▼
Scroll to page 2
of
322
Mac OS X Server Administration d’Open Directory Pour Leopard version 10.5 Apple Inc. © 2007 Apple Inc. Tous droits réservés. Le propriétaire ou l’utilisateur autorisé d’un exemplaire valide du logiciel Mac OS X Server peut reproduire la présente publication à des fins d’apprentissage dudit logiciel. La présente publication ne peut être reproduite ou transmise en totalité ou en partie à des fins commerciales, telles que la vente de copies ou la prestation d’un service d’assistance payant. Tous les efforts nécessaires ont été mis en œuvre pour que les informations contenues dans ce manuel soient les plus exactes possibles. Apple Inc. n’est pas responsable des erreurs d’écriture et d’impression. Apple 1 Infinite Loop Cupertino CA 95014-2084 www.apple.com Le logo Apple est une marque d’Apple Inc., déposée *aux États-Unis et dans d’autres pays. En l’absence du consentement écrit d’Apple, l’utilisation à des fins commerciales de ce logo via le clavier (Option + 1) pourra constituer un acte de contrefaçon et/ou de concurrence déloyale. Apple, le logo Apple, Mac, Macintosh , Xgrid et Xserve sont des marques d’Apple Inc. déposées aux États-Unis et dans d’autres pays. Finder est une marque d’Apple Inc. Adobe et PostScript sont des marques d’Adobe Systems Incorporated. UNIX est une marque déposée de The Open Group. Les autres noms de sociétés et de produits mentionnés ici sont des marques de leurs détenteurs respectifs. La mention de produits tiers n’est effectuée qu’à des fins informatives et ne constitue en aucun cas une approbation ni une recommandation. Apple n’assume aucune responsabilité vis-à-vis des performances ou de l’utilisation de ces produits. F019-0935/01-09-2007 1 Table des matières Préface 11 12 13 14 15 15 17 17 18 18 À propos de ce guide Nouveautés de la version 10.5 Contenu de ce guide Utilisation de ce guide Utilisation de l’aide à l’écran Guides d’administration de Mac OS X Server Visualisation de guides PDF à l’écran Impression des guides PDF Obtenir des mises à jour de documentation Pour obtenir des informations supplémentaires Chapitre 1 19 19 20 21 21 23 24 26 26 28 29 29 30 31 31 32 34 Services de répertoire avec Open Directory Avantages de l’utilisation de services de répertoire Services et domaines de répertoire Point de vue historique Consolidation des données Répartition des données Utilisation des données des répertoires Accès aux services de répertoires Au sein d’un domaine de répertoire Structure des informations de répertoire LDAP Domaines de répertoire locaux et partagés À propos du domaine de répertoire local À propos des domaines de répertoire partagés Données partagées dans des domaines de répertoire existants Services SMB et Open Directory Open Directory comme contrôleur de domaine principal Open Directory comme contrôleur de domaine secondaire Chapitre 2 35 35 36 36 Politiques de recherche Open Directory Niveaux de politique de recherche Politique de recherche dans le domaine de répertoire local Politiques de recherche à deux niveaux 3 Chapitre 3 Chapitre 4 4 38 40 41 42 Politiques de recherche multiniveaux Politiques de recherche automatiques Politiques de recherche personnalisées Politiques de recherche d’authentification et de contacts 43 44 44 45 45 46 46 47 48 50 51 51 53 54 54 55 55 55 56 56 57 57 59 60 62 63 64 Authentification Open Directory Types de mots de passe Authentification et autorisation Mots de passe Open Directory Mots de passe shadow Mots de passe cryptés Fourniture d’authentification sécurisée aux utilisateurs Windows Attaques hors ligne sur des mots de passe Détermination de l’option d’authentification à utiliser Politiques de mot de passe Authentification par signature unique Authentification Kerberos Surmonter les obstacles du déploiement de Kerberos Expérience en matière de signature unique Authentification sécurisée Prêt à aller au-delà des mots de passe Authentification multiplateforme Authentification centralisée Services kerbérisés Configuration de services pour Kerberos après la mise à niveau Principaux et royaumes Kerberos Processus d’authentification Kerberos Méthodes d’authentification par serveur de mots de passe Open Directory et par mot de passe shadow Désactivation des méthodes d’authentification Open Directory Désactivation des méthodes d’authentification de mots de passe shadow Contenu de la base de données du serveur de mots de passe Open Directory Authentification par liaison LDAP 65 66 69 70 71 72 72 74 74 Outils de planification et de gestion Open Directory Directives générales de planification Évaluation des besoins en matière de répertoires et d’authentification Identification de serveurs pour l’hébergement de domaines partagés Duplication de services Open Directory Ensemble de répliques Réplication en cascade Planification de la mise à niveau de plusieurs répliques Open Directory Répartition de la charge dans les petits, moyens et grands environnements Table des matières 74 75 76 76 78 79 79 80 82 83 85 85 86 87 88 88 89 Chapitre 5 91 91 93 93 94 94 95 98 98 100 101 101 102 105 105 106 107 108 110 111 113 115 116 Réplication dans un campus comprenant plusieurs bâtiments Utilisation d’un maître, d’une réplique ou d’un relais Open Directory avec NAT Compatibilité entre maître et répliques Open Directory Mélange de services de maîtres et répliques Active Directory et Open Directory Intégration avec des domaines de répertoire existants Intégration sans modifications au schéma Intégration avec modifications au schéma Évitement de conflits Kerberos avec plusieurs répertoires Amélioration des performances et de la redondance Sécurité d’Open Directory Listes de contrôle d’accès à un service (SACL) Administration par niveaux Outils pour la gestion des services de répertoire Open Directory Admin Serveur Utilitaire de répertoire Gestionnaire de groupe de travail Utilitaires de ligne de commande Configuration des services Open Directory Vue d’ensemble de la configuration Avant de commencer Gestion d’Open Directory sur un serveur distant Activation d’Open Directory Configuration d’un service de répertoire autonome Configuration d’un maître Open Directory Explication de la façon d’ouvrir une session Configuration d’un contrôleur de domaine principal Configuration de Windows Vista pour l’ouverture de session de domaine Configuration de Windows XP pour l’ouverture de session de domaine Configuration de Windows 2000 pour l’ouverture de session de domaine Configuration d’une réplique Open Directory Création de plusieurs répliques d’un maître Open Directory Configuration de relais Open Directory pour la réplication en cascade Configuration d’un serveur comme contrôleur de domaine secondaire Configuration du basculement Open Directory Configuration d’une connexion à un serveur de répertoire Configuration d’un serveur comme membre d’un domaine de contrôleur de domaine principal Mac OS X Server Configuration d’un serveur comme membre d’un domaine Active Directory Configuration de l’authentification Kerberos par signature unique Configuration d’un royaume Kerberos Open Directory Démarrage de Kerberos après la configuration d’un maître Open Directory Table des matières 5 117 119 Chapitre 6 121 122 123 124 125 125 127 128 129 129 130 132 134 135 135 136 137 Gestion de l’authentification d’utilisateur Composition d’un mot de passe Modification du mot de passe d’un utilisateur Réinitialisation des mots de passe de plusieurs utilisateurs Modification du type de mot de passe d’un utilisateur Choix du type de mot de passe Open Directory Changement du type de mot en Mot de passe crypté Choix du type de mot de passe shadow Activation de l’authentification Kerberos par signature unique pour un utilisateur Changement de politique de mot de passe globale Configuration des politiques de mot de passe d’utilisateurs individuels Sélection de méthodes d’authentification pour des utilisateurs de mots de passe shadow Sélection de méthodes d’authentification pour des utilisateurs de mots de passe Open Directory Attribution de droits d’administrateur pour l’authentification Open Directory Synchronisation des mots de passe d’administrateur principaux Activation de l’authentification par liaison LDAP pour un utilisateur Configuration de mots de passe d’utilisateurs exportés ou importés Migration de mots de passe à partir de Mac OS X Server 10.1 ou antérieur Chapitre 7 139 139 139 140 141 142 142 143 143 143 144 144 Gestion des clients de répertoire Connexion de clients aux serveurs de répertoire À propos des connexions aux serveurs de répertoire Configuration automatique des clients Ajout d’une connexion à un serveur Active Directory Ajout d’une connexion à un serveur Open Directory Suppression d’une connexion à un serveur de répertoire Modification d’une connexion à un serveur de répertoire Contrôle des connexions aux serveurs de répertoire Gestion du compte d’utilisateur root Activation du compte d’utilisateur root Modification du mot de passe du compte d’utilisateur root Chapitre 8 147 147 148 148 Réglages avancés des clients de répertoire À propos des réglages avancés des services de répertoire Configuration de l’Utilitaire de répertoire sur un serveur distant Configuration de fiches de montage pour le domaine de répertoire local d’un ordinateur 133 6 Délégation d’autorité pour connecter des serveurs à un royaume Kerberos Open Directory Connecter un serveur à un royaume Kerberos Table des matières 149 150 150 150 152 153 154 154 154 155 156 156 157 158 158 159 160 163 165 167 169 170 171 173 176 177 178 178 179 179 180 180 181 181 182 183 184 184 185 186 188 191 192 Ajout d’une fiche de montage au domaine de répertoire local Suppression d’une fiche de montage du domaine de répertoire local Modification d’une fiche de montage dans le domaine de répertoire local Utilisation des réglages avancés des règles de recherche Définition de politiques de recherche automatiques Définition de politiques de recherche personnalisées Définition de politiques de recherche de répertoire local Attente de l’entrée en vigueur d’une modification de la politique de recherche Protection des ordinateurs contre un serveur DHCP malveillant Utilisation des réglages avancés des services de répertoire Activation ou désactivation du service Active Directory Activation ou désactivation des services de répertoires LDAP Utilisation des réglages avancés des services LDAP Accès à des répertoires LDAP dans Mail et Carnet d’adresses Activation ou désactivation d’un répertoire LDAP fourni via DHCP Affichage ou masquage de configurations pour serveurs LDAP Configuration de l’accès à un répertoire LDAP Configuration manuelle de l’accès à un répertoire LDAP Modification d’une configuration pour l’accès à un répertoire LDAP Duplication d’une configuration pour l’accès à un répertoire LDAP Suppression d’une configuration pour l’accès à un répertoire LDAP Modification des réglages de connexion d’un répertoire LDAP Modification de la politique de sécurité pour une connexion LDAP Configuration des recherches et mappages LDAP Configuration de la liaison sécurisée pour un annuaire LDAP Arrêt de la liaison sécurisée avec un annuaire LDAP Modification du délai d’ouverture/de fermeture pour une connexion LDAP Modification du délai de requête pour une connexion LDAP Modification du délai de tentative de reconnexion pour une connexion LDAP Modification du délai d’inactivité pour une connexion LDAP Forçage de l’accès LDAPv2 en lecture seule Ignorance des références de serveur LDAP Authentification d’une connexion LDAP Modification du mot de passe utilisé pour authentifier une connexion LDAP Mappage d’attributs d’enregistrement de configuration pour répertoires LDAP Modification du mappage RFC 2307 pour activer la création d’utilisateurs Préparation d’un répertoire LDAP en lecture seule pour Mac OS X Remplissage d’annuaires LDAP avec des données pour Mac OS X Utilisation des réglages avancés des services Active Directory À propos de l’accès à Active Directory Configuration de l’accès à un domaine Active Directory Configuration de comptes d’utilisateur mobiles dans Active Directory Configuration de dossiers de départ pour des comptes d’utilisateur Active Directory Table des matières 7 193 194 195 196 197 198 199 200 200 201 202 203 204 Chapitre 9 205 205 206 206 207 208 209 210 210 211 211 212 212 213 213 214 215 216 217 217 218 219 220 221 221 8 Configuration d’un shell UNIX pour des comptes d’utilisateur Active Directory Association de l’UID à un attribut Active Directory Mappage de l’identifiant de groupe principal vers un attribut Active Directory Mappage de l’identifiant de groupe des comptes de groupe vers un attribut Active Directory Spécification d’un serveur Active Directory préféré Modification des groupes Active Directory autorisés à administrer l’ordinateur Contrôle de l’authentification à partir de tous les domaines de la forêt Active Directory Rupture de la liaison avec le serveur Active Directory Modification de comptes d’utilisateur et d’autres enregistrements dans Active Directory Configuration de l’accès LDAP aux domaines Active Directory Définition des réglages NIS Définition des réglages de fichier de configuration BSD Configuration de données dans des fichiers de configuration BSD Maintenance des services Open Directory Contrôle de l’accès aux serveurs et services Open Directory Contrôle de l’accès à la fenêtre d’ouverture de session d’un serveur Contrôle de l’accès au service SSH Configuration du contrôle d’accès à un service Configuration de privilèges de fiche Contrôle d’Open Directory Contrôle de l’état d’un serveur Open Directory Contrôle des répliques et des relais d’un maître Open Directory Affichage des états et des historiques Open Directory Contrôle de l’authentification Open Directory Affichage et modification des données de répertoire Affichage de l’Inspecteur de répertoire Masquage de l’inspecteur de répertoire Définition de contrôles d’accès aux répertoires (DAC, Directory Access Controls) Suppression d’enregistrements Suppression d’utilisateurs ou d’ordinateurs à l’aide de l’Inspecteur ou de la ligne de commande Modification du nom abrégé d’un utilisateur Importation d’enregistrements de tous types Définition des options d’un serveur Open Directory Configuration d’une politique de liaison pour un serveur Open Directory Configuration d’un règlement de sécurité pour un serveur Open Directory Modification de l’emplacement d’une base de données LDAP Limitation des résultats de la recherche pour le service LDAP Définition du délai de recherche autorisé pour le service LDAP Table des matières 222 222 224 224 225 226 226 229 230 231 Chapitre 10 235 235 235 236 236 239 240 242 242 243 Résolution de problèmes liés à Open Directory Résolution de problèmes liés aux maîtres et aux répliques Open Directory Si Kerberos est arrêté sur un maître ou une réplique Open Directory Si vous ne pouvez pas créer une réplique Open Directory Si vous ne pouvez pas créer un maître ou une réplique Open Directory à partir d’un fichier de configuration Si vous ne pouvez pas connecter une réplique à un relais Si vous ne pouvez pas connecter une réplique Open Directory à un Open Directory qui est le subordonné d’un serveur Active Directory Résolution de problèmes des connexion à des répertoires Si un ralentissement se produit lors du démarrage Résolution des problèmes d’authentification Si vous ne pouvez pas modifier le mot de passe Open Directory d’un utilisateur Si un utilisateur ne peut pas accéder à certains services Si un utilisateur ne parvient pas à s’authentifier pour le service VPN Si vous ne pouvez pas changer le type de mot de passe d’un utilisateur en type Open Directory Si les utilisateurs exploitant un serveur de mots de passe ne peuvent pas ouvrir de session Si les utilisateurs ne peuvent pas ouvrir de session sous un compte issu d’un domaine de répertoire partagé Si vous ne pouvez pas ouvrir une session comme utilisateur Active Directory Si des utilisateurs ne peuvent pas s’authentifier par Kerberos et la signature unique Si les utilisateurs n’arrivent pas à modifier leur mot de passe Si vous ne pouvez pas connecter un serveur à un royaume Kerberos Open Directory Si vous devez réinitialiser un mot de passe d’administrateur 245 246 247 Données de répertoire Mac OS X Extensions Open Directory au schéma LDAP Classes d’objets du schéma LDAP Open Directory 236 237 237 237 237 237 238 238 238 239 239 Annexe Configuration de SSL pour le service LDAP Création d’une configuration SSL personnalisée pour LDAP Gestion de la réplication Open Directory Planification de la réplication d’un maître Open Directory ou d’un contrôleur de domaine principal (PDC) Synchronisation d’une réplique Open Directory ou d’un contrôleur de domaine secondaire à la demande Conversion d’une réplique Open Directory en un relais Promotion d’une réplique Open Directory Mise hors service d’une réplique Open Directory Archivage d’un maître Open Directory Restauration d’un maître Open Directory Table des matières 9 256 276 277 280 282 282 284 285 286 287 288 289 290 292 292 293 293 299 300 301 302 303 10 Glossaire 305 Index 313 Attributs du schéma LDAP Open Directory Mappage de types d’enregistrements et d’attributs standard vers LDAP et Active Directory Mappages d’utilisateurs (Users) Mappages de groupes (Groups) Mappages de montages (Mounts) Mappages d’ordinateurs (Computers) Mappages de listes d’ordinateurs (ComputerLists) Mappages de configurations (Config) Mappages de personnes (People) Mappages de listes d’ordinateurs préréglés (PresetComputerLists) Mappages de groupes préréglés (PresetGroups) Mappages d’utilisateurs préréglés (PresetUsers) Mappages d’imprimantes (Printers) Mappages de configurations automatiques de serveur (AutoServerSetup) Mappages d’emplacements (Locations) types d’enregistrements et attributs Open Directory standard Attributs standard dans les enregistrements d’utilisateurs Attributs standard dans les enregistrements de groupes Attributs standard dans les enregistrements d’ordinateurs Attributs standard dans les enregistrements de groupes d’ordinateurs Attributs standard dans les enregistrements de montages Attributs standard dans les enregistrements de configurations Table des matières Préface À propos de ce guide Ce guide décrit les services de répertoire et d’authentification que vous pouvez configurer à l’aide de Mac OS X Server. Il explique également comment configurer les ordinateurs clients Mac OS X Server et Mac OS X pour les services de répertoire. Open Directory de Mac OS X Server fournit des services de répertoire et d’authentification pour réseaux mixtes d’ordinateurs Mac OS X, Windows et UNIX. Open Directory utilise OpenLDAP, l’implémentation open source du protocole Lightweight Directory Access Protocol (LDAP), pour fournir des services de répertoire. OpenLDAP est compatible avec d’autres serveurs LDAP basés sur des standards et peut être intégré à des services propriétaires comme, par exemple, Active Directory de Microsoft et eDirectory de Novell. Pour la base de données LDAP principale, Open Directory utilise la base de données Berkeley open source. C’est une base de données très extensible pour l’indexation à hautes performances de centaines de milliers de comptes d’utilisateur et d’autres enregistrements. Le module externe Open Directory permet à un client Mac OS X ou Mac OS X Server de lire et d’écrire des informations faisant autorité sur les ressources d’utilisateur et de réseau provenant de n’importe quel serveur LDAP, même Active Directory, le système propriétaire de Microsoft. Le serveur peut aussi accéder à des fiches se trouvant dans des répertoires hérités tels que NIS et des fichiers de configuration BSD locaux (/etc). 11 Open Directory fournit aussi un service d’authentification. Il peut stocker et valider en toute sécurité les mots de passe des utilisateurs désireux d’ouvrir une session sur des ordinateurs clients de votre réseau ou d’utiliser d’autres ressources réseau qui nécessitent une authentification. Open Directory permet également d’appliquer certaines politiques concernant notamment l’expiration des mots de passe ou leur longueur minimale. Open Directory peut en outre authentifier des utilisateurs d’ordinateurs Windows pour l’ouverture de session sur des domaines, le service de fichiers et d’autres services Windows (services SMB) fournis par Mac OS X Server. Un centre de distribution de clés (KDC) Kerberos MIT est entièrement intégré à Open Directory et fournit une authentification sécurisée qui prend en charge la signature unique. Cela signifie que les utilisateurs ne doivent s’authentifier qu’une seule fois, avec une seule et unique paire nom d’utilisateur/mot de passe, pour accéder à l’ensemble des services réseau pour lesquels Kerberos a été activé. Pour les services qui n’acceptent pas l’authentification Kerberos, le service Secure Authentication and Service Layer (SASL) intégré négocie le mécanisme d’authentification le plus sûr possible. De plus, la réplication de répertoires et d’authentification optimise la disponibilité et l’extensibilité. En créant des répliques des serveurs Open Directory, vous pouvez aisément maintenir des serveurs de basculement et des serveurs distants pour l’interaction rapide avec les clients sur des réseaux distribués. Nouveautés de la version 10.5 Mac OS X Server 10.5 offre les améliorations majeures suivantes dans Open Directory :  Configuration simplifiée de l’accès LDAPv3 : l’Utilitaire de répertoire vous aide à configurer une connexion à un annuaire LDAP.  Interface d’Admin Serveur améliorée : Admin Serveur dispose d’une interface plus ergonomique.  Autorisation améliorée : vous pouvez relier un serveur Open Directory Mac OS X à un serveur Active Directory et utiliser une autorisation couvrant plusieurs domaines.  Serveur LDAP amélioré : Mac OS X Server 10.5 utilise OpenLDAP 2.3.x et Berkeley DB 4.2.52.  Domaine local amélioré : Mac OS X utilise un domaine de répertoire local pour l’authentification de l’ordinateur local.  Réplication améliorée : vous pouvez avoir une réplication à deux niveaux d’un même maître (également appelée réplication en cascade). Cela vous permet d’avoir jusqu’à 1 056 répliques d’un même maître Open Directory et des ensembles de répliques ou une sélection de réplique plus efficaces pour le serveur de mots de passe, LDAP et Kerberos. 12 Préface À propos de ce guide  Administration améliorée : vous pouvez bénéficier d’une plus grande extensibilité en matière d’administration des domaines de répertoire en faisant appel à une administration à plusieurs niveaux.  Meilleure prise en charge des applications : vous pouvez utiliser Open Directory avec des applications telles qu’Apple Wiki. Contenu de ce guide Ce guide comprend les chapitres suivants :  Le chapitre 1, « Services de répertoire avec Open Directory » présente les domaines de répertoire, la façon dont ils sont organisés et utilisés.  Le chapitre 2, « Politiques de recherche Open Directory » présente les politiques de recherche pour un ou plusieurs domaines de répertoire et décrit les politiques de recherche automatisées, personnalisées ou locales uniquement.  Le chapitre 3, « Authentification Open Directory » décrit l’authentification Open Directory, les mots de passe shadow et cryptés, Kerberos, la liaison LDAP et la signature unique.  Le chapitre 4, « Outils de planification et de gestion Open Directory » vous aide à déterminer vos besoins en matière de domaines de répertoire, à estimer vos exigences en matière de répertoires et d’authentification, à identifier les serveurs pour l’hébergement des domaines partagés, à améliorer les performances et la redondance, à gérer la réplication dans un campus multiliaison et à sécuriser vos services Open Directory. Ce chapitre présente également les outils de gestion des services Open Directory.  Le chapitre 5, « Configuration des services Open Directory » explique comment configurer un serveur Open Directory et décrit les configurations et les rôles que vous pouvez définir. Ce chapitre vous explique également comment définir les options du service LDAP d’un maître ou d’une réplique Open Directory et comment configurer l’authentification Kerberos par signature unique sur un maître Open Directory.  Le chapitre 6, « Gestion de l’authentification d’utilisateur » montre comment définir des politiques de mot de passe, modifier le type de mot de passe d’un utilisateur, attribuer des droits d’administrateur pour l’authentification Open Directory, réinitialiser les mots de passe de comptes d’utilisateurs importés et faire migrer des mots de passe vers l’authentification Open Directory.  Le chapitre 7, « Gestion des clients de répertoire » explique comment utiliser l’Utilitaire de répertoire pour configurer et gérer la manière dont les ordinateurs Mac OS X accèdent aux services de répertoire.  Le Chapitre 8, « Réglages avancés des clients de répertoire », explique comment utiliser l’application Utilitaire de répertoire pour activer, désactiver et configurer les protocoles de détection de services. Il explique également comment configurer les règles de recherche d’authentification et de contacts, ainsi que l’accès aux domaines de répertoire, notamment LDAP, Active Directory, NIS et les fichiers de configuration BSD. Préface À propos de ce guide 13  Le chapitre 9, « Maintenance des services Open Directory » explique comment contrôler les services Open Directory, visualiser et modifier les données de répertoire à l’aide de l’Inspecteur, archiver un maître Open Directory et effectuer d’autres opérations de maintenance de répertoire.  Le Chapitre 10, « Résolution de problèmes liés à Open Directory », décrit les problèmes courants et fournit des informations sur la marche à suivre en cas de problème lors de l’utilisation d’Open Directory. En outre, l’annexe, « Données de répertoire Mac OS X » présente la liste des extensions Open Directory au schéma LDAP et spécifie les types de fiches et attributs standard de Mac OS X. Enfin, le glossaire définit les termes que vous rencontrerez lors de la lecture de ce guide. Remarque : étant donné qu’Apple publie régulièrement de nouvelles versions et mises à jour de ses logiciels, les illustrations de ce document peuvent être différentes de celles qui s’affichent à l’écran. Utilisation de ce guide Les chapitres de ce guide sont classés dans l’ordre correspondant probablement le mieux à vos besoins de configuration et de gestion d’Open Directory sur votre serveur.  Lisez le chapitre 1 jusqu’au chapitre 3 pour vous familiariser avec les concepts d’Open Directory : services de répertoires, politiques de recherche et authentification.  Lisez le chapitre 4 lorsque vous êtes prêt à planifier les services de répertoires et l’authentification des mots de passe pour votre réseau.  Après cette étape de planification, utilisez les instructions du chapitre 5 pour configurer les services Open Directory.  Si vous devez définir des politiques de mot de passe ou modifier les réglages de mot de passe d’un compte d’utilisateur, reportez-vous aux instructions du chapitre 6.  Pour configurer ou modifier la façon dont un ordinateur Mac OS X ou Mac OS X Server accède aux domaines de répertoire, suivez les instructions du chapitre 7.  Pour configurer les réglages avancés des utilisateurs à l’aide de l’Utilitaire de répertoire, reportez-vous au Chapitre 8.  Pour la maintenance courante des services de répertoires et d’authentification, consultez le chapitre 9.  Si vous rencontrez des problèmes avec Open Directory, reportez-vous au chapitre 10 pour connaître les solutions possibles. 14 Préface À propos de ce guide Utilisation de l’aide à l’écran Vous pouvez obtenir des instructions à l’écran dans Visualisation Aide pendant que vous utilisez Leopard Server. L’aide peut être affichée sur un serveur ou sur un ordinateur administrateur (Un ordinateur administrateur est un ordinateur Mac OS X sur lequel est installé le logiciel d’administration de serveur Leopard Server.) Pour obtenir de l’aide dans le cas d’une configuration avancée de Leopard Server : m Ouvrez Admin Serveur ou Gestionnaire de groupe de travail, puis :  Utilisez le menu Aide pour rechercher une tâche à exécuter.  Choisissez Aide > Aide Admin Serveur ou Aide > Aide Gestionnaire de groupe de travail avant d’explorer les rubriques d’aide et d’effectuer des recherches. L’aide à l’écran contient des instructions issues du guide Administration du serveur, ainsi que d’autres guides d’administration avancée décrits dans « Guides d’administration de Mac OS X Server » à la page 15. Pour visualiser les rubriques d’aide les plus récentes concernant les serveurs : m Assurez-vous que le serveur ou l’ordinateur administrateur est connecté à Internet pendant que vous consultez l’Aide. Visualisation Aide extrait automatiquement les rubriques d’aide les plus récentes depuis Internet et les stocke en mémoire cache. Lorsque vous n’êtes pas connecté à Internet, Visualisation Aide affiche les rubriques d’aide mises en cache. Guides d’administration de Mac OS X Server Premiers contacts traite de l’installation et de la configuration des configurations standard et de groupe de travail de Mac OS X Server. Pour les configurations avancées, consultez Administration du serveur, qui regroupe la planification, l’installation, la configuration et l’administration du serveur en général. Une série de guides supplémentaires, énumérés ci-dessous, décrit la planification, la configuration, ainsi que la gestion avancée des services individuels. Vous pouvez obtenir ces guides au format PDF sur le site web de documentation de Mac OS X Server : www.apple.com/fr/server/documentation Ce guide ... explique comment : Premiers contacts et Feuille d’opération d’installation et de configuration Installer Mac OS X Server et le configurer pour la première fois. Administration de ligne de commande Installer, configurer et gérer Mac OS X Server à l’aide de fichiers de configuration et d’outils de ligne de commande UNIX. Administration des services de fichier Partager certains volumes ou dossiers de serveur entre les clients du serveur, à l’aide des protocoles AFP, NFS, FTP et SMB. Administration du service iCal Configurer et gérer le service de calendrier partagé d’iCal. Préface À propos de ce guide 15 Ce guide ... explique comment : Administration du service iChat Configurer et gérer le service de messagerie instantanée d’iChat. Configuration de la sécurité de Mac OS X Renforcer la sécurité des ordinateurs (clients) Mac OS X, comme l’exigent les entreprises et les organismes publics. Configuration de la sécurité de Mac OS X Server Renforcer la sécurité de Mac OS X Server et de l’ordinateur sur lequel il est installé, comme l’exigent les entreprises et les organismes publics. Administration du service de messagerie Configurer et gérer les services de messagerie IMAP, POP et SMTP sur le serveur. Administration des services de réseau Installer, configurer et administrer les services DHCP, DNS, VPN, NTP, coupe-feu IP, NAT et RADIUS sur le serveur. Administration d’Open Directory Configurer et gérer les services de répertoire et d’authentification et configurer les clients autorisés à accéder aux services de répertoire. Administration de Podcast Producer Configurer et gérer le service Podcast Producer destiné à enregistrer, traiter et distribuer des podcasts. 16 Administration du service d’impression Héberger les imprimantes partagées et gérer les files d’attente et travaux d’impression associés. Administration de QuickTime Streaming et Broadcasting Capturer et encoder du contenu QuickTime. Configurer et gérer le service QuickTime Streaming en vue de diffuser des données multimédias en temps réel ou à la demande. Administration du serveur Réaliser l’installation et la configuration avancées du logiciel serveur et gérer des options qui s’appliquent à plusieurs services ou à l’intégralité du serveur. Administration de Mise à jour de logiciels et d’Imagerie système Utiliser NetBoot, NetInstall et Mise à jour de logiciels pour automatiser la gestion du système d’exploitation et des autres logiciels utilisés par les ordinateurs clients. Mise à niveau et migration Utiliser des réglages de données et de services correspondant à une version antérieure de Mac OS X Server ou de Windows NT. Gestion des utilisateurs Créer et gérer des comptes utilisateur, des groupes et des ordinateurs. Configurer les préférences gérées des clients Mac OS X. Administration des technologies web Configurer et gérer des technologies web telles que les blogs, WebMail, wiki, MySQL, PHP, Ruby on Rails (RoR) et WebDAV. Informatique à haute performance et administration Xgrid Configurer et gérer des grappes de calcul de systèmes Xserve et d’ordinateurs Mac. Glossaire Mac OS X Server Savoir à quoi correspondent les termes utilisés pour les produits de serveur et les produits de stockage. Préface À propos de ce guide Visualisation de guides PDF à l’écran Lorsque vous lisez la version PDF d’un guide à l’écran, vous pouvez :  Afficher les signets pour visualiser le plan du guide et cliquer sur un signet pour accéder directement à la section correspondante.  Rechercher un mot ou une phrase pour afficher une liste des endroits où ce mot ou cette phrase apparaît dans le document. Cliquez sur un de ces endroits pour afficher la page correspondante.  Cliquer sur une référence croisée pour accéder directement à la rubrique référencée. Cliquez sur un lien pour visiter le site web dans votre navigateur. Impression des guides PDF Si vous devez imprimer un guide, procédez comme suit pour économiser du papier et de l’encre :  Économisez de l’encre ou du toner en évitant d’imprimer la couverture.  Si vous disposez d’une imprimante couleur, économisez de l’encre en choisissant une option d’impression en niveaux de gris ou en noir et blanc dans une des sections de la zone de dialogue Imprimer.  Réduisez le volume du document imprimé et économisez du papier en imprimant plusieurs pages par feuille. Dans la zone de dialogue Imprimer, réglez Échelle sur 115 % (155 % pour Premiers contacts). Choisissez ensuite Mise en page dans le menu local sans titre. Si votre imprimante prend en charge l’impression recto verso (duplex), sélectionnez l’une des options proposées. Sinon, choisissez 2 dans le menu local Pages par feuille et, si vous le souhaitez, Simple extra fine dans le menu Bordure. (Si vous utilisez Mac OS X 10.4 ou antérieur, le réglage Échelle se trouve dans la zone de dialogue Format d’impression et les réglages relatifs à la mise en page dans la zone de dialogue Imprimer.) Il peut s’avérer utile d’agrandir les pages imprimées même si vous n’imprimez pas en recto verso, car la taille des pages PDF est inférieure à celle du papier d’imprimante standard. Dans la zone de dialogue Imprimer ou dans la zone de dialogue Format d’impression, essayez de régler Échelle sur 115 % (155 % pour Premiers contacts qui possède des pages de la taille d’un CD). Préface À propos de ce guide 17 Obtenir des mises à jour de documentation Apple publie régulièrement des pages d’aide révisées ainsi que de nouvelles éditions de ses guides. Certaines pages d’aide révisées sont des mises à jour des dernières éditions de ces guides.  Pour afficher les nouvelles rubriques d’aide à l’écran d’une application de serveur, assurez-vous que votre serveur ou votre ordinateur administrateur est connecté à Internet et cliquez sur le lien des dernières rubriques d’aide ou de mise à jour dans la page d’aide principale de l’application.  Pour télécharger les guides les plus récents en format PDF, rendez-vous sur le site web de documentation de Mac OS X Server : www.apple.com/fr/server/documentation/ Pour obtenir des informations supplémentaires Pour en savoir plus, consultez les ressources suivantes :  Documents Ouvrez-moi : mises à jour importantes et informations spécifiques. Recherchez-les sur les disques du serveur.  Site web de Mac OS X Server (www.apple.com/fr/server/macosx) : passerelle vers des informations détaillées sur de nombreux produits et technologies.  Site web de service et d’assistance Mac OS X Server (www.apple.com/fr/support/ macosxserver) : accès à des centaines d’articles du service d’assistance d’Apple.  Site web de service et d’assistance Apple (www.apple.com/fr/support) : accès à des centaines d’articles du service d’assistance d’Apple.  Site web Apple formation (www.apple.com/fr/training) : cours en salle et autoformations afin de développer vos compétences en termes d’administration de serveur.  Groupes de discussions Apple, (discussions.apple.com) : un moyen de partager questions, connaissances et conseils avec d’autres administrateurs.  Site web des listes d’envoi Apple, (www.lists.apple.com) : abonnez-vous à des listes d’envoi afin de pouvoir communiquer par courrier électronique avec d’autres administrateurs.  Site web d’OpenLDAP (www.openldap.org) : découvrez le logiciel open source utilisé par Open Directory pour fournir le service de répertoire LDAP.  Site web de Kerberos MIT (web.mit.edu/kerberos/www) : obtenez des informations élémentaires et des spécifications sur le protocole utilisé par Open Directory pour fournir une authentification par signature unique robuste.  Site web de Berkeley DB (www.sleepycat.com) : consultez les descriptions des fonctionnalités et de la documentation technique sur la base de données open source utilisée par Open Directory pour stocker les données de répertoire LDAP.  RFC3377, “Lightweight Directory Access Protocol (v3): Spécification technique” (www.rfc-editor.org/rfc/rfc3377.txt)—accédez à huit autres documents RFC (Request for Comment) qui contiennent des informations d’ensemble et des spécifications détaillées sur le protocole LDAPv3. 18 Préface À propos de ce guide 1 Services de répertoire avec Open Directory 1 Un service de répertoire est un lieu de stockage centralisé d’informations concernant les utilisateurs d’ordinateurs et les ressources réseau d’une organisation. Avantages de l’utilisation de services de répertoire Le fait de centraliser les données administratives en un seul endroit présente plusieurs avantages :  Réduction du nombre de données à saisir.  Tous les clients et les services réseau disposent d’informations cohérentes à propos des utilisateurs et des ressources.  Simplifie l’administration des utilisateurs et des ressources.  Fournit des informations d’identification, d’authentification et d’autorisation à d’autres services de réseau. Dans les écoles ou les entreprises par exemple, ils sont parfaits pour gérer les utilisateurs et les ressources informatiques. Même une organisation de moins de dix personnes peut bénéficier des avantages du déploiement d’un service de répertoire. Les services de répertoire sont doublement utiles : ils simplifient d’une part l’administration du système et du réseau, et d’autre part l’usage du réseau pour les utilisateurs. Grâce aux services de répertoire, les administrateurs peuvent conserver des informations sur tous les utilisateurs, comme, par exemple, leur nom, leur mot de passe et les emplacements des répertoires de départ réseau, de façon centrale plutôt que sur les différents ordinateurs. Les services de répertoire permettent aussi de centraliser les informations concernant les imprimantes, les ordinateurs et les autres ressources en réseau. La centralisation d’informations sur les utilisateurs et les ressources permet de réduire la charge de travail en matière de gestion des informations pour l’administrateur système et à chaque utilisateur de disposer d’un compte d’utilisateur centralisé permettant d’ouvrir une session sur tout ordinateur autorisé du réseau. 19 Avec le service de répertoire et le service de fichiers centralisés configurés pour héberger les dossiers de départ réseau, un utilisateur obtient partout les mêmes dossier de départ, bureau personnalisé et préférences individuelles, quel que soit l’ordinateur sur lequel il ouvre une session. L’utilisateur peut donc toujours accéder à ses fichiers personnels mis en réseau pour rechercher et utiliser aisément les ressources réseau autorisées. Services et domaines de répertoire Le service de répertoire agit comme un intermédiaire entre les processus d’application et de logiciel système, qui ont besoin d’informations sur les utilisateurs et les ressources, et les directory domains qui stockent les informations. Comme illustré ci-dessous, Open Directory fournit des services de répertoire pour Mac OS X et Mac OS X Server. Utilisateurs Groupes Imprimantes Ordinateurs Montages Domaines de répertoire Open Directory Processus d’applications et de logiciels système Open Directory peut accéder aux informations qui figurent dans un ou plusieurs domaines de répertoire. Un domaine de répertoire stocke des informations dans une base de données spécialisée et optimisée pour rechercher, extraire et traiter rapidement un grand nombre de demandes d’informations. Les processus exécutés sous Mac OS X utilisent les services Open Directory pour enregistrer des informations dans les domaines de répertoire. Si par exemple vous créez un compte d’utilisateur à l’aide de Gestionnaire de groupe de travail, cette application demande à Open Directory de stocker le nom de l’utilisateur et les autres informations du compte dans un domaine de répertoire. Vous pouvez ensuite passer en revue les informations des comptes d’utilisateur dans Gestionnaire de groupe de travail, qui utilise Open Directory pour extraire les informations sur les utilisateurs à partir d’un domaine de répertoire. 20 Chapitre 1 Services de répertoire avec Open Directory D’autres processus de logiciels système et d’applications peuvent également accéder aux informations des comptes d’utilisateur stockées dans des domaines de répertoire. Quand un utilisateur ouvre une session sur un ordinateur Mac OS X, le processus d’ouverture de session utilise les services Open Directory pour valider le nom d’utilisateur et le mot de passe. Domaine de répertoire Gestionnaire de groupe de travail Open Directory Point de vue historique Tout comme Mac OS X, Open Directory trouve ses origines dans UNIX. En effet, Open Directory fournit l’accès aux données administratives que les systèmes UNIX conservent généralement dans des fichiers de configuration, ce qui requiert un travail de maintenance plus minutieux (certains systèmes UNIX reposent toujours sur des fichiers de configuration). Open Directory consolide ces données, puis les répartit pour faciliter les accès comme la maintenance. Consolidation des données Pendant des années, les systèmes UNIX ont stocké les informations administratives dans une collection de fichiers situés dans le répertoire /etc, comme illustré ci-dessous. /etc/hosts /etc/group Processus UNIX /etc/master.passwd Chapitre 1 Services de répertoire avec Open Directory 21 Ce schéma exige que chaque ordinateur UNIX dispose de sa propre série de fichiers. Ainsi, les processus exécutés sur un ordinateur UNIX lisent ses fichiers, lorsqu’ils ont besoin d’informations administratives. Si vous maîtrisez l’environnement UNIX, vous connaissez sans aucun doute les fichiers du répertoire /etc : group, hosts, hosts.equiv, master.passwd et bien d’autres. Ainsi, un processus UNIX ayant besoin d’un mot de passe d’utilisateur consultera le fichier /etc/master.passwd. Le fichier /etc/master.passwd contient un enregistrement pour chaque compte d’utilisateur. Un autre processus UNIX nécessitant des informations sur les groupes utilise plutôt le fichier /etc/group. Open Directory consolide les informations administratives, ce qui simplifie les interactions entre les processus et les données administratives qu’ils créent et utilisent. Open Directory Processus Mac OS X Les processus n’ont désormais plus besoin de savoir où et comment les données administratives sont stockées. Open Directory s’occupe d’obtenir ces données pour leur compte. Si un processus doit connaître l’emplacement du dossier de départ d’un utilisateur, il fait en sorte qu’Open Directory obtienne cette information. Open Directory trouve l’information demandée puis la renvoie, évitant ainsi au processus tous les détails concernant le stockage de l’information, comme illustré ci-dessous. Domaine de répertoire Domaine de répertoire Open Directory Processus Mac OS X Si vous configurez Open Directory pour accéder aux données administratives à partir de plusieurs domaines de répertoire, Open Directory les consulte en cas de besoin. 22 Chapitre 1 Services de répertoire avec Open Directory Certaines des données stockées dans un directory domain sont identiques à des données stockées dans les fichiers de configuration UNIX. Par exemple, l’emplacement du dossier de départ, le nom réel, l’identifiant d’utilisateur et l’identifiant de groupe sont stockés dans l’enregistrement d’utilisateur d’un directory domain plutôt que dans le fichier /etc/passwd standard. Toutefois, un directory domain stocke beaucoup plus d’informations pour gérer des fonctions propres à Mac OS X, comme la prise en charge de la gestion d’ordinateurs clients Mac OS X. Répartition des données Une des caractéristiques des fichiers de configuration UNIX, est que les données administratives qu’ils contiennent sont disponibles uniquement sur l’ordinateur sur lequel elles sont stockées. Chaque ordinateur comporte donc ses propres fichiers de configuration UNIX. Avec les fichiers de configuration UNIX, tout ordinateur sur lequel un utilisateur envisage de travailler doit posséder les réglages du compte de cet utilisateur. De manière plus générale, tout ordinateur doit donc posséder les réglages des comptes des utilisateurs autorisés à les utiliser. Pour configurer les réglages de réseau d’un ordinateur, l’administrateur doit se déplacer jusqu’à cet ordinateur, puis entrer l’adresse IP et toute information identifiant cet ordinateur sur le réseau. De même, lorsque des informations sur un utilisateur ou le réseau doivent être modifiées dans des fichiers de configuration UNIX, l’administrateur doit apporter ces modifications sur l’ordinateur sur lequel sont situés ces fichiers. Certains changements, comme les réglages de réseau, nécessitent que l’administrateur procède aux mêmes opérations sur plusieurs ordinateurs. Cette approche devient de plus en plus compliquée alors que les réseaux gagnent en taille et en complexité. Chapitre 1 Services de répertoire avec Open Directory 23 Open Directory résout ce problème en vous permettant de stocker des données administratives dans un domaine de répertoire qui peut être géré par un administrateur réseau à partir d’un emplacement unique. Open Directory vous permet de distribuer ces informations afin qu’elles soient accessibles en réseau pour tous les ordinateurs qui en ont besoin et pour l’administrateur qui les gère, comme illustré ci-dessous. Domaine de répertoire Administrateur système Open Directory Utilisateurs Utilisation des données des répertoires Open Directory permet de regrouper et de gérer aisément les informations sur le réseau dans un directory domain, mais ces informations n’ont de valeur que si les processus du logiciel système et des applications exécutés sur les ordinateurs du réseau y accèdent réellement. Voici quelques exemples d’utilisation des données de répertoire par le logiciel système et les applications Mac OS X :  Ouverture de session : Gestionnaire de groupe de travail peut créer des enregistrements d’utilisateurs dans un directory domain et ces enregistrements peuvent servir à authentifier des utilisateurs ouvrant une session sur des ordinateurs Mac OS X et Windows. Lorsqu’un utilisateur saisit un nom et un mot de passe dans la fenêtre d’ouverture de session Mac OS X, le processus d’ouverture de session demande à Open Directory d’authentifier ce nom et ce mot de passe. Open Directory utilise le nom pour trouver l’enregistrement du compte de l’utilisateur dans un directory domain et valide ensuite le mot de passe à l’aide d’autres informations qui figurent dans l’enregistrement d’utilisateur. 24 Chapitre 1 Services de répertoire avec Open Directory  Accès aux dossiers et aux fichiers : une fois qu’il a ouvert une session, l’utilisateur peut accéder aux dossiers et aux fichiers. Mac OS X utilise d’autres données provenant de l’enregistrement d’utilisateur pour déterminer les autorisations d’accès de l’utilisateur pour chaque fichier ou dossier.  Dossiers de départ : chaque enregistrement d’utilisateur, dans un directory domain, stocke l’emplacement du dossier de départ de l’utilisateur. Il s’agit de l’endroit où sont stockés les fichiers, dossiers et préférences de l’utilisateur Le dossier de départ d’un utilisateur peut se trouver sur l’ordinateur sur lequel il travaille ou sur un serveur de fichiers de réseau.  Montage automatique de points de partage : les points de montage peuvent être configurés pour le montage automatique (ils apparaissent automatiquement) dans le dossier /Network (le globe Réseau) des fenêtres du Finder des ordinateurs clients. Les informations concernant ces points de partage à monter automatiquement sont stockées dans un domaine de répertoire. Les points de partage sont des dossiers, des disques ou des partitions de disque rendus accessibles sur le réseau.  Réglage des comptes de messagerie : chaque enregistrement d’utilisateur, dans un domaine de répertoire, indique si l’utilisateur concerné dispose du service de messagerie et, le cas échéant, spécifie les protocoles de courrier à utiliser, le mode de présentation des messages entrants, l’activation éventuelle d’une alerte en cas de réception de message, etc.  Utilisation des ressources : les quotas de disque, d’impression et de courrier peuvent être stockés dans chaque enregistrement d’utilisateur d’un domaine de répertoire.  Informations sur les clients gérés : l’administrateur peut gérer l’environnement Mac OS X des utilisateurs dont les comptes sont stockés dans un domaine de répertoire. L’administrateur choisit les réglages de préférences imposés qui sont stockés dans le domaine de répertoire et qui sont prioritaires par rapport aux préférences personnelles des utilisateurs.  Gestion de groupes : outre des enregistrements d’utilisateurs, un domaine de répertoire contient également des enregistrements de groupes.. Chaque fiche de groupe affecte tous les utilisateurs membres de ce groupe. Les informations qui figurent dans les enregistrements de groupe indiquent les réglages en matière de préférences des membres. Les enregistrements de groupe permettent également de déterminer l’accès aux fichiers, aux dossiers et aux ordinateurs.  Présentations de réseau gérées : l’administrateur peut configurer des présentations personnalisées que les utilisateurs voient lorsqu’ils sélectionnent l’icône Réseau dans la barre latérale d’une fenêtre du Finder. Comme ces présentations de réseau gérées sont stockées dans un domaine de répertoire, elles sont automatiquement disponibles lorsqu’un utilisateur ouvre une session. Chapitre 1 Services de répertoire avec Open Directory 25 Accès aux services de répertoires Open Directory peut accéder aux domaines de répertoire pour les types de services de répertoires suivants :  Lightweight Directory Access Protocol (LDAP), une norme commune dans les environnements mixtes de systèmes Macintosh, UNIX et Windows. LDAP est le service de répertoire natif pour les répertoires partagés de Mac OS X Server.  Domaine de répertoire local, le service de répertoire pour tout Mac OS X et Mac OS X Server 10.5 ou ultérieur.  Active Directory, le service de répertoire des serveurs Microsoft Windows 2000 et 2003.  Network Information System (NIS), le service de répertoire de nombreux serveurs UNIX.  Fichiers plats BSD, le service de répertoire hérité des systèmes UNIX. Au sein d’un domaine de répertoire Les informations, dans un domaine de répertoire, sont organisées d’après le type d’enregistrement .Les types d’enregistrement sont des catégories spécifiques d’informations, comme, par exemple, les utilisateurs, les groupes et les ordinateurs. Un domaine de répertoire peut contenir un nombre différent d’enregistrements pour chaque type d’enregistrements. Chaque enregistrement est constitué d’un ensemble d’attributs et chaque attribut comporte une ou plusieurs valeurs. Si vous imaginez un type d’enregistrement comme une feuille de calcul dédiée à une certaine catégorie d’informations, les enregistrements sont alors les lignes de la feuille, les attributs sont les colonnes et chaque cellule contient une ou plusieurs valeurs. Par exemple, lorsque vous définissez un compte d’utilisateur à l’aide de Gestionnaire de groupe de travail, vous créez un enregistrement d’utilisateur (un enregistrement de type utilisateur). Les réglages définis pour ce compte d’utilisateur (son nom abrégé, son nom complet, l’emplacement de son dossier de départ, etc.) deviennent des valeurs des attributs qui figurent dans l’enregistrement. La fiche d’utilisateur comme les valeurs de ses attributs sont stockées dans un domaine de répertoire. Dans certains services de répertoire, comme, par exemple, LDAP et Active Directory, les informations de répertoire sont organisées par classe d’objets. Comme les types d’ enregistrement, les classes d’objets définissent des catégories d’informations. Une classe d’objets définit des informations similaires appelés entrées en spécifiant les attributs qu’une entrée peut ou doit contenir. Pour une même classe d’objets, un domaine de répertoire peut contenir plusieurs entrées, chacune de ces entrées pouvant contenir plusieurs attributs. Certains attributs ont une seule valeur, alors que d’autres en ont plusieurs. Par exemple, la classe d’objets inetOrgPerson définit des entrées qui contiennent des attributs d’utilisateur. 26 Chapitre 1 Services de répertoire avec Open Directory La classe inetOrgPerson est une classe LDAP standard définie par le document RFC 2798. D’autres classes d’objets et attributs LDAP standard sont définis par le document RFC 2307. Les classes d’objets et les attributs par défaut d’Open Directory se fondent sur ces documents RFC. L’ensemble des attributs et des types d’enregistrements (ou classes d’objets) définissent la structure des informations d’un domaine de répertoire. Cette structure est appelée schéma du domaine de répertoire. Open Directory utilise toutefois un schéma à base de répertoire qui diffère du schéma stocké basé en local. Lors de l’utilisation d’un fichier de configuration de schéma basé en local avec un maître Open Directory qui sert des serveurs répliqués, le problème est que si l’on modifie ou ajoute un attribut au schéma basé en local d’un maître Open Directory, il faut aussi apporter cette modification sur chacune des répliques. S’il y a beaucoup de répliques, la mise à jour manuelle peut prendre énormément de temps. Si vous n’apportez pas la même modification au schéma en local sur chacune des répliques, vos serveurs répliqués vont provoquer des erreurs et des échecs lors de l’envoi de valeurs pour le nouvel attribut aux serveurs répliqués. Pour éviter les problèmes, Mac OS X utilise un schéma à base de répertoire qui est stocké dans la base de données de répertoires et mis à jour automatiquement pour chaque serveur répliqué à partir de la base de données de répertoires répliquée. Cela permet de synchroniser le schéma pour toutes les répliques et donne une plus grande flexibilité pour apporter des modifications au schéma. Chapitre 1 Services de répertoire avec Open Directory 27 Structure des informations de répertoire LDAP Dans un répertoire LDAP, les entrées sont organisées dans une structure arborescente hiérarchique. Dans certains répertoires LDAP, cette structure est basée sur des frontières géographiques et organisationnelles. D’une façon plus générale, la structure est basée sur les noms de domaine Internet. Dans une organisation de répertoire simple, les entrées représentant les utilisateurs, les groupes, les ordinateurs et les autres classes d’objets sont immédiatement sous le niveau racine de la hiérarchie, comme illustré ici. dc=com dc=exemple cn=utilisateurs uid=anne cn=Anne Robin cn=groupes cn=ordinateurs uid=vincent cn=Vincent Foucault Une entrée est référencée par son nom distinctif (DN, Distinguished Name), qui est construit à partir du nom de l’entrée proprement dite, appelé le nom distinctif relatif (RND, Relative Distinguished Name), et par concaténation des noms des entrées ancêtres. Par exemple, l’entrée d’Anne Jacques pourrait avoir le RDN uid=anne et le nom distinctif uid=anne, cn=utilisateurs, dc=exemple, dc=com. Le service LDAP extrait les données en faisant une recherche dans la hiérarchie d’entrées. La recherche peut commencer à n’importe quelle entrée. L’entrée à laquelle la recherche commence est appelée la base de recherche. Vous pouvez spécifier une base de recherche en donnant le nom distinctif d’une entrée dans le répertoire LDAP. Par exemple, la base de recherche cn=utilisateurs, dc=exemple, dc=com spécifie que le service LDAP commencera la recherche à l’entrée dont l’attribut cn a la valeur « utilisateurs ». Vous pouvez aussi spécifier dans combien de niveaux de la hiérarchie LDAP sous la base de recherche il faut chercher. Le domaine de recherche peut couvrir toutes les sous-branches sous la base de recherche ou uniquement le premier niveau d’entrées sous la base de recherche. Si vous utilisez des outils de ligne de commande pour faire une recherche dans un répertoire LDAP, vous pouvez aussi restreindre le domaine de recherche à la seule entrée de la base de recherche. 28 Chapitre 1 Services de répertoire avec Open Directory Domaines de répertoire locaux et partagés L’emplacement de stockage des informations concernant les utilisateurs et autres données administratives nécessaires à votre serveur diffère selon que les données doivent être partagées ou non. Ces informations peuvent être stockées dans le domaine de répertoire local du serveur ou dans un domaine de répertoire partagé. À propos du domaine de répertoire local Tout ordinateur Mac OS X dispose d’un domaine de répertoire local. Les données administratives qui figurent dans un domaine de répertoire local sont visibles uniquement par les applications et le logiciel système exécutés sur l’ordinateur sur lequel le domaine en question se trouve. Il s’agit du premier domaine consulté lorsque l’utilisateur ouvre une session ou exécute certaines opérations nécessitant des données stockées dans un domaine de répertoire. Lorsqu’un utilisateur ouvre une session sur un ordinateur Mac OS X, Open Directory recherche l’enregistrement de cet utilisateur dans le domaine de répertoire local de l’ordinateur. Si le domaine de répertoire local contient l’enregistrement de l’utilisateur (et que l’utilisateur a entré un mot de passe correct), l’ouverture de session se poursuit et l’utilisateur se voit donner l’accès à l’ordinateur. Après l’ouverture de session, l’utilisateur peut choisir “Se connecter à un serveur” dans le menu Aller, puis se connecter à un serveur Mac OS X Server pour accéder à un service de fichiers. Dans ce cas, Open Directory sur le serveur recherche la fiche de cet utilisateur dans le domaine de répertoire local du serveur. Si le domaine de répertoire local du serveur contient un enregistrement pour l’utilisateur (et si l’utilisateur a saisi le bon mot de passe), le serveur donne à l’utilisateur l’accès aux services de fichiers, comme illustré ci-dessous. Ouverture de session Mac OS X Connexion à Mac OS X Server pour le service de fichiers Domaine de répertoire local Domaine de répertoire local Lorsque vous configurez un ordinateur Mac OS X, son domaine de répertoire local est créé et pourvu d’enregistrements automatiquement. Par exemple, une fiche d’utilisateur est créée pour l’utilisateur qui s’est chargé de l’installation. Cet enregistrement d’utilisateur contient le nom d’utilisateur et le mot de passe saisis au cours de la configuration, ainsi que d’autres informations, telles que l’identifiant unique de l’utilisateur et l’emplacement de son dossier de départ. Chapitre 1 Services de répertoire avec Open Directory 29 À propos des domaines de répertoire partagés Bien qu’Open Directory puisse stocker des données administratives dans le domaine de répertoire local de l’ordinateur sur tout ordinateur Mac OS X, son atout majeur est de permettre à plusieurs ordinateurs Mac OS X de partager des données administratives en les stockant dans des domaines de répertoire partagés. Lorsqu’un ordinateur est configuré pour utiliser un domaine partagé, toutes les données administratives contenues dans ce domaine sont également visibles par les applications et le logiciel système de cet ordinateur. Si Open Directory ne trouve pas l’enregistrement d’un utilisateur dans le domaine de répertoire local d’un ordinateur Mac OS X, il peut recherche l’enregistrement dans tous les domaines partagés auxquels cet ordinateur a accès. Dans l’exemple suivant, l’utilisateur peut accéder aux deux ordinateurs, car le domaine partagé, accessible à partir des deux ordinateurs, contient un enregistrement pour cet utilisateur. Domaine de répertoire partagé Ouverture de session Mac OS X Connexion à Mac OS X Server pour le service de fichiers Domaine de répertoire local Domaine de répertoire local Les domaines partagés se trouvent généralement sur des serveurs parce que les informations de domaines de répertoire contiennent des informations extrêmement importantes telles les données d’authentification des utilisateurs. L’accès aux serveurs est généralement très restreint pour protéger les données qu’ils contiennent. En outre, les données de répertoires doivent demeurer disponibles. Les serveurs disposent souvent de fonctions matérielles supplémentaires qui augmentent leur fiabilité et ils bénéficient habituellement de dispositifs d’alimentation électrique sans interruption. 30 Chapitre 1 Services de répertoire avec Open Directory Données partagées dans des domaines de répertoire existants Certaines organisations (les universités ou les multinationales, par exemple) conservent les informations relatives aux utilisateurs et d’autres données administratives dans des domaines de répertoire situés sur des serveurs UNIX ou Windows. Open Directory peut effectuer une recherche dans ces domaines non Apple et dans les domaines Open Directory partagés de systèmes Mac OS X Server, comme illustré ci-dessous. Mac OS X Server Serveur Windows Domaine de répertoire local Domaine Active Directory Domaine de répertoire partagé Domaine de répertoire local Utilisateur Mac OS X Utilisateur Mac OS X Utilisateur Windows L’ordre dans lequel Mac OS X effectue des recherches dans les domaines de répertoire est configurable. La politique de recherche détermine l’ordre dans lequel Mac OS X effectue les recherches dans les domaines de répertoire. Les politiques de recherche sont expliquées au chapitre 2, « Politiques de recherche Open Directory ». Services SMB et Open Directory Vous pouvez configurer votre Mac OS X Server avec Open Directory et les services SMB pour servir des stations de travail Windows. En utilisant ces deux services ensemble, vous pouvez configurer votre Mac OS X Server comme contrôleur de domaine principal (PDC) ou contrôleur de domaine secondaire (BDC). Chapitre 1 Services de répertoire avec Open Directory 31 Open Directory comme contrôleur de domaine principal Mac OS X Server peut être configuré comme contrôleur de domaine principal (PDC) Windows, ce qui permet aux utilisateurs de stations de travail compatibles avec Windows NTd’ouvrir une session à l’aide de comptes de domaine. Un contrôleur de domaine principal donne à chaque utilisateur Windows un nom d’utilisateur et un mot de passe pour l’ouverture de session à partir de toute station de travail Windows NT 4.x, Windows 2000, Windows XP et Windows Vista sur le réseau. Au lieu d’ouvrir une session à l’aide d’un nom d’utilisateur et d’un mot de passe définis en local sur une station de travail, chaque utilisateur peut alors ouvrir une session à l’aide du nom d’utilisateur et du mot de passe définis sur le contrôleur de domaine principal. Le compte d’utilisateur qui peut être utilisé pour ouvrir une session à partir d’une station de travail peut aussi être utilisé pour ouvrir une session à partir d’un ordinateur Mac OS X. Quelqu’un qui utilise les deux plates-formes peut avoir les mêmes dossier de départ, compte de courrier électronique et quotas d’impression sur les deux platesformes. Les utilisateurs peuvent changer de mot de passe lors de l’ouverture de session sur le domaine Windows. Les comptes d’utilisateur sont stockés dans le répertoire LDAP du serveur accompagnés du groupe, de l’ordinateur et d’autres informations. Le contrôleur de domaine principal a accès aux informations de ce répertoire parce que vous avez configuré le contrôleur de domaine principal sur un serveur qui est un maître Open Directory, c’est-à-dire qui héberge un répertoire LDAP. De plus, le contrôleur de domaine principal utilise le serveur de mots de passe du maître Open Directory pour l’authentification des utilisateurs lorsqu’ils ouvrent une session dans le domaine Windows. Le serveur de mots de passe peut valider les mots de passe à l’aide de NTLMv2, NTLMv1, LAN Manager et d’autres méthodes d’authentification. Le maître Open Directory peut aussi avoir un centre de distribution de clés Kerberos. Le contrôleur de domaine principal n’utilise pas Kerberos pour authentifier les utilisateurs pour les services Windows, mais le service de courrier électronique et d’autres services peuvent être configurés pour utiliser Kerberos pour l’authentification des utilisateurs de stations de travail Windows qui disposent de comptes dans le répertoire LDAP. Pour que son mot de passe soit validé par le serveur de mots de passe Open Directory et par Kerberos, un compte d’utilisateur doit avoir un mot de passe de type Open Directory. Un compte d’utilisateur avec un mot de passe de type crypté ne peut pas être utilisé pour les services Windows parce qu’un mot de passe crypté n’est pas validé à l’aide des méthodes d’authentification NTLMv2, NTLMv1 ou LAN Manager. 32 Chapitre 1 Services de répertoire avec Open Directory Le serveur peut aussi avoir des comptes d’utilisateur dans son domaine de répertoire local. Chaque Mac OS X Server en a un. Le contrôleur de domaine principal n’utilise pas ces comptes pour l’ouverture de session par domaine Windows, mais le contrôleur de domaine principal peut utiliser ces comptes pour authentifier les utilisateurs pour le service de fichiers Windows et d’autres services. Les comptes d’utilisateur, dans le domaine de répertoire local, qui ont un mot de passe de type Mot de passe Shadow peuvent être utilisés pour les services Windows parce que les mots de passe Shadow peuvent être validés à l’aide des méthodes d’authentification NTLMv2, NTLMv1, LAN Manager et autres. À des fins de compatibilité, Mac OS X Server prend en charge les comptes d’utilisateur configurés pour utiliser la technologie Gestionnaire d’authentification héritée pour la validation des mots de passe dans Mac OS X Server 10.0–10.2. Après la mise à niveau d’un serveur à Mac OS X Server 10.5, les utilisateurs existants peuvent continuer à utiliser leurs mots de passe. Un compte d’utilisateur utilise Gestionnaire d’authentification si le compte est un domaine de répertoire local pour lequel Gestionnaire d’authentification a été activé et si le compte est configuré pour utiliser un mot de passe crypté. Si vous migrez un répertoire de NetInfo vers LDAP, tous les comptes d’utilisateur qui utilisaient Gestionnaire d’authentification pour la validation des mots de passe sont convertis pour avoir un mot de passe de type Open Directory. Lors de la configuration de Mac OS X Server comme contrôleur de domaine principal, assurez-vous qu’il n’y a pas, sur votre réseau, un autre contrôleur de domaine principal possédant le même nom de domaine. Un réseau peut avoir plusieurs maîtres Open Directory, mais un seul contrôleur de domaine principal. Chapitre 1 Services de répertoire avec Open Directory 33 Open Directory comme contrôleur de domaine secondaire Configurer Mac OS X comme contrôleur de domaine secondaire fournit permet le basculement et la sauvegarde du contrôleur de domaine principal. Le contrôleur de domaine principal et le contrôleur de domaine secondaire partagent les demandes des clients Windows en matière d’ouverture de session de domaine et d’autres services de répertoire et d’authentification. En cas d’indisponibilité du contrôleur de domaine principal Mac OS X Server, le contrôleur de domaine secondaire Mac OS X Server fournit alors des services d’ouverture de session de domaine et d’autres services de répertoire et d’authentification. Le contrôleur de domaine secondaire dispose d’une copie synchronisée des données relatives aux utilisateurs, groupes, ordinateurs et autres données de répertoire du contrôleur de domaine principal. Le contrôleur de domaine principal et le contrôleur de domaine secondaire disposent aussi de copies synchronisées des données d’authentification. Mac OS X Server synchronise automatiquement des données relatives aux répertoires et à l’authentification. Avant de configurer Mac OS X Server comme contrôleur de domaine secondaire, vous devez configurer le serveur comme une réplique Open Directory. Le contrôleur de domaine secondaire utilise le répertoire LDAP, le centre de distribution de clés Kerberos et le serveur de mots de passe de la réplique Open Directory en lecture seule. Mac OS X Server synchronise le contrôleur de domaine principal et le contrôleur de domaine secondaire en mettant à jour automatiquement la réplique Open Directory avec les modifications apportées au maître Open Directory. Utilisez Admin Serveur après l’installation pour faire de Mac OS X Server une réplique Open Directory et un contrôleur de domaine secondaire. Vous pouvez configurer plusieurs contrôleurs de domaine secondaire, chacun sur un serveur de réplique Open Directory distinct. Important : vous ne pouvez pas avoir plusieurs contrôleurs de domaine principal dupliqués sur un même réseau. 34 Chapitre 1 Services de répertoire avec Open Directory 2 Politiques de recherche Open Directory 2 Chaque ordinateur dispose d’une politique de recherche qui spécifie des domaines de répertoire et l’ordre dans lequel Open Directory y effectue ses recherches au sein de ces derniers. Chaque ordinateur Mac OS X a sa propre politique de recherche, appelée aussi plus communément chemin de recherche, qui spécifie à quel domaines de répertoire Open Directory peut accéder, comme, par exemple, le domaine de répertoire local de l’ordinateur et un répertoire partagé particulier. La politique de recherche spécifie également l’ordre dans lequel Open Directory accède aux domaines de répertoire. Open Directory effectue une recherche dans chaque domaine de répertoire et s’arrête lorsqu’il trouve un élément correspondant. Ainsi, Open Directory stoppe la recherche d’un enregistrement d’utilisateur lorsqu’il trouve un enregistrement dont le nom d’utilisateur correspond au nom recherché. Niveaux de politique de recherche Une politique de recherche peut ne contenir que le domaine de répertoire local, le domaine de répertoire local et un répertoire partagé ou le domaine de répertoire local et plusieurs répertoires partagés. Sur un réseau comportant un répertoire partagé, plusieurs ordinateurs accèdent généralement au répertoire partagé. Cette organisation est une structure arborescente, le répertoire partagé étant situé au sommet et les répertoires locaux se trouvant en bas. 35 Politique de recherche dans le domaine de répertoire local La politique de recherche la plus simple se compose uniquement du répertoire local d’un ordinateur. Dans ce cas, Open Directory recherche les données d’utilisateur et autres données administratives uniquement dans le domaine de répertoire local de chaque ordinateur. Si un serveur du réseau héberge un répertoire partagé, Open Directory n’y recherche pas d’informations d’utilisateur ou de données administratives car le répertoire partagé ne fait pas partie de la politique de recherche de l’ordinateur. L’illustration qui suit montre deux ordinateurs en réseau qui ne recherchent des données administratives que dans leur domaine de répertoire local. Domaine de répertoire local Domaine de répertoire local Ordinateur de la classe de français Ordinateur de la classe de sciences Politique de recherche 1 Politiques de recherche à deux niveaux Si un des serveurs du réseau héberge un répertoire partagé, tous les ordinateurs du réseau peuvent inclure le répertoire partagé dans leurs politiques de recherche. Dans ce cas, Open Directory recherche les informations d’utilisateur et autres données administratives en commençant par le domaine de répertoire local. Si Open Directory ne trouve pas les informations dont il a besoin dans le domaine de répertoire local, il va les rechercher dans le répertoire partagé. L’illustration qui suit montre deux ordinateurs et un domaine de répertoire partagé sur un réseau. Les ordinateurs sont connectés au domaine de répertoire partagé et le possèdent dans leur politique de recherche. Domaine de répertoire local Domaine de répertoire partagé Domaine de répertoire local Politique de recherche 1 2 Ordinateur de la classe de français 36 Ordinateur de la classe de sciences Chapitre 2 Politiques de recherche Open Directory Voici un exemple d’utilisation de politique de recherche à deux niveaux : Domaine de répertoire local Domaine de répertoire partagé Domaine de répertoire local Politique de recherche 1 2 Ordinateur de la classe de français Ordinateur de la classe de sciences Domaine de répertoire local Ordinateur de la classe de maths Chaque classe (français, mathématiques, sciences) possède son propre ordinateur. Les élèves de chaque classe sont définis en tant qu’utilisateurs du domaine local de l’ordinateur de cette classe. Ces trois domaines locaux ont le même domaine partagé, dans lequel tous les professeurs sont définis. Les professeurs, en tant que membres du domaine partagé, peuvent ouvrir une session sur n’importe quel ordinateur de la classe. Les élèves de chaque domaine local ne peuvent ouvrir une session que sur l’ordinateur où se trouve leur compte local. Alors que les domaines locaux résident chacun sur leurs ordinateurs respectifs, un domaine partagé réside sur un serveur accessible à partir de l’ordinateur d’un domaine local. Lorsqu’un professeur ouvre une session sur n’importe quel ordinateur des trois classes et qu’il est introuvable dans le domaine local, Open Directory recherche dans le domaine partagé. Chapitre 2 Politiques de recherche Open Directory 37 Dans l’exemple qui suit, il n’y qu’un seul domaine partagé, mais il peut y en avoir plus sur des réseaux plus complexes. Mac OS X Server de l’école Ordinateur de la classe de sciences Domaine de répertoire local Domaine de répertoire local Domaine de répertoire partagé Domaine de répertoire local Domaine de répertoire local Ordinateur de la classe de français Ordinateur de la classe de maths Politiques de recherche multiniveaux Si plusieurs serveurs du réseau hébergent un répertoire partagé, les ordinateurs du réseau peuvent inclure plusieurs répertoires partagés dans leurs politiques de recherche. Comme dans les politiques de recherche plus simples, Open Directory recherche toujours les informations d’utilisateur et autres données administratives en commençant par le domaine de répertoire local. Si Open Directory ne trouve pas les informations dont il a besoin dans le domaine de répertoire local, il les recherche tour à tour dans chaque répertoire partagé, dans l’ordre spécifié par la politique de recherche. 38 Chapitre 2 Politiques de recherche Open Directory Voici un exemple d’utilisation de plusieurs répertoires partagés : Politique de recherche 1 Domaine de répertoire de maths 2 3 Domaine de répertoire de français Domaine de répertoire de l’école Domaine de répertoire de sciences Chaque classe (français, mathématiques, sciences) possède un serveur qui héberge un domaine de répertoire partagé. La politique de recherche de chaque ordinateur de la classe spécifie le domaine local de cet ordinateur, le domaine partagé de la classe et le domaine partagé de l’école. Les élèves de chaque classe sont définis en tant qu’utilisateurs du domaine partagé du serveur de cette classe, ce qui autorise chaque élève à ouvrir une session sur tout ordinateur de la classe. Comme les professeurs sont définis dans le domaine partagé du serveur de l’école, ils peuvent ouvrir une session sur n’importe quel ordinateur de la classe. Il est possible d’affecter la totalité d’un réseau ou juste un groupe d’ordinateurs, en choisissant le domaine dans lequel seront définies les données administratives. Plus le niveau des données administratives dans une politique de recherche est élevé, moins il est nécessaire de les modifier au fur et à mesure de l’évolution des utilisateurs et des ressources système. Pour les administrateurs de services de répertoire, l’aspect le plus important est sans doute la planification des domaines de répertoire et des politiques de recherche. Ces éléments doivent refléter les ressources que vous souhaitez partager, les utilisateurs entre lesquels vous souhaitez les partager et même le mode de gestion de vos données de répertoire. Chapitre 2 Politiques de recherche Open Directory 39 Politiques de recherche automatiques Les ordinateurs Mac OS X peuvent être configurés pour définir des politiques de recherche automatiquement. Une politique de recherche automatique se compose de trois éléments, dont l’un est facultatif :  Domaine de répertoire local  Répertoire LDAP partagé (facultatif ) La politique de recherche automatique d’un ordinateur commence toujours par son domaine de répertoire local. Lorsqu’un ordinateur Mac OS X n’est pas connecté à un réseau, il recherche les comptes d’utilisateur et autres données administratives uniquement dans son domaine de répertoire local. La politique de recherche automatique détermine ensuite si l’ordinateur est configuré pour se connecter à un domaine de répertoire local partagé. L’ordinateur peut être connecté à un domaine de répertoire local partagé, qui, à son tour, peut être connecté à un autre domaine de répertoire local partagé, et ainsi de suite. Un domaine de répertoire local est la seconde partie de la politique de recherche automatique. Pour en savoir plus, consultez la rubrique « À propos du domaine de répertoire local » à la page 29. Enfin, un ordinateur possédant une politique de recherche automatique peut se connecter à un répertoire LDAP partagé. Lorsque l’ordinateur démarre, il peut obtenir l’adresse d’un serveur de répertoire LDAP à partir d’un service DHCP. Le service DHCP de Mac OS X Server peut fournir une adresse de serveur LDAP de la même façon qu’il fournit les adresses de serveurs DNS et d’un routeur. (Un service DHCP non Apple peut aussi fournir l’adresse d’un serveur LDAP. Cette fonctionnalité est connue dans DHCP sous le nom d’option 95.) Si vous voulez que service DHCP de Mac OS X Server fournisse l’adresse d’un serveur LDAP aux clients pour les politiques de recherche automatiques, configurez les options LDAP du service DHCP. Pour en savoir plus, consultez le chapitre consacré à DHCP dans Administration des services réseau. Pour qu’un ordinateur Mac OS X obtienne l’adresse d’un serveur LDAP à partir du service DHCP :  L’ordinateur doit être configuré pour utiliser une politique de recherche automatique. Cela inclut l’activation de l’option permettant d’ajouter des répertoires LDAP fournis par le DHCP. Pour en savoir plus, consultez les rubriques « Utilisation des réglages avancés des règles de recherche » à la page 150 et « Activation ou désactivation d’un répertoire LDAP fourni via DHCP » à la page 158.  Les préférences réseau de l’ordinateur doivent être configurées pour utiliser DHCP ou DHCP avec une adresse IP manuelle. Mac OS X est initialement configuré pour utiliser DHCP. Pour en savoir plus sur les réglages des préférences réseau, consultez l’Aide Mac. 40 Chapitre 2 Politiques de recherche Open Directory Une politique de recherche automatique offre confort et souplesse, particulièrement pour les ordinateurs portables. Lorsqu’un ordinateur doté d’une politique de recherche automatique est déconnecté du réseau, connecté à un autre réseau ou placé sur un autre sous-réseau, la politique de recherche automatique peut changer. Si l’ordinateur est déconnecté du réseau, il utilise son domaine de répertoire local. Si l’ordinateur est connecté à un réseau ou sous-réseau différent, il peut changer automatiquement sa connexion de domaine de répertoire local et obtenir une adresse de serveur LDAP à partir du service DHCP du sous-réseau courant. Avec une politique de recherche automatique, il n’est pas nécessaire de reconfigurer un ordinateur afin qu’il puisse obtenir les services de répertoires et d’authentification dans son nouvel emplacement. Important : si vous configurez Mac OS X pour qu’il utilise une politique de recherche automatique d’authentification et un serveur LDAP fourni par DHCP ou un domaine de répertoire local fourni par DHCP, vous augmenterez le risque de voir un attaquant prendre le contrôle de votre ordinateur. Le risque est encore plus élevé si votre ordinateur est configuré pour se connecter à réseau un sans fil. Pour en savoir plus, consultez la rubrique « Protection des ordinateurs contre un serveur DHCP malveillant » à la page 154. Politiques de recherche personnalisées Si vous ne voulez pas qu’un ordinateur Mac OS X utilise la politique de recherche automatique fournie par DHCP, vous pouvez définir une politique de recherche personnalisée pour cet ordinateur. Par exemple, une politique de recherche personnalisée pourrait spécifier qu’il faut rechercher dans un domaine Active Directory avant de rechercher dans un domaine de répertoire d’un serveur Open Directory. Les utilisateurs peuvent configurer leurs ordinateurs pour ouvrir une session à l’aide de leurs enregistrements d’utilisateur provenant du domaine Active Directory et d’avoir leurs préférences gérées par groupe et des fiches d’ordinateur provenant du domaine Open Directory. Une politique de recherche personnalisée ne fonctionne généralement pas dans plusieurs emplacements de réseau, ni lorsque l’ordinateur n’est pas connecté à un réseau, car elle se base sur la disponibilité de domaines de répertoire spécifiques sur un réseau en particulier. Si un ordinateur portable est déconnecté de son réseau habituel, il n’a plus accès aux domaines de répertoire partagés de sa propre politique de recherche personnalisée. L’ordinateur déconnecté a toutefois toujours accès à son propre domaine de répertoire local car ce dernier est le premier domaine de répertoire dans toutes les politiques de recherche. Chapitre 2 Politiques de recherche Open Directory 41 L’utilisateur de l’ordinateur portable peut ouvrir une session à l’aide d’un enregistrement d’utilisateur du domaine de répertoire local, qui peut contenir des comptes d’utilisateur mobiles. Ceux-ci mettent en miroir les comptes d’utilisateur provenant du domaine de répertoire partagé auquel l’ordinateur portable accède lorsqu’il est connecté à son réseau habituel. Politiques de recherche d’authentification et de contacts Un ordinateur Mac OS X possède une politique de recherche pour trouver des informations d’authentification et une autre politique de recherche pour trouver des informations de contacts.  Open Directory utilise la politique de recherche d’authentification pour localiser et récupérer les données d’authentification d’utilisateur et d’autres données administratives à partir des domaines de répertoire.  Il utilise la politique de recherche de contacts pour localiser et récupérer les noms, adresses et autres informations de contact à partir des domaines de répertoire. Le Carnet d’adresses de Mac OS X utilise ces informations de contact. D’autres applications peuvent être programmées pour les exploiter. Chaque politique de recherche peut être automatique, personnalisée ou s’exercer sur le domaine exclusivement. 42 Chapitre 2 Politiques de recherche Open Directory 3 Authentification Open Directory 3 Open Directory offre plusieurs options d’authentification des utilisateurs dont les comptes sont stockés dans des domaines de répertoire de Mac OS X Server, y compris Kerberos et les méthodes d’authentification traditionnelles requises par les services de réseau. Open Directory peut authentifier les utilisateurs selon l’une des méthodes suivantes :  Authentification Kerberos pour la signature unique  Méthodes d’authentification traditionnelles et mot de passe stocké de façon sécurisée dans la base de données du serveur de mots de passe Open Directory  Méthodes d’authentification traditionnelles et mot de passe shadow stocké dans un fichier de mots de passe sécurisé pour chaque utilisateur  Mot de passe crypté stocké directement dans le compte de l’utilisateur, pour une compatibilité descendante avec les systèmes hérités  Serveur LDAP non Apple pour une authentification par liaison LDAP De plus, Open Directory permet de configurer une politique de mot de passe pour tous les utilisateurs et les politiques de mot de passe spécifiques pour chacun des utilisateurs, telles que l’arrivée à expiration automatique et la longueur minimale des mots de passe. (Les politiques de mot de passe ne s’appliquent ni aux administrateurs, ni à l’authentification par mot de passe crypté, ni à l’authentification par liaison LDAP). 43 Types de mots de passe Chaque compte d’utilisateur a un type de mot de passe qui détermine la façon dont le compte d’utilisateur est authentifié. Dans un domaine de répertoire local, le type de mot de passe par défaut est le mot de passe shadow. Sur un serveur mis à niveau à partir de Mac OS X Server 10.3, les comptes d’utilisateur du domaine de répertoire local peuvent aussi disposer d’un mot de passe de type Open Directory. Pour les comptes d’utilisateur du répertoire LDAP de Mac OS X Server, le type de mot de passe par défaut est le type Open Directory. Les comptes d’utilisateur du répertoire LDAP peuvent aussi disposer d’un mot de passe de type mot de passe crypté. Authentification et autorisation Les services tels que la fenêtre d’ouverture de session et le service de fichiers Apple nécessitent une authentification de l’utilisateur à partir d’Open Directory. L’authentification fait partie du processus par lequel un service détermine s’il doit accorder à un utilisateur l’accès à une ressource. Généralement, ce processus nécessite également une autorisation. L’authentification prouve l’identité de l’utilisateur, tandis que l’autorisation détermine ce que l’utilisateur authentifié a le droit de faire. Un utilisateur s’authentifie généralement en fournissant un nom et un mot de passe valides. Un service peut alors autoriser l’utilisateur authentifié à accéder à des ressources spécifiques. Exemple : le service de fichiers autorise l’accès total aux dossiers et aux fichiers qu’un utilisateur authentifié possède. Lorsque vous utilisez une carte de crédit, vous faites l’expérience de processus d’authentification et d’autorisation. Le commerçant vous identifie (authentification) en comparant votre signature sur la facture avec celle qui figure au dos de votre carte de crédit. Il soumet alors votre numéro de carte de crédit à la banque qui autorise le paiement en fonction du solde de votre compte et d’une limite de crédit autorisé. Open Directory authentifie les comptes d’utilisateur et les listes de contrôle d’accès de service (SACL : "service access control list") autorisent l’utilisation de services. Si Open Directory vous authentifie, la liste SACL de la fenêtre d’ouverture de session détermine si vous pouvez ouvrir une session, la liste SACL du service Apple Filing Protocol (AFP) détermine si vous pouvez vous connecter au service de fichiers Apple, et ainsi de suite. Certains services déterminent aussi si un utilisateur est autorisé à accéder à des ressources particulières. Cette autorisation peut nécessiter l’extraction d’informations de compte d’utilisateur supplémentaires à partir du domaine de répertoire. Par exemple, le service AFP a besoin de l’identifiant d’utilisateur et d’informations sur l’adhésion de groupe pour déterminer les dossiers et les fichiers que l’utilisateur est autorisé à lire et à écrire. 44 Chapitre 3 Authentification Open Directory Mots de passe Open Directory Lorsqu’un compte d’utilisateur dispose d’un type de mot de passe d’Open Directory, l’utilisateur peut être authentifié via Kerberos ou via le serveur de mots de passe Open Directory. Kerberos est un système d’authentification réseau qui utilise des informations d’authentification émises par un serveur sécurisé. Le serveur de mots de passe Open Directory prend en charge les méthodes d’authentification de mots de passe traditionnelles que certains clients de services de réseau requièrent. Ni Kerberos ni le serveur de mots de passe Open Directory ne stockent le mot de passe dans le compte d’utilisateur. Tant Kerberos que le serveur de mots de passe Open Directory stockent les mots de passe dans des bases de données sécurisées en dehors du domaine de répertoire et les mots de passe ne sont jamais lus. Les mots de passe ne peuvent être que définis et vérifiés. Des utilisateurs malveillants peuvent tenter d’ouvrir une session via le réseau dans l’espoir d’accéder à Kerberos et au serveur de mots de passe Open Directory. L’examen des historiques d’Open Directory permet de détecter ces tentatives d’accès infructueuses (consultez la rubrique « Affichage des états et des historiques Open Directory » à la page 211). Les comptes d’utilisateur dans les domaines de répertoire suivants peuvent disposer de mots de passe Open Directory :  Le répertoire LDAP de Mac OS X Server  Le domaine de répertoire local de Mac OS X Server Remarque : les mots de passe Open Directory ne peuvent pas être utilisés pour ouvrir une session dans Mac OS X version 10.1 ou antérieure. Les utilisateurs qui doivent ouvrir une session à l’aide de la fenêtre d’ouverture de session de Mac OS X 10.1 ou antérieur doivent être configurés pour utiliser des mots de passe cryptés. Le type de mot de passe n’a pas d’importance pour les autres services. Par exemple, un utilisateur de Mac OS X 10.1 pourrait s’authentifier auprès du service de fichiers Apple à l’aide d’un mot de passe Open Directory. Mots de passe shadow Les mots de passe shadow prennent en charge les mêmes méthodes d’authentification traditionnelles que le serveur de mots de passe Open Directory. Ces méthodes d’authentification sont utilisées pour envoyer des mots de passe shadow via le réseau sous une forme brouillée, ou hachage. Un mot de passe shadow est stocké sous forme de plusieurs condensés dans un fichier situé sur le même ordinateur que le domaine de répertoire accueillant le compte d’utilisateur. Étant donné que le mot de passe n’est pas stocké dans le compte d’utilisateur, sa capture via le réseau s’avère difficile. Chaque mot de passe shadow d’utilisateur est stocké dans un fichier différent, dénommé fichier de mots de passe shadow. Seul le compte d’utilisateur racine est autorisé à lire ces fichiers. Chapitre 3 Authentification Open Directory 45 Seuls les comptes d’utilisateur qui sont stockés dans le domaine de répertoire local d’un ordinateur peuvent disposer d’un mot de passe shadow. Les comptes d’utilisateur qui sont stockés dans un répertoire partagé ne peuvent en bénéficier. Les mots de passe shadow fournissent également une authentification cachée pour les comptes d’utilisateur mobiles. Pour obtenir des informations complètes sur les comptes d’utilisateur mobiles, consultez Gestion des utilisateurs. Mots de passe cryptés Un mot de passe crypté est stocké dans un condensé numérique dans le compte d’utilisateur. Cette stratégie, historiquement appelée authentification de base, est principalement compatible avec les logiciels qui nécessitent un accès direct aux enregistrements d’utilisateur. Par exemple, Mac OS X 10.1 ou antérieur s’attend à trouver un mot de passe crypté stocké dans le compte d’utilisateur. L’authentification cryptée ne prend en charge que les mots de passe d’une longueur maximale de huit octets (huit caractères ASCII). Si un mot de passe plus long est saisi dans le compte d’un utilisateur, seuls les huit premiers octets sont utilisés pour la validation du mot de passe crypté. Les mots de passe shadow et Open Directory ne sont pas soumis à cette limite de longueur. Pour une transmission sécurisée des mots de passe via un réseau, les mots de passe cryptés peuvent fonctionner avec la méthode d’authentification DHX. Fourniture d’authentification sécurisée aux utilisateurs Windows Mac OS X Server offre aussi les mêmes types de mots de passe sécurisés aux utilisateurs Windows :  Les mots de passe Open Directory sont nécessaires pour l’ouverture de session de domaine à partir d’une station de travail Windows vers un contrôleur de domaine principal Mac OS X Server et peuvent être utilisés pour l’authentification auprès du service de fichiers Windows. Ce type de mot de passe peut être validé à l’aide de plusieurs méthodes d’authentification, y compris NTLMv2, NTLMv1 et LAN Manager. Les mots de passe Open Directory sont stockés dans une base de données sécurisée, pas dans les comptes d’utilisateur.  Les mots de passe shadow ne peuvent pas être utilisés pour l’ouverture de session de domaine mais ils peuvent être utilisés pour le service de fichiers Windows et d’autres services. Ce type de mot de passe peut aussi être validé à l’aide des méthodes d’authentification NTLMv2, NTLMv1 et LAN Manager. Les mots de passe shadow sont stockés dans des fichiers sécurisés, et non pas dans les comptes d’utilisateur.  Un mot de passe crypté avec le Gestionnaire d’authentification activé fournit la compatibilité pour les comptes d’utilisateur sur un serveur qui a été mis à niveau à partir de Mac OS X Server 10.1. Après la mise à niveau du serveur vers Mac OS X Server 10.5, ces comptes d’utilisateur doivent être modifiés de façon à utiliser des mots de passe Open Directory, qui sont plus sûrs que le Gestionnaire d’authentification hérité. 46 Chapitre 3 Authentification Open Directory Attaques hors ligne sur des mots de passe Du fait que les mots de passe cryptés sont stockés directement dans les comptes d’utilisateur, ils sont susceptibles d’être piratés. Les comptes d’utilisateur qui se trouvent dans un domaine de répertoire partagé sont accessibles sur le réseau. Toute personne connectée au réseau et disposant de Gestionnaire de groupe de travail ou sachant utiliser les outils à lignes de commandes peut lire le contenu des comptes d’utilisateur, y compris les mots de passe cryptés qui y sont stockés. Les mots de passe Open Directory et les mots de passe shadow ne sont pas stockés dans les comptes d’utilisateur ; ils ne peuvent donc pas être lus à partir des domaines de répertoire. Un attaquant malveillant ou un pirate informatique pourrait utiliser Gestionnaire de groupe de travail ou des commandes UNIX pour copier des enregistrements d’utilisateur dans un fichier. Le pirate peut ensuite transférer ce fichier vers un autre système et utiliser différentes techniques pour décoder les mots de passe cryptés stockés dans les enregistrements d’utilisateur. Après avoir décodé un mot de passe crypté, le pirate peut ouvrir une session incognito avec un nom d’utilisateur et un mot de passe crypté valides. Avec ce type d’attaque « hors ligne », il n’est pas nécessaire d’effectuer plusieurs tentatives d’ouverture de session successives pour accéder à un système. Une façon efficace de lutter contre le piratage de mots de passe consiste à utiliser de bons mots de passe et d’éviter d’utiliser des mots de passe cryptés. Les mots de passe doivent contenir des lettres, des chiffres et des symboles et former des combinaisons difficiles à deviner par les utilisateurs non autorisés. Ils ne doivent pas être constitués de mots existants. Ils peuvent contenir des chiffres et des symboles (comme, par exemple, # ou $) ou être composés de la première lettre de tous les mots d’une phrase. Utilisez une combinaison de lettres minuscules et majuscules. Les mots de passe shadow et les mots de passe Open Directory sont beaucoup moins sujets à l’attaque hors ligne car ils ne sont pas stockés dans les enregistrements d’utilisateur. Les mots de passe shadow sont stockés dans des fichiers séparés, uniquement lisibles par une personne qui connaît le mot de passe du compte de l’utilisateur racine (appelé aussi administrateur système). Les mots de passe Open Directory sont enregistrés de manière sûre dans le centre de distribution de clés Kerberos et dans la base de données du serveur de mots de passe Open Directory. Le mot de passe Open Directory d’un utilisateur ne peut être lu par d’autres utilisateurs, pas même par un utilisateur disposant d’autorisations d’administrateur pour l’authentification Open Directory. (Cet administrateur ne peut changer que les mots de passe Open Directory et les politiques de mot de passe.) Chapitre 3 Authentification Open Directory 47 Les mots de passe cryptés ne sont pas considérés comme sécurisés. Il est recommandé de ne les utiliser que pour les comptes d’utilisateur qui doivent être compatibles avec des clients UNIX qui les requièrent ou pour des clients sous Mac OS X 10.1. Comme ils sont stockés dans les comptes d’utilisateur, ils sont aussi accessibles et susceptibles d’être la cible d’attaques hors ligne (consultez la rubrique « Attaques hors ligne sur des mots de passe »). Bien que stockés sous une forme encodée, ils sont relativement faciles à décoder. Comment les mots de passe cryptés sont cryptés Les mots de passe cryptés ne sont pas stockés en clair ; ils sont dissimulés et rendus illisibles par le cryptage. Le procédé de cryptage d’un mot de passe crypté consiste à introduire le mot de passe en clair et un nombre aléatoire dans une fonction mathématique (appelée fonction de hachage unidirectionnelle). Une fonction de hachage unidirectionnelle génère toujours la même valeur cryptée à partir de données en entrée spécifiques, mais ne peut être utilisée pour recréer le mot de passe original à partir des données en sortie cryptées qu’elle génère. Pour valider un mot de passe à l’aide de la valeur cryptée, Mac OS X applique la fonction au mot de passe tapé par l’utilisateur et la compare à la valeur stockée dans le compte d’utilisateur ou le fichier shadow. Si les valeurs se correspondent, le mot de passe est considéré valide. Détermination de l’option d’authentification à utiliser Pour authentifier un utilisateur, Open Directory doit d’abord déterminer l’option d’authentification à utiliser : Kerberos, le serveur de mots de passe Open Directory, le mot de passe shadow ou le mot de passe crypté. Le compte de l’utilisateur contient les informations spécifiant l’option d’authentification à utiliser. Ces informations portent le nom d’attribut d’autorité d’authentification. Open Directory se sert du nom fourni par l’utilisateur pour trouver le compte de l’utilisateur dans le domaine de répertoire. Open Directory consulte alors l’attribut d’autorité d’authentification présent dans le compte de l’utilisateur pour connaître l’option d’authentification à appliquer. 48 Chapitre 3 Authentification Open Directory Vous pouvez changer l’attribut d’autorité d’authentification d’un utilisateur en changeant le type de mot de passe dans la sous-fenêtre Avancé de Gestionnaire de groupe de travail, comme illustré dans le tableau qui suit. Pour en savoir plus, reportez-vous à la rubrique « Modification du type de mot de passe d’un utilisateur » à la page 125. Attribut dans l’enregistrement d’utilisateur Type de mot de passe Autorité d’authentification Open Directory Serveur de mots de passe Open Directory et Kerberos1 Mot de passe shadow Fichier de mots de passe de cha- L’un ou l’autre : que utilisateur, lisible unique ;ShadowHash;2 ment par le compte d’utilisateur  ;ShadowHash;<liste des méthoroot des d’authentification activées> Mot de passe crypté Mot de passe encodé dans l’enregistrement d’utilisateur L’un ou l’autre, ou les deux :  ;ApplePasswordServer;  ;Kerberosv5; L’un ou l’autre :  ;basic;  pas d’attribut du tout Les comptes d’utilisateur de Mac OS X Server 10.2 doivent être réinitialisés pour qu’ils contiennent l’attribut d’autorité d’authentification Kerberos. Consultez la rubrique « Activation de l’authentification Kerberos par signature unique pour un utilisateur » à la page 129. 2 Si l’attribut qui figure dans l’enregistrement d’utilisateur est ;ShadowHash; sans liste de méthodes d’authentification activées, ce sont les méthodes d’authentification par défaut qui sont activées. La liste des méthodes d’authentification par défaut est différente pour Mac OS X Server et Mac OS X. 1 L’attribut d’autorité d’authentification peut spécifier plusieurs options d’authentification. Par exemple, un compte d’utilisateur avec un mot de passe de type Open Directory possède normalement un attribut d’autorité d’authentification qui spécifie tant Kerberos que le serveur de mots de passe Open Directory. Un compte d’utilisateur ne doit pas nécessairement contenir un attribut d’autorité d’authentification. Dans ce cas, Mac OS X Server suppose qu’un mot de passe crypté est enregistré dans le compte d’utilisateur. Par exemple, les comptes d’utilisateur créés à l’aide de la version 10.1 ou antérieure de Mac OS X contiennent un mot de passe crypté mais pas d’attribut d’autorité d’authentification. Chapitre 3 Authentification Open Directory 49 Politiques de mot de passe Open Directory applique les politiques de mot de passe pour les utilisateurs dont le type de mot de passe est Open Directory ou Mot de passe Shadow. Une politique de mot de passe d’utilisateur peut, par exemple, spécifier un délai d’expiration du mot de passe. Si, au moment où l’utilisateur ouvre une session, Open Directory constate que le mot de passe a expiré, l’utilisateur devra remplacer ce mot de passe. Open Directory pourra alors authentifier l’utilisateur. Les politiques de mot de passe peuvent désactiver un compte d’utilisateur à une date donnée, après un certain nombre de jours, après une période d’inactivité ou après un certain nombre de tentatives d’ouverture de session infructueuses. Elles peuvent aussi exiger que le mot de passe soit composé au minimum d’un certain nombre de caractères, qu’il contienne au moins une lettre ou un chiffre, qu’il soit différent du nom d’utilisateur, qu’il diffère des mots de passe précédemment choisis ou qu’il soit modifié régulièrement. La politique de mot de passe pour un compte d’utilisateur mobile est d’application lorsque le compte est utilisé aussi bien lorsqu’il est déconnecté du réseau que lorsqu’il est connecté au réseau. La politique de mot de passe d’un compte d’utilisateur mobile est mise en mémoire cache pour son utilisation hors ligne. Pour en savoir plus sur les comptes d’utilisateur mobiles, consultez Gestion des utilisateurs. Les politiques de mot de passe n’affectent pas les comptes d’administrateur. Les administrateurs sont exclus des politiques de mot de passe car ils peuvent modifier ces politiques comme ils le souhaitent. De plus, appliquer des politiques de mot de passe à des administrateurs pourrait en faire la cible d’attaques par déni de service. Kerberos et le serveur de mots de passe Open Directory maintiennent des politiques de mot de passe séparées. Un serveur Open Directory synchronise les règles de politique de mot de passe Kerberos avec les règles de politique de mot de passe du serveur de mots de passe Open Directory. 50 Chapitre 3 Authentification Open Directory Authentification par signature unique Mac OS X Server utilise Kerberos pour l’authentification par signature unique, ce qui permet aux utilisateurs de ne pas devoir taper un nom d’utilisateur et un mot de passe différents pour chacun des services. Avec la signature unique, un utilisateur tape toujours un nom d’utilisateur et un mot de passe dans la fenêtre d’ouverture de session. Par contre, une fois la session ouverte, il ne doit plus saisir de nom d’utilisateur ni de mot de passe pour accéder au service de fichiers Apple, au service de messagerie ni aux autres services qui utilisent l’authentification Kerberos. Pour pouvoir bénéficier de la signature unique, les utilisateurs et les services doivent être Kerberisés, c’est-à-dire configurés pour l’authentification par Kerberos, et utiliser le même serveur de centre de distribution de clés Kerberos. Les comptes d’utilisateur qui résident dans un répertoire LDAP de Mac OS X Server et qui possèdent un mot de passe de type Open Directory utilisent le centre de distribution de clés intégré du serveur. Ces comptes d’utilisateur sont configurés automatiquement pour Kerberos et la signature unique. Les services kerbérisés du serveur utilisent également le centre de distribution de clés intégré du serveur et sont configurés automatiquement pour la signature unique. Ce centre de distribution de clés Mac OS X Server peut aussi authentifier les utilisateurs pour les services fournis par d’autres serveurs. Pour que des serveurs supplémentaires sous Mac OS X Server utilisent le centre de distribution de clés de Mac OS X Server, très peu de configuration est nécessaire. Authentification Kerberos Kerberos est un protocole d’authentification en réseau développé par le MIT en vue de fournir une authentification et des communications sûres en réseaux ouverts, tels qu’Internet. Il porte le nom du chien à trois têtes qui gardait l’accès au monde souterrain dans la mythologie grecque. Kerberos fournit des preuves d’identité aux deux parties. Il vous permet de prouver qui vous êtes auprès des services réseau que vous voulez utiliser. Il prouve aussi à vos applications que les services réseau sont authentiques et n’ont pas fait l’objet d’une opération de spoofing (mystification). Comme d’autres systèmes d’authentification, Kerberos ne fournit toutefois pas d’autorisation. Chaque service réseau détermine ce que vous pouvez faire en fonction de l’identité que vous avez prouvée. Chapitre 3 Authentification Open Directory 51 Kerberos permet à un client et à un serveur de s’identifier mutuellement de façon nettement plus sûre que les méthodes d’authentification par mot de passe et par question-réponse traditionnelles. Kerberos fournit aussi un environnement à signature unique dans lequel les utilisateurs ne doivent s’authentifier qu’une fois par jour, par semaine ou par période, ce qui allège la fréquence des authentifications. Mac OS X Server offre une prise en charge intégrée de Kerberos que vraiment tout le monde peut déployer. En fait, le déploiement de Kerberos est à ce point automatique que les utilisateurs et les administrateurs ne remarqueront peut-être même pas qu’il est déployé. Mac OS X 10.3 et ultérieur utilise Kerberos automatiquement lorsqu’un utilisateur ouvre une session à l’aide d’un compte configuré pour l’authentification par Open Directory. Il s’agit du réglage par défaut pour les comptes d’utilisateur dans le répertoire LDAP de Mac OS X Server. D’autres services fournis par le serveur de répertoire LDAP comme, par exemple, les services AFP et ceux de courrier électronique, utilisent aussi Kerberos automatiquement. Si votre réseau comporte d’autres serveurs sous Mac OS X Server 10.5, il est aisé de les joindre au serveur Kerberos ; la plupart de leurs services utilisent alors Kerberos automatiquement. D’un autre côté, si votre réseau dispose d’un système Kerberos comme, par exemple, Microsoft Active Directory, vous pouvez configurer vos ordinateurs Mac OS X Server et Mac OS X pour qu’ils l’utilisent pour l’authentification. 52 Chapitre 3 Authentification Open Directory Mac OS X Server et Mac OS X 10.3 ou ultérieur prennent en charge Kerberos 5. Mac OS X Server et Mac OS X 10.5 ne prennent pas en charge Kerberos 4. Surmonter les obstacles du déploiement de Kerberos Jusqu’il y a peu, Kerberos était une technologie destinée aux universités et aux sites gouvernementaux. Il n’était pas utilisé à plus grande échelle parce que certains obstacles en matière d’adoption devait être levés. Mac OS X et Mac OS X Server 10.3 ou ultérieur éliminent les obstacles historiques suivants à l’adoption de Kerberos :  Un administrateur devait configurer un centre de distribution de clés Kerberos. C’était difficile à déployer et à administrer.  Il n’y avait pas d’intégration standard avec un système de répertoire. Kerberos ne fait que de l’authentification. Il ne stocke pas de données de compte d’utilisateur comme, par exemple, l’identifiant d’utilisateur (UID), l’emplacement du dossier de départ ou l’appartenance à un groupe. L’administrateur devait arriver à comprendre comment intégrer Kerberos à un système de répertoire.  Tous les serveurs devaient être inscrits au centre de distribution de clés Kerberos. Cela ajoutait une étape supplémentaire au processus de configuration du serveur.  Après avoir configuré un serveur Kerberos, l’administrateur devait se rendre sur tous les ordinateurs clients et les configurer un à un pour l’utilisation de Kerberos. Cela prenait beaucoup de temps et nécessitait la modification de fichiers de configuration et l’utilisation d’outils de ligne de commande.  Il fallait disposer d’une suite d’applications kerbérisées (logiciels serveur et client). Certaines des applications de base étaient disponibles, mais les porter et les adapter pour qu’elles fonctionnent dans votre environnement n’était pas chose aisée.  Tous les protocoles de réseau utilisés pour l’authentification client-serveur ne prennent pas en charge Kerberos. Certains protocoles de réseau nécessitent toujours des méthodes d’authentification défi-réponse traditionnelles et il n’y a pas de façon standard d’intégrer Kerberos à ces méthodes d’authentification réseau patrimoniales.  Le client Kerberos prend en charge le basculement de sorte que, si un centre de distribution de clés est hors ligne, il peut utiliser une réplique, mais l’administrateur devait arriver à comprendre comment configurer une réplique Kerberos.  Les outils d’administration n’ont jamais été intégrés. Les outils pour la création et la modification de comptes d’utilisateur dans le domaine de répertoire ne savaient rien de Kerberos et les outils Kerberos ne savaient rien des comptes d’utilisateur dans les répertoires. Configurer un enregistrement d’utilisateur était une opération spécifique au site, qui dépendait de la façon dont le centre de distribution de clés était intégré au système de répertoire. Chapitre 3 Authentification Open Directory 53 Expérience en matière de signature unique Kerberos est un système d’informations d’authentification ou un système à base de tickets. L’utilisateur ouvre une session sur le système Kerberos et reçoit un ticket avec une certaine durée de vie. Pendant la durée de vie de ce ticket, l’utilisateur ne doit jamais se réauthentifier pour accéder à un service kerbérisé. Le logiciel client kerbérisé de l’utilisateur, comme, par exemple, l’application Mail de Mac OS X, présente un ticket Kerberos valide pour authentifier l’utilisateur pour un service kerbérisé. C’est cela la signature unique. Un ticket Kerberos, c’est comme une carte de presse pour un festival de jazz qui se tient dans différentes boîtes de nuit sur trois jours. Vous devez prouver votre identité une fois pour obtenir la carte de presse. Jusqu’à son expiration, il suffit de la montrer à une des boîtes de nuit pour obtenir un ticket pour un spectacle. Toutes les boîtes de nuit participantes acceptent votre carte de presse sans vous demander de prouver à nouveau votre identité. Authentification sécurisée Intrinsèquement Internet n’est pas sécurisé et peu de protocoles d’authentification fournissent une véritable sécurité. Les pirates informatiques peuvent utiliser des outils logiciels tout prêts pour intercepter les mots de passe qui transitent par un réseau. De nombreuses applications envoient, en effet, les mots de passe en clair. Ces derniers sont prêts à l’emploi dès qu’ils sont interceptés. Même les mots de passe cryptés ne sont pas tout à fait sûrs. S’il dispose de temps et de puissance de calcul, un pirate peut aussi craquer les mots de passe cryptés. Pour isoler les mots de passe sur votre réseau privé, vous pouvez utiliser un coupe-feu, mais cela ne résout pas tous les problèmes. Par exemple, un coupe-feu ne protège pas contre les initiés mécontents ou malveillants. Kerberos a été conçu pour solutionner les problèmes de sécurité de réseau. Il ne transmet jamais le mot de passe de l’utilisateur sur le réseau ni n’enregistre le mot de passe dans la mémoire ou sur le disque de l’ordinateur de l’utilisateur. De cette façon, même si les informations d’authentification Kerberos sont craquées ou compromises, l’attaquant ne connaîtra pas le mot de passe original et ne pourra, le cas échéant, compromettre qu’une petite partie du réseau et non l’ensemble du réseau. En plus d’une gestion des mots de passe plus efficace, Kerberos procède aussi à une authentification mutuelle. Le client s’authentifie auprès du service et le service s’authentifie auprès du client. Une attaque "man-in-the-middle" ou de mystification est impossible lorsque vous utilisez des services kerbérisés. Les utilisateurs peuvent donc faire confiance aux services auxquels ils accèdent. 54 Chapitre 3 Authentification Open Directory Prêt à aller au-delà des mots de passe L’authentification réseau est difficile : pour déployer une méthode d’authentification réseau, le client et le serveur doivent se mettre d’accord sur la méthode d’authentification. Et bien qu’il soit possible pour n’importe quels processus client-serveur de se mettre d’accord sur une méthode d’authentification personnalisée, obtenir une adoption généralisée d’une multitude de protocoles réseau, de plates-formes et de clients différents est presque impossible. Par exemple, imaginez que vous souhaitiez déployer des cartes à puce intelligentes comme méthode d’authentification réseau. Sans Kerberos, vous devriez modifier chaque protocole client-serveur pour qu’il prenne en charge la nouvelle méthode. La liste des protocoles est longue : SMTP, POP, IMAP, AFP, SMB, HTTP, FTP, IPP, SSH, QuickTime Streaming, DNS, LDAP, domaine de répertoire local, RPC, NFS, AFS, WebDAV, LPR et ainsi de suite. Si l’on considère tous les logiciels qui font de l’authentification réseau, déployer une nouvelle méthode d’authentification parmi l’ensemble des protocoles réseau est une tâche titanesque. Bien que cela semble faisable pour les logiciels d’un seul et unique fournisseur, il est peu probable que vous arriviez à convaincre tous les fournisseurs de modifier leur logiciel client pour qu’il utilise votre nouvelle méthode d’authentification par cartes à puce intelligentes. De plus, vous voudrez probablement aussi que votre authentification fonctionne sur plusieurs plates-formes (comme, par exemple, Mac OS X, Windows et UNIX). Grâce à la conception de Kerberos, un binaire ou protocole client-serveur prenant en charge Kerberos ne sait même pas comment l’utilisateur prouve son identité. C’est pourquoi il vous suffit de modifier le client Kerberos et le serveur Kerberos de façon à ce qu’ils acceptent une nouvelle preuve d’identité comme, par exemple, une carte intelligente. L’ensemble de votre réseau Kerberos a maintenant adopté la nouvelle méthode de preuve d’identité, sans qu’il soit nécessaire de déployer de nouvelles versions des logiciels client et serveur. Authentification multiplateforme Kerberos est disponible sur les principales plates-formes, y compris Mac OS X, Windows, Linux et d’autres variantes d’UNIX. Authentification centralisée Kerberos fournit une autorité d’authentification centrale pour le réseau. Tous les services et tous les clients compatibles avec Kerberos utilisent cette autorité centrale. Les administrateurs peuvent vérifier et contrôler les politiques et les opérations d’authentification de façon centralisée. Chapitre 3 Authentification Open Directory 55 Services kerbérisés Kerberos peut authentifier des utilisateurs pour les services suivants de Mac OS X Server :  Fenêtre d’ouverture de session  Service de messagerie  Service de fichiers AFP  Service de fichiers FTP  Service de fichiers SMB (en tant que membre d’un royaume Kerberos Active Directory)  Service VPN  Service Web Apache  Service de répertoire LDAP  Service iChat  Service d’impression  Service de fichiers NFS  Xgrid Ces services ont été kerbérisés, qu’ils tournent ou non. Seuls ces services peuvent utiliser Kerberos pour authentifier un utilisateur. Mac OS X Server contient des outils de ligne de commande pour kerbériser d’autres services qui sont compatibles avec le Kerberos du MIT. Pour en savoir plus, consultez le chapitre consacré à Open Directory du Administration de ligne de commande. Configuration de services pour Kerberos après la mise à niveau Après la mise à niveau à Mac OS X Server 10.5, il se peut que vous deviez configurer certains services de façon à ce qu’ils utilisent l’authentification Kerberos par signature unique. Ces services n’étaient soit pas configurés de façon à utiliser Kerberos ou ne faisaient pas partie de la version antérieure de Mac OS X Server. Si cette condition existe, un message sur celle-ci apparaît lorsque vous vous connectez au serveur dans Admin Serveur. Le message apparaît dans la sous-fenêtre Vue d’ensemble lorsque vous sélectionnez le serveur (pas un service) dans la liste des serveurs. Pour configurer les nouveaux services et les services mis à niveau de façon à ce qu’ils utilisent Kerberos : 1 Ouvrez Admin Serveur et connectez-vous au serveur mis à niveau. 2 Cliquez sur le triangle se trouvant à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez Open Directory. 4 Cliquez sur Réglages, puis sur Général. 5 Cliquez sur Kerbériser les services, puis saisissez le nom et le mot de passe d’un compte d’administrateur de répertoire LDAP. Les services déjà configurés pour l’utilisation de Kerberos ne sont pas concernés. 56 Chapitre 3 Authentification Open Directory Principaux et royaumes Kerberos Les services kerbérisés sont configurés pour authentifier les principaux connus d’un royaume donné. Un royaume Kerberos peut être considéré comme une base de données ou un domaine d’authentification Kerberos spécifique contenant des données de validation pour les utilisateurs, les services et parfois les serveurs (tous appelés principaux). Par exemple, un royaume contient des clés secrètes de principaux qui résultent d’une fonction unidirectionnelle appliquée à des mots de passe. Les principaux de service sont généralement basés sur des secrets générés de façon aléatoires plutôt que sur des mots de passe. Voici des exemples de noms de royaume et de principal. Les noms de royaume sont écrits en majuscules par convention pour les distinguer des noms de domaine DNS :  Royaume : MONROYAUME.EXEMPLE.COM  Utilisateur principal : [email protected]  Service principal : serveurafp/[email protected] Processus d’authentification Kerberos L’authentification Kerberos se fait en plusieurs étapes. Lors de la première étape, le client obtient des informations d’authentification servant à demander l’accès aux services kerbérisés. Lors de la deuxième phase, le client requiert l’authentification pour un service donné. Lors de la dernière étape, le client présente les informations d’authentification au service. L’illustration suivante schématise ces activités. Le service et le client peuvent être la même entité (comme, par exemple, la fenêtre d’ouverture de session) ou deux entités différentes (comme, par exemple, un client de messagerie électronique et le serveur de messagerie). Centre de distribution de clés (KDC) 4 6 Service kerbérisé 2 3 Client 1 Chapitre 3 Authentification Open Directory 5 57 1 Le client s’authentifie auprès d’un centre de distribution de clés Kerberos, qui communique avec les royaumes pour accéder aux données d’authentification. C’est la seule étape à laquelle les mots de passe et les informations de politique de mot de passe qui y sont associées sont vérifiées. 2 Le centre de distribution de clés envoie un ticket d’octroi de ticket au client. Ce ticket constitue les informations d’authentification requises lorsque le client veut utiliser les services kerbérisés et sont valables pour une période configurable, mais peuvent être révoquées avant l’expiration. Ils sont placés sur le client jusqu’à leur expiration. 3 Le client contacte le centre de distribution de clés avec le ticket d’octroi de ticket lorsqu’il souhaite utiliser un service kerbérisé donné. 4 Le centre délivre un ticket pour ce service. 5 Le client présente le ticket au service. 6 Le service authentifie le client en vérifiant que le ticket est valide. Après avoir authentifié le client, le service détermine si le client est autorisé à utiliser le service. Kerberos ne fait qu’authentifier les clients, il ne les autorise pas à utiliser des services. Par exemple, de nombreux services utilisent les listes de contrôle d’accès à un service (SACL) de Mac OS X Server pour déterminer si un client est autorisé à utiliser le service. Kerberos n’envoie jamais de mot de passe ni d’informations de politique de mot de passe à un service. Une fois qu’un ticket d’octroi de ticket est obtenu, plus aucune information de mot de passe n’est fournie. La notion de temps est très importante pour Kerberos. Si le client et le centre de distribution de clés ne sont pas synchronisés à quelques minutes près, le client ne réussira pas à s’authentifier avec le centre. Les informations concernant la date, l’heure et le fuseau horaire doivent être correctes sur le serveur du centre de distribution de clés et sur les clients. Il est recommandé que le serveur et les clients utilisent tous le même service d’horloge réseau pour que leurs horloges restent synchronisées. Pour en savoir plus sur Kerberos, allez sur le site web du MIT consacré à Kerberos, à l’adresse web.mit.edu/kerberos/www/index.html. 58 Chapitre 3 Authentification Open Directory Méthodes d’authentification par serveur de mots de passe Open Directory et par mot de passe shadow À des fins de compatibilité avec différents services, Mac OS X Server peut utiliser plusieurs méthodes d’authentification pour valider les mots de passe Open Directory et les mots de passe shadow. Pour les mots de passe Open Directory, Mac OS X Server utilise la méthode standard Simple Authentication and Security Layer (SASL) pour négocier une méthode d’authentification entre un client et un service. Pour les mots de passe shadow, l’utilisation de SASL dépend du protocole de réseau. Les méthodes d’authentification suivantes sont prises en charge : Méthode Sécurité du réseau Sécurité du stockage Utilise APOP Crypté, avec solution de Texte en clair secours à texte en clair Service de courrier POP CRAM-MD5 Crypté, avec solution de Crypté secours à texte en clair Service de courrier IMAP, service LDAP DHX Crypté Crypté Service de fichiers AFP, administration Open Directory Digest-MD5 Crypté Crypté Fenêtre d’ouverture de session, service de messagerie MS-CHAPv2 Crypté Crypté Service VPN NTLMv1 et NTLMv2 Crypté Crypté Services SMB (Windows NT/98 ou ultérieur) LAN Manager Crypté Crypté Services SMB (Windows 95) WebDAV-Digest Crypté Texte en clair Service de fichiers WebDAV (iDisk) Open Directory prend en charge de nombreuses méthodes d’authentification parce que tous les services qui requièrent de l’authentification utilisent certaines méthodes et pas d’autres. Par exemple, les services de fichiers utilisent un ensemble de méthodes d’authentification, le service Web en utilise un autre, le service de courrier encore un autre, etc. Certaines méthodes d’authentification sont plus sûres. Les méthodes les plus sûres utilisent des algorithmes plus robustes pour encoder les données transmises entre le client et le serveur. Les méthodes d’authentification les plus sûres stockent en outre les mots de passe sous la forme de condensés numériques, difficiles à récupérer à partir du serveur. Les méthodes les moins sûres stockent les mots de passe en clair, ce qui les rend faciles à récupérer. Chapitre 3 Authentification Open Directory 59 Personne, pas même un administrateur ni un utilisateur racine, ne peut récupérer des mots de passe cryptés en les lisant dans la base de données. Un administrateur peut utiliser Gestionnaire de groupe de travail pour définir le mot de passe d’un utilisateur, mais l’administrateur ne peut lire aucun mot de passe d’utilisateur. Si vous connectez Mac OS X Server 10.4 ou ultérieur à un domaine de répertoire de Mac OS X Server 10.3 ou antérieur, sachez que les utilisateurs définis dans le domaine de répertoire le plus ancien ne peuvent être authentifiés par la méthode NTLMv2. Cette méthode peut s’avérer nécessaire pour authentifier de façon sûre certains utilisateurs Windows pour les services Windows de Mac OS X Server 10.4 et ultérieur. Le serveur de mots de passe Open Directory de Mac OS X Server 10.4 ou ultérieur prend en charge l’authentification NTLMv2, mais le serveur de mots de passe de Mac OS X Server 10.3 ou antérieur ne prend pas en charge NTLMv2. Si vous connectez Mac OS X Server 10.3 ou ultérieur à un domaine de répertoire de Mac OS X Server 10.2 ou antérieur, les utilisateurs définis dans le domaine de répertoire le plus ancien ne peuvent être authentifiés par la méthode MS-CHAPv2. Or cette méthode peut s’avérer nécessaire pour authentifier de façon sûre des utilisateurs pour le service VPN de Mac OS X Server 10.3 ou ultérieur. Le serveur de mots de passe Open Directory de Mac OS X Server 10.3 ou ultérieur prend en charge l’authentification MS-CHAPv2, mais le serveur de mots de passe de Mac OS X Server 10.2 ou antérieur ne prend pas en charge MS-CHAPv2. Désactivation des méthodes d’authentification Open Directory Pour renforcer la sécurité du stockage des mots de passe Open Directory sur le serveur, vous pouvez désactiver des méthodes d’authentification de manière sélective. Par exemple, si aucun client ne va utiliser les services Windows, vous pouvez désactiver les méthodes d’authentification NTLMv1, NTLMv2 et LAN Manager afin d’empêcher le stockage de mots de passe sur le serveur à l’aide de ces méthodes. Ainsi, toute personne qui accéderait à votre base de données de mots de passe sans autorisation ne pourrait pas exploiter les vulnérabilités de ces méthodes d’authentification pour craquer des mots de passe. Important : si vous désactivez une méthode d’authentification, son condensé numérique est supprimé de la base de données de mots de passe à la prochaine authentification de l’utilisateur. Si vous activez une méthode d’authentification qui était désactivée, chaque mot de passe Open Directory doit être réinitialisé pour ajouter le condensé numérique de la méthode nouvellement activée à la base de données de mots de passe. Les utilisateurs peuvent réinitialiser leurs propres mots de passe ou un administrateur de répertoire peut le faire pour eux. 60 Chapitre 3 Authentification Open Directory Désactiver une méthode d’authentification rend la base de données du serveur de mots de passe Open Directory plus sûre au cas où un utilisateur non autorisé aurait accès physiquement à un serveur Open Directory (maître ou réplique) ou à un support contenant une copie de sauvegarde du maître Open Directory. Une personne qui arriverait à accéder à la base de données de mots de passe peut tenter de craquer le mot de passe d’un utilisateur en attaquant le condensé numérique ou le texte récupérable stocké dans la base de données de mots de passe à l’aide de n’importe quelle méthode d’authentification. Rien n’est stocké dans la base de données de mots de passe par une méthode d’authentification désactivée, ce qui laisse une voie de pénétration de moins ouverte à un pirate qui aurait accès physiquement au serveur Open Directory ou à une copie de sauvegarde de ce dernier. Certains condensés numériques stockés dans la base de données de mots de passe sont plus faciles à craquer que d’autres. Les méthodes d’authentification récupérables stockent du texte en clair (parfaitement lisible). Désactiver les méthodes d’authentification qui stockent du texte en clair ou des condensés numériques plus faibles augmente plus la sécurité de la base de données de mots de passe que désactiver des méthodes qui stockent des condensés numériques plus forts. Si vous pensez que votre maître, répliques et sauvegardes Open Directory sont sûres, sélectionnez toutes les méthodes d’authentification. Si vous vous souciez de la sécurité physique d’un serveur Open Directory ou de ses supports de copies de sauvegarde, vous devriez désactiver certaines méthodes. Remarque : désactiver des méthodes d’authentification n’améliore pas la sécurité des mots de passe pendant qu’ils transitent par le réseau. Seule la sécurité de la base de données de mots de passe est concernée. En fait, désactiver certaines méthodes d’authentification peut contraindre certains clients à configurer leur logiciel pour qu’il envoie les mots de passe par le réseau sous la forme de texte en clair, ce qui risque de compromettre la sécurité des mots de passe d’une autre façon. Chapitre 3 Authentification Open Directory 61 Désactivation des méthodes d’authentification de mots de passe shadow Les méthodes d’authentification peuvent être désactivées de manière sélective afin de rendre plus sûr le stockage des mots de passe dans des fichiers de mots de passe shadow. Par exemple, si un utilisateur n’utilise ni le service de courrier électronique ni le service Web, vous pouvez désactiver les méthodes WebDAV-Digest et APOP pour cet utilisateur. Ainsi, toute personne qui accéderait aux fichiers de mots de passe shadow sur un serveur d’une manière ou d’une autre ne pourrait pas récupérer le mot de passe de l’utilisateur. Important : si vous désactivez une méthode d’authentification de mots de passe shadow, son condensé numérique est supprimé du fichier de mots de passe de l’utilisateur à la prochaine authentification de l’utilisateur. Si vous activez une méthode d’authentification qui était désactivée, le condensé numérique de la méthode nouvellement activée est ajouté au fichier de mots de passe shadow de l’utilisateur à la prochaine authentification de l’utilisateur pour un service qui peut utiliser un mot de passe en clair comme, par exemple, la fenêtre d’ouverture de session ou AFP. D’un autre côté, le mot de passe de l’utilisateur peut être réinitialisé pour ajouter le condensé numérique de la méthode nouvellement activée. Les utilisateurs peuvent réinitialiser leurs propres mots de passe ou un administrateur de répertoire peut le faire pour eux. Désactiver une méthode d’authentification rend le mot de passe shadow plus sûr si un utilisateur malveillant avait accès physiquement aux fichiers de mots de passe shadow d’un serveur ou à un support contenant une copie de sauvegarde des fichiers de mots de passe shadow. Une personne qui arriverait à accéder aux fichiers de mots de passe peut tenter de craquer le mot de passe d’un utilisateur en attaquant le condensé numérique ou le texte récupérable stocké dans la base de données de mots de passe à l’aide de n’importe quelle méthode d’authentification. Rien n’est stocké par une méthode d’authentification désactivée, ce qui laisse une voie de pénétration de moins ouverte à un pirate qui aurait accès physiquement au fichier de mots de passe shadow ou à une copie de sauvegarde de ce dernier. Les condensés numériques stockés par certaines méthodes d’authentification sont plus faciles à craquer que ceux d’autres méthodes. Avec les méthodes d’authentification récupérables, le mot de passe en clair original peut être reconstruit à partir de ce qui est stocké dans le fichier. Désactiver les méthodes d’authentification qui stockent des condensés numériques récupérables ou plus faibles augmente plus la sécurité du fichier de mots de passe shadow que désactiver des méthodes qui stockent des condensés numériques plus forts. Si vous pensez que les fichiers mot de passe shadow et les sauvegardes d’un serveur sont sûres, sélectionnez toutes les méthodes d’authentification. Si vous vous souciez de la sécurité physique du serveur ou de ses supports de sauvegarde, désactivez les méthodes que vous n’utilisez pas. 62 Chapitre 3 Authentification Open Directory Remarque : désactiver des méthodes d’authentification n’améliore pas la sécurité des mots de passe pendant qu’ils transitent par le réseau ; seule la sécurité du stockage des mots de passe est concernée. Désactiver certaines méthodes d’authentification peut contraindre certains clients à configurer leur logiciel pour qu’il envoie les mots de passe par le réseau sous la forme de texte en clair, ce qui risque de compromettre la sécurité des mots de passe d’une autre façon. Contenu de la base de données du serveur de mots de passe Open Directory Le serveur de mots de passe Open Directory tient à jour une base de données d’authentification distincte du domaine de répertoire de . Open Directory restreint très fort l’accès à la base de données d’authentification. Le serveur de mots de passe Open Directory stocke les informations suivantes dans sa base de données d’authentification pour chaque compte d’utilisateur possédant un mot de passe de type Open Directory.  L’identifiant de mot de passe de l’utilisateur, une valeur 128 bits attribuée lors de la création du mot de passe. Il est également enregistré dans l’enregistrement de l’utilisateur, dans le domaine de répertoire, et est utilisé comme clé d’accès à l’enregistrement d’utilisateur dans la base de données du serveur de mot de passe Open Directory.  Le mot de passe stocké sous une forme récupérable (en clair) ou sous la forme d’un condensé numérique (crypté). La forme varie en fonction de la méthode d’authentification. Un mot de passe récupérable est enregistré pour les méthodes d’authentification APOP et WebDAV. Pour toutes les autres méthodes, l’enregistrement se fait sous la forme d’un mot de passe crypté. Si aucune méthode d’authentification exigeant un mot de passe en clair n’est activée, la base de données d’authentification d’Open Directory enregistre les mots de passe sous forme cryptée uniquement.  Le nom abrégé de l’utilisateur (utilisé dans les messages d’historiques consultables dans Admin Serveur).  Des données de politique de mot de passe.  Des horodatages et autres informations sur l’utilisation comme, par exemple, l’heure de la dernière ouverture de session, l’heure de la dernière validation échouée, le nombre de validations échouées et des informations de réplication. Authentification par liaison LDAP Pour les comptes d’utilisateur qui résident dans un répertoire LDAP sur un serveur non Apple, Open Directory tente d’utiliser l’authentification par liaison LDAP. Open Directory envoie au serveur de répertoire LDAP le nom et le mot de passe fournis par l’utilisateur en cours d’authentification. L’authentification est réussie si le serveur LDAP trouve un enregistrement d’utilisateur et un mot de passe correspondants. Chapitre 3 Authentification Open Directory 63 Si le service LDAP et la liaison de l’ordinateur client à ce dernier sont configurés pour l’envoi des mots de passe sur le réseau en clair, il se peut que l’authentification par liaison LDAP ne soit pas sûre. Open Directory tente d’utiliser une méthode d’authentification sûre avec le répertoire LDAP. Si le répertoire ne prend pas en charge la liaison LDAP sécurisée et si la connexion LDAPv3 du client autorise l’envoi d’un mot de passe en clair, Open Directory se rabat sur la liaison LDAP simple. Pour empêcher l’authentification par du texte en clair, assurez-vous que vos serveurs LDAP n’acceptent pas les mots de passe en clair. Dans ce cas, vous pouvez sécuriser cette authentification en configurant un accès au répertoire LDAP à l’aide du protocole SSL (Secure Sockets Layer).SSL sécurise l’accès en cryptant toutes les communications avec le répertoire LDAP. Pour en savoir plus, consultez les rubriques « Modification de la politique de sécurité pour une connexion LDAP » à la page 171 et « Modification des réglages de connexion d’un répertoire LDAP » à la page 170. 64 Chapitre 3 Authentification Open Directory 4 Outils de planification et de gestion Open Directory 4 Ce chapitre fournit des indications générales pour la planification des services Open Directory et décrit les outils nécessaires pour les gérer. Tout comme l’installation électrique ou les canalisations d’un bâtiment, les services de répertoire d’un réseau doivent être planifiés à l’avance plutôt qu’improvisés au gré des circonstances. Le stockage d’informations dans des domaines de répertoire partagés améliore le contrôle du réseau, permet à un nombre plus important d’utilisateurs d’accéder aux informations et simplifie la gestion des informations. Le niveau de contrôle et de convivialité dépend toutefois de l’effort que vous consacrez à la planification de vos domaines partagés. L’objectif de la planification d’un domaine de répertoire est de concevoir la disposition de domaines partagés la plus simple qui fournit à vos utilisateurs Mac OS X un accès aisé aux ressources réseau dont ils ont besoin et qui minimise le temps consacré à la gestion des enregistrements d’utilisateurs et d’autres données administratives. 65 Directives générales de planification Si vous ne partagez par d’informations sur les utilisateurs et les ressources entre plusieurs ordinateurs Mac OS X, la planification de domaines de répertoire est très réduite car tout est accessible à partir d’un domaine de répertoire local. Assurez-vous simplement que toutes les personnes qui doivent utiliser un certain ordinateur Mac OS X disposent de comptes d’utilisateur sur ce dernier. Ces comptes d’utilisateur résident dans le domaine de répertoire local, sur l’ordinateur. De plus, toute personne qui a besoin d’utiliser le service de fichiers, le service de courrier ou tout autre service qui requiert une authentification de Mac OS X Server, doit disposer d’un compte d’utilisateur dans le domaine de répertoire local du serveur. De la sorte, chaque utilisateur a deux comptes : l’un pour ouvrir une session sur un ordinateur et l’autre pour accéder à des services de Mac OS X Server, comme illustré ci-dessous. L’utilisateur ouvre une session dans le domaine de répertoire local de l’ordinateur Mac OS X puis utilise un autre compte pour ouvrir une session dans le domaine de répertoire local du serveur des services de fichiers. Ouverture de session Mac OS X Connexion à Mac OS X Server pour le service de fichiers Domaine de répertoire local Domaine de répertoire local Pour partager des informations entre des ordinateurs et des serveurs Mac OS X, vous devez configurer au moins un domaine de répertoire partagé. De la sorte, chaque utilisateur n’a besoin que d’un seul compte dans le domaine de répertoire partagé. Avec ce compte unique, l’utilisateur peut ouvrir une session Mac OS X sur tout ordinateur configuré pour accéder au domaine de répertoire partagé. L’utilisateur peut aussi utiliser le même compte pour accéder à des services de tout Mac OS X Server configuré pour accéder au domaine de répertoire partagé. 66 Chapitre 4 Outils de planification et de gestion Open Directory L’illustration qui suit montre une configuration avec un domaine de répertoire partagé L’illustration montre un utilisateur ouvrant une session sur un ordinateur Mac OS X à l’aide d’un compte de domaine de répertoire partagé. Le compte de domaine de répertoire partagé est ensuite aussi utilisé pour accéder à un service de fichiers. Lorsque l’utilisateur tente d’accéder au service de fichiers, le serveur de services de fichiers accède au domaine de répertoire partagé pour vérifier le compte d’utilisateur. Comme tant l’ordinateur de l’utilisateur que l’ordinateur des services de fichiers sont connectés au domaine de répertoire partagé, le compte d’utilisateur dans le domaine de répertoire partagé est utilisé pour accéder à la fois à l’ordinateur et aux services sans devoir utiliser un compte local sur chacun des ordinateurs. Domaine de répertoire partagé Ouverture de session Mac OS X Connexion à Mac OS X Server pour le service de fichiers Domaine de répertoire local Domaine de répertoire local Dans de nombreuses organisations, un domaine de répertoire partagé unique convient parfaitement. Il peut gérer des centaines de milliers d’utilisateurs et des milliers d’ordinateurs qui partagent les mêmes ressources, comme, par exemple, les mêmes files d’attente d’impression, points de partage pour répertoires de départ, points de partage pour applications et points de partage pour documents. La réplication du domaine de répertoire partagé peut augmenter les capacités ou les performance du système de répertoire en configurant plusieurs serveurs de façon à ce qu’ils traitent la charge du système de répertoire pour le réseau. Chapitre 4 Outils de planification et de gestion Open Directory 67 Pour les organisations plus grandes et plus complexes, il peut être utile de mettre en place des domaines de répertoire partagés supplémentaires. L’illustration qui suit montre comment une telle organisation pourrait organiser ses domaines de répertoire. Serveur Windows Domaine de répertoire local Domaine de répertoire partagé Domaine Active Directory Mac OS X Server Domaine de répertoire local Utilisateur Mac OS X Utilisateur Windows Si votre organisation est grande et si voulez augmenter les performances et la capacité de votre domaine de répertoire réseau, vous pouvez ajouter plusieurs domaines de répertoire à votre réseau. De plus, utiliser plusieurs domaines de répertoire permet de répartir la charge de votre domaine de répertoire d’entreprise. Il y a plusieurs méthodes pour configurer plusieurs domaines de répertoire. En analysant la topologie de votre réseau, vous pouvez déterminer la méthode qui convient le mieux à votre réseau. Voici des configurations facultatives de plusieurs domaines de répertoire :  Open Directory avec un domaine préexistant. Vous pouvez configurer un serveur Open Directory Mac OS X sur un réseau qui dispose d’un domaine de répertoire préexistant comme, par exemple, un domaine Active Directory ou Open Directory. Par exemple, si votre organisation dispose d’un serveur Active Directory préexistant qui prend en charge les ordinateurs clients Windows et Mac OS X, vous pouvez ajouter un serveur Open Directory Mac OS X pour mieux prendre en charge vos utilisateurs Mac. Les deux serveurs peuvent coexister sur le même réseau et fournir des domaines de répertoire redondants pour les clients Windows et les clients Mac OS X. Vous pouvez aussi configurer le serveur Mac OS X Server de façon à ce qu’il prenne en charge l’autorisation inter-domaines en cas d’existence d’un royaume Kerberos. Si vous avez configuré votre serveur Mac OS X avec la configuration de groupe de travail, vous pouvez aisément l’ajouter à votre domaine de répertoire préexistant. À l’aide de la configuration de groupe de travail de Mac OS X, vous pouvez aisément importer des utilisateurs de votre domaine de répertoire préexistant dans votre serveur de groupe de travail. Ces utilisateurs importés sont appelés des utilisateurs ajoutés. 68 Chapitre 4 Outils de planification et de gestion Open Directory Pour en savoir plus sur les utilisateurs ajoutés et la configurations standard ou de groupe de travail d’un serveur Mac OS X, consultez Premiers contacts et Gestion des utilisateurs.  Serveur maître Open Directory avec répliques. Vous pouvez aussi créer un serveur maître Open Directory Mac OS X avec des répliques. Les serveurs répliqués contiennent une copie du domaine de répertoire du maître Open Directory pour la répartition de la charge et la redondance.  Votre organisation pourrait, par exemple, disposer d’un maître Open Directory au siège social et placer des répliques de ce serveur dans chacune des filiales. Cela permet aux utilisateurs des sites distants de ne pas subir de retards lors des ouvertures de session.  Réplication en cascade. Vous pouvez aussi utiliser le réplication en cascade, dans laquelle les répliques d’un maître Open Directory ont des répliques à leur tour. Lorsqu’une réplique est un membre direct du maître Open Directory et a ses propres répliques, on parle de relais. Par exemple, si votre organisation dispose de 32 répliques et vous devez ajouter d’autres réplique, vous pouvez réorganiser la topologie du réseau afin que les répliques deviennent des relais en ajoutant des répliques aux répliques (ou relais). La réplication en cascade permet de répartir la charge du maître Open Directory en réduisant le nombre de répliques que ce dernier doit gérer directement. Évaluation des besoins en matière de répertoires et d’authentification Outre le mode de répartition des différentes données de répertoires entre les différents domaines, vous devez également tenir compte des capacités de chaque domaine de répertoire. La taille de votre domaine de répertoire dépend de vos besoins en matière de réseau. Parmi ces facteurs, on peut citer les performances de la base de données qui stocke les informations de répertoire. Le domaine de répertoire LDAP de Mac OS X Server utilise la base de données Berkeley DB, qui reste performante avec 200 000 enregistrements. Un serveur hébergeant un domaine de répertoire de cette taille doit disposer d’un espace disque suffisant pour stocker tous les enregistrements. Le nombre de connexions qu’un service de répertoire peut gérer est plus difficile à évaluer car les connexions des services de répertoires surviennent dans un contexte qui englobe les connexions de l’ensemble des services fournis par ce serveur. Sous Mac OS X Server, un serveur dédié à Open Directory peut accepter au maximum 1000 connexions d’ordinateurs clients simultanées. Chapitre 4 Outils de planification et de gestion Open Directory 69 Le serveur Open Directory peut fournir des services LDAP et d’authentification à plus d’ordinateurs clients, parce que tous les ordinateur n’ont pas besoin de ces services en même temps. Chaque ordinateur client se connecte au répertoire LDAP pendant une durée maximum de deux minutes et les connexions au serveur de mots de passe Open Directory sont encore plus brèves. Il peut néanmoins s’avérer difficile d’évaluer leur nombre, autrement dit le pourcentage d’ordinateurs clients se connectant au même moment. Par exemple, les ordinateurs utilisé à longueur de journée par une même personne qui travaille sur des fichiers d’images n’aura que rarement besoin des services Open Directory. En revanche, les nombreux utilisateurs d’un ordinateur situé dans un laboratoire ouvrent et ferment des sessions tout au long de la journée, chacun d’entre eux utilisant différents réglages de préférences de client géré. Un tel ordinateur représente une charge relativement lourde pour les services Open Directory. En général, l’utilisation d’Open Directory est proportionnelle au nombre d’ouvertures et de fermetures de sessions. Ces activités sont habituellement majoritaires dans les services de répertoires et d’authentification de n’importe quel système. Plus les utilisateurs ouvrent et ferment des sessions, moins le serveur Open Directory (ou tout autre serveur de répertoires et d’authentification) pourra gérer d’ordinateurs clients. Si les ouvertures et fermetures de sessions sont très fréquentes, vous devrez ajouter des serveurs Open Directory. En revanche, si les sessions de travail sont plus longues et que les ouvertures de session sont plus rares, vous pourrez vous contenter d’un plus petit nombre de serveurs Open Directory. Identification de serveurs pour l’hébergement de domaines partagés Si vous avez besoin de plus d’un domaine partagé, identifiez les serveurs sur lesquels les domaines partagés doivent résider. Les domaines partagés concernent de nombreux utilisateurs, il est donc conseillé de les placer sur des ordinateurs Mac OS X Server présentant les caractéristiques suivantes :  Accès physique limité  Accès réseau limité  Technologies pour la haute disponibilité, comme, par exemple, les systèmes d’alimentations sans coupure Sélectionnez des ordinateurs qui ne seront pas fréquemment remplacés et qui sont dotés des capacités adéquates pour accueillir un nombre croissant de domaines de répertoire. Bien qu’il soit possible de déplacer un domaine partagé après sa configuration, vous devrez peut-être reconfigurer les politiques de recherche des ordinateurs qui se connectent à ce domaine partagé afin que les utilisateurs puissent continuer à y ouvrir des sessions. 70 Chapitre 4 Outils de planification et de gestion Open Directory Duplication de services Open Directory Mac OS X Server gère la duplication du service de répertoire LDAP, du serveur de mots de passe Open Directory et du centre de distribution de clés Kerberos. La duplication de vos services de répertoires et d’authentification vous permet :  De rapprocher les informations de répertoires d’un groupe d’utilisateurs au sein d’un réseau distribué géographiquement, ce qui améliore les performances des services de répertoires et d’authentification pour ces utilisateurs.  D’obtenir la redondance des services, afin que les utilisateurs ne soient que très peu affectés en cas de défaillance ou d’inaccessibilité d’un système de répertoire. L’un des serveurs dispose d’une copie principale du domaine de répertoire LDAP partagé, du serveur de mots de passe Open Directory et du centre de distribution de clés Kerberos. On appelle ce serveur un maître Open Directory. Chaque réplique Open Directory constitue un serveur distinct contenant une copie du répertoire LDAP maître, du serveur de mots de passe Open Directory et du centre de distribution de clés Kerberos. Un serveur Open Directory Mac OS X peut avoir jusqu’à 32 répliques. Chaque réplique peut avoir à son tour 32 répliques, ce qui donne déjà 1 056 répliques dans une hiérarchie à deux niveaux. L’accès au répertoire LDAP sur une réplique s’effectue en lecture seule. Les modifications des enregistrements d’utilisateur et à d’autres informations du répertoire LDAP ne peuvent être apportées que sur le maître Open Directory. Le maître Open Directory répercute automatiquement sur ses répliques lorsque des modifications ont été apportées au répertoire LDAP. Le maître peut mettre des répliques à jour soit dès qu’une modification survient, soit à intervalles réguliers. L’option des intervalles de temps programmés est la meilleure si les répliques sont connectées au maître par l’intermédiaire d’un réseau à faible débit. Les mots de passe et les politiques de mots de passe peuvent être modifiés sur n’importe quelle réplique. Si le mot de passe ou la politique de mot de passe d’un utilisateur est modifié sur plusieurs répliques, c’est la modification la plus récente qui prévaut. La mise à jour des répliques dépend de la synchronisation des horloges du maître et de toutes les répliques. Si les répliques et le maître ont des heures différentes, la mise à jour peut être arbitraire. Les informations de date, d’heure et de fuseau horaire doivent être correctes sur le maître et les répliques et elles doivent, si possible, utiliser le même service d’horloge réseau pour demeurer synchronisées. Évitez de n’avoir qu’une seule réplique à une des deux extrémités d’un lien réseau lent. Si une réplique est séparée de toutes les autres répliques par un lien réseau lent et si cette réplique tombe en panne, les clients de la réplique vont basculer vers une réplique qui se trouve à l’autre extrémité du lien réseau lent. Les services de répertoire pourraient s’en trouver nettement ralentis. Chapitre 4 Outils de planification et de gestion Open Directory 71 Si votre réseau contient un mélange de versions 10.4 et de versions 10.5 de Mac OS X Server, sachez qu’une version ne peut pas être la réplique d’un maître de l’autre version. Un maître Open Directory en version 10.5 ne sera pas répliqué en version 10.4 et un maître Open Directory en version 10.4 ne sera pas répliqué en version 10.5 : Maître sous Mac OS X Server 10.5 Maître sous Mac OS X Server 10.4 Réplique sous Mac OS X Server 10.5 Oui Non Réplique sous Mac OS X Server 10.4 Non Oui Version de la réplique Ensemble de répliques Un ensemble de répliques est une configuration automatique qui nécessite que tous les services qu’Open Directory gère (LDAP, serveur de mots de passe et Kerberos) recherchent et utilisent le même serveur répliqué. Cela permet de s’assurer que les ordinateurs clients choisissent le même serveur répliqué lors de l’utilisation de services Open Directory et d’empêcher les ouvertures de session lentes. Réplication en cascade Mac OS X 10.4 utilise un modèle en étoile pour la réplication des serveurs maître Open Directory. Chaque maître Open Directory doit maintenir un enregistrement de transaction pour chacun des serveurs répliqués. L’illustration qui suit montre le modèle en étoile utilisé pour la réplication dans Mac OS X 10.4. Réplique Réplique Maître Open Directory Réplique Réplique Réplique Réplique De plus, il n’y avait aucune limite quant au nombre de serveurs répliqués qu’un maître Open Directory pouvait gérer. 72 Chapitre 4 Outils de planification et de gestion Open Directory Si un maître Open Directory avait 1 000 répliques à gérer, il pouvait avoir des problèmes de performances si l’on continuait à ajouter des répliques. On peut comparer cette situation à celle d’un cadre devant gérer 1 000 salariés, ce qui est une situation ingérable. Mac OS X Server 10.5 utilise la réplication en cascade pour améliorer l’extensibilité et résoudre les problèmes de performances qui survenait avec l’ancien modèle en étoile pour la réplication. L’utilisation de la réplication en cascade permet de limiter le nombre de serveurs répliqués pouvant être pris en charge par un seul et même serveur maître Open Directory. Un seul et même serveur maître Open Directory peut avoir jusqu’à 32 répliques et chacune de ces répliques peut avoir à son tour jusqu’à 32 répliques, ce qui donne 1 056 répliques d’un seul et même serveur maître Open Directory. Cela crée une hiérarchie à deux niveaux des serveurs répliqués. Le premier niveau de répliques, les membres directs du maître Open Directory, sont appelés des relais s’il ont à leur tour des répliques, parce qu’ils relaient les données vers le second niveau de répliques. De plus, dans le cas de la réplication en cascade, il n’est pas nécessaire que le serveur maître Open Directory maintienne un enregistrement de transaction pour chaque serveur répliqué. Le serveur maître ne gère que maximum 32 enregistrements de transaction de répliques, ce qui améliore les performances. L’illustration qui suit montre la hiérarchie à deux niveaux du modèle de la réplication en cascade. Maître Open Directory Relais (réplique) Réplique Réplique Relais (réplique) Réplique Réplique Relais (réplique) Réplique Réplique Chapitre 4 Outils de planification et de gestion Open Directory Réplique Relais (réplique) Réplique 73 Planification de la mise à niveau de plusieurs répliques Open Directory Si votre maître Open Directory gère plus de 32 répliques, votre organisation doit passer à la réplication en cascade. Le modèle de la réplication en cascade améliorera les performances de votre serveur Open Directory. Lorsque vous planifiez la migration, pensez à l’emplacement de vos serveurs répliqués et à la topologie de votre réseau pour déterminer la meilleure manière de réorganiser vos répliques dans une structure hiérarchique. Par exemple, il faut éviter d’avoir un maître Open Directory situé sur la côte Ouest des États-Unis qui se réplique sur une réplique située sur la côte Est. Remarque : si votre maître Open Directory a moins de 32 répliques, la migration n’est pas nécessaire. Répartition de la charge dans les petits, moyens et grands environnements N’utilisez pas de logiciel de répartition de la charge de services de tiers avec des serveurs Open Directory. Un logiciel de répartition de la charge peut provoquer des problèmes imprévisibles pour les ordinateurs Open Directory. Il pourrait, par exemple, interférer avec la répartition de la charge et le comportement en matière de basculement automatiques d’Open Directory dans Mac OS X et Mac OS X Server. Les ordinateurs Mac OS X recherchent le serveur Open Directory disponible le plus proche, qu’il s’agisse du maître ou d’une réplique. Le maître ou la réplique Open Directory le plus proche d’un ordinateur est celui qui répond le plus rapidement à la demande de connexion Open Directory de l’ordinateur. Réplication dans un campus comprenant plusieurs bâtiments Quand un réseau s’étend sur plusieurs bâtiments, les connexions entre bâtiments peuvent s’avérer plus lentes que les connexions au sein des différents bâtiments. Il peut arriver également que les connexions entre bâtiments soient saturées. Ces situations peuvent nuire aux performances des ordinateurs qui bénéficient de services Open Directory provenant d’un serveur situé dans un autre bâtiment. Par conséquent, il est recommandé d’installer une réplique Open Directory dans chaque bâtiment. Selon vos besoins, il peut même s’avérer intéressant d’installer une réplique Open Directory à chacun des étages d’un bâtiment qui en compte plusieurs. Chaque réplique offre ainsi des services de répertoires et d’authentification efficaces aux ordinateurs clients situés à proximité. Les ordinateurs n’ont plus besoin d’établir de connexion avec un serveur Open Directory via la ligne plus lente qui relie les bâtiments entre eux. 74 Chapitre 4 Outils de planification et de gestion Open Directory Le fait d’avoir plus de répliques présente un désavantage. Les répliques communiquent entre elles et avec le maître via le réseau. Ces communications représentent une charge pour le réseau, qui augmente en proportion du nombre de répliques. L’ajout d’un trop grand nombre de répliques peut accroître le trafic entre bâtiments (du fait des mises à jour de répliques) plus qu’il ne réduit les communications clientes Open Directory. Lorsque vous décidez du nombre de répliques à déployer, pensez à l’intensité de l’utilisation des services Open Directory par les ordinateurs. Si les ordinateurs n’ont que relativement peu recours aux services Open Directory et que vos bâtiments sont reliés entre eux par des connexions rapides (Ethernet à 100 Mbits/s, par exemple), vous n’avez sans doute pas besoin d’installer une réplique dans chaque bâtiment. Vous pouvez réduire la charge des communications entre répliques et maître Open Directory en programmant la fréquence de mise à jour des répliques par le maître Open Directory. Ainsi, il n’est peut-être pas nécessaire que les répliques soient mises à jour à chaque modification apportée au maître. Opter pour une fréquence de mise à jour moins élevée, améliore les performances du réseau. Utilisation d’un maître, d’une réplique ou d’un relais Open Directory avec NAT Si votre réseau dispose d’un serveur Open Directory du côté du réseau privé d’un routeur (ou d’une passerelle) de traduction d’adresses réseau (NAT), y compris le routeur NAT de Mac OS X Server, seuls les ordinateurs qui se trouvent du côté du réseau privé du routeur NAT peuvent se connecter au domaine de répertoire LDAP du serveur Open Directory. Les ordinateurs qui se trouvent du côté du réseau public du routeur NAT ne peuvent pas se connecter au domaine de répertoire LDAP d’un maître ou d’une réplique Open Directory qui se trouve du côté du réseau privé. Si un serveur Open Directory se trouve du côté public du réseau d’un routeur NAT, tant les ordinateurs qui se trouvent du côté du réseau privé que les ordinateurs qui se trouvent du côté du réseau public du routeur NAT peuvent se connecter au répertoire LDAP du serveur Open Directory. Si votre réseau prend en charge les clients mobile comme, par exemple, les MacBook qui vont se déplacer entre le réseau local privé de votre passerelle NAT et Internet, vous devez configurer le service VPN pour les utilisateurs mobiles afin que ces derniers puissent utiliser un VPN pour se connecter au réseau privé et au domaine Open Directory. Chapitre 4 Outils de planification et de gestion Open Directory 75 Compatibilité entre maître et répliques Open Directory Le maître Open Directory et ses répliques doivent utiliser la même version de Mac OS X Server. De plus :  Un maître Open Directory sous Mac OS X Server 10.5 ne peut pas se répliquer vers Mac OS X Server 10.4.  Mac OS X Server 10.5 ne peut pas être une réplique d’un maître Open Directory sous Mac OS X Server 10.4.  Un maître Open Directory sous Mac OS X Server 10.5 ne peut pas se répliquer vers une réplique Open Directory sous Mac OS X Server 10.5. Si vous disposez d’un maître et de répliques Open Directory qui utilisent Mac OS X Server 10.4, vous devez les mettre à niveau à 10.5 ensemble. Mettez d’abord à niveau le maître, puis mettez à niveau les répliques. Les clients du maître et les répliques continueront à recevoir des services de répertoire et d’authentification pendant la mise à niveau. Pendant la mise à niveau du maître, ses clients basculeront automatiquement vers la réplique la plus proche. Pendant la mise à niveau des différentes répliques, les clients basculeront vers le maître mis à niveau. La mise à niveau d’un maître Open Directory à partir de Mac OS X Server 10.4 à 10.5 rompra les liaisons avec les répliques existantes. Après la mise à niveau d’une réplique Open Directory à Mac OS X Server 10.5, celle-ci sera un serveur de répertoire autonome ; vous devrez la retransformer à nouveau en réplique. Pour en savoir plus sur la mise à niveau à Mac OS X Server 10.5, consultez Mise à niveau et migration. Mélange de services de maîtres et répliques Active Directory et Open Directory Il y a des considérations spéciales lors de l’introduction de serveur Open Directory dans un environnement Active Directory. Si vous ne prenez pas certaines précautions, vous obtiendrez des résultats mitigés en matière d’expérience client et de fonctionnalités serveur. De plus, évitez de mélanger la liaison de répertoire authentifiée et Active Directory sur le même client ou serveur. La liaison authentifiée utilise Kerberos tout comme Active Directory le fait. Utiliser les deux provoquera un comportement imprévu ou le nonfonctionnement des services d’authentification à moins que vous ne preniez les précautions détaillées ci-dessous. 76 Chapitre 4 Outils de planification et de gestion Open Directory Lorsque l’on mélange Open Directory et Active Directory, l’on ne peut utiliser les informations d’authentification Kerberos d’un ou l’autre système pour la signature unique. Vous ne pouvez pas avoir des utilisateurs dans Active Directory et dans Open Directory et utiliser les deux informations d’authentification Kerberos pour la signature unique sur un serveur qui est kerbérisé pour un serveur particulier. En d’autres mots, vous ne pouvez pas ouvrir une session à l’aide d’un compte Active Directory et espérer utiliser la signature unique avec un serveur qui fait partie du royaume Kerberos Open Directory. Kerberos est utilisé dans l’environnement Active Directory et dans l’environnement Open Directory. Kerberos fait certaines suppositions au sujet de la détermination du royaume d’un serveur particulier lorsque des tickets Kerberos doivent être utilisés. Voici un exemple de mélange d’un royaume Kerberos Active Directory avec un royaume Kerberos maître Open Directory :  Domaine Active Directory = entreprise.com  Royaume Kerberos Active Directory = ENTREPRISE.COM  Maître du serveur Open Directory = serveur1.entreprise.com  Royaume Kerberos Open Directory = SERVEUR1.ENTREPRISE.COM Lorsque Kerberos tente d’obtenir un TGS pour l’utilisation de LDAP auprès de serveur1.entreprise.com, il demande « ldap/serveur1. [email protected] » à moins que domain_realm ne soit présent dans la configuration. Le « domain_realm » pour Open Directory assume que l’ensemble de « .entreprise.com » appartient à « SERVEUR1.DEMOTREE.COM ». Cela empêche toute connectivité au domaine Active Directory nommé « entreprise.com ». Si vous souhaitez mélanger la liaison de répertoire authentifiée et Active Directory, vos royaumes et serveurs de domaine Active Directory et Open Directory doivent se trouver dans des hiérarchies différentes. Par exemple :  Domaine Active Directory = entreprise.com  Royaume Kerberos Active Directory = ENTREPRISE.COM  Maître du serveur Open Directory = serveur1.od.entreprise.com  Royaume du serveur Open Directory = OD.ENTREPRISE.COM ou     Domaine Active Directory = ads.entreprise.com Royaume Kerberos Active Directory = ADS.ENTREPRISE.COM Maître du serveur Open Directory = serveur1.od.entreprise.com Royaume Kerberos Open Directory = OD.ENTREPRISE.COM Chapitre 4 Outils de planification et de gestion Open Directory 77 Dans ces deux exemples, une nouvelle zone de domaine DNS doit être créée et tant les entrées DNS directes et les entrées DNS inverses doivent exister pour les serveurs afin que, si une adresse IP est utilisée pour le serveur Open Directory, elle reçoive le nom prévu. Par exemple, l’adresse IP « serveur1.od.entreprise.com » = 10.1.1.1. La recherche de 10.1.1.1 devrait donc être identique à « serveur1.od.entreprise.com » et non à « serveur1.entreprise.com ». Intégration avec des domaines de répertoire existants Si votre réseau a déjà un domaine de répertoire, vous pouvez ajouter un autre serveur de domaine de répertoire au réseau qui utilise la base de données de votre domaine de répertoire existant pour gérer les autorisations d’accès des utilisateurs. On appelle cette configuration l’autorisation inter-domaines. Elle requiert la prise en charge de Kerberos par les serveurs. Si vous utilisez l’autorisation inter-domaines, un serveur sera un serveur pseudo-maître tandis que l’autre sera un serveur subordonné. Tous les utilisateurs s’authentifieront auprès du serveur pseudo-maître à l’aide d’une méthode d’authentification. Tout utilisateur qui s’authentifiera recevra un ticket Kerberos. Lorsque cet utilisateur tente d’accéder à un service fourni par le serveur subordonné, ce dernier accepte et valide le ticket Kerberos de l’utilisateur que lui a donné le serveur pseudo-maître pour autoriser l’utilisateur. Le ticket Kerberos contient des informations Privilege Attribute Certificate (PAC), qui contiennent le nom d’utilisateur, les identifiants de l’utilisateur (UID) et des identifiants d’appartenance de groupe (GID).Le serveur subordonné utilise ces informations pour vérifier que l’utilisateur est autorisé à utiliser le service en comparant l’UID ou le GID à la liste de contrôle d’accès (ACL) du service auquel l’utilisateur demande l’accès. En utilisant l’autorisation inter-domaines, vous évitez de devoir créer différents noms d’utilisateur et mots de passe pour votre serveur de domaine de répertoire subordonné. Vous pouvez utiliser les mêmes noms d’utilisateur et mots de passe provenant du domaine de répertoire d’entreprise avec les informations PAC pour donner aux utilisateurs l’autorisation d’accès. L’autorisation inter-domaines est la configuration idéale si vous ne pouvez pas modifier directement les groupes au sein du domaine de répertoire d’entreprise. Vous pouvez utiliser l’autorisation inter-domaines entre un serveur Active Directory et un serveur Open Directory sous Mac OS X 10.5 ou entre deux serveurs Open Directory sous Mac OS X 10.5. L’autorisation inter-domaines ne fonctionne pas sur un serveur sous Mac OS X 10.4. Pour utiliser les informations PAC, le serveur pseudo-maître doit posséder un royaume Kerberos auquel le serveur subordonné peut s’inscrire. 78 Chapitre 4 Outils de planification et de gestion Open Directory Pour créer un serveur subordonné dans un système de répertoire, vous devez utiliser Utilitaire de répertoire pour inscrire votre serveur auprès d’un serveur Active Directory ou Open Directory sur lequel Kerberos est configuré et tourne. Puis, à l’aide d’Admin Serveur, vous devez transformer votre serveur Open Directory en un maître Open Directory. Le serveur subordonné détermine automatiquement qu’il est subordonné à un serveur Active Directory ou Open Directory et se configure en conséquence. Vous pouvez aussi disposer d’une réplique de votre serveur Open Directory subordonné. Pour créer une réplique d’un serveur de répertoire subordonné, inscrivez votre serveur auprès du serveur pseudo-maître et du serveur subordonné à l’aide d’Utilitaire de répertoire. Configurez ensuite le serveur comme réplique du serveur subordonné. Si vous n’inscrivez pas le serveur auprès du serveur pseudo-maître et du serveur subordonné, il sera bloqué ou ne deviendra pas une réplique. Intégration sans modifications au schéma Mac OS X et Mac OS X Server s’intègrent avec la plupart des répertoires basés sur LDAP sans qu’il soit nécessaire d’apporter des modifications au schéma de votre serveur de répertoire. Il se peut toutefois que certains types d’enregistrement ne soient pas reconnus ou maintenus par le schémas de répertoire de votre serveur. Lorsque vous intégrez des ordinateurs sous Mac OS X avec votre serveur de répertoire, vous voudrez peut-être ajouter un nouveau type d’enregistrement ou une nouvelle classe d’objets au schéma de répertoire afin de mieux gérer et prendre en charge vos ordinateurs clients sous Mac OS X. Par exemple, par défaut, il se peut qu’il n’y ait pas de type d’enregistrement Picture dans votre schéma de répertoire pour vos utilisateurs Mac OS X, mais vous pouvez en ajouter un à votre schéma de répertoire afin que les enregistrements Picture puissent être stockés dans la base de données de répertoires. Si vous voulez ajouter des enregistrements ou des attributs à votre schéma de répertoire, consultez votre administrateur de domaine de répertoire pour obtenir des instructions. Intégration avec modifications au schéma Si vous ajoutez des ordinateurs Mac OS X à votre domaine de répertoire existant, vous pouvez apporter des modifications au schéma de votre serveur de domaine de répertoire afin de mieux prendre en charge les ordinateurs clients sous Mac OS X. Lorsque vous ajoutez un type d’enregistrement ou un attribut à votre schéma, regardez d’abord s’il y a déjà un type d’enregistrement ou un attribut auquel vous pouvez aisément le faire correspondre dans votre schéma de répertoire existant. S’il n’y a pas encore de type d’enregistrement ou d’attribut auquel vous pouvez le faire correspondre, vous pouvez ajouter le type d’enregistrement ou l’attribut à votre schéma. On parle d’étendre le schéma. Chapitre 4 Outils de planification et de gestion Open Directory 79 Lorsque vous étendez votre schéma, il se peut que vous deviez changer la liste de contrôle d’accès (ACL) par défaut de certains attributs afin que les comptes d’ordinateur puissent lire les propriétés utilisateur. Par exemple, vous pouvez configurer Mac OS X de manière à ce qu’il accède aux informations de compte d’utilisateur élémentaires dans un domaine Active Directory d’un serveur Windows 2000 ou Windows 2003 ou ultérieur. Pour en savoir plus sur l’extension de votre schéma, consultez l’Annexe « Données de répertoire Mac OS X ». Évitement de conflits Kerberos avec plusieurs répertoires Si vous configurez un maître Open Directory sur un réseau qui dispose d’un domaine Active Directory, votre réseau disposera de deux royaumes Kerberos : un royaume Kerberos Open Directory et un royaume Kerberos Active Directory. Pour des raisons pratiques, les autres serveurs sur le réseau ne peuvent utiliser qu’un royaume Kerberos. Lorsque vous configurez un serveur de fichiers, un serveur de courrier ou tout autre serveur qui peut utiliser l’authentification Kerberos, vous devez donc choisir un des royaumes Kerberos. Mac OS X Server doit appartenir au même royaume Kerberos que ses utilisateurs clients. Le royaume n’a qu’un seul serveur Kerberos faisant autorité, qui est responsable de toute l’authentification Kerberos au sein du royaume. En effet, le serveur Kerberos ne peut authentifier des clients et des serveurs qu’au sein de son royaume. Le serveur Kerberos ne peut pas authentifier des clients ou des services qui appartiennent à un autre royaume. Seuls les comptes d’utilisateur du royaume Kerberos choisi pourront bénéficier de la signature unique. Les comptes d’utilisateur dans l’autre royaume peuvent toujours s’authentifier, mais ils ne bénéficieront pas de la signature unique. Si vous configurez un serveur pour qu’il accède à plusieurs systèmes de répertoire disposant chacun de leur propre royaume Kerberos, planifiez soigneusement les comptes d’utilisateur qui utiliseront des services kerbérisés. Vous devez connaître l’intention qui peut présider l’accès à deux services de répertoire. Vous devez connecter le serveur au royaume dont le domaine de répertoire compagnon contient les comptes d’utilisateur qui doivent utiliser Kerberos et bénéficier de la signature unique. Par exemple, il se peut que vous souhaitiez configurer l’accès à un royaume Active Directory pour ses enregistrements d’utilisateur et un répertoire LDAP Open Directory pour les enregistrements et les attributs Mac OS X qui ne sont pas dans Active Directory, comme, par exemple, les enregistrements de groupe et d’ordinateur. D’autres serveurs pourraient se connecter au royaume Kerberos Active Directory ou au royaume Kerberos Open Directory. 80 Chapitre 4 Outils de planification et de gestion Open Directory Dans ce cas, il est recommandé que ces autres serveurs se connectent au royaume Kerberos Active Directory afin que les comptes d’utilisateur Active Directory bénéficient de la signature unique. Si vous avez aussi des comptes d’utilisateur dans le répertoire LDAP du serveur Open Directory, les utilisateurs peuvent toujours s’authentifier auprès d’eux, mais les comptes d’utilisateur Open Directory n’utiliseront pas Kerberos et ne bénéficieront pas de la signature unique. Ils utiliseront des méthodes d’authentification du serveur de mots de passe Open Directory. Vous pourriez mettre tous les utilisateurs Mac dans le domaine Open Directory et tous les utilisateurs Windows dans le domaine Active Directory, et ils pourraient tous s’authentifier, mais un seul groupe pourrait utiliser Kerberos. Important : ne configurez pas un maître ou une réplique Open Directory pour qu’il accède aussi à un domaine Active Directory (ou à tout autre domaine de répertoire ayant un royaume Kerberos). Si vous le faites, le royaume Kerberos Open Directory et le royaume Kerberos Active Directory tenteront d’utiliser les mêmes fichiers de configuration sur le serveur Open Directory, ce qui perturbera probablement l’authentification Kerberos Open Directory. Pour éviter tout conflit de fichiers de configuration Kerberos, n’utilisez pas de serveur Open Directory comme station de travail pour la gestion des utilisateurs dans le domaine de répertoire d’un autre serveur Kerberos, comme, par exemple, dans un domaine Active Directory. Utilisez plutôt un ordinateur administrateur (un ordinateur Mac OS X sur lequel les outils d’administration de serveur sont installés) configuré pour accéder aux domaines de répertoire liés. Si vous devez utiliser un serveur Open Directory pour gérer les utilisateurs du domaine de répertoire d’un autre serveur, assurez-vous que l’autre domaine de répertoire ne fait pas partie de la politique de recherche d’authentification du serveur Open Directory. Pour éviter un conflit de fichiers de configuration Kerberos, n’utilisez pas non plus un serveur Open Directory pour fournir des services qui accèdent au domaine de répertoire d’un autre serveur Kerberos. Par exemple, si vous configurez le service de fichiers AFP pour qu’il accède tant à Open Directory qu’à Active Directory, n’utilisez pas un serveur Open Directory pour fournir le service de fichiers. Utilisez un autre serveur et connectez-le au royaume Kerberos de l’un ou de l’autre service de répertoire. Chapitre 4 Outils de planification et de gestion Open Directory 81 En théorie, les serveurs et les clients peuvent appartenir à deux royaumes Kerberos, comme, par exemple, à un royaume Open Directory et à un royaume Active Directory. L’authentification Kerberos multiroyaume requiert toutefois une configuration très avancée, qui comprend notamment la configuration des serveurs et des clients Kerberos pour l’authentification inter-royaume et la révision du logiciel des services kerbérisés afin qu’il puisse appartenir à plusieurs royaumes. Amélioration des performances et de la redondance Vous pouvez améliorer les performances des services Open Directory en ajoutant de la mémoire au serveur et en limitant les services qu’il fournit. Cette stratégie est également valable pour tous les autres services de Mac OS X Server. Plus vous limitez le nombre de services offerts par un serveur, meilleures sont ses performances. Au-delà de cette stratégie générale, vous pouvez aussi améliorer les performances des serveurs Open Directory en assignant la base de données LDAP à un volume qui lui est propre et les historiques Open Directory à un autre volume. Si votre réseau contient des répliques d’un maître Open Directory, vous pouvez améliorer les performances du réseau en réduisant la fréquence de mise à jour des répliques. Des mise à jour moins fréquentes signifient que les répliques ont des données de répertoire moins à jour. Vous devez donc trouver un juste milieu entre des performances réseau élevées et des répliques précises. Pour une plus grande redondance des services Open Directory, configurez des serveurs supplémentaires comme répliques Open Directory ou utilisez des serveurs avec des ensembles RAID. 82 Chapitre 4 Outils de planification et de gestion Open Directory Sécurité d’Open Directory Avec Mac OS X Server, un serveur avec un domaine de répertoire LDAP partagé fournit aussi l’authentification Open Directory. Il est important de protéger les données d’authentification stockées par Open Directory. Ces données d’authentification comprennent la base de données du serveur de mots de passe Open Directory ainsi que la base de données Kerberos, qui doit aussi être protégée. Par conséquent, vous devez vous assurer que le maître Open Directory et toutes les répliques Open Directory sont bien protégés en suivant les instructions ci-dessous :  La sécurité physique d’un serveur maître ou réplique Open Directory est essentielle. Protégez-en l’accès par une porte verrouillée et fermez toujours celle-ci à clé.  Gardez en lieu sûr les supports de sauvegarde de la base de données du serveur de mots de passe Open Directory et de la base de données Kerberos. Le fait de placer vos serveurs Open Directory dans une pièce fermée à clé ne protégera pas la bande de sauvegarde que vous laissez sur votre bureau.  N’utilisez pas les serveurs Open Directory, maître ou répliques, pour fournir d’autres services. S’il vous est impossible de consacrer exclusivement vos serveurs aux rôles de maîtres ou de répliques Open Directory, essayez de limiter le nombre de services qu’ils fournissent. L’un de ces autres services pourrait comporter une faille de sécurité permettant un accès illicite aux bases de données Kerberos ou du serveur de mots de passe Open Directory. L’emploi de serveurs dédiés aux services Open Directory est une solution idéale mais pas obligatoire.  Configurez des listes de contrôle d’accès aux services (SACL) pour la fenêtre d’ouverture de session et Secure Shell (SSH) afin de déterminer quels utilisateurs peuvent ouvrir une session sur un maître ou une réplique Open Directory.  Évitez d’utiliser un volume RAID partagé avec d’autres ordinateurs comme volume de démarrage d’un serveur qui est maître ou réplique Open Directory. Une faille de sécurité sur l’un des autres ordinateurs représente une menace potentielle pour la sécurité des informations d’authentification Open Directory.  Configurez le service de coupe-feu IP pour qu’il bloque tous les ports à l’exception de ceux utilisés pour les protocoles de répertoire, d’authentification et d’administration suivants :  Le serveur de mots de passe Open Directory utilise les ports 106 et 3659.  Le centre de distribution de clés Kerberos utilise le port TCP/UDP 88 et le port TCP/UDP 749 est utilisé pour l’administration Kerberos.  Le répertoire partagé LDAP utilise le port TCP 389 pour les connexions normales et le port TCP 636 pour les connexions SSL. Chapitre 4 Outils de planification et de gestion Open Directory 83  Lors de la création d’une réplique Open Directory, gardez le port 22 ouvert entre le maître et la future réplique. Ce port est utilisé pour les transferts de données Secure Shell (SSH), le protocole utilisé pour transférer une copie complète et à jour de la base de données LDAP. Après la configuration initiale de la réplique, seul le port LDAP (389 ou 636) est utilisé pour la réplication.  Gestionnaire de groupe de travail utilise les ports TCP 311 et 625.  Admin Serveur utilise le port TCP 311.  SMB utilise les ports TCP/UDP 137, 138, 139 et 445.  Équipez l’ordinateur maître Open Directory d’un système d’alimentation sans coupure (onduleur). En résumé, pour un maximum de sécurité, faites ce qui suit :  Dédiez tous les serveurs Open Directory, maître ou réplique, à la fourniture de services Open Directory.  Configurez un coupe-feu sur ces serveurs pour ne fournir que ce qui suit : protocoles d’accès aux répertoires, d’authentification et d’administration (LDAP, serveur de mots de passe, Kerberos, Gestionnaire de groupe de travail et Gestionnaire de serveur).  Protégez physiquement chaque serveur Open Directory ainsi que leurs supports de sauvegarde. La réplication de données de répertoire et d’authentification sur le réseau représente un risque minime pour la sécurité. En effet, les données de mot de passe sont répliquées de façon sécurisée à l’aide de clés aléatoires négociées lors de chaque session de réplication. La partie du trafic de duplication concernant l’authentification (le serveur de mots de passe Open Directory et le centre de distribution de clés Kerberos) est entièrement cryptée. Pour plus de sécurité encore, configurez les connexions réseau entre serveurs Open Directory afin qu’elles utilisent des commutateurs réseau plutôt que des concentrateurs. Cela isole le trafic de réplication d’authentification sur des segments de réseau sûrs. 84 Chapitre 4 Outils de planification et de gestion Open Directory Listes de contrôle d’accès à un service (SACL) Mac OS X utilise des SACL pour donner aux utilisateurs l’autorisation d’accès à un service. Les SACL sont composées d’entrées de contrôle d’accès (ACE) qui sont utilisées pour déterminer les autorisations privilèges d’accès à service qu’un utilisateur possède. Vous pouvez utiliser des SACL pour autoriser ou refuser l’accès à un maître ou une réplique Open Directory en définissant des SACL pour la fenêtre d’ouverture de session et SSH. Cela restreint l’accès au service. Vous pouvez aussi utiliser des SACL pour définir l’accès des administrateurs à Open Directory. Cela ne restreint pas l’accès au service, mais spécifie qui peut administrer ou surveiller le service. Pour en savoir plus sur la définition de SACL pour administrateurs, consultez « Configuration du contrôle d’accès à un service » à la page 207. Les SACL vous donne plus de contrôle sur la spécification des administrateurs qui ont accès pour la surveillance et la gestion du service. Seuls les utilisateurs et les groupes qui figurent dans une SACL ont accès au service en question. Par exemple, si vous voulez donner un accès comme administrateur aux utilisateurs ou groupes au service Open Directory sur votre serveur, ajoutez-les à la SACL Open Directory sous la forme d’ACE. Administration par niveaux Mac OS X Server n’utilise pas des unités organisationnelles (UO) pour les privilèges utilisateur ou groupe dans les services de répertoire. Les autorisations sont indépendantes de la manière dont vous organisez votre base de données de répertoires. Mac OS X Server 10.5 utilise l’administration par niveaux pour une plus grande granularité des privilèges de lecture et d’écriture des utilisateurs sur les enregistrements dans la base de données de répertoires. Les privilèges des utilisateurs sont contrôlés en organisant les utilisateurs ou les groupes en une ACL et en donnant aux utilisateurs des privilèges de lecture et d’écriture sur les enregistrements. Les entrées des utilisateurs ou groupes, dans les ACL, sont appelées des ACE. Grâce à l’administration par niveaux, vous pouvez organiser facilement vos utilisateurs au sein de groupes et spécifier les enregistrements qu’un groupe peut administrer. Chapitre 4 Outils de planification et de gestion Open Directory 85 Si vous utilisez l’administration par niveaux, considérez les points suivants :  Qui fera partie du groupe  Les privilèges que vous souhaitez donner à chaque groupe  Les enregistrements que vous souhaitez faire administrer par votre groupe Vous pouvez donner aux utilisateurs ou groupes un contrôle complet ou limité sur l’administration des domaines. Lorsque vous donnez un contrôle administratif limité, vous pouvez choisir quels utilisateurs et groupes un utilisateur ou groupe peut administrer. Vous pouvez aussi spécifier les contrôles que l’utilisateur a sur ces utilisateurs et groupes. Par exemple, donner à un utilisateur le contrôle complet donne à cet utilisateur un contrôle illimité sur le domaine de répertoire. Vous ne pouvez modifier que les privilèges de domaine d’un utilisateur pour les domaines LDAPv3. Vous ne pouvez pas modifier les privilèges d’un compte de domaine de répertoire local ou d’un compte stocké dans un domaine de répertoire non-LDAPv3. Les administrateurs intégraux et limités doivent utiliser le Gestionnaire de groupe de travail pour administrer et gérer les utilisateurs. Pour en savoir plus, consultez la section Gestion des utilisateurs. Outils pour la gestion des services de répertoire Open Directory Les applications Admin Serveur, Utilitaire de répertoire et Gestionnaire de groupe de travail fournissent des interfaces graphiques pour la gestion des services Open Directory sous Mac OS X Server. De plus, vous pouvez gérer les services Open Directory à partir de la ligne de commandes de Terminal. Toutes ces applications sont livrées avec Mac OS X Server et peuvent être installées sur un autre ordinateur sous Mac OS X 10.5 ou ultérieur pour faire de cet ordinateur un ordinateur administrateur. Pour en savoir plus sur la configuration d’un ordinateur administrateur, lisez le chapitre sur l’administration de serveur dans le Premiers contacts. 86 Chapitre 4 Outils de planification et de gestion Open Directory Admin Serveur L’application Admin Serveur donne accès à des outils destinés à la configuration, la gestion et le contrôle des services Open Directory et d’autres services. Admin serveur vous permet de :  Configurer Mac OS X Server en tant que maître ou réplique Open Directory, en tant que serveur connecté à un système de répertoire ou en tant que service de répertoire autonome ne comportant qu’un domaine de répertoire local. Pour en savoir plus, consultez le chapitre 5, « Configuration des services Open Directory ».  Configurer des systèmes Mac OS X Server supplémentaires de telle manière qu’ils puissent utiliser le centre de distribution de clés Kerberos d’un maître ou d’une réplique Open Directory. Pour en savoir plus, consultez le chapitre 5.  Configurer les options LDAP d’un maître Open Directory. Pour en savoir plus, consultez le chapitre 5.  Configurer le service DHCP pour qu’il fournisse l’adresse d’un serveur LDAP à des ordinateurs Mac OS X utilisant des politiques de recherche automatiques. Pour en savoir plus, consultez le chapitre consacré à DHCP de Administration des services de réseau.  Définir des politiques de mot de passe s’appliquant à tous les utilisateurs qui ne disposent pas de politique de mot de passe particulières. Pour en savoir plus, consultez le chapitre 6, « Gestion de l’authentification d’utilisateur ». (Pour définir des politiques de mot de passe, utilisez Gestionnaire de groupe de travail. Voir à ce propos le chapitre 6).  Contrôler les services Open Directory. Pour en savoir plus, consultez le chapitre 9, « Maintenance des services Open Directory ». Pour des informations de base sur l’utilisation d’Admin Serveur, consultez le chapitre consacré à l’administration de serveurs dans Premiers contacts. Ce chapitre explique ce qui suit :  Ouverture de l’application Admin Serveur et authentification  Utilisation de serveurs  Administration des services  Contrôle de l’accès aux services  Utilisation de SSL pour l’administration à distance des serveurs  Personnalisation de l’environnement d’Admin Serveur Admin Serveur se trouve dans /Applications/Server/. Chapitre 4 Outils de planification et de gestion Open Directory 87 Utilitaire de répertoire Utilitaire de répertoire détermine comment un ordinateur Mac OS X utilise les services de répertoire, détecte les services de réseau et recherchent des informations d’authentification et de contacts dans les services de répertoire. Utilitaire de répertoire permet de :  Configurer l’accès à des répertoires LDAP, à un domaine Active Directory et à un domaine Network Information Services (NIS)  Configurer le mappage de données pour les répertoires LDAP  Définir des politiques de recherche d’informations d’authentification et de contacts dans plusieurs services de répertoire  Activer ou désactiver des types de services de répertoires et des types de détections de services de réseau Utilitaire de répertoire peut se connecter à d’autres serveurs sur votre réseau afin que vous puissiez les configurer à distance. Pour en savoir plus sur l’utilisation d’Utilitaire de répertoire, consultez le chapitre 7, « Gestion des clients de répertoire ».. Utilitaire de répertoire est installé, sur tous les ordinateurs Mac OS X, dans le dossier /Applications/Utilitaires/. Gestionnaire de groupe de travail L’application Gestionnaire de groupe de travail permet une gestion complète des clients de Mac OS X Server. Gestionnaire de groupe de travail vous permet de :  Configurer et gérer les comptes d’utilisateur, les comptes de groupe et les groupes d’ordinateurs. Pour en savoir plus sur la gestion de l’authentification utilisateur, consultez le chapitre 6, « Gestion de l’authentification d’utilisateur ». Pour en savoir plus sur d’autres sujets liés à la gestion des utilisateurs, des groupes et des ordinateurs, consultez la section Gestion des utilisateurs.  Gérer les points de partage pour les services de fichiers et les dossiers de départ des utilisateurs. Pour en savoir plus, consultez les chapitres consacrés aux points de partage et aux services SMB dans Administration des services de fichier et le chapitre consacré aux dossiers de départ dans Gestion des utilisateurs.  Contrôler ce que les utilisateurs Mac OS X voient lorsqu’ils sélectionnent le globe Réseau dans une barre latérale du Finder. Pour en savoir plus, consultez le chapitre consacré à la gestion de présentations de réseau dans Gestion des utilisateurs.  Visionner des entrées de répertoire sous une forme brute à l’aide de l’Inspecteur. Pour en savoir plus, consultez la rubrique « Affichage et modification des données de répertoire » à la page 212. 88 Chapitre 4 Outils de planification et de gestion Open Directory Pour des informations de base sur l’utilisation de Gestionnaire de groupe de travail, consultez le chapitre consacré à l’administration d’un serveur dans Premiers contacts. Ce chapitre explique ce qui suit :  Ouverture et authentification dans Gestionnaire de groupe de travail  Administration des comptes  Personnalisation de l’environnement de Gestionnaire de groupe de travail Gestionnaire de groupe de travail se trouve dans le dossier /Applications/Server/. Utilitaires de ligne de commande Toute une série d’outils de ligne de commande est disponible pour les administrateurs qui préfèrent utiliser l’administration de serveur à l’aide de commandes. Pour la gestion de serveur à distance, soumettez les commandes dans une session Secure Shell (SSH). Vous pouvez saisir des commandes sur des serveurs et des ordinateurs Mac OS X à l’aide de l’application Terminal, qui se trouve dans le dossier /Applications/Utilitaires/. Pour en savoir plus, consultez Administration de ligne de commande. Chapitre 4 Outils de planification et de gestion Open Directory 89 5 Configuration des services Open Directory 5 Les services Open Directory (services de répertoires et d’authentification) constituent une partie essentielle de l’infrastructure d’un réseau. Ces services affectent considérablement les autres services et utilisateurs du réseau. C’est pourquoi Open Directory doit être configuré correctement dès le début. Vue d’ensemble de la configuration Résumé des tâches principales à réaliser pour configurer les services Open Directory. Pour obtenir des informations détaillées sur chaque étape, consultez les pages indiquées. Étape 1 : Avant de commencer, élaborez un programme Pour obtenir la liste des éléments à prendre en considération avant de configurer Open Directory sur Mac OS X Server, consultez « Avant de commencer » à la page 93. Étape 2 : Activez le service Open Directory Utilisez Admin Serveur pour activer le service Open Directory. Une fois que le service est activé, vous pouvez le configurer. Pour en savoir plus sur l’activation du service Open Directory, consultez la rubrique « Activation d’Open Directory » à la page 94. Étape 3 : Configurez un service de répertoire autonome Pour configurer des serveurs qui ne recevront pas d’informations d’authentification ou d’autres informations administratives d’un service de répertoires, consultez la rubrique « Configuration d’un service de répertoire autonome » à la page 94. Étape 4 : Configurez un maître Open Directory Pour configurer un serveur pour qu’il fournisse des services de répertoire et d’authentification, consultez les rubriques « Compatibilité entre maître et répliques Open Directory » à la page 76 et « Configuration d’un maître Open Directory » à la page 95. 91 Étape 5 : Configurez un contrôleur de domaine principal Pour configurer un serveur pour fournir des services de répertoire et d’authentification pour les plates-formes Windows et Mac OS X, consultez la rubrique « Configuration d’un contrôleur de domaine principal » à la page 98. Étape 6 : Configurez une réplique Open Directory Pour configurer un ou plusieurs serveurs pour qu’ils fournissent des services de répertoire de basculement et d’authentification ou des services de répertoire à distance et d’authentification pour l’interaction rapide entre clients sur des réseaux distribués, consultez la rubrique « Configuration d’une réplique Open Directory » à la page 102. Étape 7 : Configurez des relais Open Directory pour la réplication en cascade Pour configurer un serveur comme réplique ou relais d’un maître Open Directory pour fournir des informations sur les répertoires et des informations d’authentification aux ordinateurs, consultez la rubrique « Configuration de relais Open Directory pour la réplication en cascade » à la page 105. Étape 8 : Configurez un serveur comme contrôleur de domaine secondaire Pour configurer des serveurs pour fournir une prise en charge du basculement pour votre contrôleur de domaine principal, consultez la rubrique « Configuration d’un serveur comme contrôleur de domaine secondaire » à la page 106. Étape 9 : Configurez les serveurs qui se connectent à d’autres systèmes de répertoire Si vous disposez de serveurs de fichiers ou d’autres serveurs qui accèdent à des services de répertoire et d’authentification, consultez la rubrique « Configuration d’une connexion à un serveur de répertoire » à la page 108. Étape 10 : Configurez l’authentification Kerberos par signature unique Si vous avez un maître Open Directory, vous pouvez configurer d’autres serveurs pour qu’ils se connectent à son royaume Kerberos. Si vous configurez un maître Open Directory sans Kerberos, vous pouvez configurer Kerberos plus tard. Pour en savoir plus, consultez la rubrique « Configuration de l’authentification Kerberos par signature unique » à la page 113. Étape 11 : Configurez des ordinateurs clients pour qu’ils se connectent à des services de répertoire Si vous avez un maître Open Directory, vous devez configurer les ordinateurs clients pour qu’ils accèdent à son domaine de répertoire. Vous pouvez aussi configurer les clients pour qu’ils accèdent à d’autres services de répertoire comme, par exemple, Microsoft Active Directory. Consultez le chapitre 7, « Gestion des clients de répertoire. » et le chapitre 8, « Réglages avancés des clients de répertoire. ». Étape 12 : Expliquez aux utilisateurs comment ouvrir une session Consultez la rubrique « Explication de la façon d’ouvrir une session » à la page 98. 92 Chapitre 5 Configuration des services Open Directory Avant de commencer Avant de configurer des services Open Directory pour la première fois :  Comprenez les utilisations des données de répertoire et évaluez vos besoins en répertoires. Identifiez les services qui nécessitent des données issues de domaines de répertoire et déterminez quels utilisateurs doivent accéder à ces services. Les utilisateurs dont les informations peuvent être aisément gérées sur un serveur doivent être définis dans le répertoire LDAP partagé d’un Mac OS X Server qui est un maître Open Directory. Certains de ces utilisateurs pourront être définis dans des domaines de répertoire d’autres serveurs, tels qu’un domaine Active Directory sur un serveur Windows. Ces concepts sont présentés au chapitre 1, « Services de répertoire avec Open Directory. »  Évaluez s’il vous faut plusieurs domaines partagés. Si c’est le cas, choisissez les utilisateurs à définir dans chaque domaine partagé. Pour en savoir plus, consultez la rubrique « Politiques de recherche multiniveaux » à la page 38.  Déterminez quelles sont les options d’authentification nécessaires aux utilisateurs. Pour obtenir les options disponibles, consultez le chapitre 3, « Authentification Open Directory. » Optez pour des répliques de votre maître Open Directory ou pour un contrôleur de domaine secondaire de votre contrôleur de domaine principal. Le chapitre 4, « Outils de planification et de gestion Open Directory, » contient des instructions à ce sujet.  Sélectionnez les administrateurs des serveurs avec soin. Ne donnez un mot de passe d’administrateur qu’aux personnes en qui vous avez entière confiance. Limitez au maximum le nombre d’administrateurs. N’attribuez à aucun utilisateur de droits d’accès d’administrateur pour procéder à des tâches mineures, telle que la modification de réglages dans une fiche d’utilisateur. Les informations de répertoire ont une grande incidence sur toutes les personnes dont l’ordinateur les utilisent. Gestion d’Open Directory sur un serveur distant Vous pouvez installer Admin Serveur sur un ordinateur sous Mac OS X 10.4 ou ultérieur et l’utiliser pour gérer Open Directory sur n’importe quel serveur sur votre réseau local ou au-delà. Vous pouvez aussi gérer Open Directory à distance en vous servant des outils à ligne de commande sur un ordinateur Mac OS X ou sur un ordinateur nonMacintosh. Pour en savoir plus, consultez le chapitre consacré à l’administration de serveur de Premiers contacts. Chapitre 5 Configuration des services Open Directory 93 Activation d’Open Directory Pour pouvoir configurer Open Directory, vous devez activer le service Open Directory dans Admin Serveur. Pour activer le service Open Directory : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur Réglages. 3 Cliquez sur Services. 4 Sélectionnez la case Open Directory. 5 Cliquez sur Enregistrer. Configuration d’un service de répertoire autonome A l’aide d’Admin Serveur, vous pouvez configurer Mac OS X Server pour utiliser uniquement le domaine de répertoire local du serveur. Le serveur ne fournit aucune information sur les répertoires aux autres ordinateurs et n’en obtient pas d’un système existant. (Le domaine de répertoire local ne peut être partagé.) Si vous modifiez Mac OS X Server pour obtenir des informations de répertoires uniquement à partir de son domaine de répertoire local, les enregistrements d’utilisateurs et les autres informations que le serveur avait récupéré sur un domaine de répertoire partagé deviennent inaccessibles : les enregistrements d’utilisateur et les autres informations qui figurent dans le domaine de répertoire partagé sont supprimés. Les fichiers et dossiers du serveur peuvent devenir inaccessibles aux utilisateurs dont les comptes se trouvent dans le domaine de répertoire partagé. Si le serveur était un maître Open Directory et d’autres serveurs y étaient connectés, ce qui suit peut se produire :  Des services peuvent être interrompus sur les serveurs connectés si les comptes d’utilisateur et les autres informations du domaine de répertoire partagé deviennent inaccessibles.  Les utilisateurs dont les comptes se trouvent dans le domaine de répertoire partagé peuvent ne pas pouvoir accéder aux fichiers et dossiers situés sur le maître Open Directory et sur les autres serveurs qui étaient connectés à son domaine de répertoire LDAP partagé. Vous pouvez archiver une copie des données de répertoire et d’authentification du maître Open Directory avant de le transformer en service de répertoire autonome. Pour en savoir plus, consultez la rubrique « Archivage d’un maître Open Directory » à la page 230. Vous pouvez aussi exporter des utilisateurs, des groupes et des groupes d’ordinateurs à partir du maître Open Directory avant de le transformer en service de répertoire autonome. Pour en savoir plus, reportez-vous à la section Gestion des utilisateurs. 94 Chapitre 5 Configuration des services Open Directory Pour configurer un serveur afin qu’il utilise uniquement son propre domaine de répertoire local non partagé : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle à gauche du serveur. La liste des services apparaît. 3 Dans la liste des serveurs développée, sélectionnez Open Directory. 4 Cliquez sur Réglages, puis sur Général. 5 Cliquez sur Modifier. L’Assistant de configuration de service s’ouvre. 6 Choisissez Autonome, puis cliquez sur Continuer. 7 Confirmez le réglage de configuration Open Directory, puis cliquez sur Continuer. 8 Si vous êtes sûr que les utilisateurs et les services n’ont plus besoin d’accéder aux données de répertoire enregistrées dans le domaine de répertoire partagé que le serveur a hébergé ou auquel il était connecté, cliquez sur Fermer. Configuration d’un maître Open Directory À l’aide d’Admin Serveur, vous pouvez configurer Mac OS X Server comme maître Open Directory afin qu’il puisse fournir des informations de répertoires et d’authentification à d’autres systèmes. Mac OS X Server fournit des informations de répertoires en hébergeant un domaine de répertoire LDAP partagé. De plus, le serveur authentifie les utilisateurs dont les comptes sont enregistrés dans le domaine de répertoire LDAP partagé. Un maître Open Directory dispose d’un serveur de mots de passe Open Directory qui prend en charge toutes les méthodes d’authentification conventionnelles requises par les services Mac OS X Server. De plus, un maître Open Directory peut fournir l’authentification Kerberos pour la signature unique. Si vous souhaitez que le maître Open Directory fournisse l’authentification Kerberos pour la signature unique, le DNS doit être disponible sur le réseau et doit être configuré correctement pour résoudre le nom DNS complet du serveur du maître Open Directory et le convertir en son adresse IP. DNS doit aussi être configuré pour résoudre l’adresse IP et la convertir dans le nom DNS complet du serveur. Important : si vous transformez une réplique Open Directory en un maître Open Directory, la procédure à suivre dépend de savoir si la réplique doit remplacer le maître pour devenir un maître supplémentaire.  Pour promouvoir une réplique pour qu’elle remplace un maître non opérationnel, suivez les instructions qui figurent dans la rubrique « Promotion d’une réplique Open Directory » à la page 226 plutôt que les instructions ci-dessous. Chapitre 5 Configuration des services Open Directory 95  Pour faire d’une réplique un maître supplémentaire, déclassez d’abord la réplique comme décrit dans « Mise hors service d’une réplique Open Directory » à la page 229, puis faites-en un maître en suivant les étapes de cette rubrique. Remarque : si Mac OS X Server était connecté à un système de répertoire et que vous transformez le serveur en maître Open Directory, il reste connecté à l’autre système de répertoire. Le serveur recherchera les fiches d’utilisateur et d’autres informations dans son domaine de répertoire LDAP partagé avant de rechercher dans d’autres systèmes de répertoire auxquels il est connecté. Pour configurer un serveur en maître Open Directory : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle à gauche du serveur. La liste des services apparaît. 3 Dans la liste des serveurs développée, sélectionnez Open Directory. 4 Cliquez sur Réglages, puis sur Général. Si l’option Rôle est réglée sur Réplique Open Directory et que vous souhaitez créer un nouveau maître Open Directory, vous devez changer le rôle du serveur en Autonome. Pour en savoir plus, consultez la rubrique « Configuration d’un service de répertoire autonome » à la page 94. Si vous ne transformez pas une réplique Open Directory en serveur autonome avant d’en faire un maître, vous promouvez la réplique en maître au lieu de créer un nouveau maître. Pour en savoir plus, consultez la rubrique « Promotion d’une réplique Open Directory » à la page 226. 5 Cliquez sur Modifier. L’Assistant de configuration de service s’ouvre. 6 Sélectionnez Maître Open Directory, puis cliquez sur Continuer. 7 Saisissez les informations suivantes sur l’administrateur de domaine maître, puis cliquez sur Continuer.  Nom, nom abrégé, identifiant d’utilisateur, mot de passe : vous devez créer un nouveau compte d’utilisateur pour l’administrateur principal du répertoire LDAP. Ce compte n’est pas une copie du compte d’administrateur dans le domaine de répertoire local du serveur. Utilisez, pour l’administrateur de répertoire LDAP, des noms et un identifiant d’utilisateur différents des noms et des identifiants d’utilisateur des comptes d’utilisateur qui figurent dans le domaine de répertoire local. De plus, si vous voulez empêcher le compte d’administrateur de répertoire d’apparaître dans la fenêtre d’ouverture de session, assignez au compte d’administrateur de répertoire un identifiant d’utilisateur inférieur à 100. Les comptes qui possèdent des identifiants d’utilisateur inférieurs à 100 n’apparaissent pas dans la fenêtre d’ouverture de session. 96 Chapitre 5 Configuration des services Open Directory Remarque : si vous prévoyez de connecter votre maître Open Directory à d’autres domaines de répertoire, choisissez un nom et un identifiant d’utilisateur uniques dans chaque domaine. N’utilisez pas l’identifiant d’utilisateur diradmin proposé par défaut. Utilisez un nom qui vous aide à distinguer le domaine de répertoire que l’administrateur de répertoire contrôle. 8 Saisissez les informations suivantes sur le domaine maître, puis cliquez sur Continuer.  Royaume Kerberos : ce champ est préréglé pour être identique au nom DNS du serveur converti en lettres majuscules. Il s’agit d’une convention pour nommer les royaumes Kerberos. Vous pouvez saisir un autre nom, si nécessaire.  Base de recherche : ce champ est préréglé sur un suffixe de base de recherche pour le nouveau répertoire LDAP, dérivé de la partie réservée au domaine du nom DNS du serveur. Vous pouvez saisir un autre suffixe de base de recherche ou laissez le champ vide. Si vous laissez ce champ vide, c’est le suffixe de base de recherche par défaut du répertoire LDAP qui est utilisé. 9 Confirmez les réglages, puis cliquez sur Fermer. 10 Assurez-vous que le maître Open Directory fonctionne correctement en cliquant sur Vue d’ensemble (dans le haut de la fenêtre d’Admin Serveur, avec Open Directory sélectionné dans la liste Serveurs). L’état de tous les éléments listés dans la sous-fenêtre de vue d’ensemble d’Open Directory doit être « En service ». Si Kerberos reste arrêté alors que vous souhaitez le démarrer, consultez la rubrique « Si Kerberos est arrêté sur un maître ou une réplique Open Directory » à la page 235. Après avoir configuré un ordinateur Mac OS X Server pour qu’il soit un maître Open Directory, vous pouvez modifier sa politique de liaison, sa politique de sécurité, sa politique de mot de passe, la fréquence de réplication et des options de protocole LDAP. Pour en savoir plus, reportez-vous à la rubrique « Définition des options d’un serveur Open Directory » à la page 217. Vous pouvez configurer d’autres ordinateurs sous Mac OS X ou Mac OS X Server pour qu’ils accèdent au domaine de répertoire LDAP partagé du serveur. Pour en savoir plus, reportez-vous à la rubrique « Utilisation des réglages avancés des services LDAP » à la page 157. Chapitre 5 Configuration des services Open Directory 97 Explication de la façon d’ouvrir une session Lorsqu’un ordinateur Mac OS X est connecté à un domaine de répertoire et est configuré pour qu’il affiche une liste d’utilisateurs dans la fenêtre d’ouverture de session Mac OS X, la liste peut contenir « Autre ».Dites aux utilisateurs qui n’ont jamais ouvert de session avec un compte réseau qu’ils doivent cliquer sur Autre, puis saisir le nom du compte et le mot de passe. Les utilisateurs peuvent configurer leur ordinateurs pour que ces derniers n’affichent pas une liste d’utilisateurs dans la fenêtre d’ouverture de session. Les utilisateurs changent ce réglage dans la sous-fenêtre Comptes des Préférences Système en cliquant sur Options d’ouverture de session. Vous pouvez afficher les utilisateurs réseau dans la fenêtre d’ouverture de session d’un ordinateur ou ne pas afficher cette liste dans les préférences de l’ordinateur. Utilisez Gestionnaire de groupe de travail pour configurer des réglages de préférences d’ouverture de session pour le compte de groupe d’ordinateurs qui contient l’ordinateur. Pour gérer des ordinateurs qui ne font pas partie d’un compte de groupe d’ordinateurs particulier, configurez des réglages de préférences d’ouverture de session pour le compte Ordinateurs hôtes. Pour en savoir plus, consultez Gestion des utilisateurs. Configuration d’un contrôleur de domaine principal À l’aide d’Admin Serveur, vous pouvez configurer Mac OS X Server comme contrôleur de domaine principal (Primary Domain Controller ou PDC) Windows. Le PDC héberge un domaine Windows et fournit des services d’authentification aux autres membres du domaine, y compris l’authentification pour l’ouverture de session de domaine sur des stations de travail Windows. Si aucun serveur membre du domaine n’est disponible, le serveur PDC peut fournir des services de fichiers et d’impression Windows et héberger des profils d’utilisateur et des dossiers de départ pour les utilisateurs qui disposent de comptes d’utilisateur sur le PDC. Important : lors de la configuration de Mac OS X Server comme contrôleur de domaine principal, assurez-vous qu’il n’y a pas, sur votre réseau, un autre contrôleur de domaine principal possédant le même nom de domaine. Pour configurer d’autres contrôleurs de domaine, faites-en des contrôleurs de domaine secondaire (Backup Domain Controllers ou BDC). 98 Chapitre 5 Configuration des services Open Directory Pour configurer un PDC Windows : 1 Assurez-vous que le serveur est un maître Open Directory. Pour déterminer si un serveur est un maître Open Directory, ouvrez Admin Serveur, cliquez sur le triangle (à gauche du serveur), sélectionnez Open Directory dans la liste des services développée, puis cliquez sur Vue d’ensemble. La première ligne des informations d’état indique le rôle du serveur Open Directory. 2 Ouvrez Admin Serveur et connectez-vous au serveur. 3 Cliquez sur Réglages, puis sur Services. 4 Sélectionnez la case SMB, puis cliquez sur Enregistrer. 5 Cliquez sur le triangle à gauche du serveur. La liste des services apparaît. 6 Dans la liste Serveurs, sélectionnez SMB. 7 Cliquez sur Réglages, puis sur Général. 8 Dans le menu local Rôle, sélectionnez Contrôleur de domaine principal (PDC), puis saisissez ceci :  Description : cette description apparaît dans la fenêtre Favoris réseau des ordinateurs Windows et est facultative.  Nom de l’ordinateur : saisissez le nom que vous voulez montrer utilisateurs Windows lorsqu’ils se connectent au serveur. Il s’agit du nom NetBIOS du serveur. Ce nom ne peut comporter plus de 15 caractères, aucun caractère spécial et aucun signe de ponctuation. Si c’est possible, utilisez comme nom de serveur le nom d’hôte DNS non complet. Par exemple, si votre serveur DNS possède l’entrée « serveur.exemple.com » pour votre serveur, nommez simplement votre serveur « serveur ».  Domaine : saisissez le nom du domaine Windows que le serveur va héberger. Le nom de domaine ne peut pas comporter plus de 15 caractères et doit être différent de « workgroup ». 9 Cliquez sur Enregistrer. 10 Saisissez le nom et le mot de passe d’un compte d’administrateur de répertoire LDAP, puis cliquez sur OK. Lors de l’authentification, vous devez utiliser un compte d’administrateur de répertoire LDAP. Vous ne pouvez pas utiliser un compte d’administrateur local, comme, par exemple, le compte d’administrateur du serveur principal (identifiant d’utilisateur 501), pour créer un contrôleur de domaine principal (PDC). Chapitre 5 Configuration des services Open Directory 99 Une fois que vous avez configuré un contrôleur de domaine principal, vous pouvez modifier les restrictions en matière d’accès, le niveau de détail pour la journalisation, le code de la page, la navigation dans le domaine ou l’enregistrement WINS. Ensuite, si les services Windows ne tournent pas, vous pouvez les démarrer. Pour en savoir plus, consultez la section Administration des services de réseau. Configuration de Windows Vista pour l’ouverture de session de domaine Vous pouvez activer l’ouverture de session de domaine sur un ordinateur sous Windows Vista en le connectant au domaine Windows d’un contrôleur de domaine principal Mac OS X Server.Pour se connecter au domaine Windows, il faut disposer du nom et du mot de passe d’un compte d’administrateur de répertoire LDAP. Vous pouvez déléguer cette tâche à une personne disposant d’un compte d’administrateur local sur l’ordinateur Windows. Dans ce cas, vous pouvez créer un compte d’administrateur de répertoire LDAP temporaire possédant des privilèges limités. Pour en savoir plus, consultez la section Gestion des utilisateurs. Remarque : seuls Windows Vista Ultimate et Business peuvent être connectés à un domaine. Pour connecter un ordinateur sous Windows Vista à un domaine Windows : 1 Ouvrez une session dans Windows Vista à l’aide d’un compte d’administrateur local. 2 Ouvrez la Panneau de configuration, puis Système. 3 Cliquez sur Modifier les paramètres. 4 Cliquez sur Nom de l’ordinateur, puis sur Modifier. 5 Saisissez un nom d’ordinateur, saisir Domaine, saisissez le nom de domaine du contrôleur de domaine principal Mac OS X Server, puis cliquez sur OK. Pour rechercher le nom de domaine du serveur, ouvrez Admin Serveur sur le serveur ou un ordinateur administrateur, sélectionnez SMB dans la liste Serveurs, cliquez sur Réglages, puis sur Général. 6 Saisissez le nom et le mot de passe d’un administrateur de répertoire LDAP, puis cliquez sur OK. 100 Chapitre 5 Configuration des services Open Directory Configuration de Windows XP pour l’ouverture de session de domaine Vous pouvez activer l’ouverture de session de domaine sur un ordinateur sous Windows XP en le connectant au domaine Windows d’un contrôleur de domaine principal Mac OS X Server. Pour se connecter au domaine Windows, il faut disposer du nom et du mot de passe d’un compte d’administrateur de répertoire LDAP. Vous pouvez déléguer cette tâche à une personne disposant d’un compte d’administrateur local sur l’ordinateur Windows. Dans ce cas, vous pouvez créer un compte d’administrateur de répertoire LDAP temporaire possédant des privilèges limités. Pour en savoir plus, consultez la section Gestion des utilisateurs. Pour connecter un ordinateur sous Windows XP à un domaine Windows : 1 Ouvrez une session dans Windows XP à l’aide d’un compte d’administrateur local. 2 Ouvrez la Panneau de configuration, puis Système. 3 Cliquez sur Nom de l’ordinateur, puis sur Modifier. 4 Saisissez un nom d’ordinateur, saisir Domaine, saisissez le nom de domaine du contrôleur de domaine principal Mac OS X Server, puis cliquez sur OK. Pour rechercher le nom de domaine du serveur, ouvrez Admin Serveur sur le serveur ou un ordinateur administrateur, sélectionnez SMB dans la liste Serveurs, cliquez sur Réglages, puis sur Général. 5 Saisissez le nom et le mot de passe d’un administrateur de répertoire LDAP, puis cliquez sur OK. Configuration de Windows 2000 pour l’ouverture de session de domaine Vous pouvez activer l’ouverture de session de domaine sur un ordinateur sous Windows 2000 en le connectant au domaine Windows d’un contrôleur de domaine principal Mac OS X Server.Pour se connecter au domaine Windows, il faut disposer du nom et du mot de passe d’un compte d’administrateur de répertoire LDAP. Vous pouvez déléguer cette tâche à une personne disposant d’un compte d’administrateur local sur l’ordinateur Windows. Dans ce cas, vous pouvez créer un compte d’administrateur de répertoire LDAP temporaire possédant des privilèges limités. Pour en savoir plus, consultez le guide Gestion des utilisateurs. Pour connecter un ordinateur sous Windows 2000 à un domaine Windows : 1 Ouvrez une session dans Windows 2000 à l’aide d’un compte d’administrateur local. 2 Ouvrez la Panneau de configuration, puis Système. 3 Cliquez sur Identification réseau, puis sur Propriétés. Chapitre 5 Configuration des services Open Directory 101 4 Saisissez un nom d’ordinateur, saisir Domaine, saisissez le nom de domaine du contrôleur de domaine principal Mac OS X Server, puis cliquez sur OK. Pour rechercher le nom de domaine du serveur, ouvrez Admin Serveur sur le serveur ou un ordinateur administrateur, sélectionnez SMB dans la liste Serveurs, cliquez sur Réglages, puis sur Général. 5 Saisissez le nom et le mot de passe d’un administrateur de répertoire LDAP, puis cliquez sur OK. Configuration d’une réplique Open Directory À l’aide d’Admin Serveur, vous pouvez configurer Mac OS X Server comme réplique d’un maître Open Directory afin qu’il puisse fournir les mêmes informations de répertoires et d’authentification que le maître à d’autres systèmes. Le serveur réplique héberge une copie en lecture seule du domaine de répertoire LDAP du maître. Le serveur réplique héberge aussi une copie en lecture/écriture du serveur de mots de passe Open Directory et du centre de distribution de clés Kerberos (KDC). Les répliques Open Directory offrent les avantages suivants :  Dans un réseau étendu (WAN) de réseaux locaux (LAN) interconnectés par des liaisons lentes, les répliques situées sur les réseaux locaux fournissent aux serveurs et aux ordinateurs clients un accès rapide aux comptes d’utilisateur et aux autres informations de répertoires.  Une réplique fournit la redondance. En cas de défaillance du maître Open Directory, les ordinateurs qui lui sont connectés basculent vers une réplique située à proximité. Ce basculement automatique est une fonctionnalité de Mac OS X et de Mac OS X Server 10.4 et 10.5. Remarque : si votre réseau contient un mélange de versions 10.4 et de versions 10.5 de Mac OS X Server, sachez qu’une version ne peut pas être la réplique d’un maître de l’autre version. Un maître Open Directory en version 10.5 ne sera pas répliqué vers Mac OS X Server 10.4 et un maître Open Directory sous Mac OS X Server 10.4 ne sera pas répliqué vers Mac OS X Server 10.5 : Lorsque vous configurez une réplique Open Directory pour la première fois, toutes les données de répertoires et d’authentification doivent être copiées sur celle-ci à partir du maître Open Directory. La duplication peut durer plusieurs secondes ou plusieurs minutes selon la taille du domaine de répertoire. Si la duplication est effectuée via une liaison réseau lente, elle peut durer longtemps. Pendant la duplication, le maître ne peut pas fournir les services de répertoires et d’authentification. Vous ne pouvez pas utiliser des comptes d’utilisateur du répertoire LDAP maître pour vous ouvrir une session auprès des services ou vous authentifier avant la fin de la duplication. 102 Chapitre 5 Configuration des services Open Directory Pour minimiser l’interruption des services de répertoires, configurez une réplique avant que le répertoire LDAP du maître ne soit complètement rempli ou à un moment de la journée où le service de répertoire n’est pas utilisé. Le fait de disposer d’une autre réplique configurée permettra aux clients du service de répertoire de ne pas être affectés si le maître devient indisponible. Si vous modifiez un ordinateur Mac OS X Server qui était connecté à un autre système de répertoire pour qu’il devienne une réplique Open Directory, le serveur reste connecté à l’autre système de répertoire. Le serveur recherche les fiches d’utilisateur et d’autres informations dans son domaine de répertoire LDAP partagé avant de rechercher dans d’autres systèmes de répertoire auxquels il est connecté. Pour configurer un serveur afin qu’il héberge une réplique d’un maître Open Directory : 1 Assurez-vous que le maître, la future réplique et tous les coupe-feu entre eux sont configurés pour autoriser les communications SSH (port 22). Vous pouvez activer SSH pour Mac OS X Server dans Admin Serveur. Sélectionnez le serveur dans la liste Serveurs, cliquez sur Réglages, puis sur Général, puis sélectionnez l’option Connexion à distance (SSH). Assurez-vous que l’accès SSH n’est pas restreint à certains utilisateurs ou groupes (à l’aide de SACL) sur le futur maître. Cela priverait Admin Serveur des autorisations nécessaires lors de la création de la réplique. Vous pouvez désactiver temporairement les SACL dans Admin Serveur sous Réglages > Accès. Pour en savoir plus sur SSH, consultez Premier contacts. Pour en savoir plus sur l’autorisation de communications SSH au travers du coupe-feu Mac OS X Server, consultez Administration des services réseau. 2 Ouvez Admin Serveur et connectez-vous au serveur. 3 Cliquez sur le triangle à gauche du serveur. La liste des services apparaît. 4 Dans la liste des serveurs développée, sélectionnez Open Directory. 5 Cliquez sur Réglages, puis sur Général. 6 Cliquez sur Modifier. L’Assistant de configuration de service s’ouvre. 7 Sélectionnez Réplique Open Directory, puis cliquez sur Continuer. Chapitre 5 Configuration des services Open Directory 103 8 Saisissez les informations obligatoires suivantes :  Adresse IP ou nom DNS du maître Open Directory : saisissez l’adresse IP ou le nom DNS du serveur qui fait office de maître Open Directory.  Mot de passe root sur le maître Open Directory : saisissez le mot de passe de l’utilisateur root du système maître Open Directory (nom d’utilisateur de l’administrateur système).  Nom abrégé de l’administrateur de domaine : saisissez le nom d’un compte d’administrateur de domaine de répertoire LDAP.  Mot de passe de l’administrateur de domaine : saisissez le mot de passe du compte d’administrateur dont vous avez saisi le nom. 9 Cliquez sur Continuer. 10 Confirmez les réglages de configuration Open Directory, puis cliquez sur Continuer. 11 Cliquez sur Fermer. 12 Assurez-vous que la date, l’heure et le fuseau horaire sont exacts sur la réplique et sur le maître. La réplique et le maître doivent utiliser le même service horaire de réseau pour que leurs horloges restent synchronisées. Une fois que vous ayez configuré une réplique Open Directory, les autres ordinateurs s’y connecteront selon leurs besoins. Les ordinateurs sous les versions 10.3 ou 10.4 de Mac OS X ou de Mac OS X Server conservent une liste des répliques Open Directory. Si l’un de ces ordinateurs ne parvient pas à contacter le maître Open Directory pour des services de répertoires et d’authentification, il se connecte à la réplique du maître la plus proche. Vous pouvez configurer les ordinateurs Mac OS X pour qu’ils se connectent à une réplique Open Directory plutôt qu’au maître Open Directory pour les services de répertoires et d’authentification. Sur chaque ordinateur Mac OS X, vous pouvez utiliser Utilitaire de répertoire pour créer une configuration LDAPv3 afin d’accéder au répertoire LDAP de la réplique. Vous pouvez également configurer un service DHCP pour qu’il fournisse le répertoire LDAP de la réplique aux ordinateurs Mac OS X qui obtiennent l’adresse d’un serveur LDAP par le service DHCP. Consultez les rubriques « Utilisation des réglages avancés des services LDAP » à la page 157 et « Définition de politiques de recherche automatiques » à la page 152. 104 Chapitre 5 Configuration des services Open Directory Le maître Open Directory met la réplique à jour. Vous pouvez configurer le maître pour qu’il effectue ces mises à jour soit à intervalles de temps programmés, soit dès que le répertoire maître est modifié. Pour en savoir plus, consultez la rubrique « Planification de la réplication d’un maître Open Directory ou d’un contrôleur de domaine principal (PDC) » à la page 224. Création de plusieurs répliques d’un maître Open Directory Si vous souhaitez créer plus d’une réplique d’un maître Open Directory, créez une réplique à la fois. Si vous essayez de créer deux répliques simultanément, une tentative va réussir, l’autre va échouer. Une nouvelle tentative de création de la seconde réplique devrait réussir. Vous pouvez avoir jusqu’à 32 répliques d’un maître Open Directory. Ces membres directs du serveur maître Open Directory sont appelés des relais. Chaque relais peut avoir à son tour 32 répliques de lui-même, ce qui donne 1056 répliques dans une hiérarchie à deux niveaux. Configuration de relais Open Directory pour la réplication en cascade À l’aide d’Admin Serveur, vous pouvez configurer Mac OS X Server comme réplique ou relais d’un maître Open Directory afin qu’il puisse fournir les mêmes informations de répertoires et d’authentification que le maître à d’autres ordinateurs. Un relais doit répondre aux deux conditions suivantes :  Être la réplique d’un maître Open Directory (un membre direct).  Avoir des répliques (prend en charge jusqu’à 32 répliques). La configuration d’une réplique d’un relais est identique à la configuration d’une réplique d’un maître Open Directory. Pour en savoir plus, consultez la rubrique « Configuration d’une réplique Open Directory » à la page 102. Chapitre 5 Configuration des services Open Directory 105 Configuration d’un serveur comme contrôleur de domaine secondaire À l’aide d’Admin Serveur, vous pouvez configurer Mac OS X Server comme contrôleur de domaine secondaire Windows. Le contrôleur de domaine secondaire fournit le basculement automatique et la sauvegarde pour l’ouverture de session de domaine Windows et d’autres demandes adressées par des clients Windows en matière de services d’authentification et de répertoire. Le serveur contrôleur de domaine secondaire peut fournir d’autres services Windows (services SMB), y compris des services de fichiers, d’impression, d’accès à des fichiers et Windows Internet Name Service (WINS). Le contrôleur de domaine secondaire peut héberger des dossiers de départ d’utilisateurs qui disposent de comptes d’utilisateur sur le contrôleur de domaine principal/secondaire. Pour configurer un BDC Windows : 1 Assurez-vous que le serveur est une réplique Open Directory. Pour déterminer si un serveur est une réplique Open Directory, ouvrez Admin Serveur et connectez-vous au serveur, cliquez sur le triangle à gauche du serveur (pour développer la liste), sélectionnez Open Directory dans la liste des services développée, puis cliquez sur Vue d’ensemble. La première ligne des informations d’état indique le rôle Open Directory du serveur. 2 Ouvrez Admin Serveur et connectez-vous au serveur. 3 Cliquez sur le triangle à gauche du serveur. La liste des services apparaît. 4 Dans la liste Serveurs développées, sélectionnez SMB. 5 Cliquez sur Réglages, puis sur Général. 6 Dans le menu local Rôle, sélectionnez Contrôleur de domaine secondaire (BDC), puis saisissez ceci :  Description : cette description apparaît dans la fenêtre Favoris réseau des ordinateurs Windows et est facultative.  Nom de l’ordinateur : saisissez le nom que vous voulez montrer utilisateurs Windows lorsqu’ils se connectent au serveur. Il s’agit du nom NetBIOS du serveur. Ce nom ne peut comporter plus de 15 caractères, aucun caractère spécial et aucun signe de ponctuation. Si c’est possible, utilisez comme nom de serveur le nom d’hôte DNS non complet. Par exemple, si votre serveur DNS possède l’entrée « serveur.exemple.com » pour votre serveur, nommez simplement votre serveur « serveur ».  Domaine : saisissez le nom du domaine Windows que le serveur va héberger. Le nom de domaine ne peut pas comporter plus de 15 caractères et doit être différent de « workgroup ». 7 Cliquez sur Enregistrer. 106 Chapitre 5 Configuration des services Open Directory 8 Saisissez le nom et le mot de passe d’un compte d’utilisateur pouvant administrer le répertoire LDAP sur le serveur, puis cliquez sur OK. Lors de l’authentification, vous devez utiliser un compte d’administrateur de répertoire LDAP. Vous ne pouvez pas utiliser un compte d’administrateur local, comme, par exemple, le compte d’administrateur du serveur principal (identifiant d’utilisateur 501), pour créer un contrôleur de domaine secondaire (BDC). Une fois que vous avez configuré un contrôleur de domaine secondaire, vous pouvez modifier les restrictions en matière d’accès, le niveau de détail pour la journalisation, le code de la page, la navigation dans le domaine ou l’enregistrement WINS. Ensuite, si les services Windows ne tournent pas, vous pouvez les démarrer. Pour en savoir plus, reportez-vous à la section Administration des services de réseau. Configuration du basculement Open Directory Si un maître Open Directory ou l’une de ses répliques devient indisponible, ses ordinateurs clients sous Mac OS X ou Mac OS X Server 10.3–10.5 trouveront automatiquement une réplique disponible et s’y connecteront. Les répliques permettent seulement aux clients de lire les informations de répertoires. Ces informations enregistrées sur la réplique ne peuvent être modifiées avec les outils d’administration tels que Gestionnaire de groupe de travail. Les utilisateurs dont le type de mot de passe est Open Directory peuvent modifier leurs mots de passe sur les ordinateurs connectés aux répliques Open Directory. Les répliques synchronisent les modifications de mots de passe avec le maître. Si le maître est indisponible pendant un certain temps, les répliques synchronisent les modifications de mots de passe avec le maître une fois que ce dernier est de nouveau disponible. Si le maître Open Directory est en panne de façon permanente et que vous disposez d’une archive à jour de ses données, vous pouvez restaurer les données sur un nouveau maître. Ou sinon, vous pouvez promouvoir une réplique en maître. Pour en savoir plus, consultez les rubriques « Restauration d’un maître Open Directory » à la page 231 et « Promotion d’une réplique Open Directory » à la page 226. Remarque : si un maître ou une réplique Open Directory avait des ordinateurs clients sous Mac OS X ou Mac OS X Server 10.2 ou antérieur, les ordinateurs et les serveurs de version 10.2 ne basculeront pas automatiquement vers une autre réplique. Chapitre 5 Configuration des services Open Directory 107 Si vous remplacez un maître en panne en promouvant une réplique en maître, vous reconfigurez manuellement chaque ordinateur et serveur pour qu’ils se connectent à ce nouveau maître ou à une de ses répliques. Cela se fait en utilisant Utilitaire de répertoire sur chaque ordinateur et serveur de version 10.2 pour créer une configuration LDAPv3 qui spécifie la façon dont l’ordinateur accède au nouveau maître ou à une de ses répliques. Pour en savoir plus, consultez la rubrique « Utilisation des réglages avancés des services LDAP » à la page 157. Configuration d’une connexion à un serveur de répertoire À l’aide d’Admin Serveur, vous pouvez configurer Mac OS X Server pour obtenir des enregistrements d’utilisateur et d’autres informations de répertoires à partir du domaine de répertoire partagé d’un autre serveur. Cet autre serveur fournit également l’authentification pour ses informations de répertoires. Mac OS X Server continue à recevoir des informations de répertoire de son propre domaine de répertoire local et fournira de l’authentification pour ces informations de répertoire local. Important : modifier Mac OS X Server afin qu’il soit connecté à un autre système de répertoire et qu’il ne soit plus un maître Open Directory entraîne la désactivation de son domaine de répertoire LDAP partagé, avec les conséquences suivantes :  Les enregistrements d’utilisateur et les autres informations qui figurent dans le domaine de répertoire partagé sont supprimés.  Si d’autres serveurs étaient connectés au domaine de répertoire du maître, leurs services risquent d’être interrompus si les comptes d’utilisateur et d’autres informations du domaine de répertoire désactivé deviennent inaccessibles.  Les utilisateurs dont les comptes se trouvaient dans le domaine de répertoire désactivé ne pourront plus accéder à des fichiers et dossiers du maître Open Directory et des autres serveurs qui étaient connectés au domaine de répertoire maître. Pour configurer un serveur afin qu’il obtienne des services de répertoires à partir d’un système existant : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle à gauche du serveur. La liste des services apparaît. 3 Dans la liste des serveurs développée, sélectionnez Open Directory. 4 Cliquez sur Réglages, puis sur Général. 5 Cliquez sur Modifier. L’Assistant de configuration de service s’ouvre. 6 Sélectionnez « Connecté à un serveur de répertoire », puis cliquez sur Continuer. 108 Chapitre 5 Configuration des services Open Directory 7 Confirmez les réglages de configuration Open Directory, puis cliquez sur Continuer. 8 Si le serveur était un maître Open Directory et que vous êtes sûr que les utilisateurs et les services n’ont plus besoin d’accéder aux données de répertoires enregistrées dans le domaine de répertoire partagé que le serveur a hébergé, cliquez sur Fermer. 9 Cliquez sur le bouton Utilitaire Open Directory pour configurer l’accès à l’un (ou à plusieurs) des systèmes de répertoire. Pour en savoir plus sur la configuration de l’accès à un type de service de répertoire, consultez le chapitre 7, « Gestion des clients de répertoire. » Si vous connectez Mac OS X Server 10.4 ou ultérieur à un domaine de répertoire de Mac OS X Server 10.3 ou antérieur, sachez que les utilisateurs définis dans le domaine de répertoire le plus ancien ne peuvent être authentifiés par la méthode NTLMv2. Cette méthode peut s’avérer nécessaire pour authentifier de façon sûre certains utilisateurs Windows pour les services Windows de Mac OS X Server 10.4 et ultérieur. Le serveur de mots de passe Open Directory de Mac OS X Server 10.4 ou ultérieur prend en charge l’authentification NTLMv2, mais le serveur de mots de passe de Mac OS X Server 10.3 ou antérieur ne prend pas en charge NTLMv2. De la même façon, si vous configurez Mac OS X Server 10.4 ou ultérieur pour qu’il accède à un domaine de répertoire de Mac OS X Server 10.2 ou antérieur, les utilisateurs définis dans le domaine de répertoire le plus ancien ne peuvent être authentifiés par la méthode MS-CHAPv2. Or cette méthode peut s’avérer nécessaire pour authentifier de façon sûre des utilisateurs pour le service VPN de Mac OS X Server 10.4 ou ultérieur. Open Directory de Mac OS X Server 10.4 prend en charge l’authentification MS-CHAPv2, mais le serveur de mots de passe de Mac OS X Server 10.2 ne prend pas en charge MSCHAPv2. 10 Si le serveur que vous configurez a accès à un système de répertoire qui héberge aussi un royaume Kerberos, vous pouvez connecter le serveur au royaume Kerberos. Pour le connecter au royaume Kerberos, vous devez connaître le nom et le mot de passe d’un administrateur Kerberos ou d’un utilisateur à qui l’on a délégué l’autorité de connecter des serveurs au royaume. Pour en savoir plus, consultez la rubrique « Connecter un serveur à un royaume Kerberos » à la page 119. Chapitre 5 Configuration des services Open Directory 109 Configuration d’un serveur comme membre d’un domaine de contrôleur de domaine principal Mac OS X Server À l’aide d’Admin Serveur, vous pouvez configurer Mac OS X Server pour connecter le serveur à un domaine Windows hébergé sur un contrôleur de domaine principal Mac OS X Server. Un serveur qui se connecte à un domaine Windows peut fournir des services de fichiers, d’impression et d’autres services aux utilisateurs qui disposent de compte sur le contrôleur de domaine principal. Le serveur membre de domaine reçoit des services d’authentification de la part du contrôleur de domaine principal ou d’un contrôleur de domaine secondaire. Le serveur peut héberger des profils d’utilisateur et des dossiers de départ d’utilisateurs qui disposent de comptes d’utilisateur sur le contrôleur de domaine principal. Le serveur membre du domaine ne fournit pas de services d’authentification à d’autres serveurs membre de domaine. Pour connecter Mac OS X Server au domaine Windows d’un contrôleur de domaine principal Mac OS X Server : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développées, sélectionnez SMB. 4 Cliquez sur Réglages, puis sur Général. 5 Dans le menu local Rôle, sélectionnez Membre du domaine, puis saisissez ceci :  Description : cette description apparaît dans la fenêtre Favoris réseau de Windows XP et 2000 (la fenêtre Voisinage réseau de Windows 95, 98 ou ME) et est facultative.  Nom de l’ordinateur : saisissez le nom que vous voulez montrer utilisateurs Windows lorsqu’ils se connectent au serveur. Il s’agit du nom NetBIOS du serveur. Ce nom ne peut comporter plus de 15 caractères, aucun caractère spécial et aucun signe de ponctuation. Si c’est possible, utilisez comme nom de serveur le nom d’hôte DNS non complet. Par exemple, si votre serveur DNS possède l’entrée « serveur.exemple.com » pour votre serveur, nommez simplement votre serveur « serveur ».  Domaine : saisissez le nom du domaine Windows auquel le serveur va se connecter. Le domaine doit être hébergé par un contrôleur de domaine principal Mac OS X Server. Le nom ne peut pas comporter plus de 15 caractères et doit être différent de « workgroup ». 6 Cliquez sur Enregistrer. 110 Chapitre 5 Configuration des services Open Directory 7 Saisissez le nom et le mot de passe d’un compte d’administrateur de répertoire LDAP, puis cliquez sur OK. Lors de l’authentification, vous devez utiliser un compte d’administrateur de répertoire LDAP. Vous ne pouvez pas utiliser un compte d’administrateur local, comme, par exemple, le compte d’administrateur du serveur principal (identifiant d’utilisateur 501), pour connecter un serveur à un domaine Windows. Une fois que vous avez configuré un membre de domaine Windows, vous pouvez modifier les restrictions en matière d’accès, le niveau de détail pour la journalisation, le code de la page, la navigation dans le domaine ou l’enregistrement WINS. Ensuite, si les services Windows ne tournent pas, vous pouvez les démarrer. Pour en savoir plus, consultez la section Administration des services de réseau. Configuration d’un serveur comme membre d’un domaine Active Directory À l’aide d’Admin Serveur et d’Utilitaire de répertoire, vous pouvez configurer Mac OS X Server de façon à le connecter à un domaine Active Directory hébergé par un serveur Windows 2000 ou 2003. Un serveur qui se connecte à un domaine Active Directory peut fournir des services de fichiers, d’impression et d’autres services aux utilisateurs qui disposent de compte dans le domaine Active Directory. Le serveur membre du domaine reçoit des services d’authentification de la part d’Active Directory. Le serveur membre du domaine ne fournit pas de services d’authentification à d’autres serveurs membre de domaine. Pour connecter Mac OS X Server au domaine Active Directory d’un serveur Windows : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle à gauche du serveur. La liste des services apparaît. 3 Dans la liste des serveurs développée, sélectionnez Open Directory. 4 Cliquez sur Réglage, puis sur Général. 5 Cliquez sur Modifier. L’Assistant de configuration de service s’ouvre. 6 Sélectionnez « Connecté à un serveur de répertoire », puis cliquez sur Continuer. 7 Confirmez les réglages de configuration Open Directory, puis cliquez sur Continuer. 8 Cliquez sur Fermer. 9 Cliquez sur Ouvrir Utilitaire de répertoire. Chapitre 5 Configuration des services Open Directory 111 10 Dans le coin inférieur gauche d’Utilitaire de répertoire, cliquez sur le cadenas et authentifiez-vous quand vous y êtes invité. 11 Cliquez sur Afficher les réglages avancés. 12 Cliquez sur Serveurs de répertoire (dans le haut). 13 Cliquez sur le bouton Ajouter (+). 14 Dans le menu local « Ajouter un nouveau répertoire de type », choisissez Active Directory, puis saisissez ceci :  Domaine Active Directory : il s’agit du nom DNS ou de l’adresse IP du serveur Active Directory.  Identifiant de l’ordinateur : modifiez éventuellement l’identifiant que vous voulez voir utilisé par Active Directory pour votre serveur. Il s’agit du nom NetBIOS du serveur. Ce nom ne peut comporter plus de 15 caractères, aucun caractère spécial et aucun signe de ponctuation. Si c’est possible, utilisez comme nom de serveur le nom d’hôte DNS non complet. Par exemple, si votre serveur DNS possède l’entrée « serveur.exemple.com » pour votre serveur, nommez simplement votre serveur « serveur ».  Nom d’utilisateur et mot de passe de l’administrateur AD : saisissez le nom d’utilisateur et le mot de passe de l’administrateur Active Directory. 15 Cliquez sur OK et fermez Utilitaire de répertoire. 16 Cliquez sur Se connecter à Kerberos pour connecter le serveur au royaume Kerberos Active Directory. 17 Saisissez les informations suivantes :  Nom d’administrateur : saisissez le nom d’utilisateur de l’administrateur du serveur Kerberos.  Mot de passe : saisissez le mot de passe de l’administrateur du serveur Kerberos.  Nom de royaume : saisissez le nom de royaume du serveur Kerberos.  Nom DNS/Bonjour du centre de distribution de clés : saisissez le nom DNS ou Bonjour du serveur Kerberos. 18 Cliquez sur OK. 19 Dans la liste Serveurs, sélectionnez SMB. 20 Cliquez sur Réglages, puis sur Général. 112 Chapitre 5 Configuration des services Open Directory 21 Vérifiez que le serveur est maintenant membre du domaine Active Directory. Vous pouvez modifier la description facultative du serveur qui apparaît dans la fenêtre Favoris réseau des ordinateurs Windows. Une fois que vous avez configuré un membre de domaine Active Directory, vous pouvez modifier les restrictions en matière d’accès, le niveau de détail pour la journalisation, le code de la page, la navigation dans le domaine ou l’enregistrement WINS. Ensuite, si les services Windows ne tournent pas encore, vous pouvez les démarrer. Pour en savoir plus, reportez-vous à la section Administration des services de réseau. Configuration de l’authentification Kerberos par signature unique La configuration de l’authentification Kerberos à signature unique implique les tâches suivantes :  DNS doit être rendu disponible sur le réseau et doit être configuré pour résoudre le nom DNS complet du serveur maître Open Directory (ou d’un autre serveur Kerberos) et à le convertir en son adresse IP. DNS doit aussi être configuré pour résoudre l’adresse IP et la convertir dans le nom DNS complet du serveur.  Un administrateur doit configurer un système de répertoire pour qu’il héberge un royaume Kerberos. Pour en savoir plus sur la configuration de Mac OS X Server de sorte qu’il héberge un royaume Kerberos, consultez la rubrique « Configuration d’un royaume Kerberos Open Directory » à la page 115.  Un administrateur Kerberos d’un maître Open Directory peut déléguer l’autorité de connecter des serveurs au royaume Kerberos du maître Open Directory. (L’administrateur n’a pas besoin d’autorité déléguée. Un administrateur Kerberos a implicitement l’autorité de connecter tout serveur au royaume Kerberos). Consultez la rubrique « Délégation d’autorité pour connecter des serveurs à un royaume Kerberos Open Directory » à la page 117.  Un administrateur ou des utilisateurs Kerberos possédant l’autorité déléguée nécessaire doivent connecter les serveurs au royaume Kerberos qui fournit alors l’authentification Kerberos par signature unique pour les services fournis par les serveurs qui ont été connectés. Consultez la rubrique « Connecter un serveur à un royaume Kerberos » à la page 119.  Tous les ordinateurs qui utilisent Kerberos doivent être réglés sur la date, l’heure et le fuseau horaire corrects et doivent être configurés pour utiliser le même serveur d’horloge de réseau. Le bon fonctionnement de Kerberos repose sur la synchronisation des horloges de tous les ordinateurs participants. Chapitre 5 Configuration des services Open Directory 113 Lorsque vous configurez un maître Open Directory, assurez-vous que votre DNS est bien configuré et tourne avant de démarrer le service Open Directory pour la première fois. Si le serveur DNS n’est pas bien configuré ou ne tourne pas lorsque vous démarrez Open Directory, Kerberos ne fonctionnera pas correctement. Lors du premier démarrage d’Open Directory, Kerberos utilise le service DNS pour générer des réglages de configuration. Si votre serveur DNS n’est pas disponible lors du premier démarrage de Kerberos, ses configurations ne seront pas valides et il ne fonctionnera pas correctement. Une fois que Kerberos tourne et a généré ses fichiers de configuration, il ne dépendra plus entièrement du DNS et les modifications apportées au DNS n’affecteront plus Kerberos. Les différents services de Mac OS X Server ne nécessitent aucune configuration pour la signature unique ou pour Kerberos. Les services suivants sont prêts pour l’authentification Kerberos par signature unique sur tous les serveurs sous Mac OS X Server 10.5 ou ultérieur qui sont connectés ou qui sont un maître ou une réplique Open Directory :  Fenêtre d’ouverture de session  Service de messagerie  AFP  FTP  SMB (en tant que membre d’un royaume Kerberos Active Directory)  iChat  Service d’impression  NFS  Service Xgrid  VPN  Service Web Apache  Service de répertoire LDAPv3 (sur un maître ou une réplique Open Directory) 114 Chapitre 5 Configuration des services Open Directory Configuration d’un royaume Kerberos Open Directory Vous pouvez fournir l’authentification Kerberos par signature unique sur votre réseau en configurant un maître Open Directory. Vous pouvez configurer un maître Open Directory pendant la configuration initiale qui suit l’installation de Mac OS X Server, mais si vous configurez Mac OS X Server pour un autre rôle Open Directory, vous pouvez changer ce rôle en maître Open Directory à l’aide d’Admin Serveur. Pour en savoir plus, consultez les rubriques « Configuration d’un maître Open Directory » à la page 95 et « Démarrage de Kerberos après la configuration d’un maître Open Directory » à la page 116. Un serveur jouant le rôle de maître Open Directory ne nécessite aucune autre configuration supplémentaire pour gérer l’authentification Kerberos par signature unique pour tous les services kerbérisés qu’il fournit lui-même. Le serveur peut également gérer l’authentification Kerberos par signature unique pour les services kerbérisés d’autres serveurs du réseau. Les autres serveurs doivent être configurés pour se connecter au royaume Kerberos Open Directory. Pour en savoir plus, reportez-vous aux rubriques « Délégation d’autorité pour connecter des serveurs à un royaume Kerberos Open Directory » à la page 117 et « Connecter un serveur à un royaume Kerberos » à la page 119. Important : un maître Open Directory requiert un DNS configuré correctement pour fournir une authentification Kerberos par signature unique. De plus :  Le service DNS doit être configuré pour résoudre les noms DNS complets de tous les serveurs, y compris le maître Open Directory, en les convertissant en adresses IP et pour fournir les recherches inverses correspondantes. Pour en savoir plus sur la configuration du service DNS, consultez le guide Administration des services réseau.  Les préférences Réseau du serveur maître Open Directory doivent être configurées pour utiliser le serveur DNS qui convertit le nom du serveur. (Si le serveur maître Open Directory fournit son propre service DNS, ses préférences Réseau doivent être configurées pour s’utiliser lui-même comme serveur DNS). Chapitre 5 Configuration des services Open Directory 115 Démarrage de Kerberos après la configuration d’un maître Open Directory Si Kerberos ne démarre pas lorsque vous configurez un maître Open Directory, vous pouvez utiliser Admin Serveur pour le démarrer manuellement, mais vous devez d’abord résoudre le problème qui empêche Kerberos de démarrer. D’habitude, le problème vient du fait que le service DNS n’est pas configuré correctement ou ne tourne pas. Remarque : une fois que vous avez démarré Kerberos manuellement, il se peut que les utilisateurs dont les comptes sont dotés de mots de passe Open Directory et qui ont été créés dans le répertoire LDAP du maître Open Directory alors que Kerberos était arrêté doivent réinitialiser leurs mots de passe la prochaine fois qu’ils ouvrent une session. Un compte d’utilisateur n’est donc affecté que si toutes les méthodes d’authentification récupérables pour les mots de passe Open Directory ont été désactivées pendant que Kerberos était à l’arrêt. Pour démarrer Kerberos manuellement sur un maître Open Directory : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle à gauche du serveur. La liste des services apparaît. 3 Dans la liste des serveurs développée, sélectionnez Open Directory. 4 Cliquez sur Rafraîchir (ou choisissez Présentation > Rafraîchir) et vérifiez l’état de Kerberos qui est affiché dans la sous-fenêtre Vue d’ensemble. Si Kerberos tourne, il n’y a rien d’autre à faire. 5 Utilisez Utilitaire de réseau (dans /Applications/Utilitaires/) pour effectuer une recherche DNS du nom DNS du maître Open Directory et une recherche inverse de l’adresse IP. Si le nom DNS ou l’adresse IP du serveur ne se résout pas correctement :  Dans la sous-fenêtre Réseau des Préférences Système, regardez les réglages TCP/IP de l’interface réseau principale du serveur (généralement, Ethernet intégré). Assurez-vous que le premier serveur DNS listé est celui qui résout le nom du serveur Open Directory.  Vérifiez la configuration du service DNS et assurez-vous qu’il tourne. 6 Dans Admin Serveur, sélectionnez Open Directory pour le serveur maître, cliquez sur Réglages, puis sur Général. 7 Cliquez sur Kerbériser, puis saisissez les informations suivantes :  Nom d’administrateur et Mot de passe : vous devez vous authentifier en tant qu’administrateur du répertoire LDAP du maître Open Directory.  Nom de royaume : ce champ est préréglé pour être identique au nom DNS du serveur converti en lettres majuscules. Il s’agit d’une convention pour nommer les royaumes Kerberos. Vous pouvez saisir un autre nom, si nécessaire. 116 Chapitre 5 Configuration des services Open Directory Délégation d’autorité pour connecter des serveurs à un royaume Kerberos Open Directory À l’aide d’Admin Serveur, vous pouvez déléguer l’autorité de connecter un serveur à un serveur maître Open Directory pour l’authentification Kerberos par signature unique. Vous pouvez déléguer cette autorité à un ou plusieurs comptes d’utilisateur. Les comptes d’utilisateur auxquels vous déléguez cette autorité doivent être dotés d’un mot de passe de type Open Directory et résider dans le répertoire LDAP du serveur maître Open Directory. Le serveur dépendant pour lequel vous déléguez l’autorité doit tourner sous Mac OS X Server 10.3 ou ultérieur. Remarque : si un compte possédant l’autorité Kerberos déléguée est supprimé et recréé sur le serveur maître Open Directory, le nouveau compte ne possédera pas l’autorité de connecter le serveur dépendant au royaume Kerberos du maître Open Directory. Un administrateur Kerberos, c’est-à-dire un administrateur LDAP Open Directory, n’a pas besoin d’autorité déléguée pour connecter des serveurs dépendants au royaume Kerberos Open Directory. Un administrateur Kerberos a implicitement l’autorité de connecter tout serveur au royaume Kerberos. Pour déléguer l’autorité de se connecter à un royaume Kerberos Open Directory : 1 Dans Gestionnaire de groupe de travail, créez un groupe d’ordinateurs dans le domaine de répertoire LDAP du serveur maître Open Directory ou sélectionnez un groupe d’ordinateurs existant dans ce répertoire.  Pour sélectionner un groupe d’ordinateurs existant dans Gestionnaire de groupe de travail, cliquez sur Comptes ou choisissez Présentation > Comptes, cliquez sur le bouton Groupe d’ordinateurs (au-dessus de la liste des comptes), puis sélectionnez le groupe d’ordinateurs souhaité.  Si le serveur LDAP n’a pas encore de groupe d’ordinateurs auquel vous souhaitez ajouter le serveur dépendant, vous pouvez en créer un : Cliquez sur Comptes, puis sur le bouton Ordinateurs (au-dessus de la liste des comptes). Cliquez sur l’icône représentant un globe au-dessus de la liste des comptes, puis déroulez le menu local pour ouvrir le répertoire LDAP du maître Open Directory. Cliquez sur le cadenas et authentifiez-vous comme administrateur du répertoire LDAP. Cliquez sur le bouton Groupe d’ordinateurs (au-dessus de la liste des comptes), puis sur Nouveau groupe d’ordinateurs ou choisissez Serveur > Nouveau groupe d’ordinateurs. Saisissez le nom du groupe, comme, par exemple, Serveurs kerbérisés. Chapitre 5 Configuration des services Open Directory 117 2 Cliquez sur Membres, puis sur le bouton Ajouter (+) et saisissez ceci :  Adresse : saisissez l’adresse Ethernet du port Ethernet principal du serveur dépendant. Le port Ethernet principal est le premier port qui apparaît dans la liste de la sous-fenêtre État du réseau de l’adresse des préférences Réseau du serveur dépendant. L’adresse de ce port apparaît dans le champ Identifiant Ethernet de la sousfenêtre Ethernet des préférences Réseau. Si vous ne saisissez pas l’adresse Ethernet correcte, le serveur dépendant ne pourra pas se connecter au maître Open Directory pour l’authentification Kerberos.  Nom : saisissez le nom DNS complet du serveur dépendant, pas seulement son nom d’hôte. Par exemple, le nom pourrait être serveur2.exemple.com, mais pas serveur2. Ce nom est utilisé pour créer des principaux Kerberos dans le centre de distribution de clés. Si le nom est incorrect, les utilisateurs ne peuvent pas s’authentifier à l’aide de Kerberos. Votre système DNS doit posséder une entrée pour le nom du serveur dépendant et une entrée de recherche inverse pour l’adresse IP du serveur dépendant.  Utiliser ce nom comme nom d’ordinateur : n’affecte pas le fonctionnement de Kerberos.  Commentaires : est facultatif et purement informatif. 3 Cliquez sur Enregistrer pour enregistrer les modifications apportées au groupe d’ordinateurs. 4 Cliquez sur Préférences et assurez-vous que le groupe d’ordinateurs n’a pas de réglages de préférences gérés. Si une petite flèche apparaît en regard de l’icône d’un des éléments des catégories de préférences, l’élément possède des réglages de préférences gérées. Pour supprimer les préférences gérées d’un élément, cliquez sur l’élément, sélectionnez Non géré, puis cliquez sur Appliquer. Si l’élément dispose de plusieurs sous-fenêtres, sélectionnez Non géré dans chacune des sous-fenêtres, puis cliquez sur Appliquer. 5 Si vous souhaitez déléguer l’autorité Kerberos à un ou plusieurs comptes d’utilisateur, créez-les comptes :  Assurez-vous que vous travaillez bien dans le répertoire LDAP du serveur maître Open Directory. Si nécessaire, cliquez sur le petit globe et utilisez le menu local pour ouvrir ce répertoire. Cliquez ensuite sur le cadenas et authentifiez-vous comme administrateur de ce répertoire.  Cliquez sur le bouton Utilisateurs (à gauche), puis sur Nouvel utilisateur ou choisissez Serveur > Nouvel utilisateur.  Saisissez un nom, un nom abrégé et un mot de passe.  Assurez-vous que la case « L’utilisateur peut accéder au compte » ou « L’utilisateur peut gérer ce serveur » n’est pas sélectionnée. Vous pouvez changer des réglages dans d’autres sous-fenêtres, mais ne changez pas le type de mot de passe d’utilisateur dans la sous-fenêtre Avancé. Tout utilisateur avec autorité Kerberos déléguée doit posséder un mot de passe Open Directory. 118 Chapitre 5 Configuration des services Open Directory 6 Cliquez sur Enregistrer pour enregistrer le nouveau compte d’utilisateur. 7 Ouvrez Admin Serveur et connectez-vous au serveur maître Open Directory. 8 Cliquez sur le triangle à gauche du serveur. La liste des services apparaît. 9 Dans la liste des serveurs développée, sélectionnez Open Directory. 10 Cliquez sur Réglages, puis sur Général. 11 Confirmez le rôle de maître Open Directory, cliquez sur Ajouter un enregistrement Kerberos, puis saisissez les informations suivantes :  Nom d’administrateur : saisissez le nom d’un administrateur de répertoire LDAP sur le serveur maître Open Directory.  Mot de passe d’administrateur : saisissez le mot de passe du compte d’administrateur que vous avez saisi.  Nom de fiche de configuration : saisissez le nom DNS complet tel que vous l’avez saisi lors de l’ajout du serveur dépendant au groupe d’ordinateurs à l’étape 2.  Administrateurs délégués : saisissez un nom abrégé ou un nom long pour chaque compte d’utilisateur auquel vous souhaitez déléguer l’autorité Kerberos pour le serveur spécifié. Pour éviter des problèmes si ce compte d’utilisateur devait être supprimé à l’avenir, saisissez au moins deux noms. 12 Cliquez sur Ajouter, puis sur Enregistrer pour déléguer l’autorité Kerberos comme spécifié. Pour déléguer l’autorité pour plus d’un serveur dépendant, répétez cette procédure pour chacun d’entre eux. Pour en savoir plus sur la connexion d’un serveur à un royaume Kerberos Open Directory, consultez la rubrique « Connecter un serveur à un royaume Kerberos » à la page 119. Connecter un serveur à un royaume Kerberos Avec Admin Serveur, un administrateur Kerberos ou un utilisateur dont le compte possède l’autorité déléguée correctement peut connecter Mac OS X Server à un royaume Kerberos. Le serveur ne peut se connecter qu’à un seul royaume Kerberos. Il peut s’agir d’un royaume Kerberos Open Directory, d’un royaume Kerberos Active Directory ou d’un royaume Kerberos MIT existant. Pour se connecter à un royaume Kerberos Open Directory, vous devez disposer d’un compte d’administrateur Kerberos ou d’un compte d’utilisateur possédant l’autorité Kerberos déléguée. Pour en savoir plus, consultez la rubrique « Délégation d’autorité pour connecter des serveurs à un royaume Kerberos Open Directory » à la page 117. Chapitre 5 Configuration des services Open Directory 119 Pour connecter un serveur à un royaume Kerberos : 1 Assurez-vous que le serveur que vous souhaitez connecter au royaume Kerberos est configuré pour accéder au domaine de répertoire partagé du serveur Kerberos. Pour confirmer, ouvrez Utilitaire de répertoire sur le serveur que vous souhaitez connecter au royaume Kerberos ou connectez-vous au serveur à l’aide d’Utilitaire Format de répertoire sur un autre ordinateur. Cliquez sur Politique de recherche, puis sur Authentification et assurez-vous que le domaine de répertoire du serveur Kerberos apparaît bien dans la liste. Si ce n’est pas le cas, consultez le chapitre 7, « Gestion des clients de répertoire, » pour obtenir des instructions sur la configuration de l’accès au répertoire. 2 Ouvrez Admin Serveur et connectez-vous au serveur que vous voulez connecter au royaume Kerberos. 3 Cliquez sur le triangle à gauche du serveur. La liste des services apparaît. 4 Dans la liste des serveurs développée, sélectionnez Open Directory. 5 Cliquez sur Réglages, puis sur Général. 6 Confirmez que le Rôle est bien Connecté à un serveur de répertoire, puis cliquez sur Se connecter à Kerberos et saisissez les informations suivantes :  Pour un royaume Kerberos Open Directory ou un royaume Kerberos Active Directory, choisissez le royaume dans le menu local et saisissez le nom et le mot de passe d’un administrateur Kerberos ou d’un utilisateur possédant l’autorité Kerberos déléguée pour le serveur.  Pour un royaume Kerberos MIT, saisissez le nom et le mot de passe d’un administrateur Kerberos, le nom du royaume Kerberos et le nom DNS du serveur de centre de distribution de clés Kerberos. 120 Chapitre 5 Configuration des services Open Directory 6 Gestion de l’authentification d’utilisateur 6 Découvrez comment réinitialiser les mots de passe d’utilisateur, modifier les types de mot de passe, définir les politiques de mot de passe, sélectionner les méthodes d’authentification et réaliser d’autres tâches à l’aide de Gestionnaire de groupe de travail. Gestionnaire de groupe de travail offre une méthode centralisée de gestion des ordinateurs Mac OS X pour contrôler l’accès aux logiciels et aux supports amovibles et fournir un environnement cohérent pour différents utilisateurs. Vous pouvez également utiliser Gestionnaire de groupe de travail pour gérer l’authentification d’utilisateur. Pour en savoir plus sur Gestionnaire de groupe de travail, consultez le guide Gestion des utilisateurs. Vous pouvez gérer les informations d’authentification des utilisateurs stockées dans les domaines de répertoire. Pour trouver les descriptions des tâches et des instructions, reportez-vous à :  « Composition d’un mot de passe » à la page 122  « Modification du mot de passe d’un utilisateur » à la page 123  « Réinitialisation des mots de passe de plusieurs utilisateurs » à la page 124  « Modification du type de mot de passe d’un utilisateur » à la page 125 Cette rubrique aborde le changement du type de mot de passe en Open Directory, le choix entre le mot de passe shadow et le mot de passe crypté et l’activation de l’authentification par signature unique Kerberos.  « Activation de l’authentification Kerberos par signature unique pour un utilisateur » à la page 129  « Changement de politique de mot de passe globale » à la page 129  « Configuration des politiques de mot de passe d’utilisateurs individuels » à la page 130  « Sélection de méthodes d’authentification pour des utilisateurs de mots de passe shadow » à la page 132  « Sélection de méthodes d’authentification pour des utilisateurs de mots de passe Open Directory » à la page 133 121  « Attribution de droits d’administrateur pour l’authentification Open Directory » à la page 134  « Synchronisation des mots de passe d’administrateur principaux » à la page 135  « Activation de l’authentification par liaison LDAP pour un utilisateur » à la page 135  « Configuration de mots de passe d’utilisateurs exportés ou importés » à la page 136  « Migration de mots de passe à partir de Mac OS X Server 10.1 ou antérieur » à la page 137 Composition d’un mot de passe Le mot de passe associé au compte d’un utilisateur doit être saisi par ce dernier lorsqu’il s’authentifie pour ouvrir une session ou utiliser d’autres services. Le mot de passe est sensible à la casse (hormis les mots de passe LAN Manager-SMB). Il est masqué à l’écran pendant sa saisie. Quel que soit le type de mot de passe choisi pour un utilisateur, voici les directives à suivre pour la composition des mots de passe des comptes d’utilisateur de Mac OS X Server :  Les mots de passe doivent contenir des lettres, des chiffres et des symboles et former des combinaisons difficiles à deviner par les utilisateurs non autorisés. Ils ne doivent pas être constitués de mots. Les bons mots de passe associent des chiffres et des symboles (tels que # ou $) ou sont composés de la première lettre de chacun des mots constituant une expression. Utilisez une combinaison de lettres minuscules et majuscules.  Évitez les espaces ainsi que les caractères obtenus à l’aide de la touche Option.  Évitez les caractères impossibles à saisir sur les ordinateurs dont se servira l’utilisateur ou qui réclament, sur d’autres claviers et plates-formes, l’emploi d’une combinaison de touches spéciale.  Certains protocoles réseau n’acceptent pas les mots de passe contenant des espaces initiaux, des espaces incorporés ou des espaces finaux.  Il n’est pas recommandé d’utiliser un mot de passe de longueur nulle. Open Directory et certains systèmes (tels que la liaison LDAP) ne prennent pas en charge les mots de passe de longueur nulle.  Pour une compatibilité optimale avec les ordinateurs et services auxquels vos utilisateurs sont susceptibles d’accéder, utilisez uniquement des caractères ASCII dans les mots de passe. 122 Chapitre 6 Gestion de l’authentification d’utilisateur Modification du mot de passe d’un utilisateur Vous pouvez utiliser Gestionnaire de groupe de travail pour modifier le mot de passe d’un compte d’utilisateur défini dans tout domaine de répertoire auquel vous avez accès en lecture et écriture. Par exemple, vous pouvez modifier le mot de passe d’un compte d’utilisateur dans l’annuaire LDAP d’un maître Open Directory. Important : si vous modifiez le mot de passe d’un compte d’utilisateur utilisé pour authentifier la connexion à l’annuaire LDAP d’un ordinateur, vous devez apporter la même modification aux réglages de connexion LDAP de l’ordinateur concerné ou configurer l’annuaire LDAP et toutes les connexions pour qu’ils utilisent la liaison sécurisée. Pour en savoir plus, consultez les rubriques « Modification du mot de passe utilisé pour authentifier une connexion LDAP » à la page 181 ou « Configuration d’une politique de liaison pour un serveur Open Directory » à la page 218 et « Arrêt de la liaison sécurisée avec un annuaire LDAP » à la page 177. Pour changer le mot de passe d’un utilisateur : 1 Ouvrez Gestionnaire de groupe de travail, cliquez sur le bouton Comptes, puis sur le bouton Utilisateur. 2 Ouvrez le domaine de répertoire contenant le compte d’utilisateur dont vous voulez changer le mot de passe et authentifiez-vous en tant qu’administrateur du domaine. Pour ouvrir un domaine de répertoire, cliquez sur l’icône de globe au-dessus de la liste des utilisateurs, puis choisissez un domaine dans le menu local. Si le type du mot de passe de l’utilisateur est Open Directory, vous devez vous authentifier en tant qu’administrateur dont le type de mot de passe est Open Directory. 3 Sélectionnez le compte du mot de passe à changer. 4 Tapez un mot de passe dans la sous-fenêtre Élémentaire, puis cliquez sur Enregistrer. 5 Indiquez à l’utilisateur le nouveau mot de passe à employer pour ouvrir une session. Une fois que l’utilisateur a ouvert une session sous Mac OS X à l’aide du nouveau mot de passe, il peut le modifier en cliquant sur Comptes dans Préférences Système. Si vous modifiez le mot de passe d’un compte dont le type de mot de passe est Open Directory et que ce compte réside dans l’annuaire LDAP d’une réplique ou d’un maître Open Directory, la modification est synchronisée avec le maître et toutes ses répliques. Mac OS X Server synchronise les modifications de mots de passe Open Directory entre un maître et ses répliques. Chapitre 6 Gestion de l’authentification d’utilisateur 123 Réinitialisation des mots de passe de plusieurs utilisateurs À l’aide de Gestionnaire de groupe de travail, vous pouvez sélectionner plusieurs comptes d’utilisateur et les modifier en même temps pour qu’ils prennent tous le même type de mot de passe et le même mot de passe temporaire. Pour changer le type de mot de passe et le mot de passe de plusieurs comptes d’utilisateur : 1 Ouvrez Gestionnaire de groupe de travail, cliquez sur le bouton Comptes, puis sur le bouton Utilisateur. 2 Ouvrez le domaine de répertoire contenant le compte d’utilisateur dont vous voulez réinitialiser les types de mot de passe et les mots de passe, puis authentifiez-vous en tant qu’administrateur du domaine. Pour ouvrir un domaine de répertoire, cliquez sur l’icône de globe au-dessus de la liste des utilisateurs, puis choisissez un domaine dans le menu local. Si vous voulez régler le type de mot de passe sur Open Directory, vous devez vous authentifier en tant qu’administrateur dont le type de mot de passe est Open Directory. 3 Cliquez sur les comptes d’utilisateur en maintenant la touche Commande ou Maj enfoncée pour sélectionner ceux dont le type de mot de passe doit être modifié. 4 Tapez un mot de passe dans la sous-fenêtre Élémentaire, puis définissez le type de mot de passe dans la sous-fenêtre Avancé. 5 Cliquez sur Enregistrer. 6 Indiquez aux utilisateurs le mot de passe temporaire, de sorte qu’ils puissent ouvrir une session. Après avoir ouvert une session à l’aide du mot de passe temporaire, un utilisateur peut changer le mot de passe en cliquant sur Comptes dans Préférences Système. Si vous modifiez le mot de passe de comptes dont le type de mot de passe est Open Directory et que ces comptes résident dans l’annuaire LDAP d’une réplique ou d’un maître Open Directory, la modification est synchronisée avec le maître et toutes ses répliques. Mac OS X Server synchronise les modifications de mots de passe Open Directory entre un maître et ses répliques. 124 Chapitre 6 Gestion de l’authentification d’utilisateur Modification du type de mot de passe d’un utilisateur Vous pouvez définir le type de mot de passe dans la sous-fenêtre Avancé de Gestionnaire de groupe de travail. Les types de mot de passe disponibles sont les suivants :  Open Directory : active plusieurs méthodes d’authentification héritées, ainsi que l’authentification Kerberos par signature unique si le compte de l’utilisateur se trouve dans l’annuaire LDAP d’un maître ou d’une réplique Open Directory. Les mots de passe Open Directory sont stockés séparément de la base de données du serveur de mots de passe Open Directory et du centre de distribution de clés Kerberos. Consultez la rubrique « Choix du type de mot de passe Open Directory » à la page 125.  Mot de passe Shadow : active plusieurs méthodes d’authentification héritées pour les comptes d’utilisateur se trouvant dans le domaine de répertoire local. Les mots de passe Shadow sont stockés hors du domaine de répertoire, dans des fichiers qui ne sont lisibles que par le compte d’utilisateur root. Consultez la rubrique « Choix du type de mot de passe shadow » à la page 128.  Mot de passe crypté : fournit une authentification élémentaire pour un compte d’utilisateur se trouvant dans un domaine de répertoire partagé. Un mot de passe crypté est stocké dans l’enregistrement de compte d’utilisateur, dans le domaine de répertoire. Un mot de passe crypté est nécessaire pour ouvrir une session Mac OS X 10.1 ou antérieur. Consultez la rubrique « Changement du type de mot en Mot de passe crypté » à la page 127. Choix du type de mot de passe Open Directory Avec Gestionnaire de groupe de travail, vous pouvez indiquer qu’un compte d’utilisateur dispose d’un mot de passe Open Directory stocké dans des bases de données sécurisées hors du domaine de répertoire. Les comptes d’utilisateur dans les domaines de répertoire suivants peuvent disposer de mots de passe Open Directory :  domaine de répertoire LDAP sur Mac OS X Server 10.3–10.5  domaine de répertoire local de Mac OS X Server 10.3 ou serveur mis à niveau à partir de la version 10.3  domaine de répertoire sur Mac OS X Server 10.2 configuré pour utiliser un serveur de mots de passe Le type de mot de passe Open Directory prend en charge la signature unique à l’aide de l’authentification Kerberos. Il prend aussi en charge le serveur de mots de passe Open Directory, qui offre des protocoles d’authentification Simple Authentication and Security Layer (SASL), notamment APOP, CRAM-MD5, DHX, Digest-MD5, MS-CHAPv2, NTLMv2, NTLM (aussi appelé Windows NT ou SMB-NT), LAN Manager (LM) et WebDAV-Digest. Chapitre 6 Gestion de l’authentification d’utilisateur 125 Remarque : pour régler le type de mot de passe d’un compte d’utilisateur sur Open Directory, vous devez posséder des droits d’administrateur pour l’authentification Open Directory dans le domaine de répertoire contenant le compte d’utilisateur. Cela veut dire que vous devez vous authentifier en tant qu’administrateur de domaine de répertoire dont le type de mot de passe est Open Directory. Pour en savoir plus, consultez la rubrique « Attribution de droits d’administrateur pour l’authentification Open Directory » à la page 134. Pour indiquer qu’un compte d’utilisateur doit avoir un mot de passe Open Directory : 1 Assurez-vous que le compte réside dans un domaine de répertoire qui gère l’authentification Open Directory. Les domaines de répertoire qui prennent en charge l’authentification Open Directory sont cités plus haut dans cette rubrique. 2 Dans Gestionnaire de groupe de travail, ouvrez le compte à utiliser (si ce n’est déjà fait). Pour ouvrir un compte, cliquez sur le bouton Comptes, puis sur le bouton Utilisateurs. Cliquez sur l’icône de globe située au-dessus de la liste des utilisateurs, puis utilisez le menu local pour ouvrir le domaine de répertoire où réside le compte de l’utilisateur. Cliquez sur le cadenas, puis authentifiez-vous en tant qu’administrateur de domaine de répertoire dont le type de mot de passe est Open Directory. Sélectionnez ensuite l’utilisateur dans la liste. 3 Cliquez sur Avancé. 4 Dans le menu local « Type du mot de passe », choisissez Open Directory. 5 Lorsque vous y êtes invité, tapez et confirmez un nouveau mot de passe. Le mot de passe ne doit pas contenir plus de 512 octets (jusqu’à 512 caractères d’après la langue), bien que le protocole d’authentification réseau puisse imposer d’autres limites, comme, par exemple, 128 caractères pour NTLMv2 et NTLM, et 14 pour LAN Manager. « Composition d’un mot de passe » à la page 122 vous donne des indications pour le choix de mots de passe. 6 Dans la sous-fenêtre Avancé, cliquez sur Options pour configurer la politique de mot de passe de l’utilisateur, puis sur OK lorsque vous avez terminé de choisir vos options. Si vous sélectionnez « Désactiver l’ouverture de session : à la date spécifique du », utilisez les flèches vers le haut et le bas pour définir la date. Si vous sélectionnez une option qui nécessite une réinitialisation (un changement) du mot de passe, souvenez-vous que tous les protocoles n’acceptent pas le changement de mots de passe. Par exemple, les utilisateurs ne peuvent changer leur mot de passe lors d’une authentification au service de courrier IMAP. 126 Chapitre 6 Gestion de l’authentification d’utilisateur L’identifiant de mot de passe est un nombre unique à 128 bits attribué lors de la création du mot de passe dans la base de données du serveur de mots de passe Open Directory. Il peut s’avérer utile en cas de dépannage, car il apparaît dans l’historique du serveur de mots de passe lorsqu’un problème se produit. Pour en savoir plus, consultez la rubrique « Affichage des états et des historiques Open Directory » à la page 211. Pour afficher cet historique Open Directory, ouvrez Admin Serveur. 7 Cliquez sur Enregistrer. Changement du type de mot en Mot de passe crypté Si nécessaire, vous pouvez utiliser Gestionnaire de groupe de travail pour définir un mot de passe crypté pour le compte d’un utilisateur. Les mots de passe cryptés ne peuvent être utilisés que pour les comptes d’utilisateur se trouvant dans un domaine de répertoire partagé. Le compte d’utilisateur peut appartenir à un domaine de répertoire LDAP ou à un domaine NetInfo partagé hérité (disponible uniquement en cas de connexion à un serveur Mac OS X Server 10.4, 10.3 ou 10.2). Les comptes d’utilisateur inutilisés sur les ordinateurs qui requièrent un mot de passe crypté doivent avoir un mot de passe Open Directory ou un mot de passe shadow. Un mot de passe crypté est requis pour ouvrir une session sur un ordinateur sous Mac OS X 10.1 ou antérieur et sur les ordinateurs exécutant certaines variantes d’UNIX. Un mot de passe crypté est stocké sous la forme d’une valeur cryptée (ou hachage) dans la fiche du compte d’utilisateur dans le domaine de répertoire. Le mot de passe crypté étant facilement accessible à partir du domaine de répertoire, il est sujet à des attaques hors connexion, ce qui le rend moins sûr que les autres types de mot de passe. Pour indiquer qu’un compte d’utilisateur doit être doté d’un mot de passe crypté : 1 Dans Gestionnaire de groupe de travail, ouvrez le compte à utiliser (si ce n’est déjà fait). Pour ouvrir un compte, cliquez sur le bouton Comptes, puis sur le bouton Utilisateurs. Cliquez sur l’icône de globe située au-dessus de la liste des utilisateurs, puis utilisez le menu local pour ouvrir le domaine de répertoire où réside le compte de l’utilisateur. Cliquez sur le cadenas et authentifiez-vous en tant qu’administrateur du domaine de répertoire, puis sélectionnez l’utilisateur dans la liste. 2 Cliquez sur Avancé. 3 Dans le menu local « Type du mot de passe », choisissez « Mot de passe crypté ». 4 Lorsque vous y êtes invité, tapez et confirmez un mot de passe. La longueur maximale d’un mot de passe crypté est de huit octets (huit caractères ASCII). Si vous tapez un mot de passe plus long, seuls les huit premiers octets seront utilisés. 5 Cliquez sur Enregistrer. Chapitre 6 Gestion de l’authentification d’utilisateur 127 Choix du type de mot de passe shadow Gestionnaire de groupe de travail vous permet d’indiquer qu’un utilisateur dispose d’un mot de passe shadow stocké dans un fichier sécurisé en dehors du domaine de répertoire. Seuls les utilisateurs dont les comptes résident dans le domaine de répertoire local peuvent disposer d’un mot de passe shadow. Pour indiquer qu’un compte d’utilisateur doit être doté d’un mot de passe shadow : 1 Dans Gestionnaire de groupe de travail, ouvrez le compte à utiliser (si ce n’est déjà fait). Pour ouvrir un compte, cliquez sur le bouton Comptes, puis sur le bouton Utilisateurs. Cliquez sur l’icône de globe au-dessus de la liste des utilisateurs, puis choisissez dans le menu local le domaine de répertoire local où se trouve le compte de l’utilisateur. Cliquez sur le cadenas et authentifiez-vous en tant qu’administrateur du domaine de répertoire, puis sélectionnez l’utilisateur dans la liste. 2 Cliquez sur Avancé. 3 Dans le menu local « Type du mot de passe », choisissez « Mot de passe Shadow ». Remarque : vous ne pouvez affecter des mots de passe Shadow qu’à des comptes d’utilisateur locaux. 4 Lorsque vous y êtes invité, tapez et confirmez un mot de passe. Les mots de passe longs sont tronqués pour certaines méthodes d’authentification. Les 128 premiers caractères du mot de passe sont utilisés pour NTLMv2 et NTLM, mais seuls les 14 premiers caractères sont utilisés pour LAN Manager. La rubrique « Composition d’un mot de passe » à la page 122 fournit des directives pour le choix des mots de passe. 5 Dans la sous-fenêtre Avancé, cliquez sur Options pour configurer la politique de mot de passe de l’utilisateur, puis sur OK lorsque vous avez terminé de choisir vos options. Si vous sélectionnez « Désactiver l’ouverture de session : à la date spécifique du », utilisez les flèches vers le haut et le bas pour définir la date. Si vous utilisez une politique qui nécessite un changement de mot de passe d’utilisateur, rappelons que tous les protocoles n’acceptent pas la modification de mots de passe. Par exemple, les utilisateurs ne peuvent changer leur mot de passe lors d’une authentification au service de courrier IMAP. 6 Dans la sous-fenêtre Avancé, cliquez sur Sécurité pour activer ou désactiver des méthodes d’authentification pour l’utilisateur, puis sur OK lorsque vous avez terminé. Pour en savoir plus, consultez la rubrique « Configuration des politiques de mot de passe d’utilisateurs individuels » à la page 130. 7 Cliquez sur Enregistrer. 128 Chapitre 6 Gestion de l’authentification d’utilisateur Activation de l’authentification Kerberos par signature unique pour un utilisateur L’activation de l’authentification Kerberos par signature unique pour un compte d’utilisateur dans un annuaire LDAP de Mac OS X Server se fait en définissant le type de mot de passe du compte sur Open Directory dans la sous-fenêtre Avancé de Gestionnaire de groupe de travail. Changement de politique de mot de passe globale Admin Serveur vous permet de définir une politique de mot de passe globale pour les comptes d’utilisateur d’un domaine de répertoire Mac OS X Server. La politique de mot de passe globale affecte les comptes d’utilisateur du domaine de répertoire local du serveur. Si le serveur est un maître ou une réplique Open Directory, la politique de mot de passe globale affecte aussi les comptes d’utilisateur qui ont un mot de passe de type Open Directory dans le domaine de répertoire LDAP du serveur. Si vous modifiez la politique de mot de passe globale sur une réplique Open Directory, les réglages de la politique sont synchronisés avec le maître et toutes les autres répliques. Les comptes d’administrateur ne sont pas affectés par les politiques de mot de passe. Chaque utilisateur peut avoir une politique de mot de passe différente qui redéfinit les réglages de la politique de mot de passe globale. Pour en savoir plus, consultez la rubrique « Configuration des politiques de mot de passe d’utilisateurs individuels » à la page 130. Kerberos et le serveur de mots de passe Open Directory maintiennent des politiques de mot de passe séparées. Mac OS X Server synchronise les règles de la politique de mot de passe de Kerberos avec les règles de la politique de mot de passe du serveur de mots de passe Open Directory. Pour changer la politique de mot de passe globale des comptes d’utilisateur d’un même domaine : 1 Ouvrez Admin Serveur et connectez-vous à un maître ou à une réplique Open Directory. 2 Cliquez sur le triangle se trouvant à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez Open Directory. 4 Cliquez sur Réglages, puis sur Règlement. Chapitre 6 Gestion de l’authentification d’utilisateur 129 5 Cliquez sur Mots de passe, puis définissez les options de politique de mot de passe souhaitées pour les utilisateurs qui ne disposent pas de leur propre politique de mot de passe. Si vous sélectionnez une option qui nécessite une réinitialisation du mot de passe, souvenez-vous que certains protocoles de service n’autorisent pas la modification des mots de passe. Par exemple, les utilisateurs ne peuvent changer leur mot de passe lors d’une authentification au service de courrier IMAP. 6 Cliquez sur Enregistrer. Les répliques du maître Open Directory héritent automatiquement de sa politique de mot de passe globale. À partir de la ligne de commande Vous pouvez aussi définir des politiques de mot de passe à l’aide de la commande pwpolicy dans Terminal. Pour en savoir plus, consultez le chapitre Open Directory du document Administration de ligne de commande. Configuration des politiques de mot de passe d’utilisateurs individuels À l’aide de Gestionnaire de groupe de travail, vous pouvez définir des politiques de mot de passe pour les comptes d’utilisateur dont le type de mot de passe est Open Directory ou « Mot de passe Shadow ».La politique de mot de passe d’un utilisateur prime sur la politique de mot de passe globale définie dans la sous-fenêtre Réglages d’authentification du service Open Directory dans Admin Serveur. La politique de mot de passe pour un compte d’utilisateur mobile s’applique lorsque le compte est utilisé alors que l’ordinateur portable est déconnecté du réseau. La politique de mot de passe provenant du compte d’utilisateur réseau correspondant s’applique lorsque l’ordinateur portable est connecté au réseau. Les comptes d’administrateur ne sont pas affectés par les politiques de mot de passe. Pour définir une politique de mot de passe pour un compte d’utilisateur qui dispose d’un mot de passe Open Directory, vous devez posséder des droits d’administrateur pour l’authentification Open Directory dans le domaine de répertoire contenant le compte d’utilisateur. Cela veut dire que vous devez vous authentifier en tant qu’administrateur de domaine de répertoire dont le type de mot de passe est Open Directory. Pour en savoir plus, consultez la rubrique « Attribution de droits d’administrateur pour l’authentification Open Directory » à la page 134. 130 Chapitre 6 Gestion de l’authentification d’utilisateur Kerberos et le serveur de mots de passe Open Directory maintiennent des politiques de mot de passe séparées. Mac OS X Server synchronise les règles de la politique de mot de passe Kerberos avec les règles de la politique de mot de passe du serveur de mots de passe Open Directory. N’utilisez pas le bouton Options de la sous-fenêtre Avancé pour configurer des politiques de mot de passe pour des administrateurs de domaine de répertoire. Les politiques de mot de passe n’affectent pas les comptes d’administrateur. Les administrateurs de domaines de répertoire doivent pouvoir changer les politiques de mot de passe des comptes d’utilisateur. Pour changer la politique de mot de passe d’un compte d’utilisateur : 1 Dans Gestionnaire de groupe de travail, ouvrez le compte à utiliser (si ce n’est déjà fait). Pour ouvrir un compte, cliquez sur le bouton Comptes, puis sur le bouton Utilisateurs. Cliquez sur l’icône de globe située au-dessus de la liste des utilisateurs, puis utilisez le menu local pour ouvrir le domaine de répertoire où réside le compte de l’utilisateur. Cliquez sur le cadenas, puis authentifiez-vous en tant qu’administrateur de domaine de répertoire dont le type de mot de passe est Open Directory. Sélectionnez ensuite l’utilisateur dans la liste. 2 Cliquez sur Avancé, puis sur Options. Vous ne pouvez cliquer sur Options que si le type de mot de passe est Open Directory ou Mot de passe Shadow. 3 Modifiez les options de politique de mot de passe, puis cliquez sur OK. Si vous sélectionnez une option qui nécessite une réinitialisation (modification) du mot de passe, souvenez-vous que certains protocoles de service n’autorisent pas la modification des mots de passe. Par exemple, les utilisateurs ne peuvent changer leur mot de passe lors d’une authentification au service de courrier IMAP. 4 Cliquez sur Enregistrer. À partir de la ligne de commande Vous pouvez aussi définir des politiques de mot de passe à l’aide de la commande pwpolicy dans Terminal. Pour en savoir plus, consultez le chapitre Open Directory du document Administration de ligne de commande. Chapitre 6 Gestion de l’authentification d’utilisateur 131 Sélection de méthodes d’authentification pour des utilisateurs de mots de passe shadow À l’aide de Gestionnaire de groupe de travail, vous pouvez sélectionner les méthodes d’authentification qui seront disponibles pour un compte d’utilisateur dont le type de mot de passe est Mot de passe Shadow. Un mot de passe Shadow prend en charge les méthodes d’authentification disponibles pour la compatibilité avec certains logiciels clients. Si vous savez que l’utilisateur n’utilisera jamais un logiciel client qui requiert une méthode d’authentification particulière, vous pouvez désactiver cette méthode. Pour en savoir plus, reportez-vous à la rubrique « Désactivation des méthodes d’authentification de mots de passe shadow » à la page 62. Si vous désactivez une méthode d’authentification, son hachage sera supprimé du fichier de mots de passe Shadow de l’utilisateur à la prochaine authentification de celui-ci. Si vous activez une méthode d’authentification qui était désactivée, le hachage de la méthode activée sera ajouté au fichier de mots de passe Shadow de l’utilisateur la prochaine fois que celui-ci s’authentifiera pour utiliser un service prenant en charge les mots de passe en clair comme, par exemple, une fenêtre d’ouverture de session ou AFP. D’un autre côté, le mot de passe de l’utilisateur peut être réinitialisé pour ajouter le condensé numérique de la méthode nouvellement activée. Les utilisateurs peuvent réinitialiser leurs propres mots de passe ou un administrateur de répertoire peut le faire pour eux. Pour activer ou désactiver des méthodes d’authentification pour des comptes d’utilisateur dont le type de mot de passe est Open Directory, consultez la rubrique suivante. Pour activer ou désactiver des méthodes d’authentification pour un utilisateur de mot de passe shadow : 1 Dans Gestionnaire de groupe de travail, ouvrez le compte à utiliser (si ce n’est déjà fait). Pour ouvrir un compte, cliquez sur le bouton Comptes, puis sur le bouton Utilisateurs. Cliquez sur l’icône de globe au-dessus de la liste des utilisateurs, puis choisissez dans le menu local le domaine de répertoire local où se trouve le compte de l’utilisateur. Cliquez sur le cadenas et authentifiez-vous en tant qu’administrateur de domaine de répertoire. Sélectionnez ensuite l’utilisateur dans la liste. 2 Cliquez sur Avancé, puis sur Sécurité. Vous ne pouvez cliquer sur Sécurité que si le type de mot de passe est « Mot de passe Shadow ». 3 Sélectionnez les méthodes d’authentification que vous souhaitez activer, désélectionnez celles que vous souhaitez désactiver, puis cliquez sur OK. 4 Cliquez sur Enregistrer. 132 Chapitre 6 Gestion de l’authentification d’utilisateur À partir de la ligne de commande Vous pouvez aussi activer ou désactiver des méthodes d’authentification pour un utilisateur possédant un mot de passe Shadow à l’aide de la commande pwpolicy dans Terminal. Pour en savoir plus, consultez le chapitre Open Directory du document Administration de ligne de commande. Sélection de méthodes d’authentification pour des utilisateurs de mots de passe Open Directory À l’aide d’Admin Serveur, vous pouvez sélectionner les méthodes d’authentification qui seront disponibles pour les comptes d’utilisateur dont le type de mot de passe est Open Directory. Le mot de passe Open Directory prend en charge les méthodes d’authentification disponibles pour la compatibilité avec certains logiciels clients. Si vous savez que les utilisateurs n’utiliseront jamais un logiciel client qui requiert une méthode d’authentification particulière, vous pouvez désactiver cette méthode. Pour en savoir plus, consultez la rubrique « Désactivation des méthodes d’authentification Open Directory » à la page 60. Important : si vous désactivez une méthode d’authentification, son hachage sera supprimé de la base de données de mots de passe à la prochaine authentification de l’utilisateur. Si vous activez une méthode d’authentification qui était désactivée, chaque mot de passe Open Directory doit être réinitialisé pour ajouter le hachage de la méthode activée à la base de données de mots de passe. Les utilisateurs peuvent réinitialiser leurs propres mots de passe ou un administrateur de répertoire peut le faire pour eux. Pour activer ou désactiver des méthodes d’authentification pour des comptes d’utilisateur dont le type de mot de passe est « Mot de passe Shadow », consultez la rubrique « Configuration des politiques de mot de passe d’utilisateurs individuels » à la page 130. Pour activer ou désactiver des méthodes d’authentification pour des mots de passe Open Directory : 1 Ouvrez Admin Serveur et connectez-vous à un maître Open Directory. 2 Cliquez sur le triangle se trouvant à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez Open Directory. 4 Cliquez sur Réglages, puis sur Règlement. 5 Cliquez sur Authentification, sélectionnez les méthodes d’authentification à activer et désélectionnez celles que vous souhaitez désactiver. 6 Cliquez sur Enregistrer. Les répliques du maître Open Directory héritent des réglages de méthode d’authentification des mots de passe Open Directory figurant dans l’annuaire LDAP. Chapitre 6 Gestion de l’authentification d’utilisateur 133 À partir de la ligne de commande Vous pouvez aussi activer ou désactiver des méthodes d’authentification du serveur de mots de passe pour les mots de passe Open Directory à l’aide de la commande NeST avec les arguments -getprotocols et -setprotocols dans Terminal. Pour en savoir plus, consultez le chapitre Open Directory du document Administration de ligne de commande. Attribution de droits d’administrateur pour l’authentification Open Directory À l’aide de Gestionnaire de groupe de travail et d’un compte d’administrateur possédant les droits nécessaires pour définir des réglages de mot de passe Open Directory, vous pouvez attribuer ces droits à d’autres comptes d’utilisateur du même domaine de répertoire. Pour assigner ces droits, votre compte d’utilisateur doit avoir un mot de passe Open Directory et les autorisations nécessaires pour administrer des comptes d’utilisateur. Cette restriction renforce la protection des mots de passe stockés dans le centre de distribution de clés Kerberos et dans la base de données du serveur de mots de passe Open Directory. Pour attribuer des droits d’administrateur pour l’authentification Open Directory à un compte d’utilisateur : 1 Dans Gestionnaire de groupe de travail, ouvrez le compte, cliquez sur Avancé et assurez-vous que le type de mot de passe est bien défini sur Open Directory. Pour en savoir plus, consultez la rubrique « Choix du type de mot de passe Open Directory » à la page 125. 2 Cliquez sur Privilèges, puis choisissez Intégral dans le menu local Capacités d’administration. Pour limiter les capacités d’administration, choisissez Limité. 3 Cliquez sur Enregistrer. Pour en savoir plus sur la définition des autorisations administrateur, consultez le guide Gestion des utilisateurs. 134 Chapitre 6 Gestion de l’authentification d’utilisateur Synchronisation des mots de passe d’administrateur principaux Pour Mac OS X Server 10.3, avoir des mots de passe différents pour le compte d’administrateur local et le compte d’administrateur LDAP (identifiant d’utilisateur 501) peut prêter à confusion. C’est pourquoi il est recommandé de garder les mêmes mots de passe. Sur un serveur Open Directory mis à niveau à partir de Mac OS X Server 10.3, le compte d’administrateur principal existe, en principe, dans le domaine de répertoire local du serveur et dans son annuaire LDAP. Ce compte a été copié du domaine de répertoire local vers l’annuaire LDAP lors de la création du maître Open Directory avec Mac OS X Server 10.3. À l’origine, les deux copies de ce compte avaient toutes deux l’identifiant d’utilisateur 501, le même nom et le même mot de passe. Chaque compte est un administrateur de son domaine de répertoire et les deux sont des administrateurs de serveur. Lorsque vous vous connectez au serveur dans Gestionnaire de groupe de travail à l’aide du nom et du mot de passe du compte, vous êtes authentifié pour le domaine de répertoire local et le domaine de répertoire LDAP. Si vous changez un des deux mots de passe, vous ne serez plus authentifié pour les deux domaines de répertoire. Par exemple, si vous utilisez le mot de passe de l’administrateur local lorsque vous vous connectez au serveur dans Gestionnaire de groupe de travail, vous ne pouvez apporter des modifications qu’au domaine de répertoire local. Pour apporter des modifications à l’annuaire LDAP, vous devez cliquer sur le cadenas et vous authentifier à l’aide du mot de passe de l’administrateur LDAP. Remarque : un serveur Open Directory créé avec Mac OS X Server 10.5 possède des comptes d’administrateur différents pour son répertoire local et son annuaire LDAP. Ils sont dotés de noms et d’identifiants d’utilisateur différents, ce qui permet d’utiliser des mots de passe différents sans prêter à confusion. Activation de l’authentification par liaison LDAP pour un utilisateur Vous pouvez activer l’utilisation de l’authentification par liaison LDAP pour un compte d’utilisateur stocké dans un domaine de répertoire LDAP. Cette technique de validation de mot de passe se fie au serveur LDAP contenant le compte d’utilisateur pour authentifier le mot de passe de l’utilisateur. Important : si le nom de votre ordinateur contient un trait d’union, vous risquez de ne pas pouvoir rejoindre ou vous lier à un domaine de répertoire tel que LDAP ou Active Directory. Pour établir la liaison, utilisez un nom d’ordinateur ne contenant pas de trait d’union. Chapitre 6 Gestion de l’authentification d’utilisateur 135 Pour activer l’authentification des utilisateurs par liaison LDAP : 1 Assurez-vous que l’ordinateur Mac OS X qui doit authentifier le compte d’utilisateur dispose d’une connexion à l’annuaire LDAP dans lequel le compte d’utilisateur réside et que la politique de recherche de l’ordinateur contient la connexion à l’annuaire LDAP. Pour en savoir plus sur la configuration des connexions au serveur LDAP et de la politique de recherche, consultez la rubrique « Utilisation des réglages avancés des services LDAP » à la page 157. 2 Si vous configurez une connexion LDAP qui ne mappe pas les attributs de mot de passe et d’autorité d’authentification, l’authentification de liaison sera automatique. Pour en savoir plus, consultez la rubrique « Configuration des recherches et mappages LDAP » à la page 173. 3 Si la connexion est configurée pour autoriser les mots de passe en clair, elle doit aussi être configurée pour utiliser le protocole SSL de façon à protéger le mot de passe en clair pendant le transit. Pour en savoir plus, consultez les rubriques « Modification de la politique de sécurité pour une connexion LDAP » à la page 171 et « Modification des réglages de connexion d’un répertoire LDAP » à la page 170. Configuration de mots de passe d’utilisateurs exportés ou importés Lorsque vous exportez des comptes d’utilisateur dont le type de mot de passe est Open Directory ou Mot de passe shadow, les mots de passe ne sont pas exportés. Cela protège la base de données du serveur de mots de passe Open Directory et les fichiers de mots de passe shadow. Avant l’importation, vous pouvez ouvrir le fichier des utilisateurs exportés dans un tableur et définir leur mot de passe, qu’ils pourront modifier lors de leur prochaine ouverture de session. Pour obtenir des instructions sur l’utilisation des fichiers d’utilisateurs exportés, consultez le guide Gestion des utilisateurs. Après l’importation, vous disposez des possibilités suivantes pour définir les mots de passe des comptes d’utilisateur importés :  Vous pouvez affecter à tous les comptes d’utilisateur importés un mot de passe temporaire que chaque utilisateur pourra modifier lors de sa prochaine ouverture de session. Pour en savoir plus, consultez la rubrique « Réinitialisation des mots de passe de plusieurs utilisateurs » à la page 124.  Vous pouvez définir le mot de passe de chaque compte d’utilisateur importé dans la sous-fenêtre Élémentaire de Gestionnaire de groupe de travail. Pour en savoir plus, consultez la rubrique « Modification du mot de passe d’un utilisateur » à la page 123. 136 Chapitre 6 Gestion de l’authentification d’utilisateur Migration de mots de passe à partir de Mac OS X Server 10.1 ou antérieur Il est possible de faire migrer les comptes d’utilisateur de versions antérieures de Mac OS X Server en important les fiches des comptes ou en mettant à niveau le serveur où ils résident. Les comptes d’utilisateur créés avec Mac OS X Server 10.1 ou antérieur n’ont pas d’attribut d’autorité d’authentification mais possèdent des mots de passe cryptés. Pour conserver la compatibilité avec ces comptes d’utilisateur, Mac OS X Server considère qu’un compte d’utilisateur sans attribut d’autorité d’authentification possède un mot de passe crypté. Si vous importez des comptes d’utilisateur de Mac OS X Server 10.1 ou antérieur, ils ne possèdent pas d’attribut d’autorité d’authentification. Par conséquent, ils sont configurés initialement pour disposer de mots de passe cryptés. Si vous importez ces comptes d’utilisateur dans le domaine de répertoire local du serveur, ils sont convertis d’un mot de passe crypté en un mot de passe Shadow lorsque l’utilisateur ou l’administrateur modifie le mot de passe ou lorsque l’utilisateur s’authentifie pour utiliser un service prenant en charge une méthode d’authentification récupérable. Pour en savoir plus sur l’importation de comptes d’utilisateur, consultez le guide Gestion des utilisateurs. De même, si vous réalisez une mise à niveau à partir de Mac OS X Server 10.1 ou antérieur, les comptes d’utilisateur créés avant la mise à niveau ne possèdent pas d’attribut d’autorité d’authentification. Après leur mise à niveau, ces comptes sont supposés disposer de mots de passe cryptés. Bien qu’il soit possible de continuer à utiliser les mots de passe cryptés existants après l’importation ou la mise à niveau, vous pouvez modifier les comptes d’utilisateur pour qu’ils utilisent des mots de passe Open Directory ou des mots de passe Shadow. Vous pouvez modifier des comptes d’utilisateur individuels ou plusieurs comptes d’utilisateur à l’aide de Gestionnaire de groupe de travail. La modification du type de mot de passe d’un compte d’utilisateur réinitialise son mot de passe. Pour en savoir plus, consultez les rubriques « Choix du type de mot de passe Open Directory » à la page 125 et « Choix du type de mot de passe shadow » à la page 128. Certains comptes d’utilisateur créés avec Mac OS X Server 10.1 ou antérieur peuvent utiliser Gestionnaire d’authentification. Il s’agit d’une technologie héritée pour l’authentification des utilisateurs de service de fichiers Windows et Apple dont les ordinateurs Mac OS 8 n’ont pas été mis à niveau avec le logiciel client AFP version 3.8.3 ou ultérieure. Chapitre 6 Gestion de l’authentification d’utilisateur 137 Lors de la migration d’utilisateurs Gestionnaire d’authentification, vous disposez des possibilités suivantes :  Si vous mettez d’abord à niveau le serveur Mac OS X Server de la version 10.1 à la version 10.2, puis à la version 10.5, les utilisateurs existants peuvent continuer à utiliser leur mot de passe.  Vous pouvez changer tout ou partie des comptes d’utilisateur mis à niveau pour qu’ils utilisent des mots de passe Open Directory ou des mots de passe shadow, plus sûrs que les mots de passe cryptés. Pour en savoir plus, consultez la section Administration d’Open Directory.  Si le serveur mis à niveau dispose d’un domaine NetInfo partagé et que vous le migrez vers un annuaire LDAP, tous les comptes d’utilisateur sont convertis en mots de passe Open Directory.  Chaque compte d’utilisateur se trouvant dans le domaine de répertoire local du serveur est converti d’un mot de passe crypté en un mot de passe Shadow lorsque l’utilisateur ou l’administrateur modifie le mot de passe ou lorsque l’utilisateur s’authentifie pour utiliser un service prenant en charge une méthode d’authentification récupérable.  Si vous importez des comptes d’utilisateur qui utilisent Gestionnaire d’authentification dans l’annuaire LDAP, ils sont convertis pour utiliser des mots de passe Open Directory pendant l’importation. 138 Chapitre 6 Gestion de l’authentification d’utilisateur 7 Gestion des clients de répertoire 7 Exécutez l’Utilitaire de répertoire pour configurer et gérer le mode d’accès d’un ordinateur doté de Mac OS X ou Mac OS X Server aux services de répertoire. Après avoir configuré votre serveur de répertoire, vous pouvez y connecter des ordinateurs clients à l’aide de l’Utilitaire de répertoire. Vous pouvez utiliser l’Utilitaire de répertoire pour vous connecter à des ordinateurs distants et modifier leurs réglages, ce qui simplifie la gestion des ordinateurs. Connexion de clients aux serveurs de répertoire Les rubriques suivantes expliquent comment ajouter, supprimer, modifier et contrôler des serveurs de répertoire dans la liste Serveurs de répertoire de l’Utilitaire de répertoire.  « À propos des connexions aux serveurs de répertoire » à la page 139  « Configuration automatique des clients » à la page 140  « Ajout d’une connexion à un serveur Active Directory » à la page 141  « Ajout d’une connexion à un serveur Open Directory » à la page 142  « Suppression d’une connexion à un serveur de répertoire » à la page 142  « Modification d’une connexion à un serveur de répertoire » à la page 143  « Contrôle des connexions aux serveurs de répertoire » à la page 143 À propos des connexions aux serveurs de répertoire Vous pouvez utiliser l’Utilitaire de répertoire pour connecter des ordinateurs aux serveurs de répertoire. La sous-fenêtre Serveurs de répertoire de l’Utilitaire de répertoire répertorie les serveurs de répertoire auxquels votre ordinateur est connecté. Votre ordinateur Mac OS X accède aux serveurs de la liste pour récupérer les données d’utilisateur et autres données administratives stockées dans le domaine de répertoire des serveurs de répertoire. 139 Lorsque vous ajoutez ou supprimez un serveur dans la liste Serveurs de répertoire, les entrées associées à ce serveur de répertoire sont ajoutées ou supprimées dans les listes Services, Authentification et Contacts. Toutefois, si vous supprimez les entrées associées au serveur des listes Services, Authentification et Contacts, le serveur de répertoire n’est pas supprimé de la liste Serveurs de répertoire. Les ordinateurs Mac OS X 10.5 peuvent se connecter à un serveur de répertoire Open Directory, Active Directory ou Mac OS X Server. Si vous ne savez pas à quel serveur vous connecter, demandez à votre administrateur réseau. Important : si le nom de votre ordinateur contient un trait d’union, vous risquez de ne pas pouvoir rejoindre ou vous lier à un domaine de répertoire tel que LDAP ou Active Directory. Pour établir la liaison, utilisez un nom d’ordinateur ne contenant pas de trait d’union. Configuration automatique des clients Lorsque vous vous connectez à un domaine Open Directory jouant le rôle de serveur de configuration standard ou de groupe de travail Mac OS X, l’Utilitaire de répertoire vous aide à configurer votre ordinateur. Pour vous connecter à un serveur de configuration standard ou de groupe de travail : 1 Ouvrez l’Utilitaire de répertoire (dans /Applications/Utilitaires/). 2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus pour la déverrouiller et tapez le nom et le mot de passe d’un administrateur. 3 Cliquez sur Serveurs de répertoire, puis sur le bouton Ajouter (+). 4 Dans le menu local « Ajouter un nouveau répertoire de type », choisissez Open Directory. 5 Dans le champ « Nom du serveur ou adresse IP », saisissez le nom ou l’adresse IP du serveur. 6 (Sous réserve) Avant de cocher la case « Chiffrer via SSL », demandez à votre administrateur Open Directory si le protocole SSL est requis. 7 Dans la sous-fenêtre Introduction, la liste des services offerts par le serveur auquel vous vous connectez s’affiche. Cliquez sur Démarrer la configuration. 8 Saisissez les informations d’authentification du serveur auquel vous vous connectez. Dans les champs Nom et Mot de passe, saisissez le nom et le mot de passe de l’administrateur du serveur auquel vous vous connectez. Saisissez le mot de passe du compte d’utilisateur qui apparaît dans « Saisissez le mot de passe du compte nom d’utilisateur sur cet ordinateur ». 9 Cliquez sur Continuer. 140 Chapitre 7 Gestion des clients de répertoire 10 Sous Options de configuration, indiquez si vous souhaitez laisser l’Utilitaire de répertoire configurer vos applications. Sélectionnez Oui si vous souhaitez que le serveur configure votre application pour qu’elle utilise les services qu’il offre. Sélectionnez Non pour contourner cette configuration. 11 Cliquez sur Continuer. 12 Cliquez sur Terminer la configuration. L’Utilitaire de répertoire configure votre ordinateur. 13 Cliquez sur Fermer la session pour vous déconnecter de l’ordinateur. Pour utiliser les nouveaux services, ouvrez une nouvelle session. Cliquez sur « Ne pas fermer la session » si vous souhaitez rester connecté au serveur. Ajout d’une connexion à un serveur Active Directory Pour vous connecter à un serveur Active Directory, vous devez connaître son nom ou son adresse IP, ainsi que le nom d’utilisateur et le mot de passe de l’administrateur Active Directory. Pour ajouter un serveur Active Directory : 1 Ouvrez l’Utilitaire de répertoire (dans /Applications/Utilitaires/). 2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus pour la déverrouiller et tapez le nom et le mot de passe d’un administrateur. 3 Cliquez sur le bouton Ajouter (+). 4 Dans le menu local « Ajouter un nouveau répertoire de type », choisissez Active Directory, puis saisissez les informations suivantes :  Domaine Active Directory : nom DNS ou adresse IP du serveur Active Directory.  Identifiant de l’ordinateur : vous pouvez indiquer l’identifiant que vous souhaitez qu’Active Directory utilise pour votre serveur (facultatif). Il s’agit du nom NetBIOS du serveur. Ce nom ne doit pas comporter plus de 15 caractères, sans caractères spéciaux ni ponctuation. Pour des raisons pratiques, vous pouvez utiliser le nom d’hôte DNS abrégé du serveur. Par exemple, si votre serveur DNS possède une entrée « serveur.exemple.com » pour votre serveur, attribuez le nom « serveur » à votre serveur.  Nom d’utilisateur et mot de passe de l’administrateur AD : saisissez le nom d’utilisateur et le mot de passe de l’administrateur Active Directory. 5 Cliquez sur OK. Chapitre 7 Gestion des clients de répertoire 141 Ajout d’une connexion à un serveur Open Directory Pour ajouter un serveur Open Directory, vous devez connaître son nom ou son adresse IP et savoir s’il utilise le protocole SSL (Secure Socket Layer). Pour ajouter un serveur Open Directory : 1 Ouvrez l’Utilitaire de répertoire (dans /Applications/Utilitaires/). 2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus pour la déverrouiller et tapez le nom et le mot de passe d’un administrateur. 3 Cliquez sur le bouton Ajouter (+). 4 Dans le menu local « Ajouter un nouveau répertoire de type », choisissez Open Directory. 5 Dans le champ « Nom du serveur ou adresse IP », saisissez le nom ou l’adresse IP du serveur. 6 (Sous réserve) Avant de cocher la case « Chiffrer via SSL », demandez à votre administrateur Open Directory si le protocole SSL est requis. Important : si vous modifiez vos adresse IP et nom d’ordinateur à l’aide de l’outil changeip alors que vous êtes connecté à un serveur de répertoire, vous devez vous déconnecter puis vous reconnecter à ce serveur pour que le répertoire prenne en compte le nouveau nom et la nouvelle adresse IP de l’ordinateur. Si vous ne vous déconnecter puis reconnecter pas au serveur de répertoire, le répertoire ne sera pas mis à jour et continuera d’utiliser l’ancien nom et l’ancienne adresse IP de l’ordinateur. Suppression d’une connexion à un serveur de répertoire Avant de supprimer un serveur de répertoire de l’Utilitaire de répertoire, assurez-vous que vous n’utilisez pas ses services pour d’autres applications. Par exemple, si Mail est configuré pour utiliser le serveur de répertoire pour la recherche de personnes et que vous supprimez ce serveur de répertoire, vous ne pourrez plus rechercher les personnes figurant sur ce dernier. Pour supprimer un serveur de répertoire : 1 Ouvrez l’Utilitaire de répertoire (dans /Applications/Utilitaires/). 2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus pour la déverrouiller et tapez le nom et le mot de passe d’un administrateur. 3 Dans la liste Serveurs de répertoire, sélectionnez le serveur de répertoire à supprimer. 4 Cliquez sur le bouton Supprimer (–). 5 Si vous êtes sûr d’avoir sélectionné le bon serveur de répertoire, cliquez sur « Arrêter l’utilisation du serveur ». 142 Chapitre 7 Gestion des clients de répertoire Modification d’une connexion à un serveur de répertoire Vous pouvez utiliser l’Utilitaire de répertoire pour modifier les serveurs de répertoire auxquels vous êtes connecté. Pour modifier une connexion à un serveur de répertoire : 1 Ouvrez l’Utilitaire de répertoire (dans /Applications/Utilitaires/). 2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus pour la déverrouiller et tapez le nom et le mot de passe d’un administrateur. 3 Dans la liste Serveurs de répertoire, sélectionnez le serveur de répertoire à modifier. 4 Cliquez sur le bouton Modifier (/). 5 Modifiez les réglages du serveur de répertoire. 6 Cliquez sur OK. Contrôle des connexions aux serveurs de répertoire Vous pouvez utiliser la liste Serveurs de répertoire de l’Utilitaire de répertoire pour contrôler l’état des serveurs de répertoire auxquels votre ordinateur est connecté. Ces informations peuvent vous aider à déterminer pourquoi vous ne parvenez pas à vous connecter à un serveur de répertoire donné. Pour contrôler l’état d’un serveur de répertoire : 1 Ouvrez l’Utilitaire de répertoire (dans /Applications/Utilitaires/). 2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus pour la déverrouiller et tapez le nom et le mot de passe d’un administrateur. 3 Vérifiez la couleur du point d’état à gauche du serveur de répertoire :  Vert : le serveur de répertoire répond à l’Utilitaire de répertoire.  Jaune : l’Utilitaire de répertoire attend la réponse du serveur de répertoire.  Rouge : le serveur de répertoire ne répond pas à l’Utilitaire de répertoire. Gestion du compte d’utilisateur root Vous pouvez utiliser l’Utilitaire de répertoire pour gérer le compte d’utilisateur root en activant ou désactivant l’utilisateur root. Si vous avez activé le compte d’utilisateur root, vous pouvez également utiliser l’Utilitaire de répertoire pour modifier son mot de passe. Chapitre 7 Gestion des clients de répertoire 143 Activation du compte d’utilisateur root Vous pouvez utiliser l’Utilitaire de répertoire pour activer le compte d’utilisateur root. Si vous activez le compte d’utilisateur root, utilisez un mot de passe correctement chiffré comportant des caractères alphanumériques et spéciaux pour éviter qu’il ne soit découvert. AVERTISSEMENT : le compte root est un compte d’administrateur illimité permettant de modifier les fichiers système critiques. Même si vous avez ouvert une session en tant qu’administrateur, vous devez utiliser le compte root, ou l’outil sudo, pour réaliser des tâches système critiques. N’utilisez jamais le compte root pour ouvrir une session sur un ordinateur (que ce soit à distance ou en local). Utilisez plutôt l’outil sudo pour réaliser des tâches root. Vous pouvez limiter l’accès à l’outil sudo en ajoutant des utilisateurs au fichier /etc/sudoers/. Pour en savoir plus sur le compte root, consultez le guide Gestion des utilisateurs. Pour activer le compte d’utilisateur root : 1 Ouvrez l’Utilitaire de répertoire (dans /Applications/Utilitaires/). 2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus pour la déverrouiller et tapez le nom et le mot de passe d’un administrateur. 3 Choisissez Édition > Activer l’utilisateur root. Modification du mot de passe du compte d’utilisateur root Vous pouvez utiliser l’Utilitaire de répertoire pour modifier le mot de passe du compte root. Lorsque vous modifiez le mot de passe root, utilisez un mot de passe correctement chiffré comportant des caractères alphanumériques et spéciaux pour éviter qu’il ne soit découvert. AVERTISSEMENT : le compte root est un compte d’administrateur illimité permettant de modifier les fichiers système critiques. Même si vous avez ouvert une session en tant qu’administrateur, vous devez utiliser le compte root, ou l’outil sudo, pour réaliser des tâches système critiques. N’utilisez jamais le compte root pour ouvrir une session sur un ordinateur (que ce soit à distance ou en local). Utilisez plutôt l’outil sudo pour réaliser des tâches root. Vous pouvez limiter l’accès à l’outil sudo en ajoutant des utilisateurs au fichier /etc/sudoers/. Pour en savoir plus sur le compte root, consultez le guide Gestion des utilisateurs. 144 Chapitre 7 Gestion des clients de répertoire Pour modifier le mot de passe du compte d’utilisateur root : 1 Ouvrez l’Utilitaire de répertoire (dans /Applications/Utilitaires/). 2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus pour la déverrouiller et tapez le nom et le mot de passe d’un administrateur. 3 Choisissez Édition > Activer le mot de passe root. 4 Lorsque vous y êtes invité, saisissez le nouveau mot de passe root dans les champs Mot de passe et Confirmation. 5 Cliquez sur OK. Chapitre 7 Gestion des clients de répertoire 145 8 Réglages avancés des clients de répertoire 8 Utilisez l’Utilitaire de répertoire pour configurer et gérer le mode d’accès d’un ordinateur doté de Mac OS X ou Mac OS X Server aux services de répertoire. Après avoir configuré votre serveur de répertoire, vous pouvez personnaliser les réglages avancés de l’Utilitaire de répertoire pour qu’il fonctionne avec votre ordinateur et vos applications logicielles. Pour les descriptions et les instructions sur les tâches de configuration et de gestion, reportez-vous à :  « Configuration de l’Utilitaire de répertoire sur un serveur distant » à la page 148  « Configuration de fiches de montage pour le domaine de répertoire local d’un ordinateur » à la page 148  « Utilisation des réglages avancés des règles de recherche » à la page 151  « Utilisation des réglages avancés des services de répertoire » à la page 155  « Utilisation des réglages avancés des services LDAP » à la page 157  « Utilisation des réglages avancés des services Active Directory » à la page 185  « Définition des réglages NIS » à la page 202  « Définition des réglages de fichier de configuration BSD » à la page 203 À propos des réglages avancés des services de répertoire Vous pouvez utiliser les fonctionnalités avancées de l’Utilitaire de répertoire pour configurer les fiches de montage NFS, les services et les règles de recherche. Vous pouvez également utiliser l’Utilitaire de répertoire pour configurer un ordinateur distant. L’Utilitaire de répertoire offre les fonctionnalités avancées suivantes :  Se connecter permet de configurer à distance un ordinateur client ou un serveur.  Points de montages permet de configurer les points de montages NFS montés lors du redémarrage de l’ordinateur. 147  Services permet de configurer les serveurs de répertoire auxquels peuvent accéder les utilisateurs.  Règles de recherche permet de configurer les emplacements dans lesquels l’ordinateur recherche les données d’authentification et de contact d’utilisateur. Configuration de l’Utilitaire de répertoire sur un serveur distant Vous pouvez utiliser l’application Utilitaire de répertoire sur votre ordinateur pour configurer et gérer le mode d’accès aux services de répertoire de Mac OS X Server sur un serveur distant. Pour configurer l’accès à un répertoire sur un serveur distant : 1 Ouvrez l’Utilitaire de répertoire sur votre ordinateur, puis choisissez Se connecter dans le menu Fichier. 2 Saisissez les informations de connexion et d’authentification suivantes pour le serveur à configurer. Adresse : saisissez le nom DNS ou l’adresse IP du serveur à configurer. Nom d’utilisateur : saisissez le nom d’utilisateur d’un administrateur du serveur. Mot de passe : saisissez le mot de passe correspondant au nom d’utilisateur que vous avez saisi. 3 Cliquez sur Se connecter. 4 Cliquez sur les onglets Serveurs d’annuaire, Points de montages, Services et Règles de recherche pour modifier les réglages selon vos besoins. Toutes les modifications apportées affectent le serveur distant auquel vous vous êtes connecté au cours des étapes précédentes. 5 Dans le menu Fichier de votre ordinateur, choisissez Se déconnecter. Configuration de fiches de montage pour le domaine de répertoire local d’un ordinateur Vous pouvez utiliser l’Utilitaire de répertoire pour configurer des points de montages NFS pour votre ordinateur. Les points de montages NFS sont des points de partage hébergés par un serveur NFS. Les points de partage NFS permettent de partager des informations avec un groupe d’utilisateurs sur un réseau ou peuvent être utilisés comme dossier de départ réseau d’un utilisateur. Si vous utilisez l’Utilitaire de répertoire pour configurer des points de montages NFS sur votre ordinateur, ces points de montages seront montés au démarrage de l’ordinateur. Les points de montages NFS sont répertoriés dans la sous-fenêtre Points de montages de l’Utilitaire de répertoire. Cette sous-fenêtre indique l’URL du serveur NFS ainsi que l’emplacement des points de montages NFS sur l’ordinateur. 148 Chapitre 8 Réglages avancés des clients de répertoire Ajout d’une fiche de montage au domaine de répertoire local Pour ajouter un serveur NFS, vous devez connaître son URL et avoir accès au point de partage NFS. Pour ajouter une fiche de montage : 1 Ouvrez l’Utilitaire de répertoire (dans /Applications/Utilitaires/). 2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus pour la déverrouiller et tapez le nom et le mot de passe d’un administrateur. 3 Cliquez sur « Afficher les réglages avancés » (s’ils ne sont pas déjà visibles). 4 Cliquez sur Points de montages, puis sur le bouton Ajouter (+). 5 Définissez les réglages du point de montage NFS en procédant comme suit : Dans le champ « URL du NFS distant », saisissez l’URL du serveur NFS. Dans le champ « Emplacement de montage », saisissez le point de montage local du point de montage NFS. Pour ajouter des paramètres de montage, cliquez sur le triangle se trouvant à gauche de « Paramètres de montage avancés » et saisissez vos paramètres. Pour monter un volume NFS en lecture seule, cochez la case « Monter en lecture seule ». Si vous souhaitez que le point de montage NFS ignore les privilèges d’identifiant utilisateur, cochez la case « Ignorer privilèges définition d’id. utilisateur ». 6 Pour vérifier que le serveur NFS répond, cliquez sur Vérifier ; sinon, cliquez sur Ne pas vérifier. Si l’Utilitaire de répertoire reçoit une réponse du serveur NFS, une invite indiquant que le serveur a bien répondu s’affiche. Si l’Utilitaire de répertoire ne reçoit pas de réponse du serveur NFS, vous pouvez créer le point de montage en cliquant sur Créer. 7 Cliquez sur Appliquer. Les points de montages NFS s’affichent dans la sous-fenêtre Points de montages de l’Utilitaire de répertoire. Chapitre 8 Réglages avancés des clients de répertoire 149 Suppression d’une fiche de montage du domaine de répertoire local Lorsque vous supprimez un point de montage NFS de l’Utilitaire de répertoire, veillez à ne pas supprimer la fiche de montage de votre dossier de départ NFS. Vous ne pourriez alors plus accéder à vos données. Pour supprimer une fiche de montage : 1 Ouvrez l’Utilitaire de répertoire (dans /Applications/Utilitaires/). 2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus pour la déverrouiller et tapez le nom et le mot de passe d’un administrateur. 3 Cliquez sur « Afficher les réglages avancés » (s’ils ne sont pas déjà visibles). 4 Cliquez sur Points de montages. 5 Dans la liste Points de montages, sélectionnez le point de montage NFS à supprimer. 6 Cliquez sur le bouton Supprimer (–). 7 Si vous êtes sûr d’avoir sélectionné le bon point de montage NFS, cliquez sur Supprimer. Modification d’une fiche de montage dans le domaine de répertoire local Vous pouvez utiliser l’Utilitaire de répertoire pour modifier les réglages d’une fiche de montage NFS existante. Pour modifier une fiche de montage : 1 Ouvrez l’Utilitaire de répertoire (dans /Applications/Utilitaires/). 2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus pour la déverrouiller et tapez le nom et le mot de passe d’un administrateur. 3 Cliquez sur « Afficher les réglages avancés » (s’ils ne sont pas déjà visibles). 4 Cliquez sur Points de montages. 5 Dans la liste Points de montages, sélectionnez le point de montage NFS à modifier. 6 Cliquez sur le bouton Modifier (/). 7 Modifiez les réglages du point de montage NFS. 150 Chapitre 8 Réglages avancés des clients de répertoire Utilisation des réglages avancés des règles de recherche L’Utilitaire de répertoire définit les règles de recherche suivantes :  Authentification : Mac OS X utilise la politique de recherche d’authentification pour localiser et récupérer, à partir des domaines de répertoire, les informations d’authentification d’utilisateur et d’autres données administratives.  Contacts : Mac OS X utilise la politique de recherche de contacts pour localiser et récupérer, à partir des domaines de répertoire, les noms, adresses et autres informations de contact. Carnet d’adresses de Mac OS X utilise ces informations de contact. D’autres applications peuvent également être configurées pour les utiliser. Chaque règle de recherche comprend une liste de domaines de répertoire. L’ordre des domaines de répertoire dans la liste définit la politique de recherche. En commençant en haut de la liste, Mac OS X examine tour à tour chaque domaine de répertoire listé jusqu’à ce qu’il trouve les informations nécessaires ou qu’il atteigne la fin de la liste sans trouver ces informations. Les règles de recherche de données d’authentification et d’informations de contact peuvent avoir l’un des réglages suivants :  Automatique : commence par le domaine de répertoire local et peut inclure un annuaire LDAP fourni par DHCP et les domaines de répertoire auxquels l’ordinateur est connecté. Il s’agit du réglage par défaut pour Mac OS X 10.2 ou ultérieur ; il offre une souplesse maximale pour les ordinateurs nomades.  Répertoire local : n’inclut que le domaine de répertoire local.  Chemin personnalisé : commence par le domaine de répertoire local et inclut votre sélection de répertoires LDAP, un domaine Active Directory, les domaines de répertoire partagés, les fichiers de configuration BSD et un domaine NIS. Important : si vous configurez Mac OS X pour qu’il utilise une règle de recherche d’authentification automatique et un serveur LDAP fourni par DHCP, vous augmentez le risque de voir un utilisateur malveillant prendre le contrôle de votre ordinateur. Le risque est encore plus élevé si votre ordinateur est configuré pour se connecter à un réseau sans fil. Pour en savoir plus, consultez la rubrique « Protection des ordinateurs contre un serveur DHCP malveillant » à la page 154. Pour trouver les descriptions des tâches et des instructions, reportez-vous à :  « Définition de politiques de recherche automatiques » à la page 152  « Définition de politiques de recherche personnalisées » à la page 153  « Définition de politiques de recherche de répertoire local » à la page 154  « Attente de l’entrée en vigueur d’une modification de la politique de recherche » à la page 154 Chapitre 8 Réglages avancés des clients de répertoire 151 Définition de politiques de recherche automatiques À l’aide d’Utilitaire de répertoire, vous pouvez faire en sorte que les règles de recherche d’authentification et de contacts d’un ordinateur Mac OS X soient définies automatiquement. Une politique de recherche définie automatiquement inclut le domaine de répertoire local. Elle peut aussi inclure un serveur de répertoire LDAP spécifié par DHCP ainsi que les domaines de répertoire partagés auxquels l’ordinateur est connecté. C’est la configuration par défaut pour les règles de recherche d’authentification et de contacts. Remarque : certaines applications, comme Mail et Carnet d’adresses de Mac OS X, sont capables d’accéder directement aux répertoires LDAP, sans utiliser Open Directory. Pour configurer l’une de ces applications pour qu’elle accède directement aux annuaires LDAP, ouvrez l’application et définissez la préférence appropriée. Important : si vous configurez Mac OS X pour qu’il utilise une règle de recherche d’authentification automatique et un serveur LDAP fourni par DHCP ou un domaine de répertoire partagé fourni par DHCP, vous augmentez le risque de voir un utilisateur malveillant prendre le contrôle de votre ordinateur. Le risque est encore plus élevé si votre ordinateur est configuré pour se connecter à un réseau sans fil. Pour en savoir plus, consultez la rubrique « Protection des ordinateurs contre un serveur DHCP malveillant » à la page 154. Pour obtenir qu’une politique de recherche soit automatiquement définie : 1 Ouvrez l’Utilitaire de répertoire, cliquez sur Règles de recherche, puis choisissez une règle de recherche :  Authentification : affiche la règle de recherche utilisée pour l’authentification et la plupart des autres données administratives.  Contacts : affiche la règle de recherche utilisée pour les informations de contact dans les applications telles que Carnet d’adresses. 2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus pour la déverrouiller et tapez le nom et le mot de passe d’un administrateur. 3 Sélectionnez Automatique dans le menu local Rechercher, puis cliquez sur Appliquer. 4 Dans Préférences Système, assurez-vous que les préférences de réseau de l’ordinateur sont configurées pour utiliser DHCP ou DHCP via une adresse IP manuelle. 5 Pour inclure un serveur LDAP dans la règle de recherche automatique, assurez-vous que l’utilisation d’un annuaire LDAP fourni par DHCP est activée dans l’Utilitaire de répertoire et que le service DHCP est configuré pour fournir l’adresse du serveur LDAP. Pour en savoir plus, consultez la rubrique « Activation ou désactivation d’un répertoire LDAP fourni via DHCP » à la page 158. Pour en savoir plus sur la configuration du service DHCP de Mac OS X Server, consultez le guide Administration des services réseau. 152 Chapitre 8 Réglages avancés des clients de répertoire Définition de politiques de recherche personnalisées À l’aide d’Utilitaire de répertoire, vous pouvez faire en sorte que les règles de recherche d’authentification et de contacts d’un ordinateur Mac OS X utilisent une liste personnalisée de domaines de répertoire. Une liste personnalisée commence par le domaine de répertoire local de l’ordinateur et peut inclure des domaines de répertoire Open Directory (et d’autres domaines de répertoire LDAP), un domaine Active Directory, des domaines de répertoire partagés, des fichiers de configuration BSD et un domaine NIS. Si un domaine de répertoire spécifié dans la règle de recherche personnalisée d’un ordinateur n’est pas disponible, il y aura un délai lors du démarrage de l’ordinateur. Pour spécifier une liste personnalisée de domaines de répertoire pour une politique de recherche : 1 Dans l’Utilitaire de répertoire, cliquez sur Règles de recherche, puis choisissez une règle de recherche.  Authentification : affiche la règle de recherche utilisée pour l’authentification et la plupart des autres données administratives.  Contacts : affiche la règle de recherche utilisée pour les informations de contact dans les applications telles que Carnet d’adresses. 2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus pour la déverrouiller et tapez le nom et le mot de passe d’un administrateur. 3 Choisissez Chemin personnalisé dans le menu local Rechercher. 4 Ajoutez autant de domaines de répertoire que nécessaire en cliquant sur Ajouter, en sélectionnant un ou plusieurs répertoires, puis en cliquant de nouveau sur Ajouter. 5 Modifiez l’ordre des domaines de répertoire listés selon vos besoins en les faisant glisser vers le haut ou le bas de la liste. 6 Supprimez les domaines de répertoire listés que vous ne souhaitez pas inclure dans la règle de recherche en les sélectionnant puis en cliquant sur le bouton Supprimer (–). 7 Confirmez la suppression en cliquant sur OK, puis cliquez sur Appliquer. Pour ajouter un répertoire qui ne figure pas parmi les répertoires disponibles, assurezvous que l’ordinateur a été configuré pour accéder à ce répertoire. Pour en savoir plus, consultez :  « Utilisation des réglages avancés des services de répertoire » à la page 155  « Utilisation des réglages avancés des services LDAP » à la page 157  « Utilisation des réglages avancés des services Active Directory » à la page 185  « Définition des réglages NIS » à la page 202  « Définition des réglages de fichier de configuration BSD » à la page 203 Chapitre 8 Réglages avancés des clients de répertoire 153 Définition de politiques de recherche de répertoire local À l’aide de l’Utilitaire de répertoire, vous pouvez faire en sorte que les règles de recherche d’authentification et de contacts d’un ordinateur Mac OS X utilisent uniquement le répertoire local de l’ordinateur. Une politique de recherche qui n’utilise que le répertoire local limite l’accès d’un ordinateur aux informations d’authentification et autres données administratives. Si vous restreignez la politique de recherche d’authentification d’un ordinateur à l’emploi du répertoire local, seuls les utilisateurs possédant un compte local pourront ouvrir une session. Pour qu’une règle de recherche n’utilise que le domaine de répertoire local (répertoire local) : 1 Ouvrez l’Utilitaire de répertoire, cliquez sur Règles de recherche, puis choisissez une règle de recherche :  Authentification : affiche la règle de recherche utilisée pour l’authentification et la plupart des autres données administratives.  Contacts : affiche la règle de recherche utilisée pour les informations de contact dans les applications telles que Carnet d’adresses. 2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus pour la déverrouiller et tapez le nom et le mot de passe d’un administrateur. 3 Choisissez Répertoire local dans le menu local Rechercher, puis cliquez sur Appliquer. Attente de l’entrée en vigueur d’une modification de la politique de recherche Après avoir modifié la règle de recherche dans la sous-fenêtre Authentification ou Contacts de l’Utilitaire de répertoire, attendez 10 à 15 secondes pour que les modifications entrent en vigueur. Toute tentative d’ouverture de session à l’aide d’un compte provenant d’un domaine de répertoire qui utilise la règle de recherche d’authentification échouera tant que les modifications apportées ne seront pas entrées en vigueur. Protection des ordinateurs contre un serveur DHCP malveillant Apple recommande de ne pas utiliser de règle de recherche d’authentification automatique avec un serveur LDAP fourni par DHCP ou un domaine de répertoire partagé fourni par DHCP dans un environnement dans lequel la sécurité est un souci majeur. Un bidouilleur malveillant ayant accès à votre réseau peut utiliser un serveur DHCP leurre et un annuaire LDAP (ou un domaine de répertoire partagé) leurre pour contrôler votre ordinateur à l’aide du compte d’utilisateur root. 154 Chapitre 8 Réglages avancés des clients de répertoire Pour qu’un bidouilleur puisse accéder à votre réseau, son serveur DHCP leurre doit faire partie de votre réseau local ou de votre sous-réseau. Par conséquent, si vos ordinateurs sont les seuls sur votre réseau local et s’ils ont accès à Internet par le service NAT de Mac OS X Server ou via un routeur NAT, ce type de faille de sécurité est impossible. Toutefois, un réseau local sans fil réduit le niveau de sécurité car un bidouilleur peut accéder plus facilement à un réseau local sans fil qu’à un réseau local câblé. Vous pouvez protéger votre Mac contre les attaques malveillantes à partir d’un serveur DHCP leurre en désactivant l’utilisation d’un annuaire LDAP fourni par DHCP et en désactivant la liaison Broadcast et DHCP pour le domaine de répertoire partagé (ou en désactivant le domaine de répertoire partagé). Pour en savoir plus, consultez la rubrique « Activation ou désactivation d’un répertoire LDAP fourni via DHCP » à la page 158. Si vous disposez d’un ordinateur nomade qui se connecte à un serveur LDAP lorsqu’il est connecté à un réseau et que vous changez sa règle de recherche d’automatique à personnalisée (dans la sous-fenêtre Authentification de l’onglet Règles de recherche de l’Utilitaire de répertoire), un délai se produira au démarrage lorsque l’ordinateur ne sera pas connecté au réseau. Ce délai se produit car l’ordinateur ne peut pas se connecter à un domaine de répertoire spécifique figurant dans sa règle de recherche personnalisée. Vous ne remarquerez aucun délai lorsque vous réveillerez un ordinateur qui a été déconnecté du réseau pendant la suspension d’activité. Utilisation des réglages avancés des services de répertoire L’Utilitaire de répertoire répertorie les différentes catégories de services de répertoire auxquelles Mac OS X peut accéder. La liste inclut les services de répertoires qui donnent à Mac OS X accès aux informations d’utilisateur et autres données administratives stockées dans les domaines de répertoire. Vous pouvez activer ou désactiver l’accès à chaque service de répertoire. Si vous désactivez un service dans l’Utilitaire de répertoire, Mac OS X ne peut plus accéder à ce service de répertoire. Pour trouver les descriptions des tâches et des instructions, reportez-vous à :  « Activation ou désactivation du service Active Directory » à la page 156  « Activation ou désactivation des services de répertoires LDAP » à la page 156 Chapitre 8 Réglages avancés des clients de répertoire 155 Activation ou désactivation du service Active Directory L’Utilitaire de répertoire permet d’activer ou de désactiver l’utilisation des services Active Directory fournis par un serveur Windows. Active Directory est le service de répertoire des serveurs Windows 2000 et ultérieurs. Si vous désactivez les services Active Directory et que des domaines Active Directory sont inclus dans une règle de recherche personnalisée, ils sont affichés en rouge dans la sous-fenêtre Authentification ou Contacts de l’onglet Règles de recherche de l’Utilitaire de répertoire. Pour activer ou désactiver l’accès à Active Directory : 1 Ouvrez l’Utilitaire de répertoire et cliquez sur Services. 2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus pour la déverrouiller et tapez le nom et le mot de passe d’un administrateur. 3 Cochez ou décochez la case en regard d’Active Directory, puis cliquez sur Appliquer. Pour obtenir des instructions sur la configuration, consultez la rubrique « Utilisation des réglages avancés des services Active Directory » à la page 185. Activation ou désactivation des services de répertoires LDAP Vous pouvez utiliser l’Utilitaire de répertoire pour activer ou désactiver l’accès aux services de répertoire utilisant les versions 2 et 3 du protocole LDAP. Un module unique de l’Utilitaire de répertoire nommé LDAPv3 permet d’accéder aux versions 2 et 3 du protocole LDAP. Les services de répertoire fournis par Mac OS X Server utilisent LDAPv3, comme de nombreux autres serveurs. LDAPv3 est une norme ouverte commune dans les réseaux mixtes de systèmes Macintosh, UNIX et Windows. Certains serveurs utilisent la version antérieure, LDAPv2, pour fournir des services de répertoire. Si vous désactivez les services de répertoire LDAP et que des annuaires LDAP sont inclus dans une règle de recherche personnalisée, ils sont affichés en rouge dans la sous-fenêtre Authentification ou Contacts de l’onglet Règles de recherche de l’Utilitaire de répertoire. Pour activer ou désactiver les services de répertoires LDAP : 1 Ouvrez l’Utilitaire de répertoire et cliquez sur Services. 2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus pour la déverrouiller et tapez le nom et le mot de passe d’un administrateur. 3 Cochez ou décochez la case en regard de LDAPv3, puis cliquez sur Appliquer. Pour obtenir des instructions sur la configuration, consultez la rubrique « Utilisation des réglages avancés des services LDAP » à la page 157. 156 Chapitre 8 Réglages avancés des clients de répertoire Utilisation des réglages avancés des services LDAP Vous pouvez configurer un serveur équipé de Mac OS X Server ou un ordinateur doté de Mac OS X pour accéder à des répertoires LDAP particuliers, y compris le répertoire LDAP d’un maître Open Directory de Mac OS X Server. Pour trouver les descriptions des tâches et des instructions, reportez-vous à :                          « Accès à des répertoires LDAP dans Mail et Carnet d’adresses » à la page 158 « Activation ou désactivation d’un répertoire LDAP fourni via DHCP » à la page 158 « Affichage ou masquage de configurations pour serveurs LDAP » à la page 159 « Configuration de l’accès à un répertoire LDAP » à la page 160 « Configuration manuelle de l’accès à un répertoire LDAP » à la page 163 « Modification d’une configuration pour l’accès à un répertoire LDAP » à la page 165 « Duplication d’une configuration pour l’accès à un répertoire LDAP » à la page 167 « Suppression d’une configuration pour l’accès à un répertoire LDAP » à la page 169 « Modification des réglages de connexion d’un répertoire LDAP » à la page 170 « Modification de la politique de sécurité pour une connexion LDAP » à la page 171 « Configuration des recherches et mappages LDAP » à la page 173 « Configuration de la liaison sécurisée pour un annuaire LDAP » à la page 176 « Arrêt de la liaison sécurisée avec un annuaire LDAP » à la page 177 « Modification du délai d’ouverture/de fermeture pour une connexion LDAP » à la page 178 « Modification du délai de requête pour une connexion LDAP » à la page 178 « Modification du délai de tentative de reconnexion pour une connexion LDAP » à la page 179 « Modification du délai d’inactivité pour une connexion LDAP » à la page 179 « Forçage de l’accès LDAPv2 en lecture seule » à la page 180 « Ignorance des références de serveur LDAP » à la page 180 « Authentification d’une connexion LDAP » à la page 181 « Modification du mot de passe utilisé pour authentifier une connexion LDAP » à la page 181 « Mappage d’attributs d’enregistrement de configuration pour répertoires LDAP » à la page 182 « Modification du mappage RFC 2307 pour activer la création d’utilisateurs » à la page 183 « Préparation d’un répertoire LDAP en lecture seule pour Mac OS X » à la page 184 « Remplissage d’annuaires LDAP avec des données pour Mac OS X » à la page 184 Chapitre 8 Réglages avancés des clients de répertoire 157 Accès à des répertoires LDAP dans Mail et Carnet d’adresses Vous pouvez configurer Mail, Carnet d’adresses et certaines applications similaires de Mac OS X pour qu’ils accèdent directement à des annuaires LDAP spécifiques, sans utiliser Open Directory. Pour en savoir plus, ouvrez Mail et choisissez Aide > Aide Mail ou ouvrez Carnet d’adresses et choisissez Aide > Aide Carnet d’adresses, puis cherchez de l’aide sur LDAP. Activation ou désactivation d’un répertoire LDAP fourni via DHCP L’Utilitaire de répertoire permet de configurer un ordinateur Mac OS X pour qu’il obtienne l’adresse d’un serveur de répertoire LDAP au démarrage. Mac OS X requiert l’adresse d’un serveur de répertoire LDAP auprès du service DHCP qui fournit également l’adresse IP de l’ordinateur, l’adresse du routeur et les adresses de serveur DNS. Mac OS X ajoute l’adresse du serveur LDAP fournie via DHCP à la politique de recherche automatique de l’ordinateur. Le serveur LDAP fourni par DHCP apparaît aussi (estompé) dans la liste des configurations LDAP. Pour en savoir plus, consultez les rubriques « Définition de politiques de recherche automatiques » à la page 152 et « Modification d’une configuration pour l’accès à un répertoire LDAP » à la page 165. L’ordinateur ne peut pas être configuré pour utiliser à la fois une liaison sécurisée LDAP et un annuaire LDAP fourni par DHCP. La liaison LDAP sécurisée est en réalité une liaison statique, alors que le LDAP fourni le DHCP est une liaison dynamique. Pour en savoir plus, consultez les rubriques « Configuration de la liaison sécurisée pour un annuaire LDAP » à la page 176 et « Configuration d’une politique de liaison pour un serveur Open Directory » à la page 218. Important : si vous configurez Mac OS X pour qu’il utilise une règle de recherche d’authentification automatique et un serveur LDAP fourni par DHCP ou un domaine de répertoire partagé fourni par DHCP, vous augmentez le risque de voir un utilisateur malveillant prendre le contrôle de votre ordinateur. Le risque est encore plus élevé si votre ordinateur est configuré pour se connecter à un réseau sans fil. Pour en savoir plus, consultez la rubrique « Protection des ordinateurs contre un serveur DHCP malveillant » à la page 154. 158 Chapitre 8 Réglages avancés des clients de répertoire Pour activer ou désactiver l’accès automatique à un serveur LDAP : 1 Ouvrez l’Utilitaire de répertoire et cliquez sur Services. 2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus pour la déverrouiller et tapez le nom et le mot de passe d’un administrateur. 3 Dans la liste des services, sélectionnez LDAPv3, puis cliquez sur le bouton Modifier (/). 4 Choisissez un emplacement de réseau dans le menu local Emplacement. L’option de serveur LDAP fourni par DHCP peut être activée ou désactivée indépendamment pour chaque emplacement de réseau défini dans la sous-fenêtre Réseau de Préférences Système. 5 Cliquez sur « Ajouter les serveurs LDAP fournis par DHCP aux règles de recherche automatique », puis effectuez l’une des opérations suivantes :  Si vous désactivez cette option, l’ordinateur n’utilisera pas de serveur de répertoire LDAP fourni par DHCP. Pour en savoir plus, reportez-vous à la rubrique « Configuration de l’accès à un répertoire LDAP » à la page 160.  Si vous activez cette option, le serveur qui fournit le service DHCP à cet ordinateur doit être configuré pour fournir l’adresse d’un serveur de répertoire LDAP. Pour en savoir plus, consultez le chapitre DHCP du document Administration des services réseau. Affichage ou masquage de configurations pour serveurs LDAP Vous pouvez afficher ou masquer la liste des configurations disponibles pour accéder aux répertoires LDAP. Chaque configuration définit la manière dont Open Directory accède à un annuaire LDAP. Lorsque la liste est affichée, vous pouvez modifier les réglages de chaque configuration LDAP qui n’est pas estompée. Lorsqu’une configuration LDAP est estompée, cela signifie qu’elle est fournie par DHCP, comme décrit dans la rubrique « Activation ou désactivation d’un répertoire LDAP fourni via DHCP » à la page 158. Pour afficher ou masquer les configurations d’annuaire LDAP disponibles : 1 Ouvrez l’Utilitaire de répertoire et cliquez sur Services. 2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus pour la déverrouiller et tapez le nom et le mot de passe d’un administrateur. 3 Dans la liste des services, sélectionnez LDAPv3, puis cliquez sur le bouton Modifier (/). 4 En fonction du contexte, cliquez sur Afficher les options ou sur Masquer les options. Chapitre 8 Réglages avancés des clients de répertoire 159 Configuration de l’accès à un répertoire LDAP À l’aide de l’Utilitaire de répertoire, vous pouvez définir la manière dont Mac OS X accède à un annuaire LDAPv3 si vous connaissez le nom DNS ou l’adresse IP du serveur de répertoire LDAP. Si le répertoire n’est pas hébergé par un serveur fournissant ses propres mappages (comme par exemple Mac OS X Server), vous devez connaître la base de recherche et le modèle de mappage des données Mac OS X aux données du répertoire. Les modèles de mappage pris en charge sont les suivants :  Serveur Open Directory, pour un répertoire utilisant le schéma de Mac OS X Server ;  Active Directory, pour un répertoire hébergé par un serveur Windows 2000, Windows 2003 ou ultérieur ;  RFC 2307, pour la plupart des répertoires hébergés par des serveurs UNIX. Le module externe LDAPv3 prend entièrement en charge la réplication et le basculement Open Directory. Si le maître Open Directory devient indisponible, le module bascule sur une réplique proche. Pour spécifier des mappages personnalisés pour les données du répertoire, suivez les instructions de la rubrique « Configuration manuelle de l’accès à un répertoire LDAP » à la page 163 plutôt que celles présentées ici. Important : si le nom de votre ordinateur contient un trait d’union, vous risquez de ne pas pouvoir rejoindre ou vous lier à un domaine de répertoire tel que LDAP ou Active Directory. Pour établir la liaison, utilisez un nom d’ordinateur ne contenant pas de trait d’union. Pour que l’Utilitaire de répertoire vous aide à configurer l’accès à un annuaire LDAP : 1 Ouvrez l’Utilitaire de répertoire et cliquez sur Services. 2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus pour la déverrouiller et tapez le nom et le mot de passe d’un administrateur. 3 Dans la liste des services, sélectionnez LDAPv3, puis cliquez sur le bouton Modifier (/). Vous pouvez sélectionner LDAPv3 dans la liste des services sans cocher la case Activer pour LDAPv3. 4 Cliquez sur Nouveau, puis tapez le nom DNS ou l’adresse IP du serveur LDAP. 160 Chapitre 8 Réglages avancés des clients de répertoire 5 Sélectionnez les options d’accès au répertoire :  Cochez la case “Crypter via SSL” si vous souhaitez qu’Open Directory utilise Secure Sockets Layer (SSL) pour les connexions avec le répertoire LDAP. Avant de sélectionner cette option, demandez à votre administrateur Open Directory si le protocole SSL est requis.  Cochez la case « Utiliser pour l’authentification » si ce répertoire contient des comptes d’utilisateur que quelqu’un va utiliser pour l’ouverture de session ou l’authentification à des services.  Cochez la case « Utiliser pour les contacts » si ce répertoire contient des adresses électroniques et d’autres informations que vous souhaitez utiliser dans Carnet d’adresses. Si l’Utilitaire de répertoire ne peut pas contacter le serveur LDAP, un message s’affiche et vous devez alors configurer l’accès manuellement ou annuler le processus de configuration. Pour en savoir plus sur la configuration manuelle, consultez la rubrique « Configuration manuelle de l’accès à un répertoire LDAP » à la page 163. Si la zone de dialogue se développe pour afficher des options de mappage, choisissez le modèle de mappage dans le menu local, tapez le suffixe de la base de recherche, puis cliquez sur Continuer. Le suffixe de la base de recherche provient généralement du nom DNS du serveur. Par exemple, le suffixe de la base de recherche pourrait être “dc=ods, dc=exemple, dc=com” pour un serveur dont le nom DNS est ods.exemple.com. Si aucun des modèles de mappage disponibles ne s’applique à la connexion que vous configurez, cliquez sur Manuel. Pour en savoir plus, consultez la rubrique « Configuration manuelle de l’accès à un répertoire LDAP » à la page 163. 6 Pour que l’Utilitaire de répertoire obtienne des informations du serveur LDAP, cliquez sur Continuer. 7 Si la zone de dialogue se développe pour afficher des options relatives à la liaison sécurisée, tapez le nom de l’ordinateur ainsi que le nom d’utilisateur et le mot de passe d’un administrateur de répertoire (il se peut que la liaison soit facultative). La zone de dialogue vous indique si le répertoire LDAP requiert la liaison sécurisée ou la rend facultative. La liaison sécurisée est mutuelle : chaque fois que l’ordinateur se connecte au répertoire LDAP, ils s’authentifient l’un et l’autre. Si la liaison sécurisée est déjà configurée ou si l’annuaire LDAP ne prend pas en charge la liaison sécurisée, le bouton Liaison ne s’affiche pas. Assurez-vous d’avoir saisi le bon nom d’ordinateur. Si un avertissement s’affiche pour indiquer qu’une fiche d’ordinateur existe, cliquez sur Annuler pour revenir à la page précédente et modifier le nom de l’ordinateur, ou cliquez sur Écraser pour remplacer la fiche d’ordinateur existante. La fiche d’ordinateur existante peut être abandonnée ou appartenir à un autre ordinateur. Chapitre 8 Réglages avancés des clients de répertoire 161 Si vous remplacez une fiche d’ordinateur, prévenez l’administrateur de l’annuaire LDAP, au cas où le remplacement de la fiche désactiverait un autre ordinateur. Dans ce cas, l’administrateur de l’annuaire LDAP doit attribuer un autre nom à l’ordinateur désactivé et l’ajouter à nouveau au groupe d’ordinateurs auquel il appartenait. Pour en savoir plus sur l’ajout d’un ordinateur à un groupe d’ordinateurs, consultez le chapitre relatif aux groupes d’ordinateurs dans Gestion des utilisateurs. 8 Si la zone de dialogue se développe pour afficher des options relatives à la connexion, sélectionnez l’option « Utiliser l’authentification lors de la sélection » puis tapez le nom distinctif et le mot de passe d’un compte d’utilisateur du répertoire. Les options pour une connexion authentifiée apparaissent si le serveur LDAP prend en charge une connexion authentifiée, mais pas la liaison sécurisée. La connexion authentifiée n’est pas mutuelle : le serveur LDAP authentifie le client, mais le client n’authentifie pas le serveur. L’option “Utiliser l’authentification lors de la sélection” est présélectionnée, mais estompée si le serveur LDAP requiert que vous fournissiez le nom distinctif et le mot de passe d’un compte d’utilisateur pour une connexion authentifiée. Le nom distinctif peut spécifier tout compte d’utilisateur ayant l’autorisation de voir les données dans le répertoire. Par exemple, un compte d’utilisateur dont le nom abrégé est dirauth sur un serveur LDAP dont l’adresse est ods.exemple.com porterait le nom distinctif uid=dirauth,cn=utilisateurs,dc=ods,dc=exemple,dc=com. Important : si le nom distinctif ou le mot de passe est incorrect, vous pouvez ouvrir une session sur l’ordinateur à l’aide de comptes d’utilisateur provenant de l’annuaire LDAP. 9 Cliquez sur OK pour terminer la création de la connexion LDAP. 10 Cliquez sur OK pour terminer la configuration des options LDAPv3. Si vous avez sélectionné l’option « Utiliser pour l’authentification » ou « Utiliser pour les contacts » à l’étape 5, la configuration d’annuaire LDAP que vous venez de créer est ajoutée à une règle de recherche personnalisée dans la sous-fenêtre Authentification ou Contacts de l’Utilitaire de répertoire. Assurez-vous que LDAPv3 est activé dans la sous-fenêtre Services afin que l’ordinateur utilise la configuration LDAP que vous venez de créer. Pour en savoir plus, consultez la rubrique « Activation ou désactivation des services de répertoires LDAP » à la page 156. 162 Chapitre 8 Réglages avancés des clients de répertoire Configuration manuelle de l’accès à un répertoire LDAP Vous pouvez créer manuellement une configuration définissant la manière dont Mac OS X accède à un annuaire LDAPv3 ou LDAPv2. Vous devez connaître le nom DNS ou l’adresse IP du serveur de répertoire LDAP. Si le répertoire n’est pas hébergé par un serveur Mac OS X Server, vous devez connaître la base de recherche et le modèle de mappage des données Mac OS X aux données du répertoire. Les modèles de mappage pris en charge sont les suivants :  Du serveur, pour un répertoire fournissant ses propres mappages et sa propre base de recherche, comme par exemple Mac OS X Server ;  Serveur Open Directory, pour un répertoire utilisant le schéma de Mac OS X Server ;  Active Directory, pour un répertoire hébergé par un serveur Windows 2000, Windows 2003 ou ultérieur ;  RFC 2307, pour la plupart des répertoires hébergés par des serveurs UNIX.  Personnalisé, pour les répertoires qui n’utilisent aucun des mappages ci-dessus. Le module externe LDAPv3 prend entièrement en charge la réplication et le basculement Open Directory. Si le maître Open Directory devient indisponible, le module bascule sur une réplique proche. Important : si le nom de votre ordinateur contient un trait d’union, vous risquez de ne pas pouvoir rejoindre ou vous lier à un domaine de répertoire tel que LDAP ou Active Directory. Pour établir la liaison, utilisez un nom d’ordinateur ne contenant pas de trait d’union. Pour configurer manuellement l’accès à un répertoire LDAP : 1 Ouvrez l’Utilitaire de répertoire et cliquez sur Services. 2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus pour la déverrouiller et tapez le nom et le mot de passe d’un administrateur. 3 Dans la liste des services, sélectionnez LDAPv3, puis cliquez sur le bouton Modifier (/). Vous pouvez sélectionner LDAPv3 dans la liste des services sans cocher la case Activer pour LDAPv3. 4 Cliquez sur Nouveau, puis sur Manuel. 5 Tapez un nom pour la configuration. 6 Appuyez sur la touche Tabulation, puis tapez le nom DNS ou l’adresse IP du serveur qui héberge le répertoire LDAP auquel vous voulez accéder. Chapitre 8 Réglages avancés des clients de répertoire 163 7 Cliquez sur le menu local en regard du nom DNS ou de l’adresse IP et choisissez un modèle ou une méthode de mappage :  Si vous choisissez Du serveur, aucun suffixe de base de recherche n’est requis. Dans ce cas, Open Directory assume que le suffixe de base de recherche est le premier niveau du répertoire LDAP.  Si vous choisissez un modèle, saisissez le suffixe de la base de recherche pour l’annuaire LDAP, puis cliquez sur OK. Vous devez saisir un suffixe de base de recherche, sinon l’ordinateur ne pourra pas trouver d’informations dans l’annuaire LDAP. Le suffixe de la base de recherche provient généralement du nom DNS du serveur. Par exemple, le suffixe de la base de recherche pourrait être “dc=ods, dc=exemple, dc=com” pour un serveur dont le nom DNS est ods.exemple.com.  Si vous choisissez Personnalisé, vous devez configurer des mappages entre les types de fiches et les attributs Mac OS X et les classes et les attributs de l’annuaire LDAP auquel vous vous connectez. Pour en savoir plus, reportez-vous à la rubrique « Configuration des recherches et mappages LDAP » à la page 173. 8 Avant de cocher la case « Chiffrer via SSL », demandez à votre administrateur Open Directory si le protocole SSL est requis. 9 Pour modifier les réglages ci-dessous de cette configuration LDAP, cliquez sur Modifier pour afficher les options de la configuration LDAP sélectionnée, apportez vos modifications, puis cliquez sur OK une fois que vous avez terminé.  Cliquez sur Connexion pour définir des options de délai, spécifier un port personnalisé, ignorer des références de serveur ou forcer l’utilisation du protocole LDAPv2 (lecture seule). Pour en savoir plus, reportez-vous à la rubrique « Modification des réglages de connexion d’un répertoire LDAP » à la page 170..  Cliquez sur Recherche et mappages pour configurer des recherches et des mappages pour un serveur LDAP. Pour en savoir plus, reportez-vous à la rubrique « Configuration de la liaison sécurisée pour un annuaire LDAP » à la page 176.  Cliquez sur Sécurité pour configurer une connexion authentifiée (plutôt qu’une liaison sécurisée) et d’autres options de politique de sécurité. Pour en savoir plus, reportez-vous à la rubrique « Modification de la politique de sécurité pour une connexion LDAP » à la page 171.  Cliquez sur Liaison pour configurer la liaison sécurisée (si l’annuaire LDAP la prend en charge). Pour en savoir plus, reportez-vous à la rubrique « Configuration de la liaison sécurisée pour un annuaire LDAP » à la page 176. 10 Cliquez sur OK pour clôturer manuellement la création de la configuration d’accès au répertoire LDAP. 164 Chapitre 8 Réglages avancés des clients de répertoire 11 Pour que l’ordinateur puisse accéder à l’annuaire LDAP pour lequel vous avez créé une configuration, ajoutez le répertoire à une règle de recherche personnalisée dans les sous-fenêtres Authentification et Contacts de l’onglet Règles de recherche de l’Utilitaire de répertoire, puis assurez-vous que LDAPv3 est activé dans la sous-fenêtre Services. Pour en savoir plus, consultez les rubriques « Activation ou désactivation des services de répertoires LDAP » à la page 156 et « Définition de politiques de recherche personnalisées » à la page 153. Remarque : pour pouvoir utiliser Gestionnaire de groupe de travail pour créer des utilisateurs sur un serveur LDAP non-Apple qui utilise des mappages RFC 2307 (UNIX), vous devez modifiez le mappage du type de fiche Utilisateurs. Pour en savoir plus, consultez la rubrique « Modification du mappage RFC 2307 pour activer la création d’utilisateurs » à la page 183. Important : si vous modifiez vos adresse IP et nom d’ordinateur à l’aide de l’outil alors que vous êtes connecté à un serveur de répertoire, vous devez vous déconnecter puis vous reconnecter à ce serveur pour que le répertoire prenne en compte le nouveau nom et la nouvelle adresse IP de l’ordinateur. Si vous ne vous déconnectez puis reconnectez pas au serveur de répertoire, le répertoire ne sera pas mis à jour et continuera d’utiliser l’ancien nom et l’ancienne adresse IP de l’ordinateur. changeip Modification d’une configuration pour l’accès à un répertoire LDAP Vous pouvez utiliser l’Utilitaire de répertoire pour modifier les réglages d’une configuration d’annuaire LDAP. Les réglages de la configuration définissent la manière dont Open Directory accède à un annuaire LDAPv3 ou LDAPv2. Si la configuration LDAP a été fournie par DHCP, elle ne peut pas être modifiée ; ce type de configuration est donc estompé dans la liste des configurations LDAP. Pour modifier une configuration d’accès à un répertoire LDAP : 1 Ouvrez l’Utilitaire de répertoire et cliquez sur Services. 2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus pour la déverrouiller et tapez le nom et le mot de passe d’un administrateur. 3 Dans la liste des services, sélectionnez LDAPv3, puis cliquez sur le bouton Modifier (/). 4 Si la liste des configurations de serveur est masquée, cliquez sur Afficher les options. 5 Apportez les modifications nécessaires aux réglages suivants :  Activer : cochez/décochez une case pour activer ou désactiver l’accès à un serveur de répertoire LDAP.  Nom de la configuration : double-cliquez sur un nom de configuration pour le modifier.  Nom du serveur ou adresse IP : double-cliquez sur un nom ou une adresse IP de serveur pour le modifier. Chapitre 8 Réglages avancés des clients de répertoire 165  Mappage LDAP : choisissez un modèle dans le menu local, saisissez le suffixe de la base de recherche pour l’annuaire LDAP, puis cliquez sur OK. Si vous avez choisi un modèle, vous devez saisir un suffixe de base de recherche, sinon l’ordinateur ne pourra pas trouver d’informations dans l’annuaire LDAP. Le suffixe de la base de recherche provient généralement du nom DNS du serveur. Par exemple, pour un serveur dont le nom DNS est ods.exemple.com, le suffixe de la base de recherche est « dc=ods,dc=exemple,dc=com ». Si vous choisissez Du serveur au lieu d’un modèle, aucun suffixe de base de recherche n’est requis. Dans ce cas, Open Directory assume que le suffixe de base de recherche est le premier niveau du répertoire LDAP. Si vous choisissez Personnalisé, vous devez configurer des mappages entre les types de fiches et les attributs Mac OS X et les classes et les attributs de l’annuaire LDAP auquel vous vous connectez. Pour en savoir plus, consultez la rubrique « Configuration des recherches et mappages LDAP » à la page 173.  SSL : cochez/décochez la case pour activer ou désactiver les communications chiffrées à l’aide du protocole SSL. Avant de cocher la case SSL, demandez à votre administrateur Open Directory si le protocole SSL est requis. 6 Pour modifier les réglages par défaut ci-dessous de cette configuration LDAP, cliquez sur Modifier pour afficher les options de la configuration LDAP sélectionnée, apportez vos modifications, puis cliquez sur OK une fois que vous avez terminé.  Cliquez sur Connexion pour définir des options de délai, spécifier un port personnalisé, ignorer des références de serveur ou forcer l’utilisation du protocole LDAPv2 (lecture seule). Pour en savoir plus, reportez-vous à la rubrique « Modification des réglages de connexion d’un répertoire LDAP » à la page 170.  Cliquez sur Recherche et mappages pour configurer des recherches et des mappages pour un serveur LDAP. Pour en savoir plus, reportez-vous à la rubrique « Configuration de la liaison sécurisée pour un annuaire LDAP » à la page 176.  Cliquez sur Sécurité pour configurer une connexion authentifiée (plutôt qu’une liaison sécurisée) et d’autres options de politique de sécurité. Pour en savoir plus, reportez-vous à la rubrique « Modification de la politique de sécurité pour une connexion LDAP » à la page 171.  Cliquez sur Liaison pour configurer la liaison sécurisée ou sur Rompre la liaison pour arrêter la liaison sécurisée (il se peut que vous ne voyiez pas ces boutons si l’annuaire LDAP ne prend pas en charge la liaison sécurisée). Pour en savoir plus, reportez-vous à la rubrique « Configuration de la liaison sécurisée pour un annuaire LDAP » à la page 176. 7 Pour terminer la modification de la configuration d’accès à un annuaire LDAP, cliquez sur OK. 166 Chapitre 8 Réglages avancés des clients de répertoire Duplication d’une configuration pour l’accès à un répertoire LDAP Vous pouvez utiliser l’Utilitaire de répertoire pour dupliquer une configuration définissant la manière dont Mac OS X accède à un annuaire LDAPv3 ou LDAPv2. Après avoir dupliqué une configuration de répertoire LDAP, vous pouvez en modifier les réglages pour la différencier de la configuration d’origine. Pour dupliquer une configuration d’accès à un répertoire LDAP : 1 Ouvrez l’Utilitaire de répertoire et cliquez sur Services. 2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus pour la déverrouiller et tapez le nom et le mot de passe d’un administrateur. 3 Dans la liste des services, sélectionnez LDAPv3, puis cliquez sur le bouton Modifier (/). 4 Si la liste des configurations de serveur est masquée, cliquez sur Afficher les options. 5 Sélectionnez une configuration de serveur dans la liste, puis cliquez sur Dupliquer. 6 Modifiez les réglages de la configuration dupliquée :  Activer : cochez/décochez une case pour activer ou désactiver l’accès à un serveur de répertoire LDAP.  Nom de la configuration : double-cliquez sur un nom de configuration pour le modifier.  Nom du serveur ou adresse IP : double-cliquez sur un nom ou une adresse IP de serveur pour le modifier.  Mappage LDAP : choisissez un modèle dans le menu local, saisissez le suffixe de la base de recherche pour l’annuaire LDAP, puis cliquez sur OK. Si vous avez choisi un modèle, vous devez saisir un suffixe de base de recherche, sinon l’ordinateur ne pourra pas trouver d’informations dans l’annuaire LDAP. Le suffixe de la base de recherche provient généralement du nom DNS du serveur. Par exemple, pour un serveur dont le nom DNS est ods.exemple.com, le suffixe de la base de recherche est « dc=ods,dc=exemple,dc=com ». Si vous choisissez Du serveur au lieu d’un modèle, aucun suffixe de base de recherche n’est requis. Dans ce cas, Open Directory assume que le suffixe de base de recherche est le premier niveau du répertoire LDAP. Si vous choisissez Personnalisé, vous devez configurer des mappages entre les types de fiches et les attributs Mac OS X et les classes et les attributs de l’annuaire LDAP auquel vous vous connectez. Pour en savoir plus, consultez la rubrique « Configuration des recherches et mappages LDAP » à la page 173.  SSL : cochez/décochez la case pour activer ou désactiver les communications chiffrées à l’aide du protocole SSL. Avant de cocher la case SSL, demandez à votre administrateur Open Directory si le protocole SSL est requis. Chapitre 8 Réglages avancés des clients de répertoire 167 7 Pour modifier les réglages par défaut ci-dessous de la configuration LDAP dupliquée, cliquez sur Modifier pour afficher les options, apportez vos modifications, puis cliquez sur OK une fois que vous avez terminé :  Cliquez sur Connexion pour configurer la liaison sécurisée (si le répertoire LDAP la prend en charge), définir des options de délai, spécifier un port personnalisé, ignorer des références de serveur ou forcer l’utilisation du protocole LDAPv2 (lecture seule). Pour obtenir des instructions complémentaires, consultez la rubrique « Modification des réglages de connexion d’un répertoire LDAP » à la page 170.  Cliquez sur Recherche et mappages pour configurer des recherches et des mappages pour un serveur LDAP. Pour en savoir plus, reportez-vous à la rubrique « Configuration de la liaison sécurisée pour un annuaire LDAP » à la page 176.  Cliquez sur Sécurité pour configurer une connexion authentifiée (plutôt qu’une liaison sécurisée) et d’autres options de politique de sécurité. Pour en savoir plus, reportez-vous à la rubrique « Modification de la politique de sécurité pour une connexion LDAP » à la page 171.  Cliquez sur Liaison pour configurer la liaison sécurisée ou sur Rompre la liaison pour arrêter la liaison sécurisée (il se peut que vous ne voyiez pas ces boutons si l’annuaire LDAP ne prend pas en charge la liaison sécurisée). Pour en savoir plus, reportez-vous à la rubrique « Configuration de la liaison sécurisée pour un annuaire LDAP » à la page 176. 8 Pour terminer la modification de la configuration dupliquée, cliquez sur OK. 9 Pour que l’ordinateur puisse accéder à l’annuaire LDAP spécifié par la configuration dupliquée que vous avez créée, ajoutez le répertoire à une règle de recherche personnalisée dans la sous-fenêtre Authentification ou Contacts de l’onglet Règles de recherche de l’Utilitaire de répertoire et assurez-vous que LDAPv3 est activé dans la sousfenêtre Services. Pour en savoir plus, reportez-vous aux rubriques « Activation ou désactivation des services de répertoires LDAP » à la page 156 et « Définition de politiques de recherche personnalisées » à la page 153. 168 Chapitre 8 Réglages avancés des clients de répertoire Suppression d’une configuration pour l’accès à un répertoire LDAP Vous pouvez utiliser l’Utilitaire de répertoire pour supprimer une configuration définissant la manière dont l’ordinateur accède à un répertoire LDAPv3 ou LDAPv2. Si la configuration LDAP a été fournie par DHCP, elle ne peut pas être modifiée ; cette option de configuration est donc estompée dans la liste des configurations LDAP. Pour supprimer une configuration d’accès à un répertoire LDAP : 1 Ouvrez l’Utilitaire de répertoire et cliquez sur Services. 2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus pour la déverrouiller et tapez le nom et le mot de passe d’un administrateur. 3 Dans la liste des services, sélectionnez LDAPv3, puis cliquez sur le bouton Modifier (/). 4 Si la liste des configurations de serveur est masquée, cliquez sur Afficher les options. 5 Sélectionnez une configuration de serveur dans la liste, cliquez sur Supprimer, puis sur OK. Si un avertissement s’affiche pour indiquer que l’ordinateur est lié à un annuaire LDAP et que vous souhaitez arrêter la liaison sécurisée, cliquez sur OK, puis saisissez le nom et le mot de passe d’un administrateur d’annuaire LDAP (et non ceux d’un administrateur d’ordinateur local).Si un avertissement s’affiche pour indiquer que l’ordinateur ne parvient pas à contacter le serveur LDAP, vous pouvez cliquer sur OK pour forcer l’arrêt de la liaison sécurisée. Si vous forcez l’arrêt de la liaison sécurisée, cet ordinateur dispose toujours d’une fiche d’ordinateur dans l’annuaire LDAP. Prévenez l’administrateur de l’annuaire LDAP pour qu’il supprime l’ordinateur du groupe d’ordinateurs. Pour en savoir plus sur la suppression d’un ordinateur de son groupe d’ordinateurs, consultez le chapitre relatif aux groupes d’ordinateurs dans Gestion des utilisateurs. La configuration supprimée est effacée des règles de recherche personnalisées pour l’authentification et les contacts. Chapitre 8 Réglages avancés des clients de répertoire 169 Modification des réglages de connexion d’un répertoire LDAP Vous pouvez utiliser l’Utilitaire de répertoire pour modifier les réglages de connexion d’une configuration définissant la manière dont l’ordinateur accède à un répertoire LDAPv3 ou LDAPv2. Pour modifier les réglages de connexion pour l’accès à un répertoire LDAP : 1 Ouvrez l’Utilitaire de répertoire et cliquez sur Services. 2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus pour la déverrouiller et tapez le nom et le mot de passe d’un administrateur. 3 Dans la liste des services, sélectionnez LDAPv3, puis cliquez sur le bouton Modifier (/). 4 Si la liste des configurations de serveur est masquée, cliquez sur Afficher les options. 5 Sélectionnez une configuration de serveur dans la liste, puis cliquez sur Modifier. 6 Cliquez sur Connexion, puis modifiez les réglages suivants :  Nom de la configuration : identifie cette configuration dans la liste des configurations d’annuaire LDAP. (Vous pouvez également modifier le nom dans la liste des configurations d’annuaire LDAP.)  Nom du serveur ou adresse IP : définit le nom DNS ou l’adresse IP du serveur. (Vous pouvez également modifier cette option dans la liste des configurations d’annuaire LDAP.)  L’ouverture/fermeture expire après : définit la durée maximale d’une tentative de connexion avant son annulation.  La requête expire après : définit la durée maximale d’une requête avant son annulation.  Nouvelle tentative de liaison après : définit le nombre de secondes avant une nouvelle tentative de connexion si le serveur LDAP ne répond pas. Augmentez cette valeur pour éviter des tentatives de reconnexion continues.  La connexion expire après : définit la durée (en minutes) pendant laquelle une connexion inactive ou sans réponse peut rester ouverte.  Chiffrer via SSL : détermine si les communications avec l’annuaire LDAP doivent être chiffrées à l’aide d’une connexion SSL. (Vous pouvez également modifier ce réglage dans la liste des configurations d’annuaire LDAP.) Avant de cocher la case SSL, demandez à votre administrateur Open Directory si le protocole SSL est requis.  Utiliser le port personnalisé : spécifie un numéro de port autre que celui du port par défaut pour les connexions LDAP (389 sans SSL ou 636 avec SSL).  Ignorer les références du serveur : détermine s’il faut ignorer ou suivre les références d’un serveur LDAP pour rechercher des informations sur d’autres serveurs LDAP ou des répliques. Les références du serveur peuvent aider un ordinateur à trouver des informations mais peuvent aussi ralentir les ouvertures de session ou provoquer d’autres délais si l’ordinateur doit vérifier des références à d’autres serveurs LDAP.  Utiliser LDAPv2 (lecture seule) : détermine si l’ancien protocole LDAPv2 doit être utilisé pour l’accès en lecture seule à un annuaire LDAP. 170 Chapitre 8 Réglages avancés des clients de répertoire Modification de la politique de sécurité pour une connexion LDAP L’Utilitaire de répertoire vous permet de configurer un règlement de sécurité plus strict que celui de l’annuaire LDAP pour une connexion LDAPv3. Par exemple, si le règlement de sécurité de l’annuaire LDAP autorise les mots de passe en clair, vous pouvez configurer une connexion LDAPv3 pour qu’elle n’autorise pas ce type de mot de passe. Définir un règlement de sécurité plus strict permet d’empêcher un bidouilleur malveillant d’utiliser un serveur LDAP piraté pour prendre le contrôle de votre ordinateur. L’ordinateur doit communiquer avec le serveur LDAP pour montrer l’état des options de sécurité. C’est pourquoi, lorsque vous modifiez des options de sécurité pour une connexion LDAPv3, la politique de recherche d’authentification de l’ordinateur doit inclure la connexion LDAPv3. Les réglages autorisés pour les options de sécurité d’une connexion LDAPv3 dépendent des possibilités et des besoins en matière de sécurité du serveur LDAP. Par exemple, si le serveur LDAP ne prend pas en charge l’authentification Kerberos, plusieurs options de sécurité de la connexion LDAPv3 sont désactivées. Pour modifier les options de sécurité d’une connexion LDAPv3 : 1 Ouvrez l’Utilitaire de répertoire et cliquez sur Règles de recherche. 2 Cliquez sur Authentification et assurez-vous que l’annuaire LDAPv3 souhaité est inclus dans la règle de recherche. Pour en savoir plus sur l’ajout d’un annuaire LDAPv3 à une règle de recherche d’authentification, consultez la rubrique « Définition de politiques de recherche personnalisées » à la page 153. 3 Si l’icône représentant le cadenas est verrouillée, cliquez dessus pour la déverrouiller et tapez le nom et le mot de passe d’un administrateur. 4 Cliquez sur Services. 5 Dans la liste des services, sélectionnez LDAPv3, puis cliquez sur le bouton Modifier (/). 6 Si la liste des configurations de serveur est masquée, cliquez sur Afficher les options. 7 Sélectionnez la configuration d’annuaire souhaitée, puis cliquez sur Modifier. 8 Cliquez sur Sécurité, puis modifiez les réglages suivants selon vos besoins. Remarque : ces réglages de sécurité ainsi que ceux du serveur LDAP correspondant sont définis lors de la configuration de la connexion LDAP. Ils ne sont pas automatiquement mis à jour si les réglages du serveur sont modifiés. Si l’une des quatre dernières options est sélectionnée mais désactivée, l’annuaire LDAP la requiert. Si l’une de ces options est désélectionnée et désactivée, le serveur LDAP ne la prend pas en charge. Pour en savoir plus sur la définition de ces options pour un annuaire LDAP Mac OS X Server, consultez la rubrique « Configuration d’un règlement de sécurité pour un serveur Open Directory » à la page 219. Chapitre 8 Réglages avancés des clients de répertoire 171  Utiliser l’authentification lors de la connexion : détermine si la connexion LDAPv3 s’authentifie auprès de l’annuaire LDAP en fournissant le nom distinctif et le mot de passe définis. Cette option n’apparaît pas si la connexion LDAPv3 utilise la liaison sécurisée avec l’annuaire LDAP.  Relié à l’annuaire en tant que : définit les informations d’authentification utilisées par la connexion LDAPv3 pour la liaison sécurisée avec l’annuaire LDAP. Vous ne pouvez pas changer cette option ni les informations d’authentification ici. Par contre, vous pouvez rompre le lien, puis l’établir à nouveau avec d’autres informations d’authentification. Pour en savoir plus, consultez les rubriques « Arrêt de la liaison sécurisée avec un annuaire LDAP » à la page 177 et « Configuration de la liaison sécurisée pour un annuaire LDAP » à la page 176. Cette option n’est affichée que si la connexion LDAPv3 utilise la liaison sécurisée.  Désactiver les mots de passe en clair : détermine si le mot de passe doit être envoyé en clair s’il ne peut pas être validé à l’aide d’une méthode d’authentification qui envoie un mot de passe crypté. Pour en savoir plus, consultez les rubriques « Sélection de méthodes d’authentification pour des utilisateurs de mots de passe shadow » à la page 132 et « Sélection de méthodes d’authentification pour des utilisateurs de mots de passe Open Directory » à la page 133.  Signer tous les paquets numériquement (requiert Kerberos) : certifie que les données d’annuaire provenant du serveur LDAP n’ont pas été interceptées et modifiées par un autre ordinateur pendant leur transit vers votre ordinateur.  Crypter tous les paquets (requiert SSL ou Kerberos) : exige du serveur LDAP qu’il chiffre les données d’annuaire à l’aide du protocole SSL ou de Kerberos avant de les envoyer vers votre ordinateur. Avant de cocher la case « Crypter tous les paquets (requiert SSL ou Kerberos) », demandez à votre administrateur Open Directory si le protocole SSL est requis.  Bloquer les attaques « Man-in-the-Middle » (requiert Kerberos) : empêche un serveur malveillant de se faire passer pour le serveur LDAP. Plus efficace avec l’option “Signer tous les paquets numériquement”. 172 Chapitre 8 Réglages avancés des clients de répertoire Configuration des recherches et mappages LDAP L’Utilitaire de répertoire vous permet de modifier les mappages, les bases de recherche et les étendues de recherche définissant la manière dont Mac OS X recherche des données particulières dans un annuaire LDAP. Vous pouvez modifier ces réglages séparément pour chaque configuration d’annuaire LDAP répertoriée dans l’Utilitaire de répertoire. Chaque configuration de répertoire LDAP spécifie la manière dont Mac OS X accède aux données dans un répertoire LDAPv3 ou LDAPv2. Vous pouvez modifier les éléments suivants :  le mappage de chaque type de fiche Mac OS X vers une ou plusieurs classes d’objets LDAP ;  le mappage des types de données, ou attributs, Mac OS X aux attributs LDAP pour chaque type de fiche ;  la base de recherche et l’étendue de recherche LDAP déterminant l’emplacement où Mac OS X doit rechercher un type de fiche Mac OS X dans un annuaire LDAP. Lors du mappage d’attributs d’utilisateur Mac OS X vers un domaine de répertoire LDAP en lecture/écriture (un domaine LDAP qui n’est pas en lecture seule), l’attribut LDAP mappé vers RealName ne doit pas être le même que le premier attribut d’une liste d’attributs LDAP mappés vers RecordName. Par exemple, l’attribut cn ne doit pas être le premier attribut mappé vers RecordName si cn est également mappé vers RealName. Si l’attribut LDAP mappé vers RealName est le même que le premier attribut mappé vers RecordName, des problèmes se produiront lorsque vous tenterez de modifier le nom complet (long) ou le premier nom abrégé dans Gestionnaire de groupe de travail. Pour en savoir plus sur les types de fiches et les attributs Mac OS X, consultez l’annexe, « Données de répertoire Mac OS X ». Pour modifier les bases de recherche et les mappages d’un serveur LDAP : 1 Ouvrez l’Utilitaire de répertoire et cliquez sur Services. 2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus pour la déverrouiller et tapez le nom et le mot de passe d’un administrateur. 3 Cliquez sur Services. 4 Dans la liste des services, sélectionnez LDAPv3, puis cliquez sur le bouton Modifier (/). 5 Si la liste des configurations de serveur est masquée, cliquez sur Afficher les options. 6 Sélectionnez une configuration de serveur dans la liste, puis cliquez sur Modifier. 7 Cliquez sur Recherche et mappages. Chapitre 8 Réglages avancés des clients de répertoire 173 8 Sélectionnez les mappages à utiliser comme point de départ ; sinon, choisissez Personnalisé pour commencer sans mappage prédéfini. Si vous choisissez l’un des modèles de mappage LDAP, un suffixe de base de recherche que vous pouvez modifier s’affiche. Si vous souhaitez accepter ce suffixe par défaut, cliquez sur OK. Cliquez sur le menu local « Accéder à ce serveur LDAPv3 via » et choisissez un modèle de mappage pour utiliser ses mappages comme point de départ. 9 Ajoutez des types de fiches et modifiez leur base de recherche selon vos besoins.  Pour ajouter des types de fiches, cliquez sur Ajouter (sous la liste « Types d’enregistrement et attributs ») ; sélectionnez ensuite Types d’enregistrement dans la zone de dialogue qui apparaît, choisissez un ou plusieurs types de fiches, puis cliquez sur OK.  Pour modifier la base de recherche et l’étendue de recherche d’un type de fiche, sélectionnez-le dans la liste « Types d’enregistrement et attributs », puis modifiez le champ Base de recherche. Sélectionnez « tous les sous-arbres » pour définir l’étendue de recherche de sorte à inclure l’ensemble de la hiérarchie de l’annuaire LDAP à partir de la base de recherche, ou sélectionnez « le premier niveau » pour définir l’étendue de recherche de sorte à n’inclure que la base de recherche et un niveau sous cette dernière dans la hiérarchie de l’annuaire LDAP.  Pour supprimer un type de fiche, sélectionnez-le dans la liste « Types d’enregistrement et attributs », puis cliquez sur Supprimer.  Pour ajouter un mappage pour un type de fiche, sélectionnez ce dernier dans la liste « Types d’enregistrement et attributs », cliquez sur Ajouter (sous la liste « Mapper sur __ éléments listés »), puis saisissez le nom d’une classe d’objets figurant dans l’annuaire LDAP. Pour ajouter une autre classe d’objets LDAP, appuyez sur Retour, saisissez le nom de la classe d’objets, puis indiquez si vous souhaitez utiliser toutes les classes d’objets LDAP répertoriées ou seulement l’une d’entre elles à l’aide du menu local se trouvant au-dessus de la liste.  Pour modifier un mappage pour un type de fiche, sélectionnez ce dernier dans la liste « Types d’enregistrement et attributs », double-cliquez sur la classe d’objets LDAP à modifier dans la liste « Mapper sur __ éléments listés », puis modifiez-la. Spécifiez si vous souhaitez utiliser toutes les classes d’objets LDAP ou l’une d’entre elles via la menu local situé au-dessus de la liste.  Pour supprimer un mappage pour un type de fiche, sélectionnez ce dernier dans la liste « Types d’enregistrement et attributs », choisissez la classe d’objets LDAP à supprimer de la liste « Mapper sur __ éléments listés », puis cliquez sur Supprimer (sous la liste « Mapper sur __ éléments listés »). 174 Chapitre 8 Réglages avancés des clients de répertoire 10 Ajoutez des attributs, puis modifiez leur mappage selon vos besoins :  Pour ajouter des attributs à un type de fiche, sélectionnez ce dernier dans la liste « Types d’enregistrement et attributs », puis cliquez sur Ajouter (sous la liste « Types d’enregistrement et attributs ») ; sélectionnez ensuite Types d’attributs dans la zone de dialogue qui apparaît, choisissez un ou plusieurs types d’attributs, puis cliquez sur OK.  Pour ajouter un mappage pour un attribut, sélectionnez ce dernier dans la liste « Types d’enregistrement et attributs », cliquez sur Ajouter (sous la liste « Mapper sur __ éléments listés »), puis saisissez le nom d’un attribut figurant dans l’annuaire LDAP ; pour ajouter un autre attribut LDAP, appuyez sur Retour, puis saisissez le nom de l’attribut.  Pour modifier un mappage pour un attribut, sélectionnez ce dernier dans la liste « Types d’enregistrement et attributs », double-cliquez sur l’élément à modifier dans la liste « Mapper sur __ éléments listés », puis modifiez le nom de cet élément.  Pour supprimer un mappage pour un attribut, sélectionnez ce dernier dans la liste « Types d’enregistrement et attributs », choisissez l’élément à supprimer de la liste « Mapper sur __ éléments listés », puis cliquez sur Supprimer (sous la liste « Mapper sur __ éléments listés »).  Pour modifier l’ordre des attributs dans la liste située à droite, faites glisser les attributs vers le haut ou le bas de la liste. 11 Pour enregistrer vos mappages sous la forme d’un modèle, cliquez sur Enregistrer le modèle. Les modèles enregistrés dans l’emplacement par défaut apparaîtront dans les menus locaux des modèles de mappage LDAP la prochaine fois que vous ouvrirez l’Utilitaire de répertoire. L’emplacement d’enregistrement par défaut des modèles se trouve dans votre dossier de départ, au chemin suivant : ~/Library/Application Support/Directory Utility/LDAPv3/Templates 12 Pour stocker les mappages dans l’annuaire LDAP de sorte qu’il puisse les fournir automatiquement à ses clients, cliquez sur « Écrire sur le serveur », puis saisissez une base de recherche pour stocker les mappages, le nom distinct d’un administrateur ou d’un autre utilisateur disposant de l’autorisation en écriture sur la base de recherche (par exemple uid=diradmin,cn=utilisateurs,dc=ods,dc=exemple,dc=com), ainsi qu’un mot de passe. Si vous écrivez des mappages sur un serveur LDAP Open Directory, la base de recherche correcte est “cn=config, suffixe” (où suffixe est le suffixe de la base de recherche du serveur, comme par exemple “dc=exemple, dc=com”). Chapitre 8 Réglages avancés des clients de répertoire 175 Le répertoire LDAP fournit ses mappages aux clients Mac OS X dont la politique de recherche personnalisée contient une connexion qui est configurée pour obtenir les mappages du serveur LDAP. Le répertoire LDAP fournit aussi ses mappages à tous les clients Mac OS X qui disposent d’une politique de recherche automatique. Pour en savoir plus, consultez les rubriques « Configuration de l’accès à un répertoire LDAP » à la page 160 et « Utilisation des réglages avancés des règles de recherche » à la page 151. Configuration de la liaison sécurisée pour un annuaire LDAP Vous pouvez utiliser l’Utilitaire de répertoire pour configurer la liaison sécurisée entre l’ordinateur et un annuaire LDAP prenant en charge la liaison sécurisée. La liaison est authentifiée de façon mutuelle au moyen d’une fiche d’ordinateur authentifié, qui est créée dans le répertoire lorsque vous configurez la liaison sécurisée. L’ordinateur ne peut pas être configuré pour utiliser à la fois la liaison LDAP sécurisée et un annuaire LDAP fourni par DHCP. La liaison LDAP sécurisée est par nature statique, alors que le LDAP fourni par DHCP est dynamique. Pour en savoir plus, consultez les rubriques « Activation ou désactivation d’un répertoire LDAP fourni via DHCP » à la page 158 et « Configuration d’une politique de liaison pour un serveur Open Directory » à la page 218. Pour configurer la liaison sécurisée vers un répertoire LDAP : 1 Ouvrez l’Utilitaire de répertoire et cliquez sur Services. 2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus pour la déverrouiller et tapez le nom et le mot de passe d’un administrateur. 3 Dans la liste des services, sélectionnez LDAPv3, puis cliquez sur le bouton Modifier (/). 4 Si la liste des configurations de serveur est masquée, cliquez sur Afficher les options. 5 Sélectionnez la configuration de serveur souhaitée, puis cliquez sur Modifier. 6 Cliquez sur Liaison, saisissez les informations d’authentification suivantes, puis cliquez sur OK. Saisissez le nom de l’ordinateur, et le nom et le mot de passe d’un administrateur de domaine de répertoire LDAP. Le nom de l’ordinateur ne peut pas être déjà utilisé par un autre ordinateur pour la liaison sécurisée ou d’autres services de réseau. Si le bouton Liaison n’apparaît pas, cela signifie que l’annuaire LDAP ne prend pas en charge la liaison sécurisée. 7 Vérifiez que vous avez saisi le bon nom d’ordinateur. Si un avertissement s’affiche pour indiquer qu’une fiche d’ordinateur existe, cliquez sur Annuler pour revenir à la page précédente et modifier le nom de l’ordinateur, ou cliquez sur Écraser pour remplacer la fiche d’ordinateur existante. 176 Chapitre 8 Réglages avancés des clients de répertoire La fiche d’ordinateur existante peut être abandonnée ou appartenir à un autre ordinateur. Si vous remplacez une fiche d’ordinateur, prévenez l’administrateur de l’annuaire LDAP, au cas où le remplacement de la fiche désactiverait un autre ordinateur. Dans ce cas, l’administrateur de l’annuaire LDAP doit attribuer un autre nom à l’ordinateur désactivé et l’ajouter au groupe d’ordinateurs auquel il appartenait en utilisant un autre nom pour cet ordinateur. Pour en savoir plus sur l’ajout d’un ordinateur à un groupe d’ordinateurs, consultez le chapitre relatif aux groupes d’ordinateurs dans Gestion des utilisateurs. 8 Pour terminer la configuration de la liaison sécurisée, cliquez sur OK. Arrêt de la liaison sécurisée avec un annuaire LDAP Vous pouvez utiliser l’Utilitaire de répertoire pour arrêter la liaison sécurisée entre un ordinateur et un annuaire LDAP qui prend en charge, mais ne requiert pas, la liaison sécurisée. Pour arrêter la liaison sécurisée avec un annuaire LDAP : 1 Ouvrez l’Utilitaire de répertoire et cliquez sur Services. 2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus puis tapez le nom et le mot de passe d’un administrateur. 3 Dans la liste des services, sélectionnez LDAPv3, puis cliquez sur le bouton Modifier (/). 4 Si la liste des configurations de serveur est masquée, cliquez sur Afficher les options. 5 Sélectionnez la configuration de serveur souhaitée, puis cliquez sur Modifier. 6 Cliquez sur Rompre la liaison, saisissez les informations d’authentification suivantes, puis cliquez sur OK. Saisissez le nom et le mot de passe d’un administrateur de répertoire LDAP (pas un administrateur de l’ordinateur local). Si la liaison sécurisée n’a pas été configurée sur cet ordinateur, le bouton Rompre la liaison n’apparaît pas. Si un avertissement s’affiche pour indiquer que l’ordinateur ne parvient pas à contacter le serveur LDAP, cliquez sur OK pour forcer l’arrêt de la liaison sécurisée. Si vous forcez l’arrêt de la liaison sécurisée, cet ordinateur dispose toujours d’une fiche d’ordinateur dans l’annuaire LDAP. Prévenez l’administrateur de l’annuaire LDAP pour qu’il supprime l’ordinateur du groupe d’ordinateurs. Pour en savoir plus sur la suppression d’un ordinateur de son groupe d’ordinateurs, consultez le chapitre relatif aux groupes d’ordinateurs dans Gestion des utilisateurs. 7 Cliquez sur OK pour finaliser l’arrêt de la liaison sécurisée. Chapitre 8 Réglages avancés des clients de répertoire 177 Modification du délai d’ouverture/de fermeture pour une connexion LDAP L’Utilitaire de répertoire permet de spécifier combien de temps Open Directory doit attendre avant d’annuler une tentative de connexion au serveur LDAP. Pour définir le délai d’ouverture/de fermeture pour une connexion LDAP : 1 Ouvrez l’Utilitaire de répertoire et cliquez sur Services. 2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus pour la déverrouiller et tapez le nom et le mot de passe d’un administrateur. 3 Dans la liste des services, sélectionnez LDAPv3, puis cliquez sur le bouton Modifier (/). 4 Si la liste des configurations de serveur est masquée, cliquez sur Afficher les options. 5 Sélectionnez une configuration de serveur dans la liste, puis cliquez sur Modifier. 6 Cliquez sur Connexion, puis saisissez une valeur dans le champ « L’ouverture/fermeture expire après __ secondes ». La valeur par défaut est 15 secondes. Modification du délai de requête pour une connexion LDAP L’Utilitaire de répertoire permet de spécifier combien de temps Open Directory doit attendre avant d’annuler une requête envoyée à l’annuaire LDAP. Pour définir le délai de requête pour une connexion LDAP : 1 Ouvrez l’Utilitaire de répertoire et cliquez sur Services. 2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus pour la déverrouiller et tapez le nom et le mot de passe d’un administrateur. 3 Dans la liste des services, sélectionnez LDAPv3, puis cliquez sur le bouton Modifier (/). 4 Si la liste des configurations de serveur est masquée, cliquez sur Afficher les options. 5 Sélectionnez une configuration de serveur dans la liste, puis cliquez sur Modifier. 6 Cliquez sur Connexion, puis saisissez une valeur dans le champ « La requête expire après __ secondes ». La valeur par défaut est 120 secondes. 178 Chapitre 8 Réglages avancés des clients de répertoire Modification du délai de tentative de reconnexion pour une connexion LDAP L’Utilitaire de répertoire permet de spécifier combien de temps attendre avant de tenter de se reconnecter si un serveur LDAP ne répond pas. Vous pouvez augmenter cette valeur pour éviter des tentatives de reconnexion continues. Pour définir le délai de tentative de reconnexion pour les clients LDAP inactifs : 1 Ouvrez l’Utilitaire de répertoire et cliquez sur Services. 2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus pour la déverrouiller et tapez le nom et le mot de passe d’un administrateur. 3 Dans la liste des services, sélectionnez LDAPv3, puis cliquez sur le bouton Modifier (/). 4 Si la liste des configurations de serveur est masquée, cliquez sur Afficher les options. 5 Sélectionnez une configuration de serveur dans la liste, puis cliquez sur Modifier. 6 Cliquez sur Connexion, puis saisissez une valeur dans le champ « Tentative de reconnexion après __ secondes ». La valeur par défaut est 120 secondes. Modification du délai d’inactivité pour une connexion LDAP L’Utilitaire de répertoire permet de spécifier le délai d’inactivité d’une connexion LDAP avant qu’Open Directory ne ferme la connexion. Vous pouvez ajuster ce réglage pour réduire le nombre de connexions ouvertes sur le serveur LDAP. Pour définir le délai d’inactivité pour une connexion LDAP : 1 Ouvrez l’Utilitaire de répertoire et cliquez sur Services. 2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus pour la déverrouiller et tapez le nom et le mot de passe d’un administrateur. 3 Dans la liste des services, sélectionnez LDAPv3, puis cliquez sur le bouton Modifier (/). 4 Si la liste des configurations de serveur est masquée, cliquez sur Afficher les options. 5 Sélectionnez une configuration de serveur dans la liste, puis cliquez sur Modifier. 6 Cliquez sur Connexion et saisissez une valeur dans le champ « La connexion expirera après __ minutes ». La valeur par défaut est 1 minute. Chapitre 8 Réglages avancés des clients de répertoire 179 Forçage de l’accès LDAPv2 en lecture seule L’Utilitaire de répertoire permet de forcer une connexion à un serveur LDAP à l’aide du protocole LDAPv2. Cette connexion LDAPv2 forcée est en lecture seule (et non en lecture-écriture) et n’utilise pas SSL. Pour forcer l’accès LDAPv2 en lecture seule vers un serveur LDAP : 1 Ouvrez l’Utilitaire de répertoire et cliquez sur Services. 2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus pour la déverrouiller et tapez le nom et le mot de passe d’un administrateur. 3 Dans la liste des services, sélectionnez LDAPv3, puis cliquez sur le bouton Modifier (/). 4 Si la liste des configurations de serveur est masquée, cliquez sur Afficher les options. 5 Sélectionnez la configuration de serveur dans la liste, puis cliquez sur Modifier. 6 Cliquez sur Connexion, puis cochez la case « Utiliser LDAPv2 (lecture seule) ». Ignorance des références de serveur LDAP L’Utilitaire de répertoire permet de spécifier si l’ordinateur doit ignorer ou suivre les références d’un serveur LDAP pour rechercher des informations sur d’autres serveurs LDAP ou des répliques. Les références du serveur peuvent aider un ordinateur à trouver des informations mais peuvent aussi ralentir les ouvertures de session ou provoquer d’autres délais si l’ordinateur doit vérifier des références à d’autres serveurs LDAP. Pour spécifier s’il faut ignorer les références de serveur LDAP : 1 Ouvrez l’Utilitaire de répertoire et cliquez sur Services. 2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus pour la déverrouiller et tapez le nom et le mot de passe d’un administrateur. 3 Dans la liste des services, sélectionnez LDAPv3, puis cliquez sur le bouton Modifier (/). 4 Si la liste des configurations de serveur est masquée, cliquez sur Afficher les options. 5 Sélectionnez une configuration de serveur dans la liste, puis cliquez sur Modifier. 6 Cliquez sur Connexion et cochez la case « Ignorer les références du serveur ». 180 Chapitre 8 Réglages avancés des clients de répertoire Authentification d’une connexion LDAP L’Utilitaire de répertoire permet de configurer une connexion authentifiée à un annuaire LDAP. Cette authentification est unidirectionnelle. L’ordinateur prouve son identité auprès d’un répertoire LDAP, mais le répertoire LDAP ne prouve pas son authenticité auprès de l’ordinateur. Pour une authentification mutuelle, consultez la rubrique « Configuration de la liaison sécurisée pour un annuaire LDAP » à la page 176. Remarque : si la liaison sécurisée est configurée entre l’ordinateur et l’annuaire LDAP, une connexion authentifiée serait redondante ; vous ne pouvez donc pas en configurer une. Pour configurer une connexion LDAPv3 authentifiée : 1 Ouvrez l’Utilitaire de répertoire et cliquez sur Services. 2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus pour la déverrouiller et tapez le nom et le mot de passe d’un administrateur. 3 Dans la liste des services, sélectionnez LDAPv3, puis cliquez sur le bouton Modifier (/). 4 Si la liste des configurations de serveur est masquée, cliquez sur Afficher les options. 5 Sélectionnez une configuration de serveur dans la liste, puis cliquez sur Modifier. 6 Cliquez sur Sécurité. 7 Cochez la case « Utiliser l’authentification lors de la connexion », puis saisissez le nom distinctif et le mot de passe d’un utilisateur. Le nom distinctif peut spécifier tout compte d’utilisateur ayant l’autorisation de voir les données du répertoire. Par exemple, un compte d’utilisateur dont le nom abrégé est « authentificateur » sur un serveur LDAP dont l’adresse est ods.exemple.com porte le nom distinctif uid=authentificateur,cn=utilisateurs,dc=ods,dc=exemple,dc=com. Important : si le nom distinctif ou le mot de passe est incorrect, personne ne peut ouvrir une session sur l’ordinateur à l’aide de comptes d’utilisateur provenant de l’annuaire LDAP. Modification du mot de passe utilisé pour authentifier une connexion LDAP L’Utilitaire de répertoire permet de mettre à jour une connexion LDAP authentifiée pour qu’elle utilise un mot de passe qui a été modifié sur le serveur LDAP. (Tous les ordinateurs disposant d’une connexion authentifiée à un serveur LDAP doivent être mis à jour si le mot de passe utilisé pour authentifier la connexion LDAP est modifié sur le serveur). Chapitre 8 Réglages avancés des clients de répertoire 181 Pour modifier le mot de passe pour une connexion LDAP : 1 Ouvrez l’Utilitaire de répertoire et cliquez sur Services. 2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus pour la déverrouiller et tapez le nom et le mot de passe d’un administrateur. 3 Dans la liste des services, sélectionnez LDAPv3, puis cliquez sur le bouton Modifier (/). 4 Si la liste des configurations de serveur est masquée, cliquez sur Afficher les options. 5 Sélectionnez une configuration de serveur dans la liste, puis cliquez sur Modifier. 6 Cliquez sur Sécurité, puis modifiez le réglage Mot de passe :  Si le réglage Mot de passe est estompé parce que la case « Utiliser l’authentification lors de la connexion » est décochée, consultez la rubrique « Authentification d’une connexion LDAP » à la page 181.  Si le réglage Mot de passe est estompé parce que la case « Relié à l’annuaire en tant que » est cochée (mais estompée), cela signifie que la connexion n’est pas authentifiée avec un mot de passe d’utilisateur. La connexion utilise alors plutôt une fiche d’ordinateur authentifié ou la liaison sécurisée. Mappage d’attributs d’enregistrement de configuration pour répertoires LDAP Pour stocker des informations pour les utilisateurs Mac OS X gérés dans un annuaire LDAP non-Apple, vous devez mapper les attributs suivants du type de fiche Config : RealName et DataStamp. Si vous ne mappez pas ces attributs, le message d’erreur suivant s’affichera lorsque vous utiliserez Gestionnaire de groupe de travail pour modifier une fiche d’utilisateur située dans l’annuaire LDAP : L’attribut nommé “dsRecTypeStandard:Config” n’est pas mappé. Vous pouvez ignorer ce message si vous n’utilisez pas la gestion de client Mac OS X, qui dépend des attributs RealName et DataStamp du type Enregistrement de configuration pour la mémoire cache. 182 Chapitre 8 Réglages avancés des clients de répertoire Modification du mappage RFC 2307 pour activer la création d’utilisateurs Pour pouvoir utiliser Gestionnaire de groupe de travail pour créer des utilisateurs sur un serveur LDAP non-Apple qui utilise des mappages RFC 2307 (UNIX), vous devez modifiez le mappage du type de fiche Utilisateurs. Vous devez pour cela utiliser l’Utilitaire de répertoire. Pour activer la création d’enregistrements d’utilisateurs dans un répertoire LDAP avec mappages RFC 2307 : 1 Ouvrez l’Utilitaire de répertoire et cliquez sur Services. 2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus pour la déverrouiller et tapez le nom et le mot de passe d’un administrateur. 3 Dans la liste des services, sélectionnez LDAPv3, puis cliquez sur le bouton Modifier (/). 4 Si la liste des configurations de serveur est masquée, cliquez sur Afficher les options. 5 Sélectionnez la configuration de répertoire avec mappages RFC 2307, puis cliquez sur Modifier. 6 Cliquez sur Recherche et mappages. 7 Sélectionnez Utilisateurs dans la liste de gauche. Par défaut, « Mapper sur __ éléments listés » est défini sur Quelconque et la liste de droite contient posixAccount, inetOrgPerson et shadowAccount. 8 Définissez « Mapper sur __ éléments listés » sur Tout, puis modifiez la liste de droite pour n’inclure que les classes d’objets LDAP vers lesquelles vous voulez mapper le type de fiche Utilisateurs. Supprimez par exemple shadowAccount de la liste de sorte que le type de fiche Utilisateurs ne soit mappé que vers posixAccount et inetOrgPerson. Vous pouvez également mapper le type de fiche Utilisateurs vers account, posixAccount et shadowAccount. Pour modifier un élément de la liste, double-cliquez dessus. Pour ajouter un élément à la liste, cliquez sur Ajouter. Pour supprimer l’élément sélectionné de la liste, cliquez sur Supprimer. Pour modifier l’ordre des éléments répertoriés, faites-les glisser vers le haut ou le bas de la liste. Vous pouvez rechercher les classes d’objets des fiches d’utilisateur se trouvant dans l’annuaire LDAP à l’aide de l’outil UNIX ldapsearch dans Terminal. Par exemple, le code suivant recherche les classes d’objets d’une fiche d’utilisateur dont l’attribut cn est « Léonard de Vinci » : $ ldapsearch -x -h ldapserver.exemple.com -b "dc=exemple, dc=com" ’cn=Léonard de Vinci’ objectClass Cet exemple renverrait les résultats suivants : # Léonard de Vinci, exemple.com dn: cn=Léonard de Vinci, dc=exemple, dc=com objectClass: inetOrgPerson objectClass: posixAccount Chapitre 8 Réglages avancés des clients de répertoire 183 Préparation d’un répertoire LDAP en lecture seule pour Mac OS X Si vous souhaitez qu’un ordinateur Mac OS X puisse lire des données administratives dans un annuaire LDAP en lecture seule, ces données doivent être au format requis par Mac OS X. Il vous faudra peut-être ajouter, modifier ou réorganiser les données dans l’annuaire LDAP en lecture seule. Dans la mesure où Mac OS X ne peut pas écrire de données dans un répertoire en lecture seule, vous devez utiliser d’autres outils pour apporter ces modifications. Ces outils doivent résider sur le serveur qui héberge l’annuaire LDAP en lecture seule. Pour préparer un répertoire LDAP en lecture seule pour Mac OS X : 1 Accédez au serveur qui héberge le répertoire LDAP en lecture seule et configurez-le pour qu’il gère l’authentification LDAP et la vérification des mots de passe. 2 Modifiez comme il se doit les classes d’objets et attributs de l’annuaire LDAP afin de fournir les données nécessaires à Mac OS X. Pour obtenir des spécifications sur les données requises par les services de répertoire de Mac OS X, consultez l’annexe, « Données de répertoire Mac OS X ». Remplissage d’annuaires LDAP avec des données pour Mac OS X Après avoir configuré l’accès aux domaines de répertoire LDAP et configuré leur mappage de données, vous pouvez les remplir avec des fiches et des données pour Mac OS X.Pour les annuaires LDAP qui autorisent l’administration à distance (accès en lecture/écriture), vous pouvez utiliser l’application Gestionnaire de groupe de travail, livrée avec Mac OS X Server, de la manière suivante :  Les points de partage d’identité et les domaines partagés que vous souhaitez monter automatiquement dans les navigateurs de Réseau des utilisateurs (ce que les utilisateurs voient lorsqu’ils cliquent sur Réseau dans la barre latérale d’une fenêtre du Finder). Utilisez le module Partage d’Admin Serveur et le module Réseau de Gestionnaire de groupe de travail. Pour en savoir plus, consultez la section Administration des services de fichier.  Définissez les fiches d’utilisateur et de groupe, puis configurez-les. Utilisez le module Comptes de Gestionnaire de groupe de travail. Pour en savoir plus, consultez la section Gestion des utilisateurs.  Définissez les listes d’ordinateurs partageant les mêmes réglages de préférences et disponibles pour les mêmes utilisateurs et groupes. Utilisez le module Ordinateurs de Gestionnaire de groupe de travail. Pour en savoir plus, consultez la section Gestion des utilisateurs. 184 Chapitre 8 Réglages avancés des clients de répertoire Dans tous les cas, cliquez sur la petite icône de globe au-dessus de la liste des utilisateurs, puis choisissez une option du menu local de Gestionnaire de groupe de travail pour ouvrir le domaine de répertoire LDAP. Si le répertoire LDAP ne figure pas dans le menu local, choisissez Autre pour le sélectionner. Remarque : pour ajouter des fiches et des données à un annuaire LDAP en lecture seule, vous devez utiliser des outils résidant sur le serveur qui héberge cet annuaire LDAP. Utilisation des réglages avancés des services Active Directory Vous pouvez configurer un serveur équipé de Mac OS X Server ou un ordinateur doté de Mac OS X pour accéder à un domaine Active Directory sur un serveur Windows 2000 ou Windows 2003. Pour trouver les descriptions des tâches et des instructions, reportez-vous à :              « À propos de l’accès à Active Directory » à la page 186 « Configuration de l’accès à un domaine Active Directory » à la page 188 « Configuration de comptes d’utilisateur mobiles dans Active Directory » à la page 191 « Configuration de dossiers de départ pour des comptes d’utilisateur Active Directory » à la page 192 « Configuration d’un shell UNIX pour des comptes d’utilisateur Active Directory » à la page 193 « Association de l’UID à un attribut Active Directory » à la page 194 « Mappage de l’identifiant de groupe principal vers un attribut Active Directory » à la page 195 « Mappage de l’identifiant de groupe des comptes de groupe vers un attribut Active Directory » à la page 196 « Spécification d’un serveur Active Directory préféré » à la page 197 « Modification des groupes Active Directory autorisés à administrer l’ordinateur » à la page 198 « Contrôle de l’authentification à partir de tous les domaines de la forêt Active Directory » à la page 199 « Rupture de la liaison avec le serveur Active Directory » à la page 200 « Modification de comptes d’utilisateur et d’autres enregistrements dans Active Directory » à la page 200 Pour certains réseaux, d’autres méthodes s’avèrent appropriées pour l’accès à un domaine Active Directory. Consultez la rubrique « Configuration de l’accès LDAP aux domaines Active Directory » à la page 201. Chapitre 8 Réglages avancés des clients de répertoire 185 À propos de l’accès à Active Directory Vous pouvez configurer Mac OS X pour qu’il accède à des informations de compte d’utilisateur élémentaires dans un domaine Active Directory d’un serveur Windows 2000 ou ultérieur. Cela est possible grâce au module Active Directory de l’Utilitaire de répertoire. Ce module Active Directory figure dans la sous-fenêtre Services de l’Utilitaire de répertoire. Il n’est pas nécessaire d’apporter des modifications de schéma au domaine Active Directory pour obtenir des informations de compte d’utilisateur élémentaires. Vous devrez éventuellement modifier la liste de contrôle d’accès (ACL) par défaut de certains attributs pour que les comptes d’ordinateur puissent lire les propriétés d’utilisateur. Le module externe Active Directory génère tous les attributs requis pour l’authentification Mac OS X à partir d’attributs standard dans les comptes d’utilisateur Active Directory. Le module prend également en charge les règlements d’authentification Active Directory, y compris la modification, l’expiration et le changement forcé de mot de passe, ainsi que les options de sécurité. Mac OS X 10.5 prend en charge les options de chiffrement et de signature des paquets pour tous les domaines Windows Active Directory. Cette fonctionnalité est définie par défaut sur « autoriser ». Vous pouvez modifier ce réglage par défaut pour le définir sur « désactivé » ou « requis par » à l’aide de l’outil de ligne de commande dsconfigad. Les options de chiffrement et de signature des paquets garantissent la protection de toutes les données transitant entre l’ordinateur et le domaine Active Directory lors des recherches de fiche. Le module externe Active Directory génère de manière dynamique un identifiant d’utilisateur unique et un identifiant de groupe principal, basés sur l’identifiant GUID (Globally Unique ID) du compte d’utilisateur dans le domaine Active Directory. L’identifiant d’utilisateur et l’identifiant de groupe principal générés sont les mêmes pour chaque compte d’utilisateur, même si le compte est utilisé pour ouvrir une session sur différents ordinateurs Mac OS X. Vous pouvez également forcer le module externe Active Directory à associer l’identifiant d’utilisateur à des attributs Active Directory que vous spécifiez. Le module Active Directory génère un identifiant de groupe d’après le GUID du compte de groupe Active Directory. Vous pouvez aussi forcer le module externe à mapper l’identifiant de groupe pour les comptes de groupe vers des attributs Active Directory que vous spécifiez. 186 Chapitre 8 Réglages avancés des clients de répertoire Lorsque quelqu’un ouvre une session Mac OS X à l’aide d’un compte d’utilisateur Active Directory, le module Active Directory peut monter le dossier de départ réseau Windows défini comme dossier de départ Mac OS X de l’utilisateur dans le compte d’utilisateur Active Directory. Vous pouvez indiquer s’il faut utiliser le dossier de départ réseau défini par l’attribut home Directory standard d’Active Directory ou par l’attribut home Directory de Mac OS X (si le schéma Active Directory a été étendu pour l’inclure). Vous pouvez aussi configurer le module externe pour qu’il crée un dossier de départ local sur le volume de démarrage de l’ordinateur client Mac OS X. Dans ce cas, le module monte aussi le dossier de départ réseau Windows de l’utilisateur (défini dans le compte d’utilisateur Active Directory) en tant que volume réseau, comme un point de partage. À l’aide du Finder, l’utilisateur peut alors copier des fichiers entre le volume réseau du dossier de départ Windows et le dossier de départ Mac OS X local. Le module externe Active Directory peut aussi créer des comptes mobiles pour les utilisateurs. Un compte mobile dispose d’un dossier de départ local sur le volume de démarrage de l’ordinateur client Mac OS X. (L’utilisateur dispose d’un dossier de départ réseau, comme spécifié dans son compte Active Directory). Un compte mobile met les informations d’authentification Active Directory de l’utilisateur en mémoire cache sur l’ordinateur client Mac OS X. Les informations d’authentification mises en mémoire cache permettent à l’utilisateur d’ouvrir une session à l’aide du nom et du mot de passe Active Directory lorsque l’ordinateur client est déconnecté du serveur Active Directory. Un compte mobile dispose d’un dossier de départ local sur le volume de démarrage de l’ordinateur client Mac OS X. (L’utilisateur dispose d’un dossier de départ réseau, comme spécifié dans le compte Active Directory de l’utilisateur). Si le schéma Active Directory a été étendu pour inclure les types de fiches (classes d’objets) et les attributs Mac OS X, le module Active Directory les détecte et y accède. Par exemple, le schéma Active Directory pourrait être modifié à l’aide d’outils d’administration Windows pour inclure des attributs de client géré Mac OS X. Cette modification du schéma permet au module Active Directory de prendre en charge les réglages de client géré définis à l’aide de l’application Gestionnaire de groupe de travail de Mac OS X Server. Les clients Mac OS X bénéficient d’un accès en lecture complet aux attributs ajoutés au répertoire. C’est pourquoi il peut s’avérer nécessaire de modifier la liste de contrôle d’accès de ces attributs pour autoriser des groupes d’ordinateurs à lire ces attributs ajoutés. Chapitre 8 Réglages avancés des clients de répertoire 187 Le module Active Directory détecte tous les domaines d’une forêt Active Directory. Vous pouvez configurer le module pour qu’il autorise les utilisateurs de n’importe quel domaine de la forêt à s’authentifier sur un ordinateur Mac OS X. Vous pouvez également autoriser l’authentification de certains domaines uniquement sur le client. Le module externe Active Directory prend entièrement en charge la réplication et le basculement Active Directory. Il détecte plusieurs contrôleurs de domaine et détermine le plus proche. Si un contrôleur de domaine devient indisponible, le module bascule sur un autre contrôleur de domaine proche. Le module Active Directory utilise LDAP pour accéder aux comptes d’utilisateur Active Directory et Kerberos pour les authentifier. Le module externe Active Directory n’utilise pas l’interface propriétaire ADSI (Active Directory Services Interface) de Microsoft pour accéder aux services de répertoire ou d’authentification. Configuration de l’accès à un domaine Active Directory À l’aide du module Active Directory de l’Utilitaire de répertoire, vous pouvez configurer Mac OS X pour qu’il accède aux informations de compte d’utilisateur élémentaires dans un domaine Active Directory sur un serveur Windows. Le module externe Active Directory génère tous les attributs requis pour l’authentification Mac OS X. Aucune modification du schéma Active Directory n’est nécessaire. Le module Active Directory détecte et accède aux types de fiches et aux attributs Mac OS X standard (tels que les attributs requis pour la gestion des clients Mac OS X), si le schéma Active Directory a été étendu pour les inclure. AVERTISSEMENT : les options avancées du module Active Directory permettent de mapper l’identifiant d’utilisateur unique (UID), l’identifiant de groupe (GID) principal et l’attribut d’identifiant de groupe Mac OS X vers les attributs appropriés qui ont été ajoutés au schéma Active Directory. Si vous modifiez ultérieurement le réglage de ces options de mappage, les utilisateurs risquent de perdre l’accès aux fichiers créés précédemment. Important : si le nom de votre ordinateur contient un trait d’union, vous risquez de ne pas pouvoir rejoindre ou vous lier à un domaine de répertoire tel que LDAP ou Active Directory. Pour établir la liaison, utilisez un nom d’ordinateur ne contenant pas de trait d’union. 188 Chapitre 8 Réglages avancés des clients de répertoire Pour configurer l’accès à un domaine Active Directory : 1 Ouvrez l’Utilitaire de répertoire et cliquez sur Services. 2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus pour la déverrouiller et tapez le nom et le mot de passe d’un administrateur. 3 Dans la liste des services, sélectionnez Active Directory, puis cliquez sur le bouton Modifier (/). 4 Saisissez le nom DNS du domaine Active Directory auquel vous souhaitez lier l’ordinateur que vous êtes en train de configurer. L’administrateur du domaine Active Directory peut vous communiquer le nom DNS à saisir. 5 Si nécessaire, modifiez l’identifiant de l’ordinateur. L’identifiant de l’ordinateur est le nom sous lequel cet ordinateur sera connu dans le domaine Active Directory ; par défaut, il s’agit du nom de l’ordinateur. Il se peut que vous deviez le modifier pour vous conformer au schéma défini par votre organisation pour l’attribution des noms d’ordinateur dans le domaine Active Directory. Si vous n’êtes pas sûr du nom à saisir, consultez l’administrateur du domaine Active Directory. 6 (Facultatif ) Définissez les options avancées. Si les options avancées sont masquées, cliquez sur Afficher les options avancées et définissez des options dans les sous-fenêtres Expérience utilisateur, Mappages et Administratif. Vous pouvez aussi modifier ultérieurement les réglages des options avancées. Pour en savoir plus sur les options avancées, consultez les rubriques suivantes :  « Configuration de comptes d’utilisateur mobiles dans Active Directory » à la page 191  « Configuration de dossiers de départ pour des comptes d’utilisateur Active Directory » à la page 192  « Configuration d’un shell UNIX pour des comptes d’utilisateur Active Directory » à la page 193  « Association de l’UID à un attribut Active Directory » à la page 194  « Mappage de l’identifiant de groupe principal vers un attribut Active Directory » à la page 195  « Mappage de l’identifiant de groupe des comptes de groupe vers un attribut Active Directory » à la page 196  « Spécification d’un serveur Active Directory préféré » à la page 197  « Modification des groupes Active Directory autorisés à administrer l’ordinateur » à la page 198  « Contrôle de l’authentification à partir de tous les domaines de la forêt Active Directory » à la page 199 Chapitre 8 Réglages avancés des clients de répertoire 189 7 Cliquez sur Liaison, utilisez les champs suivants pour vous authentifier en tant qu’utilisateur ayant le droit de relier un ordinateur au domaine Active Directory, sélectionnez les règles de recherche auxquelles vous souhaitez ajouter Active Directory (voir ci-dessous), puis cliquez sur OK :  Nom d’utilisateur et mot de passe : vous pouvez vous authentifier en saisissant les nom et mot de passe de votre compte d’utilisateur Active Directory ; sinon, il se peut que l’administrateur du domaine Active Directory doive vous fournir un nom et un mot de passe.  Clé OU ordinateur : saisissez l’unité organisationnelle (UO) de l’ordinateur que vous êtes en train de configurer.  Utiliser pour l’authentification : permet de déterminer si Active Directory doit être ajouté à la règle de recherche d’authentification de l’ordinateur.  Utiliser pour les contacts : permet de déterminer si Active Directory doit être ajouté à la règle de recherche de contacts de l’ordinateur. Lorsque vous cliquez sur OK, l’Utilitaire de répertoire configure la liaison sécurisée entre l’ordinateur que vous êtes en train de configurer et le serveur Active Directory. Les règles de recherche de l’ordinateur sont configurées en fonction des options que vous avez sélectionnées lorsque vous vous êtes authentifié et Active Directory est activé dans la sous-fenêtre Services de l’Utilitaire de répertoire. Avec les réglages par défaut des options avancées d’Active Directory, la forêt Active Directory est ajoutée aux règles de recherche d’authentification et de contacts de l’ordinateur si vous avez sélectionné l’option « Utiliser pour l’authentification » ou « Utiliser pour les contacts ». Toutefois, si vous désélectionnez l’option « Autoriser l’authentification depuis n’importe quel domaine de la forêt » dans la sous-fenêtre d’options avancées Administratif avant de cliquer sur Liaison, c’est le domaine Active Directory le plus proche qui est ajouté, et non la forêt. Vous pouvez modifier les règles de recherche ultérieurement en ajoutant ou en supprimant la forêt Active Directory ou des domaines individuels. Pour en savoir plus, consultez la rubrique « Définition de politiques de recherche personnalisées » à la page 153. 8 (Facultatif ) Reliez le serveur au royaume Kerberos Active Directory. Sur le serveur ou sur un ordinateur administrateur qui peut se connecter au serveur, ouvrez Admin Serveur et sélectionnez Open Directory pour le serveur. Cliquez sur Réglages, puis sur Général. Cliquez sur Se connecter à Kerberos, puis choisissez le royaume Kerberos Active Directory dans le menu local et saisissez les informations d’authentification d’un administrateur local sur ce serveur. Pour en savoir plus, consultez la rubrique « Connecter un serveur à un royaume Kerberos » à la page 119. 190 Chapitre 8 Réglages avancés des clients de répertoire Configuration de comptes d’utilisateur mobiles dans Active Directory Vous pouvez activer ou désactiver des comptes d’utilisateur Active Directory mobiles sur un ordinateur configuré pour utiliser le module Active Directory de l’Utilitaire de répertoire. Les utilisateurs qui disposent de comptes mobiles peuvent ouvrir une session à l’aide de leurs informations d’authentification Active Directory lorsque l’ordinateur n’est pas connecté au serveur Active Directory. Le module externe Active Directory met en mémoire cache les informations d’authentification d’un compte mobile d’utilisateur lorsque l’utilisateur ouvre une session alors que l’ordinateur est connecté au domaine Active Directory. Cette mise en cache des informations d’authentification ne requiert aucune modification du schéma Active Directory. Si le schéma Active Directory a été étendu pour inclure les attributs de client géré Mac OS X, ces réglages de compte mobile seront utilisés à la place des réglages de compte mobile du module Active Directory. Vous pouvez faire en sorte que les comptes mobiles soient créés automatiquement ou obliger les utilisateurs Active Directory à confirmer la création des comptes mobiles. Pour activer ou désactiver les comptes mobiles dans un domaine Active Directory : 1 Ouvrez l’Utilitaire de répertoire et cliquez sur Services. 2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus pour la déverrouiller et tapez le nom et le mot de passe d’un administrateur. 3 Dans la liste des services, sélectionnez Active Directory, puis cliquez sur le bouton Modifier (/). 4 Si les options avancées sont masquées, cliquez sur Afficher les options avancées. 5 Cliquez sur Expérience utilisateur, puis sur « Créer un compte mobile lors de l’ouverture de session » et, éventuellement, sur « Exiger une confirmation avant de créer un compte mobile ». 6 Si vous sélectionnez les deux options, chaque utilisateur décide de créer ou non un compte mobile à l’ouverture de session. Lorsqu’un utilisateur ouvre une session Mac OS X à l’aide d’un compte d’utilisateur Active Directory, ou lorsqu’il ouvre une session en tant qu’utilisateur réseau, il voit apparaître une zone de dialogue contenant des commandes permettant de créer immédiatement un compte mobile. Si la première option est sélectionnée et que la seconde ne l’est pas, les comptes mobiles sont créés lorsque les utilisateurs ouvrent une session. Si la première option n’est pas sélectionnée, la seconde est désactivée. Cliquez sur OK. Chapitre 8 Réglages avancés des clients de répertoire 191 Configuration de dossiers de départ pour des comptes d’utilisateur Active Directory Sur un ordinateur configuré pour utiliser le module Active Directory de l’Utilitaire de répertoire, vous pouvez activer ou désactiver les dossiers de départ réseau ou locaux pour les comptes d’utilisateur Active Directory. Avec les dossiers de départ réseau, le dossier de départ réseau Windows d’un utilisateur est monté comme le dossier de départ Mac OS X lorsque l’utilisateur ouvre une session. Vous pouvez spécifier s’il faut utiliser le dossier de départ réseau défini par l’attribut homeDirectory standard d’Active Directory ou par l’attribut homeDirectory de Mac OS X, si le schéma Active Directory a été étendu pour l’inclure. Avec les dossiers de départ locaux, chaque utilisateur Active Directory qui ouvre une session d’un dossier de départ sur le disque de démarrage de Mac OS X. De plus, le dossier de départ réseau de l’utilisateur est monté comme un volume réseau, comme un point de partage. L’utilisateur peut copier des fichiers entre ce volume réseau et le dossier de départ local. Pour configurer des dossiers de départ pour des comptes d’utilisateur Active Directory : 1 Ouvrez l’Utilitaire de répertoire et cliquez sur Services. 2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus pour la déverrouiller et tapez le nom et le mot de passe d’un administrateur. 3 Dans la liste des services, sélectionnez Active Directory, puis cliquez sur le bouton Modifier (/). 4 Si les options avancées sont masquées, cliquez sur Afficher les options avancées. 5 Cliquez sur Expérience utilisateur. 6 Cliquez sur « Forcer l’utilisation du répertoire de départ local sur le disque de démarrage » si vous souhaitez que les comptes d’utilisateur Active Directory aient des dossiers de départ locaux dans le dossier /Utilisateurs de l’ordinateur. Cette option n’est pas disponible si la case “Créer un compte mobile lors de l’ouverture de session” est cochée. 7 Pour utiliser l’attribut standard d’Active Directory pour l’emplacement du dossier de départ, sélectionnez « Utiliser le chemin UNC depuis Active Directory pour déduire l’emplacement du répertoire de départ réseau », puis choisissez l’un des protocoles suivants pour accéder au dossier de départ :  Pour utiliser le protocole SMB standard de Windows, choisissez smb dans le menu local « Protocole réseau à utiliser ».  Pour utiliser le protocole AFP standard de Macintosh, choisissez afp dans le menu local « Protocole réseau à utiliser ». 192 Chapitre 8 Réglages avancés des clients de répertoire 8 Pour utiliser l’attribut Mac OS X pour l’emplacement du dossier de départ, décochez la case « Utiliser le chemin UNC depuis Active Directory pour déduire l’emplacement du répertoire de départ réseau ». Pour utiliser l’attribut Mac OS X, le schéma Active Directory doit être étendu pour l’inclure. 9 Cliquez sur OK. Si vous modifiez le nom d’un compte d’utilisateur dans le domaine Active Directory, le serveur créera un nouveau dossier de départ (et des sous-dossiers) pour ce compte d’utilisateur la prochaine fois qu’il sera utilisé pour l’ouverture de session à un ordinateur Mac OS X. L’utilisateur peut toujours atteindre l’ancien dossier de départ et voir son contenu dans le Finder. Vous pouvez empêcher la création d’un nouveau dossier de départ en renommant l’ancien dossier avant la prochaine ouverture de session de l’utilisateur. Configuration d’un shell UNIX pour des comptes d’utilisateur Active Directory Sur un ordinateur configuré pour utiliser le module Active Directory de l’Utilitaire de répertoire, vous pouvez définir le shell de ligne de commande que les utilisateurs disposant d’un compte Active Directory utiliseront par défaut lorsqu’ils interagiront avec Mac OS X dans l’application Terminal. Le shell par défaut est aussi utilisé pour l’interaction à distance via SSH (Secure Shell) ou Telnet. Chaque utilisateur peut redéfinir le shell par défaut en changeant une préférence de Terminal. Pour définir un shell UNIX pour des comptes d’utilisateur Active Directory : 1 Ouvrez l’Utilitaire de répertoire et cliquez sur Services. 2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus pour la déverrouiller et tapez le nom et le mot de passe d’un administrateur. 3 Dans la liste des services, sélectionnez Active Directory, puis cliquez sur le bouton Modifier (/). 4 Si les options avancées sont masquées, cliquez sur Afficher les options avancées. 5 Cliquez sur Expérience utilisateur. 6 Sélectionnez « Shell utilisateur par défaut », puis saisissez le chemin du shell utilisateur par défaut. 7 Cliquez sur OK. Chapitre 8 Réglages avancés des clients de répertoire 193 Association de l’UID à un attribut Active Directory Sur un ordinateur configuré pour utiliser le module Active Directory de l’Utilitaire de répertoire, vous pouvez spécifier l’attribut Active Directory à mapper vers l’attribut d’identifiant d’utilisateur unique (UID) de Mac OS X. Généralement, le schéma Active Directory doit être étendu pour inclure un attribut qui convienne au mappage vers l’UID :  Si l’administrateur Active Directory étend le schéma Active Directory en installant les services pour UNIX de Microsoft, vous pouvez mapper l’UID vers l’attribut msSFU-30-Uid-Number.  Si l’administrateur Active Directory étend manuellement le schéma Active Directory pour qu’il contienne les attributs RFC 2307, vous pouvez mapper l’UID vers uidNumber.  Si l’administrateur Active Directory étend manuellement le schéma Active Directory pour qu’il contienne l’attribut UniqueID de Mac OS X, vous pouvez mapper l’UID vers ce dernier. Si le mappage de l’UID est désactivé, le module Active Directory génère un UID en fonction de l’attribut GUID standard d’Active Directory. AVERTISSEMENT : si vous modifiez ultérieurement le mappage de l’UID, les utilisateurs risquent de perdre l’accès aux fichiers créés précédemment. Pour mapper l’UID à un attribut d’un schéma Active Directory étendu : 1 Ouvrez l’Utilitaire de répertoire et cliquez sur Services. 2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus pour la déverrouiller et tapez le nom et le mot de passe d’un administrateur. 3 Dans la liste des services, sélectionnez Active Directory, puis cliquez sur le bouton Modifier (/). 4 Si les options avancées sont masquées, cliquez sur Afficher les options avancées. 5 Cliquez sur Mappages. 6 Sélectionnez « Mappage UID à attribuer », puis saisissez le nom de l’attribut Active Directory à mapper vers l’UID. 7 Cliquez sur OK. 194 Chapitre 8 Réglages avancés des clients de répertoire Mappage de l’identifiant de groupe principal vers un attribut Active Directory Sur un ordinateur configuré pour utiliser le module Active Directory de l’Utilitaire de répertoire, vous pouvez spécifier l’attribut Active Directory à mapper vers l’attribut d’identifiant de groupe principal (GID) de Mac OS X dans les comptes d’utilisateur. Généralement, le schéma Active Directory doit être étendu pour inclure un attribut qui convienne au mappage vers le GID principal :  Si l’administrateur Active Directory étend le schéma Active Directory en installant les services pour UNIX de Microsoft, vous pouvez mapper le GID principal vers l’attribut msSFU-30-Gid-Number.  Si l’administrateur Active Directory étend manuellement le schéma Active Directory pour qu’il contienne les attributs RFC 2307, vous pouvez mapper le GID principal vers gidNumber.  Si l’administrateur Active Directory étend manuellement le schéma Active Directory pour qu’il contienne l’attribut PrimaryGroupID de Mac OS X, vous pouvez mapper le GID principal vers ce dernier. Si le mappage du GID principal est désactivé, le module Active Directory génère un GID principal en fonction de l’attribut GUID standard d’Active Directory. AVERTISSEMENT : si vous modifiez ultérieurement le mappage du GID principal, les utilisateurs risquent de perdre l’accès aux fichiers créés précédemment. Chapitre 8 Réglages avancés des clients de répertoire 195 Pour mapper le GID principal à un attribut d’un schéma Active Directory étendu : 1 Ouvrez l’Utilitaire de répertoire et cliquez sur Services. 2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus pour la déverrouiller et tapez le nom et le mot de passe d’un administrateur. 3 Dans la liste des services, sélectionnez Active Directory, puis cliquez sur le bouton Modifier (/). 4 Si les options avancées sont masquées, cliquez sur Afficher les options avancées. 5 Cliquez sur Mappages. 6 Sélectionnez « Mappage du GID d’utilisateur à attribuer », puis saisissez le nom de l’attribut Active Directory à mapper vers l’identifiant de groupe principal dans les comptes d’utilisateur. 7 Cliquez sur OK. Mappage de l’identifiant de groupe des comptes de groupe vers un attribut Active Directory Sur un ordinateur configuré pour utiliser le module Active Directory de l’Utilitaire de répertoire, vous pouvez spécifier l’attribut Active Directory à mapper vers l’attribut d’identifiant de groupe (GID) de Mac OS X dans les comptes de groupe. Généralement, le schéma Active Directory doit être étendu pour inclure un attribut qui convienne au mappage vers le GID :  Si l’administrateur Active Directory étend le schéma Active Directory en installant les services pour UNIX de Microsoft, vous pouvez mapper le GID vers l’attribut msSFU30-Gid-Number.  Si l’administrateur Active Directory étend manuellement le schéma Active Directory pour qu’il inclue les attributs RFC 2307, vous pouvez mapper le GID vers gidNumber.  Si l’administrateur Active Directory étend manuellement le schéma Active Directory pour qu’il inclue l’attribut gidNumber de Mac OS X, vous pouvez mapper le GID vers ce dernier. Si le mappage du GID est désactivé, le module Active Directory génère un GID en fonction de l’attribut GUID standard d’Active Directory. AVERTISSEMENT : si vous modifiez ultérieurement le mappage du GID, les utilisateurs risquent de perdre l’accès aux fichiers créés précédemment. 196 Chapitre 8 Réglages avancés des clients de répertoire Pour mapper le GID à un attribut d’un schéma Active Directory étendu : 1 Ouvrez l’Utilitaire de répertoire et cliquez sur Services. 2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus pour la déverrouiller et tapez le nom et le mot de passe d’un administrateur. 3 Dans la liste des services, sélectionnez Active Directory, puis cliquez sur le bouton Modifier (/). 4 Si les options avancées sont masquées, cliquez sur Afficher les options avancées. 5 Cliquez sur Mappages. 6 Sélectionnez « Mappage du GID de groupe à attribuer », puis saisissez le nom de l’attribut Active Directory à mapper vers le GID dans les comptes de groupe. 7 Cliquez sur OK. Spécification d’un serveur Active Directory préféré Sur un ordinateur configuré pour utiliser le module Active Directory de l’Utilitaire de répertoire, vous pouvez spécifier le nom DNS du serveur du domaine Active Directory auquel l’ordinateur doit accéder par défaut. Si le serveur devient indisponible, le module Active Directory bascule sur un autre serveur proche dans la forêt. Si cette option n’est pas sélectionnée, le module Active Directory détermine le domaine Active Directory le plus proche dans la forêt. Pour spécifier un serveur auquel le module Active Directory doit accéder par défaut : 1 Ouvrez l’Utilitaire de répertoire et cliquez sur Services. 2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus pour la déverrouiller et tapez le nom et le mot de passe d’un administrateur. 3 Dans la liste des services, sélectionnez Active Directory, puis cliquez sur le bouton Modifier (/). 4 Si les options avancées sont masquées, cliquez sur Afficher les options avancées. 5 Cliquez sur Administratif. 6 Sélectionnez « Préférer ce serveur de domaine », puis saisissez le nom DNS du serveur Active Directory. 7 Cliquez sur OK. Chapitre 8 Réglages avancés des clients de répertoire 197 Modification des groupes Active Directory autorisés à administrer l’ordinateur Sur un ordinateur configuré pour utiliser le module Active Directory de l’Utilitaire de répertoire, vous pouvez identifier les comptes de groupe Active Directory dont les membres doivent avoir des autorisations d’administrateur pour l’ordinateur. Les utilisateurs qui sont membres de ces comptes de groupe Active Directory peuvent effectuer des tâches administratives comme, par exemple, installer des logiciels sur l’ordinateur Mac OS X que vous êtes en train de configurer. Pour ajouter ou supprimer des comptes de groupe Active Directory dont les membres ont des autorisations d’administrateur : 1 Ouvrez l’Utilitaire de répertoire et cliquez sur Services. 2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus pour la déverrouiller et tapez le nom et le mot de passe d’un administrateur. 3 Dans la liste des services, sélectionnez Active Directory, puis cliquez sur le bouton Modifier (/). 4 Si les options avancées sont masquées, cliquez sur Afficher les options avancées. 5 Cliquez sur Administratif. 6 Sélectionnez « Permettre l’administration par », puis modifiez la liste des comptes de groupe Active Directory dont les membres doivent avoir des autorisations d’administrateur :  Pour ajouter un groupe, cliquez sur le bouton Ajouter (+) et saisissez le nom de domaine Active Directory, une barre oblique inverse et le nom du compte de groupe (par exemple, ADS\Domain Admins,IL2\Domain Admins).  Pour supprimer un groupe, sélectionnez-le dans la liste, puis cliquez sur le bouton Supprimer (–). 7 Cliquez sur OK. 198 Chapitre 8 Réglages avancés des clients de répertoire Contrôle de l’authentification à partir de tous les domaines de la forêt Active Directory Sur un ordinateur configuré pour utiliser le module Active Directory de l’Utilitaire de répertoire, vous pouvez autoriser les utilisateurs de la forêt Active Directory à s’authentifier à partir de tous les domaines, ou vous pouvez limiter l’authentification aux utilisateurs de domaines spécifiques. Pour contrôler si les utilisateurs peuvent s’authentifier depuis tous les domaines de la forêt : 1 Ouvrez l’Utilitaire de répertoire et cliquez sur Services. 2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus pour la déverrouiller et tapez le nom et le mot de passe d’un administrateur. 3 Dans la liste des services, sélectionnez Active Directory, puis cliquez sur le bouton Modifier (/). 4 Si les options avancées sont masquées, cliquez sur Afficher les options avancées. 5 Cliquez sur Administratif. 6 Sélectionnez « Autoriser l’authentification depuis n’importe quel domaine de la forêt ». Si vous cochez la case “Autoriser l’authentification depuis n’importe quel domaine de la forêt”, vous pouvez ajouter la forêt Active Directory aux politiques de recherche personnalisées pour l’authentification et les contacts de l’ordinateur. Lorsque vous ajoutez une forêt Active Directory à une règle de recherche personnalisée, la forêt apparaît dans la liste des domaines de répertoire disponibles sous la forme « /Active Directory/All Domains ». (Il s’agit du réglage par défaut). Si vous désélectionnez la case « Autoriser l’authentification depuis n’importe quel domaine de la forêt », vous pouvez ajouter des domaines Active Directory aux politiques de recherche personnalisées pour l’authentification et les contacts de l’ordinateur individuellement. Lorsque vous ajoutez des domaines Active Directory à une règle de recherche personnalisée, chacun d’eux apparaît séparément dans la liste des domaines de répertoire disponibles. 7 Cliquez sur OK. 8 Après avoir sélectionné « Autoriser l’authentification depuis n’importe quel domaine de la forêt », modifiez la règle de recherche personnalisée dans les sous-fenêtres Authentification et Contacts pour inclure la forêt Active Directory ou les domaines sélectionnés. Pour en savoir plus sur la modification des règles de recherche personnalisées, consultez la rubrique « Définition de politiques de recherche personnalisées » à la page 153. Chapitre 8 Réglages avancés des clients de répertoire 199 Rupture de la liaison avec le serveur Active Directory Si l’ordinateur utilise le module Active Directory de l’Utilitaire de répertoire pour se lier à un serveur Active Directory, vous pouvez rompre cette liaison. Vous pouvez forcer la rupture de la liaison si l’ordinateur ne parvient pas à contacter le serveur ou si la fiche d’ordinateur a été supprimée du serveur. Pour rompre la liaison de l’ordinateur avec le serveur Active Directory : 1 Ouvrez l’Utilitaire de répertoire et cliquez sur Services. 2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus pour la déverrouiller et tapez le nom et le mot de passe d’un administrateur. 3 Dans la liste des services, sélectionnez Active Directory, puis cliquez sur le bouton Modifier (/). 4 Cliquez sur Rompre la liaison, authentifiez-vous en tant qu’utilisateur disposant des droits nécessaires pour rompre une connexion au domaine Active Directory, puis cliquez sur OK. Si un avertissement s’affiche pour indiquer que les informations d’authentification ne sont pas acceptées ou que l’ordinateur ne parvient pas à contacter Active Directory, cliquez sur « Forcer à rompre le lien » pour forcer la rupture de la connexion. Si vous forcez la rupture de la liaison, Active Directory disposera toujours d’une fiche d’ordinateur pour cet ordinateur. Prévenez l’administrateur Active Directory pour qu’il supprime la fiche d’ordinateur. 5 Dans la sous-fenêtre Services, désélectionnez le réglage Activer d’Active Directory, puis cliquez sur Appliquer. Modification de comptes d’utilisateur et d’autres enregistrements dans Active Directory Vous pouvez utiliser Gestionnaire de groupe de travail pour modifier les comptes d’utilisateur, les comptes de groupe, les groupes d’ordinateurs et d’autres fiches dans un domaine Active Directory. Vous pouvez également utiliser Gestionnaire de groupe de travail pour supprimer des fiches dans un domaine Active Directory. Si le schéma Active Directory a été étendu pour inclure les types de fiches (classes d’objets) et les attributs Mac OS X standard, vous pouvez utiliser Gestionnaire de groupe de travail pour créer et modifier des groupes d’ordinateurs dans le domaine Active Directory. Pour en savoir plus sur l’utilisation des comptes d’utilisateur, des comptes de groupe et des groupes d’ordinateurs, consultez le guide Gestion des utilisateurs. Pour créer des comptes d’utilisateur ou de groupe dans un domaine Active Directory, utilisez les outils d’administration Active Directory de Microsoft sur un ordinateur d’administration serveur Windows. 200 Chapitre 8 Réglages avancés des clients de répertoire Configuration de l’accès LDAP aux domaines Active Directory L’Utilitaire de répertoire vous permet de définir une configuration LDAPv3 afin d’accéder à un domaine Active Directory situé sur un serveur Windows. Une configuration LDAPv3 vous donne un contrôle total sur le mappage des types de fiches et des attributs Mac OS X vers les classes d’objets, bases de recherche et attributs Active Directory. Le mappage de certains types de fiches et d’attributs Mac OS X importants, tels que l’UID (identifiant d’utilisateur unique), nécessite l’extension du schéma Active Directory. Les fonctionnalités suivantes du module Active Directory de l’Utilitaire de répertoire ne sont pas incluses dans les configurations LDAPv3 :  génération dynamique d’un identifiant d’utilisateur unique et d’un identifiant de groupe principal ;  création d’un dossier de départ Mac OS X local ;  montage automatique d’un dossier de départ Windows ;  comptes d’utilisateur mobiles avec mise en cache des informations d’authentification ;  détection de tous les domaines d’une forêt Active Directory ;  prise en charge de la réplication et du basculement Active Directory. Pour en savoir plus, consultez la rubrique « À propos de l’accès à Active Directory » à la page 186. Pour créer une configuration de serveur Active Directory : 1 Ouvrez l’Utilitaire de répertoire et cliquez sur Services. 2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus pour la déverrouiller et tapez le nom et le mot de passe d’un administrateur. 3 Dans la liste des services, sélectionnez LDAPv3, puis cliquez sur le bouton Modifier (/). 4 Cliquez sur Nouveau et saisissez le nom DNS ou l’adresse IP du serveur Active Directory. 5 Sélectionnez une ou plusieurs des options suivantes pour l’accès au répertoire, puis cliquez sur Continuer pour que l’Utilitaire de répertoire obtienne des informations auprès du serveur Active Directory.  Sélectionnez « Chiffrer via SSL » si vous souhaitez qu’Open Directory utilise le protocole SSL pour les connexions avec le serveur Active Directory. Avant de cocher la case SSL, demandez à votre administrateur Open Directory si le protocole SSL est requis.  Sélectionnez « Utiliser pour l’authentification » si ce répertoire contient des comptes d’utilisateur que quelqu’un va utiliser pour l’ouverturede session ou l’authentification à des services.  Cochez la case « Utiliser pour les contacts » si ce répertoire contient des adresses électroniques et d’autres informations que vous souhaitez utiliser dans Carnet d’adresses. Chapitre 8 Réglages avancés des clients de répertoire 201 Si l’Utilitaire de répertoire ne parvient pas à contacter le serveur Active Directory, un message s’affiche et vous devez alors configurer l’accès manuellement ou annuler le processus de configuration. Pour en savoir plus, consultez la rubrique « Configuration manuelle de l’accès à un répertoire LDAP » à la page 163. Si vous avez sélectionné l’option « Utiliser pour l’authentification » ou « Utiliser pour les contacts », la connexion LDAPv3 au domaine Active Directory est ajoutée à une règle de recherche personnalisée dans la sous-fenêtre Authentification ou Contacts de l’Utilitaire de répertoire. Assurez-vous que LDAPv3 est activé dans la sous-fenêtre Services afin que l’ordinateur utilise la connexion que vous configurez. Pour en savoir plus, consultez la rubrique « Activation ou désactivation des services de répertoires LDAP » à la page 156. 6 Si la zone de dialogue se développe pour afficher des options de mappage, choisissez Active Directory dans le menu local, saisissez la base de recherche, puis cliquez sur Continuer. Le modèle de mappage Active Directory pour une configuration LDAPv3 mappe certains attributs et types d’enregistrements Mac OS X vers des classes d’objets et des attributs qui ne font pas partie d’un schéma Active Directory standard. Il est possible de modifier les mappages définis par le modèle ou d’étendre le schéma Active Directory. Vous pouvez également accéder à votre domaine Active Directory via le module Active Directory et non via LDAPv3. Pour en savoir plus, consultez « Configuration de l’accès à un domaine Active Directory ». 7 Lorsque la zone de dialogue se développe pour afficher des options de connexion, saisissez le nom distinctif et le mot de passe d’un compte d’utilisateur Active Directory. 8 Cliquez sur OK pour terminer la création de la connexion LDAP. 9 Cliquez sur OK pour terminer la configuration des options LDAPv3. Définition des réglages NIS L’Utilitaire de répertoire permet de créer une configuration définissant la manière dont Mac OS X accède à un domaine NIS (Network Information Service). Pour créer une configuration d’accès à un domaine NIS : 1 Ouvrez l’Utilitaire de répertoire et cliquez sur Services. 2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus pour la déverrouiller et tapez le nom et le mot de passe d’un administrateur. 3 Dans la liste des services, sélectionnez « Fichier plat BSD et NIS », puis cliquez sur le bouton Modifier (/). 202 Chapitre 8 Réglages avancés des clients de répertoire 4 Saisissez le nom du domaine NIS, ou le nom DNS ou l’adresse IP du serveur sur lequel se trouve le domaine NIS. Incluez le nom d’hôte ou l’adresse IP du serveur NIS s’il est nécessaire pour des raisons de sécurité ou si le serveur n’est pas sur le même sous-réseau que l’ordinateur que vous êtes en train de configurer. Si vous ne spécifiez pas de serveur, NIS utilise un protocole Broadcast pour détecter un serveur NIS sur le sous-réseau. 5 Cochez la case “Utiliser le domaine NIS pour l’authentification”, puis cliquez sur OK. Le domaine NIS est ajouté à la règle de recherche d’authentification de l’ordinateur sous la forme /BSD/domaine, où domaine correspond au nom que vous avez saisi à l’étape 4. Définition des réglages de fichier de configuration BSD Les ordinateurs UNIX stockent traditionnellement les données administratives dans des fichiers de configuration tels que /etc/master.passwd, /etc/group et /etc/hosts. Mac OS X est basé sur une version BSD d’UNIX, mais reçoit les données administratives normalement de systèmes de répertoire. Mac OS X Server prend en charge un jeu fixe de fichiers de configuration BSD. Vous ne pouvez pas spécifier les fichiers de configuration à utiliser, ni mapper leur contenu vers des attributs et types d’enregistrements Mac OS X. Dans Mac OS X 10.2 ou ultérieur (y compris Mac OS X Server 10.2 ou ultérieur), Open Directory peut lire des données administratives à partir de fichiers de configuration BSD. Cette fonction permet aux organisations disposant de fichiers de configuration BSD d’utiliser des copies des fichiers existants sur les ordinateurs Mac OS X. Les fichiers de configuration BSD peuvent être utilisés seuls ou avec d’autres domaines de répertoire. Pour utiliser des fichiers de configuration BSD : 1 Assurez-vous que les fichiers de configuration BSD contiennent les données requises par les services de répertoire Mac OS X. Pour en savoir plus, consultez la rubrique « Configuration de données dans des fichiers de configuration BSD » à la page 204. 2 Ouvrez l’Utilitaire de répertoire et cliquez sur Services. 3 Si l’icône représentant le cadenas est verrouillée, cliquez dessus pour la déverrouiller et tapez le nom et le mot de passe d’un administrateur. 4 Dans la liste des services, sélectionnez « Fichier plat BSD et NIS », puis cliquez sur le bouton Modifier (/). Chapitre 8 Réglages avancés des clients de répertoire 203 5 Sélectionnez « Utiliser les fichiers locaux BSD (/etc) pour l’authentification », puis cliquez sur OK. Le domaine des fichiers de configuration BSD est ajouté à la politique de recherche d’authentification de l’ordinateur comme /BSD/local. Configuration de données dans des fichiers de configuration BSD Si vous voulez qu’un ordinateur Mac OS X lise des données administratives à partir de fichiers de configuration BSD, ces données doivent être présentes dans ces fichiers et doivent être au format requis par Mac OS X. Vous pouvez être amené à ajouter, modifier ou réorganiser des données dans les fichiers. Gestionnaire de groupe de travail ne pouvant modifier les données des fichiers de configuration BSD, vous devez procéder aux modifications nécessaires à l’aide d’un éditeur de texte ou d’un autre outil. Le tableau suivant répertorie les noms des fichiers et décrit leur contenu. Fichier de configuration BSD Contient /etc/master.passwd ; Noms d’utilisateur, mots de passe, identifiants, identifiants de groupe principal, etc. /etc/group ; Noms de groupe, identifiants et membres /etc/fstab. Montages NFS /etc/hosts ; Noms et adresses d’ordinateur /etc/networks Noms et adresses de réseau /etc/services Noms de service, ports et protocoles /etc/protocols Noms et numéros des protocoles IP /etc/rpcs Serveurs RPC Open Network Computing /etc/printcap Noms et fonctionnalités d’imprimante /etc/bootparams Réglages Bootparam /etc/bootp Réglages Bootp /etc/aliases Alias et listes de distribution de Mail /etc/netgroup Noms de groupe et membres à l’échelle du réseau Pour en savoir plus sur les données requises par les services de répertoire de Mac OS X, consultez l’annexe « Données de répertoire Mac OS X ». 204 Chapitre 8 Réglages avancés des clients de répertoire 9 Maintenance des services Open Directory 9 Vous pouvez contrôler les services Open Directory, afficher et modifier les données brutes des domaines Open Directory et effectuer une sauvegarde des fichiers Open Directory. Voici les principales tâches que vous aurez à effectuer régulièrement dans le cadre de la gestion des services Open Directory :  « Contrôle de l’accès aux serveurs et services Open Directory » à la page 205  « Contrôle d’Open Directory » à la page 209  « Affichage et modification des données de répertoire » à la page 212  « Importation d’enregistrements de tous types » à la page 217  « Définition des options d’un serveur Open Directory » à la page 217  « Gestion de la réplication Open Directory » à la page 224  « Archivage d’un maître Open Directory » à la page 230  « Restauration d’un maître Open Directory » à la page 231 Pour obtenir des informations sur la résolution des problèmes liés à Open Directory, consultez la rubrique « Résolution de problèmes liés à Open Directory » à la page 235. Contrôle de l’accès aux serveurs et services Open Directory Vous pouvez contrôler l’accès à un maître ou à une réplique Open Directory en contrôlant quelles personnes peuvent ouvrir une session à l’aide de la fenêtre d’ouverture de session ou de l’outil de ligne de commande ssh. Pour en savoir plus, consultez :  « Contrôle de l’accès à la fenêtre d’ouverture de session d’un serveur » à la page 206  « Contrôle de l’accès au service SSH » à la page 206  « Configuration du contrôle d’accès à un service » à la page 207  « Configuration de privilèges de fiche » à la page 208 205 Contrôle de l’accès à la fenêtre d’ouverture de session d’un serveur Vous pouvez utiliser Admin Serveur pour contrôler quels utilisateurs peuvent ouvrir une session Mac OS X Server à l’aide de la fenêtre d’ouverture de session. Les utilisateurs disposant d’autorisations d’administrateur de serveur sont toujours autorisés à ouvrir une session sur le serveur. Pour contrôler l’utilisation de la fenêtre d’ouverture de session sur un serveur : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur Réglages, puis sur Accès. 3 Cliquez sur Services. 4 Sélectionnez « Pour les services sélectionnés », puis choisissez « Fenêtre d’ouverture de session » dans la liste de gauche. 5 Sélectionnez « Autoriser les utilisateurs et groupes ci-dessous », puis modifiez la liste des utilisateurs et des groupes que vous souhaitez autoriser à ouvrir une session à l’aide de la fenêtre d’ouverture de session du serveur :  Ajoutez les utilisateurs ou groupes qui peuvent utiliser la fenêtre d’ouverture de session en cliquant sur le bouton Ajouter (+) et en fournissant les informations requises.  Supprimez des utilisateurs ou des groupes de la liste en en sélectionnant un ou plusieurs, puis en cliquant sur le bouton Supprimer (–). 6 Cliquez sur Enregistrer. Si la case « Autoriser tous les utilisateurs et groupes » est cochée lorsque vous sélectionnez « Pour les services sélectionnés » à l’étape 4, tous les services à l’exception de la fenêtre d’ouverture de session seront accessibles à tous les utilisateurs et groupes. Si vous souhaitez restreindre l’accès à un service énuméré dans la liste en plus de la fenêtre d’ouverture de session, sélectionnez-le, cochez la case « Autoriser les utilisateurs et groupes ci-dessous », puis ajoutez des utilisateurs et des groupes à la liste. Si vous souhaitez que tous les utilisateurs puissent ouvrir une session à l’aide de la fenêtre d’ouverture de session du serveur, sélectionnez « Fenêtre d’ouverture de session », puis cochez la case « Autoriser tous les utilisateurs et groupes ». Contrôle de l’accès au service SSH Vous pouvez utiliser Admin Serveur pour contrôler les utilisateurs qui peuvent ouvrir une connexion par la ligne de commande à Mac OS X Server à l’aide de la commande ssh dans Terminal. Les utilisateurs disposant d’autorisations d’administrateur de serveur sont toujours autorisés à se connecter à l’aide de la commande ssh. La commande ssh utilise le service SSH (Secure Shell). Pour en savoir plus sur l’utilisation de la commande ssh, consultez le document Administration de ligne de commande. 206 Chapitre 9 Maintenance des services Open Directory Pour contrôler l’ouverture d’une connexion SSH à un serveur distant : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur Réglages, puis sur Accès. 3 Cliquez sur Services. 4 Sélectionnez « Pour les services sélectionnés », puis choisissez SSH dans la liste de gauche. 5 Sélectionnez « Autoriser les utilisateurs et groupes ci-dessous », puis modifiez la liste des utilisateurs et des groupes que vous souhaitez autoriser à se connecter au serveur via SSH :  Ajoutez les utilisateurs ou groupes autorisés à ouvrir des connexions SSH en cliquant sur le bouton Ajouter (+) et en fournissant les informations requises.  Supprimez des utilisateurs ou des groupes de la liste en en sélectionnant un ou plusieurs, puis en cliquant sur le bouton Supprimer (–). 6 Cliquez sur Enregistrer. Si la case « Autoriser tous les utilisateurs et groupes » est cochée lorsque vous sélectionnez « Pour les services sélectionnés » à l’étape 4, tous les services à l’exception de SSH seront accessibles à tous les utilisateurs et groupes. Si vous souhaitez restreindre l’accès à un service énuméré dans la liste en plus de SSH, sélectionnez-le, cochez la case « Autoriser les utilisateurs et groupes ci-dessous », puis ajoutez des utilisateurs et des groupes à la liste. Si vous souhaitez que tous les utilisateurs puissent ouvrir une connexion SSH avec le serveur, sélectionnez SSH, puis cochez la case « Autoriser tous les utilisateurs et groupes ». Configuration du contrôle d’accès à un service Vous pouvez configurer des listes de contrôle d’accès à un service (SACL) à l’aide d’Admin Serveur. Les SACL vous permettent de spécifier quels administrateurs ont accès à Open Directory. Les SACL offrent une plus grande souplesse pour la définition des administrateurs autorisés à contrôler et à gérer le service. Seuls les utilisateurs et les groupes qui figurent dans une SACL ont accès au service en question. Par exemple, si vous souhaitez accorder un accès administrateur à des utilisateurs ou groupes pour le service Open Directory sur votre serveur, vous pouvez les ajouter à la SACL Open Directory. Chapitre 9 Maintenance des services Open Directory 207 Pour définir des autorisations d’administrateur SACL pour le service Open Directory : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur Réglages, puis sur Accès. 3 Cliquez sur Administrateurs. 4 Sélectionnez le niveau de restriction souhaité pour les services. Pour restreindre l’accès à tous les services, sélectionnez « Pour tous les services ». Pour définir des autorisations d’accès pour des services individuels, sélectionnez « Pour les services sélectionnés », puis choisissez Open Directory dans la liste des services. 5 Cliquez sur le bouton Ajouter (+) pour ouvrir le volet Utilisateurs et groupes. 6 Faites glisser des utilisateurs et des groupes du volet Utilisateurs et groupes vers la liste. 7 Définissez l’autorisation des utilisateurs. Pour accorder un accès administrateur, choisissez Administrateur dans le menu local Autorisation situé en regard du nom d’utilisateur. Pour accorder un accès de contrôle, choisissez Surveiller dans le menu local Autorisation situé en regard du nom d’utilisateur. 8 Cliquez sur Enregistrer. Configuration de privilèges de fiche Vous pouvez configurer des privilèges de fiche à l’aide d’Admin Serveur. Ces privilèges vous permettent de spécifier les utilisateurs ou groupes autorisés à administrer les types de fiches et les attributs dans la base de données du domaine de répertoire. Pour configurer des privilèges pour des types de fiches et des attributs : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle se trouvant à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez Open Directory. 4 Cliquez sur Réglages, puis sur Autorisations. 5 Dans la liste Enregistrement, sélectionnez les types de fiches et les attributs que les utilisateurs ou groupes pourront administrer. Administrer signifie que l’utilisateur peut modifier les caractéristiques d’une fiche existante. Pour autoriser les utilisateurs sélectionnés à administrer toutes les fiches, sélectionnez « Pour toutes les fiches ». Pour autoriser les utilisateurs sélectionnés à administrer des fiches spécifiques, sélectionnez « Pour les fiches sélectionnées », puis choisissez les fiches que vos utilisateurs pourront administrer. 6 Cliquez sur le bouton Ajouter (+) pour ouvrir le volet Utilisateurs et groupes. 208 Chapitre 9 Maintenance des services Open Directory 7 Faites glisser des utilisateurs et des groupes du volet Utilisateurs et groupes vers la liste. Les utilisateurs que vous ajoutez à la liste auront l’autorisation d’administrer la fiche en question. 8 Dans la liste Enregistrement, sélectionnez les types de fiches et les attributs que les utilisateurs ou groupes pourront créer. Créer signifie que l’utilisateur pourra créer le type de fiche en question (par exemple, créer une salle de conférence). Pour autoriser les utilisateurs sélectionnés à créer toutes les fiches, sélectionnez « Pour toutes les fiches ». Pour autoriser les utilisateurs sélectionnés à créer des fiches spécifiques, sélectionnez « Pour les fiches sélectionnées », puis choisissez les fiches que vos utilisateurs pourront créer. 9 Cliquez sur le bouton Ajouter (+) pour ouvrir le volet Utilisateurs et groupes. 10 Faites glisser des utilisateurs et des groupes du volet Utilisateurs et groupes vers la liste. Les utilisateurs que vous ajoutez à la liste auront l’autorisation de créer la fiche en question. 11 Cliquez sur Enregistrer. Contrôle d’Open Directory Vous pouvez afficher les états et les historiques d’Open Directory. Vous pouvez également examiner les historiques d’authentification Open Directory pour y chercher des traces d’activités suspectes. Pour obtenir des instructions, consultez les rubriques suivantes :  « Contrôle de l’état d’un serveur Open Directory » à la page 210  « Contrôle des répliques et des relais d’un maître Open Directory » à la page 210  « Affichage des états et des historiques Open Directory » à la page 211  « Contrôle de l’authentification Open Directory » à la page 211 Chapitre 9 Maintenance des services Open Directory 209 Contrôle de l’état d’un serveur Open Directory Vous pouvez contrôler le bon fonctionnement du maître Open Directory à l’aide d’Admin Serveur. Pour contrôler l’état d’un serveur Open Directory : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle se trouvant à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez Open Directory. 4 Cliquez sur Vue d’ensemble. 5 Assurez-vous que l’état de tous les éléments répertoriés dans la sous-fenêtre d’aperçu Open Directory est bien « En service ». Si l’un ou l’autre des éléments est arrêté, cliquez sur Réactualiser (ou choisissez Présentation > Réactualiser). Si Kerberos reste arrêté, consultez la rubrique « Si Kerberos est arrêté sur un maître ou une réplique Open Directory » à la page 235. Contrôle des répliques et des relais d’un maître Open Directory Grâce à Admin Serveur, vous pouvez contrôler l’état de la création de répliques et de la réplication en cours. Pour contrôler les répliques et les relais d’un maître Open Directory : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle se trouvant à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez Open Directory. 4 Cliquez sur Réglages puis sur Général pour afficher la liste des répliques et l’état de chacune d’elles. L’état d’une nouvelle réplique indique si sa création a réussi. Ensuite, l’état indique si la dernière tentative de réplication a réussi. 210 Chapitre 9 Maintenance des services Open Directory Affichage des états et des historiques Open Directory Vous pouvez utiliser Admin Serveur pour afficher les informations d’état et les historiques des services Open Directory. Les historiques suivants sont disponibles :  Historique du serveur de services de répertoires  Historique des erreurs des services de répertoires  Historique kadmin  Historique kdc  LDAPhistorique  Historique du serveur du service de mot de passe  Historique des erreurs du service de mot de passe  Historique de réplication du service de mot de passe  Historique slapconfig Pour visualiser des historiques ou des états de services de répertoires : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle se trouvant à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez Open Directory. 4 Cliquez sur Vue d’ensemble pour afficher les informations d’état. 5 Cliquez sur Historiques et utilisez le menu local Afficher pour choisir l’historique que vous souhaitez consulter. Le chemin d’accès au fichier d’historique est affiché au-dessus de l’historique. 6 Si vous le souhaitez, vous pouvez saisir du texte dans le champ Filtre et appuyer sur Retour pour n’afficher que les lignes contenant le texte que vous avez saisi. Contrôle de l’authentification Open Directory Vous pouvez utiliser les historiques du service de mot de passe, que vous pouvez consulter à l’aide d’Admin Serveur, pour contrôler les tentatives d’ouverture de session ayant échoué et ainsi identifier les activités suspectes. Open Directory consigne les échecs d’authentification dans des historiques, y compris les adresses IP qui les ont générés. Réexaminez régulièrement les historiques afin de déterminer s’il existe un grand nombre de tentatives infructueuses pour un même identifiant de mot de passe, ce qui indiquerait qu’une personne est peut-être en train d’essayer de deviner des mots de passe. Chapitre 9 Maintenance des services Open Directory 211 Pour afficher les historiques d’authentification Open Directory : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle se trouvant à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez Open Directory. 4 Cliquez sur Historiques, puis choisissez l’historique kdc ou un historique du service de mot de passe dans le menu local Afficher. Affichage et modification des données de répertoire Vous pouvez afficher ou modifier les données de répertoire brutes à l’aide de l’Inspecteur dans Gestionnaire de groupe de travail. À l’aide de l’Inspecteur, vous pouvez afficher les données de répertoire que vous ne pouvez pas consulter autrement dans Gestionnaire de groupe de travail. L’Inspecteur vous permet de modifier les données de répertoire que vous ne pouvez pas modifier autrement dans Gestionnaire de groupe de travail. Vous pouvez, par exemple, utiliser l’Inspecteur pour modifier le nom abrégé d’un utilisateur. Pour en savoir plus, consultez :  « Affichage de l’Inspecteur de répertoire » à la page 212  « Masquage de l’inspecteur de répertoire » à la page 213  « Définition de contrôles d’accès aux répertoires (DAC, Directory Access Controls) » à la page 213  « Suppression d’enregistrements » à la page 214  « Suppression d’utilisateurs ou d’ordinateurs à l’aide de l’Inspecteur ou de la ligne de commande » à la page 215  « Modification du nom abrégé d’un utilisateur » à la page 216 Affichage de l’Inspecteur de répertoire Vous pouvez afficher l’Inspecteur dans Gestionnaire de groupe de travail en sélectionnant une option dans les Préférences de Gestionnaire de groupe de travail. Vous pouvez ensuite accéder à l’Inspecteur pour visualiser ou modifier des données de répertoire brutes. AVERTISSEMENT : la modification de données de répertoire brutes peut avoir des conséquences imprévisibles et indésirables. Vous pourriez involontairement désactiver un utilisateur ou un ordinateur, ou autoriser les utilisateurs à accéder à un nombre plus élevé de ressources que prévu. 212 Chapitre 9 Maintenance des services Open Directory Pour afficher l’Inspecteur : 1 Ouvrez Gestionnaire de groupe de travail. 2 Choisissez Gestionnaire de groupe de travail > Préférences. 3 Sélectionnez “Afficher l’inspecteur et l’onglet Toutes les fiches”, puis cliquez sur OK. 4 Pour afficher les attributs d’utilisateur, de groupe, d’ordinateur ou de groupe d’ordinateurs, cliquez sur le bouton Utilisateurs, Groupe, Ordinateur ou Groupe d’ordinateurs, puis sur Inspecteur (à droite). 5 Pour afficher d’autres types de fiches, cliquez sur le bouton Toutes les fiches en regard du bouton Groupe d’ordinateurs, puis choisissez un type de fiche dans le menu local situé en haut de la liste. Le menu local affiche tous les types d’enregistrement standard qui existent dans le domaine de répertoire. Vous pouvez également choisir Natif dans le menu local, puis saisir le nom d’une fiche d’origine dans le champ qui apparaît sous le menu local. La liste affiche toutes les fiches, y compris les fiches prédéfinies, du type de fiche sélectionné. Masquage de l’inspecteur de répertoire Si l’Inspecteur est visible dans Gestionnaire de groupe de travail, vous pouvez le masquer en modifiant une option dans les Préférences de Gestionnaire de groupe de travail. Pour masquer l’Inspecteur : 1 Ouvrez Gestionnaire de groupe de travail. 2 Choisissez Gestionnaire de groupe de travail > Préférences. 3 Désélectionnez “Afficher l’inspecteur et l’onglet Toutes les fiches”, puis cliquez sur OK. Définition de contrôles d’accès aux répertoires (DAC, Directory Access Controls) Open Directory permet de définir des contrôles d’accès aux répertoires (DAC) pour toutes les parties de l’annuaire LDAP ; vous pouvez ainsi spécifier quels utilisateurs sont autorisés à apporter des modifications et ce qu’ils sont autorisés à modifier. Open Directory stocke les contrôles d’accès aux répertoires dans une fiche apple-acl que vous pouvez modifier à l’aide de l’Inspecteur de Gestionnaire de groupe de travail. Pour modifier les contrôles d’accès aux répertoires : 1 Ouvrez Gestionnaire de groupe de travail et affichez l’Inspecteur s’il est masqué. Pour en savoir plus, consultez la rubrique « Affichage de l’Inspecteur de répertoire » à la page 212. 2 Ouvrez le domaine de répertoire pour lequel vous souhaitez définir des contrôles d’accès et authentifiez-vous comme administrateur du domaine. Pour ouvrir un domaine de répertoire, cliquez sur l’icône de globe au-dessus de la liste des utilisateurs, puis choisissez un domaine dans le menu local. Chapitre 9 Maintenance des services Open Directory 213 3 Cliquez sur le bouton Toutes les fiches (en regard du bouton Groupe d’ordinateurs), puis choisissez AccessControls dans le menu local situé en haut de la liste. 4 Sélectionnez « par défaut » dans la liste des fiches. 5 Sélectionnez AccessControlEntry dans la liste des attributs ; si un triangle est visible en regard d’AccessControlEntry, cliquez dessus pour afficher toutes les entrées de contrôle d’accès. 6 Sélectionnez AccessControlEntry, puis cliquez sur Modifier pour changer la valeur ou cliquez sur Nouvelle valeur pour ajouter une valeur AccessControlEntry. Vous pouvez aussi double-cliquer sur une valeur pour la modifier. 7 Cliquez sur Enregistrer. Suppression d’enregistrements Vous pouvez utiliser l’Inspecteur de Gestionnaire de groupe de travail pour supprimer une fiche. AVERTISSEMENT : après avoir utilisé l’Inspecteur pour supprimer une fiche d’utilisateur ou d’ordinateur, utilisez les outils de ligne de commande pour supprimer l’identité Kerberos et le logement de serveur de mots de passe correspondants. Si vous conservez une identité Kerberos ou un logement de serveur de mots de passe après avoir supprimé la fiche correspondante, des conflits peuvent se produire ultérieurement lors de la création d’une fiche d’utilisateur ou d’ordinateur. AVERTISSEMENT : la suppression d’enregistrements peut provoquer un comportement désordonné du serveur ou son arrêt. Ne supprimez une fiche que si vous êtes sûr qu’elle n’est pas requise pour le bon fonctionnement du serveur. Pour supprimer des enregistrements avec l’Inspecteur : 1 Ouvrez Gestionnaire de groupe de travail et affichez l’Inspecteur s’il est masqué. Pour en savoir plus, consultez la rubrique « Affichage de l’Inspecteur de répertoire » à la page 212. 2 Ouvrez le domaine de répertoire dans lequel vous souhaitez supprimer une fiche, puis authentifiez-vous en tant qu’administrateur du domaine. Pour ouvrir un domaine de répertoire, cliquez sur l’icône de globe au-dessus de la liste des utilisateurs, puis choisissez un domaine dans le menu local. 3 Cliquez sur le bouton Toutes les fiches (en regard du bouton Groupe d’ordinateurs), puis choisissez un type de fiche dans le menu local situé en haut de la liste. 4 Sélectionnez la ou les fiches à supprimer dans la liste des fiches. 5 Cliquez sur Supprimer (ou choisissez Serveur > Supprimer les fiches sélectionnées). 214 Chapitre 9 Maintenance des services Open Directory Suppression d’utilisateurs ou d’ordinateurs à l’aide de l’Inspecteur ou de la ligne de commande Si vous utilisez l’Inspecteur dans Gestionnaire de groupe de travail ou les outils de ligne de commande dans Terminal pour supprimer une fiche d’utilisateur ou d’ordinateur dont l’attribut AuthenticationAuthority inclut une valeur Kerberos ou de serveur de mots de passe, vous devez supprimer l’identité Kerberos et le logement de serveur de mots de passe correspondants. Si vous conservez une identité Kerberos dans le centre de distribution de clés Kerberos ou un logement de serveur de mots de passe après avoir supprimé la fiche correspondante, des conflits peuvent se produire ultérieurement lors de la création d’une fiche d’utilisateur ou d’ordinateur. Si l’attribut AuthenticationAuthority inclut une valeur commençant par ;Kerberosv5;, utilisez la commande delete_principal de l’outil de ligne de commande kadmin.local dans Terminal pour supprimer l’identité Kerberos correspondante du centre de distribution de clés Kerberos. Pour en savoir plus, consultez la page man de kadmin.local. Si l’attribut AuthenticationAuthority inclut une valeur commençant par ;ApplePasswordServer;, utilisez la commande -deleteslot de l’outil de ligne de commande mkpassdb dans Terminal pour supprimer le logement de serveur de mots de passe c orrespondant. Pour en savoir plus, consultez la page man de mkpassdb. Si vous supprimez un compte d’utilisateur dans Gestionnaire de groupe de travail en cliquant sur le bouton Utilisateur (et non sur le bouton Toutes les fiches) situé à gauche, en sélectionnant le compte d’utilisateur, puis en cliquant sur Supprimer dans la barre d’outils de Gestionnaire de groupe de travail (ou en choisissant Serveur > Supprimer l’utilisateur sélectionné), Gestionnaire de groupe de travail supprime automatiquement le logement de serveur de mots de passe et l’identité Kerberos du compte d’utilisateur. De même, si vous supprimez une fiche d’ordinateur en la sélectionnant dans un groupe d’ordinateurs puis en cliquant sur le bouton Supprimer (–), Gestionnaire de groupe de travail supprime automatiquement le logement de serveur de mots de passe et l’identité Kerberos du compte d’utilisateur. Chapitre 9 Maintenance des services Open Directory 215 Modification du nom abrégé d’un utilisateur Pour modifier le premier nom abrégé d’un utilisateur, vous pouvez utiliser l’outil de ligne de commande ldapmodrdn dans Terminal. Tous les noms abrégés à l’exception du premier peuvent être modifiés dans la sous-fenêtre Élémentaires d’une fenêtre d’utilisateur Gestionnaire de groupe de travail. AVERTISSEMENT : la modification du nom abrégé d’un utilisateur peut avoir des conséquences inattendues et indésirables. D’autres services utilisent le nom abrégé des utilisateurs pour les identifier de manière unique et persistante. Ainsi, la modification du premier nom abrégé d’un utilisateur n’affecte pas le nom de son dossier de départ. L’utilisateur dispose du même dossier de départ (bien que le nom de ce dernier ne corresponde plus au nouveau nom abrégé de l’utilisateur) sauf s’il accède à son dossier de départ en tant que membre d’un groupe. L’exemple suivant explique comment modifier le nom abrégé d’un compte d’utilisateur à l’aide de ldapmodrdn : $ ldapmodrdn -U adminrép n -Y "cram-md5" -W -r "uid=anciennomabrégé, cn=utilisateurs,dc=exemple,dc=com" "uid=nouveaunomabrégé" Cet exemple suppose que vous utilisiez Terminal sur le serveur maître Open Directory ou que vous ayez établi une connexion SSH au serveur maître Open Directory à l’aide de Terminal sur un autre ordinateur. Dans cet exemple, vous devez remplacer adminrép par le nom d’un administrateur de répertoire, anciennomabrégé par le nom abrégé à modifier et nouveaunomabrégé par le nouveau nom abrégé. Vous devez également remplacer dc=exemple,dc=com par le suffixe de base de recherche du serveur. Le suffixe de base de recherche du serveur est indiqué dans la sousfenêtre de réglages Protocoles du service Open Directory dans Admin Serveur. Si vous utilisez ldapmodrdn pour modifier le premier nom abrégé d’une fiche d’utilisateur contenant plusieurs noms abrégés, le second nom abrégé de la fiche devient le premier et le nouveau nom abrégé, le dernier. Pour réorganiser les noms abrégés, utilisez l’outil de ligne de commande ldapmodify. Pour en savoir plus, consultez la page man de ldapmodify. 216 Chapitre 9 Maintenance des services Open Directory Importation d’enregistrements de tous types Gestionnaire de groupe de travail peut importer tous les types d’enregistrements dans le répertoire LDAP d’un maître Open Directory. Cela couvre les utilisateurs, les groupes, les groupes d’ordinateurs, les ordinateurs et tous les autres types de fiches Mac OS X standard. Important : si vous importez des fiches d’utilisateur ou de groupe depuis un fichier exporté par Mac OS X Server 10.3 ou antérieur, chaque fiche importée se voit attribuer un identifiant global unique (GUID). Pour vous assurer que les GUID et leur relation avec des utilisateurs et groupes spécifiques restent inchangés (en cas de réimportation des mêmes utilisateurs et groupes), créez un fichier d’exportation à l’aide de Gestionnaire de groupe de travail dans Mac OS X Server 10.5. Utilisez le fichier d’exportation de la version 10.5 au lieu de celui créé à l’aide de la version antérieure du serveur. Pour obtenir une liste des types d’enregistrements et des attributs qui peuvent être importés, consultez le fichier suivant : /Système/Bibliothèque/Frameworks/DirectoryService.framework/Headers/DirServicesConst.h Pour obtenir des informations sur les types de fiches et les attributs les plus courants, consultez la rubrique « types d’enregistrements et attributs Open Directory standard » à la page 293. Pour en savoir plus sur l’exportation d’utilisateurs et de groupes à l’aide de Gestionnaire de groupe de travail et sur l’importation de fiches de tout type, consultez le document Gestion des utilisateurs. Définition des options d’un serveur Open Directory Vous pouvez définir des politiques de liaison, de sécurité et de mot de passe pour un maître Open Directory et ses répliques. Vous pouvez aussi définir plusieurs options LDAP pour un maître ou une réplique Open Directory. Pour en savoir plus, consultez ce qui suit :  « Configuration d’une politique de liaison pour un serveur Open Directory » à la page 218  « Configuration d’un règlement de sécurité pour un serveur Open Directory » à la page 219  « Changement de politique de mot de passe globale » à la page 129  « Modification de l’emplacement d’une base de données LDAP » à la page 220     « Limitation des résultats de la recherche pour le service LDAP » à la page 221 « Définition du délai de recherche autorisé pour le service LDAP » à la page 221 « Configuration de SSL pour le service LDAP » à la page 222 « Création d’une configuration SSL personnalisée pour LDAP » à la page 222 Chapitre 9 Maintenance des services Open Directory 217 Configuration d’une politique de liaison pour un serveur Open Directory À l’aide d’Admin Serveur, vous pouvez configurer un maître Open Directory pour qu’il autorise ou exige une liaison sécurisée entre l’annuaire LDAP et les ordinateurs qui y accèdent. Les répliques d’un maître Open Directory héritent automatiquement de sa politique de liaison. Une liaison LDAP sécurisée est authentifiée mutuellement. L’ordinateur prouve son identité en utilisant le nom et le mot de passe d’un administrateur du répertoire LDAP pour s’authentifier auprès du répertoire LDAP. L’annuaire LDAP prouve son authenticité au moyen d’une fiche d’ordinateur authentifié qui est créée dans le répertoire lorsque vous configurez la liaison sécurisée. Les clients ne peuvent pas être configurés pour utiliser à la fois la liaison LDAP sécurisée et un serveur LDAP fourni par le DHCP (connu aussi sous le nom d’option DHCP 95). La liaison LDAP sécurisée est en réalité une liaison statique, alors que le LDAP fourni le DHCP est une liaison dynamique. Pour en savoir plus, consultez la rubrique « Activation ou désactivation d’un répertoire LDAP fourni via DHCP » à la page 158. Remarque : pour pouvoir utiliser la liaison LDAP sécurisée, les clients ont besoin de la version 10.4 ou ultérieure de Mac OS X ou Mac OS X Server. Les clients sous 10.3 ou antérieur ne peuvent pas configurer de liaison sécurisée. Pour configurer la politique de liaison pour un maître Open Directory : 1 Ouvrez Admin Serveur et connectez-vous au serveur maître Open Directory. 2 Cliquez sur le triangle se trouvant à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez Open Directory. 4 Cliquez sur Réglages, puis sur Règlement. 5 Cliquez sur Liaison, puis définissez les options de liaison de répertoire souhaitées.  Pour autoriser la liaison sécurisée, sélectionnez « Activer la liaison de répertoire authentifiée ».  Pour exiger la liaison sécurisée, sélectionnez également « Requiert une liaison authentifiée entre l’annuaire et les clients ». 6 Cliquez sur Enregistrer. Important : si vous activez les options « Crypter tous les paquets (requiert SSL ou Kerberos) » et « Activer la liaison de répertoire authentifiée », assurez-vous que vos utilisateurs utilisent l’une ou l’autre pour la liaison, mais pas les deux. 218 Chapitre 9 Maintenance des services Open Directory Configuration d’un règlement de sécurité pour un serveur Open Directory À l’aide d’Admin Serveur, vous pouvez configurer une politique de sécurité pour accéder au répertoire LDAP d’un maître Open Directory. Les répliques du maître Open Directory héritent automatiquement de son règlement de sécurité. Remarque : si vous modifiez le règlement de sécurité de l’annuaire LDAP d’un maître Open Directory, vous devez déconnecter puis reconnecter (rompre puis rétablir la liaison de) chaque ordinateur connecté (lié) à cet annuaire LDAP. Utilisez l’Utilitaire de répertoire comme décrit dans « Suppression d’une connexion à un serveur de répertoire » à la page 142 et « Ajout d’une connexion à un serveur Open Directory » à la page 142. Pour configurer la politique de sécurité pour un maître Open Directory : 1 Ouvrez Admin Serveur et connectez-vous au serveur maître Open Directory. 2 Cliquez sur le triangle se trouvant à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez Open Directory. 4 Cliquez sur Réglages, puis sur Règlement. 5 Cliquez sur Liaison, puis définissez les options de sécurité souhaitées :  « Désactiver les mots de passe en clair » détermine si les clients peuvent envoyer les mots de passe en clair si les mots de passe ne peuvent pas être validés à l’aide d’une méthode d’authentification qui envoie des mots de passe cryptés. Pour en savoir plus, consultez les rubriques « Sélection de méthodes d’authentification pour des utilisateurs de mots de passe shadow » à la page 132 et « Sélection de méthodes d’authentification pour des utilisateurs de mots de passe Open Directory » à la page 133.  « Signer tous les paquets numériquement (requiert Kerberos) » permet de s’assurer que les données de répertoire provenant du serveur LDAP ne seront pas interceptées et modifiées par un autre ordinateur pendant leur transit vers les ordinateurs clients.  « Crypter tous les paquets (requiert SSL ou Kerberos) » oblige le serveur LDAP à crypter les données de répertoire à l’aide du protocole SSL ou de Kerberos avant de les envoyer aux ordinateurs clients.  « Bloquer les attaques « Man-in-the-Middle » (requiert Kerberos) » empêche un serveur malveillant de se faire passer pour le serveur LDAP. Plus efficace avec l’option “Signer tous les paquets numériquement”.  « Désactiver la mise en cache du client » empêche les ordinateurs clients de mettre en cache les données LDAP en local.  « Autoriser les utilisateurs à modifier leurs informations de contact personnelles » autorise les utilisateurs à modifier leurs informations de contact sur le serveur LDAP. Chapitre 9 Maintenance des services Open Directory 219 6 Cliquez sur Enregistrer. Important : si vous activez les options « Crypter tous les paquets (requiert SSL ou Kerberos) » et « Activer la liaison de répertoire authentifiée », assurez-vous que vos utilisateurs utilisent l’une ou l’autre pour la liaison, mais pas les deux. En fonction des réglages définis ici, les options de sécurité peuvent aussi être configurées sur les différents clients d’un maître ou d’une réplique Open Directory. Si vous sélectionnez une option ici, elle ne pourra pas être désélectionnée pour un client. Pour en savoir plus sur la configuration de ces options sur un client, consultez la rubrique « Modification de la politique de sécurité pour une connexion LDAP » à la page 171. Modification de l’emplacement d’une base de données LDAP À l’aide d’Admin Serveur, vous pouvez spécifier l’emplacement du disque de la base de données qui stocke les fiches d’utilisateur et d’autres informations dans un domaine de répertoire LDAP d’un maître ou d’une réplique Open Directory. La base de données LDAP est généralement située sur le volume de démarrage, mais elle peut se trouver sur un autre volume local. Remarque : pour des raisons de sécurité, les bases de données qui contiennent les informations d’authentification pour Open Directory et Kerberos sont toujours placées sur le volume de démarrage, quel que soit l’emplacement de la base de données LDAP. Pour modifier l’emplacement d’une base de données LDAP : 1 Ouvrez Admin Serveur et connectez-vous au maître ou à une réplique Open Directory. 2 Cliquez sur le triangle se trouvant à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez Open Directory. 4 Cliquez sur Réglages, puis sur LDAP. 5 Choisissez Réglages LDAP dans le menu local Configurer, puis spécifiez le chemin d’accès au dossier dans lequel vous voulez placer la base de données LDAP. Vous pouvez saisir le chemin d’accès à un dossier dans le champ Base de données ou sélectionner l’emplacement d’un dossier en cliquant sur Choisir puis en naviguant jusqu’à l’emplacement dans lequel vous voulez placer le dossier. 6 Cliquez sur Enregistrer. 220 Chapitre 9 Maintenance des services Open Directory Limitation des résultats de la recherche pour le service LDAP Admin Serveur vous permet d’empêcher un type d’attaque par saturation sur le Mac OS X Server en limitant le nombre de résultats de recherche renvoyés par le domaine de répertoire LDAP partagé du serveur. Cela empêche un utilisateur malveillant de bloquer le serveur en lui envoyant des requêtes de recherches LDAP multiples et complexes. Pour limiter les résultats de la recherche LDAP : 1 Ouvrez Admin Serveur et connectez-vous au maître ou à une réplique Open Directory. 2 Cliquez sur le triangle se trouvant à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez Open Directory. 4 Cliquez sur Réglages, puis sur LDAP. 5 Choisissez Réglages LDAP dans le menu local Configurer, puis saisissez le nombre maximum de résultats de recherche à renvoyer dans le champ « Renvoyer un maximum de __ résultats de la recherche ». 6 Cliquez sur Enregistrer. Définition du délai de recherche autorisé pour le service LDAP À l’aide d’Admin Serveur, vous pouvez empêcher un type d’attaque par saturation sur le serveur Mac OS X Server en limitant le temps alloué au serveur pour effectuer une recherche sur son domaine de répertoire LDAP partagé. Cela empêche un utilisateur malveillant de bloquer le serveur en lui envoyant une requête de recherche LDAP exceptionnellement complexe. Pour définir un délai de recherche pour le service LDAP : 1 Ouvrez Admin Serveur et connectez-vous au maître ou à une réplique Open Directory. 2 Cliquez sur le triangle se trouvant à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez Open Directory. 4 Cliquez sur Réglages, puis sur LDAP. 5 Choisissez Réglages LDAP dans le menu local Configurer, puis définissez un délai de recherche dans le champ « La recherche expire dans __ ». Définissez le délai à l’aide du menu local. 6 Cliquez sur Enregistrer. Chapitre 9 Maintenance des services Open Directory 221 Configuration de SSL pour le service LDAP À l’aide d’Admin Serveur, vous pouvez activer Secure Sockets Layer (SSL) pour les communications cryptées entre un domaine de répertoire LDAP d’un serveur Open Directory et les ordinateurs qui y accèdent. SSL utilise des certificats numériques pour fournir une identité certifiée pour le serveur. Vous pouvez utiliser un certificat autosigné ou un certificat provenant d’une autorité de certification. Pour obtenir des informations détaillées sur la définition, l’obtention et l’installation de certificats sur votre serveur, consultez le document Configuration de la sécurité de Mac OS X Server. Les communications SSL pour LDAP utilisent le port 636. Si SSL est désactivé pour le service LDAP, les communications sont envoyées en clair sur le port 389. Pour configurer des communications SSL pour le service LDAP : 1 Ouvrez Admin Serveur et connectez-vous au maître ou à une réplique Open Directory. 2 Cliquez sur le triangle se trouvant à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez Open Directory. 4 Cliquez sur Réglages, puis sur LDAP. 5 Choisissez Réglages LDAP dans le menu local Configurer, puis sélectionnez Activer SSL. 6 Utilisez le menu local Certificat pour choisir le certificat SSL que vous souhaitez voir utiliser par le service LDAP. Le menu dresse la liste tous les certificats SSL qui sont installés sur le serveur. Pour utiliser un certificat qui ne figure pas dans la liste, choisissez Configuration personnalisée dans le menu local. 7 Cliquez sur Enregistrer. Création d’une configuration SSL personnalisée pour LDAP SSL utilise des certificats numériques pour fournir une identité certifiée pour le serveur. Vous pouvez utiliser des certificats numériques personnalisés pour configurer le protocole SSL pour votre environnement réseau. Les étapes suivantes expliquent comment créer des certificats personnalisés à l’aide de la ligne de commande et fournissent des instructions pour les implémenter dans Admin Serveur. Pour créer un certificat pour le service Open Directory : 1 Générez une clé privée pour le serveur dans le dossier /usr/share/certs/ : Si le dossier /usr/share/certs n’existe pas, créez-le. $ sudo openssl genrsa -out ldapserver.key 2048 222 Chapitre 9 Maintenance des services Open Directory 2 Générez une demande de signature de certificat (CSR) pour la signature de l’autorité de certificat (AC) : $ sudo openssl req -new -key ldapserver.key -out ldapserver.csr 3 Renseignez les champs suivants en étant aussi exhaustif que possible, en vous assurant que le champ Nom commun correspond exactement au nom de domaine du serveur LDAP et en laissant les champs réservés au mot de passe Challenge et au nom de société facultatif vierges : Pays : Unité d’organisation : Région/Province : Nom commun : Localité (ville) : Adresse électronique : Nom de l’organisation : 4 Signez la demande ldapserver.csr à l’aide de la commande openssl. $ sudo openssl ca -in ldapserver.csr -out ldapserver.crt 5 Lorsque vous y êtes invité, saisissez la phrase clé AC pour poursuivre et terminer le processus. Les fichiers de certificat requis pour activer le protocole SSL sur le serveur LDAP se trouvent désormais dans le dossier /usr/share/certs/. 6 Ouvrez Admin Serveur et connectez-vous au maître ou à une réplique Open Directory. 7 Cliquez sur le triangle se trouvant à gauche du serveur. La liste des services apparaît. 8 Dans la liste Serveurs développée, sélectionnez Open Directory. 9 Cliquez sur Réglages, puis sur LDAP. 10 Choisissez Réglages LDAP dans le menu local Configurer. 11 Sélectionnez « Activer SSL (Secure Sockets Layer) ». 12 Utilisez le menu local Certificat pour choisir le certificat SSL que vous souhaitez voir utiliser par le service LDAP. Le menu dresse la liste tous les certificats SSL qui sont installés sur le serveur. Pour utiliser un certificat qui ne figure pas dans la liste, choisissez Configuration personnalisée dans le menu local. 13 Cliquez sur Enregistrer. Chapitre 9 Maintenance des services Open Directory 223 Gestion de la réplication Open Directory Vous pouvez planifier la réplication Open Directory ou répliquer à la demande, promouvoir une réplique en maître ou mettre une réplique hors service. Pour en savoir plus, consultez :  « Planification de la réplication d’un maître Open Directory ou d’un contrôleur de domaine principal (PDC) » à la page 224  « Synchronisation d’une réplique Open Directory ou d’un contrôleur de domaine secondaire à la demande » à la page 225  « Conversion d’une réplique Open Directory en un relais » à la page 226  « Promotion d’une réplique Open Directory » à la page 226  « Mise hors service d’une réplique Open Directory » à la page 229 Planification de la réplication d’un maître Open Directory ou d’un contrôleur de domaine principal (PDC) À l’aide d’Admin Serveur, vous pouvez spécifier la fréquence à laquelle le maître Open Directory met à jour ses répliques en y intégrant les modifications apportées aux répertoires et aux informations d’authentification. Le maître peut mettre à jour les répliques dès qu’une modification a lieu dans son domaine de répertoire ou en fonction d’un calendrier que vous définissez. La procédure est la même si vous configurez votre serveur Mac OS X Server en tant que contrôleur de domaine principal (PDC). Vous définissez le calendrier de réplication du contrôleur de domaine principal vers le contrôleur de domaine secondaire (BDC) en planifiant la réplication d’Open Directory. Pour définir la fréquence à laquelle un maître Open Directory ou un contrôleur de domaine principal met à jour ses répliques ou ses contrôleurs de domaine secondaires : 1 Ouvrez Admin Serveur et connectez-vous au maître Open Directory ou au serveur du contrôleur de domaine principal. 2 Cliquez sur le triangle se trouvant à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez Open Directory. 4 Cliquez sur Réglages, puis sur Général. 224 Chapitre 9 Maintenance des services Open Directory 5 Spécifiez une fréquence de réplication :  « Répliquer vers les clients chaque fois que le répertoire est modifié » : garde les répliques à jour en temps réel, mais augmente la charge sur le réseau. Peut affecter les performances du maître si une réplique est connectée via une liaison réseau lente.  « Répliquer vers les clients tous/toutes les __ » : permet de planifier des mises à jour moins fréquentes (en spécifiant un intervalle plus long). Les mises à jour moins fréquentes présentent l’inconvénient de générer des répliques moins exactes mais offrent l’avantage de réduire le nombre de connexions réseau entre le maître et ses répliques. La diminution du nombre de connexions peut s’avérer souhaitable si les répliques ne font pas toutes partie du même réseau local que le maître. 6 Cliquez sur Enregistrer. Synchronisation d’une réplique Open Directory ou d’un contrôleur de domaine secondaire à la demande Bien qu’un maître Open Directory ou un contrôleur de domaine principal synchronise automatiquement ses données de répertoire et d’authentification avec les répliques ou les contrôleurs de domaine secondaires enregistrés, vous pouvez utiliser Admin Serveur pour synchroniser les données avec une réplique ou un contrôleur de domaine secondaire sélectionné à la demande. Pour synchroniser une réplique Open Directory ou un contrôleur de domaine secondaire à la demande : 1 Ouvrez Admin Serveur et connectez-vous au maître Open Directory ou au serveur du contrôleur de domaine principal. 2 Cliquez sur le triangle se trouvant à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez Open Directory. 4 Cliquez sur Réglages, puis sur Général. 5 Sélectionnez une réplique ou un contrôleur de domaine secondaire dans la liste, puis cliquez sur Répliquer. Chapitre 9 Maintenance des services Open Directory 225 Conversion d’une réplique Open Directory en un relais Il y a peu de différences entre un relais et une réplique. Les deux contiennent une copie en lecture seule du domaine de répertoire LDAP du maître Open Directory, ainsi qu’une copie en lecture et écriture du serveur de mots de passe Open Directory et du centre de distribution de clés (KDC) Kerberos. Un relais est une réplique directe d’un maître Open Directory et possède ses propres répliques. Vous pouvez convertir une réplique Open Directory en relais si les conditions suivantes sont réunies :  La réplique doit être une réplique directe du maître Open Directory (premier niveau).  La réplique doit avoir ses propres répliques (jusqu’à 32 répliques prises en charge). Pour en savoir plus sur les relais, consultez « Réplication en cascade » à la page 72. Promotion d’une réplique Open Directory Si un maître Open Directory tombe en panne et que vous ne pouvez pas le récupérer à partir d’une copie de sauvegarde, vous pouvez transformer une réplique en maître. Le nouveau maître (réplique promue) utilise le répertoire et les bases de données d’authentification de la réplique. Une fois la transformation effectuée, vous devez convertir toutes les autres répliques de l’ancien maître en services de répertoire autonomes, puis en faire des répliques du nouveau maître. Important : n’utilisez cette procédure que pour remplacer un maître Open Directory par sa réplique. Pour conserver le maître Open Directory en service et faire de sa réplique un autre maître, n’utilisez pas cette procédure. Mettez plutôt le réplique hors service, puis transformez-la en maître comme décrit dans les rubriques « Mise hors service d’une réplique Open Directory » à la page 229 et « Configuration d’un maître Open Directory » à la page 95. Pour promouvoir une réplique Open Directory : 1 Ouvrez Admin Serveur et connectez-vous au serveur de la réplique que vous souhaitez convertir en maître. 2 Cliquez sur le triangle se trouvant à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez Open Directory. 4 Cliquez sur Réglages, puis sur Général. 5 Cliquez sur Modifier. L’Assistant de configuration de service s’ouvre. 6 Sélectionnez Maître Open Directory, puis cliquez sur Continuer. 226 Chapitre 9 Maintenance des services Open Directory 7 Saisissez les informations d’administrateur de domaine maître suivantes, puis cliquez sur Continuer.  Nom, nom abrégé, identifiant d’utilisateur, mot de passe : vous devez créer un compte d’utilisateur pour l’administrateur principal de l’annuaire LDAP. Ce compte n’est pas une copie du compte d’administrateur dans le domaine de répertoire local du serveur. Utilisez pour l’administrateur de l’annuaire LDAP des noms et un identifiant d’utilisateur différents des noms et des identifiants d’utilisateur des comptes d’utilisateur qui figurent dans le domaine de répertoire local. Remarque : si vous envisagez de connecter votre maître Open Directory à d’autres domaines de répertoire, choisissez un nom et un identifiant d’utilisateur uniques pour chaque domaine. N’utilisez pas l’identifiant d’utilisateur diradmin suggéré. Utilisez un nom vous permettant d’identifier facilement le domaine de répertoire que l’administrateur de répertoire contrôle. 8 Saisissez les informations de domaine maître suivantes, puis cliquez sur Continuer.  Royaume Kerberos : ce champ est défini par défaut sur le nom DNS du serveur, converti en lettres majuscules. Il s’agit d’une convention pour nommer les royaumes Kerberos. Vous pouvez saisir un autre nom, si nécessaire.  Base de recherche : ce champ est préréglé sur un suffixe de base de recherche pour le nouveau répertoire LDAP, dérivé de la partie réservée au domaine du nom DNS du serveur. Vous pouvez saisir un autre suffixe de base de recherche ou laissez le champ vide. Si vous laissez ce champ vide, le suffixe de base de recherche par défaut de l’annuaire LDAP sera utilisé. 9 Vérifiez les réglages, puis cliquez sur Fermer. Vos réglages sont alors enregistrés et le service est redémarré. 10 Dans Admin Serveur, connectez-vous à une autre réplique de l’ancien maître. 11 Cliquez sur le triangle se trouvant à gauche du serveur. La liste des services apparaît. 12 Dans la liste Serveurs développée, sélectionnez Open Directory. 13 Cliquez sur Réglages, puis sur Général. 14 Cliquez sur Modifier. L’Assistant de configuration de service s’ouvre. 15 Choisissez Autonome, puis cliquez sur Continuer. 16 Vérifiez la configuration Open Directory, puis cliquez sur Continuer. 17 Si vous êtes sûr que les utilisateurs et les services n’ont plus besoin d’accéder aux données de répertoire enregistrées dans le domaine de répertoire partagé que le serveur hébergeait ou auquel il était connecté, cliquez sur Fermer. Vos réglages sont alors enregistrés et le service est redémarré. Chapitre 9 Maintenance des services Open Directory 227 18 Cliquez sur Modifier. L’Assistant de configuration de service s’ouvre. 19 Choisissez Réplique Open Directory, puis cliquez sur Continuer. 20 Saisissez les informations suivantes :  « Adresse IP ou nom DNS du maître Open Directory » : saisissez l’adresse IP ou le nom DNS du serveur jouant le rôle de maître Open Directory.  « Mot de passe root sur le maître Open Directory » : saisissez le mot de passe de l’utilisateur root du système maître Open Directory (nom d’utilisateur de l’administrateur système).  « Nom abrégé de l’administrateur de domaine » : saisissez le nom d’un compte d’administrateur de domaine de répertoire LDAP.  « Mot de passe de l’administrateur de domaine » : saisissez le mot de passe du compte d’administrateur dont vous avez saisi le nom. 21 Cliquez sur Continuer. 22 Vérifiez les réglages de la configuration Open Directory, puis cliquez sur Continuer. 23 Cliquez sur Fermer. Vos réglages sont alors enregistrés et le service est redémarré. 24 Répétez les étapes 14 à 23 pour chaque réplique de l’ancien maître. 25 Assurez-vous que la date, l’heure et le fuseau horaire sont exacts sur les répliques et sur le maître. Les répliques et le maître doivent utiliser le même service d’horloge de réseau pour que leurs horloges restent synchronisées. Si d’autres ordinateurs étaient connectés à l’annuaire LDAP de l’ancien maître Open Directory, vous devez reconfigurer leur connexion pour qu’ils utilisent l’annuaire LDAP du nouveau maître. Chaque ordinateur Mac OS X et Mac OS X Server disposant d’une règle de recherche personnalisée qui contenait l’annuaire LDAP de l’ancien maître doit être reconfiguré pour se connecter à l’annuaire LDAP du nouveau maître. Utilisez les sous-fenêtres Services et Authentification de l’Utilitaire de répertoire . Pour en savoir plus, reportez-vous aux rubriques « Suppression d’une configuration pour l’accès à un répertoire LDAP » à la page 169 et « Configuration de l’accès à un répertoire LDAP » à la page 160. Si le service DHCP fournissait l’URL LDAP de l’ancien maître aux ordinateurs disposant de règles de recherche automatique, vous devez reconfigurer le service DHCP pour qu’il fournisse l’URL LDAP du nouveau maître. 228 Chapitre 9 Maintenance des services Open Directory Les ordinateurs Mac OS X et Mac OS X Server disposant de règles de recherche automatique n’ont pas besoin d’être reconfigurés. Le service DHCP mis à jour leur fournira la bonne URL LDAP lors de leur prochain démarrage. Pour en savoir plus, consultez le chapitre DHCP du document Administration des services de réseau. Mise hors service d’une réplique Open Directory Vous pouvez mettre le serveur d’une réplique Open Directory hors service en le transformant en serveur autonome ou en le connectant à un autre système pour les services de répertoire et d’authentification. Pour mettre hors service une réplique Open Directory : 1 Vérifiez que la connexion réseau fonctionne entre le maître Open Directory et la réplique à mettre hors service. Le port 389 ou 636 doit être ouvert entre le maître et la réplique pendant la mise hors service de la réplique. LDAP utilise le port 389 si SSL est désactivé ou le port 636 si SSL est activé sur le maître. (Le port 22, utilisé pour SSH, ne doit pas être ouvert pour mettre hors service une réplique). Important : si vous mettez une réplique hors service alors qu’il n’y a pas de connectivité réseau entre la réplique et le maître, la réplique mise hors service restera dans la liste de répliques du maître. Le maître tentera de se répliquer vers la réplique mise hors service spécifiée dans la sous-fenêtre de réglages Général pour le service Open Directory sur le serveur maître. 2 Dans Admin Serveur, connectez-vous à la réplique à mettre hors service. 3 Cliquez sur le triangle se trouvant à gauche du serveur. La liste des services apparaît. 4 Dans la liste Serveurs développée, sélectionnez Open Directory. 5 Cliquez sur Réglages, puis sur Général. 6 Cliquez sur Modifier. L’Assistant de configuration de service s’ouvre. 7 Choisissez Autonome ou « Connecté à un système de répertoire », puis saisissez les informations suivantes.  « Mot de passe root sur le maître Open Directory » : saisissez le mot de passe de l’utilisateur root du système maître Open Directory (nom d’utilisateur de l’administrateur système).  « Nom abrégé de l’administrateur de domaine » : saisissez le nom d’un compte d’administrateur de domaine de répertoire LDAP.  « Mot de passe de l’administrateur de domaine » : saisissez le mot de passe du compte d’administrateur dont vous avez saisi le nom. Chapitre 9 Maintenance des services Open Directory 229 8 Cliquez sur Continuer. 9 Vérifiez la configuration Open Directory, puis cliquez sur Continuer. 10 Si vous êtes sûr que les utilisateurs et les services n’ont plus besoin d’accéder aux données de répertoire enregistrées dans le domaine de répertoire partagé que le serveur hébergeait ou auquel il était connecté, cliquez sur Fermer. Vos réglages sont alors enregistrés et le service est redémarré. En supposant qu’il y ait une connexion réseau entre le maître Open Directory et la réplique, le maître est mis à jour pour ne plus se connecter à la réplique. 11 Si vous avez choisi « Connecté à un système de répertoire » dans le menu local Rôle, cliquez sur le bouton « Ouvrir Utilitaire de répertoire » pour configurer l’accès à un ou plusieurs systèmes de répertoire. Pour en savoir plus sur la configuration de l’accès à un service de répertoire, consultez le chapitre 7, « Gestion des clients de répertoire. » Archivage d’un maître Open Directory Vous pouvez utiliser Admin Serveur pour archiver une copie de données de répertoire et d’authentification d’un maître Open Directory. Vous pouvez archiver une copie des données pendant que le maître Open Directory est en service. Les fichiers suivants sont archivés :  Base de données de répertoires et fichiers de configuration LDAP  Base de données du serveur de mots de passe Open Directory  Base de données et fichiers de configuration Kerberos  Domaine de répertoire local et base de données de mots de passe Shadow Si vous disposez d’une archive fiable d’un maître Open Directory, vous disposez de fait d’une archive de toutes ses répliques. En cas de problème avec une réplique, vous pouvez modifier son rôle Open Directory pour la transformer en serveur autonome, puis configurer ce dernier comme s’il s’agissait d’un nouveau serveur, avec un nouveau nom d’hôte, et le définir comme réplique du même maître comme auparavant. Important : protégez soigneusement le support d’archivage contenant une copie de la base de données de mots de passe Open Directory, de la base de données Kerberos et du fichier keytab de Kerberos. Cette archive contient les mots de passe de tous les utilisateurs qui possèdent un mot de passe Open Directory, tant dans le domaine de répertoire LDAP partagé que dans le domaine de répertoire local. Les mesures de sécurité que vous prenez pour le support d’archivage doivent être aussi strictes que celles prises pour le serveur maître Open Directory. 230 Chapitre 9 Maintenance des services Open Directory Pour archiver un maître Open Directory : 1 Ouvrez Admin Serveur et connectez-vous au serveur maître Open Directory. 2 Cliquez sur le triangle se trouvant à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez Open Directory. 4 Cliquez sur Archive. 5 Dans le champ Archiver dans, saisissez le chemin d’accès au dossier dans lequel vous souhaitez archiver les données Open Directory, puis cliquez sur le bouton Archiver. Vous pouvez taper le chemin d’accès au dossier ou cliquer sur le bouton Choisir pour le sélectionner. 6 Saisissez le nom et le mot de passe à utiliser pour crypter l’archive, puis cliquez sur OK. Restauration d’un maître Open Directory Vous pouvez utiliser Admin Serveur ou l’outil de ligne de commande slapconfig pour restaurer les données de répertoire et d’authentification d’un maître Open Directory à partir d’une archive. Si vous utilisez Admin Serveur, vous pouvez restaurer les données sur un serveur jouant le rôle de maître Open Directory. Les fichiers suivants sont restaurés en fusionnant l’archive avec le maître existant :  Base de données de répertoires et fichiers de configuration LDAP  Base de données du serveur de mots de passe Open Directory  Base de données et fichiers de configuration Kerberos En cas de conflit pendant la fusion, la fiche existante prime sur les données de l’archive. La fiche de l’archive est ignorée. Les conflits sont consignés dans le fichier d’historique slapconfig (/Bibliothèque/Logs/slapconfig.log), que vous pouvez visionner à l’aide d’Admin Serveur. Consultez la rubrique « Affichage des états et des historiques Open Directory » à la page 211. Important : si vous avez une archive d’un serveur Open Directory Mac OS X 10.4, vous ne pouvez que la restaurer sur un serveur Mac OS X 10.5. Vous ne pouvez pas fusionner une archive Mac OS X 10.4 avec un serveur Open Directory Mac OS X 10.5. Plutôt que de restaurer un maître Open Directory à partir d’une archive, vous pouvez obtenir de meilleurs résultats en transformant une réplique en maître. Il se peut en effet que la réplique ait des données de répertoire et d’authentification plus récentes que l’archive. Après avoir restauré un maître Open Directory à partir d’une archive, vous devez recréer les répliques Open Directory. Chapitre 9 Maintenance des services Open Directory 231 Important : il ne faut pas utiliser la restauration d’une archive comme un moyen de porter des données de répertoire et d’authentification d’un système à un autre. Exportez plutôt les données du répertoire source et importez-les dans le répertoire cible. Pour en savoir plus sur l’exportation et l’importation de données de répertoire, consultez le document Gestion des utilisateurs. Pour fusionner une archive avec un maître Open Directory existant : 1 Ouvrez Admin Serveur et connectez-vous au serveur maître Open Directory. Le serveur cible doit porter le même nom de royaume Kerberos que le maître à partir duquel l’archive a été créée. 2 Cliquez sur le triangle se trouvant à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez Open Directory. 4 Cliquez sur Archive. 5 Dans le champ « Restauration à partir du », saisissez le chemin d’accès au fichier de l’archive Open Directory, puis cliquez sur le bouton Restaurer. Vous pouvez taper le chemin d’accès ou cliquer sur le bouton Choisir pour sélectionner le fichier de l’archive. 6 Saisissez le mot de passe qui a été utilisé pour crypter l’archive lorsqu’elle a été créée, puis cliquez sur OK. 7 Une fois la restauration terminée, consultez l’historique de l’outil slapconfig pour vérifier si des conflits ou d’autres événements se sont produits pendant l’opération. 8 Convertissez tous les serveurs de réplique Open Directory en serveurs Open Directory autonomes, puis faites-en des répliques du nouveau maître. Pour en savoir plus, consultez les rubriques « Configuration d’un service de répertoire autonome » à la page 94 et « Configuration d’une réplique Open Directory » à la page 102. À partir de la ligne de commande Au lieu d’effectuer la restauration sur un serveur jouant le rôle de maître Open Directory, vous pouvez l’effectuer sur un serveur autonome à l’aide de l’outil de ligne de commande slapconfig. Le serveur devient alors un maître Open Directory contenant les données de répertoire et d’authentification provenant de l’archive. Les données restaurées incluent les fichiers LDAP, Kerberos et de serveur de mots de passe mentionnés plus haut, ainsi que le domaine de répertoire local et les fichiers de mot de passe Shadow associés. En outre, slapconfig conserve le compte d’utilisateur local que vous utilisiez dans la fenêtre d’ouverture de session. Après la restauration, le maître contient les fiches de compte d’utilisateur provenant de l’archive, ainsi que le compte que vous utilisiez dans la fenêtre d’ouverture de session. 232 Chapitre 9 Maintenance des services Open Directory Si l’archive contient un compte d’utilisateur entrant en conflit avec celui que vous utilisiez dans la fenêtre d’ouverture de session, le compte figurant dans l’archive est ignoré. AVERTISSEMENT : si vous effectuez une restauration sur un serveur autonome, les fiches de répertoire et les données d’authentification pré-existantes ne sont pas conservées, à l’exception du compte d’utilisateur que vous utilisiez dans la fenêtre d’ouverture de session. Pour remplacer les données de répertoire et d’authentification sur un serveur autonome par les données d’une archive Open Directory, tapez la commande suivante dans Terminal, en remplaçant chemin-archive par le chemin d’accès au fichier de l’archive : $ sudo slapconfig -restoredb chemin-archive La commande slapconfig requiert des privilèges root, d’où l’utilisation de sudo dans cette ligne de commande. Pour en savoir plus sur slapconfig, consultez sa page man. Pour en savoir plus sur sudo et les privilèges root, consultez Administration de ligne de commande. Chapitre 9 Maintenance des services Open Directory 233 10 Résolution de problèmes liés à Open Directory 10 Le présent chapitre fournit des solutions permettant de résoudre des problèmes communs que vous pourriez rencontrer lors de l’utilisation d’Open Directory. La présente section contient des solutions aux problèmes courants liés à Open Directory. Résolution de problèmes liés aux maîtres et aux répliques Open Directory Utilisez l’aide suivante pour résoudre des problèmes liés aux maîtres et aux répliques Open Directory. Si Kerberos est arrêté sur un maître ou une réplique Open Directory Un maître Open Directory requiert un DNS configuré correctement pour fournir une authentification Kerberos par signature unique. Pour vérifier que le DNS est configuré correctement pour Kerberos : 1 Assurez-vous que le service DNS est configuré pour résoudre les noms DNS complets et fournir les recherches inverses correspondantes. Le service DNS doit résoudre des noms DNS complets et fournir les recherches inverses au serveur maître Open Directory, aux serveurs répliques et aux autres serveurs qui sont membres du royaume Kerberos. Pour faire une recherche DNS d’un nom DNS d’un serveur et une recherche inverse de l’adresse IP du serveur, vous pouvez utiliser la sous-fenêtre Recherche d’Utilitaire de réseau (dans /Applications/Utilitaires/). Pour en savoir plus sur la configuration du service DNS, consultez le guide Administration des services de réseau. 2 Assurez-vous que le nom d’hôte du serveur maître Open Directory est bien le nom DNS complet correct, et non le nom d’hôte local du serveur. Par exemple, le nom d’hôte pourrait être ods.exemple.com, mais ne peut pas être ods.local. 235 Vous pouvez voir le nom d’hôte en ouvrant Terminal et en tapant hostname. Si le nom d’hôte du serveur Open Directory n’est pas son nom DNS complet, effacez temporairement la liste des serveurs DNS et cliquez sur Appliquer dans les préférences Réseau du serveur Open Directory. Saisissez ensuite à nouveau une ou plusieurs adresses IP de serveur DNS, en commençant par le serveur DNS principal qui résout le nom du serveur Open Directory, puis en cliquant sur Appliquer dans les préférences Réseau. Si le nom d’hôte du serveur Open Directory n’est toujours pas son nom DNS complet, redémarrez le serveur. 3 Assurez-vous que les préférences Réseau du serveur maître Open Directory sont configurées pour utiliser le serveur DNS qui résout le nom du serveur. Si le serveur maître Open Directory fournit son propre service DNS, les préférences Réseau du serveur doivent être configurées pour s’utiliser lui-même comme serveur DNS. 4 Après vous être assuré que la configuration DNS pour le serveur est correcte, démarrez Kerberos. Consultez la rubrique « Démarrage de Kerberos après la configuration d’un maître Open Directory » à la page 116. Si vous ne pouvez pas créer une réplique Open Directory Si vous essayez de créer deux répliques simultanément, une tentative va réussir, l’autre va échouer.Une nouvelle tentative de création de la seconde réplique devrait réussir. Si vous ne pouvez toujours pas créer la seconde réplique, allez dans le dossier /var/run/, localisez le fichier slapconfig.lock et supprimez-le s’il existe. Vous pouvez aussi redémarrer le serveur. Si vous ne pouvez pas créer un maître ou une réplique Open Directory à partir d’un fichier de configuration Vous ne pouvez pas faire de Mac OS X Server un maître Open Directory ou une réplique Open Directory en faisant glisser un fichier de configuration de listes de propriétés vers la sous-fenêtre Réglages Open Directory dans Admin Serveur. Suivez plutôt les instructions de la rubrique « Configuration d’un maître Open Directory » à la page 95 ou « Configuration d’une réplique Open Directory » à la page 102. Pour créer un fichier de configuration de listes de propriétés, faites glisser la fenêtre miniature du coin inférieur droit de la sous-fenêtre Réglages dans Server Admin. Si vous ne pouvez pas connecter une réplique à un relais Assurez-vous que votre réplique n’a pas atteint sa capacité maximale de 32 répliques. Assurez-vous aussi que vous ne vous connectez pas à une réplique de second niveau au lieu d’un relais de premier niveau. 236 Chapitre 10 Résolution de problèmes liés à Open Directory Si vous ne pouvez pas connecter une réplique Open Directory à un Open Directory qui est le subordonné d’un serveur Active Directory Avant de tenter de transformer le serveur en réplique du serveur Open Directory subordonné, n’oubliez de d’abord connecter le serveur au même serveur Active Directory que le serveur maître Open Directory auquel vous tentez de vous connecter. Vos répliques doivent avoir accès au serveur Active Directory pour que Kerberos fonctionne. Résolution de problèmes des connexion à des répertoires Les problèmes d’accès aux services de répertoire lors du démarrage peuvent avoir plusieurs causes. Si un ralentissement se produit lors du démarrage Si un ralentissement se produit un ralentissement se produit au démarrage de Mac OS X ou de Mac OS X Server alors qu’un message relatif à LDAP ou aux services de répertoire apparaît au-dessus de la barre de progression, il se peut que l’ordinateur tente d’accéder à un répertoire LDAP qui n’est pas disponible sur votre réseau. Tenez compte des points suivants :  Une pause est normale au cours du démarrage si un ordinateur portable n’est pas connecté au réseau auquel le serveur LDAP est connecté.  Utilisez Utilitaire de répertoire pour vous assurer que les configurations de domaine de répertoire local et LDAP sont correctes.  Utilisez le tableau Réseau des Préférences Système pour vous assurer que la configuration réseau de l’ordinateur et les autres paramètres de réseau sont corrects.  Examinez le réseau physique pour détecter d’éventuels problèmes de connexion. Résolution des problèmes d’authentification Utilisez ce qui suit pour vous aider à résoudre des problèmes d’authentification. Si vous ne pouvez pas modifier le mot de passe Open Directory d’un utilisateur Pour modifier le mot de passe de type Open Directory d’un utilisateur, vous devez être un administrateur du domaine de répertoire dans lequel la fiche de l’utilisateur réside. De plus, le compte de votre utilisateur doit présenter un mot de passe de type Open Directory. Normalement, le compte d’utilisateur spécifié lors de la configuration du maître Open Directory (à l’aide d’Assistant du serveur ou des réglages de services Open Directory dans Admin Serveur) être doté d’un mot de passe Open Directory. Vous pouvez utiliser ce compte pour configurer d’autres comptes d’utilisateur en tant qu’administrateurs de domaine de répertoire avec des mots de passe Open Directory. Chapitre 10 Résolution de problèmes liés à Open Directory 237 Si tout le reste échoue, utilisez le compte d’utilisateur root pour configurer un compte d’utilisateur en tant qu’administrateur de répertoire avec un mot de passe Open Directory. (Le nom du compte d’utilisateur root est « root » et le mot de passe est généralement le même que le mot de passe attribué au compte d’administrateur créé pendant la configuration initiale du serveur.) Si un utilisateur ne peut pas accéder à certains services Si un utilisateur peut accéder à certains services qui requièrent une authentification, mais pas à d’autres, essayez de changer temporairement le mot de passe de l’utilisateur en une suite de caractères simples, comme, par exemple, « mdp ». Si cela résout le problème, cela signifie que le mot de passe précédent de l’utilisateur contenait des caractères qui n’étaient pas reconnus par tous les services. Par exemple, certains services acceptent les espaces dans les mots de passe, d’autres pas. Si un utilisateur ne parvient pas à s’authentifier pour le service VPN Les utilisateurs, dont les comptes sont stockés sur un serveur sous Mac OS X Server 10.2 ne peuvent pas s’authentifier pour le service VPN fourni par Mac OS X Server 10.3–10.5. Le service VPN requiert la méthode d’authentification MS-CHAPv2, qui n’est pas prise en charge par Mac OS X Server 10.2. Pour permettre aux utilisateurs concernés d’ouvrir une session, transférez leurs comptes d’utilisateur sur un serveur sous Mac OS X Server 10.3–10.5. Une autre solution consiste à mettre à niveau les anciens serveurs à Mac OS X Server 10.5 ou ultérieur. Si vous ne pouvez pas changer le type de mot de passe d’un utilisateur en type Open Directory Pour modifier le type de mot de passe d’un utilisateur en authentification Open Directory, vous devez être un administrateur du domaine de répertoire sur lequel la fiche de l’utilisateur réside. De plus, le compte de votre utilisateur doit être configuré pour l’authentification Open Directory. Le compte d’utilisateur spécifié lors de la configuration du maître Open Directory (à l’aide d’Assistant du serveur ou des réglages de services Open Directory dans Admin Serveur) possède un mot de passe Open Directory. Vous pouvez utiliser ce compte pour configurer d’autres comptes d’utilisateur en tant qu’administrateurs de domaine de répertoire avec des mots de passe Open Directory. 238 Chapitre 10 Résolution de problèmes liés à Open Directory Si les utilisateurs exploitant un serveur de mots de passe ne peuvent pas ouvrir de session Si votre réseau contient un serveur sous Mac OS X Server 10.2, il peut être configuré pour obtenir l’authentification d’un serveur de mots de passe Open Directory hébergé par un autre serveur. Si l’ordinateur du serveur de mots de passe est déconnecté du réseau, par exemple parce que vous avez débranché la câble du port Ethernet de l’ordinateur, les utilisateurs dont les mots de passe sont validés à l’aide du Serveur de mots de passe ne peuvent pas ouvrir de session parce que l’adresse IP n’est pas accessible. Les utilisateurs peuvent ouvrir une session à Mac OS X Server si vous reconnectez au réseau l’ordinateur du serveur de mots de passe. Pendant que l’ordinateur du serveur de mots de passe est hors ligne, les utilisateurs peuvent aussi ouvrir une session avec des comptes d’utilisateur dont le mot de passe est de type crypté ou Shadow. Si les utilisateurs ne peuvent pas ouvrir de session sous un compte issu d’un domaine de répertoire partagé Les utilisateurs ne peuvent pas ouvrir de session sous un compte issu d’un domaine de répertoire partagé si le serveur hébergeant l’annuaire n’est pas accessible. Un serveur peut devenir inaccessible en raison d’un problème de réseau, du logiciel ou du matériel du serveur. Les problèmes liés au matériel ou au logiciel du serveur affectent les utilisateurs qui tentent d’ouvrir une session sur des ordinateurs Mac OS X et les utilisateurs qui tentent d’ouvrir une session sur un domaine Windows d’un PDC Mac OS X Server. Les problèmes de réseau peuvent affecter seulement certains utilisateurs, selon la localisation du problème sur le réseau. Les utilisateurs qui disposent de comptes d’utilisateur mobiles peuvent toujours ouvrir une session sur les ordinateurs Mac OS X qu’ils ont utilisé auparavant et les utilisateurs affectés par ces problèmes peuvent ouvrir une session à l’aide d’un compte d’utilisateur local défini sur l’ordinateur, comme, par exemple, le compte d’utilisateur créé pendant la configuration initiale, après l’installation de Mac OS X. Si vous ne pouvez pas ouvrir une session comme utilisateur Active Directory Après avoir configuré une connexion vers un domaine Active Directory dans la sousfenêtre Service de Utilitaire de répertoire et après l’avoir ajouté à une politique de recherche personnalisée dans la sous-fenêtre Authentification, vous devez attendre 10 ou 15 secondes pour que le changement entre en vigueur. Les tentatives d’ouverture de session immédiates avec un compte Active Directory échoueront. Chapitre 10 Résolution de problèmes liés à Open Directory 239 Si des utilisateurs ne peuvent pas s’authentifier par Kerberos et la signature unique En cas d’échec de l’authentification d’un utilisateur ou d’un service utilisant Kerberos, essayez les solutions suivantes :  L’authentification Kerberos est basée sur des horodatages cryptés. S’il existe un écart de plus de 5 minutes entre le centre de distribution de clés, l’ordinateur client et l’ordinateur du service, l’authentification peut échouer. Assurez-vous que les horloges de tous les ordinateurs sont synchronisées à l’aide du service Network Time Protocol (NTP) et Mac OS X Server ou de tout autre serveur horloge de réseau. Pour en savoir plus sur le service NTP de Mac OS X Server, consultez la section Administration des services de réseau.  Assurez-vous que Kerberos est exécuté sur le maître Open Directory et les répliques. Consultez la rubrique « Si Kerberos est arrêté sur un maître ou une réplique Open Directory » à la page 235.  Si un serveur Kerberos servant à la validation de mot de passe est indisponible, réinitialisez le mot de passe de l’utilisateur afin de recourir à un serveur disponible.  Assurez-vous que le serveur fournissant le service kerbérisé dispose d’un accès au domaine de répertoire du serveur Kerberos et que ce domaine de répertoire contient les comptes des utilisateurs qui tentent de s’authentifier à l’aide de Kerberos. Pour en savoir plus sur la configuration de l’accès à des domaines de répertoire, consultez le chapitre 7, « Gestion des clients de répertoire ».  Pour un royaume Kerberos d’un serveur Open Directory, assurez-vous que l’ordinateur du client est configuré pour accéder au répertoire LDAP du serveur Open Directory à l’aide du bon suffixe de base de recherche. Le réglage du suffixe de base de recherche LDAPv3 du client doit correspondre au réglage de base de recherche du répertoire LDAP. Le suffixe de base de recherche LDAPv3 du client peut être vide s’il reçoit ses mappages LDAP du serveur. Si c’est le cas, le client utilise le suffixe de base de recherche par défaut du répertoire LDAP.  Pour vérifier le réglage en matière de suffixe de base de recherche, ouvrez Utilitaire de répertoire, affichez la liste des configurations LDAPv3 et choisissez l’élément dans le menu local Mappages LDAP qui est déjà sélectionné dans le menu. Pour en savoir plus, consultez la rubrique « Modification d’une configuration pour l’accès à un répertoire LDAP » à la page 165.  Pour contrôler les réglages de base de recherche du répertoire LDAP, ouvrez Admin Serveur et recherchez le service Open Directory dans la sous-fenêtre Protocole de la sous-fenêtre Réglages.  Pour obtenir des informations pouvant vous aider à résoudre des problèmes, consultez l’historique du centre de distribution de clés. Consultez la rubrique « Affichage des états et des historiques Open Directory » à la page 211. 240 Chapitre 10 Résolution de problèmes liés à Open Directory  Si Kerberos ne tournait pas quand les enregistrements d’utilisateur ont été créés, importés ou mis à jour à partir d’une version de Mac OS X plus ancienne, il se peut qu’ils ne soient pas activés pour l’authentification Kerberos :  Un enregistrement n’est pas activé pour Kerberos s’il manque la valeur ;Kerberosv5; à son attribut d’autorité d’authentification. Utilisez l’Inspecteur de Gestionnaire de groupe de travail pour voir les valeurs d’un attribut d’autorité d’authentification d’un enregistrement d’utilisateur. Pour en savoir plus, consultez la rubrique « Affichage de l’Inspecteur de répertoire » à la page 212.  Activez Kerberos pour un enregistrement d’utilisateur en changeant son type de mot de passe. Réglez d’abord le type de mot de passe sur Mot de passe crypté, puis réglez-le sur Open Directory. Pour en savoir plus, consultez les rubriques « Changement du type de mot en Mot de passe crypté » à la page 127 et « Choix du type de mot de passe Open Directory » à la page 125.  Si des utilisateurs ne peuvent pas s’authentifier à l’aide de la signature unique ou de Kerberos pour des services fournis par un serveur connecté à un royaume Kerberos d’un maître Open Directory, l’enregistrement d’ordinateur du serveur est peut-être mal configuré dans le répertoire LDAP du maître Open Directory. En particulier, le nom du serveur qui figure dans le compte de groupe d’ordinateurs doit être le nom DNS complet du serveur, et pas juste le nom d’hôte du serveur. Par exemple, le nom pourrait être serveur2.exemple.com, mais pas juste serveur2. Pour reconfigurer un enregistrement d’ordinateur d’un serveur pour l’authentification Kerberos à signature unique : 1 Supprimez le serveur du compte de groupe d’ordinateurs dans le répertoire LDAP. Pour en savoir plus sur cette étape-ci et la suivante, consultez le guide Gestion des utilisateurs. 2 Ajoutez à nouveau le serveur au groupe d’ordinateurs. 3 Déléguez à nouveau l’autorité pour connecter le serveur au royaume Kerberos du maître Open Directory. Pour en savoir plus, consultez la rubrique « Délégation d’autorité pour connecter des serveurs à un royaume Kerberos Open Directory » à la page 117. 4 Connectez à nouveau le serveur au royaume Kerberos Open Directory. Pour en savoir plus, consultez la rubrique « Connecter un serveur à un royaume Kerberos » à la page 119. Chapitre 10 Résolution de problèmes liés à Open Directory 241 Si les utilisateurs n’arrivent pas à modifier leur mot de passe Les utilisateurs dont les comptes résident dans un répertoire LDAP qui n’est pas hébergé par Mac OS X Server et qui ont un mot de passe de type crypté ne peuvent pas changer leur mot de passe après s’être connecté à partir d’un ordinateur client sous Mac OS X 10.3. Ces utilisateurs peuvent changer leur mot de passe si vous utilisez la sous-fenêtre Avancé de Gestionnaire de groupe de travail pour changer le réglage Type du mot de passe de leur compte en Open Directory. En effectuant cette modification, vous devez également saisir un autre mot de passe. Ensuite, indiquez aux utilisateurs qu’ils doivent ouvrir une session à l’aide de ce nouveau mot de passe puis le modifier dans la sous-fenêtre Comptes des Préférences Système. Si vous ne pouvez pas connecter un serveur à un royaume Kerberos Open Directory Si un utilisateur possédant une autorité Kerberos délégué ne peut pas connecter un serveur à un royaume Kerberos d’un maître Open Directory, il se peut que l’enregistrement d’ordinateur du serveur soit mal configuré dans le répertoire LDAP du maître Open Directory. L’adresse du serveur dans le compte de groupe d’ordinateurs doit être l’adresse Ethernet principale du serveur. L’adresse Ethernet principale du serveur est l’identifiant Ethernet du premier port Ethernet qui apparaît dans la liste des configurations de ports réseau qui est affichée dans la sous-fenêtre des préférences Réseau du serveur. Pour reconfigurer un enregistrement d’ordinateur d’un serveur pour se connecter à un royaume Kerberos : 1 Supprimez le serveur du compte de groupe d’ordinateurs dans le répertoire LDAP. Pour en savoir plus sur cette étape-ci et la suivante, consultez le guide Gestion des utilisateurs. 2 Ajoutez à nouveau le serveur au groupe d’ordinateurs. 3 Déléguez à nouveau l’autorité pour connecter le serveur au royaume Kerberos du maître Open Directory. Passez cette étape si vous pouvez utiliser un compte d’administrateur Kerberos (un compte d’administrateur de répertoire LDAP) pour connecter à nouveau le serveur au royaume Kerberos. Pour en savoir plus, consultez la rubrique « Délégation d’autorité pour connecter des serveurs à un royaume Kerberos Open Directory » à la page 117. 4 Connectez à nouveau le serveur au royaume Kerberos Open Directory. Pour en savoir plus, consultez la rubrique « Connecter un serveur à un royaume Kerberos » à la page 119. 242 Chapitre 10 Résolution de problèmes liés à Open Directory Si vous devez réinitialiser un mot de passe d’administrateur Le disque d’installation de Mac OS X Server vous permet de changer le mot de passe d’un compte d’utilisateur disposant d’autorisations d’administrateur, y compris le compte de l’Administrateur système (root ou superuser). Important : comme un utilisateur disposant du disque d’installation peut accéder sans restriction à votre serveur, il est conseillé de limiter l’accès physique à l’ordinateur hébergeant le logiciel de serveur. Pour réinitialiser un mot de passe d’administrateur : 1 Démarrez à partir du disque d’installation 1 de Mac OS X Server. 2 Dans le programme d’installation, choisissez Installation > Réinitialiser le mot de passe. 3 Sélectionnez le volume de disque dur contenant le compte d’administrateur dont vous voulez réinitialiser le mot de passe. 4 Dans le menu local, tapez un nouveau mot de passe, choisissez le compte d’administrateur, puis cliquez sur Enregistrer. Le compte d’administrateur système est le compte de l’utilisateur root (superuser). Ne confondez pas ce compte avec un compte d’administrateur normal. Évitez de modifier les mots de passe des comptes d’utilisateur prédéfinis. Pour en savoir plus sur les comptes d’utilisateur prédéfinis, consultez le guide Gestion des utilisateurs. Remarque : cette procédure modifie le mot de passe du compte d’administrateur du domaine de répertoire local du serveur. Il ne modifie pas le mot de passe d’un compte d’administrateur du domaine de répertoire partagé du serveur, si le serveur dispose d’un tel domaine. Si vous connaissez le mot de passe d’un compte d’administrateur du domaine local, vous pouvez modifier le mot de passe de tous les autres comptes d’administrateur du domaine de répertoire local en utilisant Gestionnaire de groupe de travail plutôt que cette procédure. Pour en savoir plus, consultez la rubrique « Modification du mot de passe d’un utilisateur » à la page 123. Chapitre 10 Résolution de problèmes liés à Open Directory 243 Annexe Données de répertoire Mac OS X La connaissance du schéma LDAP Open Directory et des attributs et types d’enregistrements des domaines de répertoire Mac OS X vous aidera pour le mappage sur d’autres domaines de répertoire, ainsi que pour l’importation ou l’exportation des comptes d’utilisateur et de groupe. La présente annexe liste les extensions Open Directory au schéma LDAP, les mappages d’attributs Open Directory sur des attributs LDAP et Active Directory et les attributs standard de divers types d’enregistrements. Utilisez ces informations pour :  Mapper des classes d’objets et des attributs de répertoires LDAP non-Apple ou des domaines Active Directory sur des types et attributs d’enregistrements Open Directory, comme décrit dans la rubrique « Configuration des recherches et mappages LDAP » à la page 173.  Importer ou exporter des comptes d’utilisateur ou de groupe vers un domaine Open Directory, comme décrit dans Gestion des utilisateurs.  Travailler dans la sous-fenêtre Inspecteur de Gestionnaire de groupe de travail, comme décrit dans la rubrique « Affichage et modification des données de répertoire » à la page 212. Remarque : les tableaux suivants ne fournissent pas des informations complètes sur l’extension de votre schéma. Le tableau indique les enregistrements et les attributs qu’Open Directory utilise à partir de schémas Active Directory et Unix RFC2307 existants. Il indique aussi les attributs et les enregistrements qui ne possèdent pas de mappage direct. Pour plus de détails, consultez les rubriques suivantes :  « Extensions Open Directory au schéma LDAP » à la page 246  « Classes d’objets du schéma LDAP Open Directory » à la page 247  « Attributs du schéma LDAP Open Directory » à la page 256  « Mappage de types d’enregistrements et d’attributs standard vers LDAP et Active Directory » à la page 276 245 « Mappages d’utilisateurs (Users) » à la page 277 « Mappages de groupes (Groups) » à la page 280 « Mappages de montages (Mounts) » à la page 282 « Mappages d’ordinateurs (Computers) » à la page 282 « Mappages de listes d’ordinateurs (ComputerLists) » à la page 284 « Mappages de configurations (Config) » à la page 285 « Mappages de personnes (People) » à la page 286 « Mappages de listes d’ordinateurs préréglés (PresetComputerLists) » à la page 287 « Mappages de groupes préréglés (PresetGroups) » à la page 288 « Mappages d’utilisateurs préréglés (PresetUsers) » à la page 289 « Mappages d’imprimantes (Printers) » à la page 290 « Mappages de configurations automatiques de serveur (AutoServerSetup) » à la page 292  « Mappages d’emplacements (Locations) » à la page 292 « types d’enregistrements et attributs Open Directory standard » à la page 293 « Attributs standard dans les enregistrements d’utilisateurs » à la page 293 « Attributs standard dans les enregistrements de groupes » à la page 299 « Attributs standard dans les enregistrements d’ordinateurs » à la page 300 « Attributs standard dans les enregistrements de groupes d’ordinateurs » à la page 301 « Attributs standard dans les enregistrements de montages » à la page 302 « Attributs standard dans les enregistrements de configurations » à la page 303                    Extensions Open Directory au schéma LDAP Le schéma des répertoires LDAP Open Directory est basé sur les attributs et classes d’objets standard définis dans les documents RFC (Request for Comments) de l’IETF (Internet Engineering Task Force) :  RFC 2307 “An Approach for Using LDAP as a Network Information Service”  RFC 2798 “Definition of the inetOrgPerson LDAP Object Class” Les définitions de schéma LDAP spécifient les identifiants de syntaxe et les règles correspondantes qui sont définis dans le document RFC 2252, « Attributs LDAPv3 ». Ces RFC sont disponibles sur le site Web de l’IETF (en anglais) : www.ietf.org/rfc.html. Les attributs et classes d’objets définis dans ces RFC forment la base du schéma LDAP Open Directory. 246 Annexe Données de répertoire Mac OS X Le schéma étendu pour les répertoires LDAP Open Directory inclut les attributs et classes d’objets définis dans :  « Classes d’objets du schéma LDAP Open Directory » à la page 247  « Attributs du schéma LDAP Open Directory » à la page 256 Remarque : Apple est susceptible d’étendre le schéma LDAP Open Directory à l’avenir, par exemple, pour prendre en charge de nouvelles versions de Mac OS X et Mac OS X Server. Le schéma le plus récent est disponible sous forme de fichiers texte sur tout ordinateur doté de Mac OS X Server. Les fichiers de schéma se trouvent dans le répertoire /etc/openldap/schema. Le fichier apple.schema contient les dernières extensions de schéma pour les répertoires LDAP Open Directory. Classes d’objets du schéma LDAP Open Directory Cette section définit les classes d’objets Open Directory LDAP qui étendent le schéma LDAP standard. Classe d’objets structurelle de conteneur (container) Container est une classe d’objets structurelle utilisée pour les conteneurs d’enregistrements de premier niveau comme cn=users, cn=groups et cn=mounts. Il n’existe pas de services de répertoires analogues à cette classe d’objets, mais le nom de conteneur fait partie de la base de recherche pour chaque type d’enregistrement. #objectclass ( # 1.2.840.113556.1.3.23 # NAME ’container’ # SUP top # STRUCTURAL # MUST ( cn ) ) Classe d’objets de durée de vie (Time To Live) objectclass ( 1.3.6.1.4.1.250.3.18 NAME ’cacheObject’ AUXILIARY SUP top DESC ’Auxiliary object class to hold TTL caching information’ MAY ( Annexe ttl ) ) Données de répertoire Mac OS X 247 Classe d’objets d’utilisateur (User) La classe d’objets apple-user est une classe auxiliaire servant à stocker des attributs Mac OS X qui ne font pas partie d’inetOrgPerson ou de posixAccount. Cette classe d’objets est utilisée avec les enregistrements kDSStdRecordTypeUsers. objectclass ( 1.3.6.1.4.1.63.1000.1.1.2.1 NAME ’apple-user’ SUP top AUXILIARY DESC ’compte d’utilisateur apple’ MAY ( apple-user-homeurl $ apple-user-class $ apple-user-homequota $ apple-user-mailattribute $ apple-user-printattribute $ apple-mcxflags $ apple-mcxsettings $ apple-user-adminlimits $ apple-user-picture $ apple-user-authenticationhint $ apple-user-homesoftquota $ apple-user-passwordpolicy $ apple-keyword $ apple-generateduid $ apple-imhandle $ apple-webloguri $ authAuthority $ acctFlags $ pwdLastSet $ logonTime $ logoffTime $ kickoffTime $ homeDrive $ scriptPath $ profilePath $ userWorkstations $ smbHome $ rid $ primaryGroupID $ sambaSID $ sambaPrimaryGroupSID $ userCertificate $ jpegPhoto $ apple-nickname $ apple-namesuffix $ apple-birthday $ apple-relationships $ apple-organizationinfo $ apple-phonecontacts $ apple-emailcontacts $ apple-postaladdresses $ apple-mapcoordinates $ apple-mapuri $ apple-mapguid $ apple-serviceslocator) ) Classe d’objets auxiliaire de groupe (group) La classe d’objets apple-group est une classe auxiliaire utilisée pour stocker des attributs Mac OS X qui ne font pas partie de posixGroup. Cette classe d’objets est utilisée avec les enregistrements kDSStdRecordTypeGroups. objectclass ( 1.3.6.1.4.1.63.1000.1.1.2.14 NAME ’apple-group’ SUP top AUXILIARY DESC ’compte de groupe’ MAY ( apple-group-homeurl $ apple-group-homeowner $ apple-mcxflags $ apple-mcxsettings $ apple-group-realname $ apple-user-picture $ apple-keyword $ apple-generateduid $ 248 Annexe Données de répertoire Mac OS X apple-group-nestedgroup $ apple-group-memberguid $ mail $ rid $ sambaSID $ ttl $ jpegPhoto $ apple-group-services $ apple-contactguid $ apple-ownerguid $ labeledURI $ apple-serviceslocator) ) Classe d’objets auxiliaire de machine (machine) objectclass ( 1.3.6.1.4.1.63.1000.1.1.2.3 NAME ’apple-machine’ SUP top AUXILIARY MAY ( apple-machine-software $ apple-machine-hardware $ apple-machine-serves $ apple-machine-suffix $ apple-machine-contactperson ) ) Classe d’objets de montage (mount) objectclass ( 1.3.6.1.4.1.63.1000.1.1.2.8 NAME ’mount’ SUP top STRUCTURAL MUST ( cn ) MAY ( mountDirectory $ mountType $ mountOption $ mountDumpFrequency $ mountPassNo ) ) Classe d’objets d’imprimante (printer) objectclass ( 1.3.6.1.4.1.63.1000.1.1.2.9 NAME ’apple-printer’ SUP top STRUCTURAL MUST ( cn ) MAY ( apple-printer-attributes $ apple-printer-lprhost $ apple-printer-lprqueue $ apple-printer-type $ apple-printer-note ) ) Annexe Données de répertoire Mac OS X 249 Classe d’objets d’ordinateur (computer) objectclass ( 1.3.6.1.4.1.63.1000.1.1.2.10 NAME ’apple-computer’ DESC ’ordinateur’ SUP top STRUCTURAL MUST ( cn ) MAY ( apple-realname $ description $ macAddress $ apple-category $ apple-computer-list-groups $ apple-keyword $ apple-mcxflags $ apple-mcxsettings $ apple-networkview $ apple-xmlplist $ apple-service-url $ apple-serviceinfo $ apple-primarycomputerlist $ authAuthority $ uidNumber $ gidNumber $ apple-generateduid $ ttl $ acctFlags $ pwdLastSet $ logonTime $ logoffTime $ kickoffTime $ rid $ primaryGroupID $ sambaSID $ sambaPrimaryGroupSID owner $ apple-ownerguid $ apple-contactguid $ ipHostNumber $ bootFile) ) Classe d’objets de liste d’ordinateurs (ComputerList) objectclass ( 1.3.6.1.4.1.63.1000.1.1.2.11 NAME ’apple-computer-list’ DESC ’liste d’ordinateurs’ SUP top STRUCTURAL MUST ( cn ) MAY ( apple-mcxflags $ apple-mcxsettings $ apple-computer-list-groups $ apple-computers $ apple-generateduid $ apple-keyword ) ) 250 Annexe Données de répertoire Mac OS X Classe d’objets de configuration (Configuration) objectclass ( 1.3.6.1.4.1.63.1000.1.1.2.12 NAME ’apple-configuration’ DESC ’configuration’ SUP top STRUCTURAL MAY ( cn $ apple-config-realname $ apple-data-stamp $ apple-password-server-location $ apple-password-server-list $ apple-ldap-replica $ apple-ldap-writable-replica $ apple-keyword $ apple-kdc-authkey $ apple-kdc-configdata $ apple-xmlplist $ ttl ) ) Classe d’objets de liste d’ordinateurs préréglés (Preset Computer List) objectclass ( 1.3.6.1.4.1.63.1000.1.1.2.13 NAME ’apple-preset-computer-list’ DESC ’liste d’ordinateurs préréglés’ SUP top STRUCTURAL MUST ( cn ) MAY ( apple-mcxflags $ apple-mcxsettings $ apple-computer-list-groups $ apple-keyword ) ) Classe d’objets d’ordinateur préréglé (Preset Computer) objectclass ( 1.3.6.1.4.1.63.1000.1.1.2.25 NAME ’apple-preset-computer’ DESC ’preset computer’ SUP top STRUCTURAL MUST ( cn ) MAY ( apple-mcxflags $ apple-mcxsettings $ apple-computer-list-groups $ apple-primarycomputerlist $ description $ apple-networkview $ apple-keyword ) ) Annexe Données de répertoire Mac OS X 251 Classe d’objets de groupe d’ordinateurs préréglés (Preset Computer Group) objectclass ( 1.3.6.1.4.1.63.1000.1.1.2.26 NAME ’apple-preset-computer-group’ DESC ’preset computer group’ SUP top STRUCTURAL MUST ( cn ) MAY ( gidNumber $ memberUid $ apple-mcxflags $ apple-mcxsettings $ apple-group-nestedgroup $ description $ jpegPhoto $ apple-keyword ) ) Classe d’objets de groupe préréglé (Preset Group) objectclass ( 1.3.6.1.4.1.63.1000.1.1.3.14 NAME ’apple-preset-group’ DESC ’groupe préréglé’ SUP top STRUCTURAL MUST ( cn ) MAY ( memberUid $ gidNumber $ description $ apple-group-homeurl $ apple-group-homeowner $ apple-mcxflags $ apple-mcxsettings $ apple-group-realname $ apple-keyword $ apple-group-nestedgroup $ apple-group-memberguid $ ttl $ jpegPhoto $ apple-group-services $ labeledURI) )) ) 252 Annexe Données de répertoire Mac OS X Classe d’objets d’utilisateur préréglé (Preset User) objectclass ( 1.3.6.1.4.1.63.1000.1.1.2.15 NAME ’apple-preset-user’ DESC ’utilisateur préréglé’ SUP top STRUCTURAL MUST ( cn ) MAY ( uid $ memberUid $ gidNumber $ homeDirectory $ apple-user-homeurl $ apple-user-homequota $ apple-user-homesoftquota $ apple-user-mailattribute $ apple-user-printattribute $ apple-mcxflags $ apple-mcxsettings $ apple-user-adminlimits $ apple-user-passwordpolicy $ userPassword $ apple-user-picture $ apple-keyword $ loginShell $ description $ shadowLastChange $ shadowExpire $ authAuthority $ homeDrive $ scriptPath $ profilePath $ smbHome $ apple-preset-user-is-admin jpegPhoto $ apple-relationships $ apple-phonecontacts $ apple-emailcontacts $ apple-postaladdresses $ apple-mapcoordinates ) ) Classe d’objets d’autorité d’authentification (Authentication Authority) objectclass ( 1.3.6.1.4.1.63.1000.1.1.2.16 NAME ’authAuthorityObject’ SUP top STRUCTURAL MAY ( Annexe authAuthority ) ) Données de répertoire Mac OS X 253 Classe d’objets de configuration d’assistant du serveur (Server Assistant Configuration) objectclass ( 1.3.6.1.4.1.63.1000.1.1.2.17 NAME ’apple-serverassistant-config’ SUP top STRUCTURAL MUST ( cn ) MAY ( apple-xmlplist ) ) Classe d’objets d’emplacement (Location) objectclass ( 1.3.6.1.4.1.63.1000.1.1.2.18 NAME ’apple-location’ SUP top AUXILIARY MUST ( cn ) MAY ( apple-dns-domain $ apple-dns-nameserver ) ) Classe d’objets de service (Service) objectclass ( 1.3.6.1.4.1.63.1000.1.1.2.19 NAME ’apple-service’ SUP top STRUCTURAL MUST ( cn $ MAY ( ipHostNumber $ apple-service-type ) description $ apple-service-location $ apple-service-url $ apple-service-port $ apple-dnsname $ apple-keyword ) ) Classe d’objets de voisinage (Neighborhood) objectclass ( 1.3.6.1.4.1.63.1000.1.1.2.20 NAME ’apple-neighborhood’ SUP top STRUCTURAL MUST ( cn ) MAY ( description $ apple-generateduid $ apple-category $ apple-nodepathxml $ apple-neighborhoodalias $ apple-computeralias $ apple-keyword $ apple-realname $ apple-xmlplist $ ttl ) ) 254 Annexe Données de répertoire Mac OS X Classe d’objets de liste de contrôle d’accès (ACL) objectclass ( 1.3.6.1.4.1.63.1000.1.1.2.21 NAME ’apple-acl’ SUP top STRUCTURAL MUST ( cn $ apple-acl-entry ) ) Classe d’objets de ressource (Resource) objectclass ( 1.3.6.1.4.1.63.1000.1.1.2.23 NAME ’apple-resource’ SUP top STRUCTURAL MUST ( cn ) MAY ( apple-realname $ description $ jpegPhoto $ apple-keyword $ apple-generateduid $ apple-contactguid $ apple-ownerguid $ apple-resource-info $ apple-resource-type $ apple-capacity $ labeledURI $ apple-mapuri $ apple-serviceslocator $ apple-phonecontacts $ c $ apple-mapguid $ apple-mapcoordinates ) ) Classe d’objets d’augmentation (Augment) objectclass ( 1.3.6.1.4.1.63.1000.1.1.2.24 NAME ’apple-augment’ SUP top STRUCTURAL MUST ( cn ) ) Classe d’objets de mappage de montage automatique (Automount Map) objectclass ( 1.3.6.1.1.1.2.16 NAME ’automountMap’ SUP top STRUCTURAL MUST ( automountMapName ) MAY description ) Classe d’objets de montage automatique (Automount) objectclass ( 1.3.6.1.1.1.2.17 NAME ’automount’ SUP top STRUCTURAL DESC ’Automount’ MUST ( automountKey $ automountInformation ) MAY description ) Annexe Données de répertoire Mac OS X 255 Attributs du schéma LDAP Open Directory Cette section définit les attributs LDAP Open Directory qui étendent le schéma LDAP standard. Attribut de durée de vie (Time-to-Live, TTL) attributetype ( 1.3.6.1.4.1.250.1.60 NAME ’ttl’ EQUALITY integerMatch SYNTAX ’1.3.6.1.4.1.1466.115.121.1.27’ SINGLE-VALUE ) Attributs d’utilisateur (User) apple-user-homeurl Stocke les informations de dossier de départ sous la forme d’une URL et d’un chemin d’accès. Permet d’établir une correspondance avec le type d’attribut kDS1AttrHomeDirectory des services de répertoires. attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.1.6 NAME ’apple-user-homeurl’ DESC ’URL du dossier de départ ’ EQUALITY caseExactIA5Match SUBSTR caseExactIA5SubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE ) apple-user-class Inutilisé. attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.1.7 NAME ’apple-user-class’ DESC ’classe d’utilisateur’ EQUALITY caseExactIA5Match SUBSTR caseExactIA5SubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE ) apple-user-homequota Spécifie le quota du dossier de départ en kilo-octets. attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.1.8 NAME ’apple-user-homequota’ DESC ’quota du dossier de départ ’ EQUALITY caseExactIA5Match SUBSTR caseExactIA5SubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE ) apple-user-mailattribute Stocke les réglages de courrier au format XML. 256 Annexe Données de répertoire Mac OS X attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.1.9 NAME ’apple-user-mailattribute’ DESC ’attribut de courrier’ EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE ) apple-mcxflags Stocke les informations de client géré. Cet attribut se trouve dans les enregistrements d’utilisateur, de groupe, d’ordinateur et de groupe d’ordinateurs. attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.1.10 NAME ’apple-mcxflags’ DESC ’indicateurs mcx’ EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE ) apple-mcxsettings Stocke les informations de client géré. Cet attribut se trouve dans les enregistrements d’utilisateur, de groupe, d’ordinateur et de groupe d’ordinateurs. #attributetype ( # 1.3.6.1.4.1.63.1000.1.1.1.1.11 # NAME ’apple-mcxsettings’ # DESC ’réglages mcx’ # EQUALITY caseExactMatch # SUBSTR caseExactSubstringsMatch # SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE ) attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.1.16 NAME ( ’apple-mcxsettings’ ’apple-mcxsettings2’ ) DESC ’réglages mcx’ EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) apple-user-picture Stocke un chemin d’accès du système de fichiers vers l’image à afficher pour cet enregistrement d’utilisateur dans la fenêtre d’ouverture de session. Utilisé lorsque l’utilisateur réseau est affiché dans la liste déroulante de la fenêtre d’ouverture de session (sur les réseaux gérés). Par défaut, les utilisateurs peuvent modifier leurs photos. attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.1.12 NAME ’apple-user-picture’ DESC ’image’ Annexe Données de répertoire Mac OS X 257 EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE ) apple-user-printattribute Stocke les réglages de quota d’impression sous forme de plist XML. attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.1.13 NAME ’apple-user-printattribute’ DESC ’attribut d’impression’ EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE ) apple-user-adminlimits Utilisé par Gestionnaire de groupe de travail pour stocker un fichier plist XML décrivant les compétences d’un administrateur. Ces réglages sont respectés et actualisés par Gestionnaire de groupe de travail, mais n’affectent pas les autres éléments du système. attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.1.14 NAME ’apple-user-adminlimits’ DESC ’capacités d’administrateur’ EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE ) apple-user-authenticationhint Utilisé par la fenêtre d’ouverture de session pour fournir un indice si l’utilisateur fait trois tentatives d’ouverture de session infructueuses de suite. Par défaut, chaque utilisateur peut modifier son indice d’authentification. attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.1.15 NAME ’apple-user-authenticationhint’ DESC ’indice de mot de passe’ EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE ) apple-user-homesoftquota attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.1.17 NAME ’apple-user-homesoftquota’ DESC ’quota (soft) du dossier de départ ’ EQUALITY caseExactIA5Match SUBSTR caseExactIA5SubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE ) 258 Annexe Données de répertoire Mac OS X apple-user-passwordpolicy attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.1.18 NAME ’apple-user-passwordpolicy’ DESC ’options de politique de mot de passe’ EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE ) apple-keyword attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.1.19 NAME ( ’apple-keyword’ ) DESC ’mots clés’ EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) apple-generateduid attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.1.20 NAME ( ’apple-generateduid’ ) DESC ’identifiant unique généré’ EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE ) apple-imhandle attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.1.21 NAME ( ’apple-imhandle’ ) DESC ’IM handle (service:account name)’ EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) apple-webloguri attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.1.22 NAME ( ’apple-webloguri’ ) DESC ’Weblog URI’ EQUALITY caseExactIA5Match SUBSTR caseExactIA5SubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE ) apple-mapcoordinates attributetype ( Annexe Données de répertoire Mac OS X 259 1.3.6.1.4.1.63.1000.1.1.1.1.23 NAME ( ’apple-mapcoordinates’ ) DESC ’Map Coordinates’ EQUALITY caseExactIA5Match SUBSTR caseExactIA5SubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 ) apple-postaladdresses attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.1.24 NAME ( ’apple-postaladdresses’ ) DESC ’Postal Addresses’ EQUALITY caseExactIA5Match SUBSTR caseExactIA5SubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 ) apple-phonecontacts attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.1.25 NAME ( ’apple-phonecontacts’ ) DESC ’Phone Contacts’ EQUALITY caseExactIA5Match SUBSTR caseExactIA5SubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 ) apple-emailcontacts attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.1.26 NAME ( ’apple-emailcontacts’ ) DESC ’EMail Contacts’ EQUALITY caseExactIA5Match SUBSTR caseExactIA5SubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 ) apple-birthday attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.1.27 NAME ( ’apple-birthday’ ) DESC ’Birthday’ EQUALITY generalizedTimeMatch SUBSTR caseExactIA5SubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.24 SINGLE-VALUE ) apple-relationships attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.1.28 NAME ( ’apple-relationships’ ) DESC ’Relationships’ 260 Annexe Données de répertoire Mac OS X EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) apple-company attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.1.29 NAME ( ’apple-company’ ) DESC ’company’ EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) apple-nickname attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.1.30 NAME ( ’apple-nickname’ ) DESC ’nickname’ EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) apple-mapuri attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.1.31 NAME ( ’apple-mapuri’ ) DESC ’Map URI’ EQUALITY caseExactIA5Match SUBSTR caseExactIA5SubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 ) apple-mapguid attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.1.32 NAME ( ’apple-mapguid’ ) DESC ’map GUID’ EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE ) apple-serviceslocator attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.1.33 NAME ( ’apple-serviceslocator’ ) DESC ’Calendar Principal URI’ EQUALITY caseExactIA5Match SUBSTR caseExactIA5SubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 ) Annexe Données de répertoire Mac OS X 261 apple-organizationinfo attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.1.34 NAME ’apple-organizationinfo’ DESC ’Originization Info data’ EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) apple-namesuffix attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.1.35 NAME ( ’apple-namesuffix’ ) DESC ’namesuffix’ EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) apple-primarycomputerlist attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.1.36 NAME ( ’apple-primarycomputerlist’ ) DESC ’primary computer list’ EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE ) apple-user-homeDirectory Non utilisé par le serveur Open Directory, mais fourni comme exemple d’OID et d’attribut à employer comme alternative à l’attribut homeDirectory pour la RFC 2307. Il est surtout intéressant pour les administrateurs Active Directory parce qu’Active Directory utilise un attribut homeDirectory différent de celui de la RFC 2307. #attributetype ( # 1.3.6.1.4.1.63.1000.1.1.1.1.100 # NAME ’apple-user-homeDirectory’ # DESC ’Le chemin d’accès absolu au dossier de départ ’ # EQUALITY caseExactIA5Match # SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE ) 262 Annexe Données de répertoire Mac OS X Attributs de groupe (Group) apple-group-homeurl Spécifie le dossier de départ associé à un groupe de travail de clients gérés. Ce dernier est monté à l’ouverture de session par tout utilisateur faisant partie de ce groupe de travail. attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.14.1 NAME ’apple-group-homeurl’ DESC ’url du dossier de départ du groupe’ EQUALITY caseExactIA5Match SUBSTR caseExactIA5SubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE ) apple-group-homeowner Détermine le propriétaire du dossier de départ du groupe de travail lorsqu’il est créé dans le système de fichiers. Le groupe du répertoire est le groupe de travail auquel il est associé. attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.14.2 NAME ’apple-group-homeowner’ DESC ’réglages du propriétaire du dossier de départ du groupe’ EQUALITY caseExactIA5Match SUBSTR caseExactIA5SubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE ) apple-group-realname Utilisé pour associer un nom d’utilisateur plus long et plus convivial aux groupes. Ce nom apparaît dans Gestionnaire de groupe de travail et peut contenir des caractères non-ASCII. attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.14.5 NAME ’apple-group-realname’ DESC ’nom réel du groupe’ EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE ) apple-group-nestedgroup attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.14.6 NAME ’apple-group-nestedgroup’ DESC ’nom réel du groupe’ EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) Annexe Données de répertoire Mac OS X 263 apple-group-memberguid attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.14.7 NAME ’apple-group-memberguid’ DESC ’nom réel du groupe’ EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) apple-group-services attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.14.8 NAME ’apple-group-services’ DESC ’group services’ EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) apple-group-memberUid Non utilisé par le serveur Open Directory, mais défini comme exemple d’attribut et d’OID pouvant être ajoutés à un autre serveur LDAP pour gérer les clients Mac OS X. # Alternative à l’emploi de l’attribut memberUid de la RFC 2307. #attributetype ( # 1.3.6.1.4.1.63.1000.1.1.1.14.1000 # NAME ’apple-group-memberUid’ # DESC ’liste des membres du groupe’ # EQUALITY caseExactIA5Match # SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 ) # can also use OID 1.3.6.1.4.1.63.1000.1.1.2.1000 apple-contactguid attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.14.9 NAME ( ’apple-contactguid’ ) DESC ’contact GUID’ EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE ) apple-ownerguid attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.14.10 NAME ( ’apple-ownerguid’ ) DESC ’owner GUID’ EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE ) 264 Annexe Données de répertoire Mac OS X apple-primarycomputerguid attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.14.11 NAME ( ’apple-primarycomputerguid’ ) DESC ’primary computer GUID’ EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE ) apple-group-expandednestedgroup attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.14.12 NAME ’apple-group-expandednestedgroup’ DESC ’expanded nested group list’ EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) Attributs de machine (Machine) apple-machine-software attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.3.8 NAME ’apple-machine-software’ DESC ’logiciel système installé’ EQUALITY caseIgnoreIA5Match SUBSTR caseIgnoreIA5SubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 ) apple-machine-hardware attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.3.9 NAME ’apple-machine-hardware’ DESC ’description matérielle du système’ EQUALITY caseIgnoreIA5Match SUBSTR caseIgnoreIA5SubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 ) apple-machine-serves attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.3.10 NAME ’apple-machine-serves’ DESC ’Liaison de serveur de domaine NetInfo’ EQUALITY caseExactIA5Match SUBSTR caseExactIA5SubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 ) Annexe Données de répertoire Mac OS X 265 apple-machine-suffix attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.3.11 NAME ’apple-machine-suffix’ DESC ’suffixe DIT’ EQUALITY caseIgnoreMatch SUBSTR caseIgnoreSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) apple-machine-contactperson attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.3.12 NAME ’apple-machine-contactperson’ DESC ’Name of contact person/owner of this machine’ EQUALITY caseIgnoreMatch SUBSTR caseIgnoreSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) attributeTypesConfig attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.22.1 NAME ’attributeTypesConfig’ DESC ’RFC2252: attribute types’ EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) objectClassesConfig attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.22.2 NAME ’objectClassesConfig’ EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) Attributs de montage mountDirectory attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.8.1 NAME ’mountDirectory’ DESC ’chemin d’accès de montage’ EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE ) 266 Annexe Données de répertoire Mac OS X mountType attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.8.2 NAME ’mountType’ DESC ’type VFS du montage’ EQUALITY caseIgnoreIA5Match SUBSTR caseIgnoreIA5SubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE ) mountOption attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.8.3 NAME ’mountOption’ DESC ’options de montage’ EQUALITY caseIgnoreIA5Match SUBSTR caseIgnoreIA5SubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 ) mountDumpFrequency attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.8.4 NAME ’mountDumpFrequency’ DESC ’fréquence de vidage du montage’ EQUALITY caseIgnoreIA5Match SUBSTR caseIgnoreIA5SubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE ) mountPassNo attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.8.5 NAME ’mountPassNo’ DESC ’passno du montage’ EQUALITY caseIgnoreIA5Match SUBSTR caseIgnoreIA5SubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE ) apple-mount-name # Alternative to using ’cn’ when adding mount record schema to other LDAP servers #attributetype ( # 1.3.6.1.4.1.63.1000.1.1.1.8.100 # NAME ( ’apple-mount-name’ ) # DESC ’mount name’ # SUP name ) Annexe Données de répertoire Mac OS X 267 Attributs d’imprimante (Printer) apple-printer-attributes attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.9.1 NAME ’apple-printer-attributes’ DESC ’attributs d’imprimante au format /etc/printcap’ EQUALITY caseIgnoreIA5Match SUBSTR caseIgnoreIA5SubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 ) apple-printer-lprhost attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.9.2 NAME ’apple-printer-lprhost’ DESC ’nom d’hôte LPR d’imprimante’ EQUALITY caseIgnoreMatch SUBSTR caseIgnoreSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) apple-printer-lprqueue attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.9.3 NAME ’apple-printer-lprqueue’ DESC ’liste d’attente LPR d’imprimante’ EQUALITY caseIgnoreMatch SUBSTR caseIgnoreSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) apple-printer-type attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.9.4 NAME ’apple-printer-type’ DESC ’type d’imprimante’ EQUALITY caseIgnoreMatch SUBSTR caseIgnoreSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) apple-printer-note attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.9.5 NAME ’apple-printer-note’ DESC ’note d’imprimante’ EQUALITY caseIgnoreMatch SUBSTR caseIgnoreSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) 268 Annexe Données de répertoire Mac OS X Attributs d’ordinateur (Computer) apple-realname attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.10.2 NAME ’apple-realname’ DESC ’nom réel’ EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) apple-networkview attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.10.3 NAME ’apple-networkview’ DESC ’Network view for the computer’ EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) apple-category attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.10.4 NAME ’apple-category’ DESC ’Category for the computer or neighborhood’ EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) Attributs de liste d’ordinateurs (ComputerList) apple-computers attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.11.3 NAME ’apple-computers’ DESC ’ordinateurs’ EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) apple-computer-list-groups attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.11.4 NAME ’apple-computer-list-groups’ DESC ’groupes’ EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) Annexe Données de répertoire Mac OS X 269 Attribut de Plist XML apple-xmlplist attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.17.1 NAME ’apple-xmlplist’ DESC ’données de plist XML’ EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE ) Attributs d’URL de service (Service URL) apple-service-url attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.19.2 NAME ’apple-service-url’ DESC ’URL of service’ EQUALITY caseExactIA5Match SUBSTR caseExactIA5SubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 ) Attribut d’information de service apple-serviceinfo attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.19.6 NAME ’apple-serviceinfo’ DESC ’service related information’ EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) Attributs de configuration (Configuration) apple-password-server-location attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.12.1 NAME ’apple-password-server-location’ DESC ’emplacement du serveur de mots de passe’ EQUALITY caseExactIA5Match SUBSTR caseExactIA5SubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE ) 270 Annexe Données de répertoire Mac OS X apple-data-stamp attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.12.2 NAME ’apple-data-stamp’ DESC ’data stamp’ EQUALITY caseExactIA5Match SUBSTR caseExactIA5SubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE ) apple-config-realname attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.12.3 NAME ’apple-config-realname’ DESC ’nom réel de configuration’ EQUALITY caseExactIA5Match SUBSTR caseExactIA5SubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE ) apple-password-server-list attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.12.4 NAME ’apple-password-server-list’ DESC ’plist de duplication de serveur de mots de passe’ EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE ) apple-ldap-replica attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.12.5 NAME ’apple-ldap-replica’ DESC ’liste de duplication LDAP’ EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) apple-ldap-writable-replica attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.12.6 NAME ’apple-ldap-writable-replica’ DESC ’liste de duplication LDAP modifiable’ EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) Annexe Données de répertoire Mac OS X 271 apple-kdc-authkey attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.12.7 NAME ’apple-kdc-authkey’ DESC ’clé maîtresse KDC cryptée au format RSA avec clé publique de royaume’ EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) apple-kdc-configdata attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.12.8 NAME ’apple-kdc-configdata’ DESC ’Contenu du fichier kdc.conf’ EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE ) Attribut d’utilisateur préréglé (PresetUser) apple-preset-user-is-admin attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.15.1 NAME ’apple-preset-user-is-admin’ DESC ’indicateur signalant si l’utilisateur préréglé est un administrateur’ EQUALITY caseExactIA5Match SUBSTR caseExactIA5SubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE ) Attributs d’autorité d’authentification (Authentication Authority) authAuthority #attributetype ( # 1.3.6.1.4.1.63.1000.1.1.2.16.1 # NAME ’authAuthority’ # # # # DESC ’autorité d’authentification du serveur de mots de passe’ EQUALITY caseExactIA5Match SUBSTR caseExactIA5SubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 ) authAuthority2 #attributetype ( # 1.3.6.1.4.1.63.1000.1.1.2.16.2 # NAME ( ’authAuthority’ ’authAuthority2’ ) # DESC ’autorité d’authentification du serveur de mots de passe’ # EQUALITY caseExactMatch # SUBSTR caseExactSubstringsMatch # SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) 272 Annexe Données de répertoire Mac OS X Attributs d’emplacement (Location) apple-dns-domain attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.18.1 NAME ’apple-dns-domain’ DESC ’domaine DNS’ EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) apple-dns-nameserver attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.18.2 NAME ’apple-dns-nameserver’ DESC ’liste de serveurs de noms DNS’ EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) Attributs de service (Service) apple-service-type attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.19.1 NAME ’apple-service-type’ DESC ’type of service’ EQUALITY caseExactIA5Match SUBSTR caseExactIA5SubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 ) apple-service-url #attributetype ( # 1.3.6.1.4.1.63.1000.1.1.1.19.2 # NAME ’apple-service-url’ # DESC ’URL of service’ # EQUALITY caseExactIA5Match # SUBSTR caseExactIA5SubstringsMatch # SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 ) apple-service-port attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.19.3 NAME ’apple-service-port’ DESC ’Service port number’ EQUALITY integerMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.27 ) Annexe Données de répertoire Mac OS X 273 apple-dnsname attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.19.4 NAME ’apple-dnsname’ DESC ’DNS name’ EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) apple-service-location attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.19.5 NAME ’apple-service-location’ DESC ’Service location’ EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) Attributs de voisinage (Neighborhood) apple-nodepathxml attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.20.1 NAME ’apple-nodepathxml’ DESC ’XML plist of directory node path’ EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) apple-neighborhoodalias attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.20.2 NAME ’apple-neighborhoodalias’ DESC ’XML plist referring to another neighborhood record’ EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) apple-computeralias attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.20.3 NAME ’apple-computeralias’ DESC ’XML plist referring to a computer record’ EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) 274 Annexe Données de répertoire Mac OS X Attribut de liste de contrôle d’accès (ACL) apple-acl-entry #attributetype ( # 1.3.6.1.4.1.63.1000.1.1.1.21.1 # NAME ’apple-acl-entry’ # DESC ’acl entry’ # EQUALITY caseExactMatch # SUBSTR caseExactSubstringsMatch # SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) Attributs de schéma (Schema) attributeTypesConfig #attributetype ( # 1.3.6.1.4.1.63.1000.1.1.1.22.1 # NAME ’attributeTypesConfig’ # DESC ’attribute type configuration’ # EQUALITY objectIdentifierFirstComponentMatch # SYNTAX 1.3.6.1.4.1.1466.115.121.1.3 ) objectClassesConfig #attributetype ( # 1.3.6.1.4.1.63.1000.1.1.1.22.2 # NAME ’objectClassesConfig’ # DESC ’object class configuration’ # EQUALITY objectIdentifierFirstComponentMatch # SYNTAX 1.3.6.1.4.1.1466.115.121.1.37 ) Attribut de ressource apple-resource-type attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.23.1 NAME ’apple-resource-type’ DESC ’resource type’ EQUALITY caseExactIA5Match SUBSTR caseExactIA5SubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 ) apple-resource-info attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.23.2 NAME ’apple-resource-info’ DESC ’resource info’ EQUALITY caseExactIA5Match SUBSTR caseExactIA5SubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 ) Annexe Données de répertoire Mac OS X 275 apple-capacity attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.23.3 NAME ’apple-capacity’ DESC ’capacity’ EQUALITY integerMatch SYNTAX ’1.3.6.1.4.1.1466.115.121.1.27’ SINGLE-VALUE ) Attribut de montage automatique automountMapName attributetype ( 1.3.6.1.1.1.1.31 NAME ’automountMapName’ DESC ’automount Map Name’ EQUALITY caseExactMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE ) automountKey attributetype ( 1.3.6.1.1.1.1.32 NAME ’automountKey’ DESC ’Automount Key value’ EQUALITY caseExactMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE ) automountInformation attributetype ( 1.3.6.1.1.1.1.33 NAME ’automountInformation’ DESC ’Automount information’ EQUALITY caseExactMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE ) Mappage de types d’enregistrements et d’attributs standard vers LDAP et Active Directory Cette section décrit le mappage des types d’enregistrements et attributs Open Directory vers les classes d’objets et attributs LDAP. Elle décrit également le mappage de certaines catégories et de certains attributs d’objet Active Directory vers les types d’enregistrements et attributs Open Directory, et comment les premiers sont générés à partir des derniers. 276 Annexe Données de répertoire Mac OS X Les tableaux suivants ne fournissent pas de correspondances pour l’extension de votre schéma. Le tableau indique les enregistrements et les attributs qu’Open Directory utilise à partir de schémas Active Directory et Unix RFC2307 existants. Il indique aussi les attributs et les enregistrements qui ne possèdent pas de mappages directs. Mappages d’utilisateurs (Users) Les tableaux suivants décrivent la manière dont le module LDAPv3 d’Utilitaire de répertoire mappe le type d’enregistrement et les attributs Users Open Directory vers les classes d’objets et les attributs LDAP. Les tableaux spécifient également la manière dont le module Active Directory d’Utilitaire de répertoire mappe et génère des attributs et des catégories d’objets Active Directory à partir d’attributs et de types d’enregistrements Open Directory. Mappages des types d’enregistrements d’utilisateurs Nom Open Directory, RFC/classe OID de nom de classe d’objets LDAP Module externe Active Directory Users, RFC 2798 inetOrgPerson 2.16.840.1.113730.3.2.2 ObjectCategory = Person Users, RFC 2307 posixAccount 1.3.6.1.1.1.2.0 Users, RFC 2307 shadowAccount 1.3.6.1.1.1.2.1 Users, enregistré par Apple apple-user 1.3.6.1.4.1.63.1000.1.1.2.1 schéma étendu Apple Mappages des attributs d’utilisateurs Nom Open Directory, RFC/classe, emploi spécial OID de nom d’attribut LDAP Module externe Active Directory HomeDirectory, enregistré par Apple apple-user-homeurl 1.3.6.1.4.1.63.1000.1.1.1.1.6 Généré à partir de homeDirectory HomeDirectoryQuota, enregistré par Apple apple-user-homequota 1.3.6.1.4.1.63.1000.1.1.1.1.8 schéma étendu Apple HomeDirectorySoftQuota, enregistré par Apple apple-user-homesoftquota 1.3.6.1.4.1.63.1000.1.1.1.1.17 schéma étendu Apple MailAttribute, enregistré par Apple apple-user-mailattribute 1.3.6.1.4.1.63.1000.1.1.1.1.9 schéma étendu Apple PrintServiceUserData, enregistré par Apple apple-user-printattribute 1.3.6.1.4.1.63.1000.1.1.1.1.13 schéma étendu Apple MCXFlags, enregistré par Apple apple-mcxflags 1.3.6.1.4.1.63.1000.1.1.1.1.10 schéma étendu Apple Annexe Données de répertoire Mac OS X 277 278 Nom Open Directory, RFC/classe, emploi spécial OID de nom d’attribut LDAP MCXSettings, enregistré par Apple apple-mcxsettings 1.3.6.1.4.1.63.1000.1.1.1.1.16 schéma étendu Apple AdminLimits, enregistré par Apple apple-user-adminlimits 1.3.6.1.4.1.63.1000.1.1.1.1.14 schéma étendu Apple AuthenticationAuthority, enregistré par Apple authAuthority 1.3.6.1.4.1.63.1000.1.1.2.16.1 Généré en tant qu’autorité Kerberos AuthenticationHint, enregistré par Apple apple-user-authenticationhint 1.3.6.1.4.1.63.1000.1.1.1.1.15 schéma étendu Apple PasswordPolicyOptions, enregistré par Apple apple-user-passwordpolicy 1.3.6.1.4.1.63.1000.1.1.1.1.18 schéma étendu Apple Keywords, enregistré par Apple apple-keyword 1.3.6.1.4.1.63.1000.1.1.1.1.19 schéma étendu Apple Picture, enregistré par Apple apple-user-picture 1.3.6.1.4.1.63.1000.1.1.1.1.12 schéma étendu Apple GeneratedUID, enregistré par Apple apple-generateduid 1.3.6.1.4.1.63.1000.1.1.1.1.20 À partir de GUID — formaté RecordName, RFC 2256 cn 2.5.4.3 Généré à partir de cn, userPrincipal, mail, sAMAccountName RecordName, RFC 1274 uid 0.9.2342.19200300.100.1.1 Indisponible EMailAddress, RFC 1274 mail 0.9.2342.19200300.100.1.3 Standard RFC RealName, RFC 2256 cn 2.5.4.3 1.2.840.113556.1.2.13 (Microsoft) Password, RFC 2256 userPassword 2.5.4.35 Pas de mappage Comment, RFC 2256 description 2.5.4.13 Standard RFC LastName, RFC 2256 sn 2.5.4.4 Standard RFC FirstName, RFC 2256 givenName 2.5.4.42 Standard RFC PhoneNumber, RFC 2256 telephoneNumber 2.5.4.20 Standard RFC AddressLIne1, RFC 2256 street 2.5.4.9 Standard RFC PostalAddress, RFC 2256 postalAddress 2.5.4.16 Standard RFC PostalCode, RFC 2256 postalCode 2.5.4.17 Standard RFC Annexe Données de répertoire Mac OS X Module externe Active Directory Nom Open Directory, RFC/classe, emploi spécial OID de nom d’attribut LDAP OrganizationName, RFC 2256 o 2.5.4.10 1.2.840.113556.1.2.146 (Microsoft) UserShell, RFC 2307 loginShell 1.3.6.1.1.1.1.4 Étendu à l’aide de RFC Change, RFC 2307 shadowLastChange 1.3.6.1.1.1.1.5 Pas de mappage Expire, RFC 2307 shadowExpire 1.3.6.1.1.1.1.10 Pas de mappage UniqueID, RFC 2307 uidNumber 1.3.6.1.1.1.1.0 Généré à partir de GUID NFSHomeDirectory, RFC 2307 homeDirectory 1.3.6.1.1.1.1.3 Généré à partir de homeDirectory PrimaryGroupID, RFC 2307 gidNumber 1.3.6.1.1.1.1.1 Étendu à l’aide de RFC ou généré à partir de GUID SMBAccountFlags, enregistré par Samba, Apple PDC acctFlags 1.3.6.1.4.1.7165.2.1.4 1.2.840.113556.1.4.302 (Microsoft) SMBPasswordLastSet, enregistré par Samba, Apple PDC pwdLastSet 1.3.6.1.4.1.7165.2.1.3 1.2.840.113556.1.4.96 (Microsoft) SMBLogonTime, enregistré par Samba, Apple PDC logonTime 1.3.6.1.4.1.7165.2.1.5 1.2.840.113556.1.4.52 (Microsoft) SMBLogoffTime, enregistré par Samba, Apple PDC logoffTime 1.3.6.1.4.1.7165.2.1.6 1.2.840.113556.1.4.51 (Microsoft) SMBKickoffTime, enregistré par Samba, Apple PDC kickoffTime 1.3.6.1.4.1.7165.2.1.7 Pas de mappage SMBHomeDrive, enregistré par Samba, Apple PDC homeDrive 1.3.6.1.4.1.7165.2.1.10 1.2.840.113556.1.4.45 (Microsoft) SMBScriptPath, enregistré par Samba, Apple PDC scriptPath 1.3.6.1.4.1.7165.2.1.11 1.2.840.113556.1.4.62 (Microsoft) SMBProfilePath, enregistré par Samba, Apple PDC profilePath 1.3.6.1.4.1.7165.2.1.12 1.2.840.113556.1.4.139 (Microsoft) SMBUserWorkstations, enregistré par Samba, Apple PDC userWorkstations 1.3.6.1.4.1.7165.2.1.13 1.2.840.113556.1.4.86 (Microsoft) Annexe Données de répertoire Mac OS X Module externe Active Directory 279 Nom Open Directory, RFC/classe, emploi spécial OID de nom d’attribut LDAP Module externe Active Directory SMBHome, enregistré par Samba, Apple PDC smbHome 1.3.6.1.4.1.7165.2.1.17 1.2.840.113556.1.4.44 (Microsoft) SMBRID, enregistré par Samba, Apple PDC rid 1.3.6.1.4.1.7165.2.1.14 1.2.840.113556.1.4.153 (Microsoft) SMBGroupRID, enregistré par Samba, Apple PDC primaryGroupID 1.3.6.1.4.1.7165.2.1.15 1.2.840.113556.1.4.98 (Microsoft) FaxNumber, RFC 2256 fax 2.5.4.23 Standard RFC MobileNumber, RFC 1274 mobile 0.9.2342.19200300.100.1.41 Standard RFC PagerNumber, RFC 1274 pager 0.9.2342.19200300.100.1.42 Standard RFC Department, RFC 2798, departmentNumber 2.16.840.1.113730.3.1.2 1.2.840.113556.1.2.141 (Microsoft) NickName, Microsoft Attribute 1.2.840.113556.1.2.447 (Microsoft) JobTitle, RFC 2256 title 2.5.4.12 Standard RFC Building, RFC 2256 buildingName 2.5.4.19 Standard RFC Country, RFC 2256 c 2.5.4.6 Standard RFC Street, RFC 2256 street 2.5.4.9 1.2.840.113556.1.2.256 (Microsoft) City, RFC 2256 locality 2.5.4.7 Standard RFC State, RFC 2256 st 2.5.4.8 Standard RFC Mappages de groupes (Groups) Les tableaux suivants spécifient la manière dont le module LDAPv3 d’Utilitaire de répertoire mappe le type d’enregistrements et les attributs de groupes Open Directory sur les classes d’objets LDAP. Les tableaux spécifient également la manière dont le module Active Directory d’Utilitaire de répertoire mappe et génère des attributs et des catégories d’objets Active Directory à partir d’attributs et de types d’enregistrements Open Directory. 280 Annexe Données de répertoire Mac OS X Mappages des types d’enregistrements de groupes (Groups) Nom Open Directory, RFC/classe OID de nom de classe d’objets LDAP Module externe Active Directory Groups, RFC 2307 posixGroup 1.3.6.1.1.1.2.2 objectCategory = Group Groups, enregistré par Apple apple-group 1.3.6.1.4.1.63.1000.1.1.2.14 schéma étendu Apple Mappage des attributs de groupes (Groups) Nom Open Directory, RFC/classe OID de nom d’attribut LDAP RecordName, RFC 2256 cn 2.5.4.3 Standard RFC HomeDirectory, enregistré par Apple apple-group-homeurl 1.3.6.1.4.1.63.1000.1.1.1.14.1 schéma étendu Apple HomeLocOwner, enregistré par Apple apple-group-homeowner 1.3.6.1.4.1.63.1000.1.1.1.14.2 schéma étendu Apple MCXFlags, enregistré par Apple apple-mcxflags 1.3.6.1.4.1.63.1000.1.1.1.1.10 schéma étendu Apple MCXSettings, enregistré par Apple apple-mcxsettings 1.3.6.1.4.1.63.1000.1.1.1.1.16 schéma étendu Apple RealName, enregistré par Apple apple-group-realname 1.3.6.1.4.1.63.1000.1.1.1.14.5 1.2.840.113556.1.2.13 (Microsoft) Picture, enregistré par Apple apple-user-picture 1.3.6.1.4.1.63.1000.1.1.1.1.12 schéma étendu Apple Keywords, enregistré par Apple apple-keyword 1.3.6.1.4.1.63.1000.1.1.1.1.19 schéma étendu Apple GeneratedUID, enregistré par Apple apple-generateduid 1.3.6.1.4.1.63.1000.1.1.1.1.20 À partir de GUID — formaté GroupMembership, RFC 2307 memberUid 1.3.6.1.1.1.1.12 Généré à partir de member Member, RFC 2307 memberUid 1.3.6.1.1.1.1.12 Idem GroupMembership PrimaryGroupID, RFC 2307 gidNumber 1.3.6.1.1.1.1.1 Étendu à l’aide de RFC ou généré à partir de GUID Annexe Données de répertoire Mac OS X Module externe Active Directory 281 Mappages de montages (Mounts) Les tableaux suivants décrivent la manière dont le module LDAPv3 d’Utilitaire de répertoire mappe le type d’enregistrement et les attributs Open Directory Mounts vers les classes d’objets et les attributs LDAP. Les tableaux spécifient également la manière dont le module Active Directory d’Utilitaire de répertoire mappe et génère des attributs et des catégories d’objets Active Directory à partir d’attributs et de types d’enregistrements Open Directory. Mappages des types d’enregistrements de montages (Mounts) Nom Open Directory, RFC/classe OID de nom de classe d’objets LDAP Module externe Active Directory Mounts, enregistré par Apple mount 1.3.6.1.4.1.63.1000.1.1.2.8 schéma étendu Apple Mappages des attributs de montages (Mounts) Nom Open Directory, RFC/classe OID de nom d’attribut LDAP Module externe Active Directory RecordName, RFC 2256 cn 2.5.4.3 Standard RFC VFSLinkDir, enregistré par Apple mountDirectory 1.3.6.1.4.1.63.1000.1.1.1.8.1 schéma étendu Apple VFSOpts, enregistré par Apple mountOption 1.3.6.1.4.1.63.1000.1.1.1.8.3 schéma étendu Apple VFSType, enregistré par Apple mountType 1.3.6.1.4.1.63.1000.1.1.1.8.2 schéma étendu Apple VFSDumpFreq, enregistré par Apple mountDumpFrequency 1.3.6.1.4.1.63.1000.1.1.1.8.4 schéma étendu Apple VFSPassNo, enregistré par Apple mountPassNo 1.3.6.1.4.1.63.1000.1.1.1.8.5 schéma étendu Apple Mappages d’ordinateurs (Computers) Les tableaux suivants spécifient la manière dont le module LDAPv3 d’Utilitaire de répertoire mappe le type d’enregistrements et les attributs Open Directory Computers sur les classes d’objets LDAP. Les tableaux spécifient également la manière dont le module Active Directory d’Utilitaire de répertoire mappe et génère des attributs et des catégories d’objets Active Directory à partir d’attributs et de types d’enregistrements Open Directory. 282 Annexe Données de répertoire Mac OS X Mappages des types d’enregistrements d’ordinateurs (Computers) Nom Open Directory, RFC/classe OID de nom de classe d’objets LDAP Module externe Active Directory Computers, enregistré par Apple apple-computer 1.3.6.1.4.1.63.1000.1.1.2.10 objectCategory = Computer Mappages des attributs d’ordinateurs (Computers) Nom Open Directory, RFC/classe, emploi spécial OID de nom d’attribut LDAP RecordName, RFC 2256 cn 2.5.4.3 Standard RFC RealName, enregistré par Apple apple-realname 1.3.6.1.4.1.63.1000.1.1.1.10.2 1.2.840.113556.1.2.13 (Microsoft) MCXFlags, enregistré par Apple apple-mcxflags 1.3.6.1.4.1.63.1000.1.1.1.1.10 schéma étendu Apple MCXSettings, enregistré par Apple apple-mcxsettings 1.3.6.1.4.1.63.1000.1.1.1.1.16 schéma étendu Apple Group, enregistré par Apple apple-computer-list-groups 1.3.6.1.4.1.63.1000.1.1.1.11.4 schéma étendu Apple AuthenticationAuthority, enregistré par Apple authAuthority 1.3.6.1.4.1.63.1000.1.1.2.16.1 Indisponible GeneratedUID, enregistré par Apple apple-generateduid 1.3.6.1.4.1.63.1000.1.1.1.1.20 À partir de GUID — formaté XMLPlist, enregistré par Apple apple-xmlplist 1.3.6.1.4.1.63.1000.1.1.1.17.1 schéma étendu Apple Comment, RFC 2256 description 2.5.4.13 Standard RFC ENetAddress, RFC 2307 macAddress 1.3.6.1.1.1.1.22 Étendu à l’aide de RFC UniqueID, RFC 2307 uidNumber 1.3.6.1.1.1.1.0 Généré à partir de GUID PrimaryGroupID, RFC 2307 gidNumber 1.3.6.1.1.1.1.1 Étendu à l’aide de RFC ou généré SMBAccountFlags, enregistré par Samba, Apple PDC acctFlags 1.3.6.1.4.1.7165.2.1.4 1.2.840.113556.1.4.302 (Microsoft) SMBPasswordLastSet, enregistré par Samba, Apple PDC pwdLastSet 1.3.6.1.4.1.7165.2.1.3 1.2.840.113556.1.4.96 (Microsoft) SMBLogonTime, enregistré par Samba, Apple PDC logonTime 1.3.6.1.4.1.7165.2.1.5 1.2.840.113556.1.4.52 (Microsoft) Annexe Données de répertoire Mac OS X Module externe Active Directory 283 Nom Open Directory, RFC/classe, emploi spécial OID de nom d’attribut LDAP Module externe Active Directory SMBLogoffTime, enregistré par Samba, Apple PDC logoffTime 1.3.6.1.4.1.7165.2.1.6 1.2.840.113556.1.4.51 (Microsoft) SMBKickoffTime, enregistré par Samba, Apple PDC kickoffTime 1.3.6.1.4.1.7165.2.1.7 Pas de mappage SMBRID, enregistré par Samba, Apple PDC rid 1.3.6.1.4.1.7165.2.1.14 1.2.840.113556.1.4.153 (Microsoft) SMBGroupID, enregistré par Samba, Apple PDC primaryGroupID 1.3.6.1.4.1.7165.2.1.15 1.2.840.113556.1.4.98 (Microsoft) Mappages de listes d’ordinateurs (ComputerLists) Les tableaux suivants spécifient la manière dont le module LDAPv3 d’Utilitaire de répertoire mappe le type d’enregistrements et les attributs Open Directory ComputerLists vers les classes d’objets LDAP. Les tableaux spécifient également la manière dont le module Active Directory d’Utilitaire de répertoire mappe et génère des attributs et des catégories d’objets Active Directory à partir d’attributs et de types d’enregistrements Open Directory. Mappages des types d’enregistrements de listes d’ordinateurs (ComputerLists) Nom Open Directory, RFC/classe OID de nom de classe d’objets LDAP Module externe Active Directory ComputerLists, enregistré par Apple apple-computer-list 1.3.6.1.4.1.63.1000.1.1.2.11 schéma étendu Apple Mappages des attributs pour listes d’ordinateurs (ComputerLists) 284 Nom Open Directory, RFC/classe OID de nom d’attribut LDAP RecordName, RFC 2256 cn 2.5.4.3 Standard RFC MCXFlags, enregistré par Apple apple-mcxflags 1.3.6.1.4.1.63.1000.1.1.1.1.10 schéma étendu Apple MCXSettings, enregistré par Apple apple-mcxsettings 1.3.6.1.4.1.63.1000.1.1.1.1.16 schéma étendu Apple Computers, enregistré par Apple apple-computers 1.3.6.1.4.1.63.1000.1.1.1.11.3 schéma étendu Apple Annexe Données de répertoire Mac OS X Module externe Active Directory Nom Open Directory, RFC/classe OID de nom d’attribut LDAP Module externe Active Directory Group, enregistré par Apple apple-computer-list-groups 1.3.6.1.4.1.63.1000.1.1.1.11.4 schéma étendu Apple Keywords, enregistré par Apple apple-keyword 1.3.6.1.4.1.63.1000.1.1.1.1.19 schéma étendu Apple Mappages de configurations (Config) Les tableaux suivants spécifient la manière dont le module LDAPv3 d’Utilitaire de répertoire mappe le type d’enregistrements et les attributs Open Directory Config vers les classes d’objets LDAP. Les tableaux spécifient également la manière dont le module Active Directory d’Utilitaire de répertoire mappe et génère des attributs et des catégories d’objets Active Directory à partir d’attributs et de types d’enregistrements Open Directory. Mappages des types d’enregistrements de configurations (Config) Nom Open Directory, RFC/classe OID de nom de classe d’objets LDAP Module externe Active Directory Config, enregistré par Apple apple-configuration 1.3.6.1.4.1.63.1000.1.1.2.12 schéma étendu Apple Mappages des attributs de configurations (Config) Nom Open Directory, RFC/classe, emploi spécial OID de nom d’attribut LDAP RecordName, RFC 2256 cn 2.5.4.3 Standard RFC RealName, enregistré par Apple apple-config-realname 1.3.6.1.4.1.63.1000.1.1.1.12.3 1.2.840.113556.1.2.13 (Microsoft) DataStamp, enregistré par Apple apple-data-stamp 1.3.6.1.4.1.63.1000.1.1.1.12.2 schéma étendu Apple KDCAuthKey, enregistré par Apple, Apple KDC apple-kdc-authkey 1.3.6.1.4.1.63.1000.1.1.1.12.7 Pas de mappage KDCConfigData, enregistré par Apple, Apple KDC apple-kdc-configdata 1.3.6.1.4.1.63.1000.1.1.1.12.8 Pas de mappage Keywords, enregistré par Apple apple-keyword 1.3.6.1.4.1.63.1000.1.1.1.1.19 schéma étendu Apple LDAPReadReplicas, enregistré par Apple, Apple LDAP Server apple-ldap-replica 1.3.6.1.4.1.63.1000.1.1.1.12.5 Pas de mappage Annexe Données de répertoire Mac OS X Module externe Active Directory 285 Nom Open Directory, RFC/classe, emploi spécial OID de nom d’attribut LDAP Module externe Active Directory LDAPWriteReplicas, enregistré par Apple, Apple LDAP Server apple-ldap-writable-replica 1.3.6.1.4.1.63.1000.1.1.1.12.6 Pas de mappage PasswordServerList, enregistré par Apple, Serveur de mots de passe apple-password-server-list 1.3.6.1.4.1.63.1000.1.1.1.12.4 Pas de mappage PasswordServerLocation, enregistré par Apple, Serveur de mots de passe apple-password-server-location 1.3.6.1.4.1.63.1000.1.1.1.12.1 Pas de mappage XMLPlist, enregistré par Apple apple-xmlplist 1.3.6.1.4.1.63.1000.1.1.1.17.1 schéma étendu Apple Mappages de personnes (People) Les tableaux suivants spécifient la manière dont le module LDAPv3 d’Utilitaire de répertoire mappe le type d’enregistrements et les attributs Open Directory People avec les classes d’objets LDAP. Les tableaux spécifient également la manière dont le module Active Directory d’Utilitaire de répertoire mappe et génère des attributs et des catégories d’objets Active Directory à partir d’attributs et de types d’enregistrements Open Directory. Mappages des types d’enregistrements de personnes (People) Nom Open Directory, RFC/classe OID de nom de classe d’objets LDAP Module externe Active Directory People, RFC 2798 inetOrgPerson 2.16.840.1.113730.3.2.2 Standard RFC Mappage des attributs de personnes (People) 286 Nom Open Directory, RFC/classe OID de nom d’attribut LDAP RecordName, RFC 2256 cn 2.5.4.3 Standard RFC EMailAddress, RFC 1274 mail 0.9.2342.19200300.100.1.3 Standard RFC RealName, RFC 2256 cn 1.2.840.113556.1.3.23 Standard RFC LastName, RFC 2256 sn 2.5.4.4 Standard RFC FirstName, RFC 2256 givenName 2.5.4.42 Standard RFC Annexe Données de répertoire Mac OS X Module externe Active Directory Nom Open Directory, RFC/classe OID de nom d’attribut LDAP Module externe Active Directory FaxNumber, RFC 2256 fax 2.5.4.23 Standard RFC MobileNumber, RFC 1274 mobile 0.9.2342.19200300.100.1.41 Standard RFC PagerNumber, RFC 1274 pager 0.9.2342.19200300.100.1.42 Standard RFC Department, RFC 2798, departmentNumber 2.16.840.1.113730.3.1.2 1.2.840.113556.1.2.141 (Microsoft) JobTitle, RFC 2256 title 2.5.4.12 Standard RFC PhoneNumber, RFC 2256 telephoneNumber 2.5.4.20 Standard RFC AddressLine1, RFC 2256 street 2.5.4.9 Standard RFC Street, RFC 2256 street 2.5.4.9 Standard RFC PostalAddress, RFC 2256 postalAddress 2.5.4.16 Standard RFC City, RFC 2256 locality 2.5.4.7 Standard RFC State, RFC 2256 st 2.5.4.8 Standard RFC Country, RFC 2256 c 2.5.4.6 Standard RFC PostalCode, RFC 2256 postalCode 2.5.4.17 Standard RFC OrganizationName, RFC 2256 o 2.5.4.10 1.2.840.113556.1.2.146 (Microsoft) Mappages de listes d’ordinateurs préréglés (PresetComputerLists) Les tableaux suivants spécifient la manière dont le module LDAPv3 d’Utilitaire de répertoire mappe le type d’enregistrements et les attributs Open Directory PresetComputerLists avec les classes d’objets LDAP. Les tableaux spécifient également la manière dont le module Active Directory d’Utilitaire de répertoire mappe et génère des attributs et des catégories d’objets Active Directory à partir d’attributs et de types d’enregistrements Open Directory. Annexe Données de répertoire Mac OS X 287 Mappages des types d’enregistrements de listes d’ordinateurs préréglés (PresetComputerLists) Nom Open Directory, RFC/classe OID de nom de classe d’objets LDAP Module externe Active Directory PresetComputerLists, enregistré par Apple apple-preset-computer-list 1.3.6.1.4.1.63.1000.1.1.2.13 schéma étendu Apple Mappages des attributs de listes d’ordinateurs préréglés (PresetComputerLists) Nom Open Directory, RFC/classe OID de nom d’attribut LDAP Module externe Active Directory RecordName, RFC 2256 cn 2.5.4.3 Standard RFC MCXFlags, enregistré par Apple apple-mcxflags 1.3.6.1.4.1.63.1000.1.1.1.1.10 schéma étendu Apple MCXSettings, enregistré par Apple apple-mcxsettings 1.3.6.1.4.1.63.1000.1.1.1.1.16 schéma étendu Apple Keywords, enregistré par Apple apple-keyword 1.3.6.1.4.1.63.1000.1.1.1.1.19 schéma étendu Apple Mappages de groupes préréglés (PresetGroups) Les tableaux suivants spécifient la manière dont le module LDAPv3 d’Utilitaire de répertoire mappe le type d’enregistrements et les attributs Open Directory PresetGroups avec les classes d’objets LDAP. Les tableaux spécifient également la manière dont le module Active Directory d’Utilitaire de répertoire mappe et génère des attributs et des catégories d’objets Active Directory à partir d’attributs et de types d’enregistrements Open Directory. Mappages des types d’enregistrements de groupes préréglés (PresetGroups) Nom Open Directory, RFC/classe OID de nom de classe d’objets LDAP Module externe Active Directory PresetGroups, enregistré par Apple apple-preset-group 1.3.6.1.4.1.63.1000.1.1.3.14 schéma étendu Apple Mappages des attributs de groupes préréglés (PresetGroups) 288 Nom Open Directory, RFC/classe OID de nom d’attribut LDAP HomeDirectory, enregistré par Apple apple-group-homeurl 1.3.6.1.4.1.63.1000.1.1.1.1.6 schéma étendu Apple HomeLocOwner, enregistré par Apple apple-group-homeowner 1.3.6.1.4.1.63.1000.1.1.1.14.2 schéma étendu Apple Annexe Données de répertoire Mac OS X Module externe Active Directory Nom Open Directory, RFC/classe OID de nom d’attribut LDAP Module externe Active Directory MCXFlags, enregistré par Apple apple-mcxflags 1.3.6.1.4.1.63.1000.1.1.1.1.10 schéma étendu Apple MCXSettings, enregistré par Apple apple-mcxsettings 1.3.6.1.4.1.63.1000.1.1.1.1.16 schéma étendu Apple RealName, enregistré par Apple apple-group-realname 1.3.6.1.4.1.63.1000.1.1.1.14.5 schéma étendu Apple Keywords, enregistré par Apple apple-keyword 1.3.6.1.4.1.63.1000.1.1.1.1.19 schéma étendu Apple RecordName, RFC 2256 cn 2.5.4.3 Standard RFC GroupMembership, RFC 2307 memberUid 1.3.6.1.1.1.1.12 Étendu à l’aide de RFC PrimaryGroupID, RFC 2307 gidNumber 1.3.6.1.1.1.1.1 Étendu à l’aide de RFC Mappages d’utilisateurs préréglés (PresetUsers) Les tableaux suivants spécifient la manière dont le module LDAPv3 d’Utilitaire de répertoire mappe le type d’enregistrements et les attributs Open Directory PresetUsers avec les classes d’objets LDAP. Les tableaux spécifient également la manière dont le module Active Directory d’Utilitaire de répertoire mappe et génère des attributs et des catégories d’objets Active Directory à partir d’attributs et de types d’enregistrements Open Directory. Mappages des types d’enregistrements d’utilisateurs préréglés (PresetUsers) Nom Open Directory, RFC/classe OID de nom de classe d’objets LDAP Module externe Active Directory PresetUsers, enregistré par Apple apple-preset-user 1.3.6.1.4.1.63.1000.1.1.2.15 ObjectCategory = Person Mappages des attributs d’utilisateurs préréglés (PresetUsers) Nom Open Directory, RFC/classe OID de nom d’attribut LDAP HomeDirectory, enregistré par Apple apple-user-homeurl 1.3.6.1.4.1.63.1000.1.1.1.1.6 Indisponible HomeDirectoryQuota, enregistré par Apple apple-user-homequota 1.3.6.1.4.1.63.1000.1.1.1.1.8 schéma étendu Apple HomeDirectorySoftQuota, enregistré par Apple apple-user-homesoftquota 1.3.6.1.4.1.63.1000.1.1.1.1.17 schéma étendu Apple MailAttribute, enregistré par Apple apple-user-mailattribute 1.3.6.1.4.1.63.1000.1.1.1.1.9 schéma étendu Apple Annexe Données de répertoire Mac OS X Module externe Active Directory 289 Nom Open Directory, RFC/classe OID de nom d’attribut LDAP Module externe Active Directory PrintServiceUserData, enregistré par Apple apple-user-printattribute 1.3.6.1.4.1.63.1000.1.1.1.1.13 schéma étendu Apple MCXFlags, enregistré par Apple apple-mcxflags 1.3.6.1.4.1.63.1000.1.1.1.1.10 schéma étendu Apple MCXSettings, enregistré par Apple apple-mcxsettings 1.3.6.1.4.1.63.1000.1.1.1.1.16 schéma étendu Apple AdminLimits, enregistré par Apple apple-user-adminlimits 1.3.6.1.4.1.63.1000.1.1.1.1.14 schéma étendu Apple Picture, enregistré par Apple apple-user-picture 1.3.6.1.4.1.63.1000.1.1.1.1.12 schéma étendu Apple AuthenticationAuthority, enregistré par Apple authAuthority 1.3.6.1.4.1.63.1000.1.1.2.16.1 Indisponible PasswordPolicyOptions, enregistré par Apple apple-user-passwordpolicy 1.3.6.1.4.1.63.1000.1.1.1.1.18 schéma étendu Apple PresetUserIsAdmin, enregistré par Apple apple-preset-user-is-admin 1.3.6.1.4.1.63.1000.1.1.1.15.1 schéma étendu Apple Keywords, enregistré par Apple apple-keyword 1.3.6.1.4.1.63.1000.1.1.1.1.19 schéma étendu Apple RecordName, RFC 1274 cn 2.5.4.3 Standard RFC RealName, RFC 2256 cn 2.5.4.3 Standard RFC Password, RFC 2256 userPassword 2.5.4.35 Indisponible GroupMembership, RFC 2307 memberUid 1.3.6.1.1.1.1.12 Étendu à l’aide de RFC PrimaryGroupID, RFC 2307 gidNumber 1.3.6.1.1.1.1.1 Étendu à l’aide de RFC NFSHomeDirectory, RFC 2307 homeDirectory 1.3.6.1.1.1.1.3 Indisponible UserShell, RFC 2307 loginShell 1.3.6.1.1.1.1.4 Étendu à l’aide de RFC Change, RFC 2307 shadowLastChange 1.3.6.1.1.1.1.5 Indisponible Expire, RFC 2307 shadowExpire 1.3.6.1.1.1.1.10 Indisponible Mappages d’imprimantes (Printers) Les tableaux suivants spécifient la manière dont le module LDAPv3 d’Utilitaire de répertoire mappe le type d’enregistrements et les attributs Open Directory Printers avec les classes d’objets LDAP. 290 Annexe Données de répertoire Mac OS X Les tableaux spécifient également la manière dont le module Active Directory d’Utilitaire de répertoire mappe et génère des attributs et des catégories d’objets Active Directory à partir d’attributs et de types d’enregistrements Open Directory. Mappages des types d’enregistrements d’imprimantes (Printers) Nom Open Directory, RFC/classe OID de nom de classe d’objets LDAP Module externe Active Directory Printers, enregistré par Apple apple-printer 1.3.6.1.4.1.63.1000.1.1.2.9 ObjectCategory = Print-Queue Printers, IETF-Draft-IPP-LDAP printerIPP 1.3.18.0.2.6.256 Mappages des attributs d’imprimantes (Printers) Nom Open Directory, RFC/classe, emploi spécial OID de nom d’attribut LDAP RecordName, RFC 2256 cn 2.5.4.3 Standard RFC RealName, RFC 2256 Non prémappé 1.2.840.113556.1.4.300 (Microsoft) PrinterLPRHost, enregistré par Apple, gestion héritée apple-printer-lprhost 1.3.6.1.4.1.63.1000.1.1.1.9.2 Indisponible PrinterLPRQueue, enregistré par Apple, gestion héritée apple-printer-lprqueue 1.3.6.1.4.1.63.1000.1.1.1.9.3 Indisponible PrinterType, enregistré par Apple, gestion héritée apple-printer-type 1.3.6.1.4.1.63.1000.1.1.1.9.4 Indisponible PrinterNote, enregistré par Apple, gestion héritée apple-printer-note 1.3.6.1.4.1.63.1000.1.1.1.9.5 Indisponible Location, IETF-Draft-IPP-LDAP Non prémappé ; pourrait être mappé vers : printer-location 1.3.18.0.2.4.1136 1.2.840.113556.1.4.222 (Microsoft) Comment, RFC 2256 Non prémappé ; pourrait être mappé vers : description 2.5.4.13 Standard RFC PrinterMakeAndModel, IETF-Draft-IPP-LDAP Non prémappé ; pourrait être mappé vers : printer-make-andmodel 1.3.18.0.2.4.1138 1.2.840.113556.1.4.229 (Microsoft) PrinterURI, IETF-Draft-IPP-LDAP Non prémappé ; pourrait être mappé vers : printer-uri 1.3.18.0.2.4.1140 Généré à partir de uNCName Annexe Données de répertoire Mac OS X Module externe Active Directory 291 Nom Open Directory, RFC/classe, emploi spécial OID de nom d’attribut LDAP Module externe Active Directory PrinterXRISupported, IETF-Draft-IPP-LDAP Non prémappé ; pourrait être mappé vers : printer-xri-supported 1.3.18.0.2.4.1107 Généré à partir de portName/ uNCName Printer1284DeviceID, enregistré par Apple Non prémappé ; pourrait être mappé vers : printer-1284device-id 1.3.6.1.4.1.63.1000.1.1.1.9.6 schéma étendu Apple Mappages de configurations automatiques de serveur (AutoServerSetup) Les tableaux suivants spécifient la manière dont le module LDAPv3 d’Utilitaire de répertoire mappe le type d’enregistrements et les attributs Open Directory AutoServerSetup avec les classes d’objets LDAP. Les tableaux spécifient également la manière dont le module Active Directory d’Utilitaire de répertoire mappe et génère des attributs et des catégories d’objets Active Directory à partir d’attributs et de types d’enregistrements Open Directory. Mappages des types d’enregistrements de configurations automatiques de serveur (AutoServerSetup) Nom Open Directory, RFC/classe OID de nom de classe d’objets LDAP Module externe Active Directory AutoServerSetup, enregistré par Apple apple-serverassistant-config 1.3.6.1.4.1.63.1000.1.1.2.17 schéma étendu Apple Mappages des attributs d’enregistrements de configurations automatiques de serveur (AutoServerSetup) Nom Open Directory, RFC/classe OID de nom d’attribut LDAP Module externe Active Directory RecordName, RFC 2256 cn 2.5.4.3 Standard RFC XMLPlist, enregistré par Apple apple-xmlplist 1.3.6.1.4.1.63.1000.1.1.1.17.1 schéma étendu Apple Mappages d’emplacements (Locations) Les tableaux suivants spécifient la manière dont le module LDAPv3 d’Utilitaire de répertoire mappe le type d’enregistrements et les attributs Open Directory Locations avec les classes d’objets LDAP. 292 Annexe Données de répertoire Mac OS X Les tableaux spécifient également la manière dont le module Active Directory d’Utilitaire de répertoire mappe et génère des attributs et des catégories d’objets Active Directory à partir d’attributs et de types d’enregistrements Open Directory. Mappages des types d’enregistrements d’emplacements (Locations) Nom Open Directory, RFC/classe OID de nom de classe d’objets LDAP Module externe Active Directory Locations, enregistré par Apple apple-location 1.3.6.1.4.1.63.1000.1.1.2.18 schéma étendu Apple Mappages des attributs d’emplacements (Locations) Nom Open Directory, RFC/classe OID de nom d’attribut LDAP Module externe Active Directory RecordName, RFC 2256 cn 2.5.4.3 Standard RFC DNSDomain, enregistré par Apple apple-dns-domain 1.3.6.1.4.1.63.1000.1.1.1.18.1 schéma étendu Apple DNSNameServer, enregistré par Apple apple-dns-nameserver 1.3.6.1.4.1.63.1000.1.1.1.18.2 schéma étendu Apple types d’enregistrements et attributs Open Directory standard Pour en savoir plus sur les types d’enregistrements et les attributs standard dans les domaines Open Directory, consultez les rubriques suivantes :  « Attributs standard dans les enregistrements d’utilisateurs » à la page 293  « Attributs standard dans les enregistrements de groupes » à la page 299  « Attributs standard dans les enregistrements d’ordinateurs » à la page 300  « Attributs standard dans les enregistrements de groupes d’ordinateurs » à la page 301  « Attributs standard dans les enregistrements de montages » à la page 302  « Attributs standard dans les enregistrements de configurations » à la page 303 Pour obtenir une liste complète des types d’enregistrements et des attributs standard, consultez le fichier suivant : /System/Library/Frameworks/DirectoryService.framework/Headers/DirServicesConst.h Attributs standard dans les enregistrements d’utilisateurs Le tableau suivant décrit les attributs standard figurant dans les enregistrements d’utilisateurs Open Directory. Utilisez ces informations lorsque vous travaillez dans la sousfenêtre Inspecteur de Gestionnaire de groupe de travail ou lorsque vous mappez des attributs d’enregistrements d’utilisateurs avec Utilitaire de répertoire. Annexe Données de répertoire Mac OS X 293 Important : lors du mappage des attributs d’utilisateurs Mac OS X sur un domaine de répertoire LDAP en lecture/écriture (un domaine LDAP qui n’est pas en lecture seule), ne mappez pas l’attribut RealName et le premier attribut RecordName sur le même attribut LDAP. Par exemple, ne mappez pas à la fois RealName et RecordName sur l’attribut cn. Si RealName et RecordName sont mappés sur le même attribut LDAP, des problèmes se produiront lorsque vous essaierez de modifier le nom complet ou le premier nom abrégé dans Gestionnaire de groupe de travail. 294 Attribut d’utilisateur Mac OS X Format Exemples de valeurs Nom de l’entrée : Une liste de noms associés à un utilisateur. Le premier nom est le nom abrégé de l’utilisateur ainsi que le nom du dossier de départ de ce dernier. IMPORTANT Tous les attributs utilisés pour l’authentification doivent être mappés sur RecordName. Jean Jean D. J. Dupont Longueur non nulle, de 1 à 16 valeurs. Maximum 255 octets (de 85 caractères triple octets à 255 caractères d’un octet) par instance. La première valeur doit être 1 à 8 octets pour les clients qui utilisent Mac OS X 10.1 ou antérieur. Première valeur : caractères ASCII de A à Z, a à z, 0 à 9, _,Deuxième valeur : texte romain UTF-8 Nom réel : Texte UTF-8 Un nom, habituellement le nom complet de l’utilisateur ; non utilisé pour l’authentification. Jean Dupont. Longueur non nulle, d’un maximum de 255 octets (soit 85 caractères triple octets ou 255 caractères d’un octet). Chaîne ASCII signée à 32 bits, Identifiant unique : Identifiant utilisateur unique, uti- composée de chiffres de 0 à 9 lisé pour la gestion des autorisations d’accès. Les valeurs inférieures à 500 peuvent avoir une signification particulière. Les valeurs inférieures à 100 sont généralement attribuées aux comptes de système. Zéro est réservé au système. Normalement unique par rapport aux autres utilisateurs mais parfois en double. Avertissement : une valeur non entière est interprétée comme un 0, c’est-à-dire l’identificateur unique du compte de l’’utilisateur root. Identifiant de groupe principal : Association de groupe principal d’utilisateur Plage de 1 à 2.147.483.648 Normalement unique dans tous les enregistrements de groupe. Si vide, la valeur supposée est 20. Annexe Chaîne ASCII signée à 32 bits, composée de chiffres de 0 à 9 Données de répertoire Mac OS X Attribut d’utilisateur Mac OS X Format Exemples de valeurs Répertoire d’accueil NFS : Chemin d’accès au dossier de départ de l’utilisateur, dans le système de fichiers local. Texte UTF-8 /Network/Servers/example/ Users/K-M/Tom King Longueur non nulle. Maximum 255 octets. Répertoire d’accueil Emplacement d’un dossier de départ AFP. Texte XML UTF-8 <home_dir> <url>afp://server/sharept</url> <path>usershomedir</path> </home_dir> Dans l’exemple ci-dessous, le dossier de départ de Tom King est K-M/Tom King, qui réside en dessous du répertoire du point de partage Utilisateurs : <home_dir> <url>afp://example.com/ Users</url> <path>K-M/Tom King</path> </home_dir> HomeDirectoryQuota : Quota de disque du dossier de départ de l’utilisateur. Texte indiquant le nombre d’octets autorisés Si le quota est de 10 Mo, la valeur sera la chaîne de texte « 1048576 ». Attribut de courrier : Configuration du service de courrier d’un utilisateur. Texte XML UTF-8 PrintServiceUserData : Statistiques du quota d’impression d’un utilisateur. plist XML UTF-8, valeur unique MCXFlags : S’il est présent, MCXSettings est chargé ; dans le cas contraire, il ne l’est pas. Obligatoire pour un utilisateur géré. plist XML UTF-8, valeur unique Réglages MCX : Préférences gérées d’un utilisateur. plist XML UTF-8, valeurs multiples . AdminLimits : plist XML UTF-8, valeur unique Autorisations accordées par Gestionnaire de groupe de travail à un utilisateur qui peut administrer le domaine de répertoire. Mot de passe : Mot de passe de l’utilisateur. Annexe Cryptage UNIX Données de répertoire Mac OS X 295 Attribut d’utilisateur Mac OS X Format Exemples de valeurs Image : Chemin d’accès à un fichier d’image reconnu à afficher pour l’utilisateur. Texte UTF-8 Maximum 255 octets. Commentaires : Toute documentation de votre choix. Texte UTF-8 Jean est responsable du marketing Maximum 32 676 octets. Shell utilisateur : Chemin d’accès Emplacement du shell par défaut pour l’envoi de commandes au serveur. Change : Non utilisé par Mac OS X mais correspond à une partie du schéma LDAP standard. Nombre Expire : Non utilisé par Mac OS X mais correspond à une partie du schéma LDAP standard. Nombre Texte ASCII Droit d’authentification : Décrit les méthodes d’authentification de l’utilisateur, comme, par exemple, Open Directory, Mot de passe shadow ou Mot de passe crypté. Facultatif pour un utilisateur ne possédant qu’un mot de passe crypté. L’absence de cet attribut signifie l’authentification héritée (cryptée avec Gestionnaire d’authentification, le cas échéant). 296 Annexe Données de répertoire Mac OS X /bin/tcsh /bin/sh Aucun. Cette valeur empêche les utilisateurs possédant des comptes dans le domaine de répertoire d’accéder au serveur à distance via une ligne de commande. Longueur non nulle. Les valeurs décrivent les méthodes d’authentification d’utilisateur. Peut être multivalué (par exemple ;ApplePasswordServer; et ;Kerberosv5;). Chaque valeur a le format vers; balise; données (où vers et données peuvent être vides). Mot de passe crypté : ;basic; Mot de passe Open Directory : ;ApplePasswordServer; HexID, clé publique du serveur IPaddress:port ;Kerberosv5;données Kerberos Mot de passe shadow (domaine de répertoire local uniquement) :  ;ShadowHash;  ;ShadowHash;<liste des méthodes d’authentification activées> Attribut d’utilisateur Mac OS X Format Exemples de valeurs Indice d’authentification : Texte UTF-8 Texte défini par l’utilisateur pour être affiché à titre d’indice de mot de passe. Vous avez vu juste. Maximum 255 octets. FirstName : Utilisé par Carnet d’adresses et d’autres applications utilisant la règle de recherche de contacts. LastName : Utilisé par Carnet d’adresses et d’autres applications utilisant la règle de recherche de contacts. Adresse de courrier électronique : Toute adresse électronique Adresse électronique à laquelle légale selon RFC 822 le courrier électronique doit être réexpédié lorsqu’un utilisateur a un attribut no Mail défini. Utilisé par Carnet d’adresses, Mail et d’autres applications utilisant la politique de recherche de contacts. [email protected] PhoneNumber : Utilisé par Carnet d’adresses et d’autres applications utilisant la politique de recherche de contacts. AddressLine1 : Utilisé par Carnet d’adresses et d’autres applications utilisant la politique de recherche de contacts. PostalAddress : Utilisé par Carnet d’adresses et d’autres applications utilisant la politique de recherche de contacts. PostalCode : Utilisé par Carnet d’adresses et d’autres applications utilisant la politique de recherche de contacts. OrganizationName : Utilisé par Carnet d’adresses et d’autres applications utilisant la politique de recherche de contacts. Annexe Données de répertoire Mac OS X 297 Données d’utilisateur utilisées par Mac OS X Server Le tableau suivant décrit la manière dont votre serveur Mac OS X Server utilise les données des enregistrements d’utilisateurs des domaines de répertoire. Consultez ce tableau pour savoir quels sont les attributs (ou types de données) que les services de votre serveur s’attendent à trouver dans les enregistrements d’utilisateurs des domaines de répertoire. Dans la colonne située le plus à gauche, « Tous les services » couvre AFP, SMB, FTP, HTTP, NFS, WebDAV, POP, IMAP, Gestionnaire de groupe de travail, Admin Serveur et la fenêtre d’ouverture de session de Mac OS X. 298 Composant du serveur Attribut d’utilisateur Mac OS X Dépendance Tous les services RecordName Requis pour l’authentification Tous les services Nom réel Requis pour l’authentification Tous les services AuthenticationAuthority Utilisé pour l’authentification Kerberos, par serveur de mots de passe et par mot de passe shadow Tous les services Password Utilisé pour l’authentification élémentaire (mot de passe crypté) ou Liaison LDAP Tous les services Identifiant unique Nécessaire pour l’autorisation (par exemple, permissions de fichier et comptes de courrier) Tous les services PrimaryGroupID Nécessaire pour l’autorisation (par exemple, permissions de fichier et comptes de courrier) Service FTP Service web Service de fichiers Apple Service NFS Fenêtre d’ouverture de session de Mac OS X Préférences de l’application et préférences système Répertoire d’accueil Répertoire d’accueil NFS Facultatif Service de courrier Attribut de courrier Obligatoire pour ouvrir une session dans le service de messagerie de votre serveur Service de courrier Adresse électronique Facultatif Annexe Données de répertoire Mac OS X Attributs standard dans les enregistrements de groupes Le tableau suivant décrit les attributs standard figurant dans les enregistrements de groupes Open Directory. Utilisez ces informations lorsque vous travaillez dans la sousfenêtre Inspecteur de Gestionnaire de groupe de travail ou lorsque vous mappez des attributs de groupes avec Utilitaire de répertoire. Attribut de groupe Mac OS X Format Exemples de valeurs Nom de l’entrée : Nom associé à un groupe caractères ASCII A à Z, a à z, 0 à 9, _ Sciences Dépt_Sciences Prof.Sciences Longueur non nulle, maximum 255 octets (de 85 caractères triple octets à 255 caractères d’un octet). Nom réel : Habituellement le nom complet du groupe Texte UTF-8 Professeurs du département de sciences Longueur non nulle, maximum 255 octets (de 85 caractères triple octets à 255 caractères d’un octet). Identifiant de groupe principal : Un identifiant unique pour le groupe Chaîne ASCII signée à 32 bits, composée de chiffres de 0 à 9 Normalement unique dans tous les enregistrements de groupe. Membres du groupe : Liste de noms abrégés d’enregistrements d’utilisateurs considérés comme faisant partie du groupe Caractères ASCII A à Z, a à z, 0 à 9, _,- bsmith, jdoe Peut être une liste vide (normalement pour le groupe principal des utilisateurs). Répertoire d’accueil Emplacement d’un dossier de départ AFP du groupe Texte UTF-8 structuré <home_dir> <url>afp://server/sharept</url> <path>grouphomedir</path> </home_dir> Dans l’exemple ci-dessous, le dossier de départ du groupe Sciences est K-M/Science, qui réside en dessous du répertoire de point de partage Groupes : <home_dir> <url>afp://exemple.com/Groupes</url> <path>K-M/Science</path> </home_dir> Member : Même données que pour GroupMembership mais chacune étant utilisée par différents services de Mac OS X Server Caractères ASCII A à Z, a à z, 0 à 9, _,- bsmith, jdoe Peut être une liste vide (normalement pour le groupe principal des utilisateurs). Annexe Données de répertoire Mac OS X 299 Attribut de groupe Mac OS X Format HomeLocOwner : Nom abrégé de l’utilisateur qui possède le dossier de départ du groupe Caractères ASCII A à Z, a à z, 0 à 9, _,- MCXFlags : S’il est présent, MCXSettings est chargé ; s’il est absent, MCXSettings n’est pas chargé ; requis pour un utilisateur géré. plist XML UTF-8, valeur unique Réglages MCX : Préférences d’un groupe de travail (groupe géré) plist XML UTF-8, valeurs multiples Exemples de valeurs Attributs standard dans les enregistrements d’ordinateurs Le tableau suivant décrit les attributs standard figurant dans les enregistrements d’ordinateurs Open Directory. Les enregistrements d’ordinateurs associent l’adresse matérielle de l’interface Ethernet principale d’un ordinateur à un nom attribué à cet ordinateur. Le nom fait partie d’un enregistrement de groupe d’ordinateurs (similaire à la notion d’utilisateur dans un groupe). Utilisez ces informations lorsque vous travaillez dans la sous-fenêtre Inspecteur de Gestionnaire de groupe de travail ou lorsque vous mappez des attributs d’enregistrements d’ordinateurs avec Utilitaire de répertoire. 300 Attribut d’ordinateur Mac OS X Format Exemples de valeurs Nom de l’entrée : Nom associé à un ordinateur. Texte UTF-8 iMac 1 Commentaires : Toute documentation de votre choix. Texte UTF-8 EnetAddress : La valeur de cet attribut doit être l’adresse Ethernet (appelée aussi adresse MAC) de l’interface Ethernet intégrée de l’ordinateur, même si l’ordinateur se connecte au répertoire à l’aide d’une autre interface réseau, telle qu’AirPort. Notation hexa, séparation par deux-points ; les zéros initiaux peuvent être ignorés Annexe Données de répertoire Mac OS X 00:05:02:b7:b5:88 Attribut d’ordinateur Mac OS X Format Exemples de valeurs MCXFlags : plist XML UTF-8, valeur unique Utilisé uniquement dans l’enregistrement d’ordinateur « guest » (invité) ; s’il est présent, MCXSettings est chargé ; dans le cas contraire, il ne l’est pas ; obligatoire pour un ordinateur géré. Réglages MCX : Utilisé uniquement dans l’enregistrement d’ordinateur « guest » (invité) ; préférences d’un ordinateur géré. plist XML UTF-8, valeurs multiples Attributs standard dans les enregistrements de groupes d’ordinateurs Le tableau suivant décrit les attributs standard figurant dans les enregistrements de groupes d’ordinateurs Open Directory. Un enregistrement de groupe d’ordinateurs identifie un groupe d’ordinateurs (très similaire à la façon dont un enregistrement de groupe identifie un ensemble d’utilisateurs). Utilisez ces informations lorsque vous travaillez dans la sous-fenêtre Inspecteur de Gestionnaire de groupe de travail ou lorsque vous mappez des attributs d’enregistrements de groupes d’ordinateurs avec Utilitaire de répertoire. Attribut de groupe d’ordinateurs Mac OS X Format Exemples de valeurs Nom de l’entrée : Nom associé à un groupe d’ordinateurs Texte UTF-8 Ordinateurs de laboratoire Longueur non nulle, maximum 255 octets (de 85 caractères triple octets à 255 caractères d’un octet). MCXFlags plist XML UTF-8, valeur unique Réglages MCX : Stocke les préférences d’un ordinateur géré plist XML UTF-8, valeurs multiples Computers Liste à valeurs multiples de noms d’enregistrements d’ordinateurs Groupe Liste à valeurs multiples de Liste des groupes dont les mem- noms abrégés de groupes bres peuvent ouvrir une session sur les ordinateurs de ce groupe d’ordinateurs Annexe Données de répertoire Mac OS X iMac 1, iMac 2 herbivores,omnivores 301 Attributs standard dans les enregistrements de montages Le tableau suivant décrit les attributs standard figurant dans les enregistrements de montages Open Directory. Utilisez ces informations lorsque vous travaillez dans la sousfenêtre Inspecteur de Gestionnaire de groupe de travail ou lorsque vous mappez des attributs d’enregistrements de montage avec Utilitaire de répertoire. Attributs de montages Mac OS X Format hostname:/chemin d’accès sur le serveur indigo:/Volumes/home2 VFSLinkDir Chemin d’accès pour le montage sur un client Texte UTF-8 /Network/Servers VFSType Texte ASCII Pour AFP : url Pour NFS : nfs VFSOpts Texte UTF-8 Pour AFP (deux valeurs) : net url==afp:// ;AUTH=NO%20USER%20 AUTHENT@serveur/point de partage/ Pour NFS : net VFSDumpFreq VFSPassNo 302 Exemples de valeurs Nom de l’entrée : Texte UTF-8 Hôte et chemin d’accès au point de partage Annexe Données de répertoire Mac OS X Attributs standard dans les enregistrements de configurations Le tableau suivant décrit les attributs standard figurant dans les enregistrements de configuration Open Directory suivants :  L’enregistrement mcx_cache porte toujours le nom RecordName de mcx_cache. Il utilise aussi RealName et DataStamp pour déterminer si la mémoire cache doit être actualisée ou si les réglages de serveur doivent être ignorés. Si vous voulez des clients gérés, vous devez avoir un enregistrement de configuration mcx_cache.  L’enregistrement passwordserver possède l’attribut PasswordServerLocation. Utilisez ces informations lorsque vous travaillez dans la sous-fenêtre Inspecteur de Gestionnaire de groupe de travail ou lorsque vous mappez des attributs d’enregistrements de configuration avec Utilitaire de répertoire. Attributs de configurations Mac OS X Format Exemples de valeurs Nom de l’entrée : Caractères ASCII A à Z, a à z, Nom associé à une configuration 0 à 9, _,-,. mcx_cache passwordserver Longueur non nulle, d’un maximum de 255 octets (soit 85 caractères triple octets ou 255 caractères d’un octet). PasswordServerLocation : Identifie l’hôte du serveur de mots de passe associé au domaine de répertoire 192.168.1.90 adresse IP ou nom d’hôte Nom réel Pour l’enregistrement de configuration mcx_cache, RealName est un GUID. DataStamp Pour l’enregistrement de configuration mcx_cache, DataStamp est un GUID. Annexe Données de répertoire Mac OS X 303 Glossaire Glossaire Active Directory Service de répertoire et d’authentification de Microsoft Windows 2000 Server, Windows Server 2003 et Windows Server 2003 R2. administrateur Utilisateur disposant d’autorisations d’administration de serveur ou de domaine de répertoires. Les administrateurs sont toujours membres du groupe « admin » prédéfini. Adresse IP Adresse numérique unique qui identifie un ordinateur sur Internet. AFP Apple Filing Protocol. Protocole client/serveur utilisé par le service de fichiers Apple pour partager des fichiers et des services réseau. AFP exploite TCP/IP et d’autres protocoles pour prendre en charge les communications entre les ordinateurs d’un réseau. attribut Élément de données nommé contenant un type d’information spécifique et appartenant à une entrée (une fiche ou un objet) dans un domaine de répertoire. Les données qu’un attribut contient s’appellent la valeur de l’attribut. attribut d’autorité d’authentification Valeur qui identifie le système de validation de mot de passe spécifié pour un utilisateur et fournit, si nécessaire, des informations supplémentaires. authentification Processus de vérification de l’identité d’un utilisateur, généralement en validant son nom d’utilisateur et son mot de passe. L’authentification a lieu généralement avant que le processus d’autorisation détermine le niveau d’accès de l’utilisateur à une ressource. Exemple : le service de fichiers autorise l’accès total aux dossiers et aux fichiers qu’un utilisateur authentifié possède. autorisation Processus par lequel un service détermine s’il faut accorder à un utilisateur l’accès à une ressource et quel est le niveau d’accès accordé à l’utilisateur. L’autorisation se produit généralement après qu’un processus d’authentification ait vérifié l’identité de l’utilisateur. Exemple : le service de fichiers autorise l’accès total aux dossiers et aux fichiers qu’un utilisateur authentifié possède. base de recherche Nom distinctif permettant d’identifier le point de départ d’une recherche d’informations dans la hiérarchie d’entrées d’un répertoire LDAP. 305 bidouilleur Personne qui aime la programmation et qui explore des façons de programmer de nouvelles fonctionnalités et d’étendre les possibilités d’un système informatique. Voir aussi pirate. BSD Initiales de « Berkeley Software Distribution » (famille de systèmes d’exploitation développés à l’Université de Berkeley). Version de UNIX sur laquelle repose le logiciel Mac OS X. chemin de recherche Voir politique de recherche. CIFS Common Internet File System. Voir SMB. classe Voir classe d’objets. classe d’objets Ensemble de règles qui définissent des objets semblables dans un domaine de répertoire en spécifiant les attributs que doit posséder chaque objet, ainsi que d’autres attributs possibles pour l’objet. client géré Utilisateur, groupe ou ordinateur dont les autorisations d’accès et/ou les préférences sont sous le contrôle d’un administrateur. compte d’ordinateur Un compte d’ordinateur contient des données permettant à Mac OS X Server d’identifier et de gérer un ordinateur particulier. Vous devez créer un compte d’ordinateur pour chaque ordinateur que vous comptez ajouter à un groupe d’ordinateurs. DHCP Initiales de « Dynamic Host Configuration Protocol » (protocole de configuration dynamique d’hôtes). Protocole utilisé pour distribuer de manière dynamique des adresses IP à des ordinateurs clients. Chaque fois qu’un ordinateur client démarre, le protocole recherche un serveur DHCP, puis demande une adresse IP au serveur DHCP qu’il trouve. Le serveur recherche alors une adresse IP disponible et la transmet à l’ordinateur client en l’accompagnant d’une « durée de bail », durée pendant laquelle l’ordinateur client peut utiliser l’adresse. domaine de répertoire Base de données spécialisée dans laquelle sont stockées des informations autorisées concernant les utilisateurs et les ressources réseau ; ces informations sont nécessaires au logiciel système et aux applications. Cette base de données est optimisée pour gérer de nombreuses demandes d’informations et pour rechercher et récupérer rapidement des informations. Connue également sous le nom de nœud de répertoire ou simplement répertoire. domaine local Domaine de répertoire accessible uniquement par l’ordinateur sur lequel il réside. dossier de groupe Dossier servant à organiser des documents et des applications présentant un intérêt particulier pour les membres du groupe et permettant à ces derniers de partager des informations. 306 Glossaire enfant Ordinateur qui hérite des informations de configuration provenant du domaine de répertoire partagé d’un parent. entrée Article publié sur un blog. Les lecteurs peuvent ajouter des commentaires à l’entrée, mais le contenu associé à celle-ci ne peut être modifié que par le propriétaire du blog. Dans un répertoire LDAP, une entrée est une collection d’attributs (d’éléments de données) qui porte un nom distinctif unique. Voir aussi nom distinctif. FTP Initiales de « File Transfer Protocol » (protocole de transfert de fichiers). Protocole permettant à des ordinateurs de transférer des fichiers sur un réseau. Les clients FTP, utilisant tout système d’exploitation capable de prendre en charge le protocole FTP, peuvent se connecter à un serveur de fichiers et télécharger des fichiers, en fonction de leurs autorisations d’accès. La plupart des navigateurs Internet et un certain nombre de graticiels permettent d’accéder aux serveurs FTP. groupe Ensemble d’utilisateurs ayant des besoins semblables. Les groupes simplifient l’administration de ressources partagées. groupe principal Groupe par défaut d’un utilisateur. Le système de fichiers utilise l’identifiant du groupe principal lorsqu’un utilisateur accède à un fichier dont il n’est pas le possesseur. hachage Forme brouillée, ou cryptée, d’un mot de passe ou d’un texte. hiérarchie de domaines de répertoire Manière d’organiser des domaines de répertoires locaux et partagés. Une hiérarchie présente une structure d’arborescence inversée : domaine racine au sommet et domaines locaux en bas. identifiant de groupe principal Numéro unique identifiant un groupe principal. IP Internet Protocol. Également désigné par IPv4. Méthode utilisée conjointement avec le protocole TCP (Transmission Control Protocol) pour envoyer des données d’un ordinateur à un autre via un réseau local ou via Internet. Le protocole IP envoie les paquets de données, alors que le protocole TCP se charge de leur suivi. KDC Initiales de « Kerberos Key Distribution Center » (centre de distribution de clés Kerberos). Serveur de confiance chargé d’émettre des tickets Kerberos. Kerberos Système d’authentification réseau sécurisé. Kerberos utilise des tickets qui sont émis pour un utilisateur, un service et une durée spécifiques. Après avoir été authentifié, l’utilisateur peut accéder à d’autres services sans avoir à saisir à nouveau son mot de passe (on parle alors de signature unique) pour les services configurés pour accepter les tickets Kerberos. Mac OS X Server utilise Kerberos 5. LDAP Initiales de « Lightweight Directory Access Protocol ». Protocole client-serveur standard permettant l’accès à un domaine de répertoire. Glossaire 307 liaison Connexion entre un ordinateur et un domaine de répertoire dans le but d’obtenir des données d’identification, d’autorisation et d’autres données administratives. (verbe) Désigne également le processus d’établissement d’une telle connexion. Voir aussi liaison sécurisée. liaison sécurisée Connexion authentifiée mutuellement entre un ordinateur et un domaine de répertoire. L’ordinateur fournit des informations d’authentification pour prouver son identité et le domaine de répertoire fournit des informations d’authentification pour prouver son authenticité. liste d’ordinateurs Ensemble d’ordinateurs recevant les réglages des préférences gérées définis pour la liste et mis à la disposition d’un ensemble particulier d’utilisateurs et de groupes. Un ordinateur ne peut appartenir qu’à une seule liste d’ordinateurs. Les listes d’ordinateurs sont créées sous Mac OS X Server 10.4 ou antérieur. Mac OS X La dernière version du système d’exploitation d’Apple. Mac OS X allie la fiabilité d’UNIX à la facilité d’emploi de Macintosh. Mac OS X Server Plate-forme de serveur puissante, capable de gérer immédiatement les clients Mac, Windows, UNIX et Linux et offrant un ensemble de services de réseau et de groupes de travail extensible, ainsi que des outils perfectionnés de gestion à distance. maître Open Directory Serveur fournissant un service de répertoire LDAP, un service d’authentification Kerberos et un serveur de mots de passe Open Directory. mot de passe Chaîne alphanumérique utilisée pour authentifier l’identité d’un utilisateur ou pour autoriser l’accès à des fichiers ou à des services. mot de passe crypté Type de mot de passe qui est stocké sous la forme d’un hachage (à l’aide de l’algorithme de cryptage UNIX standard) directement dans un enregistrement d’utilisateur. mot de passe Open Directory Mot de passe stocké dans une base de données sécurisée sur le serveur et qui peut être authentifié à l’aide du serveur de mots de passe Open Directory ou de Kerberos (si Kerberos est disponible). mot de passe shadow Mot de passe stocké dans un fichier sécurisé sur le serveur et qui peut être authentifié à l’aide de diverses méthodes d’authentification conventionnelles requises par les différents services de Mac OS X Server. Parmi les méthodes d’authentification, il y a APOP, CRAM-MD5, DHX, LAN Manager, NTLMv1, NTLMv2 et WebDAV-Digest. 308 Glossaire multidiffusion DNS Protocole développé par Apple pour la découverte automatique d’ordinateurs, de périphériques et de services sur les réseaux IP. Appelé « Bonjour » (auparavant « Rendezvous ») par Apple, ce protocole, proposé comme standard Internet, est parfois appelé ZeroConf ou multidiffusion DNS. Pour en savoir plus, rendez-vous sur www.apple.com/fr/ ou www.zeroconf.org (en anglais). Pour savoir comment ce protocole est utilisé sous Mac OS X Server, reportez-vous à nom d’hôte local. NetInfo Ancien protocole Apple permettant l’accès à un domaine de répertoire. nœud de répertoire Voir domaine de répertoire. nom abrégé Abréviation du nom d’un utilisateur. Mac OS X utilise le nom abrégé pour les dossiers de départ, l’authentification et les adresses électroniques. nom complet Forme développée du nom d’un utilisateur ou d’un groupe. Voir aussi nom d’utilisateur. nom d’hôte local Nom qui désigne un ordinateur sur un sous-réseau local. Il peut être utilisé sans système DNS global pour convertir les noms en adresses IP. Il est constitué de lettres minuscules, de nombres ou de tirets (sauf pour le dernier caractère) et se termine par « .local » (par exemple, ordinateur-jean.local). Bien que le nom par défaut soit dérivé du nom d’ordinateur, un utilisateur peut reprendre ce nom dans la sousfenêtre Partage des Préférences Système. Il peut aussi être aisément modifié et utilisé dans tous les cas où un nom DNS ou un nom de domaine complet est utilisé. Il ne peut être converti que sur le même sous-réseau que l’ordinateur qui l’utilise. nom d’utilisateur Nom complet d’un utilisateur, parfois appelé nom réel de l’utilisateur. Voir aussi nom abrégé. nom distinctif Il identifie une entrée (un objet) dans un répertoire LDAP. Il est représenté sous la forme d’une séquence d’entrées de répertoire séparées par des virgules, commençant par l’entrée elle-même et suivie par chaque entrée qui contient l’entrée précédente dans la séquence. Exemple : “cn=utilisateurs, dc=exemple, dc=com.” Open Directory Architecture de services de répertoire Apple, capable d’accéder à des informations autorisées concernant des utilisateurs et des ressources réseau à partir de domaines de répertoire utilisant les protocoles LDAP ou Active Directory, ou des fichiers de configuration BSD et des services de réseau. Open Source Terme désignant le développement coopératif de logiciels par la communauté Internet. Le principe de base consiste à impliquer le maximum de personnes dans l’écriture et la mise au point du code en publiant le code source et en encourageant la formation d’une large communauté de développeurs qui feront part de leurs modifications et améliorations. Glossaire 309 ordinateur administrateur Ordinateur Mac OS X sur lequel vous avez installé les applications d’administration du serveur à partir du CD Mac OS X Server Admin. parent Ordinateur dont le domaine de répertoire partagé fournit des informations de configuration à un autre ordinateur. pirate Utilisateur malveillant qui tente d’accéder à un système informatique sans y être autorisé dans le but de saboter des ordinateurs et des réseaux ou de voler des informations. Comparer à bidouilleur. point de partage Dossier, disque dur (ou partition de disque dur) ou disque optique accessible via le réseau. Un point de partage constitue le point d’accès situé au premier niveau d’un groupe d’éléments partagés. Les points de partage peuvent être partagés à l’aide des protocoles AFP, SMB, NFS (exportation) ou FTP . politique de recherche Liste des domaines de répertoire parmi lesquels un ordinateur Mac OS X nécessitant des informations de configuration effectue ses recherches. Également, ordre dans lequel les domaines sont interrogés. Parfois appelée chemin de recherche. possesseur Le propriétaire d’un élément peut modifier les autorisations d’accès à l’élément. Il peut également remplacer l’entrée de groupe par n’importe quel groupe dont il est membre. Le propriétaire dispose par défaut d’autorisations Lecture et écriture. préférences gérées Préférences du système ou d’application contrôlées par les administrateurs. Gestionnaire de groupe de travail permet aux administrateurs de contrôler les réglages de certaines préférences système pour les clients gérés Mac OS X. principal, Kerberos Nom et autres informations d’identification d’un client ou service que Kerberos peut authentifier. Le principal d’un utilisateur est généralement constitué du nom de l’utilisateur ou bien du nom de l’utilisateur et du royaume Kerberos. Le principal d’un service est généralement constitué du nom du service, du nom DNS complet du serveur et du royaume Kerberos. protocole Ensemble de règles qui déterminent la manière dont les données sont échangées entre deux applications. royaume Kerberos Domaine d’authentification comprenant les utilisateurs et les services enregistrés auprès du même serveur Kerberos. Les utilisateurs et services enregistrés délèguent au serveur Kerberos la vérification de l’identité de chacun. royaume WebDAV Partie d’un site web, généralement un dossier ou un répertoire, défini pour fournir l’accès à des utilisateurs et des groupes WebDAV. schéma Ensemble d’attributs et de types d’enregistrements ou de classes servant de plan pour les informations d’un domaine de répertoire. 310 Glossaire serveur autonome Serveur qui fournit des services sur un réseau, mais qui n’obtient pas de services de répertoire auprès d’un autre serveur, ni ne fournit des services de répertoire à d’autres ordinateurs. serveur de mots de passe Voir serveur de mots de passe Open Directory. serveur de mots de passe Open Directory Service d’authentification qui valide des mots de passe à l’aide de diverses méthodes d’authentification conventionnelles requises par les différents services de Mac OS X Server. Parmi les méthodes d’authentification, il y a APOP, CRAM-MD5, DHX, LAN Manager, NTLMv1, NTLMv2 et WebDAV-Digest. services de répertoire Services fournissant au logiciel système et aux applications un accès uniforme aux domaines de répertoire et à d’autres sources d’informations relatives aux utilisateurs et aux ressources. signature unique Stratégie d’authentification qui évite aux utilisateurs de devoir saisir un nom et un mot de passe pour chaque service de réseau. Mac OS X Server utilise Kerberos pour permettre la signature unique. SLP DA Initiales de « Service Location Protocol Directory Agent ». Protocole qui enregistre les services disponibles sur un réseau et permet aux utilisateurs d’y accéder aisément. Lorsqu’un service est ajouté au réseau, il utilise le protocole SLP pour s’enregistrer. SLP DA utilise un point de dépôt centralisé pour les services réseau enregistrés. SMB Protocole SMB (Server Message Block). Protocole permettant à des ordinateurs clients d’accéder à des fichiers et à des services de réseau. Il peut être utilisé via TCP/IP, Internet ou d’autres protocoles. Les services SMB utilisent ce protocole pour fournir l’accès aux serveurs, aux imprimantes et à d’autres ressources réseau. SSL Initiales de « Secure Sockets Layer » (couche sécurisée pour sockets réseau). Protocole Internet permettant d’envoyer des informations authentifiées et chiffrées à travers Internet. Les versions les plus récentes de SSL sont connues sous le nom de TLS (Transport Level Security). ticket d’octroi de tickets Ticket Kerberos spécial qui permet à un client d’obtenir des tickets pour des services au sein du même royaume. Un client reçoit un ticket d’octroi de tickets en prouvant son identité, par exemple en saisissant un nom et un mot de passe valide lors de l’ouverture de session. Glossaire 311 ticket, Kerberos Informations d’authentification temporaires qui prouvent l’identité d’un client Kerberos à un service. utilisateur invité Utilisateur autorisé à ouvrir une session sur un serveur sans nom d’utilisateur et mot de passe. WebDAV Web-based Distributed Authoring and Versioning. Environnement de création en direct permettant à des utilisateurs clients de prendre des pages web, de les modifier, puis de les rendre à leur site d’origine sans interruption de ce dernier. 312 Glossaire A accès administrateur 85, 207 attributs 208 contrôle d’accès aux répertoires (DAC) 213 domaines Active Directory 188, 201 dossier 25 fenêtre d’ouverture de session 206 fiche 208 fichier 25 groupe 206 listes de contrôle d’accès (ACL) 44, 83, 85, 207 répliques 102 serveur 30, 206 service de répertoire 155, 156, 157 SSH 206 utilisateur 186, 205, 206, 238 utilisateurs des domaines de répertoire 25 Voir aussi LDAP; autorisations accès en lecture seule, LDAP 180, 184 accès LDAPv2 180 accès LDAPv3 86, 104, 156, 160, 201 ACE (entrées de contrôle d’accès) 85 ACL, classe d'objets 255 Active Directory accès 188 accès LDAP 201 activation du service 156 attribut de shell UNIX 193 authentification 199 autorisation inter-domaines 78 comptes mobiles 187, 191 configuration d’Open Directory 68 configuration du serveur 111 conflits Kerberos 80 connexions client 141 définition 26 dépannage 237, 239 désactivation du service 156 désignation du serveur préféré 197 dossiers de départ 187, 192 groupes d’administrateurs 198 identifiants d’utilisateur 194 Index Index identifiants de groupe 195, 196 liaison à 190, 200 modification de fiches 200 réglages avancés 155, 156, 185 rupture de la liaison avec le serveur 200 Voir aussi mappages administrateur autorité d’authentification 134, 135 autorité pour l’authentification 99, 101, 107 comptes 96, 198 contrôle d’accès 85, 207 Kerberos 53, 113 limites 258 mots de passe d’ 50, 129, 130, 237, 243 planification des domaines 39 politiques de recherche 39 privilèges d’ 85, 86 services de répertoire 19 administration par niveaux 85 Admin Serveur 79, 87 adresses. Voir identifiant Ethernet adresses IP 95, 142 aide, utilisation 15 annuaires. Voir services de répertoire; domaines, répertoire; dossiers APOP (Authenticated POP) 59, 63 archivage du maître Open Directory 230, 231 attaque DoS (attaque par saturation) 50, 221 attaque par saturation. Voir attaque par s attaques hors ligne 47 attribut de liste de contrôle d’accès (ACL) 275 attribut de shell UNIX 193 attributs Active Directory 196 ajout 79, 175 authentification 258, 272 configuration 182, 270, 303 contrôle d’accès 208 emplacement (Location) 273 groupe d'ordinateurs 301 groupes 263 importation 217 imprimantes 258, 268 313 informations de contact 260 introduction 26 LDAP 173 liste de contrôle d’accès (ACL) 275 listes d’ordinateurs 269 machine 265 montage automatique 276 montages 266, 302 mots de passe 270 ordinateurs 269, 300 plist xml 270 répertoire 186 réplication 271 ressource 275 schéma (Schema) 275 service 270, 273 services de répertoire 175 shell UNIX 193 standard 293 Time-to-Live (TTL) 256 URL de service 270 utilisateurs 256, 272, 293, 298 voisinage (Neighborhood) 274 Voir aussi mappages attributs d’emplacement (Location) 273 attributs d’imprimante (Printer) 258, 268 attributs d’ordinateur (Computer) 269, 300 attributs d’utilisateur 256, 272, 293, 298 attributs de configuration (Configuration) 270, 303 attributs de groupes 263, 299 attributs de groupes d'ordinateurs 301 attributs de liste d’ordinateurs (ComputerList) 269 attributs de machine (Machine) 265 attributs de montage (Mount) 266, 302 attributs de service (Service) 270, 273 attributs de voisinage (Neighborhood) 274 augment, classe d'objets 255 authentification Active Directory 199 administrateur 99, 101, 107, 134, 135 attributs 258, 272 clients 54, 57 contrôle de l’ 211 définition 44 dépannage 235, 237, 238, 239, 240, 242, 243 domaines de répertoire 24, 69 en cache 46 LDAP 64, 135, 162, 181, 182 liaison 64, 135, 162 maître Open Directory 32, 115 méthodes 46, 59, 60, 62, 64, 109 par informations d'authentification 45, 54 règles de recherche 42, 150 réplication 71 SASL 12, 59 serveur 55, 83 314 Index services de fichiers 59 utilisateur 44, 49, 51 vue d’ensemble 12, 21, 43, 121 Voir aussi Kerberos; mots de passe authentification basée sur des informations utilisateur Voir aussi Kerberos authentification CRAM-MD5 59 authentification de base. Voir mots de passe cryptés authentification DHX 46, 59 authentification Digest-MD5 59 authentification LAN Manager 46, 59 authentification MS-CHAPv2 59, 109 authentification NTLM 46, 59, 109 authentification par informations d'authentification 45, 54 authentification par signature unique 12, 51, 54, 55, 80 Voir aussi Kerberos authentification par ticket 54 Voir aussi Kerberos authentification WebDAV-Digest 59, 63 automount, classes d’objets 255 autorisation 44, 78, 83, 85, 207 Voir aussi authentification autorisation inter-domaines 78 autorisations accès 207 administrateur 86 administration par niveaux 85 fiche 208 utilisateur 86, 180, 184 AutoServerSetup, type d'enregistrement 292 B basculement configuration 107 contrôleur de domaine principal 34 contrôleur de domaine secondaire 34, 98, 106 contrôleur de domaine secondaire (BDC) 225 répartition de la charge 74 base de données LDAP 220 serveur de mots de passe Open Directory 61, 63 base de recherche, LDAP 28, 97, 174, 240 C cache, authentification en 46 Carnet d’adresses 42, 150, 158 certificats 78, 222 chiffrement 48, 49, 59, 186 classe d’objets d’autorité d’authentification (authentication authority) 253 classe d’objets d’emplacement (Location) 254 classe d’objets d’imprimante (printer) 249 classe d’objets d’ordinateur (computer) 250 classe d’objets d’utilisateur préréglé (preset user) 253 classe d’objets de conteneur (container) 247 classe d’objets de groupe préréglé (preset group) 252 classe d’objets de liste d’ordinateurs (computer list) 250 classe d’objets de liste d’ordinateurs préréglés (preset computer list) 251 classe d’objets de montage (mount) 249 classe d’objets de service (Service) 254 Classe d’objets de voisinage (Neighborhood) 254 classes d’objets ACL 255 ajout à des schémas 79 augment 255 authentication authority 253 automount 255 computer 250, 251 computer group 252 computer list 250 configuration 251, 254 container 247 group 248, 252 introduction 26 location 254 machine (auxiliaire) 249 mount 249 neighborhood 254 printer 249 resource 255 service 254 TTL 247 user 248, 253 vue d 247 Voir aussi attributs clients, authentification 54, 57 clients, authentification des Voir aussi ordinateurs clients; Comptes de groupe; utilisateurs compte root 144 comptes administrateur 96, 198 root 144 Voir aussi comptes de groupe; comptes mobiles; comptes d'utilisateur; Gestionnaire de groupe de travail comptes d'utilisateur Voir aussi comptes de groupe; mots de passe; utilisateurs comptes d’utilisateur accès 186 domaines d’annuaire 94 domaines de répertoire 66, 80 exportation 136 Index importation 136, 217 modification 200 mots de passe 63, 237, 238 noms d’utilisateur 96 recherche 29, 30 root 144 sécurité 47 suppression 215 comptes de groupe en tant qu’administrateurs 198 identifiant de groupe 186, 196 importation 217 mappages de GID 195 préréglages 252, 288 Voir aussi groupes comptes mobiles Active Directory 187, 191 LDAP 155 ouverture de session 75 politiques de mot de passe 50, 130 politiques de recherche 41 service VPN 75 computer group, classe d'objets 252 condensé, mot de passe 45, 60, 62 configuration attributs de 303 autorisation inter-domaines 78 basculement 107 connexion 108, 110, 111, 142, 143 domaine de répertoire local 94 domaine Window 98 domaine Windows 100, 101 ensembles de répliques 72 fichiers BSD 203, 204 fichiers UNIX 21, 23, 26 Kerberos 113, 115, 116, 119 LDAP 159, 160, 163, 165, 167, 169 liaison sécurisée 176 maître Open Directory 95, 98 ordinateurs clients 140, 141, 303 outils de ligne de commande 186 planification 68 réplique Open Directory 102, 105 serveur 110, 111, 292 serveur de mots de passe Open Directory 95 services de répertoire 147, 148 vue d’ensemble 91, 93 vue d’ensemble des domaines de répertoire 66 configuration, classes d’objets 251 configuration de Windows XP 100, 101 contacts, règles de recherche 42, 150 contrôle d’accès aux répertoires. Voir DAC contrôles d’accès aux répertoires (DAC) 213 contrôleur de domaine principal (PDC) planification de la réplication 224 contrôleur de domaine principal. Voir PDC 315 contrôleur de domaine secondaire (BDC) 34, 98, 106, 225 contrôleur de domaine secondaire. Voir BDC contrôleurs, BDC Voir aussi PDC contrôleurs, contrôleur de domaine secondaire 34, 98, 106 contrôleurs, contrôleur de domaine secondaire (BDC) 225 conventions de nom nom abrégé 216 nom d’utilisateur 96 nom de l’ordinateur 99, 106, 135, 176 noms longs 263, 271 coupe-feu, limitations 54 D délai d’inactivité, connexion LDAP 179 délai d’ouverture/de fermeture, connexion LDAP 178 délai de requête, LDAP 178 délai de tentative de reconnexion, LDAP 179 démarrage, problèmes 237 dépannage Active Directory 237 authentification 235, 237, 238, 239, 240, 242, 243 connexions 237 réplication 235, 236 documentation 15, 17, 18 domaines, annuaire règles de recherche 150, 152, 153, 154 Voir aussi LDAP; domaines de répertoire locaux; Open Directory; domaine Windows domaines, répertoire authentification 24, 69 capacité de stockage 69 identification des serveurs 70 intégration 78 liaison de 218 NetInfo 33, 127, 138 NIS 26, 202 non Apple 31 organisation des 20, 24, 26 planification 39, 65, 66, 93 ports 83 réplication 67 schémas 27, 79, 187, 245, 246, 247 domaines de répertoire locaux configuration 94 fiches de montage 148, 149, 150 introduction 27, 29 planification 66 politique de recherche 36, 38, 40 règle de recherche 154 types de mot de passe 44, 46 316 Index utilisateurs Windows 33 domaines de répertoire partagés dépannage relatif à l’ouverture de session 239 identification des serveurs 70 informations sur les utilisateurs 94 introduction 29, 30 NetInfo 33, 127, 138 planification 65, 66 politiques de recherche 36, 38 Voir aussi LDAP domaines NetInfo 33, 127, 138 domaine Windows Voir aussi Active Directory; SMB configuration d’Open Directory 98, 100, 101 contrô 106 contrôleur de domaine principal 32, 98, 100, 101 contrôleur de domaine secondaire 34, 98 mots de passe 32, 46, 47, 48, 49 Domain Name System. Voir DNS dossiers, contrôle d’accès 25 Voir aussi fichiers; dossiers de départ dossiers de départ Active Directory 187, 192 attributs de groupe 263 attributs user 256, 258, 262 réseau 192 utilisateur local 192 utilisateurs des domaines de répertoire 25 dossiers de départ locaux 192 dossiers de départ réseau 192 dsconfigad, outil 186 dsconfigldap, outil 186 durée de vie (TTL), classe d'objets 247 Dynamic Host Configuration Protocol. Voir DHCP E enregistrements activation pour Kerberos 241 ajout à des schémas 79 capacité du domaine de répertoire 69 introduction 26 types standard 293 Voir aussi attributs; mappages entrées, classe d’objets 26, 28 entrées de contrôle d’accès. Voir ACE exportation d’utilisateurs 136 Voir aussi importation F fiches autorisations 208 contrôle d’accès 208 importation 217 mappage vers des services de répertoire 174, 182 modification de fiches d’Active Directory 200 réglages des contrôles d’accès aux répertoires (DAC) 213 suppression 214, 215 fichier de listes de propriétés 236 fichiers BSD 26, 203, 204 configuration UNIX 21, 23, 26 contrôle d’accès 25 listes de propriétés 236 fichiers BSD (Berkeley System Distribution) 26, 203, 204 G Gestionna 213 Gestionnaire d’authentification 33, 46, 137 Gestionnaire de groupe de travail annuaires LDAP 184 fonctions 88 Inspecteur 212, 213, 214, 215 modification des données de répertoire 212 et Open Directory 20 rôle d’authentification 121 suppression de comptes d’utilisateur 215 group, classe d'objets auxiliaire 248 groupes administration par niveaux 85 connexion à un royaume Kerberos 117 contrôle de l’accès 206 mappages 195, 280, 281, 288 recherche 29, 30 stockage d’informations 25 GUID (identifiant global unique) 217 H historiques, Open Directory 82, 211 I identifiant de groupe 78, 186, 195, 196 identifiant de groupe. VoirGID identifiant Ethernet 242 identifiant global unique. VoirGUID identifiants d’uti image, ouverture de session utilisateur 257 importation attributs 217 fiches 217 groupes 217 utilisateurs 136, 217 informations de contact, attributs 260 Initiales de « Berkeley Software Distribution » (famille de systèmes d’exploitation développés à l’Université de Berkeley). Voir BSD Inspecteur 212, 213, 214, 215 Index K Kerberos activation 129, 241 administrateur 53, 113 attributs 272 autorisation inter-domaines 78 configuration 113, 115, 116, 119 conflits entre domaines de répertoire 80 connexion 117, 119 dépannage 235, 240 DNS 95, 113, 115, 236 fonctionnalités 12, 45, 51, 53, 54, 55, 56 LDAP 79 mots de passe 51 principaux 57 processus d’authentification 57 réplication 71 royaumes 57, 119, 242 sécurité 54, 55, 230 suppression d’identités 215 utilisateurs 52, 116 L LDAP (Lightweight Directory Access Protocol) délais 179 réglages de connexion 179 ldapmodrdn, outil 216 ldapsearch outil 183 Leopard Server. Voir Mac OS X Server liaison Active Directory 200 authentification LDAP 64, 135, 162, 179 délai de tentative de reconnexion 179 serveur Open Directory 218 Voir aussi liaison sécurisée liaison sécurisée Active Directory 190 arrêt 169, 177 configuration 176 définition 158 options de 161 politiques 218 liste de contrôle d’accès à un service (SACL) 44, 83, 207 listes d'ordinateurs, mappages 284, 287, 288 listes de contrôle d’accès (ACL) 44, 83, 85, 207 listes de contrôle d’accès. Voir ACL listes de contrôle d’accès à un service. Voir SACL Locations, type d'enregistrement 292, 293 M Mac OS X accès LDAP en lecture seule 184 fichiers BSD 203, 204 remplissage des répertoires 184 317 Mac OS X Server fichiers BSD 203 importation de fiches 217 liaison sécurisée 218 restauration du maître Open Directory 231 machine, classe d'objets auxiliaire 249 Mac OS X dépannage relatif à l’ouverture de session 239 mots de passe Open Directory 45 Mac OS X Server ajout de connexions 142 authentifications prises en charge 33, 51, 52, 60, 109 contrôleur de domaine secondaire 34 migration des mots de passe 137 mise à niveau 76, 137 problèmes de basculement 107 maître Open Directory archivage 230, 231 authentification 32, 115 basculement 107 configuration 95, 98 contrôle de l’état 210 définition 71 dépannage 235, 236 et DNS 95, 115 introduction 27 liaison 218 mise à niveau 76 mots de passe 123 règlement de sécurité 219 et répliques 69, 72, 74, 75, 76, 95, 224, 225, 226, 229 restauration 231 mappages Active Directory 187, 194, 195, 196 groupes 195, 280, 281, 288 imprimantes 290, 291 LDAP 160, 163, 173, 175 listes d'ordinateurs 284, 287, 288 montages 282 ordinateurs 282, 283 services de répertoire 174, 182 type d'enregistrement AutoServerSetup 292 type d'enregistrement Config 285 type d'enregistrement Locations 292, 293 type d'enregistrement People 286 utilisateurs 194, 277, 289 vue d'ensemble 245 media access control (contrôle d’accès au support). Voir Identifiant Ethern migration de NetInfo vers LDAP 33, 138 mot de passe 137 mise à niveau de Mac OS X Server 76, 137 modèles, mappage LDAP 175 318 Index modules 11, 186 modules open source 11 Voir aussi Kerberos; Open Directory montage, automatique 25, 255, 276 montage automatique, attribut 276 montage automatique de points de partage 25 mot de passe shadow définition 45 mots de passe Voir aussi mots de passe cryptés; serveur de mots de passe Open Directory; mots de passe shadow administrateur 50, 129, 130, 237, 243 attributs 270 compte root 144 comptes d’utilisateur 237, 238 conseils 47 création 122, 136, 137 dépannage 237, 238, 239, 242 domaine Windows 32, 46, 47, 48, 49 exportation 136 hachage 45, 60, 62 importation 136 LDAP 182 migration des 137 Open Directory 45, 46, 47, 49, 59, 107, 125, 133 politiques 43, 50, 129, 130, 259 réinitialisation 60, 124, 243 sur des répliques 71 types 44, 45, 46, 125, 127 ou signature unique 51 mots de passe cryptés changement en 127 chiffrement 48, 49 définition 46 limites de Windows 32, 46 migration des comptes d’utilisateur 137 problèmes de sécurité 47 mots de passe Shadow changement en 128 désactivation 62 fonctionnalités 49 limites de Windows 33, 46 méthodes d’authentification 59, 132 problèmes de sécurité 47 N NAT NAT (Network Address Translation) 75 NeST, outil 134 Network Address Translation. Voir NAT Network File System. Voir NFS Network Information Service. Voir NIS Network Time Protocol. Voir NTP NFS (Network File System) 148, 149, 150 NIS (Network Information Service) 26, 202 nom abrégé 216 nom complet 263, 271 Voir aussi nom abrégé; nom d’utilisateur nom complet. Voir nom complet nom d’ordinateur 99, 106, 135, 176 nom d’utilisateur 96 nom distinctif (DN) 28, 162 nom distinctif relatif. Voir RDN nom NetBios 106 Nom réel 173 nom réel. Voir nom complet NTP (network time protocol) 240 O Open Directory activation 94 affichage des données 212 amélioration des performances 82 configuration 68, 91, 93 configuration de DNS 95, 115 configuration de la connexion 108, 110, 111, 142 contrôle d’ 209, 210, 211 contrôle de l’état 209, 210, 211 et un contrôleur de domaine secondaire 34, 106 fonctions 20 histoire 21, 23 et Inspecteur 212, 213, 214 et Kerberos 12, 45, 80 et LDAP 11, 246, 247 maintenance 205 modification des données 212, 213, 214, 215, 216 outils d’accès 26, 205, 206, 207, 208 outils de gestion 86, 87, 88, 89 et un contrôleur de domaine principal 32, 98, 100, 101 politique de liaison 218 prise en charge des ordinateurs clients 70 réglages des options 217, 218 règlement de sécurité 219 réplication d’ 224 serveurs distants 93 service autonome 94 services SMB 31 et Gestionnaire de groupe de travail 20 utilisations 24 vue d’ensemble 11, 19 Voir aussi Active Directory; domaines, répertoire; mappages OpenLDAP. Voir Open Directory Option 95, DHCP 40 option 95, DHCP 218 options de délai de reconnexion, LDAP 179 ordinateurs connexions de répliques 104 Index mappages 282, 283 politiques de recherche 40, 41 suppression 215 synchronisation des horloges 113 Voir aussi ordinateurs clients ordinateurs client points de partage 25 ordinateurs clients basculement 107 configuration 140, 141, 147, 148 connexions 70, 139, 141, 142, 143 fiches de montage 148, 149, 150 fichiers BSD 26, 203, 204 NIS 26, 202 prise en charge d’Open Directory 70 règles de recherche 38, 150, 152, 153, 154 Voir aussi services de répertoire ordinateurs portables, politiques de recherche 41 Voir aussi comptes mobiles outils de ligne de commande configuration des répertoires 186 mots de passe 130, 134 restauration de serveurs 231, 232 SSH 206 outils en ligne de commande modification de noms abrégés 216 vue d’ensemble 89 ouverture de session accélération 72 autorité pour la configuration Windows 99 comptes mobiles 75 contrôle d’accès 206 dépannage 239 domaines de répertoire 24, 70 image pour un utilisateur 257 instructions aux utilisateurs 98 mots de passe 46 tentatives ayant échoué 211 P PAC (Privilege Attribute Certificate) 78 paquets, données 186 PDC (contrôleur de domaine principal) basculement 34 configuration du serveur 110 Open Directory comme 32, 98, 100, 101 points de partage 25, 148, 149 politique de mot de passe globale 129 politiques de recherche administrateur 39 automatiques 40, 152 définition 31, 35 LDAP 40 modification 154 niveaux 35, 36, 38 319 ordinateurs 40, 41 personnalisées 41, 153 politiques de recherche à deux niveaux 36 ports attributs de service 273 réplication 229 serveur de domaine de répertoire 83 présentations de réseau gérées 25 preset computer, classe d'objets 251 preset computer group, classe d'objets 252 principaux, Kerberos 57 Privilege Attribute Certificate. Voir PAC privilèges, administrateur Voir aussi autorisations privilèges administrateur 86 problèmes. Voir dépannage procédures de configuration. Voir configuration processus de démarrage. Voir démarrage protocoles NTP 240 SMB 31 Voir aussi DHCP; LDAP Protocole SMB (Server Message Block). Voir SMB pwpolicy, outil 130 R RAID (matrice redondante de disques indépendants) 83 RDN (nom distinctif relatif) 28 recherche LDAP 28, 97, 173, 221, 240 utilisateurs et groupes 29, 30 recherche d’utilisateurs et de groupes 29, 30 recherche d’utilisateurs et groupes Voir aussi recherche Redundant Array of Independent Disks. Voir RAID références, serveur 180 règles de recherche authentification 42, 150 contacts 42, 150 DHCP 154 local 154 réglages avancés 150 relais 105, 226, 236 répartition de la charge 68, 74 réplication contrôle de la 210 domaines de répertoire 67 en cascade 69, 72, 74, 105 gestion de la 224, 225, 226, 229 plusieurs bâtiments 74 ports 229 sécurité 84 serveurs subordonnés 78 Voir aussi réplique Open Directory 320 Index réplication en cascade 69, 72, 74, 105 réplique Open Directory et maître 225 attributs 271 authentification 71 basculement 107 configuration 102, 105 contrôle d’accès 102 et un contrôleur de domaine secondaire 34 conversion en relais 226 dépannage 235, 236 ensembles de répliques 72 hébergement 103 introduction 12, 27 et maître 69, 72, 74, 75, 76, 95, 224, 226, 229 mise à jour 82 mise hors service d’une 229 mots de passe 71, 123 NAT 75 promotion d’une 226 synchronisation d’une 225 réseau privé 59, 75, 238 réseau public 75 réseaux configuration 108, 110, 111, 142, 143 connexions client 139, 141, 142, 143 connexions clients 70 connexions de répliques 104 connexions LDAP 108, 177, 178, 179 dépannage 237 présentations gérées 25 privés 75 publics 75 royaume Kerberos 242 resource, classe d'objets 255 ressource, attribut 275 royaumes. Voir Kerberos S SASL (Simple Authentication and Security Layer) 12, 59 Voir aussi serveur de mots de passe Open Directory schémaattributs 275 schémas, domaine de répertoire 27, 79, 187, 245, 246, 247 Voir aussi attributs; classes d’objets; enregistrements Secure SHell. Voir SSH Secure Sockets Layer. Voir SSL sécurité certificats 78, 222 comptes d’utilisateur 47 comptes root 144 coupe-feu 54, 83 désactivatiion de méthodes d’authentification 60, 62 DHCP 154 Kerberos 54, 230 LDAP 44, 123, 171, 182, 219, 221, 222 politiques de recherche 41 pratiques d’excellence 83 réglages du règlement du serveur 219 SASL 12, 59 SSL 64, 142, 222 Voir aussi authentification; mots de passe; autorisations Server Assistant configuration, classe d'objets 254 Serveur de mots de passe. Voir serveur de mots de passe Open Directory serveur de mots de passe Open Directory archivage 230 authentification 32, 45, 59 base de données 61, 63 configuration 95 dépannage 239 politique de mot de passe 50 réplication 71 sécurité 83 serveur pseudo-maître 78 serveurs accès 30, 206 ajout 142 authentification 55, 83 configuration 110, 111, 292 connexions à des royaumes Kerberos 119, 242 contrôle 143 distants 93, 148, 206 hébergement de répliques 103 identification 70 liaison aux 218 modification 143 ports 83 pseudo-maître 78 références 180 règlement de sécurité 219 restauration 231, 232 rupture de la liaison avec les 200 subordonnés 78 suppression 142 Voir aussi Open Directory serveurs distants 93, 148, 206 serveur subordonné 78 service de coupe-feu 83 service de coupe-feu IP 83 service de messagerie 25, 59, 158, 256 service de protocole SMB (Server Message Block) 31, 59 service de répertoire autonome. Voir domaines de répertoire locaux service DHCP (Dynamic Host Configuration Protocol) Index comptes mobiles 155 LDAP 40, 152, 158 option 95 40, 218 sécurité 154 service DNS (Domain Name System) attributs 273, 274 configuration d’Open Directory 95, 115 Kerberos 95, 113, 115, 236 utilisateurs Windows 99 service LDAP (Lightweight Directory Access Protocol) accès direct au 152 accès en lecture seule 180 activation 156, 158 Active Directory 201 authentification 64, 135, 162, 179, 181, 182 conditions requises pour les administrateurs 99 configuration 104, 159, 160, 163, 165, 167, 169 définition 26 délais 178, 221 dépannage 237, 240 désactivation 156, 158 DHCP 40, 152, 158 emplacement de la base de données 220 Kerberos 79 Mac OS X 184 Mail 158 NetInfo, migration à partir de 33 NetInfo, migration depuis 138 Open Directory 11, 246, 247 outils de ligne de commande 186, 216 politiques de recherche 40 privilèges d’utilisateur 86, 180, 184 recherche 28, 97, 173, 221, 240 références de serveur 180 réglages avancés 156, 157 réglages de connexion 108, 177, 178, 179 réplication 71 schémas 246, 247 sécurité 44, 123, 171, 182, 219, 221, 222 structure 28 Voir aussi attributs; mappages; classes d’objets; liaison sécurisée services de fichiers authentification 59 NFS 148, 149, 150 points de partage 25, 148, 149 SMB 31, 59 services de répertoire accès 155, 156, 157 administrateurs de 19 attributs 175 avantages 19 configuration 147, 148 disponibilité de Kerberos 114 mappage de 174, 182 321 organisation des 20 problèmes de connexion 237 réglages avancés 147, 155, 156 Voir aussi Active Directory; domaines, répertoire; Open Directory services de répertoires planification 39 services réseau adresses IP 95, 142 NAT 75 service de coupe-feu IP 83 VPN 59, 75, 238 Voir aussi DHCP; DNS Simple Authentication and Security Layer. Voir SASL slapconfig, outil 231, 232 SSH (secure SHell host) 84, 103, 206 ssh, outil 206 SSL (Secure Sockets Layer) 64, 142, 222 synchronisation des horloges 58, 71, 113, 240 T Time-to-Live (TTL), attribut 256 TTL, attribut. Voir durée de vie, attribut de type d'enregistrement Config 285 type d'enregistrement de montage 282, 302 type d'enregistrement People 286 type d'enregistrement PresetComputerLists 287, 288 type d'enregistrement PresetGroups 288 type d'enregistrement PresetUsers 289 type d'enregistrement Printers 290, 291 type de fiche Config 182 type de fiche de montage 148, 149, 150 U UID (identifiants d’utilisateur) 78, 96, 186, 194 UNIX fichiers de configuration 21, 23 322 Index mappage des identifiants de groupe 195 mots de passe cryptés 127 problèmes de sécurité 47 URL (Uniform Resource Locators) 270 user, classes d’objets 248 users classes d’objets 248, 253 utilisateur préréglé, attribut 272 utilisateurs authentification 44, 49, 51, 116 autorisation inter-domaines 78 autorisations 85, 180, 184 avantages des services de répertoire 19 contrôle de l’accès 186, 205, 206, 238 dépann 239 dépannage en matière d’authentification 238, 239, 240, 242 mappages 183, 194, 277, 289 migration des 138 ouverture de session 98, 257 stockage des préférences 25 types d'enregistrement 289 utilisations des domaines de répertoire 24, 29, 30 Windows 31, 32, 99 Voir aussi clients; dossiers de départ; comptes d'utilisateur; Gestionnaire de groupe de travail utilisation des ressources 25 Utilitaire de répertoire 79, 88, 139, 147, 148 V VPN (virtual private network) 59, 75, 238 W Windows 2000, configuration 101 X XML plist, attribut 270