et personnaliser ses réglages d’accès. Les contrôles d’accès sont simples. Choisissez entre autoriser tous les utilisateurs et groupes à utiliser les services, ou autoriser uniquement certains utilisateurs et groupes à utiliser les services. Chapitre 7 Gestion 165 L’illustration suivant représente la sous-fenêtre SACL dans Admin Serveur : Sélectionnez un serveur dans la liste Serveurs, cliquez sur Réglages, sur Accès, puis sur Services. Vous pouvez spécifier séparément les contrôles d’accès des services individuels, ou définir un ensemble de contrôles qui s’appliquent à tous les services hébergés par le serveur. Utilisation de SSL pour l’administration à distance des serveurs Vous pouvez définir le niveau de sécurité des communications entre Admin Serveur et les serveurs distants en choisissant Admin Serveur > Préférences. Par défaut, Admin Serveur considère que toutes les communications établies avec des serveurs distants sont chiffrées par SSL. Cette option utilise un certificat auto-signé de 128 bits installé dans le répertoire /etc/servermgrd/ssl.crt à l’installation du serveur. Les communications utilisent HTTPS (port 311). Si cette option n’est pas possible, le protocole HTTP (port 687) est utilisé et du texte clair est échangé entre Admin Serveur et le serveur distant. Pour renforcer la sécurité, cochez également la case « Exiger une signature numérique valide (SSL) ».L’option « Exiger une signature numérique valide (SSL) » est désactivée par défaut. Elle utilise un certificat SSL installé sur un serveur distant afin de garantir que le serveur distant est un serveur valide. 166 Chapitre 7 Gestion Avant d’activer cette option, suivez les instructions décrites dans « Demande de certificat auprès d’une autorité de certificat », relatives à la création d’une demande de signature de certificat (CSR, Certificate Signing Request), l’obtention d’un certificat SSL auprès d’une autorité de certification et l’installation de ce certificat sur chaque serveur distant. Au lieu de placer les fichiers dans le répertoire /etc/httpd/, stockez-les dans /etc/servermgrd/. Vous pouvez également générer un certificat avec signature automatique et l’installer sur le serveur distant. Vous pouvez utiliser Admin Serveur pour configurer et gérer les certificats SSL, autosignés ou émis, utilisés par le service de messagerie, le service web, le service Open Directory et d’autres services qui les prennent en charge. « Gestionnaire de certificats dans Admin Serveur » à la page 68 fournit des instructions d’utilisation d’Admin Serveur pour créer, organiser et utiliser des certificats de sécurité pour les services compatibles SSL. Les guides d’administration des services individuels décrivent comment configurer des services spécifiques pour l’utilisation de SSL. Si vous souhaitez définir des niveaux d’authentification SSL supérieurs, consultez les informations disponibles sur le site www.modssl.org. Gestion du partage Pour utiliser des points de partage et des listes de contrôle d’accès, cliquez sur l’icône Partage dans la barre d’outils d’Admin Serveur. Pour en savoir plus, consultez la section Administration des services de fichier. Chapitre 7 Gestion 167 L’illustration ci-dessous représente la sous-fenêtre de configuration Partage de fichiers dans Admin Serveur. Autorisations d’administration par niveaux Les versions précédentes de Mac OS X Server comportaient deux classes d’utilisateurs : les administrateurs et tous les autres utilisateurs. Les administrateurs pouvaient modifier les réglages de n’importe quel service ou les données de répertoire ainsi que les mots de passe et les politiques de mots de passe. Dans Mac OS X Server 10.5, vous pouvez désormais accorder à des utilisateurs et à des groupes certaines autorisations administratives sans les ajouter au groupe « admin » UNIX (c’est-à-dire sans en faire des administrateurs). Il existe deux niveaux d’autorisation :  Administrer : ce niveau d’autorisation est analogue à celui qui est attribué aux membres du groupe admin UNIX. Vous êtes autorisé à apporter n’importe quelle modification à un serveur ou à un service désigné (et à lui seul).  Contrôler : ce niveau d’autorisation permet de visualiser les sous-fenêtres Aperçu, les sous-fenêtres Historique et d’autres sous-fenêtres d’informations dans Admin Serveur, ainsi que les données d’état général du serveur dans les listes d’état des serveurs. Vous n’avez accès à aucun réglage de service enregistré. 168 Chapitre 7 Gestion Tout utilisateur ou groupe peut recevoir ces autorisations pour tous les services ou pour certains services sélectionnés. Les autorisations sont stockées par serveur. Les seuls utilisateurs autorisés à modifier la liste d’accès d’administration par niveaux sont les utilisateurs appartenant réellement au groupe admin UNIX. L’application Admin Serveur procédera à l’actualisation nécessaire pour indiquer quelles sont les opérations possibles en fonction des autorisations d’un utilisateur. Ainsi, certains services sont masqués ou leur sous-fenêtre Réglages est estompée si vous ne disposez que d’une autorisation de contrôle pour ces services. Comme cette fonctionnalité est appliquée côté serveur, les autorisations ont également une incidence sur l’utilisation des outils de ligne de commande serveradmin, dscl, dsimport et pwpolicy, car tous ils sont tous limités aux autorisations configurées pour l’administrateur. Définition des autorisations d’administration Vous pouvez décider si un utilisateur ou un groupe peut contrôler ou administrer un serveur ou un service sans lui attribuer l’ensemble des privilèges d’un administrateur UNIX. L’affectation d’autorisations effectives à des utilisateurs crée une administration par niveaux dans laquelle le nombre de tâches d’administration affectées à certains utilisateurs est limité. Pour affecter des autorisations : 1 Ouvrez Admin Serveur. 2 Sélectionnez un serveur, cliquez sur le bouton Réglages dans la barre d’outils, puis cliquez sur l’onglet Accès. 3 Cliquez sur l’onglet Administrateurs. 4 Indiquez si les autorisations d’administration doivent s’appliquer à tous les services ou à certains services du serveur. 5 Si vous choisissez de définir des autorisations par service, sélectionnez la case appropriée pour chaque service à activer. Si vous définissez des autorisations par service, assurez-vous que les administrateurs possèdent un accès à tous les services actifs du serveur. 6 Cliquez sur le bouton Ajouter (+) pour ajouter un utilisateur ou un groupe à partir de la fenêtre des utilisateurs et des groupes. Pour supprimer des autorisations d’administration, sélectionnez un utilisateur ou un groupe, puis cliquez sur le bouton Supprimer (-). 7 Pour chaque utilisateur ou groupe, sélectionnez un niveau d’autorisations en regard de son nom. Vous pouvez choisir Contrôler ou Administrer. Chapitre 7 Gestion 169 Les capacités d’administration du serveur par Admin Serveur sont limitées par ce réglage quand le serveur est ajouté à la liste Serveur. Notions élémentaires sur Gestionnaire de groupe de travail Utilisez Gestionnaire de groupe de travail pour administrer les comptes suivants : comptes utilisateur, comptes de groupe et listes d’ordinateurs. Vous pouvez également l’utiliser pour définir les préférences des comptes utilisateur, des comptes de groupe, des ordinateurs Mac OS X et accéder à l’Inspecteur, une fonctionnalité avancée qui permet la modification des entrées Open Directory. Les sections suivantes décrivent l’utilisation générale de Gestionnaire de groupe de travail. Des instructions relatives aux tâches d’administration spécifiques sont disponibles dans l’aide de Gestionnaire de groupe de travail et dans plusieurs guides :  Gestion des utilisateurs explique comment utiliser Gestionnaire de groupe de travail pour gérer des comptes utilisateur, des comptes de groupe, des listes d’ordinateurs, des préférences et pour importer et exporter des comptes.  Administration des services de fichier décrit l’administration des points de partage à l’aide de la fonction Partage de Gestionnaire de groupe de travail.  Administration d’Open Directory fournit des informations sur l’utilisation de l’Inspecteur. Ouverture de Gestionnaire de groupe de travail et authentification Gestionnaire de groupe de travail est installé dans /Applications/Server/, vous pouvez l’ouvrir dans le Finder, dans le Dock ou en sélectionnant Présentation > Gestionnaire de groupe de travail dans la barre des menus d’Admin Serveur :  Lorsque vous ouvrez Gestionnaire de groupe de travail sur le serveur que vous utilisez sans vous authentifier, vous avez un accès en lecture seule aux informations affichées dans le domaine local. Pour apporter des modifications, cliquez sur l’icône représentant un cadenas afin de vous authentifier en tant qu’administrateur de serveur. Cette procédure est la plus indiquée lorsque vous administrez différents serveurs et que vous travaillez avec divers domaines de répertoire.  Pour vous authentifier en tant qu’administrateur d’un serveur particulier, qu’il soit local ou distant, tapez l’adresse IP du serveur ou son nom DNS dans la fenêtre d’ouverture de session ou cliquez sur la zone du chemin d’accès aux répertoires dans la fenêtre Gestionnaire de groupe de travail pour choisir un autre serveur de répertoire. Tapez le nom d’utilisateur et le mot de passe d’un administrateur du serveur, puis cliquez sur Se connecter. Procédez de cette manière si vous travaillez la plupart du temps avec le même serveur. Après avoir ouvert Gestionnaire de groupe de travail, vous pouvez ouvrir l’une de ses fenêtres pour un autre ordinateur en cliquant sur Nouvelle fenêtre dans la barre d’outils ou en choisissant Serveur > Se connecter. 170 Chapitre 7 Gestion Important : lorsque vous vous connectez à un serveur dans Gestionnaire de groupe de travail, veillez à ce que l’utilisation des majuscules et minuscules pour le nom d’utilisateur complet ou abrégé soit la même que dans le compte d’utilisateur. Administration de comptes Admin Serveur ne permet pas de gérer les comptes utilisateur et l’appartenance aux groupes. Pour ajouter et supprimer des utilisateurs et des groupes, utilisez Gestionnaire de groupe de travail. Pour en savoir plus sur l’administration de comptes, consultez la section Gestion des utilisateurs. Ce qui suit constitue un bref aperçu de l’administration de comptes à l’aide de Gestionnaire de groupe de travail. Nous vous conseillons toutefois de consulter d’autres ressources documentaires, car l’administration de comptes ne se résume pas aux informations fournies ici. Gestion des utilisateurs et des groupes Une fois que vous avez ouvert une session dans Gestionnaire de groupe de travail, la fenêtre du compte apparaît, affichant une liste de comptes d’utilisateur. Il s’agit initialement des comptes stockés dans le dernier noeud de répertoire figurant dans le chemin de recherche du serveur. Lorsque vous utilisez d’autres fenêtres de Gestionnaire de groupe de travail, telles que Préférences, cliquez sur Comptes dans la barre d’outils pour revenir à la fenêtre des comptes. L’illustration ci-dessous montre un exemple de sous-fenêtre de configuration d’enregistrement d’utilisateur dans Gestionnaire de groupe de travail. Chapitre 7 Gestion 171 Pour spécifier les répertoires dans lesquels sont stockés les comptes que vous souhaitez utiliser, cliquez sur l’icône en forme de globe. Pour utiliser différents comptes dans différentes fenêtres de Gestionnaire de groupe de travail, cliquez sur Nouvelle fenêtre dans la barre d’outils. Pour administrer les comptes répertoriés, cliquez sur le bouton Utilisateurs, Groupes, Ordinateurs ou Groupes d’ordinateurs sur le côté gauche de la fenêtre. Vous pouvez filtrer les comptes répertoriés en utilisant la liste de recherche au-dessus de la liste des comptes. Pour actualiser la liste des comptes, cliquez sur le bouton Actualiser dans la barre d’outils. Pour simplifier la définition des attributs initiaux d’un compte à sa création, utilisez des préréglages. Un compte prédéfini est un modèle de compte. Pour créer un préréglage, sélectionnez un compte, configurez toutes les valeurs à votre convenance, puis choisissez Enregistrer le préréglage dans le menu local Préréglages, au bas de la fenêtre. Pour travailler uniquement avec les comptes correspondant à des critères spécifiques, cliquez sur Rechercher dans la barre d’outils. Les fonctions Rechercher incluent l’option permettant la modification simultanée des comptes sélectionnés. Pour importer ou exporter des comptes, sélectionnez ceux qui vous intéressent, puis choisissez Serveur > Importer ou Serveur > Exporter. Définition des préférences gérées Pour utiliser des préférences gérées pour les comptes d’utilisateur, les comptes de groupe ou les listes d’ordinateurs, cliquez sur l’icône Préférences dans la barre d’outils de Gestionnaire de groupe de travail. 172 Chapitre 7 Gestion L’illustration ci-dessous représente la sous-fenêtre d’aperçu de la gestion des préférences d’utilisateur dans Gestionnaire de groupe de travail : Cliquez sur Détails pour utiliser l’éditeur de préférences afin de modifier des manifestes de préférences. L’illustration ci-dessous constitue un exemple de feuille d’éditeur de préférences dans Gestionnaire de groupe de travail. Chapitre 7 Gestion 173 Utilisation de données de répertoire Pour modifier des données de répertoire brutes, utilisez l’Inspecteur de Gestionnaire de groupe de travail. L’illustration ci-dessous représente la sous-fenêtre Inspecteur de l’enregistrement dans Gestionnaire de groupe de travail : Pour afficher l’inspecteur : 1 Choisissez Gestionnaire de groupe de travail > Préférences. 2 Activez « Afficher l’onglet « Toutes les fiches » et l’inspecteur », puis cliquez sur OK. 3 Ensuite, cliquez sur le bouton Tous les enregistrements (qui ressemble à un oeil de boeuf ) pour accéder à l’Inspecteur. 4 Utilisez le menu local situé au-dessus de la liste Nom afin de sélectionner les fiches qui vous intéressent. Par exemple, vous pouvez utiliser les utilisateurs, les groupes, les ordinateurs, les points de partage et beaucoup d’autres objets de répertoire. Personnalisation de l’environnement de Gestionnaire de groupe de travail Il existe plusieurs moyens d’adapter l’environnement de Gestionnaire de groupe de travail :  Pour contrôler l’affichage des comptes dans Gestionnaire de groupe de travail, ainsi que d’autres comportements, choisissez Gestionnaire de groupe de travail > Préférences. 174 Chapitre 7 Gestion  Pour personnaliser la barre d’outils, choisissez Affichage > Personnaliser la barre d’outils.  Pour inclure des utilisateurs et groupes prédéfinis dans les listes d’utilisateurs et de groupes, choisissez Affichage > Afficher les utilisateurs et groupes du système.  Pour ouvrir Admin Serveur afin de contrôler et de modifier des services sur des serveurs particuliers, cliquez sur l’icône Admin Serveur dans la barre d’outils. Gestion d’ordinateurs de versions antérieures à la version 10.5 à partir de serveurs de version 10.5 Les serveurs Mac OS X Server 10.4 peuvent être administrés à l’aide des outils d’administration de serveur de la version 10.5. Il est possible d’utiliser Gestionnaire de groupe de travail sur un serveur de version 10.5 pour gérer des clients Mac OS X dotés de Mac OS X 10.3 ou ultérieur. Une fois que vous avez modifié un enregistrement d’utilisateur à l’aide de Gestionnaire de groupe de travail en version 10.5, cet enregistrement n’est plus accessible que via Gestionnaire de groupe de travail en version 10.5. Les préférences de clients Mac OS 9 peuvent être gérées à l’aide de Gestionnaire Macintosh depuis un serveur 10.5 uniquement si vous effectuez une mise à niveau avec la version 10.5. Vous pouvez utiliser une mise à niveau pour installer la version 10.5 sur un serveur doté de la version 10.3.9 ou de la version 10.2.8. Assistants de configuration des services Admin Serveur possède des assistants destinés à vous guider durant la configuration des services lorsque la procédure n’est pas limitée à une seule sous-fenêtre de configuration. Ces assistants vous proposent toutes les sous-fenêtres de configuration nécessaires à l’activation complète d’un service. Les assistants sont disponibles pour les services suivants :  Configuration de la passerelle : cet assistant vous aide à configurer votre serveur en tant que passerelle réseau. Ouvrez l’assistant en cliquant sur un bouton dans la partie inférieure droite de la page d’aperçu du service NAT.  Courrier électronique : cet assistant vous aide à configurer le service de courrier électronique pour les messages entrants et les messages sortants. Ouvrez l’assistant en cliquant sur un bouton dans la partie inférieure droite de la page d’aperçu du service de courrier électronique.  RADIUS : cet assistant vous aide à configurer l’authentification RADIUS pour des points d’accès sans fil Apple AirPort. Ouvrez l’assistant en cliquant sur un bouton dans la partie inférieure droite de la page d’aperçu du service RADIUS. Chapitre 7 Gestion 175  Xgrid : cet assistant vous aide à configurer des contrôleurs Xgrid. Ouvrez l’assistant en cliquant sur un bouton dans la partie inférieure droite de la page d’aperçu du service Xgrid. Fichiers de données et de configuration critiques Lors de la sauvegarde de données et de réglages système, veillez plus particulièrement à assurer la sauvegarde de tous vos fichiers de configuration critiques. La nature et la fréquence de vos sauvegardes dépend des politiques de sauvegarde, d’archivage et de restauration de votre organisation. Pour plus d’informations sur la création d’une politique de sauvegarde et de restauration, consultez la section « Définition de politiques de sauvegarde et de restauration » à la page 34. Le tableau ci-dessous présente la liste des fichiers et données de configuration de services disponibles sur Mac OS X Server. Général Type de fichiers Emplacement États de service /System/Bibliothèque/LaunchDaemons/* Fichiers de configuration SSH et clés publiques/privées de l’hôte /etc/ssh/* Trousseau système /Bibliothèque/Keychains/System.keychain Service iCal Type de fichiers Emplacement Fichiers de configuration /etc/caldavd/caldavd.plist Données /Bibliothèque/CalendarServer/Documents/ Serveur iChat Type de fichiers Emplacement Fichiers de configuration /etc/jabberd/* Données mysqldump jabberd2 > jabberd2.backup.sql Notifications Type de fichiers Emplacement Fichiers de configuration /etc/emond.d/ /etc/emond.d/rules/ /Bibliothèque/Keychains/System.keychain 176 Chapitre 7 Gestion QuickTime Streaming Server Type de fichiers Emplacement Fichiers de configuration /Bibliothèque/QuickTimeStreamingServer/Config/* /Bibliothèque/QuickTimeStreamingServer/Playlists/* /Bibliothèque/Application Support/Apple/QTSS Publisher/* Données : (emplacements par défaut) /Bibliothèque/QuickTimeStreamingServer/Movies/* ~user/Sites/Streaming/* Service de coupe-feu Type de fichiers Emplacement Fichiers de configuration /etc/ipfilter/* Service NAT Type de fichiers Emplacement Fichiers de configuration /etc/nat/* Services de messagerie Le tableau ci-dessous présente les fichiers de configuration et les emplacements de stockage des données de service de messagerie. Messagerie—SMTP Server Postfix Type de fichiers Emplacement Fichiers de configuration /etc/postfix/ Données : (emplacements par défaut) /var/spool/postfix/ Messagerie—POP/IMAP Server Cyrus Type de fichiers Emplacement Fichiers de configuration /etc/imapd.conf /etc/cyrus.conf Données : (emplacement par /var/imap défaut de la base de données du courrier) (stockage des données du courrier électronique) Chapitre 7 Gestion /var/spool/imap 177 Les emplacements personnalisés sont définis dans /etc/impad.conf à l’aide des clés suivantes avec des valeurs par défaut : Emplacements personnalisés Clé : paire de valeurs Emplacement de la base de données de courrier configdirectory : /var/imap Emplacement de stockage des données de courrier partition-default : /var/spool/imap Partitions de stockage de données supplémentaires (sans valeur par défaut) partition-xxx : /var/spool/mail_xxx Il peut exister plusieurs partitions de stockage de données supplémentaires Courrier—Amavisd Type de fichiers Emplacement Fichiers de configuration /etc/amavisd.conf Données : (emplacements par défaut) /var/amavis/ Courrier—Clam AV Type de fichiers Emplacement Fichiers de configuration /etc/clamav.conf /etc/freshclam.conf Données : (emplacements par défaut) /var/clamav/ /var/virusmails/ Courrier—Mailman Type de fichiers Emplacement Fichiers de configuration /var/mailman/ Données : (emplacements par défaut) /var/mailman/ Courrier—SpamAssassin Type de fichiers 178 Emplacement Fichiers de configuration /etc/mail/spamassassin/local.cf Données : (emplacements par défaut) /etc/mail/spamassassin/ Chapitre 7 Gestion Service MySQL Type de fichiers Emplacement Fichiers de configuration Il n’existe pas de fichier de configuration pour MySQL, mais l’administrateur peut en créer un qui doit alors être sauvegardé : /etc/my.cnf Données : (emplacements par défaut) /var/mysql/ mysqldump --all-databases > all.sql PHP Type de fichiers Emplacement Fichiers de configuration Il n’existe pas de fichier de configuration pour PHP, mais l’administrateur peut en créer un (en copiant /etc/php.ini.default dans /etc/ php.ini, puis en le modifiant). Dans ce cas, le fichier suivant doit être sauvegardé : /etc/php.ini Données : (emplacements par défaut) Emplacement désigné par l’administrateur Service web Type de fichiers Emplacement Fichiers de configuration /etc/httpd/* (pour Apache 1.3) /etc/apache2/* (pour Apache 2.2) /etc/webperfcache/* /Bibliothèque/Keychains/System.keychain Données : (emplacements par défaut) /Bibliothèque/WebServer/Documents/ /Bibliothèque/Logs/WebServer/* /Bibliothèque/Logs/Migration/webconfigmigrator.log (outil de migration de configuration Apache) L’emplacement par défaut du contenu web est configurable et généralement modifié et étendu pour inclure plusieurs répertoires WebDAV et de contenu hôte virtuels. Remarque : les fichiers d’historique de service web constituent une source importante de recettes pour certains sites et leur sauvegarde doit être envisagée. Leur emplacement (configurable) peut être défini à l’aide d’Admin Serveur. Chapitre 7 Gestion 179 Serveur wiki et blog Type de fichiers Emplacement Fichiers de configuration /etc/wikid/* /Bibliothèque/Application Support/Apple/WikiServer (thèmes wiki et fichiers modèles) Données : (emplacements par défaut) /Bibliothèque/Collaboration/ Fichiers d’historique : (emplacement par défaut) /Bibliothèque/Logs/wikid/* Amélioration de la disponibilité des services L’élimination des points de défaillance uniques et l’utilisation de Xserve et d’un matériel RAID constituent certains des éléments pouvant contribuer à augmenter la disponibilité de votre serveur. Vous pouvez aussi recourir à des options aussi bien simples, comme le recours à une alimentation de réserve, le redémarrage automatique, la garantie de conditions de fonctionnement adéquates (niveaux de température et d’humidité adaptés par exemple), etc.), qu’avancées (agrégation de liens, équilibrage de charge, réplique Open Directory, sauvegarde de données, etc.). Élimination des points de défaillance uniques Pour améliorer la disponibilité de votre serveur, réduisez ou éliminez les points de défaillance uniques. On qualifie de point de défaillance unique tout composant d’un environnement de serveur qui provoque la panne de ce dernier s’il est lui-même défaillant. Voici quelques exemples de points de défaillance uniques :  le système informatique;  le disque dur;  l’alimentation. Bien qu’il soit pratiquement impossible d’éliminer tous les points de défaillance uniques, essayez au moins de les réduire autant que possible. Ainsi, l’utilisation d’un système de sauvegarde et du basculement IP dans Mac OS X Server permet d’éliminer l’ordinateur comme point de défaillance unique. Même s’il est possible qu’un ordinateur principal et son ordinateur de réserve tombent en panne en même temps ou l’un après l’autre, la probabilité d’un tel événement demeure négligeable. Une autre manière d’éviter la défaillance d’un ordinateur est d’utiliser une source d’alimentation de réserve et d’utiliser un système RAID matériel pour effectuer une copie miroir du disque dur. Avec le RAID matériel, si le disque principal est victime d’une défaillance, le système peut toujours accéder aux mêmes données sur le disque miroir, comme c’est le cas avec Xserve. 180 Chapitre 7 Gestion Utilisation de Xserve pour obtenir une haute disponibilité Xserve est conçu pour garantir une fiabilité élevée et donc une haute disponibilité. Bien que des ordinateurs de bureau tels que le Power Mac G5 ou le Mac Pro permettent d’assurer des services Mac OS X Server de manière très fiable, Xserve possède les fonctionnalités supplémentaires suivantes qui en font la solution idéale dans les situations requérant une haute disponibilité.  Xserve comporte huit ventilateurs. En cas de panne de l’un de ces ventilateurs, les sept autres accélèrent pour compenser la défaillance et permettre à votre serveur de continuer à fonctionner.  Une architecture de disques indépendante isole électriquement les disques de façon à empêcher que la défaillance d’un seul des disques n’entraîne une indisponibilité ou une dégradation des performances des disques restants, un problème souvent rencontré avec les implémentations SCSI multidisque.  Xserve exploite la logique de code correcteur d’erreurs (ECC, Error Correction Code) pour protéger le système contre les données endommagées et les erreurs de transmission. Chaque DIMM possède un module de mémoire supplémentaire qui stocke les données de somme de contrôle de chaque transaction. Le contrôleur système se sert de ces données ECC pour identifier les erreurs portant sur un seul bit et les corrige à la volée, évitant ainsi des arrêts système inopinés. Dans le cas très rare d’une erreur portant sur plusieurs bits, le contrôleur système détecte l’erreur et déclenche une notification système afin d’empêcher les mauvaises données de corrompre d’autres opérations. Vous pouvez configurer le logiciel Contrôle de serveur de manière à ce qu’il vous avertisse si le taux d’erreurs dépasse le seuil défini.  Xserve intègre l’écriture en miroir RAID matérielle qui protège votre serveur contre toute défaillance en cas de panne de disque principal. Pour plus d’informations sur Xserve, consultez le site www.apple.com/fr/xserve/. Utilisation d’une alimentation de réserve Dans l’architecture d’une solution de serveur, l’alimentation constitue un point de défaillance unique. Si l’alimentation est interrompue, vos serveurs s’éteignent sans prévenir. Pour éviter toute interruption soudaine des services, pensez à ajouter une source d’alimentation de réserve. En fonction de votre application, vous pouvez choisir entre un générateur électrique de réserve et un périphérique d’alimentation sans interruption (UPS), qui vous permettront de gagner assez de temps pour avertir les utilisateurs de l’interruption imminente des services. Chapitre 7 Gestion 181 Utilisation d’UPS avec Xserve Xserve n’assure pas la connectivité de port série aux périphériques UPS, mais peut contrôler l’alimentation UPS via le réseau si l’unité UPS est équipée d’une carte réseau. Pour en savoir plus, renseignez-vous auprès des fournisseurs de périphériques UPS. L’illustration suivante représente un Xserve connecté à un onduleur via un réseau : Xserve Réseau local Alimentation de secours Source d’alimentation Appareil UPS Configuration du redémarrage automatique de votre serveur Vous pouvez configurer les options Économiseur d’énergie de votre ordinateur Mac OS X Server afin que ce dernier redémarre automatiquement s’il s’éteint à cause d’une panne de courant ou en cas de blocage du système. L’illustration ci-dessous représente la sous-fenêtre Économiseur d’énergie des Préférences Système : 182 Chapitre 7 Gestion Les options de redémarrage automatique sont les suivantes :  Redémarrage automatique après une panne de courant. L’unité de gestion de l’alimentation démarre le serveur automatiquement après une panne de courant.  Redémarrage automatique après un blocage. L’unité de gestion de l’alimentation démarre automatiquement le serveur dès que le serveur ne répond plus, souffre d’une panique de noyau ou se bloque. Lorsque vous sélectionnez l’option de redémarrage automatique après un blocage, Mac OS X Server génère le démon wdticklerd qui commande toutes les 30 secondes à votre ordinateur de redémarrer au bout de cinq minutes. À chaque fois que la commande est envoyée, la minuterie de redémarrage est réinitialisée. Par conséquent, la minuterie n’atteint jamais cinq minutes tant que le serveur fonctionne. Si l’ordinateur se bloque, l’unité de gestion de l’alimentation le redémarre à l’issue des cinq minutes. Pour activer le redémarrage automatique : 1 Ouvrez une session sur le serveur en tant qu’administrateur. 2 Ouvrez les Préférences Système et cliquez sur Économiseur d’énergie. 3 Cliquez sur Options. 4 Sélectionnez des options de redémarrage sous Autres options. 5 Fermez les Préférences Système Pour assurer de bonnes conditions de fonctionnement La surchauffe est l’un des facteurs capables de causer un dysfonctionnement de vos serveurs. Ce problème est particulièrement susceptible de survenir si vous regroupez des ordinateurs en grappe dans un espace réduit. D’autres facteurs, tels que l’humidité et les variations électriques importantes, peuvent être préjudiciables à votre serveur. Pour protéger vos serveurs, veillez à les placer dans un endroit où vous pouvez contrôler ces facteurs et leur garantir des conditions de fonctionnement idéales. Pour connaître ces conditions, vérifiez quelles sont les consignes indiquées pour vos systèmes en matière d’électricité et d’environnement. Assurez-vous également que le local dans lequel vous déployez votre serveur est équipé d’une alarme incendie et établissez un plan de secours anti-incendie. Fourniture de répliques Open Directory Si vous prévoyez de fournir des services Open Directory, vous devez penser à créer des répliques de votre maître Open Directory. Si le serveur maître est défectueux, les ordinateurs client pourront accéder à la réplique. Pour en savoir plus, consultez la section consacrée à la configuration de répliques Open Directory dans Administration d’Open Directory. Chapitre 7 Gestion 183 Agrégation de liens Bien que peu fréquentes, les défaillances de commutateur, de câble ou de carte d’interface réseau peuvent entraîner l’indisponibilité de votre serveur. Pour éliminer ce type de points de défaillance unique, vous pouvez utiliser l’agrégation de liens. Également appelée IEEE 802.3ad, cette technologie est intégrée à Mac OS X et à Mac OS X Server. L’agrégation de liens consiste à agréger ou combiner dans un lien logique unique plusieurs liens physiques en connectant votre Mac à un périphérique d’agrégation de liens (un commutateur ou un autre Mac). Le résultat est un lien à tolérance de pannes doté d’une bande passante égale à la somme des bandes passantes des liens physiques. Par exemple, vous pouvez configurer un Xserve avec quatre ports 1 Gbit/s (en1, en2, en3 et en4) et utiliser la sous-fenêtre Réseau des Préférences Système pour créer une configuration de port d’agrégation de liens (bond0) combinant en1, en2, en3 et en4 en un seul lien logique. Le lien logique en résultant aura une bande passante de 4 Gbit/s. Ce lien offrira également une tolérance de pannes. Toute défaillance d’un ou de plusieurs liens physiques a pour effet de réduire la bande passante de votre Xserve, mais ce dernier peut toujours gérer les requêtes dès lors que les liens physiques ne sont pas tous simultanément défaillants. L’illustration suivante représente quatre ports Ethernet réunis en une seule et même interface : server1.exemple.com 400 Mbit/s bond0 en1 en2 en3 en4 4 x 100 Mbit/s Alterner 184 Chapitre 7 Gestion L’agrégation de liens vous permet également de tirer parti de votre matériel existant ou de matériel peu onéreux pour élargir la bande passante de votre serveur. Par exemple, vous pouvez former un agrégat de liens à partir d’une combinaison de plusieurs liens de 100 Mbit/s ou de liens de 1 Gbit/s. Le protocole d’agrégation de liens (LACP, Link Aggregation Control Protocol) L’agrégation de liens IEEE 802.3ad définit un protocole dénommé Link Aggregation Control Protocol (LACP) et utilisé par Mac OS X Server pour agréger (combiner) plusieurs ports en un agrégat de liens (un port virtuel) destiné aux connexions TCP et UDP. Lorsque vous définissez un agrégat de liens, les nœuds de part et d’autre de l’agrégat (par exemple, un ordinateur et un commutateur) utilisent LACP sur chaque lien physique pour :  déterminer si le lien peut être agrégé,  maintenir et contrôler l’agrégation. Si un nœud ne reçoit pas régulièrement de paquets LACP de son homologue (l’autre nœud de l’agrégat), il considère que ce dernier n’est plus actif et supprime le port de l’agrégat. Outre LACP, Mac OS X Server utilise un algorithme de distribution de cadres pour mapper une conversation sur un port spécifique. Cet algorithme n’envoie de paquets au système situé à l’autre extrémité de l’agrégat que si la réception de paquets y est activée. En d’autres termes, l’algorithme n’envoie pas de paquets si l’autre système « n’est pas à l’écoute ». Mapper une conversation sur un port particulier permet de garantir qu’aucune réorganisation de paquets n’aura lieu. Scénarios d’agrégation de liens Voici trois scénarios courants d’agrégation qu’il est possible de configurer :  Ordinateur-ordinateur  Ordinateur-commutateur  Ordinateur-paire de commutateurs Ces scénarios sont décrits dans les sections suivantes. Chapitre 7 Gestion 185 Ordinateur-ordinateur Dans ce scénario, vous connectez directement les deux serveurs (voir illustration suivante) à l’aide des liens physiques de l’agrégat de liens. 4 x 100 Mbit/s Cela permet aux deux serveurs de communiquer à une vitesse plus élevée sans l’aide d’un commutateur. Cette configuration est idéale pour assurer la redondance dorsale. Ordinateur-commutateur Dans ce scénario, représenté ci-dessous, vous connectez votre serveur à un commutateur configuré pour l’agrégation de liens 802.3ad. server1.exemple.com 4 x 1 Gbit/s 10 Gbit/s Clients Le commutateur devra disposer d’une bande passante de traitement du trafic entrant égale ou plus importante que celle de l’agrégat de liens (lien logique) que vous définissez sur votre serveur. Par exemple, si vous créez un agrégat de quatre liens 1 Gbit/s, vous devrez utiliser un commutateur capable de traiter le trafic entrant (provenant de clients) à 4 Gbit/s ou plus. Faute de quoi, l’avantage que constitue une bande passante plus large dans l’agrégat de liens ne sera pas totalement accompli. Remarque : pour en savoir plus sur la configuration de votre commutateur pour l’agrégation de liens 802.3ad, consultez la documentation fournie par le fabricant du commutateur. 186 Chapitre 7 Gestion Ordinateur-paire de commutateurs Ce scénario, représenté dans l’illustration suivante, constitue une version améliorée du scénario ordinateur-commutateur puisque deux commutateurs sont utilisés pour éviter que le commutateur ne constitue un point de défaillance unique. server1.exemple.com 3 x 1 Gbit/s 2 x 1 Gbit/s Par exemple, vous pouvez connecter deux liens de l’agrégat de liens sur le commutateur principal et le reste des liens sur le commutateur de réserve. Ce dernier demeure inactif tant que le commutateur principal est actif. Si ce dernier tombe en panne, le commutateur de réserve prend le relais de façon transparente pour l’utilisateur. Bien que ce scénario ajoute de la redondance, dont l’avantage est de protéger le serveur contre toute indisponibilité en cas de défaillance du commutateur, il réduit en revanche la bande passante. Configuration de l’agrégation de liens dans Mac OS X Server Pour configurer votre Mac OS X Server pour l’agrégation de liens, vous devez disposer d’un Mac équipé d’au moins deux ports Ethernet compatibles IEEE 802.3ad. Vous devez également vous munir d’au moins un commutateur compatible IEEE 802.3ad ou d’un autre ordinateur Mac OS X Server équipé du même nombre de ports. Chapitre 7 Gestion 187 La création d’un agrégat de liens s’effectue dans la sous-fenêtre Réseau des Préférences Système (voir l’exemple suivant) : Pour créer un agrégat de liens : 1 Ouvrez une session sur le serveur en tant qu’utilisateur administrateur. 2 Ouvrez Préférences Système. 3 Cliquez sur Réseau. 4 Cliquez sur le bouton représentant un engrenage et choisissez « Gérer des interfaces virtuelles » dans le menu local. 5 Cliquez sur le bouton Ajouter (+) et sélectionnez « Nouvel agrégat de liens » dans le menu local. Remarque : cette option n’apparaît que si vous disposez d’au moins deux interfaces Ethernet dans votre système. 6 Tapez le nom de l’agrégat de liens dans le champ Nom. 7 Sélectionnez les ports à agréger à partir de la liste. 8 Cliquez sur Créer. 9 Cliquez sur Terminé. Par défaut, le système donne à l’agrégat de liens le nom d’interface bond <nbre>, où <nbre> est un nombre indiquant la priorité. Par exemple, le premier agrégat de liens est appelé bond0, le deuxième bond1 et le troisième bond2. 188 Chapitre 7 Gestion Le nom d’interface bond<nbre> attribué par le système diffère du nom que vous donnez à la configuration de port d’agrégat de liens. Le nom d’interface est utilisé dans la ligne de commande, mais le nom de la configuration de port est réservé à la sous-fenêtre Réseau des Préférences Système. Ainsi, le résultat de la commande ifconfig -a fait référence à l’agrégat de liens en utilisant le nom d’interface, pas le nom de la configuration de port : … bond0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500 inet6 fe80::2e0:edff:fe08:3ea6 prefixlen 64 scopeid 0xc inet 10.0.0.12 netmask 0xffffff00 broadcast 10.0.0.255 ether 00:e0:ed:08:3e:a6 media: autoselect (100baseTX <full-duplex>) status: active supported media: autoselect bond interfaces: en1 en2 en3 en4 Vous ne pouvez pas supprimer une connexion de lien à partir de la sous-fenêtre Réseau des Préférences Système. Vous devez le supprimer via la feuille « Gérer des interfaces virtuelles » utilisée pour le créer. Contrôle de l’état de l’agrégation de liens Vous pouvez contrôler l’état d’un agrégat de liens dans Mac OS X et Mac OS X Server à l’aide de la sous-fenêtre État de la sous-fenêtre Réseau des Préférences Système. Pour contrôler l’état d’un agrégat de liens : 1 Ouvrez Préférences Système. 2 Cliquez sur Réseau. 3 Dans la liste d’interfaces réseau à gauche, choisissez l’interface virtuelle de port d’agrégat de liens. 4 Cliquez sur Avancé dans la partie inférieure droite de la fenêtre. 5 Sélectionnez l’onglet État de la connexion. La sous-fenêtre État affiche une liste dans laquelle une rangée est attribuée à chaque lien physique de l’agrégat de liens. Pour chaque lien, vous pouvez voir le nom de l’interface réseau, sa vitesse, son réglage de duplex, les témoins d’état du trafic entrant et sortant et une évaluation d’ensemble de l’état. Remarque : les témoins d’état Envoi et Réception possèdent un code couleur. La couleur verte signifie que le lien est actif et connecté. La couleur jaune signifie que le lien est actif mais n’est pas connecté. La couleur rouge signifie que le lien ne peut ni envoyer ni recevoir de trafic. 6 Pour consulter davantage d’informations à propos d’un lien, cliquez sur l’entrée correspondante dans la liste. Chapitre 7 Gestion 189 Équilibrage de la charge La surcharge de serveur est l’un des facteurs pouvant entraîner l’indisponibilité de vos services. Un serveur a des ressources limitées et ne peut gérer qu’un nombre restreint de requêtes à la fois. Si le serveur est surchargé, il ralentit et risque même de se bloquer. L’une des manières de résoudre ce problème est de répartir la charge au sein d’un groupe de serveurs (grappe de serveurs) à l’aide d’un périphérique d’équilibrage de la charge de tierce partie. Les clients envoient leurs requêtes au périphérique qui les transmet au premier serveur disponible en fonction d’un algorithme prédéfini. Les clients ne voient qu’une adresse virtuelle unique, celle du périphérique d’équilibrage de la charge. De nombreux périphériques d’équilibrage de charge font également office de commutateurs (voir illustration suivante), offrant ainsi deux fonctions en une, ce qui réduit la quantité de matériel nécessaire. Interrupteur d’équilibrage de charge du serveur Grappe de serveurs Clients Remarque : un périphérique d’équilibrage de charge doit être capable de traiter le trafic agrégé (combiné) des serveurs qui y sont connectés. Il constituerait sinon un goulet d’étranglement réduisant la disponibilité de vos serveurs. 190 Chapitre 7 Gestion L’équilibrage de la charge présente plusieurs avantages :  Haute disponibilité. La répartition de la charge entre plusieurs serveurs contribue à réduire les risques qu’un serveur puisse tomber en panne du fait d’une surcharge de serveur.  Tolérance aux pannes. Si un serveur tombe en panne, le trafic est redirigé de façon transparente vers d’autres serveurs. Une brève interruption du service peut survenir si, par exemple, un serveur tombe en panne alors qu’un utilisateur est en train de télécharger un fichier depuis l’emplacement de stockage partagé, mais l’utilisateur peut toujours se reconnecter et relancer le processus de téléchargement.  Extensibilité. Si la demande de services augmente, vous pouvez ajouter d’autres serveurs à votre grappe de façon transparente.  Performances accrues. Vous pouvez répondre plus rapidement aux requêtes des utilisateurs en les envoyant aux serveurs les moins occupés. Vue d’ensemble des démons Lorsqu’un utilisateur ouvre une session sur un système Mac OS X, un certain nombre de processus sont déjà en cours d’exécution. La plupart de ces processus sont appelés démons. Un démon est un processus d’arrière-plan qui fournit un service aux utilisateurs du système. Le démon cupsd, par exemple, coordonne les demandes d’impression, tandis que le démon httpd répond aux requêtes de consultation de pages web. Visualisation des démons en cours d’exécution Pour afficher les démons en cours d’exécution sur votre système, utilisez l’application Moniteur d’activité (dans /Applications/Utilitaires/). Cette application permet d’afficher des informations sur tous les processus, y compris l’utilisation des ressources. Les démons suivants sont affichés indépendamment des services activés :  launchd (processus de tâche programmée et de surveillance)  servermgrd (processus d’interface d’outils d’administration)  serialnumberd (processus de conformité de licence)  mDNSresponder (processus de découverte de services sur réseau local) Contrôle des démons Bien que certains systèmes de type UNIX utilisent d’autres outils, Mac OS X Server a recours au démon launchd pour contrôler les tâches programmées et l’initialisation des processus. launchd Le démon launchd est une alternative aux outils UNIX courants suivants : init, rc, scripts init.d et rc.d, SystemStarter, inetd et xinetd, atd, crond et watchdogd. Tous ces services doivent être considérés comme obsolètes et les administrateurs sont vivement encouragés à attribuer les tâches de gestion de processus à launchd. Chapitre 7 Gestion 191 Le système launchd comporte deux utilitaires : le démon launchd et l’utilitaire launchctl. Le démon launchd a également remplacé init comme premier processus généré dans Mac OS X et il est, par conséquent, responsable du lancement du système au démarrage. Le démon launchd gère les démons au niveau système et au niveau utilisateur. Il peut :  démarrer des démons sur demande;  contrôler des démons pour s’assurer qu’ils sont en cours d’exécution. launchd utilise des fichiers de configuration pour définir les paramètres d’exécution des services et des démons. Les fichiers de configuration sont des fichiers de listes de propriétés stockés dans les sous-répertoires LaunchAgents et LaunchDaemons des dossiers Bibliothèque. Pour plus d’informations sur la création des fichiers de configuration de launchd, consultez la page de documentation destinée aux développeurs : developer.apple.com/documentation/MacOSX/Conceptual/BPSystemStartup/Articles/ LaunchOnDemandDaemons.html L’utilitaire launchctl est un outil de ligne de commande utilisé pour :  charger et décharger des démons;  démarrer et arrêter des tâches contrôlées par launchd;  obtenir des statistiques d’utilisation de système pour launchd et ses processus enfants;  définir des réglages d’environnement. 192 Chapitre 7 Gestion 8 Contrôle 8 Un contrôle efficace contribue à détecter les problèmes potentiels avant leur apparition et d’être averti suffisamment tôt lorsqu’ils se produisent. La détection des problèmes potentiels vous permet de prendre les mesures nécessaires pour les résoudre avant qu’ils n’influent sur la disponibilité de vos serveurs. Être averti suffisamment tôt de l’apparition d’un problème vous permet en outre de prendre rapidement les mesures qui s’imposent et de minimiser l’interruption des services. Ce chapitre décrit brièvement la planification d’une politique de contrôle, la façon d’utiliser les outils de contrôle et la façon de trouver des informations supplémentaires. Planification d’une politique de contrôle La collecte de données concernant vos systèmes est une fonction de base pour une administration efficace. Chaque type de collecte de données répond à un objectif précis.  Collecte de données historiques : les données historiques sont collectées à des fins d’analyse. Elles peuvent être utilisées dans le cadre de la planification et de la budgétisation informatiques et servir de ligne de base pour les conditions normales d’exploitation du serveur. Quels sont les types de données nécessaires pour y parvenir ? Combien de temps doivent-elles être conservées ? À quelle fréquence doiventelles être mises à jour ? Sur quelle période passée doivent-elles être collectées ?  Contrôle en temps réel : le contrôle en temps réel génère des alertes et détecte les problèmes à mesure qu’ils surviennent. Que contrôlez-vous ? À quelle fréquence ? Ces données révèlent-elles ce que vous voulez savoir ? Certaines de ces collectes en temps réel servent-elles réellement à des fins d’historique ? 193 Planification d’une réponse de contrôle La réponse apportée au contrôle est aussi importante que la collecte de données. De la même façon qu’une politique de sauvegarde est inutile sans stratégie de restauration, une politique de contrôle n’a pas de sens sans politique de réponse. Pour une réponse de contrôle, il est nécessaire de considérer un certain nombre de facteurs :  Quelles sont les méthodes de réponse appropriées ? En d’autres termes, dans quel cadre la réponse interviendra-t-elle ?  Quel est le délai de réponse ? Que peut-on considérer comme intervalle acceptable entre l’incident et la réponse ?  Quels sont les points à prendre en compte en ce qui concerne le dimensionnement ? Le plan de réponse peut-il traiter toutes les fréquences d’incident, quelles soient attendues ou non ?  L’environnement est-il doté de systèmes de contrôle ? Comment déterminer si la politique de contrôle collecte les données requises et si les réponses sont pertinentes et fournies à temps ? Avez-vous testé le système de contrôle récemment ? Widget d’état du serveur Le widget Dashboard d’état du serveur procure un accès rapide et des informations dans le cadre d’un système individuel. Il permet de contrôler l’activité de Mac OS X Server version 10.5 à partir de n’importe quel ordinateur équipé de Leopard ou de Leopard Server. État du serveur affiche des graphiques actualisés toutes les heures, tous les jours ou toutes les semaines sur l’activité du processeur, la charge réseau et l’utilisation des disques. Vous pouvez également afficher jusqu’à six services actifs et leurs rapports d’état. En cliquant sur le service, vous pouvez ouvrir la sous-fenêtre d’aperçu du service approprié dans Admin Serveur. Pour configurer le widget d’état du serveur : 1 Ajoutez le widget au Dashboard comme vous le feriez pour un autre widget. 2 Saisissez l’adresse IP ou le nom de domaine du serveur. 3 Fournissez un nom et un mot de passe d’ouverture de session d’administration ou de contrôle. 4 Cliquez sur Terminé. Pour changer l’adresse du serveur, le nom ou le mot de passe d’ouverture de session, cliquez sur le bouton d’information (i) en haut du widget et modifiez les réglages appropriés. 194 Chapitre 8 Contrôle Contrôle de serveur L’application Contrôle de serveur peut, dès qu’elle détecte des problèmes critiques, émettre des avertissements via courrier électronique, téléphone portable ou notification par messageur. Des capteurs intégrés détectent les facteurs de fonctionnement essentiels, tels que l’alimentation, la température et l’état de fonctionnement de plusieurs composants clés, et en établissent le rapport. L’interface Contrôle de serveur vous donne la possibilité de détecter rapidement les problèmes. Dans la fenêtre principale, Contrôle de serveur affiche chaque serveur sur une ligne séparée, en indiquant les informations de température correspondantes et l’état de chacun de ses composants, notamment les ventilateurs, les disques, les modules de mémoire, les systèmes d’alimentation et les connexions Ethernet. Un témoin d’état vert indique que le composant est OK, un témoin jaune signale un avertissement et un témoin rouge est synonyme d’erreur. Contrôle de serveur fonctionne pour uniquement pour les systèmes Xserve. Pour en savoir plus sur Contrôle de serveur, choisissez Aide Contrôle de serveur dans le menu d’Aide de Contrôle de serveur. RAID Admin À l’instar de Contrôle de serveur, vous pouvez configurer Admin RAID de façon à ce qu’il envoie un message par courrier électronique ou par radiomessagerie dès qu’un composant montre des signes de défaillance. Admin RAID affiche l’état de chaque unité et de chacun de ses composants, disques, fibre channel et connexions réseau notamment. Admin RAID utilise des témoins d’état verts, jaunes et rouges. Vous pouvez également le configurer de façon à ce qu’il vous envoie un courrier électronique ou une page lorsqu’un composant est en difficulté. De plus, Admin RAID vous fournit une vue d’ensemble de l’état des unités Xserve RAID affichées dans la fenêtre principale. Pour en savoir plus sur Admin RAID, choisissez Aide Admin RAID dans le menu d’Aide d’Admin RAID. Chapitre 8 Contrôle 195 Console Utilisez Console pour contrôler les fichiers d’historique afin de détecter d’éventuels problèmes susceptibles de provoquer la défaillance de votre serveur. Par exemple, vous pouvez contrôler le fichier /var/log/httpd/access_log de votre serveur web à la recherche de signes de déni d’attaques de service. Si vous détectez ces signes, vous pouvez immédiatement mettre en œuvre une réponse planifiée afin d’empêcher l’indisponibilité de votre serveur web. Pour améliorer l’efficacité de votre contrôle des fichiers d’historique, envisagez de l’automatiser à l’aide des commandes AppleScript ou Terminal telles que grep et cron. Pour plus d’informations sur l’utilisation de grep et de cron, consultez la section Administration de ligne de commande. Outils de contrôle de disque Si votre espace disque est épuisé, votre serveur risque de ne plus être fiable et il tombera probablement en panne. Pour éviter cela, vous devez constamment contrôler l’utilisation de l’espace disque sur vos serveurs et supprimer ou sauvegarder des fichiers afin de libérer de l’espace. Mac OS X Server est fourni avec de nombreux outils de ligne de commande que vous pouvez utiliser pour contrôler l’espace disque sur votre ordinateur :  df. Cette commande vous indique la quantité d’espace utilisée et la quantité disponible sur chaque volume monté. Par exemple, la commande suivante dresse la liste des volumes locaux et affiche l’utilisation des disques : df -Hl Filesystem /dev/disk0s9 Size Used 40G 38G Avail Capacity 2.1G 95% Mounted on / Dans cet exemple, le disque dur est presque rempli puisque seuls 2,1 Go sont encore disponibles. Dans ce cas, il est recommandé de réagir immédiatement pour libérer de l’espace sur votre disque dur avant que sa capacité ne soit dépassée et que cela n’entraîne des problèmes pour vos utilisateurs.  du. Cette commande vous indique la quantité utilisée par des répertoires ou fichiers donnés. Par exemple, la commande suivante vous indique la quantité d’espace occupée par le répertoire de départ de chaque utilisateur : sudo du -sh /Users/* 196 3.2M /Users/Shared 9.3M /Users/omar 8.8M /Users/jay 1.6M /Users/lili Chapitre 8 Contrôle Le fait de savoir qui emploie le plus d’espace sur le disque dur vous permet de contacter les utilisateurs concernés pour leur demander de supprimer les fichiers dont ils n’ont plus besoin. Remarque : avec Gestionnaire de groupe de travail, vous pouvez définir des quotas de disque pour les utilisateurs et générer des rapports d’utilisation des disques. Pour plus d’informations, consultez la section Gestion des utilisateurs.  diskspacemonitor. Cette commande vous permet d’automatiser le processus de contrôle de l’utilisation de l’espace disque. Dès que la quantité d’espace libre descend sous le niveau que vous avez spécifié, diskspacemonitor exécute des scripts de shell qui vous envoient une notification. Cette commande définit deux niveaux d’action :  Alerte — Vous envoie un message d’avertissement lorsque l’utilisation de l’espace disque atteint 75 %.  Récupération — Archive les fichiers rarement utilisés et supprime les fichiers superflus lorsque l’utilisation de l’espace disque atteint 85 %. Pour plus d’informations sur ces commandes, consultez la page man correspondante ou la section Administration de ligne de commande. Outils de contrôle de réseau Une dégradation des performances de réseau et d’autres problèmes de réseau peuvent avoir un impact négatif sur la disponibilité de vos services. Les outils de contrôle réseau ci-après peuvent vous avertir suffisamment tôt d’éventuels problèmes, afin que vous puissiez prendre les mesures nécessaires pour éviter ou minimiser toute période d’immobilisation.  Pour contrôler l’activité du réseau, exécutez l’utilitaire tcpdump de Mac OS X Server. Cet utilitaire imprime les en-têtes des paquets entrants et sortants sur une interface réseau qui concorde avec les paramètres spécifiés. L’utilisation de tcpdump pour contrôler le trafic sur le réseau est particulièrement judicieuse lorsque l’on tente de détecter des dénis d’attaque de service. Par exemple, la commande suivante contrôle l’ensemble du trafic entrant au niveau du port 80 de votre ordinateur : sudo tcpdump -i en0 dst port 80 Si vous détectez un nombre inhabituel de requêtes émanant d’une même source, vous pouvez utiliser le service de coupe-feu pour bloquer le trafic issu de cette source. Pour plus d’informations sur tcpdump, consultez la page man correspondante ou la section Administration de ligne de commande. Chapitre 8 Contrôle 197  Pensez à utiliser des scripts Ruby ou Perl, des scripts de shell ou des AppleScripts pour automatiser le processus de contrôle. Par exemple, l’utilisation de tcpdump pour contrôler le trafic peut s’avérer longue et fastidieuse, ce qui signifie que l’automatisation est nécessaire.  Pensez à utiliser Ethereal, un outil open-source X11 renifleur de paquets qu’il est possible d’exécuter dans l’environnement X11 sous Mac OS X Server. À la différence de tcpdump, cet outil possède une interface utilisateur graphique et un ensemble d’outils performants d’analyse de réseau. Pour en savoir plus sur Ethereal, rendez-vous sur le site www.ethereal.com/.  Vous pouvez utiliser d’autres outils de tierce partie qui analysent automatiquement le trafic réseau et vous avertissent en cas de problème. Notification dans Admin Serveur Admin Serveur possède un système de notification facile à utiliser et capable de vous tenir informé de l’état du disque dur ou des logiciels de votre serveur. Admin Serveur envoie un message électronique à n’importe quelle adresse (locale ou non) si :  l’espace disponible est inférieur à un certain pourcentage sur n’importe quel disque dur du système ;  des paquets de mise à jour de logiciels sont disponibles sur le site Apple. Pour utiliser la fonction de courrier électronique, le serveur lance le processus SMTP (courrier sortant) sur le serveur. Assurez-vous que le coupe-feu autorise le trafic SMTP provenant du serveur. Pour définir une notification : 1 Ouvrez Admin Serveur. 2 Sélectionnez un serveur, cliquez sur le bouton Réglages dans la barre d’outils, puis cliquez sur l’onglet Notifications. 3 Cliquez sur le bouton Ajouter (+) sous le champ Adresses à avertir, puis ajoutez une adresse. 4 Répétez cette procédure autant de fois que nécessaire, puis cliquez sur Enregistrer. 198 Chapitre 8 Contrôle Contrôle des aperçus de l’état du serveur à l’aide d’Admin Serveur Admin Serveur possède plusieurs moyens d’afficher un aperçu d’état : sous la forme d’informations détaillées pour un serveur individuel ou sous la forme d’une vue d’ensemble simplifiée de plusieurs serveurs. Pour afficher un aperçu d’état concernant un seul serveur : m Sélectionnez un serveur dans la liste Serveur. L’illustration ci-dessous montre un exemple de sous-fenêtre Aperçu pour un serveur. Cet aperçu indique le matériel de base, les versions de système d’exploitation, les services actifs, des graphiques d’historique du CPU, l’historique du débit du réseau et l’espace disque. Chapitre 8 Contrôle 199 Pour afficher un aperçu d’état concernant plusieurs serveurs : m Sélectionnez un groupe de serveurs, un groupe intelligent, le groupe Tous les serveurs ou le groupe Serveurs disponibles. L’illustration ci-dessous montre un exemple de sous-fenêtre Aperçu pour un groupe de serveurs. Cet aperçu comporte les informations suivantes :  nom d’hôte,  version du système d’exploitation,  graphique d’utilisation actuelle du CPU (pour afficher des nombres plus spécifiques, survolez cet élément avec la souris),  débit réseau actuel,  espace disque utilisé (pour afficher des nombres plus spécifiques, survolez cet élément avec la souris),  durée de fonctionnement,  nombre d’utilisateurs connectés aux services de fichiers. Vous pouvez trier la liste par colonne. 200 Chapitre 8 Contrôle Protocole SNMP (Simple Network Management Protocol) Le protocole SNMP est un protocole couramment utilisé pour contrôler l’état d’un équipement réseau (routeurs et commutateurs intelligents par exemple), d’ordinateurs et d’autres périphériques réseau tels que des onduleurs. Mac OS X Server utilise NetSNMP pour implémenter SNMP v1, SNMP v2c et SNMP v3 à l’aide d’IPv4 et d’IPv6. SNMPv2 est le protocole d’accès par défaut et la chaîne communautaire en lecture seule par défaut est « public ». Activation des rapports SNMP L’accès SNMP n’est pas activé par défaut sur Mac OS X Server. Pour utiliser les outils SNMP afin d’obtenir des données sur votre système Mac OS X Server, configurez le service, puis activez-le. Pour activer SNMP 1 Ouvrez Admin Serveur. 2 Sélectionnez un serveur, cliquez sur le bouton Réglages dans la barre d’outils, puis cliquez sur l’onglet Général. 3 Sélectionnez « Serveur de gestion de réseau (SNMP) ». 4 Cliquez sur Enregistrer. Si SNMP est actif, quiconque ayant établi une route vers l’hôte SNMP peut collecter des données SNMP à partir de celui-ci. 5 Utilisez la ligne de commande pour configurer les paramètres SNMP de base. Le processus SNMP ne démarre pas tant que /etc/snmpd.conf n’a pas été configuré pour le site actuel. Pour plus d’informations sur la procédure de configuration, consultez la section « Configuration de snmpd » à la page 201. Remarque : la configuration par défaut de snmpd utilise le port privilégié 161. Pour cette raison, elle doit être exécutée par root ou à l’aide de setuid. Nous vous conseillons de n’utiliser setuid en tant que root que si vous êtes conscient des conséquences possibles. Dans le cas contraire, faites-vous aider ou procurez-vous des informations supplémentaires. Les options disponibles pour snmpd modifient l’UID et le GID du processus après son démarrage. Pour plus d’informations, consultez la page man de snmpd. Configuration de snmpd Le fichier de configuration (.conf) de snmpd réside généralement dans /etc/snmpd.conf. Si vous possédez une variable d’environnement SNMPCONF, snmpd lit les fichiers snmpd.conf et snmpd.local.conf dans ces répertoires. Pour indiquer d’autres fichiers de configuration, le processus snmpd peut être lancé avec l’option -c. Pour plus d’informations sur l’utilisation des fichiers conf, consultez la page man de snmpd. Chapitre 8 Contrôle 201 Les fichiers de configuration peuvent être créés et installés plus élégamment à l’aide du script intégré /usr/bin/snmpconf. En tant que root, exécutez ce script avec l’option -i pour installer le fichier dans /usr/share/snmp/. Autrement, l’emplacement par défaut du fichier est le dossier de départ de l’utilisateur (~/). Seul l’utilisateur root est autorisé à écrire dans /usr/share/snmp/. Comme snmpd lit ses fichiers de configuration au démarrage, les modifications apportées aux fichiers de configuration nécessitent que le processus soit arrêté puis relancé. Vous pouvez arrêter snmpd à l’aide de ProcessViewer ou à partir de la ligne de commande (kill -HUP <pid>). Pour activer et configurer SNMP : m Utilisez la commande /usr/bin/snmpconf. Elle permet d’ouvrir un assistant de configuration basique sous forme de texte, afin de définir le nom communautaire et d’enregistrer les informations dans le fichier de configuration. Le fichier de configuration snmp se trouve dans /usr/share/snmp/snmpd.conf. Exemple de configuration SNMP Étape 1 : Personnalisez les données 1 Pour personnaliser les données fournies par snmpd, ajoutez un fichier snmpd.conf à l’aide de /usr/bin/snmpconf en tant que root ou à l’aide de sudo, en exécutant cette commande : /usr/bin/snmpconf -i S’il existe des fichiers de configuration, vous pouvez les lire dans l’assistant et incorporer leur contenu au résultat obtenu par l’assistant. 2 Choisissez de lire dans le fichier en indiquant son emplacement : /etc/snmp/snmpd.conf. Une série de menus texte est alors affichée. 3 Effectuez vos choix dans cet ordre : a b c d Sélectionnez un fichier : 1 (snmpd.conf ) Sélectionnez une section : 5 (configuration des informations système) Sélectionnez une section : 1 (emplacement [généralement physique] du système) Emplacement du système : tapez une chaîne de caractères ici — « salle_serveur », par exemple. e Sélectionnez une section : f (terminer) f Sélectionnez une section : f (terminer) g Sélectionnez un fichier : q (quitter) Vous venez de créer un fichier snmpd.conf avec la date du jour comme date de création. Assurez-vous que le fichier existe en saisissant ls 202 Chapitre 8 Contrôle -l /usr/share/snmpd.conf. Étape 2 : Redémarrez snmpd pour valider les modifications 1 Ouvrez Admin Serveur. 2 Sélectionnez un serveur, cliquez sur le bouton Réglages dans la barre d’outils, puis cliquez sur l’onglet Général. 3 Désélectionnez « Serveur de gestion de réseau (SNMP) ». 4 Cliquez sur Enregistrer. Vous pouvez également effectuer cette procédure en interrompant, en tant que root, le processus smnpd, puis en le redémarrant à partir de la ligne de commande : /usr/sbin/snmpd Étape 3 : Collectez des informations SNMP provenant de l’hôte m Pour accéder aux informations disponibles via SNMP que vous venez d’ajouter, exécutez cette commande à partir d’un hôte sur lequel les outils SNMP sont installés : /usr/bin/snmpget -c public <nom_hôte> system.sysLocation.0 Remplacez <nom_hôte> par le nom véritable de l’hôte cible. Vous devriez voir l’emplacement que vous venez d’indiquer. Dans cet exemple, vous verriez : SNMPv2_MIB::system.sysLocation.0 = STRING:\”salle_serveur\” Les autres options du menu sont : /usr/bin/snmpget -c public <nom_hôte> system.sysContact.0 /usr/bin/snmpget -c public <nom_hôte> system.sysServices.0 Le « .0 » final indique que vous recherchez l’objet index. Le mot « public » est le nom de la communauté snmp que vous n’avez pas modifié. Pour plus d’informations sur l’un de ces éléments ou sur la syntaxe snmp, reportez-vous aux didacticiels disponibles sur net-snmp.sourceforge.net. Outils à utiliser avec SNMP Outre snmpget, il existe d’autres outils snmp installés, ainsi que des suites de tierce partie, gratuites ou payantes, présentant différents niveaux de complexité et des fonctions de génération de rapports. Informations supplémentaires Des informations supplémentaires sur SNMP sont disponibles à partir des sources ci-dessous. Pages man La saisie de man -k snmp dans Terminal génère la liste des pages man connues. Sites web Projet Net SNMP :  www.net-snmp.org  net-snmp.sourceforge.net Chapitre 8 Contrôle 203 Ouvrages Essential SNMP, de Douglas Mauro et Kevin Schmidt Éditeur : O’Reilly (deuxième édition, septembre 2005) ISBN : 0-596-00840-6, 460 pages Démons de notification et de contrôle des événements Pour contrôler et journaliser les événements système, le système d’exploitation exécute plusieurs démons qui interceptent les messages provenant des applications et les consignent dans un journal ou agissent sur ces événements. Il existe deux démons principaux de notification : syslogd et emond.  syslogd : le démon syslogd est une méthode UNIX standard de contrôle de systèmes. Il consigne les messages conformément aux réglages figurant dans /etc/syslog.conf. Vous pouvez examiner les fichiers de sortie spécifiés dans cette configuration à l’aide d’un utilitaire d’impression ou d’édition standard, car il s’agit de fichiers en texte clair. Les administrateurs peuvent modifier ces réglages pour définir avec précision les éléments à contrôler. La plupart des administrateurs analysent automatiquement les fichiers d’historique à l’aide de scripts qui effectuent une action prédéfinie dès qu’une information donnée est rencontrée. Ces notifications personnalisées, qui varient en qualité et en utilité, peuvent être personnalisées selon les besoins particuliers du créateur du script. Il est possible de configurer le démon syslogd pour qu’il échange des informations sur le fichier d’historique avec un serveur distant (pour ce faire, modifiez /System/ Bibliothèque/LaunchDaemons/com.apple.syslogd.plist). Cette opération n’est pas conseillée, car syslogd n’utilise pas de connexion sécurisée pour envoyer des messages d’historique sur Internet.  emond : le démon emond constitue le système de contrôle d’événements de Mac OS X Server v10.5. Il s’agit d’un processus unifié qui gère les événements transmis par d’autres processus, agit sur ces événements en fonction d’un ensemble de règles définies, puis envoie un message de notification à l’administrateur. Actuellement, emond est le moteur qu’utilise le système de notification par courrier électronique d’Admin Serveur. Il n’est pas utilisé pour les notifications de Contrôle de serveur. Le service de haut niveau reçoit des événements émanant du client enregistré, puis analyse si l’événement doit être traité conformément aux règles fournies par le service au moment de son enregistrement. Si une réponse est nécessaire, l’action associée à l’événement est effectuée. Pour ce faire, le démon emond se compose de trois parties principales : le moteur de règles, les événements auxquels il peut répondre et les actions qu’il peut entreprendre. 204 Chapitre 8 Contrôle Le moteur de règles d’emond fonctionne comme suit. Il :  lit les informations de configuration dans /etc/emond.d/emond.conf ;  lit les règles dans les fichiers plist figurant dans le répertoire /etc/emond.d/rules/ ;  traite l’événement de démarrage ;  accepte les événements jusqu’à la fin de l’exécution ;  applique les règles associées à l’événement, les déclenchant au gré des besoins ;  effectue les actions spécifiées par les règles qui ont été déclenchées ;  s’exécute au niveau le moins privilégié possible (aucun). AVERTISSEMENT : les formats de fichier et les réglages figurant dans emond.conf et dans les fichiers plist de règles ne font pas l’objet d’une documentation destinée aux utilisateurs. Leur modification n’est pas prise en charge et risque de rendre le système de notification inutilisable. Journalisation Mac OS X Server conserve des fichiers d’historique UNIX standard et des historiques de processus propres à Apple. Les historiques du système d’exploitation sont disponibles dans :  /var/log  /Bibliothèques/Historiques  ~/Bibliothèques/Historiques Chaque processus est responsable de ses propres historiques, du niveau d’historique et du niveau de détail. Chaque processus ou application peut écrire son propre fichier d’historique ou utiliser un historique système standard tel que syslog. L’application Console (dans /Applications/Utilitaires) vous permet de lire ces historiques et d’autres historiques en texte clair, quel que soit leur emplacement. La plupart des services de Mac OS X Server possèdent une sous-fenêtre de journalisation dans Admin Serveur. Vous pouvez y définir les niveaux journalisation et afficher les historiques d’un service particulier. Syslog L’historique système (system log, syslog) est un emplacement polyvalent consolidé, destiné aux messages d’historique des processus. syslog possède plusieurs niveaux de détail d’historique. Si la journalisation est réglée sur le niveau minimal, aucun message détaillé n’est enregistré ; en revanche, le niveau maximal a pour effet de conserver tous les détails, ce qui augmente la taille des historiques et peut les rendre inexploitables. Chapitre 8 Contrôle 205 Le niveau de journalisation que vous utilisez pour syslog peut être adapté en fonction du processus concerné et doit correspondre au niveau nécessaire pour une notification et un débogage efficaces. Niveaux de journalisation syslog (par ordre croissant) Nom du niveau Indicateur de niveau dans syslog.conf Quantité de détails Aucun .none Aucun Urgence .emerg Minimal Alerte .alert Erreur .err Avertissement .warn Avis .notice Info .info Déboguer .debug Maximal Fichier de configuration syslog Le fichier de configuration est disponible dans /etc/syslog.conf. Chaque ligne présente le format suivant : <fonction>.<niveau d’historique> <chemin du fichier d’historique> « fonction » correspond au nom du processus qui écrit dans l’historique, tandis que « chemin du fichier d’historique » correspond au chemin d’accès POSIX standard au fichier d’historique. Il est possible d’utiliser des astérisques (*) comme caractères génériques. Par exemple, le réglage correspondant au noyau est le suivant : kern.* /var/log/system.log Dans cet exemple, le fichier /var/log/system.log recevra tous les messages d’historique émanant du noyau quel que soit leur niveau. De même, le réglage suivant active la journalisation de tous les messages de niveau Urgence provenant de tous les processus dans un fichier d’historique personnalisé nommé « emergencies » : *.emerg /var/log/emergencies.log 206 Chapitre 8 Contrôle Journalisation de débogage du service de répertoire Si vous souhaitez recevoir les informations de débogage envoyées par les processus du service de répertoire alors que vous utilisez Open Directory, choisissez une méthode de journalisation différente de systemlog. Vous devez activer manuellement la journalisation de débogage sur le processus. Une fois activée, cette journalisation de débogage écrit des messages dans le fichier d’historique, à l’emplacement suivant : /Bibliothèque/Logs/DirectoryService/DirectoryService.debug.log Les commandes suivantes doivent être exécutées avec des autorisations de superutilisateur (sudo ou root) : Pour activer ou désactiver manuellement la journalisation de débogage des services de répertoire : killall -USR1 DirectoryService Pour lancer le débogage au démarrage : touch /Library/Preferences/DirectoryService/.DSLogAPIAtStart Remarque : l’historique de débogage ne possède pas sa propre documentation et n’est pas conçu pour une journalisation normale. Il contient de très nombreuses informations difficiles à comprendre. Il affiche les appels d’API, les requêtes de modules et les réponses correspondantes. Journalisation Open Directory Le fichier de configuration se trouve dans /etc/openldap, les historiques dans /var/log/slapd.log. Chaque transaction de répertoire génère un historique de transaction distinct dans la base de données OpenLDAP. Les historiques de base de données et de transaction sont disponibles dans /var/db/openldap/openldap-data. Le processus slapd, qui régit l’utilisation d’Open Directory, possède un paramètre de plus destiné à une journalisation supplémentaire. Pour activer cette dernière, lancez la commande suivante : slapconfig -enablesslapdlog Pour exécuter slapd en mode de débogage : 1 Arrêtez slapd et retirez-le de la liste de surveillance de launchd : launchctl unload /System/Library/LaunchDaemons/org.openldap.plist 2 Redémarrez slapd en mode débogage : sudo /usr/libexec/slapd -d 99 Chapitre 8 Contrôle 207 Journalisation AFP La partie serveur du protocole AFP (Apple File Service Protocol) assure le suivi des accès et des erreurs, mais ne possède pas beaucoup d’informations de débogage. Vous pouvez cependant ajouter la journalisation coté client aux clients AFP, afin de contribuer à la surveillance et au dépannage des connexions AFP. Pour activer la journalisation côté client : Effectuez toutes ces actions sur l’ordinateur client AFP. 1 Réglez le niveau de débogage du client (niveaux 0 à 8) : defaults write com.apple.AppleShareClientCore -dict-add afp_debug_level 4 2 Désignez le destinataire des messages d’historique du client (dans le cas présent, syslog) : defaults write com.apple.AppleShareClientCore -dict-add afp_debug_syslog 1 3 Activez la réception des messages de débogage du client dans syslog : Pour ce faire, ajoutez *.debug /var/log/debug.log au fichier syslogd.conf. 4 Redémarrez le processus syslog. Outils de contrôle supplémentaires Vous pouvez utiliser d’autres outils pour effectuer le contrôle de Mac OS X Server. Il existe plusieurs logiciels de contrôle de serveur de tierce partie, ainsi qu’un outil de contrôle Apple supplémentaire. La présence d’outils de tierce partie dans la liste ci-dessous ne signifie pas qu’Apple en recommande l’utilisation ou fournit une assistance pour ces produits. Ils sont mentionnés ici à titre d’information.  Apple Remote Desktop : les nombreuses fonctionnalités de ce logiciel permettent d’interagir avec des ordinateurs sous Mac OS X et Mac OS X Server, d’obtenir des rapports sur ces ordinateurs et d’assurer leur suivi. Il possède d’excellente fonctions d’administration et de génération de rapports.  Nagios (outil de tierce partie) : cet outil est une application open-source de contrôle de système et de réseau informatique.  Growl (outil de tierce partie) : cet outil est un service de notification extensible et centralisé qui prend en charge la notification locale et distante. 208 Chapitre 8 Contrôle 9 9 Exemple de configuration L’exemple de configuration figurant dans ce chapitre illustre une des manières de configurer les infrastructures de répertoire et de réseau Mac OS X Server pour une petite entreprise. Un seul Mac OS X Server dans une petite entreprise Dans cet exemple, Mac OS X Server fournit des services de répertoire, de réseau et de productivité aux employés d’une petite entreprise : DSL Mac OS X Server (exemple.com) Internet Serveur DNS du FAI 192.168.0.1 Alterner VPN Client Mac OS X Imprimante partagée Clients Windows Clients Mac OS X L’entreprise utilise un réseau local dans ses bureaux pour partager des fichiers et une imprimante. L’acquisition de Mac OS X Server a rendu possible l’implémentation d’un intranet utilisant les services DNS et DSL d’un FAI (fournisseur d’accès à Internet). 209 Voici un résumé des caractéristiques de cette étude de cas :  Un répertoire LDAP maître Open Directory sur le serveur centralise la gestion des utilisateurs, y compris l’authentification des utilisateurs Mac OS X et Windows.  Le service DNS du FAI fournit un nom de domaine DNS à l’entreprise (« exemple.com »).  Un serveur DNS exécuté sous Mac OS X Server fournit les services d’attribution de noms au serveur, à l’imprimante et à tout autre périphérique intranet disposant d’une adresse IP statique.  Un coupe-feu entre le serveur et Internet protège l’intranet de tout accès non autorisé.  Le service NAT permet aux utilisateurs de l’intranet de partager l’adresse IP du FAI pour accéder à Internet. Le service VPN, pour sa part, permet aux employés d’accéder en toute sécurité à l’intranet via Internet s’ils sont amenés à travailler en déplacement.  Le service DHCP sur Mac OS X Server attribue une adresse IP dynamique à chacun des ordinateurs clients de l’intranet. Le serveur et l’imprimante possèdent une adresse statique, mais les ordinateurs clients disposent chacun d’une adresse dynamique. Configuration du serveur Les étapes suivantes résument la configuration de Mac OS X Server pour cette petite entreprise fictive. Pour obtenir des informations complètes relatives à la configuration des services de répertoire, reportez-vous au guide Administration d’Open Directory. Pour en savoir plus sur la configuration d’un service réseau (coupe-feu IP, DHCP, etc.), reportez-vous au guide Administration des services de réseau. Étape 1 : configurez le réseau 1 Assurez-vous que le serveur possède deux interfaces Ethernet (ports) : une pour la connexion de l’intranet (réseau local, LAN) et une pour la connexion du modem DSL. Utilisez l’interface la plus rapide pour la connexion au serveur. Une connexion à 10 Mbits est plus que suffisante pour la connexion DSL. 2 Connectez le serveur au réseau local par le biais de l’interface la plus rapide. Dans notre exemple, le serveur est branché sur un commutateur permettant de connecter des ordinateurs clients et une imprimante partagée. Nous ferons désormais référence à cette interface sous le nom d’interface interne. Les périphériques intranet doivent être connectés à un concentrateur ou un commutateur à l’aide de câbles Ethernet CAT-5 de bonne qualité. Un commutateur à haut débit de 10/100/1000 mégabits est capable de prendre en charge les fonctionnalités de serveur avancées, telles que NetBoot, dont le fonctionnement optimal est lié à la vitesse de connexion. 3 Connectez le serveur au modem DSL à l’aide de l’autre interface Ethernet. Nous ferons désormais référence à cette interface sous le nom d’interface externe. 210 Chapitre 9 Exemple de configuration Étape 2 : contactez le fournisseur d’accès à Internet pour configurer les serveurs DNS externes Les serveurs de noms du FAI doivent servir la zone de l’entreprise, exemple.com, contenant toutes les adresses IP publiques de tous les serveurs et services disponibles pour Internet (par exemple, le serveur web de l’entreprise et sa passerelle VPN). En d’autres termes, la zone gérée par le FAI contient uniquement les adresses IP publiques et le serveur de noms du FAI fournit la redondance nécessaire. Le FAI doit aussi fournir les recherches DNS bidirectionnelles relatives au domaine de la zone pour toute adresse IP externe utilisée. AVERTISSEMENT : cet exemple présuppose que le FAI fournit la résolution DNS dans les deux sens pour l’adresse IP publique et le nom d’ordinateur du serveur. Si ce n’est pas le cas (par exemple, si la configuration de votre FAI n’est pas encore effectuée ou si vous comptez exécuter votre propre serveur de noms sur le serveur même), choisissez Serveur autonome à l’étape 4, puis transformez-le en maître ou réplique Open Directory seulement après avoir configuré un serveur DNS. Étape 3 : configurez un ordinateur d’administration 1 Installez les outils d’administration de serveur qui se trouvent sur le DVD Server Tools. Choisissez un ordinateur doté de Mac OS X 10.5 sur lequel installer les outils. Assurezvous que la communication réseau entre l’ordinateur administrateur et le serveur cible fonctionne. Pour obtenir des instructions complémentaires, consultez la section « Préparation d’un ordinateur administrateur » à la page 88. 2 Remplissez la Feuille d’opérations avancée Mac OS X Server située en annexe à la page 221. Ces informations seront nécessaires pour les différentes sous-fenêtres de l’assistant. Étape 4 : configurez le serveur et le répertoire maître 1 Démarrez le serveur à partir du DVD d’installation. La procédure à suivre dépend du type de matériel installé sur le serveur. Pour notre exemple, partons du principe que l’ordinateur possède un clavier et un lecteur DVD. Allumez l’ordinateur, insérez le DVD d’installation dans le lecteur optique, puis redémarrez l’ordinateur tout en maintenant la touche C du clavier enfoncée. Le chapitre 5, « Installation et déploiement » à la page 85 contient des instructions relatives à d’autres méthodes d’installation, telles que l’installation sur un serveur sans lecteur optique ou l’installation depuis un environnement NetInstall. 2 Démarrez l’Assistant réglages sur l’ordinateur administrateur. 3 Une fois l’Assistant réglages ouvert, choisissez « Installer Mac OS X Server sur un ordinateur distant ». Chapitre 9 Exemple de configuration 211 4 Avancez dans les écrans d’installation en suivant les instructions affichées. Si vous devez formater le disque cible, consultez la section « Préparation des disques pour l’installation de Mac OS X Server » à la page 98 pour suivre les instructions de préparation de disques en vue de l’installation de Mac OS X Server. Le serveur redémarre une fois l’installation terminée. 5 Après avoir redémarré, rouvrez Assistant du serveur, puis choisissez l’option « Configurer un ordinateur distant ». 6 Utilisez les sous-fenêtres Langue et Clavier pour refléter la langue d’administration du serveur. 7 Dans la sous-fenêtre Compte d’administrateur, saisissez les nom et mot de passe de l’administrateur du serveur, puis cliquez sur Continuer. 8 Si vous ne retrouvez pas le serveur récemment installé dans la sous-fenêtre Noms de réseau, cliquez sur le bouton Ajouter (+), tapez l’adresse IP, saisissez les nom et mot de passe par défaut de l’administrateur, puis cliquez sur Continuer. Pour en savoir plus, consultez la section « Connexion au réseau lors de la configuration initiale du serveur » à la page 118. 9 Avancez dans les écrans d’installation en suivant les instructions affichées. 10 Assurez-vous que la sous-fenêtre Interfaces réseau contient la liste des interfaces Ethernet internes et externes. 11 Assurez-vous que l’interface externe est la première mentionnée dans la sous-fenêtre Interfaces réseau. La première interface de la liste correspond à l’interface principale, ou interface par défaut. Le trafic réseau provenant du serveur est acheminé vers l’interface principale. VPN l’utilise comme réseau public et traite toutes les autres interfaces de la liste comme réseau privé. 12 Cliquez sur Continuer. La sous-fenêtre Connexion TCP/IP apparaît pour chaque interface Ethernet. 13 Pour l’interface externe, choisissez Manuellement dans la liste locale Configurer IPv4, puis saisissez l’adresse IP, le masque de sous-réseau et la ou les adresses IP de serveurs DNS que votre FAI vous a fournies. Pour une configuration à double interface telle que celle de notre exemple, toutes les requêtes DNS sont acheminées à l’interface principale. Par conséquent, si vous exécutez le service DNS sur votre serveur, saisissez également l’adresse IP publique de la passerelle dans le champ Serveurs de nom. Pour une configuration manuelle, placez l’interface en haut de la liste de façon à ce qu’elle soit consultée avant les serveurs de votre FAI, puis cliquez sur Continuer. 212 Chapitre 9 Exemple de configuration 14 Si vous comptez utiliser l’Assistant réglages de passerelle (accessible à partir de la section Service NAT d’Admin Serveur) pour configurer les réglages du réseau, vous n’avez pas à configurer d’interface interne. Dans le cas contraire, saisissez les valeurs suivantes pour l’interface interne, puis cliquez sur Continuer :      Configurer IPv4 : Manuellement Adresse IP : 192.168.0.1 (les valeurs 192.168 sont réservées aux réseaux locaux internes) Masque de sous-réseau : 255.255.0.0 Routeur : 192.168.0.1 Serveurs DNS : 192.168.0.1 15 Dans la sous-fenêtre Utilisation du répertoire, choisissez Maître Open Directory pour configurer un répertoire LDAP partagé sur le serveur ; sélectionnez ensuite « Activer le contrôleur de domaine principal Windows », puis saisissez un nom de domaine/groupe de travail. Ces réglages permettent de configurer un PDC Windows afin que les employés utilisant une station de travail Windows NT, Windows 2000 ou Windows XP puissent ouvrir une session sur le PDC, changer de mot de passe durant leur session et disposer de profils d’utilisateur itinérant et de dossiers de départ réseau sur le serveur. Un seul compte utilisateur suffit à chaque utilisateur pour ouvrir une session à partir d’une station de travail Windows ou d’un ordinateur Mac OS X et accéder au même dossier de départ réseau. 16 Cliquez sur Continuer. 17 Suivez les dernières instructions de l’assistant, puis cliquez sur Appliquer pour lancer la configuration du serveur. Le serveur redémarre une fois la configuration terminée. 18 Ouvrez une session sur le serveur sous l’identité de l’administrateur que vous avez défini à l’aide de l’Assistant du serveur. 19 Configurez les réglages réseau du serveur. Pour ce faire, la méthode la plus simple consister à passer par l’Assistant réglages de passerelle (voir l’étape 4). Vous pouvez également configurer chaque service réseau à l’aide d’Admin Serveur (voir étapes 5 à 8). Étape 5 : utilisez l’Assistant réglages de passerelle pour automatiser la configuration réseau du serveur 1 Ouvrez Admin Serveur sur l’ordinateur administrateur. 2 Si vous ne l’avez pas encore fait, connectez-vous au serveur et authentifiez-vous sous l’identité de l’administrateur que vous avez défini à l’aide de l’Assistant du serveur. 3 Sélectionnez le serveur et ajoutez les services à utiliser. Pour cette étape, sélectionnez le service NAT et le service Coupe-feu. Chapitre 9 Exemple de configuration 213 4 Dans la sous-fenêtre Vue d’ensemble du serveur que vous configurez, cliquez sur le service NAT. 5 Ouvrez l’Assistant réglages de passerelle en cliquant sur le bouton situé dans la sous-fenêtre de la vue d’ensemble du service NAT. 6 Suivez les instructions affichées dans les sous-fenêtres en fournissant les informations demandées. Dans la sous-fenêtre Port WAN, sélectionnez le port configuré comme interface externe lors de la configuration initiale. Dans la sous-fenêtre Réglages VPN, activez VPN, puis spécifiez un secret partagé à utiliser pour les connexions client. Dans la sous-fenêtre Ports LAN, sélectionnez le port destiné à servir d’interface interne. 7 Une fois que l’Assistant réglages de passerelle a terminé la configuration du réseau et que vous avez fermé l’application, passez à l’étape 9. Étape 6 : configurez le coupe-feu 1 Ouvrez Admin Serveur sur l’ordinateur administrateur. 2 Si ce n’est pas encore fait, connectez-vous au serveur et authentifiez-vous sous l’identité de l’administrateur que vous avez défini à l’aide de l’Assistant du serveur. 3 Dans la liste des services, cliquez sur Coupe-feu. 4 Cliquez sur « Démarrer le coupe-feu » dans la barre d’action inférieure. 5 Cliquez sur Réglages, puis sélectionnez Services. 6 Choisissez « Modifier les services pour » le groupe d’adresses intitulé « 192.168-net ». 7 Choisissez « Autorisé » pour les services que vous voulez mettre à la disposition des employés travaillant au bureau. Sélectionnez au moins Service DNS, DHCP et NetBoot. 8 Choisissez « Modifier les services pour » le groupe d’adresses intitulé « Quelconque ». 9 Cliquez sur Services et sélectionnez « Autorisé » pour les services que vous voulez mettre à la disposition des clients externes à travers le coupe-feu. Sélectionnez au moins L2TP VPN, IKE et DHCP. 10 Cliquez sur Enregistrer. Étape 7 : configurez le service DNS Le DNS de Leopard Server gère les informations de zone (par exemple, tous les noms d’hôte complets du site local, tels que « site1.exemple.com ») en mappant cette zone privée sur des adresses IP locales privées. Cela permet d’éviter d’avoir à ajouter des serveurs publics au DNS local. 214 Chapitre 9 Exemple de configuration De plus, une zone de réexpédition DNS est configurée pour rechercher dans les enregistrements DNS du FAI tout ce qui est introuvable dans la zone DNS locale (telles les adresses IP des serveurs web d’autres organisations, comme www.apple.com). Remarque : comme nous l’avons mentionné à l’étape 2, cet exemple part du principe que votre FAI assure les services de résolution DNS bidirectionnelle pour la zone de votre entreprise <exemple.com>, notamment la résolution de l’adresse IP publique du serveur. Le serveur de noms interne utilise par conséquent une zone interne telle que <site1.exemple.com> qui conserve les adresses IP privées du serveur et de tous les autres périphériques du réseau local. 1 Dans Admin Serveur, sélectionnez DNS dans la liste des services. 2 Cliquez sur Zones, sur le bouton Ajouter (+) sous la liste Zones, puis sélectionnez « Ajouter une zone principale ». 3 Sélectionnez la zone par défaut, puis adaptez-la à votre entreprise. Dans notre cas, les réglages sont les suivants :  Nom de la zone principale : exemple.com  Adresse du serveur de noms : 192.168.0.1  Adresse de l’admin. : [email protected] 4 Ajoutez un enregistrement de machine à la zone en sélectionnant cette dernière, en cliquant sur « Ajouter un enregistrement », puis en sélectionnant « Ajouter une machine (A) » via le bouton local. 5 Sélectionnez l’enregistrement de machine situé sous le nom de la zone, modifiez-le en adoptant les réglages ci-dessous, puis cliquez sur Enregistrer une fois terminé.  Nom de la machine : myserver  Adresse IP : 192.168.0.1 6 À l’aide des réglages suivants, ajoutez d’autres ordinateurs à la zone. Par exemple, pour ajouter une imprimante, cliquez sur le bouton Ajouter, indiquez des valeurs applicables à l’imprimante, puis cliquez sur OK :  Adresse IP : 192.168.100.2  Nom : laserprinter_2000 7 Cliquez sur Réglages pour régler le serveur de façon à ce qu’il recherche à l’extérieur tout nom de domaine qu’il ne contrôle pas. 8 Dans la liste « Adresses IP du réexpéditeur », cliquez sur le bouton Ajouter (+) pour ajouter les adresses DNS fournies par le FAI. 9 Cliquez sur Enregistrer, puis cliquez sur Démarrer le DNS. Chapitre 9 Exemple de configuration 215 Étape 8 : configurez le service DHCP Cette étape permet de configurer un serveur DHCP fournissant des adresses IP dynamiques aux ordinateurs des employés, ainsi que l’identité des serveurs DNS, LDAP et WINS à utiliser. Si la politique de recherche d’un ordinateur client est réglée sur Automatique (à l’aide de l’application Utilitaire d’annuaire sur l’ordinateur client), l’identité des serveurs DNS, LDAP et WINS est fournie en même que temps que les adresses IP. 1 Dans Admin Serveur, assurez-vous que le service DNS est en cours d’exécution. 2 Sélectionnez DHCP dans la liste des services. 3 Cliquez sur Sous-réseaux. 4 Cliquez sur le bouton Ajouter (+) pour définir la plage d’adresses à attribuer de manière dynamique. Cette plage doit être suffisamment étendue pour accueillir tous les ordinateurs clients, présents et futurs. Veillez à exclure quelques adresses (en début ou en fin de plage) de façon à les réserver aux périphériques nécessitant une adresse IP statique ou aux utilisateurs du VPN. Voici quelques exemples de valeurs :      Masque de sous-réseau : 255.255.0.0 Adresse IP de début de plage : 192.168.0.2 Adresse IP de fin de plage : 192.168.0.102 Interface réseau : en1 Routeur : 192.168.0.1 5 Assurez-vous que la sous-fenêtre DNS contient les valeurs suivantes :  Domaine par défaut : exemple.com  Serveurs de nom : 192.168.0.1 6 Cliquez sur LDAP pour configurer le service DHCP afin d’identifier le serveur que vous configurez comme source d’informations de répertoire pour les clients recevant des adresses IP dynamiques. Le serveur que vous configurez doit être identifié dans le champ Nom du serveur, car vous l’avez configuré comme maître Open Directory lorsque vous avez utilisé Assistant du serveur. Les autres réglages sont facultatifs pour cet exemple. 7 Cliquez sur WINS pour configurer DHCP afin de fournir des paramètres propres à Windows aux clients recevant des adresses IP dynamiques ; indiquez ensuite les valeurs suivantes :  Serveur primaire WINS/NBNS : 192.168.0.1  Type de nœud NBT : Diffusion (nœud-b) 216 Chapitre 9 Exemple de configuration 8 Cliquez sur Enregistrer, activez l’interface Ethernet interne, puis cliquez sur Démarrer le DHCP. Étape 9 : configurez le service NAT 1 Dans Admin Serveur, sélectionnez NAT dans la liste des services. 2 Cliquez sur Réglages. 3 Sélectionnez l’interface externe dans le menu local « Interface réseau externe ». 4 Cliquez sur Enregistrer, puis sur Démarrer le NAT. Étape 10 : configurez le service VPN 1 Dans Admin Serveur, sélectionnez VPN dans la liste des services. 2 Cliquez sur Réglages. 3 Activez L2TP via IPSec pour les utilisateurs d’ordinateurs Mac OS X 10.5, les utilisateurs de stations de travail Linux ou UNIX et les utilisateurs de Windows XP. Bien qu’il soit également possible d’utiliser PPTP, L2TP procure plus de sécurité car il exploite le protocole IPSec. 4 Saisissez des adresses IP de début et de fin pour indiquer au serveur VPN la plage qu’il peut attribuer aux clients. Ne reprenez pas les adresses servies par le serveur DHCP. Évitez également celles que vous spécifiez si vous activez le protocole PPTP. 5 Saisissez un secret partagé suffisamment complexe dans le champ « Secret partagé ». Utilisez par exemple des chiffres, des symboles et des caractères en majuscules et en minuscules pour former des combinaisons inhabituelles. La longueur recommandée est de 8 à 12 caractères. 6 Activez le protocole PPTP si les employés nécessitent un accès à l’intranet soit à partir de postes de travail Windows autres que des ordinateurs Windows XP, soit à partir d’ordinateurs Mac OS X 10.2, lorsqu’ils travaillent en déplacement. Pour prendre en charge des clients Windows de versions plus anciennes et non compatibles avec PPTP 128 bits, sélectionnez « Autoriser les clés de cryptage 40 bits, outre celles de 128 bits ». 7 Saisissez des adresses IP de début et de fin pour indiquer au serveur VPN la plage qu’il peut attribuer aux clients. Ne reprenez pas les adresses servies par le serveur DHCP. Évitez également celles que vous avez spécifiées au moment de l’activation du protocole L2TP via IPSec. 8 Cliquez sur Enregistrer, puis cliquez sur Démarrer le VPN. Chapitre 9 Exemple de configuration 217 Étape 11 : configurez les services de productivité L’infrastructure nécessaire pour configurer les services de fichiers, les services d’impression et d’autres services de productivité est désormais disponible. Suivez les instructions fournies dans les guides d’administration appropriés (dont la liste est présentée à la page 13) pour configurer les services qui vous intéressent. De nombreux services, tels que le service de fichiers Apple, requièrent une configuration minimale. Démarrez-les simplement à l’aide d’Admin Serveur. Étape 12 : créez des comptes utilisateurs et leurs dossiers de départ 1 Ouvrez Gestionnaire de groupe de travail. 2 Si vous ne l’avez pas encore fait, connectez-vous au serveur et authentifiez-vous sous l’identité de l’administrateur que vous avez défini à l’aide de l’Assistant du serveur. Le répertoire LDAP maître Open Directory est modifiable. Vous pouvez ajouter un compte pour chaque employé à ce répertoire maître. 3 Cliquez sur le bouton Nouvel utilisateur. 4 Spécifiez les réglages d’utilisateur dans les différentes sous-fenêtres. Le guide Gestion des utilisateurs vous indique comment configurer tous les attributs des comptes utilisateur, notamment les dossiers de départ. Il explique également comment gérer des utilisateurs en configurant des comptes de groupe et des listes d’ordinateurs, et comment configurer les préférences permettant de personnaliser les environnements de travail des clients Macintosh. Les guides Gestion des utilisateurs et Administration d’Open Directory expliquent comment mettre en place la prise en charge spécifique des utilisateurs de postes de travail Windows. Étape 13 : configurez les ordinateurs clients Les informations suivantes s’appliquent aux ordinateurs Mac OS X 10.5. 1 Si nécessaire, configurez les clients Mac OS X afin qu’ils obtiennent des informations du serveur DHCP. Les ordinateurs Mac OS X 10.5 sont configurés pour obtenir des adresses IP via DHCP et récupérer les informations de répertoire LDAP à partir du serveur DHCP. Une fois que vous avez configuré le service DHCP à l’aide d’informations relatives à un répertoire LDAP, ces informations sont transmises aux clients Mac OS X lorsqu’ils reçoivent leur adresse IP du serveur DHCP. Les réglages suivants sont préconfigurés :  Les préférences Réseau sont définies de façon à exploiter le protocole DHCP. Pour accéder au réglage, ouvrez les Préférences Système, ouvrez les préférences Réseau, sélectionnez l’interface Ethernet interne, puis l’option « Utilisation de DHCP avec une adresse manuelle » ou « Via DHCP » dans le menu local Configurer IPv4. 218 Chapitre 9 Exemple de configuration  La politique de recherche de l’ordinateur est réglée pour être définie automatiquement. Pour accéder à ce réglage, ouvrez Utilitaire d’annuaire (dans /Applications/Utilitaires/), puis cliquez sur Authentification. Si le cadenas est fermé, cliquez dessus et authentifiez-vous en tant qu’administrateur. Sélectionnez Automatique dans le menu local Rechercher, puis cliquez sur Appliquer.  La fourniture d’informations LDAP par DHCP est activée. Pour accéder à ce réglage, ouvrez Utilitaire d’annuaire et cliquez sur Services. Si le cadenas est fermé, cliquez dessus et authentifiez-vous en tant qu’administrateur. Sélectionnez LDAPv3 dans la liste des services, puis cliquez sur Configurer. Cliquez sur « Utiliser le serveur LDAP fourni par DHCP », puis sur OK. 2 Configurez les clients Mac OS X afin qu’ils puissent utiliser le serveur VPN. 3 Ouvrez l’application Connexion à Internet (dans /Applications/), puis cliquez sur VPN dans la barre d’outils. 4 Sélectionnez L2TP via IPSec ou PPP, puis cliquez sur Continuer. 5 Dans le menu local Configurations, choisissez Modifier les configurations. 6 Saisissez l’adresse IP externe communiquée par le FAI, les nom et mot de passe de l’utilisateur de l’ordinateur et, si vous avez choisi l’option L2TP via IPSec, le secret partagé. 7 Cliquez sur OK. Chapitre 9 Exemple de configuration 219 Annexe Feuille d’opérations avancées de Mac OS X Server Saisissez les réglages du serveur dans les tableaux ci-dessous : Nom du serveur : Élément Description Identité du serveur distant pour l’installation et la configuration Pour l’installation et la configuration interactives d’un serveur distant sur le sous-réseau local, l’une de ces valeurs du serveur : - Adresse IP au format IPv4 (000.000.000.000) - Nom d’hôte (serveur.exemple.com) - Adresse MAC (00:03:93:71:26:52) Pour les installations et configurations à partir de la ligne de commande ou d’un sous-réseau distant, l’adresse IP du serveur cible au format IPv4. Mot de passe prédéfini (pour l’installation et la configuration à distance) Les huit premiers chiffres du numéro de série matériel du serveur cible, imprimé sur une étiquette collée sur l’ordinateur. Pour les anciens ordinateurs ne portant pas ce type de numéro, tapez 12345678. Type d’installation Mise à niveau à partir de la version 10.3.9 ou de la dernière version 10.4, installation complète sans formatage de disque ou installation spéciale. Le volume (partition) cible est effacé lorsque vous effectuez une nouvelle installation. Disque ou partition cible. Nom du disque ou de la partition (volume) cible. Format de disque (lorsque l’effacement du disque est validé) Format du disque cible. Dans la plupart des cas, utilisez Mac OS Étendu (journalisé). Vous pouvez aussi utiliser le format Mac OS étendu ou le format HFS+ sensible à la casse. Partitionnement de disque (lorsque l’effacement du disque est validé) Indiquez si vous souhaitez partitionner le disque cible. La taille minimum recommandée d’une partition de disque cible est de 4 Go. Vos informations 221 Élément Description Mise en miroir RAID (lorsque l’effacement du disque est validé et que vous disposez d’un deuxième disque physique sur le serveur cible) Indiquez si vous souhaitez configurer la mise en miroir RAID. Le deuxième disque est utilisé automatiquement si le disque principal n’est pas disponible. Si le disque cible comporte une partition unique et que le deuxième disque physique comporte une partition unique sans aucune donnée, vous pouvez configurer la mise en miroir RAID après l’installation. Cependant, afin d’éviter toute perte de données, configurez la mise en miroir RAID le plus tôt possible. Utilisation de données de configuration enregistrées Si vous voulez utiliser les données de configuration enregistrées pour configurer ce serveur, identifiez le fichier ou le répertoire dans lequel elles sont stockées . Si les données sont chiffrées, identifiez également la phrase secrète. Si vous souhaitez enregistrer des réglages dans un fichier ou un répertoire, utilisez l’une des deux lignes suivantes. Enregistrement des Nommez le fichier à l’aide de l’une des options données de configu- suivantes : ration dans un fichier  <adresse-MAC-du-serveur>.plist (notez les zéros initiaux mais omettez les deux-points, par exemple, 0030654dbcef.plist) ;  <adresse-IP-du-serveur>.plist (par exemple, 10.0.0.4.plist) ;  <nom-DNS-partiel-du-serveur>.plist (par exemple, monserveur.plist) ;  <numéro-de-série-matériel-intégré-du-serveur>.plist (huit premiers caractères, par exemple, ABCD1234.plist) ;  <nom-DNS-complet-du-serveur>.plist (par exemple, monserveur.exemple.com.plist) ;  <adresse-IP-partielle-du-serveur>.plist (par exemple, 10.0.plist correspond à 10.0.0.4 et 10.0.1.2) ;  générique.plist (fichier que tout serveur reconnaîtra, utilisé pour configurer les serveurs qui nécessitent les mêmes valeurs de configuration). Si vous chiffrez le fichier, vous pouvez enregistrer la phrase secrète dans un fichier nommé selon les conventions ci-dessus, mais utilisez l’extension .pass plutôt que .plist. Placez les fichiers à un emplacement où ils pourront être détectés par le ou les serveurs cibles. Un serveur peut détecter les fichiers qui résident sur un volume monté localement dans/Volumes/*/ Auto Server Setup/, où * correspond à n’importe quel périphérique monté sous /Volumes. 222 Annexe Feuille d’opérations avancées de Mac OS X Server Vos informations Élément Description Enregistrement de données de configuration dans un répertoire Accédez au répertoire dans lequel vous souhaitez enregistrer la configuration, puis nommez l’enregistrement de configuration à l’aide d’une des options suivantes :  <adresse-MAC-du-serveur (notez les zéros initiaux mais omettez les deux-points, par exemple, 0030654dbcef ) ;  <adresse-IP-du-serveur> (par exemple, 10.0.0.4) ;  <nom-DNS-partiel-du-serveur> (par exemple, monserveur) ;  <numéro-de-série-matériel-intégré-du-serveur (huit premiers caractères, par exemple, ABCD1234) ;  <nom-DNS-complet-du-serveur (par exemple, monserveur.exemple.com) ;  <adresse-IP-partielle-du-serveur (par exemple, 10.0 correspond à 10.0.0.4 et 10.0.1.2) ;  générique (enregistrement que tout serveur reconnaîtra, utilisé pour configurer les serveurs qui nécessitent les mêmes valeurs de configuration). Si vous chiffrez le fichier, vous pouvez enregistrer la phrase secrète dans un fichier nommé à l’aide des conventions ci-dessus, mais utilisez l’extension .pass. Placez le fichier de phrase secrète à un emplacement où il pourra être détecté par le ou les serveurs cibles. Un serveur peut détecter le fichier s’il réside sur un volume monté localement dans /Volumes/*/Auto Server Setup/, où * correspond à tout périphérique monté sous /Volumes. Langue Langue à utiliser pour l’administration du serveur (anglais, japonais, français ou allemand). La langue affecte les formats de date et d’heure du serveur, le texte affiché et l’encodage par défaut utilisé par le serveur AFP. Configuration de clavier Clavier de l’administration du serveur. Annexe Feuille d’opérations avancées de Mac OS X Server Vos informations 223 224 Élément Description Numéro de série Numéro de série de votre copie de Mac OS X Server. Vous avez besoin d’un nouveau numéro de série pour Mac OS X Server 10.5. Le format est xsvr-999-999-x-xxx-xxx-xxx-xxx-xxxxxx-x, où x est une lettre et 9 un chiffre. Le premier élément (xsvr) et le quatrième (x) doivent être en minuscules. Excepté si vous possédez une licence de site, vous avez besoin d’un numéro de série unique pour chaque serveur. Vous trouverez le numéro de série du logiciel serveur imprimé sur les documents fournis avec le logiciel. Si vous possédez une licence de site, vous devez saisir les noms du propriétaire enregistré et de l’organisation exactement tels qu’ils ont été spécifiés par votre représentant Apple. Si vous configurez un serveur à l’aide d’un fichier de configuration ou d’un enregistrement de répertoire génériques et que le numéro de série ne correspond pas à une licence de site, vous devez saisir le numéro de série du serveur à l’aide d’Admin Serveur. Nom long de l’administrateur (parfois appelé nom complet ou nom réel) Un nom long ne doit pas être composé de plus de 255 octets. Le nombre de caractères va de 0 à 255. Les caractères romains sont limités à 85 caractères à 3 octets. Ce nom peut comporter des espaces. Il ne doit pas être identique à un nom d’utilisateur prédéfini, tel que l’administrateur système. Il respecte la casse dans la fenêtre d’ouverture de session, mais pas lors de l’accès aux serveurs de fichiers. Nom abrégé de l’administrateur Le nom abrégé peut contenir jusqu’à 255 caractères romains, même s’il se limite généralement à huit ou moins. N’utilisez que les caractères a à z, A à Z, 0 à 9, _ (trait de soulignement) ou - (trait d’union). Évitez les noms abrégés affectés par Apple à des utilisateurs prédéfinis, tels que « root ». Annexe Feuille d’opérations avancées de Mac OS X Server Vos informations Élément Description Mot de passe de l’administrateur Cette valeur distingue les majuscules des minuscules et doit contenir au moins 4 caractères. Il s’agit également du mot de passe de l’utilisateur root. Si vous enregistrez cette valeur, veillez à conserver cette feuille d’opérations en lieu sûr. À l’issue de la configuration, utilisez le Gestionnaire de groupe d’opérations pour changer le mot de passe de ce compte. Nom d’hôte Vous ne pouvez pas spécifier ce nom lors de la configuration du serveur. L’Assistant du serveur configure le nom d’hôte sur AUTOMATIC dans /etc/hostconfig. Avec ce réglage, le nom d’hôte du serveur est le premier nom qui est vrai dans cette liste : - Le nom fourni par le serveur DHCP ou BootP pour l’adresse IP principale - Le premier nom renvoyé par une requête DNS inversé (adresse-vers-nom) pour l’adresse IP principale - Le nom d’hôte local - Le nom « localhost » Nom de l’ordinateur Le nom AppleTalk et le nom par défaut utilisé pour SLP/DA. Indiquez un nom de 63 caractères ou moins, mais évitez d’utiliser les caractères =, : et @. L’Explorateur réseau du Finder utilise le protocole SMB pour rechercher des ordinateurs fournissant le partage de fichiers Windows. Pour le protocole SMB, les espaces sont supprimés dans les noms d’ordinateur. Ces noms sont limités à un maximum de 15 caractères et ne peuvent contenir de caractères spéciaux et de signes de ponctuation. Nom d’hôte local Le nom qui désigne un ordinateur sur un sousréseau local. Il peut contenir des lettres minuscules, des chiffres et/ou des traits d’union (mais pas aux extrémités). Le nom se termine par « .local » et doit être unique sur un sous-réseau local. Données d’interface réseau Votre serveur est équipé d’un port Ethernet intégré et éventuellement d’un port supplémentaire (intégré ou ajouté). Enregistrez les informations de chaque port à activer. Annexe Feuille d’opérations avancées de Mac OS X Server Vos informations Enregistrez les données relatives à chaque port dans le tableau fourni plus loin dans cette feuille d’opérations. 225 Élément Description Utilisation des répertoires Sélectionnez l’un des éléments suivants : - Serveur autonome (utilisez uniquement le répertoire local). - Connecté à un système de répertoire (obtenez des informations d’un autre répertoire partagé du serveur). Si vous sélectionnez cette option, utilisez l’une des quatre lignes suivantes de ce tableau pour indiquer la façon dont le serveur se connecte au répertoire. - Maître Open Directory (fournissez les informations de répertoire aux autres ordinateurs). Si vous choisissez cette option, utilisez la ligne Utilisation du maître Open Directory. - Aucune modification (pour les mises à niveau seulement). Utilisation de Tel que spécifié par le serveur DHCP Le répertoire à utiliser est identifié par un serveur DHCP configuré pour fournir l’adresse et la base de recherche d’un serveur LDAP (DHCP option 95). Utilisation d’un serveur Open Directory Le répertoire à utiliser est un répertoire LDAP identifié par un serveur DHCP ou en spécifiant une adresse IP ou un nom de domaine de serveur LDAP. Vos informations Utilisation d’un autre Les répertoires à utiliser sont configurés à l’aide serveur de répertoire de l’application Utilitaire d’annuaire une fois que vous avez terminé la configuration du serveur. Utilisation de maître Open Directory Vous pouvez, si vous le souhaitez, indiquer que vous voulez activer un contrôleur de domaine principal Windows sur le serveur. Indiquez un nom d’ordinateur et un domaine Windows pour le serveur. Le nom d’ordinateur et le domaine peuvent contenir les caractères a à z, A à Z, 0 à 9, -, mais pas de . ou d’espace ; en outre, ils ne peuvent pas être composés uniquement de chiffres. Terminez la configuration du répertoire à héberger à l’aide d’Admin Serveur une fois la configuration du serveur achevée. Fuseau horaire Choisissez le fuseau horaire que le serveur doit utiliser. Horloge réseau Indiquez éventuellement un serveur horloge de réseau. Apple recommande de préserver la précision de l’horloge du serveur en la synchronisant avec un serveur horloge de réseau. Les réglages de configuration du port suivant apparaissent dans le tableau ci-dessous : Nom du port : Ethernet intégré 226 Annexe Feuille d’opérations avancées de Mac OS X Server Élément Description Vos informations Nom du périphérique Un nom UNIX du port au format en x, où x commence par 0. Pour connaître la valeur de x pour le port que vous décrivez, reportez-vous au manuel fourni avec le matériel. La valeur en0 désigne toujours un port Ethernet intégré. en0 Adresse Ethernet L’adresse MAC (Media Access Control) du port (00:00:00:00:00:00). Cette valeur se trouve généralement sur un autocollant apposé sur le serveur, mais vous pouvez également exécuter Informations Système Apple ou un outil de ligne de commande tel que networksetup pour retrouver cette valeur. TCP/IP et AppleTalk Indiquez si vous souhaitez activer le port pour TCIP/IP et/ou AppleTalk. Vous pouvez connecter un port à Internet en activant TCP/IP et utiliser le même port ou un autre port pour AppleTalk. N’activez pas plus d’un port pour AppleTalk. Ordre des ports Si vous activez plusieurs ports, indiquez l’ordre dans lequel vous devez accéder aux ports lors de la tentative de connexion à un réseau. L’ensemble du trafic réseau non local utilise le premier port actif. Réglages TCP/IP Utilisez l’une des quatre lignes suivantes de ce tableau. Manuellement Spécifiez ces réglages pour effectuer manuellement les réglages TCP/IP : - Adresse IP (000.000.000.000). Adresse statique unique. - Masque de sous-réseau (000.000.000.000). Utilisé pour localiser le sous-réseau sur le réseau local où se trouve le serveur. Ce masque est utilisé pour déduire la partie réseau de l’adresse du serveur. Le reste identifie l’ordinateur serveur sur ce réseau. - Routeur (000.000.000.000) prenant en charge le sousréseau sur lequel réside le serveur. Le routeur est l’ordinateur du sous-réseau local auquel les messages sont envoyés si l’adresse IP cible ne se trouve pas sur le sousréseau local. - Serveurs DNS (000.000.000.000) utilisés pour convertir les adresses IP en noms DNS complets (et inversement) pour le port. - Domaines de recherche (facultatif ). Noms à ajouter automatiquement aux adresses Internet lorsque vous ne les tapez pas entièrement. Par exemple, si vous indiquez « campus.univ.edu » comme domaine de recherche, vous pouvez saisir « serveur1 » dans la zone de dialogue « Se connecter au serveur » du Finder pour vous connecter à serveur1.campus.univ.edu. Annexe Feuille d’opérations avancées de Mac OS X Server 227 228 Élément Description Via DHCP avec saisie manuelle de l’adresse IP Spécifiez ces réglages pour utiliser un serveur DHCP afin d’attribuer une adresse IP statique et éventuellement d’autres réglages pour le port. Assurez-vous que le serveur DHCP est configuré et que le service DHCP est en cours d’exécution lorsque vous entamez la configuration du serveur : - Adresse IP (000.000.000.000). Adresse statique unique. - Serveurs DNS (000.000.000.000) utilisés pour convertir les adresses IP en noms DNS complets (et inversement) pour le port. - Domaines de recherche (facultatif ). Noms à ajouter automatiquement aux adresses Internet lorsque vous ne les tapez pas entièrement. Par exemple, si vous indiquez « campus.univ.edu » comme domaine de recherche, vous pouvez saisir « serveur1 » dans la zone de dialogue « Se connecter au serveur » du Finder pour vous connecter à serveur1.campus.univ.edu. Via DHCP Indiquez ces réglages si vous souhaitez utiliser un serveur DHCP pour attribuer une adresse IP dynamique et éventuellement d’autres réglages au port. Assurez-vous que le serveur DHCP est configuré et que le service DHCP est en cours d’exécution lorsque vous entamez la configuration du serveur : - Identifiant client DHCP (facultatif ). Chaîne utile pour reconnaître un port lorsque son adresse IP change. Ne spécifiez pas d’identifiant client DHCP lors de l’utilisation de l’Assistant du serveur pour configurer le serveur à distance. En revanche, après la configuration, utilisez les préférences Réseau du serveur pour définir un identifiant client DHCP. - Serveurs DNS (000.000.000.000) utilisés pour convertir les adresses IP en noms DNS complets (et inversement) pour le port. - Domaines de recherche (facultatif ). Noms à ajouter automatiquement aux adresses Internet lorsque vous ne les tapez pas entièrement. Par exemple, si vous indiquez « campus.univ.edu » comme domaine de recherche, vous pouvez saisir « serveur1 » dans la zone de dialogue « Se connecter au serveur » du Finder pour vous connecter à serveur1.campus.univ.edu. Annexe Feuille d’opérations avancées de Mac OS X Server Vos informations Élément Description Via BootP Spécifiez ces réglages si vous souhaitez utiliser un serveur de protocole Bootstrap pour attribuer une adresse IP au port identifié. Avec BootP, la même adresse IP est toujours affectée à une interface réseau particulière. Elle est utilisée principalement pour les ordinateurs qui démarrent à partir d’une image NetBoot : - Serveurs DNS (000.000.000.000) utilisés pour convertir les adresses IP en noms de domaine complets (et inversement) pour le port. - Domaines de recherche (facultatif ). Noms à ajouter automatiquement aux adresses Internet lorsque vous ne les tapez pas entièrement. Par exemple, si vous indiquez « campus.univ.edu » comme domaine de recherche, vous pouvez saisir « serveur1 » dans la zone de dialogue « Se connecter au serveur » du Finder pour vous connecter à serveur1.campus.univ.edu. Annexe Feuille d’opérations avancées de Mac OS X Server Vos informations 229 230 Élément Description IPv6 Pour configurer l’adressage IPv6 pour le port, sélectionnez Automatiquement ou Manuellement. Choisissez Automatiquement si vous souhaitez que le serveur génère automatiquement une adresse IPv6 pour le port. Choisissez Manuellement pour spécifier des réglages IPv6 : - Adresse IPv6. Généralement au format 0000:0000:0000:0000:0000:0000:0000:0000. - Routeur. Adresse IPv6 du routeur sur le sous-réseau local. - Longueur du préfixe. Nombre de bits significatifs du masque de sous-réseau utilisés pour identifier le réseau. Réglages Ethernet Pour configurer automatiquement les réglages Ethernet pour le port, choisissez Automatiquement. Choisissez Manuellement (Avancé) pour spécifier les réglages si vous avez des besoins particuliers concernant le réseau auquel le serveur est connecté. Des réglages Ethernet incorrects peuvent affecter les performances réseau ou rendre un port inutilisable : - Vitesse. Vitesse Ethernet maximale, en bits par seconde, pour toute transmission via le port. Sélectionnez l’une des options suivantes : Sélection automatique, 10baseT/ UTP, 100baseTX et 1000baseTX. - Duplex. Détermine si les paquets d’entrée et de sortie sont transmis simultanément (duplex intégral) ou en alternance (semi-duplex). - Taille maximale d’unité de transfert de paquets (MTU). Le plus gros paquet que le port va envoyer ou recevoir, exprimé en octets. L’augmentation de la taille de paquet améliore le débit, mais les périphériques qui reçoivent le paquet (commutateurs, routeurs, etc.) doivent prendre en charge cette taille de paquet. Sélectionnez l’une des options suivantes : Standard (1500), Jumbo (9000) ou Personnaliser (saisissez une valeur comprise entre 72 et 1500). Annexe Feuille d’opérations avancées de Mac OS X Server Vos informations Les réglages de configuration du port suivant apparaissent dans le tableau ci-dessous : Nom du port : Élément Description Nom du périphérique Un nom UNIX du port au format enx, où x commence par 0. Pour connaître la valeur de x pour le port que vous décrivez reportez-vous au manuel fourni avec le matériel. La valeur en0 désigne toujours un port Ethernet intégré. Vos informations Adresse Ethernet L’adresse MAC (Media Access Control) du port (00:00:00:00:00:00). Cette valeur se trouve généralement sur un autocollant apposé sur le serveur, mais vous pouvez également exécuter Informations Système Apple ou un outil de ligne de commande tel que networksetup pour retrouver cette valeur. TCP/IP et AppleTalk Indiquez si vous souhaitez activer le port pour TCIP/IP et/ ou AppleTalk. Vous pouvez connecter un port à Internet en activant TCP/IP et utiliser le même port ou un autre port pour AppleTalk. N’activez pas plus d’un port pour AppleTalk. Ordre des ports Si vous activez plusieurs ports, indiquez l’ordre dans lequel vous devez accéder aux ports lors de la tentative de connexion à un réseau. L’ensemble du trafic réseau non local utilise le premier port actif. Réglages TCP/IP Utilisez l’une des quatre lignes suivantes de ce tableau. Annexe Feuille d’opérations avancées de Mac OS X Server 231 232 Élément Description Manuellement Spécifiez ces réglages pour effectuer manuellement les réglages TCP/IP : - Adresse IP (000.000.000.000). Adresse statique unique. - Masque de sous-réseau (000.000.000.000). Utilisé pour localiser le sous-réseau sur le réseau local où se trouve le serveur. Ce masque est utilisé pour déduire la partie réseau de l’adresse du serveur. Le reste identifie l’ordinateur serveur dans ce réseau. - Routeur (000.000.000.000) prenant en charge le sousréseau sur lequel réside le serveur. Le routeur est l’ordinateur du sous-réseau local auquel les messages sont envoyés si l’adresse IP cible ne se trouve pas sur le sousréseau local. - Serveurs DNS (000.000.000.000) utilisés pour convertir les adresses IP en noms DNS complets (et inversement) pour le port. - Domaines de recherche (facultatif ). Noms à ajouter automatiquement aux adresses Internet lorsque vous ne les tapez pas entièrement. Par exemple, si vous indiquez « campus.univ.edu » comme domaine de recherche, vous pouvez saisir « serveur1 » dans la zone de dialogue « Se connecter au serveur » du Finder pour vous connecter à serveur1.campus.univ.edu. Via DHCP avec saisie manuelle de l’adresse IP Spécifiez ces réglages pour utiliser un serveur DHCP afin d’attribuer une adresse IP statique et éventuellement d’autres réglages pour le port. Assurez-vous que le serveur DHCP est configuré et que le service DHCP est en cours d’exécution lorsque vous entamez la configuration du serveur : - Adresse IP (000.000.000.000). Adresse statique unique. - Serveurs DNS (000.000.000.000) utilisés pour convertir les adresses IP en noms DNS complets (et inversement) pour le port. - Domaines de recherche (facultatif ). Noms à ajouter automatiquement aux adresses Internet lorsque vous ne les tapez pas entièrement. Par exemple, si vous indiquez « campus.univ.edu » comme domaine de recherche, vous pouvez saisir « serveur1 » dans la zone de dialogue « Se connecter au serveur » du Finder pour vous connecter à serveur1.campus.univ.edu. Annexe Feuille d’opérations avancées de Mac OS X Server Vos informations Élément Description Via DHCP Indiquez ces réglages si vous souhaitez utiliser un serveur DHCP pour attribuer une adresse IP dynamique et éventuellement d’autres réglages au port. Assurez-vous que le serveur DHCP est configuré et que le service DHCP est en cours d’exécution lorsque vous entamez la configuration du serveur : - Identifiant client DHCP (facultatif ). Chaîne utile pour reconnaître un port lorsque son adresse IP change. Ne spécifiez pas d’identifiant client DHCP lors de l’utilisation de l’Assistant du serveur pour configurer le serveur à distance. En revanche, après la configuration, utilisez les préférences Réseau du serveur pour définir un identifiant client DHCP. - Serveurs DNS (000.000.000.000) utilisés pour convertir les adresses IP en noms DNS complets (et inversement) pour le port. - Domaines de recherche (facultatif ). Noms à ajouter automatiquement aux adresses Internet lorsque vous ne les tapez pas entièrement. Par exemple, si vous indiquez « campus.univ.edu » comme domaine de recherche, vous pouvez saisir « serveur1 » dans la zone de dialogue « Se connecter au serveur » du Finder pour vous connecter à serveur1.campus.univ.edu. Via BootP Spécifiez ces réglages si vous souhaitez utiliser un serveur de protocole Bootstrap pour attribuer une adresse IP au port identifié. Avec BootP, la même adresse IP est toujours affectée à une interface réseau particulière. Elle est utilisée principalement pour les ordinateurs qui démarrent à partir d’une image NetBoot : - Serveurs DNS (000.000.000.000) utilisés pour convertir les adresses IP en noms de domaine complets (et inversement) pour le port. - Domaines de recherche (facultatif ). Noms à ajouter automatiquement aux adresses Internet lorsque vous ne les tapez pas entièrement. Par exemple, si vous indiquez « campus.univ.edu » comme domaine de recherche, vous pouvez saisir « serveur1 » dans la zone de dialogue « Se connecter au serveur » du Finder pour vous connecter à serveur1.campus.univ.edu. Annexe Feuille d’opérations avancées de Mac OS X Server Vos informations 233 234 Élément Description IPv6 Pour configurer l’adressage IPv6 pour le port, sélectionnez Automatiquement ou Manuellement. Choisissez Automatiquement si vous souhaitez que le serveur génère automatiquement une adresse IPv6 pour le port. Choisissez Manuellement pour spécifier des réglages IPv6 : - Adresse IPv6. Généralement au format 0000:0000:0000:0000:0000:0000:0000:0000. - Routeur. Adresse IPv6 du routeur sur le sous-réseau local. - Longueur du préfixe. Nombre de bits significatifs du masque de sous-réseau utilisés pour identifier le réseau. Réglages Ethernet Pour configurer automatiquement les réglages Ethernet pour le port, choisissez Automatiquement. Choisissez Manuellement (Avancé) pour spécifier les réglages si vous avez des besoins particuliers concernant le réseau auquel le serveur est connecté. Des réglages Ethernet incorrects peuvent affecter les performances réseau ou rendre un port inutilisable : - Vitesse. Vitesse Ethernet maximale, en bits par seconde, pour toute transmission via le port. Sélectionnez l’une des options suivantes : Sélection automatique, 10baseT/ UTP, 100baseTX et 1000baseTX. - Duplex. Détermine si les paquets d’entrée et de sortie sont transmis simultanément (duplex intégral) ou en alternance (semi-duplex). - Taille maximale d’unité de transfert de paquets (MTU). Le plus gros paquet que le port va envoyer ou recevoir, exprimé en octets. L’augmentation de la taille de paquet améliore le débit, mais les périphériques qui reçoivent le paquet (commutateurs, routeurs, etc.) doivent prendre en charge cette taille de paquet. Sélectionnez l’une des options suivantes : Standard (1500), Jumbo (9000) ou Personnaliser (saisissez une valeur comprise entre 72 et 1500). Annexe Feuille d’opérations avancées de Mac OS X Server Vos informations Glossaire Glossaire administrateur Utilisateur disposant d’autorisations d’administration de serveur ou de domaine de répertoires. Les administrateurs sont toujours membres du groupe « admin » prédéfini. Adresse IP Adresse numérique unique qui identifie un ordinateur sur Internet. adresse IP dynamique Adresse IP attribuée pour une durée limitée ou jusqu’à ce que l’ordinateur client n’en ait plus besoin. adresse IP statique Adresse IP attribuée une seule fois à un ordinateur ou à un périphérique et qui ne change jamais. adresse MAC Adresse « Media Access Control » (contrôle d’accès au support). Adresse matérielle identifiant de façon unique chaque nœud d’un réseau. Dans le cas de périphériques AirPort, l’adresse MAC est appelée identifiant AirPort. AFP Apple Filing Protocol. Protocole client/serveur utilisé par le service de fichiers Apple pour partager des fichiers et des services réseau. AFP exploite TCP/IP et d’autres protocoles pour prendre en charge les communications entre les ordinateurs d’un réseau. agrégation de liens Configuration de plusieurs liens réseau physiques en un lien logique unique, le but étant d’améliorer la capacité et la disponibilité des connexions réseau. Avec l’agrégation de liens, le même identifiant est attribué à tous les ports. À comparer au multi-acheminement, dans lequel chaque port conserve sa propre adresse. alphanumérique Chaînes composées de lettres, de chiffres et de caractères de ponctuation (par exemple _ et ?). Apache Serveur HTTP open-source intégré à Mac OS X Server. Le site (en anglais) www.apache.org contient des informations détaillées sur Apache. 235 authentification Processus de vérification de l’identité d’un utilisateur, généralement en validant son nom d’utilisateur et son mot de passe. L’authentification a lieu généralement avant que le processus d’autorisation détermine le niveau d’accès de l’utilisateur à une ressource. Exemple : le service de fichiers autorise l’accès total aux dossiers et aux fichiers qu’un utilisateur authentifié possède. authentification à deux facteurs Processus permettant l’authentification par le biais d’une combinaison de deux facteurs indépendants : il peut s’agir d’un élément que vous connaissez (tel qu’un mot de passe), d’un élément en votre possession (tel qu’une carte à puce) ou encore d’un élément vous caractérisant (un facteur biométrique). Ce procédé est plus sécurisé que l’authentification à un seul facteur, généralement un mot de passe. autorisation Processus par lequel un service détermine s’il faut accorder à un utilisateur l’accès à une ressource et quel est le niveau d’accès accordé à l’utilisateur. L’autorisation se produit généralement après qu’un processus d’authentification ait vérifié l’identité de l’utilisateur. Exemple : le service de fichiers autorise l’accès total aux dossiers et aux fichiers qu’un utilisateur authentifié possède. autorisations Réglages déterminant le type d’accès dont les utilisateurs bénéficient pour partager des éléments dans un système de fichiers. Vous pouvez attribuer quatre types d’autorisation pour un point de partage, un dossier ou un fichier : Lecture et écriture, Lecture seule, Écriture seule et Aucun accès. Voir aussi privilèges. autorité de certificat Autorité émettant et gérant des certificats numériques, afin d’assurer la transmission sécurisée des données à travers un réseau public. Voir aussi certificat, infrastructure de clé publique. autorité de certification Voir Autorité de certificat. bande passante Capacité d’une connexion réseau, mesurée en bits par seconde ou en octets par seconde, pour le transfert de données. base de recherche Nom distinctif permettant d’identifier le point de départ d’une recherche d’informations dans la hiérarchie d’entrées d’un répertoire LDAP. BIND Initiales de « Berkeley Internet Name Domain » (domaine de noms Internet développé à l’Université de Berkeley). Programme inclus avec Mac OS X Server, qui implémente un serveur DNS. Il est également connu sous l’appellation « name daemon » (démon des noms), ou « named », lorsqu’il est en cours d’exécution. blog Page web présentant des entrées dans un ordre chronologique. Un blog est souvent utilisé comme journal ou lettre d’informations électronique. BSD Initiales de « Berkeley Software Distribution » (famille de systèmes d’exploitation développés à l’Université de Berkeley). Version de UNIX sur laquelle repose le logiciel Mac OS X. 236 Glossaire carte d’interface réseau Voir carte réseau. certificat Parfois appelé « certificat d’identité » ou « certificat de clé publique ». Fichier de format spécifique (Mac OS X Server utilise le format X.509) contenant la clé publique d’une paire de clés publique et privée, les informations d’identification de l’utilisateur, par exemple son nom et ses coordonnées, ainsi que la signature numérique émise par une Autorité de certificat ou l’utilisateur de la clé. certificat d’identité Voir certificat. certificat de clé publique Voir certificat. chemin de recherche Voir politique de recherche. chiffrement Processus de codification de données destiné à les rendre illisibles sans la connaissance d’un algorithme particulier. Généralement utilisé dans le cadre de communications secrètes ou confidentielles. Voir aussi déchiffrement. clé privée Une des deux clés asymétriques utilisées dans un système de sécurité PKI. La clé privée n’est pas distribuée et est généralement chiffrée par son propriétaire à l’aide d’une phrase clé. Elle peut signer numériquement un message ou un certificat, afin d’en proclamer l’authenticité. Elle permet aussi de déchiffrer des messages chiffrés avec la clé publique correspondante et de chiffrer des messages qu’elle seule peut déchiffrer. clé publique Une des deux clés asymétriques utilisées dans un système de sécurité PKI. La clé publique est distribuée aux autres parties de la communication. Elle permet de chiffrer des messages ne pouvant être déchiffrés que par le propriétaire de la clé privée correspondante et de vérifier la signature d’un message provenant d’une clé privée correspondante. client Ordinateur (ou utilisateur de l’ordinateur) qui demande des données ou des services auprès d’un autre ordinateur ou d’un serveur. connecté Qualifie des données, périphériques ou connexions réseau disponibles pour être utilisés immédiatement. couche Mécanisme de classement par priorités des pistes d’une séquence vidéo ou d’images superposées pour composer une icône animée. Quand QuickTime lit une séquence, il affiche les images de la séquence en fonction de leur couche. Les images présentant un numéro de couche inférieur sont affichées au premier plan. Les images dont le numéro de couche est supérieur peuvent être cachées par les images dont le numéro est inférieur. Glossaire 237 coupe-feu Logiciel chargé de protéger les applications réseau exécutées sur votre serveur. Le service de coupe-feu IP, partie intégrante du logiciel Mac OS X Server, analyse les paquets IP entrants et accepte ou refuse ces paquets en s’appuyant sur un ensemble de filtres que vous créez. cryptographie de clé publique Méthode de chiffrement des données utilisant une paire de clés, une publique et une privée, obtenues auprès d’une autorité de certification. Une clé est utilisée pour chiffrer les messages tandis que l’autre sert à les déchiffrer. CUPS Initiales de « Common UNIX Printing System » (système commun d’impression UNIX). Système d’impression multiplateforme reposant sur le protocole IPP (Internet Printing Protocol). Le Centre d’impression de Mac OS X, son système d’impression sousjacent, et le service d’impression de Mac OS X Server reposent sur le système CUPS. Pour en savoir plus, rendez-vous à l’adresse www.cups.org (en anglais). daemon Programme exécuté en arrière-plan et qui fournit d’importants services système tels que le traitement du courrier électronique entrant ou la gestion des requêtes provenant du réseau. débit Débit de traitement des données par un ordinateur. déchiffrement Processus de récupération de données chiffrées faisant appel à un algorithme particulier. Voir aussi chiffrement. déconnecté Qualifie des données qui ne sont pas immédiatement disponibles ou un périphérique physiquement branché, mais dont l’utilisation n’est pas possible. DHCP Initiales de « Dynamic Host Configuration Protocol » (protocole de configuration dynamique d’hôtes). Protocole utilisé pour distribuer de manière dynamique des adresses IP à des ordinateurs clients. Chaque fois qu’un ordinateur client démarre, le protocole recherche un serveur DHCP, puis demande une adresse IP au serveur DHCP qu’il trouve. Le serveur recherche alors une adresse IP disponible et la transmet à l’ordinateur client en l’accompagnant d’une « durée de bail », durée pendant laquelle l’ordinateur client peut utiliser l’adresse. disque Support de stockage optique, tel qu’un CD ou un DVD. disque Périphérique réinscriptible de stockage de données. Voir aussi disque et disque logique. disque physique Disque mécanique réel. À comparer à disque logique. DNS Domain Name System. Base de données distribuée qui fait correspondre des adresses IP à des noms de domaines. Un serveur DNS, appelé également serveur de noms, conserve la liste des noms et des adresses IP associées à chaque nom. Domain Name System Voir DNS. 238 Glossaire domaine Partie du nom de domaine d’un ordinateur sur Internet. N’inclut pas l’indicateur de domaine de premier niveau (par exemple .com, .net, .fr, .be). Le nom de domaine « www.exemple.com » est constitué du sous-domaine, ou nom d’hôte, « www », du domaine « exemple » et du domaine de premier niveau « com ». domaine de répertoire Base de données spécialisée dans laquelle sont stockées des informations autorisées concernant les utilisateurs et les ressources réseau ; ces informations sont nécessaires au logiciel système et aux applications. Cette base de données est optimisée pour gérer de nombreuses demandes d’informations et pour rechercher et récupérer rapidement des informations. Connue également sous le nom de nœud de répertoire ou simplement répertoire. domaine de répertoire local Répertoire d’identification, d’authentification, d’autorisation et autres données d’administration accessibles uniquement sur l’ordinateur où réside le répertoire. Le domaine de répertoire local n’est accessible à partir d’aucun autre ordinateur sur le réseau. domaine DNS Nom unique d’un ordinateur, utilisé dans le système DNS (Domain Name System) pour convertir les adresses IP et les noms. Également appelé nom de domaine. domaine local Domaine de répertoire accessible uniquement par l’ordinateur sur lequel il réside. données de journal Dans Xsan, données relatives aux transactions du système de fichiers survenant sur un volume Xsan. dossier de départ Dossier destiné à l’usage personnel d’un utilisateur. Mac OS X utilise également le dossier de départ pour stocker les préférences du système et les réglages gérés des utilisateurs Mac OS X. Également connu sous le terme de répertoire de départ. dossier de départ local Dossier de départ stocké sur le disque de l’ordinateur où un utilisateur a ouvert une session. Ce dossier n’est accessible qu’en ouvrant directement une session sur l’ordinateur où il réside, à moins que vous n’ouvriez de session sur l’ordinateur via SSH. dossier de groupe Dossier servant à organiser des documents et des applications présentant un intérêt particulier pour les membres du groupe et permettant à ces derniers de partager des informations. DSL Initiales de « Digital Subscriber Line » (ligne d’abonné numérique). Technologie de transmission de données à haut débit, fonctionnant à travers les lignes téléphoniques. durée de bail DHCP Voir période de bail. Dynamic Host Configuration Protocol Voir DHCP. Glossaire 239 EFI Initiales de « Extensible Firmware Interface » (Interface de programme interne extensible). Logiciel exécuté automatiquement au démarrage d’un ordinateur Macintosh à processeur Intel. Il détermine la configuration matérielle de l’ordinateur et lance le logiciel système. en miroir Renvoie à une matrice de disques qui utilise RAID 1, ou la mise en miroir. ensemble RAID Voir matrice RAID. équilibrage de la charge Processus qui consiste à répartir sur plusieurs services les demandes de services réseau effectuées par les ordinateurs clients, afin d’optimiser les performances. Ethernet Technologie de mise en réseau locale avec laquelle les données sont transmises sous forme d’unités appelées paquets à l’aide de protocoles tels que TCP/IP. exportation Dans le système NFS (Network File System, système de fichiers en réseau), il s’agit d’une méthode de partage de dossier avec des clients connectés à un réseau. failover Dans Xsan, processus automatique par lequel un contrôleur de métadonnées de réserve devient le contrôleur de métadonnées actif si le contrôleur principal cesse de fonctionner. faire migrer Transférer des informations, par exemple des comptes d’utilisateur et de groupes et des données d’utilisateurs, d’un serveur ou d’un réseau vers un autre serveur ou réseau géré par un autre logiciel. Fast Ethernet Groupe de normes Ethernet caractérisé par des données transmises à 100 mégabits par seconde (Mbits/s). filtre Méthode de contrôle de l’accès à un serveur. Un filtre se compose d’une adresse IP et d’un masque de sous-réseau et, parfois, d’un numéro de port et d’un type d’accès. L’adresse IP et le masque de sous-réseau déterminent la plage d’adresses IP auquel le filtre s’applique. FireWire Technologie matérielle pour l’échange de données avec des périphériques, définie par la norme standard IEEE 1394. formater En général, préparation d’un disque en vue de son utilisation par un système de fichiers particulier. fournisseur d’accès à Internet Voir FAI. 240 Glossaire FTP Initiales de « File Transfer Protocol » (protocole de transfert de fichiers). Protocole permettant à des ordinateurs de transférer des fichiers sur un réseau. Les clients FTP, utilisant tout système d’exploitation capable de prendre en charge le protocole FTP, peuvent se connecter à un serveur de fichiers et télécharger des fichiers, en fonction de leurs autorisations d’accès. La plupart des navigateurs Internet et un certain nombre de graticiels permettent d’accéder aux serveurs FTP. Gigabit Ethernet Groupe de normes Ethernet avec lesquelles les données sont transmises à raison de 1 gigabit par seconde (Gbit/s). Abréviation : GBE. gigaoctet Voir Go. Go Gigaoctet. 1 073 741 824 (230) octets. groupe Ensemble d’utilisateurs ayant des besoins semblables. Les groupes simplifient l’administration de ressources partagées. Groupe de travail Ensemble d’utilisateurs pour lesquels vous êtes chargé de définir les préférences et les privilèges d’accès en tant que groupe. Toutes les préférences que vous définissez pour un groupe sont stockées dans le compte du groupe. haute disponibilité Capacité d’un système à fonctionner en continu (sans interruption). hôte Autre nom donné à un serveur. HTML Initiales de « Hypertext Markup Language » (langage de structuration hypertexte). Ensemble de symboles ou de codes insérés dans un fichier afin d’être affiché sous forme de page dans un navigateur web. La structure indique au navigateur web la manière d’afficher à l’utilisateur les mots et les images d’une page web. HTTP Hypertext Transfer Protocol. Protocole client/serveur pour le web. Le protocole HTTP permet aux navigateurs web d’accéder à un serveur web et de demander des documents hypermedias créés avec du code HTML. Hypertext Markup Language Voir HTML. Hypertext Transfer Protocol Voir HTTP. IANA Initiales de « Internet Assigned Numbers Authority » (autorité d’attribution des numéros sur Internet). Organisation responsable de l’allocation des adresses IP, de l’attribution des paramètres de protocole et de la gestion des noms de domaine. ICMP Initiales de « Internet Control Message Protocol ». Protocole de messages de contrôle et de rapports d’erreurs utilisé entre serveurs hôtes et passerelles. Par exemple, certaines applications Internet exploitent le protocole ICMP pour envoyer un paquet en aller-retour entre deux hôtes pour déterminer les durées d’aller-retour et détecter ainsi des problèmes éventuels sur le réseau. Glossaire 241 identifiant de processus Voir PID. identifiant Ethernet Voir adresse MAC. identifiant utilisateur Voir UID. IGMP Initiales de « Internet Group Management Protocol ». Protocole Internet utilisé par les hôtes et les routeurs pour envoyer des paquets à des listes d’hôtes cherchant à participer à un processus appelé multidiffusion. QTSS (QuickTime Streaming Server) exploite l’adressage par multidiffusion, tout comme le protocole SLP (Service Location Protocol). image Voir image disque. image d’installation de paquet Fichier permettant d’installer des paquets. Les ordinateurs clients peuvent, à l’aide de NetBoot, démarrer sur le réseau à partir de cette image pour installer des logiciels. Contrairement aux images disque de copie de blocs, vous pouvez utiliser une image d’installation de paquets identique pour différentes configurations matérielles. image disque Fichier qui, une fois ouvert, crée sur le bureau Mac OS X une icône dont l’aspect et le comportement sont similaires à ceux d’un véritable disque ou volume. Les ordinateurs clients peuvent, à l’aide de NetBoot, démarrer via le réseau à partir d’une image disque basée sur un serveur et contenant un logiciel système. Les fichiers d’image disque présentent l’extension .img ou .dmg. Les deux formats d’image sont similaires et sont représentés par la même icône dans le Finder. Le format .dmg ne peut pas être utilisé sur les ordinateurs qui exécutent Mac OS 9. infrastructure de clé publique Méthode sécurisée d’échange de données à travers un réseau public non sécurisé, par exemple Internet, à l’aide de la cryptographie de clé publique. installation en réseau Processus d’installation via le réseau de systèmes et de logiciels sur des ordinateurs clients Mac OS X. Ce type d’installation de logiciels peut être effectué sous la supervision d’un administrateur ou de manière entièrement automatisée. interface de ligne de commande Manière d’interagir avec l’ordinateur (par exemple, pour exécuter des programmes ou modifier des autorisations de système de fichiers) en saisissant des commandes de texte à une invite de shell. Voir aussi shell ; invite de shell. interface réseau Connexion matérielle de votre ordinateur à un réseau. Les connexions Ethernet, les cartes AirPort et les connexions FireWire en sont des exemples. Internet Ensemble de réseaux d’ordinateurs interconnectés qui communiquent à travers un protocole commun (TCP/IP). Internet est le système public de réseaux d’ordinateurs interconnectés le plus étendu au monde. 242 Glossaire intranet Réseau d’ordinateurs gérés par et pour les utilisateurs internes d’une entreprise. Son accès est généralement limité aux membres de l’entreprise. Très souvent, le terme fait référence à un site web dédié aux besoins de l’entreprise, accessible uniquement depuis celle-ci. Les intranets utilisent les mêmes technologies de mise en réseau qu’Internet (TCP/IP) et servent parfois de pont entre des systèmes d’information anciens et les technologies modernes de mise en réseau. IP Internet Protocol. Également désigné par IPv4. Méthode utilisée conjointement avec le protocole TCP (Transmission Control Protocol) pour envoyer des données d’un ordinateur à un autre via un réseau local ou via Internet. Le protocole IP envoie les paquets de données, alors que le protocole TCP se charge de leur suivi. IPP Initiales de « Internet Printing Protocol » (protocole d’impression à travers Internet). Protocole client-serveur permettant l’impression à travers Internet. L’infrastructure d’impression Mac OS X, et le service d’impression Mac OS X Server qui repose sur cette infrastructure, prennent en charge IPP. IPSec Ajout de sécurité au protocole IP. Protocole chargé de la sécurité dans les transmissions de données pour les connexions L2TP VPN. IPSec agit au niveau de la couche réseau, assurant la protection et l’authentification des paquets IP entre les nœuds IPSec participants. IPv4 Voir IP. IPv6 Initiales de « Internet Protocol version 6 ». Protocole de communication de nouvelle génération destiné à remplacer le protocole IP (également appelé IPv4). IPv6 autorise un plus grand nombre d’adresses réseau et peut réduire les charges de routage à travers Internet. journal web Voir blog. KDC Initiales de « Kerberos Key Distribution Center » (centre de distribution de clés Kerberos). Serveur de confiance chargé d’émettre des tickets Kerberos. Kerberos Système d’authentification réseau sécurisé. Kerberos utilise des tickets qui sont émis pour un utilisateur, un service et une durée spécifiques. Après avoir été authentifié, l’utilisateur peut accéder à d’autres services sans avoir à saisir à nouveau son mot de passe (on parle alors de signature unique) pour les services configurés pour accepter les tickets Kerberos. Mac OS X Server utilise Kerberos 5. Kerberos Key Distribution Center Voir KDC. kilo-octet Voir Ko. Ko Kilo-octet. 1 024 (210) octets. Glossaire 243 L2TP Initiales de « Layer Two Tunnelling Protocol ». Protocole de transport réseau utilisé dans les connexions VPN. Il s’agit avant tout d’une combinaison des protocoles L2F de Cisco et PPTP. Comme L2TP n’est pas un protocole de chiffrement, il utilise le complément IPSec pour le chiffrement des paquets. LAN Initiales de « Local area network » (réseau local). Réseau maintenu au sein d’un établissement, contrairement à un WAN (réseau étendu) qui relie des établissements géographiquement distincts. LDAP Initiales de « Lightweight Directory Access Protocol ». Protocole client-serveur standard permettant l’accès à un domaine de répertoire. lecteur de disque Périphérique contenant un disque et permettant de lire et d’écrire des données sur disque. lien Connexion physique active (électrique ou optique) entre deux nœuds d’un réseau. Lightweight Directory Access Protocol Voir LDAP. ligne de commande Texte que vous tapez après une invite de shell lorsque vous utilisez une interface de ligne de commande. liste d’ordinateurs Ensemble d’ordinateurs recevant les réglages des préférences gérées définis pour la liste et mis à la disposition d’un ensemble particulier d’utilisateurs et de groupes. Un ordinateur ne peut appartenir qu’à une seule liste d’ordinateurs. Les listes d’ordinateurs sont créées sous Mac OS X Server 10.4 ou antérieur. Voir aussi groupe d’ordinateurs. LPR Initiales de « Line Printer Remote ». Protocole standard permettant l’impression via TCP/IP. MAC Initiales de « Media access control » (contrôle d’accès au support). Voir adresse MAC. Mac OS X La dernière version du système d’exploitation d’Apple. Mac OS X allie la fiabilité d’UNIX à la facilité d’emploi de Macintosh. Mac OS X Server Plate-forme de serveur puissante, capable de gérer immédiatement les clients Mac, Windows, UNIX et Linux et offrant un ensemble de services de réseau et de groupes de travail extensible, ainsi que des outils perfectionnés de gestion à distance. maître Open Directory Serveur fournissant un service de répertoire LDAP, un service d’authentification Kerberos et un serveur de mots de passe Open Directory. masque de sous-réseau Nombre utilisé dans la mise en réseau IP pour indiquer la partie d’une adresse IP correspondant au numéro du réseau. 244 Glossaire matrice RAID Groupe de disques physiques, organisés et protégés par un schéma RAID, et présentés par le matériel ou le logiciel RAID comme un disque logique unique. Dans Xsan, les matrices RAID apparaissent sous forme de LUN, lesquelles sont associées afin de constituer des réserves de stockage. media access control Voir adresse MAC. mégaoctet Voir Mo. mémoire cache Partie de mémoire vive ou zone de disque dur sur laquelle sont stockées des données fréquemment utilisées, afin d’accélérer les temps de traitement. La mémoire cache en lecture conserve des données qui pourraient être demandées par un client ; la mémoire cache en écriture stocke les données écrites par un client jusqu’à ce qu’elles puissent être stockées sur disque. Voir aussi mise en mémoire tampon, mémoire cache de contrôleur, mémoire cache de disque. mise en miroir Écriture de copies identiques de données sur deux disques physiques. La mise en miroir protège les données contre la perte due aux défaillances de disque et est le moyen le plus simple d’obtenir la redondance de données. Mo Mégaoctet. 1 048 576 (220) octets. monter Rendre un répertoire ou un volume distant accessible sur un système local. Dans Xsan, faire apparaître un volume Xsan sur le bureau d’un client, comme s’il s’agissait d’un disque local. mot de passe Chaîne alphanumérique utilisée pour authentifier l’identité d’un utilisateur ou pour autoriser l’accès à des fichiers ou à des services. MS-CHAP Initiales de « Microsoft Challenge Handshake Authentication Protocol » (protocole d’authentification par interrogation-réponse développé par Microsoft). Méthode d’authentification standard sous Windows pour les réseaux VPN. Cette méthode d’authentification encode les mots de passe envoyés sur le réseau et les stocke sous forme brouillée sur le serveur. Elle offre un bon niveau de sécurité lors des transmissions sur réseau. MS-CHAP est une version propriétaire de CHAP. multidiffusion DNS Protocole développé par Apple pour la découverte automatique d’ordinateurs, de périphériques et de services sur les réseaux IP. Appelé « Bonjour » (auparavant « Rendezvous ») par Apple, ce protocole, proposé comme standard Internet, est parfois appelé ZeroConf ou multidiffusion DNS. Pour en savoir plus, rendezvous sur www.apple.com/fr/ ou www.zeroconf.org (en anglais). Pour savoir comment ce protocole est utilisé sous Mac OS X Server, reportez-vous à nom d’hôte local. MySQL Outil de gestion de base de données relationnelles open-source fréquemment utilisé par les serveurs web. Glossaire 245 NAT Initiales de « Network address translation » (conversion d’adresses réseau). Méthode de connexion de plusieurs ordinateurs à Internet (ou à tout autre réseau IP) à l’aide d’une seule adresse IP. NAT convertit les adresses IP que vous attribuez aux ordinateurs de votre réseau interne privé en une seule adresse IP valide pour les communications Internet. network address translation Voir NAT. Network File System. Voir NFS. Network Time Protocol Voir NTP. NFS Network File System. Protocole client/serveur utilisant le protocole IP (Internet Protocol) pour permettre aux utilisateurs distants d’accéder à des fichiers comme s’ils se trouvaient sur leur disque. Le service NFS exporte les volumes partagés vers des ordinateurs en se basant sur l’adresse IP plutôt que sur les nom et mot de passe d’utilisateur. nœud de répertoire Voir domaine de répertoire. nom abrégé Abréviation du nom d’un utilisateur. Mac OS X utilise le nom abrégé pour les dossiers de départ, l’authentification et les adresses électroniques. nom complet Forme développée du nom d’un utilisateur ou d’un groupe. Voir aussi nom d’utilisateur. nom d’hôte Nom unique d’un ordinateur, autrefois appelé nom d’hôte UNIX. nom d’hôte local Nom qui désigne un ordinateur sur un sous-réseau local. Il peut être utilisé sans système DNS global pour convertir les noms en adresses IP. Il est constitué de lettres minuscules, de nombres ou de tirets (sauf pour le dernier caractère) et se termine par « .local » (par exemple, ordinateur-jean.local). Bien que le nom par défaut soit dérivé du nom d’ordinateur, un utilisateur peut reprendre ce nom dans la sous-fenêtre Partage des Préférences Système. Il peut aussi être aisément modifié et utilisé dans tous les cas où un nom DNS ou un nom de domaine complet est utilisé. Il ne peut être converti que sur le même sous-réseau que l’ordinateur qui l’utilise. nom d’utilisateur Nom complet d’un utilisateur, parfois appelé nom réel de l’utilisateur. Voir aussi nom abrégé. nom de domaine Voir nom DNS. 246 Glossaire nom de l’ordinateur Nom par défaut utilisé pour l’enregistrement auprès des services SLP et SMB. L’explorateur réseau du Finder utilise SLP pour rechercher les ordinateurs qui rendent publics leurs services de partage de fichiers de partage de fichiers Windows. Il peut être réglé de façon à établir un pont entre les sous-réseaux en fonction des réglages de routeur réseau. Lorsque vous activez le partage de fichiers personnels, c’est le nom d’ordinateur que les utilisateurs voient dans la zone de dialogue « Se connecter au serveur » dans le Finder. Ce nom correspond au départ à « Ordinateur de <premier utilisateur créé> » (par exemple, « Ordinateur de Jean »), mais il peut être modifié à loisir. Le nom d’ordinateur est utilisé pour parcourir les serveurs de fichiers du réseau, les files d’attente d’impression, la détection Bluetooth®, les clients Apple Remote Desktop et toute autre ressource réseau identifiant des ordinateurs par leur nom d’ordinateur plutôt que par leur adresse réseau. Ce nom sert également de base pour le nom d’hôte local par défaut. nom de port Identifiant unique attribué à un port Fibre Channel. nom DNS Nom unique d’un ordinateur, utilisé dans le système DNS (Domain Name System) pour convertir les adresses IP et les noms. Également appelé nom de domaine. NTP Initiales de « Network Time Protocol » (protocole d’horloge réseau). Protocole réseau utilisé pour synchroniser les horloges d’ordinateurs connectés à un réseau avec une horloge de référence donnée. Ce protocole permet de s’assurer que tous les ordinateurs d’un réseau affichent tous la même heure. Open Directory Architecture de services de répertoire Apple, capable d’accéder à des informations autorisées concernant des utilisateurs et des ressources réseau à partir de domaines de répertoire utilisant les protocoles LDAP ou Active Directory, ou des fichiers de configuration BSD et des services de réseau. Open Source Terme désignant le développement coopératif de logiciels par la communauté Internet. Le principe de base consiste à impliquer le maximum de personnes dans l’écriture et la mise au point du code en publiant le code source et en encourageant la formation d’une large communauté de développeurs qui feront part de leurs modifications et améliorations. ordinateur administrateur Ordinateur Mac OS X sur lequel vous avez installé les applications d’administration du serveur à partir du CD Mac OS X Server Admin. ordinateur invité Ordinateur ne disposant pas d’un compte d’ordinateur. ouvrir une session Signifie démarrer une session sur un ordinateur (généralement en s’authentifiant en tant qu’utilisateur disposant d’un compte sur l’ordinateur) afin d’obtenir des services ou d’accéder à des fichiers. Il est important de faire la distinction entre l’ouverture de session et la connexion, cette dernière impliquant simplement l’établissement d’un lien physique avec l’ordinateur. Glossaire 247 paquet d’installation Fichier portant l’extension .pkg. Un paquet d’installation contient des ressources pour l’installation d’une application, notamment l’archive, les documents Ouvrez-moi et la licence, ainsi que des scripts d’installation. par défaut Action automatique exécutée par un programme à moins que l’utilisateur n’en décide autrement. partition Sous-division de la capacité d’un disque physique ou logique. Les partitions sont constituées de blocs contigus sur le disque. passerelle Nœud réseau faisant l’interface entre deux réseaux. Le terme fait souvent référence à un ordinateur assurant le lien entre un réseau local privé et un réseau WAN public, que ce soit avec ou sans NAT (Network Address Translation). Un routeur est un type particulier de passerelle qui relie des segments de réseau associés. période de bail Durée limitée pendant laquelle des adresses IP sont attribuées. L’utilisation de périodes courtes permet au protocole DHCP de réattribuer des adresses IP sur les réseaux comportant plus d’ordinateurs que d’adresses IP disponibles. PHP Initiales de « PHP Hypertext Preprocessor » (à l’origine, acronyme de « Personal Home Page », page d’accueil personnelle). Langage de script incorporé à HTML et utilisé pour créer des pages web dynamiques. point à point Une des trois topologies physiques que Fibre Channel utilise pour interconnecter des nœuds. La topologie point à point consiste en une seule connexion entre deux nœuds. Voir aussi boucle arbitrée, tissu. point de montage En diffusion en continu, chaîne utilisée pour identifier un flux en direct tel qu’un flux de séquence vidéo relayé ou non ou un flux MP3. Les points de montage qui décrivent des flux de séquence vidéo en direct se terminent toujours par l’extension .sdp. Point to Point Tunneling Protocol Voir PPTP. politique de mot de passe Ensemble de règles déterminant la composition et la validité du mot de passe d’un utilisateur. politique de recherche Liste des domaines de répertoire parmi lesquels un ordinateur Mac OS X nécessitant des informations de configuration effectue ses recherches. Également, ordre dans lequel les domaines sont interrogés. Parfois appelée chemin de recherche. port Sorte d’emplacement de messagerie virtuel. Un serveur utilise des numéros de port pour déterminer quelle application doit recevoir les paquets de données. Les coupe-feu utilisent des numéros de port pour déterminer si les paquets de données sont autorisés à transiter par un réseau local. Le terme « port » fait généralement référence à un port TCP ou UDP. 248 Glossaire POSIX Initiales de « Portable Operating System Interface for UNIX ». Famille de normes standard de systèmes UNIX ouverts, permettant d’écrire des applications dans un seul environnement cible au sein duquel elles peuvent être exécutées de manière identique sur un grand nombre de systèmes. PPTP Initiales de « Point to Point Tunneling Protocol ». Protocole de transport réseau utilisé pour les connexions VPN. Il constitue le protocole VPN standard sous Windows et utilise le mot de passe de l’utilisateur pour produire une clé de chiffrement. préférences gérées Préférences du système ou d’application contrôlées par les administrateurs. Gestionnaire de groupe de travail permet aux administrateurs de contrôler les réglages de certaines préférences système pour les clients gérés Mac OS X. privilèges Droit d’accéder à des zones restreintes d’un système ou d’effectuer certaines tâches (telles que les tâches de gestion) du système. processus Programme en cours d’exécution et qui monopolise une partie de la mémoire. protocole Ensemble de règles qui déterminent la manière dont les données sont échangées entre deux applications. QTSS Publisher Application Apple (incluse avec Mac OS X Server) destinée à la gestion de données multimédias et de listes de lecture QuickTime et à la préparation de données en vue de leur diffusion en continu et de leur téléchargement. QuickTime Streaming Server (QTSS) Voir QTSS. RADIUS Initiales de « Remote Authentication Dial-In User Service » (service d’authentification d’utilisateur par connexion à distance). RAID Redundant Array of Independent (or Inexpensive) Disks. Regroupement de plusieurs disques durs physiques en une matrice de disques, dont le rôle est soit de fournir un accès à débit élevé aux données stockées, soit d’effectuer une copie en miroir des données de façon à ce qu’elles puissent être reconstruites en cas de défaillance de disque, soit les deux. La matrice RAID est présentée au système de stockage en tant qu’unité de stockage logique unique. Voir aussi matrice RAID et niveau RAID. RAID 0 Schéma RAID dans lequel les données sont distribuées également sur les segments composant une matrice de disques. RAID 0 accélère le transfert de données, mais n’assure aucune protection des données. RAID 0+1 Combinaison de RAID 0 et de RAID 1. Ce schéma RAID est créé en entrelaçant des données sur plusieurs paires de disques en miroir. RAID 1 Schéma RAID qui crée une paire de disques en miroir avec des copies identiques des mêmes données. Il fournit un degré élevé de disponibilité des données. Glossaire 249 RAID 5 Schéma RAID répartissant des données et des informations de parité sur une matrice de disques, un bloc à la fois, chaque disque fonctionnant indépendamment. Cela permet d’obtenir des performances maximales en lecture lors de l’accès à des fichiers volumineux. récursivité Processus de conversion complète des noms de domaine en adresses IP. Une requête DNS non récursive permet la référence à d’autres serveurs DNS pour convertir l’adresse. En règle générale, les applications des utilisateurs dépendent du serveur DNS pour effectuer cette fonction, mais les autres serveurs DNS n’ont pas à effectuer de requête récursive. répertoire Voir dossier. répertoire de départ Voir dossier de départ. répertoire de départ local Voir dossier de départ local. réseau géré Éléments que les clients gérés sont autorisés à voir quand ils cliquent sur l’icône Réseau d’une fenêtre du Finder. Les administrateurs contrôlent ce réglage à l’aide de Gestionnaire de groupe de travail. Également appelé présentation de réseau. réseau local Voir LAN. ROM de démarrage Instructions de bas niveau utilisées par un ordinateur dans les premières étapes du démarrage. root Compte qui n’est limité par aucune protection ni restriction sur un système. Les administrateurs système utilisent ce compte pour apporter des modifications à la configuration du système. royaume Terme général utilisé pour plusieurs applications. Voir royaume WebDAV, royaume Kerberos. royaume Kerberos Domaine d’authentification comprenant les utilisateurs et les services enregistrés auprès du même serveur Kerberos. Les utilisateurs et services enregistrés délèguent au serveur Kerberos la vérification de l’identité de chacun. royaume WebDAV Partie d’un site web, généralement un dossier ou un répertoire, défini pour fournir l’accès à des utilisateurs et des groupes WebDAV. SACL Initiales de « Service Access Control List » (liste de contrôle d’accès aux services). Vous permet de spécifier les utilisateurs et les groupes qui ont accès à des services particuliers. Voir ACL. Samba Logiciel open-source fournissant à des clients Windows, via le protocole SMB, l’accès aux fichiers, à l’impression, à l’authentification, à l’autorisation, à la résolution de noms et aux services réseau. 250 Glossaire sauvegarde Ensemble de données stockées à des fins de récupération au cas où la copie originale des données serait perdue ou deviendrait inaccessible. sauvegarder Action consistant à créer une sauvegarde. schéma Ensemble d’attributs et de types d’enregistrements ou de classes servant de plan pour les informations d’un domaine de répertoire. secret partagé Valeur définie à chaque nœud d’une connexion VPN L2TP et servant de base de clé de chiffrement pour négocier les connexions d’authentification et de transport des données. Secure Sockets Layer Voir SSL. segment Partition d’un disque faisant partie d’une matrice RAID. segmenter Écrire des données sur des segments successifs composant une matrice RAID ou un LUN. Server Message Block Voir SMB. serveur Ordinateur fournissant des services (service de fichiers, service de courrier électronique ou service Web, par exemple) à d’autres ordinateurs ou périphériques de réseau. serveur autonome Serveur qui fournit des services sur un réseau, mais qui n’obtient pas de services de répertoire auprès d’un autre serveur, ni ne fournit des services de répertoire à d’autres ordinateurs. Serveur d’applications Logiciel qui exécute et gère d’autres applications, généralement des applications web accessibles à l’aide d’un navigateur web. Les applications gérées résident sur le même ordinateur que le serveur d’applications. serveur de fichiers Ordinateur chargé de servir des fichiers à des clients. Un serveur de fichiers peut être un ordinateur polyvalent capable d’héberger des applications supplémentaires ou un ordinateur capable uniquement de transférer des fichiers. serveur de mots de passe Voir serveur de mots de passe Open Directory. serveur de noms Serveur d’un réseau qui tient à jour une liste des noms de domaines et des adresses IP associées à chaque nom. Voir aussi DNS, WINS. serveur RADIUS Ordinateur du réseau fournissant une base de données centralisée d’informations d’authentification pour les ordinateurs sur le réseau. Glossaire 251 service de journal web Service Mac OS X Server permettant aux utilisateurs et aux groupes de créer et d’utiliser des blogs de façon sécurisée. Le service de journal web repose sur l’authentification Open Directory pour vérifier l’identité des auteurs et des lecteurs de blogs. En cas d’accès via un site web acceptant le protocole SSL, le service de journal web utilise le chiffrement SSL pour sécuriser davantage l’accès aux blogs. services de répertoire Services fournissant au logiciel système et aux applications un accès uniforme aux domaines de répertoire et à d’autres sources d’informations relatives aux utilisateurs et aux ressources. shell Programme exécutant d’autres programmes. Vous pouvez utiliser un shell pour communiquer avec l’ordinateur en tapant des commandes à l’invite du shell. Voir aussi interface de ligne de commande. signature numérique Signature électronique permettant de vérifier l’identité de l’expéditeur d’un message. SLP DA Initiales de « Service Location Protocol Directory Agent ». Protocole qui enregistre les services disponibles sur un réseau et permet aux utilisateurs d’y accéder aisément. Lorsqu’un service est ajouté au réseau, il utilise le protocole SLP pour s’enregistrer. SLP DA utilise un point de dépôt centralisé pour les services réseau enregistrés. SMB Protocole SMB (Server Message Block). Protocole permettant à des ordinateurs clients d’accéder à des fichiers et à des services de réseau. Il peut être utilisé via TCP/IP, Internet ou d’autres protocoles. Les services SMB utilisent ce protocole pour fournir l’accès aux serveurs, aux imprimantes et à d’autres ressources réseau. SMTP Initiales de « Simple Mail Transfer Protocol » (protocole simple de transfert de courrier). Protocole servant à envoyer et à transférer du courrier électronique. Sa capacité à mettre les messages entrants en file d’attente est limitée. SMTP n’est donc généralement utilisé que pour envoyer des messages, tandis que le protocole POP ou IMAP est utilisé pour recevoir des messages. SNMP Initiales de « Simple Network Management Protocol » (protocole simple de gestion de réseau). Ensemble de protocoles standard utilisés pour gérer et contrôler des périphériques réseau multiplateformes. sous-domaine Parfois appelé nom d’hôte. Partie du nom de domaine d’un ordinateur sur Internet. N’inclut pas l’indicateur de domaine ou de domaine de premier niveau (par exemple .com, .net, .fr, .be). Le nom de domaine « www.exemple.com » est constitué du sous-domaine « www », du domaine « exemple » et du domaine de premier niveau « com ». sous-répertoire Répertoire appartenant à un autre répertoire. 252 Glossaire sous-réseau Regroupement, sur un même réseau, d’ordinateurs clients organisés par emplacement (par exemple, selon les différents étages d’un bâtiment) ou par emploi des ressources (par exemple, tous les étudiants en classe de seconde). L’utilisation des sous-réseaux simplifie l’administration du réseau global. Voir aussi sous-réseau IP. sous-réseau IP Partie d’un réseau IP, éventuellement un segment de réseau physiquement indépendant, partageant une adresse réseau avec d’autres parties du réseau et identifiée par un numéro de sous-réseau. Spotlight Moteur de recherche complet servant à effectuer des recherches parmi vos documents, vos images, vos séquences vidéo, vos documents PDF, vos messages électroniques, vos événements de calendrier et vos préférences système. Il permet de rechercher un élément d’après le texte qu’il contient, son nom de fichier ou des informations qui lui sont associées. SSL Initiales de « Secure Sockets Layer » (couche sécurisée pour sockets réseau). Protocole Internet permettant d’envoyer des informations authentifiées et chiffrées à travers Internet. Les versions les plus récentes de SSL sont connues sous le nom de TLS (Transport Level Security). système de fichiers Schéma de stockage de données sur des périphériques de stockage et qui permet aux applications de lire et d’écrire des fichiers sans s’occuper de détails de niveau inférieur. TCP Initiales de « Transmission Control Protocol » (protocole de contrôle des transmissions). Méthode utilisée conjointement avec le protocole IP (Internet Protocol) pour envoyer des données, sous la forme d’unités de message, d’un ordinateur à un autre à travers Internet. Le protocole IP gère la livraison effective des données, tandis que le protocole TCP assure le suivi des unités de données (chaque message est divisé en unités, appelées « paquets », qui permettent leur acheminement efficace sur Internet). téraoctet Voir To. texte clair Texte n’ayant pas été chiffré. texte en clair Données non chiffrées. To Téraoctet. 1 099 511 627 776 (240) octets. tous Tout utilisateur pouvant ouvrir une session sur un serveur de fichiers : un utilisateur enregistré ou un invité, un utilisateur FTP anonyme ou encore un visiteur de site web. transfert de zone Méthode selon laquelle les données d’une zone sont répliquées (copiées) sur des serveurs DNS d’autorité. Les serveurs DNS esclaves demandent des transferts de zone à leurs serveurs maîtres afin d’en acquérir les données. Glossaire 253 tunneling Technologie permettant à un protocole de réseau d’envoyer ses données en adoptant le format d’un autre protocole. type d’enregistrement Catégorie particulière d’enregistrements, faisant référence, par exemple, à des utilisateurs, des ordinateurs et des montages. Un domaine de répertoire peut contenir un nombre différent d’enregistrements pour chaque type d’enregistrements. URL Initiales de « Uniform Resource Locator » (localisateur uniforme de ressources). Adresse d’un ordinateur, d’un fichier ou d’une ressource, accessible à travers un réseau local ou Internet. L’URL se compose du nom du protocole nécessaire pour accéder à la ressource, d’un nom de domaine identifiant un ordinateur particulier sur Internet et d’une description hiérarchique de l’emplacement d’un fichier sur l’ordinateur. utilisateur invité Utilisateur autorisé à ouvrir une session sur un serveur sans nom d’utilisateur et mot de passe. Utilitaire d’images de réseau Utilitaire fourni avec le logiciel Mac OS X Server, permettant de créer des images disque pour les services NetBoot et Installation en réseau. Les images disque peuvent contenir le système d’exploitation Mac OS X, des applications ou les deux. Virtual Private Network Voir VPN. volume Allocation d’unité de stockage montable, qui se comporte, du point de vue du client, comme un disque dur local, une partition de disque dur ou un volume réseau. Dans Xsan, les volumes sont composés d’une ou de plusieurs réserves de stockage. Voir aussi disque logique. VPN virtual private network. Réseau utilisant le chiffrement et d’autres technologies pour assurer des communications sécurisées à travers un réseau public, généralement Internet. Les VPN sont de façon générale moins chers que les réseaux privés réels à lignes privées, mais ils reposent sur l’utilisation du même système de chiffrement aux deux extrémités. Le chiffrement peut être assuré par un logiciel de coupe-feu ou par des routeurs. WAN Initiales de « Wide area network » (réseau étendu). Réseau maintenu au sein d’établissements géographiquement distincts, contrairement à un réseau LAN (réseau local) qui est limité à un établissement. Votre interface WAN correspond généralement à celle qui est connectée à Internet. WebDAV Web-based Distributed Authoring and Versioning. Environnement de création en direct permettant à des utilisateurs clients de prendre des pages web, de les modifier, puis de les rendre à leur site d’origine sans interruption de ce dernier. wide area network Voir WAN. 254 Glossaire wiki Site web permettant à des utilisateurs de modifier des pages de façon collaborative et d’accéder aisément aux pages précédentes à l’aide d’un navigateur web. Windows Internet Naming Service Voir WINS. WINS Initiales de « Windows Internet Naming Service » (service de noms Internet pour Windows). Service de résolution de noms utilisé par les ordinateurs Windows pour faire correspondre le nom des clients aux adresses IP. Un serveur WINS peut se trouver sur un réseau local ou à l’extérieur sur Internet. zone de réexpédition Zone DNS ne conservant aucune donnée et chargée de réexpédier les requêtes DNS vers une autre zone. zone esclave Enregistrements de la zone DNS conservés par un serveur DNS secondaire. Une zone esclave reçoit ses données par le biais de transferts de zone depuis la zone maîtresse du serveur DNS principal. zone maîtresse Enregistrements de la zone DNS conservés par un serveur DNS principal. Une zone maîtresse est répliquée par des transferts de zone à des zones esclaves sur des serveurs DNS secondaires. Glossaire 255 Index Index A accès installation à distance 91 LDAP 22 listes de contrôle d’accès 61 listes de contrôle d’accès (ACL) 80 listes de contrôle d’accès à un service (SACL) 80, 81 restrictions en matière d’adresses IP 58 utilisateur 162, 165 utilitaire Trousseau d’accès 72 Voir aussi autorisations ACL (listes de contrôle d’accès) 61 administrateur 79, 80, 81, 168, 169 Admin RAID 195 Admin Serveur authentification 42, 43, 68, 157 certificats 68, 166 contrôle de l’accès 165 et la création d’images système 53 état du serveur 199 gestion des services 164 outil d’administration 157 ouverture 42, 43, 68, 157 personnalisation 45 système de notification 198 vue d’ensemble 11, 42, 43, 68 adressage IPv6 23 adresse IP modification de l’adresse IP du serveur 162 adresses. Voir adresses IP adresses IP et coupe-feu<>coupe-feu 89 changement de serveur 33 installation d’un serveur distant 91, 107 restriction d’accès 58 serveurs sur des sous-réseaux différents 124 vue d’ensemble 23 agrégation de liens 184, 185, 186, 187, 189 aide, utilisation 12 Apple Remote Desktop (ARD) 56, 161, 208 archivage des données d’un serveur 35, 39 ARD. Voir Apple Remote Desktop asr outil 39, 94 Assistant du serveur 45, 109, 117, 123 Assistant réglages de passerelle 175 authentification Admin Serveur 42, 43, 68, 157 Gestionnaire de groupe de travail 170 Kerberos 22, 64, 123 mots de passe 63, 84, 107 MS-CHAPv2 120 Open Directory 63 RADIUS 21, 22, 64, 175 SASL 63 serveur autonome 122 services de trousseau 176 signature unique 64 SSH à base de clés 77, 78 et TLS 60 utilisateurs 63, 65, 78, 120 vue d’ensemble 63 Voir aussi certificats authentification à base de clés 77, 78 authentification MS-CHAPv2 120 authentification par signature unique 64 autorisation 63 Voir aussi authentification autorisations administrateur 79, 80, 168, 169 dossiers 61 fichiers 61 liste de contrôle d’accès à un service (SACL) 81 types 61 autorité de certificat (AC) 257 création 71 création de certificats provenant d’une 73 demande de certificats à une 69, 70, 71, 73 distribution à des clients 75 introduction 67 vue d’ensemble 67 Voir aussi ICP B Berkeley Software Distribution. Voir BSD BSD (Berkeley Software Distribution) 24 C certificat racine 71 certificats et Admin Serveur 68, 166 auto-signés 68, 71, 75 clés privées 66 clés publiques 66 création 71, 73 demande 69, 70 gestion 75 identités 68 importation 74 modification 75 préparation 69 racine 71 renouvellement 76 et services 77 suppression 76 vue d’ensemble 65, 67 certificats auto-signés 68, 71, 75 certificats d’identité. Voir certificats certificats de clé publique. Voir certificats changeip outil 33 chiffrement 60, 61, 62, 66, 134 Voir aussi SSL clé privée 66, 68 clients certificats 75 comptes de groupe 172 journalisation côté client 208 et NetBoot 28 Voir aussi utilisateurs collecte de données historiques 193 comptes. Voir comptes utilisateur; Gestionnaire de groupe de travail comptes de groupe 172 comptes mobiles 161 comptes utilisateur authentification 65 configuration 146 gérés, préférences de 172 gestion de 171 groupe 172 258 Index mobiles 161 mots de passe 63 Voir aussi utilisateurs configuration agrégation de liens 187 authentification 63 automatique 128, 135, 136, 137, 140 avancée 19, 20, 122 configuration par lots pour plusieurs serveurs 127 connexion au répertoire 121, 122 connexion au réseau 118, 186, 187 contrôle de l’état 143, 144 dépannage 143, 144 DHCP 89, 122 enregistrement des données de configuration 130, 132, 133, 134, 136, 137, 140 Ethernet 118 exemple 209 feuille d’opérations 221 historiques 144 infrastructure de serveurs 31 interactive 123, 124, 125, 127 introduction 18, 117 Open Directory 119, 120, 121, 122, 135, 140, 145 report 117 serveur autonome 120 serveur distant 123, 125, 127 services 145, 146, 147, 148, 149, 150, 151, 175 SSL 166 transmission des fichiers de données de configuration aux serveurs 134, 135 types de 117, 163 types de serveur 18 vue d’ensemble des réglages 119 configuration matérielle requise 87, 88, 103 configuration requise environnement d’exploitation 183 infrastructure 30, 31 logiciels 87, 89 matériel 17, 32, 87, 88, 103 configuration requise en matière d’infrastructure 30, 31 configuration requise en matière d’infrastructure matérielle 30 configuration requise pour l’environnement d’exploitation 183 Console 196 Contrôle de serveur 51, 195 contrôle en temps réel 193 copies complètes au niveau du fichier 36 copies de sauvegarde fichiers critiques 176 courrier électronique. Voir service de messagerie cryptographie à clé publique 77 CSR (demande de signature de certificat) 69, 70, 71, 73 D Darwin (système d’exploitation principal) 24 Demande de signature de certificat. Vo démon launchd 39, 191 démons, vue d’ensemble 191 démon slapd 207 démon snmpd 201 dépannage du serveur 143, 144 df , outil 196 diffusion, configuration 150 diffusion de données en continu 21, 28, 54, 150, 177 diskspacemonitor, outil 197 diskutiloutil 101, 104, 106 disques effacement de l’espace libre 105 gestion à partir de la ligne de commande 196 gestion via la ligne de commande 101, 106 mise en miroir 102 outils de contrôle 196 partitions 93, 100, 101, 103, 105 préparation de l’installation 98, 99, 100, 101, 102, 103, 104, 105 quotas 28 Voir aussi RAID dittooutil 39 documentation 13, 14, 15 domaine de répertoire local, serveur autonome 122 domaine de répertoire partagé 22, 120 domaines, répertoire 21, 89 Voir aussi Open Directory Domain Name System. Voir DNS données, diffusion en continu. Voir diffusion de données en continu dossiers 28, 61, 161 dossiers de départ 28, 161 du , outil 196 DVD, installation 92 Dynamic Host Configuration Protocol. Voir DHCP E emond, démon 204 ensemble RAID concaténé 103 entrelacement 102 équilibrage de la charge 190 Ethernet 60, 118, 187 exportation de réglages de service 165 F fichiers configuration 206 considérations en matière de stockage 28 copies complètes au niveau du fichier 36 Index de sauvegarde 176 données de configuration 130, 132, 136, 137 sauvegarde 34, 38 secret partagé 66 sécurité 61, 62 fichiers de configuration php 179 fichiers de secret partagé 66 File Transfer Protocol. Voir FTP FileVault 62 FTP (File Transfer Protocol) 23 G Gestionnaire de certificats 68, 74 Gestionnaire de groupe de travail administration de comptes 171 authentification 170 ouverture 46, 170 personnalisation 48, 174 vue d’ensemble 46, 47 vue d’ensemble de l’administration 170 groupe de travail, type de configuration 18 Groupes 158, 159, 165, 169, 171 Growl, application 208 H HFS+J, volume 99 HFSX, volume 99 historiques contrôle 196, 204, 205, 207, 208 dépannage de la configuration 144 services web 179 I ICP (infrastructure à clé publique) 60, 65, 66 image complète, type de sauvegarde 35 images. Voir images disque; NetBoot; NetInstall images disque chiffrement 62 installation avec 28 installation avec des 53, 94, 97 importation certificats 74 réglages de service 165 infrastructure à clé publique. Voir ICP Inspecteur 174 installation accès à distance 88, 91, 106, 109 à partir de versions antérieures du système d’exploitation 85, 88 à partir de versions de système d’exploitation antérieures 26, 29 collecte des informations 88 configuration des services réseau 89 configuration requise 87, 88 configuration requise en matière d’ 30 259 configuration requise en matière d’infrastructure 31 connexions aux répertoires 89 démarrage pour 90, 92, 93, 97 disque d’installation du serveur 89 identification des serveurs 106 avec images disque 28, 53, 94, 97 interactive 107, 109, 111 logiciel serveur 90, 112 méthode de la ligne de commande 112 mise à jour 115 mise à niveau 115 modification du nom d’hôte 162 ordinateur administrateur 88 planification 25, 26, 27, 28, 29, 30 préparation du disque 98, 99, 100, 101, 102, 103, 104, 105 report de la configuration 117 stratégie d’intégration 30 sur plusieurs serveurs 114 vue d’ensemble 85 instantanés, données 36 Interfaces réseau 161 stratégie d’intégration 30 et UNIX 24 Voir aussi configuration; installation maître Open Directory 89 matériel, configuration requise 17, 32 migration 26, 29, 30 Mise à jour de logiciels 115 Mise à jour de logiciels, service 149 mise à niveau à partir de Mac OS X 115 à partir de versions de serveur antérieures 26, 29 et données de configuration enregistrées 130 comparaison avec la migration 26, 30 mise en miroir, disque 102 modules open source PHP 179 modules open-source Kerberos 22, 64, 123 OpenLDAP 22 OpenSSL 60 Voir aussi Open Directory mots de passe 63, 84, 107 J Nagios, application 208 NAT (Network Address Translation) 177 NetInstall 53, 97 Network Address Translation. Voir NAT Network File System. Voir <Default ¶ Fo> Network Time Protocol. Voir NTP NFS (Network File System) 23 niveau d’autorisation Contrôler 168 nom d’hôte local 119, 161 modification 162 nom d’ordinateur 161 nom de l’ordinateur 119 NTP (network time protocol) 161 numéro de série, serveur 92 journalisation, système de fichiers 99 K KDC (Kerberos Key Distribution Center). Voir Kerberos Kerberos 22, 64, 123 L LACP (Link Aggregation Control Protocol) 185 launchctl outil 192 LDAP (Lightweight Directory Access Protocol) 22 lecteurs. Voir disques Link Aggregation Control Protocol. Voir LACP liste de contrôle d’accès à un service (SACL) 80, 81 listes d’ordinateurs 171, 172 listes de contrôle d’accès (ACL) 80 listes de contrôle d’accès à un service. Voir SACL M MAC (Media Access Control), adresses 60, 106 Mac OS X administration depuis 155, 175 considérations en matière d’installation 88 mise à niveau à partir de 115 Mac OS X Server configuration 120 configuration requise 17 introduction 17, 18 normes standard prises en charge 21 outils d’administration 41 260 Index N O Open Directory authentification 63 configuration 119, 120, 121, 122, 135, 140, 145 et les listes de cont 80 historiques 207 vue d’ensemble 21 Open Directory, réplique 123, 183 OpenLDAP 22 OpenSSL 60 ordinateur administrateur 88, 154, 155, 156 ordinateurs, administrateur 88, 154, 155, 156 ordinateurs client et NetBoot 28 ordinateurs portables 161 outil renifleur de paquets Ethereal 198 outils de ligne de commande administration de serveur 54 et autorisations 169 contrôle de démon 191 contrôle de l’espace disque 196 effacement de disques 106 installation du logiciel serveur 112 outils de restauration 39 outils de sauvegarde 39 partitionnement de disques 101 ouverture de session, authentification 77, 78 P PackageMaker 53 paquets de données, filtrage 58 partage de fichiers 146, 167 partitions, disque 93, 100, 101, 103, 105 Podcast Producer 150 points de défaillance uniques 180 points de partage 61, 167 Portable Operating System Interface. Voir POSIX ports état 154 Ethernet 118 liste de 154 TCP 77 POSIX (Portable Operating System Interface) 61 préférences 172 préférences Date et heure 161 préférences gérées, définition 172 préréglages 172 privilège, administrateur 80, 168, 169 privilèges, administrateur Voir aussi autorisations procédures de configuration. Voir configuration; installation programme d’installationoutil 112, 114 Property List Editor 53 protocoles service de fichiers 23, 208 service réseau 31, 89, 122, 161, 162 vue d’ensemble 23 Voir aussi protocoles spécifiques Q QuickTime Streaming Server (QTSS) 21, 54, 177 quotas, espace disque 28 R RADIUS (Remote Authentication Dial-In User Service) 21, 22, 64, 175 RAID (matrice redondante de disques indépendants) 29, 102, 103, 104 redémarrage, automatique 182 Index Remote Authentication Dial-In User Service. Voir RADIUS répertoire, domaines 121, 122 répertoire, domaines de 174 répertoire, vue d’ensemble 49, 50 répertoires. Voir services de répertoire; domaines, répertoire; dossiers réplication 64 réplique Open Directory 64 répliques 123, 183 réseau ordinateur-commutateur 186 réseau ordinateur-ordinateur 186 réseau ordinateur-paire de commutateurs 187 réseaux , outils de contrôle 197, 201, 202, 203 configurations de connexions 118, 186, 187 connexion initiale à la configuration du serveur 118 environnement pour l’installation 86 Ethernet 60, 118, 187 sécurité 58, 59, 60, 61 restauration, données 34, 37 rsync outil 39 S SASL (Simple Authentication and Security Layer) 63 sauvegardes considérations en matière de politique 34, 38 données de configuration du serveur 133, 134 outils de ligne de commande 39 planification 36 schéma de rotation 37 types 35 types de support 38 validation 38 sauvegardes incrémentales 36 Secure SHell. Voir SSH Secure Sockets Layer. Voir SSL Secure VM 62 sécurité administrateur 79, 80, 168, 169 au niveau du service 80, 81 autorisation 63 fichier 61, 62 installation 90 physique 57 pratiques d’excellence 81 réglages 166 réseau 58, 59, 60, 61 SASL 63 service de coupe-feu 58, 59, 89, 177 SSH 77, 78, 91, 92, 161, 176 SSL 60, 65, 66, 68, 166 TLS 60 vue d’ensemble 57 261 Voir aussi accès; authentification; certificats; SSL Server Message Block, protocole. Voir SMB serveur autonome 120, 122 serveur d’horloge 161 serveurs ajout 157 autonomes 120, 122 configuration requise en matière d’infrastructure 30, 31 considérations en matière de déplacement 33 démarrage 90, 97 dépannage 143, 144 équilibrage de la charge 190 exemple 209 feuille d’opérations de configuration 221 groupes de 158, 159 horloge 161 numéros de série des 92 outils d’administration 41, 42, 54, 55, 153, 156 outils de fiabilité 180, 181, 182, 183, 184, 185, 187, 189 réglages de base 119, 159 suppression 157 surveillance de l’état 193, 194, 195, 196, 197, 198, 199 Voir aussi configuration; installation; serveurs distants serveurs de réserve configuration avancée 20 serveurs distants accès 91 Apple Remote Desktop 56, 161, 208 configuration 123, 125, 127 identification 106 installation à partir de ou sur 88, 91, 106, 109 serveurs LDAPv3 64 service AFP (Apple Filing Protocol) 23, 208 service d’images système 149 Service d’impression 147 service de calendriers. Voir service iCal service de conversation. VoiriChat service de coupe-feu 58, 59, 89, 177 service de journal web 180 service de messagerie 21, 22, 149, 175, 177 service DHCP (Dynamic Host Configuration Protocol) 31, 89, 122 service DNS (système de noms de domaine) 31, 89 service iCal 151, 176 Service iChat 20, 151, 176 service MySQL 179 service NetBoot 28, 53, 97 services configuration 145, 146, 147, 148, 149, 150, 151, 175 contrôle de l’accès 162, 165 exportation de réglages 165 262 Index gestion de 175 importation de réglages 165 planification pour la distribution 28 sécurité 77, 80, 81 visualisation 162, 164 Voir aussi services spécifiques services de fichiers 20, 23, 146, 208 services de répertoire et configuration automatique 132, 135, 140 configuration avancée 122 domaines de répertoire 21, 89, 121, 122, 174 historiques 207 planification 28 Voir aussi Open Directory services de trousseau 176 services réseau configuration 149 DHCP 31, 89, 122 DNS 31, 89 installation 89 NAT 177 NTP 161 planification 31 réseau local virtuel 59 VPN 123 Voir aussi adresses IP services web 20, 21, 148, 179 service Xgrid 2 20, 176 signature numérique 166 Simple Network Management Protocol. Voir SNMP SMB (Server Message Block) 23 SNMP (Simple Network Management Protocol) outil de contrôle 201, 202, 203 définition 24 réglages 161 sous-réseaux 118, 124 SSH (Secure Shell Host) 77, 78, 91, 92 SSH (secure Shell host) 161, 176 SSL (Secure Sockets Layer) 60, 65, 66, 68, 166 standard, type de configuration 18 syslog, fichier de configuration 205 syslogd, démon 204 système de notification 51, 161, 176, 198, 204 Voir aussi historiques systèmes de fichiers données de configuration 134 sauvegarde 39 sélection 99 Voir aussi volumes T TCP (Transmission Control Protocol) 58, 77 tcpdump, outil 197 technologies web 23 Time Machine 39 TLS (Transport Layer Security), protocole 60 Transmission Control Protocol. Voir TCP Transport Layer Security, protocole. Voir TLS Trousseau d’accès, utilitaire 72 U UDP (User Datagram Protocol) 58 UNIX 24 UPS (alimentation sans interruption) 181, 182 User Datagram Protocol, protocole. Voir UDP utilisateurs accès administratif pour 79, 80, 168, 169 authentification 63, 65, 78, 120 autorisations 169 certificats 67 contrôle de l’accès 162, 165 dossiers de départ 28, 161 gestion 171 groupes 165, 169, 171 quotas relatifs à l’espace disque 28 et répertoire 49 Windows 29, 63 Voir aussi clients; comptes utilisateur; Gestionnaire de groupe de travail utilisateurs Windows 29 Utilitaire d’annuaire 51 Utilitaire d’images de système 53 utilitaire de disque 62, 101, 103, 105 utilitaire UNIX srm 63 V virtual private network. Voir VPN VLAN (Virtual Local Area Network) 59 VNC (Virtual Network Computing) 87, 91, 111, 114 volumes démarrage 90, 97 données de configuration 134 effacement 105, 106 et le partitionnement 100, 101 pris en charge 99 RAID 102, 103 sauvegarde 39 VPN (virtual private network) 123 W WebObjects, serveur d’applications 150 widget Dashboard d’état du serveur 194 wikis 180 Windows, utilisateurs 63 Windows NT 30 X Xgrid Admin 55 Xsan 20 Xserve et Contrôle de serveur 51 et fiabilité du serveur 181, 182 instructions d’installation du matériel 88 prise en charge des réseaux locaux virtuels 59 Z zone démilitarisée, réseau 59 Vider la Corbeille en mode sécurisé 63 Index 263