Apple Mac OS X Server 10.5 Leopard Manuel du propriétaire

Mac OS X Server
Administration d’Open Directory
Pour Leopard version 10.5
 Apple Inc.
© 2007 Apple Inc. Tous droits réservés.
Le propriétaire ou l’utilisateur autorisé d’un exemplaire
valide du logiciel Mac OS X Server peut reproduire la
présente publication à des fins d’apprentissage dudit
logiciel. La présente publication ne peut être reproduite
ou transmise en totalité ou en partie à des fins commerciales, telles que la vente de copies ou la prestation d’un
service d’assistance payant.
Tous les efforts nécessaires ont été mis en œuvre pour
que les informations contenues dans ce manuel soient
les plus exactes possibles. Apple Inc. n’est pas responsable des erreurs d’écriture et d’impression.
Apple
1 Infinite Loop
Cupertino CA 95014-2084
www.apple.com
Le logo Apple est une marque d’Apple Inc., déposée
*aux États-Unis et dans d’autres pays. En l’absence
du consentement écrit d’Apple, l’utilisation à des fins
commerciales de ce logo via le clavier (Option + 1)
pourra constituer un acte de contrefaçon et/ou de
concurrence déloyale.
Apple, le logo Apple, Mac, Macintosh , Xgrid et Xserve
sont des marques d’Apple Inc. déposées aux États-Unis
et dans d’autres pays. Finder est une marque d’Apple Inc.
Adobe et PostScript sont des marques d’Adobe Systems
Incorporated.
UNIX est une marque déposée de The Open Group.
Les autres noms de sociétés et de produits mentionnés
ici sont des marques de leurs détenteurs respectifs. La
mention de produits tiers n’est effectuée qu’à des fins
informatives et ne constitue en aucun cas une approbation ni une recommandation. Apple n’assume aucune
responsabilité vis-à-vis des performances ou de l’utilisation de ces produits.
F019-0935/01-09-2007
1
Table des matières
Préface
11
12
13
14
15
15
17
17
18
18
À propos de ce guide
Nouveautés de la version 10.5
Contenu de ce guide
Utilisation de ce guide
Utilisation de l’aide à l’écran
Guides d’administration de Mac OS X Server
Visualisation de guides PDF à l’écran
Impression des guides PDF
Obtenir des mises à jour de documentation
Pour obtenir des informations supplémentaires
Chapitre 1
19
19
20
21
21
23
24
26
26
28
29
29
30
31
31
32
34
Services de répertoire avec Open Directory
Avantages de l’utilisation de services de répertoire
Services et domaines de répertoire
Point de vue historique
Consolidation des données
Répartition des données
Utilisation des données des répertoires
Accès aux services de répertoires
Au sein d’un domaine de répertoire
Structure des informations de répertoire LDAP
Domaines de répertoire locaux et partagés
À propos du domaine de répertoire local
À propos des domaines de répertoire partagés
Données partagées dans des domaines de répertoire existants
Services SMB et Open Directory
Open Directory comme contrôleur de domaine principal
Open Directory comme contrôleur de domaine secondaire
Chapitre 2
35
35
36
36
Politiques de recherche Open Directory
Niveaux de politique de recherche
Politique de recherche dans le domaine de répertoire local
Politiques de recherche à deux niveaux
3
Chapitre 3
Chapitre 4
4
38
40
41
42
Politiques de recherche multiniveaux
Politiques de recherche automatiques
Politiques de recherche personnalisées
Politiques de recherche d’authentification et de contacts
43
44
44
45
45
46
46
47
48
50
51
51
53
54
54
55
55
55
56
56
57
57
59
60
62
63
64
Authentification Open Directory
Types de mots de passe
Authentification et autorisation
Mots de passe Open Directory
Mots de passe shadow
Mots de passe cryptés
Fourniture d’authentification sécurisée aux utilisateurs Windows
Attaques hors ligne sur des mots de passe
Détermination de l’option d’authentification à utiliser
Politiques de mot de passe
Authentification par signature unique
Authentification Kerberos
Surmonter les obstacles du déploiement de Kerberos
Expérience en matière de signature unique
Authentification sécurisée
Prêt à aller au-delà des mots de passe
Authentification multiplateforme
Authentification centralisée
Services kerbérisés
Configuration de services pour Kerberos après la mise à niveau
Principaux et royaumes Kerberos
Processus d’authentification Kerberos
Méthodes d’authentification par serveur de mots de passe Open Directory et par mot
de passe shadow
Désactivation des méthodes d’authentification Open Directory
Désactivation des méthodes d’authentification de mots de passe shadow
Contenu de la base de données du serveur de mots de passe Open Directory
Authentification par liaison LDAP
65
66
69
70
71
72
72
74
74
Outils de planification et de gestion Open Directory
Directives générales de planification
Évaluation des besoins en matière de répertoires et d’authentification
Identification de serveurs pour l’hébergement de domaines partagés
Duplication de services Open Directory
Ensemble de répliques
Réplication en cascade
Planification de la mise à niveau de plusieurs répliques Open Directory
Répartition de la charge dans les petits, moyens et grands environnements
Table des matières
74
75
76
76
78
79
79
80
82
83
85
85
86
87
88
88
89
Chapitre 5
91
91
93
93
94
94
95
98
98
100
101
101
102
105
105
106
107
108
110
111
113
115
116
Réplication dans un campus comprenant plusieurs bâtiments
Utilisation d’un maître, d’une réplique ou d’un relais Open Directory avec NAT
Compatibilité entre maître et répliques Open Directory
Mélange de services de maîtres et répliques Active Directory et Open Directory
Intégration avec des domaines de répertoire existants
Intégration sans modifications au schéma
Intégration avec modifications au schéma
Évitement de conflits Kerberos avec plusieurs répertoires
Amélioration des performances et de la redondance
Sécurité d’Open Directory
Listes de contrôle d’accès à un service (SACL)
Administration par niveaux
Outils pour la gestion des services de répertoire Open Directory
Admin Serveur
Utilitaire de répertoire
Gestionnaire de groupe de travail
Utilitaires de ligne de commande
Configuration des services Open Directory
Vue d’ensemble de la configuration
Avant de commencer
Gestion d’Open Directory sur un serveur distant
Activation d’Open Directory
Configuration d’un service de répertoire autonome
Configuration d’un maître Open Directory
Explication de la façon d’ouvrir une session
Configuration d’un contrôleur de domaine principal
Configuration de Windows Vista pour l’ouverture de session de domaine
Configuration de Windows XP pour l’ouverture de session de domaine
Configuration de Windows 2000 pour l’ouverture de session de domaine
Configuration d’une réplique Open Directory
Création de plusieurs répliques d’un maître Open Directory
Configuration de relais Open Directory pour la réplication en cascade
Configuration d’un serveur comme contrôleur de domaine secondaire
Configuration du basculement Open Directory
Configuration d’une connexion à un serveur de répertoire
Configuration d’un serveur comme membre d’un domaine de contrôleur de
domaine principal Mac OS X Server
Configuration d’un serveur comme membre d’un domaine Active Directory
Configuration de l’authentification Kerberos par signature unique
Configuration d’un royaume Kerberos Open Directory
Démarrage de Kerberos après la configuration d’un maître Open Directory
Table des matières
5
117
119
Chapitre 6
121
122
123
124
125
125
127
128
129
129
130
132
134
135
135
136
137
Gestion de l’authentification d’utilisateur
Composition d’un mot de passe
Modification du mot de passe d’un utilisateur
Réinitialisation des mots de passe de plusieurs utilisateurs
Modification du type de mot de passe d’un utilisateur
Choix du type de mot de passe Open Directory
Changement du type de mot en Mot de passe crypté
Choix du type de mot de passe shadow
Activation de l’authentification Kerberos par signature unique pour un utilisateur
Changement de politique de mot de passe globale
Configuration des politiques de mot de passe d’utilisateurs individuels
Sélection de méthodes d’authentification pour des utilisateurs de mots de passe
shadow
Sélection de méthodes d’authentification pour des utilisateurs de mots de passe
Open Directory
Attribution de droits d’administrateur pour l’authentification Open Directory
Synchronisation des mots de passe d’administrateur principaux
Activation de l’authentification par liaison LDAP pour un utilisateur
Configuration de mots de passe d’utilisateurs exportés ou importés
Migration de mots de passe à partir de Mac OS X Server 10.1 ou antérieur
Chapitre 7
139
139
139
140
141
142
142
143
143
143
144
144
Gestion des clients de répertoire
Connexion de clients aux serveurs de répertoire
À propos des connexions aux serveurs de répertoire
Configuration automatique des clients
Ajout d’une connexion à un serveur Active Directory
Ajout d’une connexion à un serveur Open Directory
Suppression d’une connexion à un serveur de répertoire
Modification d’une connexion à un serveur de répertoire
Contrôle des connexions aux serveurs de répertoire
Gestion du compte d’utilisateur root
Activation du compte d’utilisateur root
Modification du mot de passe du compte d’utilisateur root
Chapitre 8
147
147
148
148
Réglages avancés des clients de répertoire
À propos des réglages avancés des services de répertoire
Configuration de l’Utilitaire de répertoire sur un serveur distant
Configuration de fiches de montage pour le domaine de répertoire local
d’un ordinateur
133
6
Délégation d’autorité pour connecter des serveurs à un royaume
Kerberos Open Directory
Connecter un serveur à un royaume Kerberos
Table des matières
149
150
150
150
152
153
154
154
154
155
156
156
157
158
158
159
160
163
165
167
169
170
171
173
176
177
178
178
179
179
180
180
181
181
182
183
184
184
185
186
188
191
192
Ajout d’une fiche de montage au domaine de répertoire local
Suppression d’une fiche de montage du domaine de répertoire local
Modification d’une fiche de montage dans le domaine de répertoire local
Utilisation des réglages avancés des règles de recherche
Définition de politiques de recherche automatiques
Définition de politiques de recherche personnalisées
Définition de politiques de recherche de répertoire local
Attente de l’entrée en vigueur d’une modification de la politique de recherche
Protection des ordinateurs contre un serveur DHCP malveillant
Utilisation des réglages avancés des services de répertoire
Activation ou désactivation du service Active Directory
Activation ou désactivation des services de répertoires LDAP
Utilisation des réglages avancés des services LDAP
Accès à des répertoires LDAP dans Mail et Carnet d’adresses
Activation ou désactivation d’un répertoire LDAP fourni via DHCP
Affichage ou masquage de configurations pour serveurs LDAP
Configuration de l’accès à un répertoire LDAP
Configuration manuelle de l’accès à un répertoire LDAP
Modification d’une configuration pour l’accès à un répertoire LDAP
Duplication d’une configuration pour l’accès à un répertoire LDAP
Suppression d’une configuration pour l’accès à un répertoire LDAP
Modification des réglages de connexion d’un répertoire LDAP
Modification de la politique de sécurité pour une connexion LDAP
Configuration des recherches et mappages LDAP
Configuration de la liaison sécurisée pour un annuaire LDAP
Arrêt de la liaison sécurisée avec un annuaire LDAP
Modification du délai d’ouverture/de fermeture pour une connexion LDAP
Modification du délai de requête pour une connexion LDAP
Modification du délai de tentative de reconnexion pour une connexion LDAP
Modification du délai d’inactivité pour une connexion LDAP
Forçage de l’accès LDAPv2 en lecture seule
Ignorance des références de serveur LDAP
Authentification d’une connexion LDAP
Modification du mot de passe utilisé pour authentifier une connexion LDAP
Mappage d’attributs d’enregistrement de configuration pour répertoires LDAP
Modification du mappage RFC 2307 pour activer la création d’utilisateurs
Préparation d’un répertoire LDAP en lecture seule pour Mac OS X
Remplissage d’annuaires LDAP avec des données pour Mac OS X
Utilisation des réglages avancés des services Active Directory
À propos de l’accès à Active Directory
Configuration de l’accès à un domaine Active Directory
Configuration de comptes d’utilisateur mobiles dans Active Directory
Configuration de dossiers de départ pour des comptes d’utilisateur Active Directory
Table des matières
7
193
194
195
196
197
198
199
200
200
201
202
203
204
Chapitre 9
205
205
206
206
207
208
209
210
210
211
211
212
212
213
213
214
215
216
217
217
218
219
220
221
221
8
Configuration d’un shell UNIX pour des comptes d’utilisateur Active Directory
Association de l’UID à un attribut Active Directory
Mappage de l’identifiant de groupe principal vers un attribut Active Directory
Mappage de l’identifiant de groupe des comptes de groupe vers un attribut Active
Directory
Spécification d’un serveur Active Directory préféré
Modification des groupes Active Directory autorisés à administrer l’ordinateur
Contrôle de l’authentification à partir de tous les domaines de la forêt
Active Directory
Rupture de la liaison avec le serveur Active Directory
Modification de comptes d’utilisateur et d’autres enregistrements dans Active Directory
Configuration de l’accès LDAP aux domaines Active Directory
Définition des réglages NIS
Définition des réglages de fichier de configuration BSD
Configuration de données dans des fichiers de configuration BSD
Maintenance des services Open Directory
Contrôle de l’accès aux serveurs et services Open Directory
Contrôle de l’accès à la fenêtre d’ouverture de session d’un serveur
Contrôle de l’accès au service SSH
Configuration du contrôle d’accès à un service
Configuration de privilèges de fiche
Contrôle d’Open Directory
Contrôle de l’état d’un serveur Open Directory
Contrôle des répliques et des relais d’un maître Open Directory
Affichage des états et des historiques Open Directory
Contrôle de l’authentification Open Directory
Affichage et modification des données de répertoire
Affichage de l’Inspecteur de répertoire
Masquage de l’inspecteur de répertoire
Définition de contrôles d’accès aux répertoires (DAC, Directory Access Controls)
Suppression d’enregistrements
Suppression d’utilisateurs ou d’ordinateurs à l’aide de l’Inspecteur ou de la ligne de
commande
Modification du nom abrégé d’un utilisateur
Importation d’enregistrements de tous types
Définition des options d’un serveur Open Directory
Configuration d’une politique de liaison pour un serveur Open Directory
Configuration d’un règlement de sécurité pour un serveur Open Directory
Modification de l’emplacement d’une base de données LDAP
Limitation des résultats de la recherche pour le service LDAP
Définition du délai de recherche autorisé pour le service LDAP
Table des matières
222
222
224
224
225
226
226
229
230
231
Chapitre 10
235
235
235
236
236
239
240
242
242
243
Résolution de problèmes liés à Open Directory
Résolution de problèmes liés aux maîtres et aux répliques Open Directory
Si Kerberos est arrêté sur un maître ou une réplique Open Directory
Si vous ne pouvez pas créer une réplique Open Directory
Si vous ne pouvez pas créer un maître ou une réplique Open Directory à partir d’un
fichier de configuration
Si vous ne pouvez pas connecter une réplique à un relais
Si vous ne pouvez pas connecter une réplique Open Directory à un Open Directory
qui est le subordonné d’un serveur Active Directory
Résolution de problèmes des connexion à des répertoires
Si un ralentissement se produit lors du démarrage
Résolution des problèmes d’authentification
Si vous ne pouvez pas modifier le mot de passe Open Directory d’un utilisateur
Si un utilisateur ne peut pas accéder à certains services
Si un utilisateur ne parvient pas à s’authentifier pour le service VPN
Si vous ne pouvez pas changer le type de mot de passe d’un utilisateur en type
Open Directory
Si les utilisateurs exploitant un serveur de mots de passe ne peuvent pas ouvrir de
session
Si les utilisateurs ne peuvent pas ouvrir de session sous un compte issu d’un
domaine de répertoire partagé
Si vous ne pouvez pas ouvrir une session comme utilisateur Active Directory
Si des utilisateurs ne peuvent pas s’authentifier par Kerberos et la signature unique
Si les utilisateurs n’arrivent pas à modifier leur mot de passe
Si vous ne pouvez pas connecter un serveur à un royaume Kerberos Open Directory
Si vous devez réinitialiser un mot de passe d’administrateur
245
246
247
Données de répertoire Mac OS X
Extensions Open Directory au schéma LDAP
Classes d’objets du schéma LDAP Open Directory
236
237
237
237
237
237
238
238
238
239
239
Annexe
Configuration de SSL pour le service LDAP
Création d’une configuration SSL personnalisée pour LDAP
Gestion de la réplication Open Directory
Planification de la réplication d’un maître Open Directory ou d’un contrôleur de
domaine principal (PDC)
Synchronisation d’une réplique Open Directory ou d’un contrôleur de domaine secondaire à la demande
Conversion d’une réplique Open Directory en un relais
Promotion d’une réplique Open Directory
Mise hors service d’une réplique Open Directory
Archivage d’un maître Open Directory
Restauration d’un maître Open Directory
Table des matières
9
256
276
277
280
282
282
284
285
286
287
288
289
290
292
292
293
293
299
300
301
302
303
10
Glossaire
305
Index
313
Attributs du schéma LDAP Open Directory
Mappage de types d’enregistrements et d’attributs standard vers LDAP et
Active Directory
Mappages d’utilisateurs (Users)
Mappages de groupes (Groups)
Mappages de montages (Mounts)
Mappages d’ordinateurs (Computers)
Mappages de listes d’ordinateurs (ComputerLists)
Mappages de configurations (Config)
Mappages de personnes (People)
Mappages de listes d’ordinateurs préréglés (PresetComputerLists)
Mappages de groupes préréglés (PresetGroups)
Mappages d’utilisateurs préréglés (PresetUsers)
Mappages d’imprimantes (Printers)
Mappages de configurations automatiques de serveur (AutoServerSetup)
Mappages d’emplacements (Locations)
types d’enregistrements et attributs Open Directory standard
Attributs standard dans les enregistrements d’utilisateurs
Attributs standard dans les enregistrements de groupes
Attributs standard dans les enregistrements d’ordinateurs
Attributs standard dans les enregistrements de groupes d’ordinateurs
Attributs standard dans les enregistrements de montages
Attributs standard dans les enregistrements de configurations
Table des matières
Préface
À propos de ce guide
Ce guide décrit les services de répertoire et d’authentification que vous pouvez configurer à l’aide de Mac OS X Server.
Il explique également comment configurer les ordinateurs
clients Mac OS X Server et Mac OS X pour les services de
répertoire.
Open Directory de Mac OS X Server fournit des services de répertoire et d’authentification
pour réseaux mixtes d’ordinateurs Mac OS X, Windows et UNIX.
Open Directory utilise OpenLDAP, l’implémentation open source du protocole
Lightweight Directory Access Protocol (LDAP), pour fournir des services de répertoire.
OpenLDAP est compatible avec d’autres serveurs LDAP basés sur des standards et
peut être intégré à des services propriétaires comme, par exemple, Active Directory
de Microsoft et eDirectory de Novell.
Pour la base de données LDAP principale, Open Directory utilise la base de données
Berkeley open source. C’est une base de données très extensible pour l’indexation
à hautes performances de centaines de milliers de comptes d’utilisateur et d’autres
enregistrements.
Le module externe Open Directory permet à un client Mac OS X ou Mac OS X Server
de lire et d’écrire des informations faisant autorité sur les ressources d’utilisateur et de
réseau provenant de n’importe quel serveur LDAP, même Active Directory, le système
propriétaire de Microsoft. Le serveur peut aussi accéder à des fiches se trouvant dans
des répertoires hérités tels que NIS et des fichiers de configuration BSD locaux (/etc).
11
Open Directory fournit aussi un service d’authentification. Il peut stocker et valider en
toute sécurité les mots de passe des utilisateurs désireux d’ouvrir une session sur des
ordinateurs clients de votre réseau ou d’utiliser d’autres ressources réseau qui nécessitent une authentification. Open Directory permet également d’appliquer certaines
politiques concernant notamment l’expiration des mots de passe ou leur longueur
minimale. Open Directory peut en outre authentifier des utilisateurs d’ordinateurs
Windows pour l’ouverture de session sur des domaines, le service de fichiers et d’autres
services Windows (services SMB) fournis par Mac OS X Server.
Un centre de distribution de clés (KDC) Kerberos MIT est entièrement intégré à Open
Directory et fournit une authentification sécurisée qui prend en charge la signature
unique. Cela signifie que les utilisateurs ne doivent s’authentifier qu’une seule fois,
avec une seule et unique paire nom d’utilisateur/mot de passe, pour accéder à l’ensemble des services réseau pour lesquels Kerberos a été activé.
Pour les services qui n’acceptent pas l’authentification Kerberos, le service Secure
Authentication and Service Layer (SASL) intégré négocie le mécanisme d’authentification le plus sûr possible.
De plus, la réplication de répertoires et d’authentification optimise la disponibilité et
l’extensibilité. En créant des répliques des serveurs Open Directory, vous pouvez aisément maintenir des serveurs de basculement et des serveurs distants pour l’interaction
rapide avec les clients sur des réseaux distribués.
Nouveautés de la version 10.5
Mac OS X Server 10.5 offre les améliorations majeures suivantes dans Open Directory :
 Configuration simplifiée de l’accès LDAPv3 : l’Utilitaire de répertoire vous aide à
configurer une connexion à un annuaire LDAP.
 Interface d’Admin Serveur améliorée : Admin Serveur dispose d’une interface plus
ergonomique.
 Autorisation améliorée : vous pouvez relier un serveur Open Directory Mac OS X à
un serveur Active Directory et utiliser une autorisation couvrant plusieurs domaines.
 Serveur LDAP amélioré : Mac OS X Server 10.5 utilise OpenLDAP 2.3.x et Berkeley
DB 4.2.52.
 Domaine local amélioré : Mac OS X utilise un domaine de répertoire local pour
l’authentification de l’ordinateur local.
 Réplication améliorée : vous pouvez avoir une réplication à deux niveaux d’un
même maître (également appelée réplication en cascade). Cela vous permet d’avoir
jusqu’à 1 056 répliques d’un même maître Open Directory et des ensembles de répliques ou une sélection de réplique plus efficaces pour le serveur de mots de passe,
LDAP et Kerberos.
12
Préface À propos de ce guide
 Administration améliorée : vous pouvez bénéficier d’une plus grande extensibilité
en matière d’administration des domaines de répertoire en faisant appel à une administration à plusieurs niveaux.
 Meilleure prise en charge des applications : vous pouvez utiliser Open Directory
avec des applications telles qu’Apple Wiki.
Contenu de ce guide
Ce guide comprend les chapitres suivants :
 Le chapitre 1, « Services de répertoire avec Open Directory » présente les domaines
de répertoire, la façon dont ils sont organisés et utilisés.
 Le chapitre 2, « Politiques de recherche Open Directory » présente les politiques de
recherche pour un ou plusieurs domaines de répertoire et décrit les politiques de
recherche automatisées, personnalisées ou locales uniquement.
 Le chapitre 3, « Authentification Open Directory » décrit l’authentification
Open Directory, les mots de passe shadow et cryptés, Kerberos, la liaison LDAP
et la signature unique.
 Le chapitre 4, « Outils de planification et de gestion Open Directory » vous aide à
déterminer vos besoins en matière de domaines de répertoire, à estimer vos exigences en matière de répertoires et d’authentification, à identifier les serveurs pour
l’hébergement des domaines partagés, à améliorer les performances et la redondance, à gérer la réplication dans un campus multiliaison et à sécuriser vos services
Open Directory. Ce chapitre présente également les outils de gestion des services
Open Directory.
 Le chapitre 5, « Configuration des services Open Directory » explique comment configurer un serveur Open Directory et décrit les configurations et les rôles que vous
pouvez définir. Ce chapitre vous explique également comment définir les options du
service LDAP d’un maître ou d’une réplique Open Directory et comment configurer
l’authentification Kerberos par signature unique sur un maître Open Directory.
 Le chapitre 6, « Gestion de l’authentification d’utilisateur » montre comment définir
des politiques de mot de passe, modifier le type de mot de passe d’un utilisateur,
attribuer des droits d’administrateur pour l’authentification Open Directory, réinitialiser les mots de passe de comptes d’utilisateurs importés et faire migrer des mots de
passe vers l’authentification Open Directory.
 Le chapitre 7, « Gestion des clients de répertoire » explique comment utiliser
l’Utilitaire de répertoire pour configurer et gérer la manière dont les ordinateurs
Mac OS X accèdent aux services de répertoire.
 Le Chapitre 8, « Réglages avancés des clients de répertoire », explique comment utiliser l’application Utilitaire de répertoire pour activer, désactiver et configurer les protocoles de détection de services. Il explique également comment configurer les règles
de recherche d’authentification et de contacts, ainsi que l’accès aux domaines de
répertoire, notamment LDAP, Active Directory, NIS et les fichiers de configuration BSD.
Préface À propos de ce guide
13
 Le chapitre 9, « Maintenance des services Open Directory » explique comment contrôler les services Open Directory, visualiser et modifier les données de répertoire à
l’aide de l’Inspecteur, archiver un maître Open Directory et effectuer d’autres opérations de maintenance de répertoire.
 Le Chapitre 10, « Résolution de problèmes liés à Open Directory », décrit les problèmes courants et fournit des informations sur la marche à suivre en cas de problème
lors de l’utilisation d’Open Directory.
En outre, l’annexe, « Données de répertoire Mac OS X » présente la liste des extensions
Open Directory au schéma LDAP et spécifie les types de fiches et attributs standard de
Mac OS X. Enfin, le glossaire définit les termes que vous rencontrerez lors de la lecture
de ce guide.
Remarque : étant donné qu’Apple publie régulièrement de nouvelles versions et mises
à jour de ses logiciels, les illustrations de ce document peuvent être différentes de
celles qui s’affichent à l’écran.
Utilisation de ce guide
Les chapitres de ce guide sont classés dans l’ordre correspondant probablement le
mieux à vos besoins de configuration et de gestion d’Open Directory sur votre serveur.
 Lisez le chapitre 1 jusqu’au chapitre 3 pour vous familiariser avec les concepts
d’Open Directory : services de répertoires, politiques de recherche et authentification.
 Lisez le chapitre 4 lorsque vous êtes prêt à planifier les services de répertoires et
l’authentification des mots de passe pour votre réseau.
 Après cette étape de planification, utilisez les instructions du chapitre 5 pour
configurer les services Open Directory.
 Si vous devez définir des politiques de mot de passe ou modifier les réglages de mot
de passe d’un compte d’utilisateur, reportez-vous aux instructions du chapitre 6.
 Pour configurer ou modifier la façon dont un ordinateur Mac OS X ou Mac OS X Server
accède aux domaines de répertoire, suivez les instructions du chapitre 7.
 Pour configurer les réglages avancés des utilisateurs à l’aide de l’Utilitaire de
répertoire, reportez-vous au Chapitre 8.
 Pour la maintenance courante des services de répertoires et d’authentification,
consultez le chapitre 9.
 Si vous rencontrez des problèmes avec Open Directory, reportez-vous au chapitre 10
pour connaître les solutions possibles.
14
Préface À propos de ce guide
Utilisation de l’aide à l’écran
Vous pouvez obtenir des instructions à l’écran dans Visualisation Aide pendant que
vous utilisez Leopard Server. L’aide peut être affichée sur un serveur ou sur un ordinateur administrateur (Un ordinateur administrateur est un ordinateur Mac OS X sur
lequel est installé le logiciel d’administration de serveur Leopard Server.)
Pour obtenir de l’aide dans le cas d’une configuration avancée de Leopard Server :
m Ouvrez Admin Serveur ou Gestionnaire de groupe de travail, puis :
 Utilisez le menu Aide pour rechercher une tâche à exécuter.
 Choisissez Aide > Aide Admin Serveur ou Aide > Aide Gestionnaire de groupe de
travail avant d’explorer les rubriques d’aide et d’effectuer des recherches.
L’aide à l’écran contient des instructions issues du guide Administration du serveur, ainsi
que d’autres guides d’administration avancée décrits dans « Guides d’administration de
Mac OS X Server » à la page 15.
Pour visualiser les rubriques d’aide les plus récentes concernant les serveurs :
m Assurez-vous que le serveur ou l’ordinateur administrateur est connecté à Internet
pendant que vous consultez l’Aide.
Visualisation Aide extrait automatiquement les rubriques d’aide les plus récentes
depuis Internet et les stocke en mémoire cache. Lorsque vous n’êtes pas connecté
à Internet, Visualisation Aide affiche les rubriques d’aide mises en cache.
Guides d’administration de Mac OS X Server
Premiers contacts traite de l’installation et de la configuration des configurations standard et de groupe de travail de Mac OS X Server. Pour les configurations avancées,
consultez Administration du serveur, qui regroupe la planification, l’installation, la configuration et l’administration du serveur en général. Une série de guides supplémentaires, énumérés ci-dessous, décrit la planification, la configuration, ainsi que la gestion
avancée des services individuels. Vous pouvez obtenir ces guides au format PDF sur
le site web de documentation de Mac OS X Server :
www.apple.com/fr/server/documentation
Ce guide ...
explique comment :
Premiers contacts et
Feuille d’opération d’installation
et de configuration
Installer Mac OS X Server et le configurer pour la première fois.
Administration de ligne
de commande
Installer, configurer et gérer Mac OS X Server à l’aide de fichiers de
configuration et d’outils de ligne de commande UNIX.
Administration des services
de fichier
Partager certains volumes ou dossiers de serveur entre les clients
du serveur, à l’aide des protocoles AFP, NFS, FTP et SMB.
Administration du service iCal
Configurer et gérer le service de calendrier partagé d’iCal.
Préface À propos de ce guide
15
Ce guide ...
explique comment :
Administration du service iChat
Configurer et gérer le service de messagerie instantanée d’iChat.
Configuration de la sécurité
de Mac OS X
Renforcer la sécurité des ordinateurs (clients) Mac OS X, comme
l’exigent les entreprises et les organismes publics.
Configuration de la sécurité
de Mac OS X Server
Renforcer la sécurité de Mac OS X Server et de l’ordinateur
sur lequel il est installé, comme l’exigent les entreprises et
les organismes publics.
Administration du service
de messagerie
Configurer et gérer les services de messagerie IMAP, POP et SMTP
sur le serveur.
Administration des services
de réseau
Installer, configurer et administrer les services DHCP, DNS, VPN, NTP,
coupe-feu IP, NAT et RADIUS sur le serveur.
Administration d’Open Directory
Configurer et gérer les services de répertoire et d’authentification
et configurer les clients autorisés à accéder aux services de répertoire.
Administration de Podcast Producer Configurer et gérer le service Podcast Producer destiné à enregistrer, traiter et distribuer des podcasts.
16
Administration du service
d’impression
Héberger les imprimantes partagées et gérer les files d’attente et
travaux d’impression associés.
Administration de QuickTime
Streaming et Broadcasting
Capturer et encoder du contenu QuickTime. Configurer et gérer
le service QuickTime Streaming en vue de diffuser des données
multimédias en temps réel ou à la demande.
Administration du serveur
Réaliser l’installation et la configuration avancées du logiciel serveur et gérer des options qui s’appliquent à plusieurs services ou à
l’intégralité du serveur.
Administration de Mise à jour
de logiciels et d’Imagerie système
Utiliser NetBoot, NetInstall et Mise à jour de logiciels pour automatiser la gestion du système d’exploitation et des autres logiciels
utilisés par les ordinateurs clients.
Mise à niveau et migration
Utiliser des réglages de données et de services correspondant à
une version antérieure de Mac OS X Server ou de Windows NT.
Gestion des utilisateurs
Créer et gérer des comptes utilisateur, des groupes et des ordinateurs. Configurer les préférences gérées des clients Mac OS X.
Administration des technologies
web
Configurer et gérer des technologies web telles que les blogs,
WebMail, wiki, MySQL, PHP, Ruby on Rails (RoR) et WebDAV.
Informatique à haute performance et administration Xgrid
Configurer et gérer des grappes de calcul de systèmes Xserve et
d’ordinateurs Mac.
Glossaire Mac OS X Server
Savoir à quoi correspondent les termes utilisés pour les produits de
serveur et les produits de stockage.
Préface À propos de ce guide
Visualisation de guides PDF à l’écran
Lorsque vous lisez la version PDF d’un guide à l’écran, vous pouvez :
 Afficher les signets pour visualiser le plan du guide et cliquer sur un signet pour
accéder directement à la section correspondante.
 Rechercher un mot ou une phrase pour afficher une liste des endroits où ce mot ou
cette phrase apparaît dans le document. Cliquez sur un de ces endroits pour afficher
la page correspondante.
 Cliquer sur une référence croisée pour accéder directement à la rubrique référencée.
Cliquez sur un lien pour visiter le site web dans votre navigateur.
Impression des guides PDF
Si vous devez imprimer un guide, procédez comme suit pour économiser du papier et
de l’encre :
 Économisez de l’encre ou du toner en évitant d’imprimer la couverture.
 Si vous disposez d’une imprimante couleur, économisez de l’encre en choisissant une
option d’impression en niveaux de gris ou en noir et blanc dans une des sections de
la zone de dialogue Imprimer.
 Réduisez le volume du document imprimé et économisez du papier en imprimant
plusieurs pages par feuille. Dans la zone de dialogue Imprimer, réglez Échelle sur 115 %
(155 % pour Premiers contacts). Choisissez ensuite Mise en page dans le menu local
sans titre. Si votre imprimante prend en charge l’impression recto verso (duplex),
sélectionnez l’une des options proposées. Sinon, choisissez 2 dans le menu local
Pages par feuille et, si vous le souhaitez, Simple extra fine dans le menu Bordure.
(Si vous utilisez Mac OS X 10.4 ou antérieur, le réglage Échelle se trouve dans la zone
de dialogue Format d’impression et les réglages relatifs à la mise en page dans la zone
de dialogue Imprimer.)
Il peut s’avérer utile d’agrandir les pages imprimées même si vous n’imprimez pas en
recto verso, car la taille des pages PDF est inférieure à celle du papier d’imprimante
standard. Dans la zone de dialogue Imprimer ou dans la zone de dialogue Format
d’impression, essayez de régler Échelle sur 115 % (155 % pour Premiers contacts qui
possède des pages de la taille d’un CD).
Préface À propos de ce guide
17
Obtenir des mises à jour de documentation
Apple publie régulièrement des pages d’aide révisées ainsi que de nouvelles éditions
de ses guides. Certaines pages d’aide révisées sont des mises à jour des dernières
éditions de ces guides.
 Pour afficher les nouvelles rubriques d’aide à l’écran d’une application de serveur,
assurez-vous que votre serveur ou votre ordinateur administrateur est connecté à
Internet et cliquez sur le lien des dernières rubriques d’aide ou de mise à jour dans
la page d’aide principale de l’application.
 Pour télécharger les guides les plus récents en format PDF, rendez-vous sur le site
web de documentation de Mac OS X Server :
www.apple.com/fr/server/documentation/
Pour obtenir des informations supplémentaires
Pour en savoir plus, consultez les ressources suivantes :
 Documents Ouvrez-moi : mises à jour importantes et informations spécifiques.
Recherchez-les sur les disques du serveur.
 Site web de Mac OS X Server (www.apple.com/fr/server/macosx) : passerelle vers des
informations détaillées sur de nombreux produits et technologies.
 Site web de service et d’assistance Mac OS X Server (www.apple.com/fr/support/
macosxserver) : accès à des centaines d’articles du service d’assistance d’Apple.
 Site web de service et d’assistance Apple (www.apple.com/fr/support) : accès à des
centaines d’articles du service d’assistance d’Apple.
 Site web Apple formation (www.apple.com/fr/training) : cours en salle et autoformations afin de développer vos compétences en termes d’administration de serveur.
 Groupes de discussions Apple, (discussions.apple.com) : un moyen de
partager questions, connaissances et conseils avec d’autres administrateurs.
 Site web des listes d’envoi Apple, (www.lists.apple.com) : abonnez-vous à des listes
d’envoi afin de pouvoir communiquer par courrier électronique avec d’autres administrateurs.
 Site web d’OpenLDAP (www.openldap.org) : découvrez le logiciel open source utilisé
par Open Directory pour fournir le service de répertoire LDAP.
 Site web de Kerberos MIT (web.mit.edu/kerberos/www) : obtenez des informations
élémentaires et des spécifications sur le protocole utilisé par Open Directory pour
fournir une authentification par signature unique robuste.
 Site web de Berkeley DB (www.sleepycat.com) : consultez les descriptions des fonctionnalités et de la documentation technique sur la base de données open source utilisée par Open Directory pour stocker les données de répertoire LDAP.
 RFC3377, “Lightweight Directory Access Protocol (v3): Spécification technique”
(www.rfc-editor.org/rfc/rfc3377.txt)—accédez à huit autres documents RFC (Request
for Comment) qui contiennent des informations d’ensemble et des spécifications
détaillées sur le protocole LDAPv3.
18
Préface À propos de ce guide
1
Services de répertoire avec
Open Directory
1
Un service de répertoire est un lieu de stockage centralisé
d’informations concernant les utilisateurs d’ordinateurs et
les ressources réseau d’une organisation.
Avantages de l’utilisation de services de répertoire
Le fait de centraliser les données administratives en un seul endroit présente plusieurs
avantages :
 Réduction du nombre de données à saisir.
 Tous les clients et les services réseau disposent d’informations cohérentes à propos
des utilisateurs et des ressources.
 Simplifie l’administration des utilisateurs et des ressources.
 Fournit des informations d’identification, d’authentification et d’autorisation à
d’autres services de réseau.
Dans les écoles ou les entreprises par exemple, ils sont parfaits pour gérer les utilisateurs et les ressources informatiques. Même une organisation de moins de dix personnes peut bénéficier des avantages du déploiement d’un service de répertoire.
Les services de répertoire sont doublement utiles : ils simplifient d’une part l’administration du système et du réseau, et d’autre part l’usage du réseau pour les utilisateurs.
Grâce aux services de répertoire, les administrateurs peuvent conserver des informations
sur tous les utilisateurs, comme, par exemple, leur nom, leur mot de passe et les emplacements des répertoires de départ réseau, de façon centrale plutôt que sur les différents
ordinateurs. Les services de répertoire permettent aussi de centraliser les informations
concernant les imprimantes, les ordinateurs et les autres ressources en réseau.
La centralisation d’informations sur les utilisateurs et les ressources permet de réduire
la charge de travail en matière de gestion des informations pour l’administrateur système et à chaque utilisateur de disposer d’un compte d’utilisateur centralisé permettant d’ouvrir une session sur tout ordinateur autorisé du réseau.
19
Avec le service de répertoire et le service de fichiers centralisés configurés pour héberger les dossiers de départ réseau, un utilisateur obtient partout les mêmes dossier de
départ, bureau personnalisé et préférences individuelles, quel que soit l’ordinateur sur
lequel il ouvre une session. L’utilisateur peut donc toujours accéder à ses fichiers personnels mis en réseau pour rechercher et utiliser aisément les ressources réseau autorisées.
Services et domaines de répertoire
Le service de répertoire agit comme un intermédiaire entre les processus d’application
et de logiciel système, qui ont besoin d’informations sur les utilisateurs et les ressources,
et les directory domains qui stockent les informations.
Comme illustré ci-dessous, Open Directory fournit des services de répertoire pour
Mac OS X et Mac OS X Server.
Utilisateurs
Groupes
Imprimantes
Ordinateurs
Montages
Domaines
de répertoire
Open
Directory
Processus d’applications
et de logiciels système
Open Directory peut accéder aux informations qui figurent dans un ou plusieurs
domaines de répertoire. Un domaine de répertoire stocke des informations dans
une base de données spécialisée et optimisée pour rechercher, extraire et traiter
rapidement un grand nombre de demandes d’informations.
Les processus exécutés sous Mac OS X utilisent les services Open Directory pour enregistrer des informations dans les domaines de répertoire. Si par exemple vous créez
un compte d’utilisateur à l’aide de Gestionnaire de groupe de travail, cette application
demande à Open Directory de stocker le nom de l’utilisateur et les autres informations
du compte dans un domaine de répertoire. Vous pouvez ensuite passer en revue
les informations des comptes d’utilisateur dans Gestionnaire de groupe de travail,
qui utilise Open Directory pour extraire les informations sur les utilisateurs à partir
d’un domaine de répertoire.
20
Chapitre 1 Services de répertoire avec Open Directory
D’autres processus de logiciels système et d’applications peuvent également accéder
aux informations des comptes d’utilisateur stockées dans des domaines de répertoire.
Quand un utilisateur ouvre une session sur un ordinateur Mac OS X, le processus
d’ouverture de session utilise les services Open Directory pour valider le nom d’utilisateur et le mot de passe.
Domaine
de
répertoire
Gestionnaire de
groupe de travail
Open
Directory
Point de vue historique
Tout comme Mac OS X, Open Directory trouve ses origines dans UNIX. En effet,
Open Directory fournit l’accès aux données administratives que les systèmes UNIX
conservent généralement dans des fichiers de configuration, ce qui requiert un travail
de maintenance plus minutieux (certains systèmes UNIX reposent toujours sur des
fichiers de configuration). Open Directory consolide ces données, puis les répartit
pour faciliter les accès comme la maintenance.
Consolidation des données
Pendant des années, les systèmes UNIX ont stocké les informations administratives
dans une collection de fichiers situés dans le répertoire /etc, comme illustré ci-dessous.
/etc/hosts
/etc/group
Processus UNIX
/etc/master.passwd
Chapitre 1 Services de répertoire avec Open Directory
21
Ce schéma exige que chaque ordinateur UNIX dispose de sa propre série de fichiers.
Ainsi, les processus exécutés sur un ordinateur UNIX lisent ses fichiers, lorsqu’ils ont
besoin d’informations administratives.
Si vous maîtrisez l’environnement UNIX, vous connaissez sans aucun doute les fichiers
du répertoire /etc : group, hosts, hosts.equiv, master.passwd et bien d’autres. Ainsi,
un processus UNIX ayant besoin d’un mot de passe d’utilisateur consultera le fichier
/etc/master.passwd. Le fichier /etc/master.passwd contient un enregistrement pour
chaque compte d’utilisateur. Un autre processus UNIX nécessitant des informations
sur les groupes utilise plutôt le fichier /etc/group.
Open Directory consolide les informations administratives, ce qui simplifie les interactions entre les processus et les données administratives qu’ils créent et utilisent.
Open
Directory
Processus Mac OS X
Les processus n’ont désormais plus besoin de savoir où et comment les données administratives sont stockées. Open Directory s’occupe d’obtenir ces données pour leur
compte. Si un processus doit connaître l’emplacement du dossier de départ d’un utilisateur, il fait en sorte qu’Open Directory obtienne cette information. Open Directory
trouve l’information demandée puis la renvoie, évitant ainsi au processus tous les
détails concernant le stockage de l’information, comme illustré ci-dessous.
Domaine
de
répertoire
Domaine
de
répertoire
Open
Directory
Processus Mac OS X
Si vous configurez Open Directory pour accéder aux données administratives à partir
de plusieurs domaines de répertoire, Open Directory les consulte en cas de besoin.
22
Chapitre 1 Services de répertoire avec Open Directory
Certaines des données stockées dans un directory domain sont identiques à des données stockées dans les fichiers de configuration UNIX. Par exemple, l’emplacement du
dossier de départ, le nom réel, l’identifiant d’utilisateur et l’identifiant de groupe sont
stockés dans l’enregistrement d’utilisateur d’un directory domain plutôt que dans le
fichier /etc/passwd standard.
Toutefois, un directory domain stocke beaucoup plus d’informations pour gérer des
fonctions propres à Mac OS X, comme la prise en charge de la gestion d’ordinateurs
clients Mac OS X.
Répartition des données
Une des caractéristiques des fichiers de configuration UNIX, est que les données administratives qu’ils contiennent sont disponibles uniquement sur l’ordinateur sur lequel
elles sont stockées. Chaque ordinateur comporte donc ses propres fichiers de configuration UNIX.
Avec les fichiers de configuration UNIX, tout ordinateur sur lequel un utilisateur envisage de travailler doit posséder les réglages du compte de cet utilisateur. De manière
plus générale, tout ordinateur doit donc posséder les réglages des comptes des utilisateurs autorisés à les utiliser. Pour configurer les réglages de réseau d’un ordinateur,
l’administrateur doit se déplacer jusqu’à cet ordinateur, puis entrer l’adresse IP et toute
information identifiant cet ordinateur sur le réseau.
De même, lorsque des informations sur un utilisateur ou le réseau doivent être modifiées dans des fichiers de configuration UNIX, l’administrateur doit apporter ces modifications sur l’ordinateur sur lequel sont situés ces fichiers. Certains changements,
comme les réglages de réseau, nécessitent que l’administrateur procède aux mêmes
opérations sur plusieurs ordinateurs. Cette approche devient de plus en plus compliquée alors que les réseaux gagnent en taille et en complexité.
Chapitre 1 Services de répertoire avec Open Directory
23
Open Directory résout ce problème en vous permettant de stocker des données administratives dans un domaine de répertoire qui peut être géré par un administrateur
réseau à partir d’un emplacement unique. Open Directory vous permet de distribuer
ces informations afin qu’elles soient accessibles en réseau pour tous les ordinateurs qui
en ont besoin et pour l’administrateur qui les gère, comme illustré ci-dessous.
Domaine
de
répertoire
Administrateur
système
Open
Directory
Utilisateurs
Utilisation des données des répertoires
Open Directory permet de regrouper et de gérer aisément les informations sur
le réseau dans un directory domain, mais ces informations n’ont de valeur que si
les processus du logiciel système et des applications exécutés sur les ordinateurs
du réseau y accèdent réellement.
Voici quelques exemples d’utilisation des données de répertoire par le logiciel système
et les applications Mac OS X :
 Ouverture de session : Gestionnaire de groupe de travail peut créer des enregistrements d’utilisateurs dans un directory domain et ces enregistrements peuvent servir
à authentifier des utilisateurs ouvrant une session sur des ordinateurs Mac OS X et
Windows. Lorsqu’un utilisateur saisit un nom et un mot de passe dans la fenêtre
d’ouverture de session Mac OS X, le processus d’ouverture de session demande à
Open Directory d’authentifier ce nom et ce mot de passe. Open Directory utilise
le nom pour trouver l’enregistrement du compte de l’utilisateur dans un directory
domain et valide ensuite le mot de passe à l’aide d’autres informations qui figurent
dans l’enregistrement d’utilisateur.
24
Chapitre 1 Services de répertoire avec Open Directory
 Accès aux dossiers et aux fichiers : une fois qu’il a ouvert une session, l’utilisateur
peut accéder aux dossiers et aux fichiers. Mac OS X utilise d’autres données provenant de l’enregistrement d’utilisateur pour déterminer les autorisations d’accès de
l’utilisateur pour chaque fichier ou dossier.
 Dossiers de départ : chaque enregistrement d’utilisateur, dans un directory domain,
stocke l’emplacement du dossier de départ de l’utilisateur. Il s’agit de l’endroit où
sont stockés les fichiers, dossiers et préférences de l’utilisateur Le dossier de départ
d’un utilisateur peut se trouver sur l’ordinateur sur lequel il travaille ou sur un serveur de fichiers de réseau.
 Montage automatique de points de partage : les points de montage peuvent être
configurés pour le montage automatique (ils apparaissent automatiquement) dans
le dossier /Network (le globe Réseau) des fenêtres du Finder des ordinateurs clients.
Les informations concernant ces points de partage à monter automatiquement sont
stockées dans un domaine de répertoire. Les points de partage sont des dossiers,
des disques ou des partitions de disque rendus accessibles sur le réseau.
 Réglage des comptes de messagerie : chaque enregistrement d’utilisateur, dans un
domaine de répertoire, indique si l’utilisateur concerné dispose du service de messagerie et, le cas échéant, spécifie les protocoles de courrier à utiliser, le mode de présentation des messages entrants, l’activation éventuelle d’une alerte en cas de
réception de message, etc.
 Utilisation des ressources : les quotas de disque, d’impression et de courrier peuvent
être stockés dans chaque enregistrement d’utilisateur d’un domaine de répertoire.
 Informations sur les clients gérés : l’administrateur peut gérer l’environnement
Mac OS X des utilisateurs dont les comptes sont stockés dans un domaine de répertoire. L’administrateur choisit les réglages de préférences imposés qui sont stockés
dans le domaine de répertoire et qui sont prioritaires par rapport aux préférences
personnelles des utilisateurs.
 Gestion de groupes : outre des enregistrements d’utilisateurs, un domaine de répertoire contient également des enregistrements de groupes.. Chaque fiche de groupe
affecte tous les utilisateurs membres de ce groupe. Les informations qui figurent
dans les enregistrements de groupe indiquent les réglages en matière de préférences des membres. Les enregistrements de groupe permettent également de déterminer l’accès aux fichiers, aux dossiers et aux ordinateurs.
 Présentations de réseau gérées : l’administrateur peut configurer des présentations
personnalisées que les utilisateurs voient lorsqu’ils sélectionnent l’icône Réseau dans
la barre latérale d’une fenêtre du Finder. Comme ces présentations de réseau gérées
sont stockées dans un domaine de répertoire, elles sont automatiquement disponibles lorsqu’un utilisateur ouvre une session.
Chapitre 1 Services de répertoire avec Open Directory
25
Accès aux services de répertoires
Open Directory peut accéder aux domaines de répertoire pour les types de services de
répertoires suivants :
 Lightweight Directory Access Protocol (LDAP), une norme commune dans les environnements mixtes de systèmes Macintosh, UNIX et Windows. LDAP est le service
de répertoire natif pour les répertoires partagés de Mac OS X Server.
 Domaine de répertoire local, le service de répertoire pour tout Mac OS X et
Mac OS X Server 10.5 ou ultérieur.
 Active Directory, le service de répertoire des serveurs Microsoft Windows 2000 et 2003.
 Network Information System (NIS), le service de répertoire de nombreux serveurs UNIX.
 Fichiers plats BSD, le service de répertoire hérité des systèmes UNIX.
Au sein d’un domaine de répertoire
Les informations, dans un domaine de répertoire, sont organisées d’après le type d’enregistrement .Les types d’enregistrement sont des catégories spécifiques d’informations,
comme, par exemple, les utilisateurs, les groupes et les ordinateurs. Un domaine de
répertoire peut contenir un nombre différent d’enregistrements pour chaque type
d’enregistrements. Chaque enregistrement est constitué d’un ensemble d’attributs et
chaque attribut comporte une ou plusieurs valeurs.
Si vous imaginez un type d’enregistrement comme une feuille de calcul dédiée à une
certaine catégorie d’informations, les enregistrements sont alors les lignes de la feuille,
les attributs sont les colonnes et chaque cellule contient une ou plusieurs valeurs.
Par exemple, lorsque vous définissez un compte d’utilisateur à l’aide de Gestionnaire
de groupe de travail, vous créez un enregistrement d’utilisateur (un enregistrement de
type utilisateur). Les réglages définis pour ce compte d’utilisateur (son nom abrégé,
son nom complet, l’emplacement de son dossier de départ, etc.) deviennent des
valeurs des attributs qui figurent dans l’enregistrement. La fiche d’utilisateur comme
les valeurs de ses attributs sont stockées dans un domaine de répertoire.
Dans certains services de répertoire, comme, par exemple, LDAP et Active Directory,
les informations de répertoire sont organisées par classe d’objets. Comme les types
d’ enregistrement, les classes d’objets définissent des catégories d’informations.
Une classe d’objets définit des informations similaires appelés entrées en spécifiant
les attributs qu’une entrée peut ou doit contenir.
Pour une même classe d’objets, un domaine de répertoire peut contenir plusieurs
entrées, chacune de ces entrées pouvant contenir plusieurs attributs. Certains attributs
ont une seule valeur, alors que d’autres en ont plusieurs. Par exemple, la classe d’objets
inetOrgPerson définit des entrées qui contiennent des attributs d’utilisateur.
26
Chapitre 1 Services de répertoire avec Open Directory
La classe inetOrgPerson est une classe LDAP standard définie par le document RFC
2798. D’autres classes d’objets et attributs LDAP standard sont définis par le document
RFC 2307. Les classes d’objets et les attributs par défaut d’Open Directory se fondent
sur ces documents RFC.
L’ensemble des attributs et des types d’enregistrements (ou classes d’objets) définissent la structure des informations d’un domaine de répertoire. Cette structure est appelée schéma du domaine de répertoire. Open Directory utilise toutefois un schéma à
base de répertoire qui diffère du schéma stocké basé en local.
Lors de l’utilisation d’un fichier de configuration de schéma basé en local avec un maître Open Directory qui sert des serveurs répliqués, le problème est que si l’on modifie
ou ajoute un attribut au schéma basé en local d’un maître Open Directory, il faut aussi
apporter cette modification sur chacune des répliques. S’il y a beaucoup de répliques,
la mise à jour manuelle peut prendre énormément de temps.
Si vous n’apportez pas la même modification au schéma en local sur chacune des répliques, vos serveurs répliqués vont provoquer des erreurs et des échecs lors de l’envoi
de valeurs pour le nouvel attribut aux serveurs répliqués.
Pour éviter les problèmes, Mac OS X utilise un schéma à base de répertoire qui est
stocké dans la base de données de répertoires et mis à jour automatiquement pour
chaque serveur répliqué à partir de la base de données de répertoires répliquée.
Cela permet de synchroniser le schéma pour toutes les répliques et donne une plus
grande flexibilité pour apporter des modifications au schéma.
Chapitre 1 Services de répertoire avec Open Directory
27
Structure des informations de répertoire LDAP
Dans un répertoire LDAP, les entrées sont organisées dans une structure arborescente
hiérarchique. Dans certains répertoires LDAP, cette structure est basée sur des frontières géographiques et organisationnelles. D’une façon plus générale, la structure est
basée sur les noms de domaine Internet.
Dans une organisation de répertoire simple, les entrées représentant les utilisateurs,
les groupes, les ordinateurs et les autres classes d’objets sont immédiatement sous
le niveau racine de la hiérarchie, comme illustré ici.
dc=com
dc=exemple
cn=utilisateurs
uid=anne
cn=Anne Robin
cn=groupes
cn=ordinateurs
uid=vincent
cn=Vincent Foucault
Une entrée est référencée par son nom distinctif (DN, Distinguished Name), qui est
construit à partir du nom de l’entrée proprement dite, appelé le nom distinctif relatif
(RND, Relative Distinguished Name), et par concaténation des noms des entrées ancêtres. Par exemple, l’entrée d’Anne Jacques pourrait avoir le RDN uid=anne et le nom
distinctif uid=anne, cn=utilisateurs, dc=exemple, dc=com.
Le service LDAP extrait les données en faisant une recherche dans la hiérarchie
d’entrées. La recherche peut commencer à n’importe quelle entrée. L’entrée à
laquelle la recherche commence est appelée la base de recherche.
Vous pouvez spécifier une base de recherche en donnant le nom distinctif d’une entrée
dans le répertoire LDAP. Par exemple, la base de recherche cn=utilisateurs, dc=exemple,
dc=com spécifie que le service LDAP commencera la recherche à l’entrée dont l’attribut
cn a la valeur « utilisateurs ».
Vous pouvez aussi spécifier dans combien de niveaux de la hiérarchie LDAP sous la
base de recherche il faut chercher. Le domaine de recherche peut couvrir toutes les
sous-branches sous la base de recherche ou uniquement le premier niveau d’entrées
sous la base de recherche. Si vous utilisez des outils de ligne de commande pour faire
une recherche dans un répertoire LDAP, vous pouvez aussi restreindre le domaine de
recherche à la seule entrée de la base de recherche.
28
Chapitre 1 Services de répertoire avec Open Directory
Domaines de répertoire locaux et partagés
L’emplacement de stockage des informations concernant les utilisateurs et autres données administratives nécessaires à votre serveur diffère selon que les données doivent
être partagées ou non. Ces informations peuvent être stockées dans le domaine de
répertoire local du serveur ou dans un domaine de répertoire partagé.
À propos du domaine de répertoire local
Tout ordinateur Mac OS X dispose d’un domaine de répertoire local. Les données administratives qui figurent dans un domaine de répertoire local sont visibles uniquement
par les applications et le logiciel système exécutés sur l’ordinateur sur lequel le
domaine en question se trouve. Il s’agit du premier domaine consulté lorsque l’utilisateur ouvre une session ou exécute certaines opérations nécessitant des données stockées dans un domaine de répertoire.
Lorsqu’un utilisateur ouvre une session sur un ordinateur Mac OS X, Open Directory
recherche l’enregistrement de cet utilisateur dans le domaine de répertoire local de
l’ordinateur. Si le domaine de répertoire local contient l’enregistrement de l’utilisateur
(et que l’utilisateur a entré un mot de passe correct), l’ouverture de session se poursuit
et l’utilisateur se voit donner l’accès à l’ordinateur.
Après l’ouverture de session, l’utilisateur peut choisir “Se connecter à un serveur”
dans le menu Aller, puis se connecter à un serveur Mac OS X Server pour accéder à
un service de fichiers. Dans ce cas, Open Directory sur le serveur recherche la fiche
de cet utilisateur dans le domaine de répertoire local du serveur.
Si le domaine de répertoire local du serveur contient un enregistrement pour l’utilisateur (et si l’utilisateur a saisi le bon mot de passe), le serveur donne à l’utilisateur l’accès
aux services de fichiers, comme illustré ci-dessous.
Ouverture
de session
Mac OS X
Connexion à Mac OS X Server
pour le service de fichiers
Domaine de
répertoire local
Domaine de
répertoire local
Lorsque vous configurez un ordinateur Mac OS X, son domaine de répertoire local est
créé et pourvu d’enregistrements automatiquement. Par exemple, une fiche d’utilisateur est créée pour l’utilisateur qui s’est chargé de l’installation. Cet enregistrement
d’utilisateur contient le nom d’utilisateur et le mot de passe saisis au cours de la configuration, ainsi que d’autres informations, telles que l’identifiant unique de l’utilisateur
et l’emplacement de son dossier de départ.
Chapitre 1 Services de répertoire avec Open Directory
29
À propos des domaines de répertoire partagés
Bien qu’Open Directory puisse stocker des données administratives dans le domaine de
répertoire local de l’ordinateur sur tout ordinateur Mac OS X, son atout majeur est de
permettre à plusieurs ordinateurs Mac OS X de partager des données administratives
en les stockant dans des domaines de répertoire partagés.
Lorsqu’un ordinateur est configuré pour utiliser un domaine partagé, toutes les données administratives contenues dans ce domaine sont également visibles par les applications et le logiciel système de cet ordinateur.
Si Open Directory ne trouve pas l’enregistrement d’un utilisateur dans le domaine de
répertoire local d’un ordinateur Mac OS X, il peut recherche l’enregistrement dans tous
les domaines partagés auxquels cet ordinateur a accès.
Dans l’exemple suivant, l’utilisateur peut accéder aux deux ordinateurs, car le domaine
partagé, accessible à partir des deux ordinateurs, contient un enregistrement pour cet
utilisateur.
Domaine de
répertoire
partagé
Ouverture
de session
Mac OS X
Connexion à Mac OS X Server
pour le service de fichiers
Domaine de
répertoire local
Domaine de
répertoire local
Les domaines partagés se trouvent généralement sur des serveurs parce que les informations de domaines de répertoire contiennent des informations extrêmement importantes telles les données d’authentification des utilisateurs.
L’accès aux serveurs est généralement très restreint pour protéger les données qu’ils
contiennent. En outre, les données de répertoires doivent demeurer disponibles. Les
serveurs disposent souvent de fonctions matérielles supplémentaires qui augmentent
leur fiabilité et ils bénéficient habituellement de dispositifs d’alimentation électrique
sans interruption.
30
Chapitre 1 Services de répertoire avec Open Directory
Données partagées dans des domaines de répertoire existants
Certaines organisations (les universités ou les multinationales, par exemple) conservent les informations relatives aux utilisateurs et d’autres données administratives dans
des domaines de répertoire situés sur des serveurs UNIX ou Windows. Open Directory
peut effectuer une recherche dans ces domaines non Apple et dans les domaines
Open Directory partagés de systèmes Mac OS X Server, comme illustré ci-dessous.
Mac OS X Server
Serveur Windows
Domaine de
répertoire
local
Domaine
Active
Directory
Domaine de
répertoire
partagé
Domaine de
répertoire
local
Utilisateur Mac OS X
Utilisateur Mac OS X
Utilisateur Windows
L’ordre dans lequel Mac OS X effectue des recherches dans les domaines de répertoire
est configurable. La politique de recherche détermine l’ordre dans lequel Mac OS X
effectue les recherches dans les domaines de répertoire. Les politiques de recherche
sont expliquées au chapitre 2, « Politiques de recherche Open Directory ».
Services SMB et Open Directory
Vous pouvez configurer votre Mac OS X Server avec Open Directory et les services SMB
pour servir des stations de travail Windows. En utilisant ces deux services ensemble,
vous pouvez configurer votre Mac OS X Server comme contrôleur de domaine principal (PDC) ou contrôleur de domaine secondaire (BDC).
Chapitre 1 Services de répertoire avec Open Directory
31
Open Directory comme contrôleur de domaine principal
Mac OS X Server peut être configuré comme contrôleur de domaine principal (PDC)
Windows, ce qui permet aux utilisateurs de stations de travail compatibles avec
Windows NTd’ouvrir une session à l’aide de comptes de domaine. Un contrôleur de
domaine principal donne à chaque utilisateur Windows un nom d’utilisateur et un mot
de passe pour l’ouverture de session à partir de toute station de travail Windows NT
4.x, Windows 2000, Windows XP et Windows Vista sur le réseau. Au lieu d’ouvrir une
session à l’aide d’un nom d’utilisateur et d’un mot de passe définis en local sur une
station de travail, chaque utilisateur peut alors ouvrir une session à l’aide du nom
d’utilisateur et du mot de passe définis sur le contrôleur de domaine principal.
Le compte d’utilisateur qui peut être utilisé pour ouvrir une session à partir d’une
station de travail peut aussi être utilisé pour ouvrir une session à partir d’un ordinateur
Mac OS X. Quelqu’un qui utilise les deux plates-formes peut avoir les mêmes dossier
de départ, compte de courrier électronique et quotas d’impression sur les deux platesformes. Les utilisateurs peuvent changer de mot de passe lors de l’ouverture de
session sur le domaine Windows.
Les comptes d’utilisateur sont stockés dans le répertoire LDAP du serveur accompagnés du groupe, de l’ordinateur et d’autres informations. Le contrôleur de domaine
principal a accès aux informations de ce répertoire parce que vous avez configuré
le contrôleur de domaine principal sur un serveur qui est un maître Open Directory,
c’est-à-dire qui héberge un répertoire LDAP.
De plus, le contrôleur de domaine principal utilise le serveur de mots de passe du maître Open Directory pour l’authentification des utilisateurs lorsqu’ils ouvrent une session
dans le domaine Windows. Le serveur de mots de passe peut valider les mots de passe
à l’aide de NTLMv2, NTLMv1, LAN Manager et d’autres méthodes d’authentification.
Le maître Open Directory peut aussi avoir un centre de distribution de clés Kerberos. Le
contrôleur de domaine principal n’utilise pas Kerberos pour authentifier les utilisateurs
pour les services Windows, mais le service de courrier électronique et d’autres services
peuvent être configurés pour utiliser Kerberos pour l’authentification des utilisateurs de
stations de travail Windows qui disposent de comptes dans le répertoire LDAP.
Pour que son mot de passe soit validé par le serveur de mots de passe Open Directory
et par Kerberos, un compte d’utilisateur doit avoir un mot de passe de type Open
Directory. Un compte d’utilisateur avec un mot de passe de type crypté ne peut pas
être utilisé pour les services Windows parce qu’un mot de passe crypté n’est pas validé
à l’aide des méthodes d’authentification NTLMv2, NTLMv1 ou LAN Manager.
32
Chapitre 1 Services de répertoire avec Open Directory
Le serveur peut aussi avoir des comptes d’utilisateur dans son domaine de répertoire
local. Chaque Mac OS X Server en a un. Le contrôleur de domaine principal n’utilise
pas ces comptes pour l’ouverture de session par domaine Windows, mais le contrôleur
de domaine principal peut utiliser ces comptes pour authentifier les utilisateurs pour
le service de fichiers Windows et d’autres services.
Les comptes d’utilisateur, dans le domaine de répertoire local, qui ont un mot de passe
de type Mot de passe Shadow peuvent être utilisés pour les services Windows parce
que les mots de passe Shadow peuvent être validés à l’aide des méthodes d’authentification NTLMv2, NTLMv1, LAN Manager et autres.
À des fins de compatibilité, Mac OS X Server prend en charge les comptes d’utilisateur
configurés pour utiliser la technologie Gestionnaire d’authentification héritée pour la
validation des mots de passe dans Mac OS X Server 10.0–10.2. Après la mise à niveau
d’un serveur à Mac OS X Server 10.5, les utilisateurs existants peuvent continuer à utiliser leurs mots de passe.
Un compte d’utilisateur utilise Gestionnaire d’authentification si le compte est un
domaine de répertoire local pour lequel Gestionnaire d’authentification a été activé
et si le compte est configuré pour utiliser un mot de passe crypté.
Si vous migrez un répertoire de NetInfo vers LDAP, tous les comptes d’utilisateur qui
utilisaient Gestionnaire d’authentification pour la validation des mots de passe sont
convertis pour avoir un mot de passe de type Open Directory.
Lors de la configuration de Mac OS X Server comme contrôleur de domaine principal,
assurez-vous qu’il n’y a pas, sur votre réseau, un autre contrôleur de domaine principal
possédant le même nom de domaine. Un réseau peut avoir plusieurs maîtres Open
Directory, mais un seul contrôleur de domaine principal.
Chapitre 1 Services de répertoire avec Open Directory
33
Open Directory comme contrôleur de domaine secondaire
Configurer Mac OS X comme contrôleur de domaine secondaire fournit permet
le basculement et la sauvegarde du contrôleur de domaine principal. Le contrôleur de
domaine principal et le contrôleur de domaine secondaire partagent les demandes des
clients Windows en matière d’ouverture de session de domaine et d’autres services de
répertoire et d’authentification. En cas d’indisponibilité du contrôleur de domaine principal Mac OS X Server, le contrôleur de domaine secondaire Mac OS X Server fournit
alors des services d’ouverture de session de domaine et d’autres services de répertoire
et d’authentification.
Le contrôleur de domaine secondaire dispose d’une copie synchronisée des données
relatives aux utilisateurs, groupes, ordinateurs et autres données de répertoire du contrôleur de domaine principal. Le contrôleur de domaine principal et le contrôleur de
domaine secondaire disposent aussi de copies synchronisées des données d’authentification. Mac OS X Server synchronise automatiquement des données relatives aux
répertoires et à l’authentification.
Avant de configurer Mac OS X Server comme contrôleur de domaine secondaire,
vous devez configurer le serveur comme une réplique Open Directory. Le contrôleur
de domaine secondaire utilise le répertoire LDAP, le centre de distribution de clés
Kerberos et le serveur de mots de passe de la réplique Open Directory en lecture seule.
Mac OS X Server synchronise le contrôleur de domaine principal et le contrôleur de
domaine secondaire en mettant à jour automatiquement la réplique Open Directory
avec les modifications apportées au maître Open Directory.
Utilisez Admin Serveur après l’installation pour faire de Mac OS X Server une réplique
Open Directory et un contrôleur de domaine secondaire. Vous pouvez configurer
plusieurs contrôleurs de domaine secondaire, chacun sur un serveur de réplique
Open Directory distinct.
Important : vous ne pouvez pas avoir plusieurs contrôleurs de domaine principal
dupliqués sur un même réseau.
34
Chapitre 1 Services de répertoire avec Open Directory
2
Politiques de recherche
Open Directory
2
Chaque ordinateur dispose d’une politique de recherche qui
spécifie des domaines de répertoire et l’ordre dans lequel
Open Directory y effectue ses recherches au sein de ces
derniers.
Chaque ordinateur Mac OS X a sa propre politique de recherche, appelée aussi plus communément chemin de recherche, qui spécifie à quel domaines de répertoire Open Directory peut accéder, comme, par exemple, le domaine de répertoire local de l’ordinateur
et un répertoire partagé particulier.
La politique de recherche spécifie également l’ordre dans lequel Open Directory
accède aux domaines de répertoire. Open Directory effectue une recherche dans
chaque domaine de répertoire et s’arrête lorsqu’il trouve un élément correspondant.
Ainsi, Open Directory stoppe la recherche d’un enregistrement d’utilisateur lorsqu’il
trouve un enregistrement dont le nom d’utilisateur correspond au nom recherché.
Niveaux de politique de recherche
Une politique de recherche peut ne contenir que le domaine de répertoire local,
le domaine de répertoire local et un répertoire partagé ou le domaine de répertoire
local et plusieurs répertoires partagés.
Sur un réseau comportant un répertoire partagé, plusieurs ordinateurs accèdent
généralement au répertoire partagé. Cette organisation est une structure arborescente,
le répertoire partagé étant situé au sommet et les répertoires locaux se trouvant en bas.
35
Politique de recherche dans le domaine de répertoire local
La politique de recherche la plus simple se compose uniquement du répertoire local
d’un ordinateur. Dans ce cas, Open Directory recherche les données d’utilisateur et
autres données administratives uniquement dans le domaine de répertoire local de
chaque ordinateur.
Si un serveur du réseau héberge un répertoire partagé, Open Directory n’y recherche
pas d’informations d’utilisateur ou de données administratives car le répertoire partagé ne fait pas partie de la politique de recherche de l’ordinateur.
L’illustration qui suit montre deux ordinateurs en réseau qui ne recherchent des
données administratives que dans leur domaine de répertoire local.
Domaine de
répertoire local
Domaine de
répertoire local
Ordinateur de la
classe de français
Ordinateur de la
classe de sciences
Politique de recherche
1
Politiques de recherche à deux niveaux
Si un des serveurs du réseau héberge un répertoire partagé, tous les ordinateurs du
réseau peuvent inclure le répertoire partagé dans leurs politiques de recherche. Dans
ce cas, Open Directory recherche les informations d’utilisateur et autres données administratives en commençant par le domaine de répertoire local. Si Open Directory ne
trouve pas les informations dont il a besoin dans le domaine de répertoire local, il va
les rechercher dans le répertoire partagé.
L’illustration qui suit montre deux ordinateurs et un domaine de répertoire partagé
sur un réseau. Les ordinateurs sont connectés au domaine de répertoire partagé et
le possèdent dans leur politique de recherche.
Domaine de
répertoire local
Domaine de
répertoire partagé
Domaine de
répertoire local
Politique de recherche
1
2
Ordinateur de la classe de français
36
Ordinateur de la classe de sciences
Chapitre 2 Politiques de recherche Open Directory
Voici un exemple d’utilisation de politique de recherche à deux niveaux :
Domaine de
répertoire local
Domaine de
répertoire partagé
Domaine de
répertoire local
Politique de recherche
1
2
Ordinateur de la classe de français
Ordinateur de la classe de sciences
Domaine de
répertoire local
Ordinateur de la classe de maths
Chaque classe (français, mathématiques, sciences) possède son propre ordinateur.
Les élèves de chaque classe sont définis en tant qu’utilisateurs du domaine local de
l’ordinateur de cette classe. Ces trois domaines locaux ont le même domaine partagé,
dans lequel tous les professeurs sont définis.
Les professeurs, en tant que membres du domaine partagé, peuvent ouvrir une session sur n’importe quel ordinateur de la classe. Les élèves de chaque domaine local
ne peuvent ouvrir une session que sur l’ordinateur où se trouve leur compte local.
Alors que les domaines locaux résident chacun sur leurs ordinateurs respectifs, un
domaine partagé réside sur un serveur accessible à partir de l’ordinateur d’un domaine
local. Lorsqu’un professeur ouvre une session sur n’importe quel ordinateur des trois
classes et qu’il est introuvable dans le domaine local, Open Directory recherche dans
le domaine partagé.
Chapitre 2 Politiques de recherche Open Directory
37
Dans l’exemple qui suit, il n’y qu’un seul domaine partagé, mais il peut y en avoir plus
sur des réseaux plus complexes.
Mac OS X Server
de l’école
Ordinateur de la
classe de sciences
Domaine
de répertoire
local
Domaine
de répertoire
local
Domaine
de répertoire
partagé
Domaine
de répertoire
local
Domaine
de répertoire
local
Ordinateur de la
classe de français
Ordinateur de la
classe de maths
Politiques de recherche multiniveaux
Si plusieurs serveurs du réseau hébergent un répertoire partagé, les ordinateurs du
réseau peuvent inclure plusieurs répertoires partagés dans leurs politiques de recherche. Comme dans les politiques de recherche plus simples, Open Directory recherche
toujours les informations d’utilisateur et autres données administratives en commençant par le domaine de répertoire local. Si Open Directory ne trouve pas les informations dont il a besoin dans le domaine de répertoire local, il les recherche tour à tour
dans chaque répertoire partagé, dans l’ordre spécifié par la politique de recherche.
38
Chapitre 2 Politiques de recherche Open Directory
Voici un exemple d’utilisation de plusieurs répertoires partagés :
Politique de recherche
1
Domaine de
répertoire de maths
2
3
Domaine de
répertoire de français
Domaine de
répertoire de l’école
Domaine de
répertoire de sciences
Chaque classe (français, mathématiques, sciences) possède un serveur qui héberge
un domaine de répertoire partagé. La politique de recherche de chaque ordinateur de
la classe spécifie le domaine local de cet ordinateur, le domaine partagé de la classe et
le domaine partagé de l’école.
Les élèves de chaque classe sont définis en tant qu’utilisateurs du domaine partagé du
serveur de cette classe, ce qui autorise chaque élève à ouvrir une session sur tout ordinateur de la classe. Comme les professeurs sont définis dans le domaine partagé du serveur de l’école, ils peuvent ouvrir une session sur n’importe quel ordinateur de la classe.
Il est possible d’affecter la totalité d’un réseau ou juste un groupe d’ordinateurs,
en choisissant le domaine dans lequel seront définies les données administratives.
Plus le niveau des données administratives dans une politique de recherche est élevé,
moins il est nécessaire de les modifier au fur et à mesure de l’évolution des utilisateurs
et des ressources système.
Pour les administrateurs de services de répertoire, l’aspect le plus important est sans
doute la planification des domaines de répertoire et des politiques de recherche. Ces
éléments doivent refléter les ressources que vous souhaitez partager, les utilisateurs
entre lesquels vous souhaitez les partager et même le mode de gestion de vos données de répertoire.
Chapitre 2 Politiques de recherche Open Directory
39
Politiques de recherche automatiques
Les ordinateurs Mac OS X peuvent être configurés pour définir des politiques de
recherche automatiquement. Une politique de recherche automatique se compose
de trois éléments, dont l’un est facultatif :
 Domaine de répertoire local
 Répertoire LDAP partagé (facultatif )
La politique de recherche automatique d’un ordinateur commence toujours par son
domaine de répertoire local. Lorsqu’un ordinateur Mac OS X n’est pas connecté à un
réseau, il recherche les comptes d’utilisateur et autres données administratives uniquement dans son domaine de répertoire local.
La politique de recherche automatique détermine ensuite si l’ordinateur est configuré
pour se connecter à un domaine de répertoire local partagé. L’ordinateur peut être
connecté à un domaine de répertoire local partagé, qui, à son tour, peut être connecté
à un autre domaine de répertoire local partagé, et ainsi de suite.
Un domaine de répertoire local est la seconde partie de la politique de recherche
automatique. Pour en savoir plus, consultez la rubrique « À propos du domaine de
répertoire local » à la page 29.
Enfin, un ordinateur possédant une politique de recherche automatique peut se
connecter à un répertoire LDAP partagé. Lorsque l’ordinateur démarre, il peut obtenir
l’adresse d’un serveur de répertoire LDAP à partir d’un service DHCP. Le service DHCP
de Mac OS X Server peut fournir une adresse de serveur LDAP de la même façon qu’il
fournit les adresses de serveurs DNS et d’un routeur.
(Un service DHCP non Apple peut aussi fournir l’adresse d’un serveur LDAP.
Cette fonctionnalité est connue dans DHCP sous le nom d’option 95.)
Si vous voulez que service DHCP de Mac OS X Server fournisse l’adresse d’un serveur
LDAP aux clients pour les politiques de recherche automatiques, configurez les options
LDAP du service DHCP. Pour en savoir plus, consultez le chapitre consacré à DHCP dans
Administration des services réseau.
Pour qu’un ordinateur Mac OS X obtienne l’adresse d’un serveur LDAP à partir du
service DHCP :
 L’ordinateur doit être configuré pour utiliser une politique de recherche automatique. Cela inclut l’activation de l’option permettant d’ajouter des répertoires LDAP
fournis par le DHCP. Pour en savoir plus, consultez les rubriques « Utilisation des
réglages avancés des règles de recherche » à la page 150 et « Activation ou désactivation d’un répertoire LDAP fourni via DHCP » à la page 158.
 Les préférences réseau de l’ordinateur doivent être configurées pour utiliser DHCP ou
DHCP avec une adresse IP manuelle. Mac OS X est initialement configuré pour utiliser
DHCP. Pour en savoir plus sur les réglages des préférences réseau, consultez l’Aide Mac.
40
Chapitre 2 Politiques de recherche Open Directory
Une politique de recherche automatique offre confort et souplesse, particulièrement
pour les ordinateurs portables. Lorsqu’un ordinateur doté d’une politique de recherche
automatique est déconnecté du réseau, connecté à un autre réseau ou placé sur un
autre sous-réseau, la politique de recherche automatique peut changer.
Si l’ordinateur est déconnecté du réseau, il utilise son domaine de répertoire local.
Si l’ordinateur est connecté à un réseau ou sous-réseau différent, il peut changer automatiquement sa connexion de domaine de répertoire local et obtenir une adresse de
serveur LDAP à partir du service DHCP du sous-réseau courant.
Avec une politique de recherche automatique, il n’est pas nécessaire de reconfigurer un
ordinateur afin qu’il puisse obtenir les services de répertoires et d’authentification dans
son nouvel emplacement.
Important : si vous configurez Mac OS X pour qu’il utilise une politique de recherche
automatique d’authentification et un serveur LDAP fourni par DHCP ou un domaine de
répertoire local fourni par DHCP, vous augmenterez le risque de voir un attaquant prendre le contrôle de votre ordinateur. Le risque est encore plus élevé si votre ordinateur est
configuré pour se connecter à réseau un sans fil. Pour en savoir plus, consultez la rubrique
« Protection des ordinateurs contre un serveur DHCP malveillant » à la page 154.
Politiques de recherche personnalisées
Si vous ne voulez pas qu’un ordinateur Mac OS X utilise la politique de recherche
automatique fournie par DHCP, vous pouvez définir une politique de recherche
personnalisée pour cet ordinateur.
Par exemple, une politique de recherche personnalisée pourrait spécifier qu’il faut
rechercher dans un domaine Active Directory avant de rechercher dans un domaine de
répertoire d’un serveur Open Directory. Les utilisateurs peuvent configurer leurs ordinateurs pour ouvrir une session à l’aide de leurs enregistrements d’utilisateur provenant
du domaine Active Directory et d’avoir leurs préférences gérées par groupe et des
fiches d’ordinateur provenant du domaine Open Directory.
Une politique de recherche personnalisée ne fonctionne généralement pas dans plusieurs emplacements de réseau, ni lorsque l’ordinateur n’est pas connecté à un réseau,
car elle se base sur la disponibilité de domaines de répertoire spécifiques sur un réseau
en particulier.
Si un ordinateur portable est déconnecté de son réseau habituel, il n’a plus accès aux
domaines de répertoire partagés de sa propre politique de recherche personnalisée.
L’ordinateur déconnecté a toutefois toujours accès à son propre domaine de répertoire
local car ce dernier est le premier domaine de répertoire dans toutes les politiques de
recherche.
Chapitre 2 Politiques de recherche Open Directory
41
L’utilisateur de l’ordinateur portable peut ouvrir une session à l’aide d’un enregistrement d’utilisateur du domaine de répertoire local, qui peut contenir des comptes
d’utilisateur mobiles. Ceux-ci mettent en miroir les comptes d’utilisateur provenant
du domaine de répertoire partagé auquel l’ordinateur portable accède lorsqu’il est
connecté à son réseau habituel.
Politiques de recherche d’authentification et de contacts
Un ordinateur Mac OS X possède une politique de recherche pour trouver des informations d’authentification et une autre politique de recherche pour trouver des informations de contacts.
 Open Directory utilise la politique de recherche d’authentification pour localiser et
récupérer les données d’authentification d’utilisateur et d’autres données administratives à partir des domaines de répertoire.
 Il utilise la politique de recherche de contacts pour localiser et récupérer les noms,
adresses et autres informations de contact à partir des domaines de répertoire.
Le Carnet d’adresses de Mac OS X utilise ces informations de contact. D’autres
applications peuvent être programmées pour les exploiter.
Chaque politique de recherche peut être automatique, personnalisée ou s’exercer sur
le domaine exclusivement.
42
Chapitre 2 Politiques de recherche Open Directory
3
Authentification Open Directory
3
Open Directory offre plusieurs options d’authentification
des utilisateurs dont les comptes sont stockés dans des
domaines de répertoire de Mac OS X Server, y compris
Kerberos et les méthodes d’authentification traditionnelles
requises par les services de réseau.
Open Directory peut authentifier les utilisateurs selon l’une des méthodes suivantes :
 Authentification Kerberos pour la signature unique
 Méthodes d’authentification traditionnelles et mot de passe stocké de façon sécurisée
dans la base de données du serveur de mots de passe Open Directory
 Méthodes d’authentification traditionnelles et mot de passe shadow stocké dans un
fichier de mots de passe sécurisé pour chaque utilisateur
 Mot de passe crypté stocké directement dans le compte de l’utilisateur, pour une
compatibilité descendante avec les systèmes hérités
 Serveur LDAP non Apple pour une authentification par liaison LDAP
De plus, Open Directory permet de configurer une politique de mot de passe pour tous
les utilisateurs et les politiques de mot de passe spécifiques pour chacun des utilisateurs, telles que l’arrivée à expiration automatique et la longueur minimale des mots
de passe. (Les politiques de mot de passe ne s’appliquent ni aux administrateurs, ni à
l’authentification par mot de passe crypté, ni à l’authentification par liaison LDAP).
43
Types de mots de passe
Chaque compte d’utilisateur a un type de mot de passe qui détermine la façon dont
le compte d’utilisateur est authentifié. Dans un domaine de répertoire local, le type
de mot de passe par défaut est le mot de passe shadow. Sur un serveur mis à niveau
à partir de Mac OS X Server 10.3, les comptes d’utilisateur du domaine de répertoire
local peuvent aussi disposer d’un mot de passe de type Open Directory.
Pour les comptes d’utilisateur du répertoire LDAP de Mac OS X Server, le type de mot
de passe par défaut est le type Open Directory. Les comptes d’utilisateur du répertoire
LDAP peuvent aussi disposer d’un mot de passe de type mot de passe crypté.
Authentification et autorisation
Les services tels que la fenêtre d’ouverture de session et le service de fichiers Apple
nécessitent une authentification de l’utilisateur à partir d’Open Directory. L’authentification fait partie du processus par lequel un service détermine s’il doit accorder à un
utilisateur l’accès à une ressource. Généralement, ce processus nécessite également
une autorisation.
L’authentification prouve l’identité de l’utilisateur, tandis que l’autorisation détermine
ce que l’utilisateur authentifié a le droit de faire. Un utilisateur s’authentifie généralement en fournissant un nom et un mot de passe valides. Un service peut alors autoriser l’utilisateur authentifié à accéder à des ressources spécifiques. Exemple : le service
de fichiers autorise l’accès total aux dossiers et aux fichiers qu’un utilisateur authentifié possède.
Lorsque vous utilisez une carte de crédit, vous faites l’expérience de processus
d’authentification et d’autorisation. Le commerçant vous identifie (authentification)
en comparant votre signature sur la facture avec celle qui figure au dos de votre carte
de crédit. Il soumet alors votre numéro de carte de crédit à la banque qui autorise
le paiement en fonction du solde de votre compte et d’une limite de crédit autorisé.
Open Directory authentifie les comptes d’utilisateur et les listes de contrôle d’accès
de service (SACL : "service access control list") autorisent l’utilisation de services.
Si Open Directory vous authentifie, la liste SACL de la fenêtre d’ouverture de session
détermine si vous pouvez ouvrir une session, la liste SACL du service Apple Filing
Protocol (AFP) détermine si vous pouvez vous connecter au service de fichiers Apple,
et ainsi de suite.
Certains services déterminent aussi si un utilisateur est autorisé à accéder à des ressources particulières. Cette autorisation peut nécessiter l’extraction d’informations de
compte d’utilisateur supplémentaires à partir du domaine de répertoire. Par exemple,
le service AFP a besoin de l’identifiant d’utilisateur et d’informations sur l’adhésion de
groupe pour déterminer les dossiers et les fichiers que l’utilisateur est autorisé à lire et
à écrire.
44
Chapitre 3 Authentification Open Directory
Mots de passe Open Directory
Lorsqu’un compte d’utilisateur dispose d’un type de mot de passe d’Open Directory,
l’utilisateur peut être authentifié via Kerberos ou via le serveur de mots de passe Open
Directory. Kerberos est un système d’authentification réseau qui utilise des informations d’authentification émises par un serveur sécurisé. Le serveur de mots de passe
Open Directory prend en charge les méthodes d’authentification de mots de passe
traditionnelles que certains clients de services de réseau requièrent.
Ni Kerberos ni le serveur de mots de passe Open Directory ne stockent le mot de passe
dans le compte d’utilisateur. Tant Kerberos que le serveur de mots de passe Open
Directory stockent les mots de passe dans des bases de données sécurisées en dehors
du domaine de répertoire et les mots de passe ne sont jamais lus. Les mots de passe ne
peuvent être que définis et vérifiés.
Des utilisateurs malveillants peuvent tenter d’ouvrir une session via le réseau dans l’espoir
d’accéder à Kerberos et au serveur de mots de passe Open Directory. L’examen des historiques d’Open Directory permet de détecter ces tentatives d’accès infructueuses (consultez la rubrique « Affichage des états et des historiques Open Directory » à la page 211).
Les comptes d’utilisateur dans les domaines de répertoire suivants peuvent disposer de
mots de passe Open Directory :
 Le répertoire LDAP de Mac OS X Server
 Le domaine de répertoire local de Mac OS X Server
Remarque : les mots de passe Open Directory ne peuvent pas être utilisés pour ouvrir
une session dans Mac OS X version 10.1 ou antérieure. Les utilisateurs qui doivent ouvrir
une session à l’aide de la fenêtre d’ouverture de session de Mac OS X 10.1 ou antérieur
doivent être configurés pour utiliser des mots de passe cryptés. Le type de mot de
passe n’a pas d’importance pour les autres services. Par exemple, un utilisateur de
Mac OS X 10.1 pourrait s’authentifier auprès du service de fichiers Apple à l’aide d’un
mot de passe Open Directory.
Mots de passe shadow
Les mots de passe shadow prennent en charge les mêmes méthodes d’authentification traditionnelles que le serveur de mots de passe Open Directory. Ces méthodes
d’authentification sont utilisées pour envoyer des mots de passe shadow via le réseau
sous une forme brouillée, ou hachage.
Un mot de passe shadow est stocké sous forme de plusieurs condensés dans un fichier
situé sur le même ordinateur que le domaine de répertoire accueillant le compte d’utilisateur. Étant donné que le mot de passe n’est pas stocké dans le compte d’utilisateur,
sa capture via le réseau s’avère difficile. Chaque mot de passe shadow d’utilisateur est
stocké dans un fichier différent, dénommé fichier de mots de passe shadow. Seul le
compte d’utilisateur racine est autorisé à lire ces fichiers.
Chapitre 3 Authentification Open Directory
45
Seuls les comptes d’utilisateur qui sont stockés dans le domaine de répertoire local
d’un ordinateur peuvent disposer d’un mot de passe shadow. Les comptes d’utilisateur
qui sont stockés dans un répertoire partagé ne peuvent en bénéficier.
Les mots de passe shadow fournissent également une authentification cachée
pour les comptes d’utilisateur mobiles. Pour obtenir des informations complètes
sur les comptes d’utilisateur mobiles, consultez Gestion des utilisateurs.
Mots de passe cryptés
Un mot de passe crypté est stocké dans un condensé numérique dans le compte d’utilisateur. Cette stratégie, historiquement appelée authentification de base, est principalement compatible avec les logiciels qui nécessitent un accès direct aux enregistrements
d’utilisateur. Par exemple, Mac OS X 10.1 ou antérieur s’attend à trouver un mot de
passe crypté stocké dans le compte d’utilisateur.
L’authentification cryptée ne prend en charge que les mots de passe d’une longueur
maximale de huit octets (huit caractères ASCII). Si un mot de passe plus long est saisi
dans le compte d’un utilisateur, seuls les huit premiers octets sont utilisés pour la validation du mot de passe crypté. Les mots de passe shadow et Open Directory ne sont
pas soumis à cette limite de longueur.
Pour une transmission sécurisée des mots de passe via un réseau, les mots de passe
cryptés peuvent fonctionner avec la méthode d’authentification DHX.
Fourniture d’authentification sécurisée aux utilisateurs Windows
Mac OS X Server offre aussi les mêmes types de mots de passe sécurisés aux utilisateurs Windows :
 Les mots de passe Open Directory sont nécessaires pour l’ouverture de session de
domaine à partir d’une station de travail Windows vers un contrôleur de domaine
principal Mac OS X Server et peuvent être utilisés pour l’authentification auprès du
service de fichiers Windows. Ce type de mot de passe peut être validé à l’aide de
plusieurs méthodes d’authentification, y compris NTLMv2, NTLMv1 et LAN Manager.
Les mots de passe Open Directory sont stockés dans une base de données sécurisée,
pas dans les comptes d’utilisateur.
 Les mots de passe shadow ne peuvent pas être utilisés pour l’ouverture de session
de domaine mais ils peuvent être utilisés pour le service de fichiers Windows et
d’autres services. Ce type de mot de passe peut aussi être validé à l’aide des méthodes d’authentification NTLMv2, NTLMv1 et LAN Manager. Les mots de passe shadow
sont stockés dans des fichiers sécurisés, et non pas dans les comptes d’utilisateur.
 Un mot de passe crypté avec le Gestionnaire d’authentification activé fournit la compatibilité pour les comptes d’utilisateur sur un serveur qui a été mis à niveau à partir
de Mac OS X Server 10.1. Après la mise à niveau du serveur vers Mac OS X Server 10.5,
ces comptes d’utilisateur doivent être modifiés de façon à utiliser des mots de passe
Open Directory, qui sont plus sûrs que le Gestionnaire d’authentification hérité.
46
Chapitre 3 Authentification Open Directory
Attaques hors ligne sur des mots de passe
Du fait que les mots de passe cryptés sont stockés directement dans les comptes
d’utilisateur, ils sont susceptibles d’être piratés.
Les comptes d’utilisateur qui se trouvent dans un domaine de répertoire partagé sont
accessibles sur le réseau. Toute personne connectée au réseau et disposant de Gestionnaire de groupe de travail ou sachant utiliser les outils à lignes de commandes peut lire le
contenu des comptes d’utilisateur, y compris les mots de passe cryptés qui y sont stockés.
Les mots de passe Open Directory et les mots de passe shadow ne sont pas stockés
dans les comptes d’utilisateur ; ils ne peuvent donc pas être lus à partir des domaines
de répertoire.
Un attaquant malveillant ou un pirate informatique pourrait utiliser Gestionnaire de
groupe de travail ou des commandes UNIX pour copier des enregistrements d’utilisateur dans un fichier. Le pirate peut ensuite transférer ce fichier vers un autre système et
utiliser différentes techniques pour décoder les mots de passe cryptés stockés dans les
enregistrements d’utilisateur. Après avoir décodé un mot de passe crypté, le pirate peut
ouvrir une session incognito avec un nom d’utilisateur et un mot de passe crypté valides.
Avec ce type d’attaque « hors ligne », il n’est pas nécessaire d’effectuer plusieurs tentatives d’ouverture de session successives pour accéder à un système.
Une façon efficace de lutter contre le piratage de mots de passe consiste à utiliser de
bons mots de passe et d’éviter d’utiliser des mots de passe cryptés. Les mots de passe
doivent contenir des lettres, des chiffres et des symboles et former des combinaisons
difficiles à deviner par les utilisateurs non autorisés.
Ils ne doivent pas être constitués de mots existants. Ils peuvent contenir des chiffres
et des symboles (comme, par exemple, # ou $) ou être composés de la première lettre de tous les mots d’une phrase. Utilisez une combinaison de lettres minuscules et
majuscules.
Les mots de passe shadow et les mots de passe Open Directory sont beaucoup
moins sujets à l’attaque hors ligne car ils ne sont pas stockés dans les enregistrements d’utilisateur.
Les mots de passe shadow sont stockés dans des fichiers séparés, uniquement lisibles par une personne qui connaît le mot de passe du compte de l’utilisateur racine
(appelé aussi administrateur système).
Les mots de passe Open Directory sont enregistrés de manière sûre dans le centre de
distribution de clés Kerberos et dans la base de données du serveur de mots de passe
Open Directory. Le mot de passe Open Directory d’un utilisateur ne peut être lu par
d’autres utilisateurs, pas même par un utilisateur disposant d’autorisations d’administrateur pour l’authentification Open Directory. (Cet administrateur ne peut changer
que les mots de passe Open Directory et les politiques de mot de passe.)
Chapitre 3 Authentification Open Directory
47
Les mots de passe cryptés ne sont pas considérés comme sécurisés. Il est recommandé
de ne les utiliser que pour les comptes d’utilisateur qui doivent être compatibles avec
des clients UNIX qui les requièrent ou pour des clients sous Mac OS X 10.1. Comme ils
sont stockés dans les comptes d’utilisateur, ils sont aussi accessibles et susceptibles
d’être la cible d’attaques hors ligne (consultez la rubrique « Attaques hors ligne sur des
mots de passe »). Bien que stockés sous une forme encodée, ils sont relativement faciles à décoder.
Comment les mots de passe cryptés sont cryptés
Les mots de passe cryptés ne sont pas stockés en clair ; ils sont dissimulés et rendus
illisibles par le cryptage. Le procédé de cryptage d’un mot de passe crypté consiste à
introduire le mot de passe en clair et un nombre aléatoire dans une fonction mathématique (appelée fonction de hachage unidirectionnelle). Une fonction de hachage unidirectionnelle génère toujours la même valeur cryptée à partir de données en entrée
spécifiques, mais ne peut être utilisée pour recréer le mot de passe original à partir
des données en sortie cryptées qu’elle génère.
Pour valider un mot de passe à l’aide de la valeur cryptée, Mac OS X applique la fonction au mot de passe tapé par l’utilisateur et la compare à la valeur stockée dans le
compte d’utilisateur ou le fichier shadow. Si les valeurs se correspondent, le mot de
passe est considéré valide.
Détermination de l’option d’authentification à utiliser
Pour authentifier un utilisateur, Open Directory doit d’abord déterminer l’option
d’authentification à utiliser : Kerberos, le serveur de mots de passe Open Directory,
le mot de passe shadow ou le mot de passe crypté. Le compte de l’utilisateur contient
les informations spécifiant l’option d’authentification à utiliser. Ces informations
portent le nom d’attribut d’autorité d’authentification.
Open Directory se sert du nom fourni par l’utilisateur pour trouver le compte de l’utilisateur dans le domaine de répertoire. Open Directory consulte alors l’attribut d’autorité d’authentification présent dans le compte de l’utilisateur pour connaître l’option
d’authentification à appliquer.
48
Chapitre 3 Authentification Open Directory
Vous pouvez changer l’attribut d’autorité d’authentification d’un utilisateur en changeant le type de mot de passe dans la sous-fenêtre Avancé de Gestionnaire de groupe
de travail, comme illustré dans le tableau qui suit. Pour en savoir plus, reportez-vous à
la rubrique « Modification du type de mot de passe d’un utilisateur » à la page 125.
Attribut dans l’enregistrement
d’utilisateur
Type de mot de passe
Autorité d’authentification
Open Directory
Serveur de mots de passe Open
Directory et Kerberos1
Mot de passe shadow
Fichier de mots de passe de cha- L’un ou l’autre :
que utilisateur, lisible unique ;ShadowHash;2
ment par le compte d’utilisateur  ;ShadowHash;<liste des méthoroot
des d’authentification activées>
Mot de passe crypté
Mot de passe encodé dans
l’enregistrement d’utilisateur
L’un ou l’autre, ou les deux :
 ;ApplePasswordServer;
 ;Kerberosv5;
L’un ou l’autre :
 ;basic;
 pas d’attribut du tout
Les comptes d’utilisateur de Mac OS X Server 10.2 doivent être réinitialisés pour qu’ils contiennent l’attribut d’autorité d’authentification Kerberos. Consultez la rubrique « Activation de l’authentification Kerberos par signature
unique pour un utilisateur » à la page 129.
2 Si l’attribut qui figure dans l’enregistrement d’utilisateur est ;ShadowHash; sans liste de méthodes d’authentification activées, ce sont les méthodes d’authentification par défaut qui sont activées. La liste des méthodes d’authentification par défaut est différente pour Mac OS X Server et Mac OS X.
1
L’attribut d’autorité d’authentification peut spécifier plusieurs options d’authentification. Par exemple, un compte d’utilisateur avec un mot de passe de type Open Directory possède normalement un attribut d’autorité d’authentification qui spécifie tant
Kerberos que le serveur de mots de passe Open Directory.
Un compte d’utilisateur ne doit pas nécessairement contenir un attribut d’autorité
d’authentification. Dans ce cas, Mac OS X Server suppose qu’un mot de passe crypté
est enregistré dans le compte d’utilisateur. Par exemple, les comptes d’utilisateur créés
à l’aide de la version 10.1 ou antérieure de Mac OS X contiennent un mot de passe
crypté mais pas d’attribut d’autorité d’authentification.
Chapitre 3 Authentification Open Directory
49
Politiques de mot de passe
Open Directory applique les politiques de mot de passe pour les utilisateurs dont le
type de mot de passe est Open Directory ou Mot de passe Shadow. Une politique de
mot de passe d’utilisateur peut, par exemple, spécifier un délai d’expiration du mot de
passe. Si, au moment où l’utilisateur ouvre une session, Open Directory constate que
le mot de passe a expiré, l’utilisateur devra remplacer ce mot de passe. Open Directory
pourra alors authentifier l’utilisateur.
Les politiques de mot de passe peuvent désactiver un compte d’utilisateur à une date
donnée, après un certain nombre de jours, après une période d’inactivité ou après un
certain nombre de tentatives d’ouverture de session infructueuses. Elles peuvent aussi
exiger que le mot de passe soit composé au minimum d’un certain nombre de caractères, qu’il contienne au moins une lettre ou un chiffre, qu’il soit différent du nom d’utilisateur, qu’il diffère des mots de passe précédemment choisis ou qu’il soit modifié
régulièrement.
La politique de mot de passe pour un compte d’utilisateur mobile est d’application
lorsque le compte est utilisé aussi bien lorsqu’il est déconnecté du réseau que lorsqu’il
est connecté au réseau. La politique de mot de passe d’un compte d’utilisateur mobile
est mise en mémoire cache pour son utilisation hors ligne. Pour en savoir plus sur les
comptes d’utilisateur mobiles, consultez Gestion des utilisateurs.
Les politiques de mot de passe n’affectent pas les comptes d’administrateur. Les administrateurs sont exclus des politiques de mot de passe car ils peuvent modifier ces politiques comme ils le souhaitent. De plus, appliquer des politiques de mot de passe à des
administrateurs pourrait en faire la cible d’attaques par déni de service.
Kerberos et le serveur de mots de passe Open Directory maintiennent des politiques de
mot de passe séparées. Un serveur Open Directory synchronise les règles de politique
de mot de passe Kerberos avec les règles de politique de mot de passe du serveur de
mots de passe Open Directory.
50
Chapitre 3 Authentification Open Directory
Authentification par signature unique
Mac OS X Server utilise Kerberos pour l’authentification par signature unique, ce qui permet aux utilisateurs de ne pas devoir taper un nom d’utilisateur et un mot de passe différents pour chacun des services. Avec la signature unique, un utilisateur tape toujours
un nom d’utilisateur et un mot de passe dans la fenêtre d’ouverture de session. Par
contre, une fois la session ouverte, il ne doit plus saisir de nom d’utilisateur ni de mot
de passe pour accéder au service de fichiers Apple, au service de messagerie ni aux
autres services qui utilisent l’authentification Kerberos.
Pour pouvoir bénéficier de la signature unique, les utilisateurs et les services doivent
être Kerberisés, c’est-à-dire configurés pour l’authentification par Kerberos, et utiliser
le même serveur de centre de distribution de clés Kerberos.
Les comptes d’utilisateur qui résident dans un répertoire LDAP de Mac OS X Server et
qui possèdent un mot de passe de type Open Directory utilisent le centre de distribution de clés intégré du serveur. Ces comptes d’utilisateur sont configurés automatiquement pour Kerberos et la signature unique. Les services kerbérisés du serveur utilisent
également le centre de distribution de clés intégré du serveur et sont configurés automatiquement pour la signature unique.
Ce centre de distribution de clés Mac OS X Server peut aussi authentifier les utilisateurs
pour les services fournis par d’autres serveurs. Pour que des serveurs supplémentaires
sous Mac OS X Server utilisent le centre de distribution de clés de Mac OS X Server,
très peu de configuration est nécessaire.
Authentification Kerberos
Kerberos est un protocole d’authentification en réseau développé par le MIT en vue
de fournir une authentification et des communications sûres en réseaux ouverts,
tels qu’Internet. Il porte le nom du chien à trois têtes qui gardait l’accès au monde
souterrain dans la mythologie grecque.
Kerberos fournit des preuves d’identité aux deux parties. Il vous permet de prouver
qui vous êtes auprès des services réseau que vous voulez utiliser. Il prouve aussi à vos
applications que les services réseau sont authentiques et n’ont pas fait l’objet d’une
opération de spoofing (mystification).
Comme d’autres systèmes d’authentification, Kerberos ne fournit toutefois pas d’autorisation. Chaque service réseau détermine ce que vous pouvez faire en fonction de
l’identité que vous avez prouvée.
Chapitre 3 Authentification Open Directory
51
Kerberos permet à un client et à un serveur de s’identifier mutuellement de façon nettement plus sûre que les méthodes d’authentification par mot de passe et par question-réponse traditionnelles. Kerberos fournit aussi un environnement à signature
unique dans lequel les utilisateurs ne doivent s’authentifier qu’une fois par jour,
par semaine ou par période, ce qui allège la fréquence des authentifications.
Mac OS X Server offre une prise en charge intégrée de Kerberos que vraiment tout le
monde peut déployer. En fait, le déploiement de Kerberos est à ce point automatique
que les utilisateurs et les administrateurs ne remarqueront peut-être même pas qu’il est
déployé.
Mac OS X 10.3 et ultérieur utilise Kerberos automatiquement lorsqu’un utilisateur ouvre
une session à l’aide d’un compte configuré pour l’authentification par Open Directory.
Il s’agit du réglage par défaut pour les comptes d’utilisateur dans le répertoire LDAP
de Mac OS X Server. D’autres services fournis par le serveur de répertoire LDAP comme,
par exemple, les services AFP et ceux de courrier électronique, utilisent aussi Kerberos
automatiquement.
Si votre réseau comporte d’autres serveurs sous Mac OS X Server 10.5, il est aisé de
les joindre au serveur Kerberos ; la plupart de leurs services utilisent alors Kerberos
automatiquement.
D’un autre côté, si votre réseau dispose d’un système Kerberos comme, par exemple,
Microsoft Active Directory, vous pouvez configurer vos ordinateurs Mac OS X Server et
Mac OS X pour qu’ils l’utilisent pour l’authentification.
52
Chapitre 3 Authentification Open Directory
Mac OS X Server et Mac OS X 10.3 ou ultérieur prennent en charge Kerberos 5.
Mac OS X Server et Mac OS X 10.5 ne prennent pas en charge Kerberos 4.
Surmonter les obstacles du déploiement de Kerberos
Jusqu’il y a peu, Kerberos était une technologie destinée aux universités et aux sites
gouvernementaux. Il n’était pas utilisé à plus grande échelle parce que certains obstacles en matière d’adoption devait être levés.
Mac OS X et Mac OS X Server 10.3 ou ultérieur éliminent les obstacles historiques
suivants à l’adoption de Kerberos :
 Un administrateur devait configurer un centre de distribution de clés Kerberos.
C’était difficile à déployer et à administrer.
 Il n’y avait pas d’intégration standard avec un système de répertoire. Kerberos ne
fait que de l’authentification. Il ne stocke pas de données de compte d’utilisateur
comme, par exemple, l’identifiant d’utilisateur (UID), l’emplacement du dossier de
départ ou l’appartenance à un groupe. L’administrateur devait arriver à comprendre comment intégrer Kerberos à un système de répertoire.
 Tous les serveurs devaient être inscrits au centre de distribution de clés Kerberos.
Cela ajoutait une étape supplémentaire au processus de configuration du serveur.
 Après avoir configuré un serveur Kerberos, l’administrateur devait se rendre sur
tous les ordinateurs clients et les configurer un à un pour l’utilisation de Kerberos.
Cela prenait beaucoup de temps et nécessitait la modification de fichiers de configuration et l’utilisation d’outils de ligne de commande.
 Il fallait disposer d’une suite d’applications kerbérisées (logiciels serveur et client).
Certaines des applications de base étaient disponibles, mais les porter et les adapter pour qu’elles fonctionnent dans votre environnement n’était pas chose aisée.
 Tous les protocoles de réseau utilisés pour l’authentification client-serveur ne prennent pas en charge Kerberos. Certains protocoles de réseau nécessitent toujours des
méthodes d’authentification défi-réponse traditionnelles et il n’y a pas de façon standard d’intégrer Kerberos à ces méthodes d’authentification réseau patrimoniales.
 Le client Kerberos prend en charge le basculement de sorte que, si un centre de
distribution de clés est hors ligne, il peut utiliser une réplique, mais l’administrateur
devait arriver à comprendre comment configurer une réplique Kerberos.
 Les outils d’administration n’ont jamais été intégrés. Les outils pour la création et
la modification de comptes d’utilisateur dans le domaine de répertoire ne savaient
rien de Kerberos et les outils Kerberos ne savaient rien des comptes d’utilisateur
dans les répertoires. Configurer un enregistrement d’utilisateur était une opération
spécifique au site, qui dépendait de la façon dont le centre de distribution de clés
était intégré au système de répertoire.
Chapitre 3 Authentification Open Directory
53
Expérience en matière de signature unique
Kerberos est un système d’informations d’authentification ou un système à base de
tickets. L’utilisateur ouvre une session sur le système Kerberos et reçoit un ticket avec
une certaine durée de vie. Pendant la durée de vie de ce ticket, l’utilisateur ne doit
jamais se réauthentifier pour accéder à un service kerbérisé.
Le logiciel client kerbérisé de l’utilisateur, comme, par exemple, l’application Mail de
Mac OS X, présente un ticket Kerberos valide pour authentifier l’utilisateur pour un
service kerbérisé. C’est cela la signature unique.
Un ticket Kerberos, c’est comme une carte de presse pour un festival de jazz qui se
tient dans différentes boîtes de nuit sur trois jours. Vous devez prouver votre identité
une fois pour obtenir la carte de presse. Jusqu’à son expiration, il suffit de la montrer
à une des boîtes de nuit pour obtenir un ticket pour un spectacle. Toutes les boîtes de
nuit participantes acceptent votre carte de presse sans vous demander de prouver à
nouveau votre identité.
Authentification sécurisée
Intrinsèquement Internet n’est pas sécurisé et peu de protocoles d’authentification
fournissent une véritable sécurité. Les pirates informatiques peuvent utiliser des outils
logiciels tout prêts pour intercepter les mots de passe qui transitent par un réseau.
De nombreuses applications envoient, en effet, les mots de passe en clair. Ces derniers
sont prêts à l’emploi dès qu’ils sont interceptés. Même les mots de passe cryptés ne
sont pas tout à fait sûrs. S’il dispose de temps et de puissance de calcul, un pirate peut
aussi craquer les mots de passe cryptés.
Pour isoler les mots de passe sur votre réseau privé, vous pouvez utiliser un coupe-feu,
mais cela ne résout pas tous les problèmes. Par exemple, un coupe-feu ne protège pas
contre les initiés mécontents ou malveillants.
Kerberos a été conçu pour solutionner les problèmes de sécurité de réseau. Il ne transmet jamais le mot de passe de l’utilisateur sur le réseau ni n’enregistre le mot de passe
dans la mémoire ou sur le disque de l’ordinateur de l’utilisateur. De cette façon, même
si les informations d’authentification Kerberos sont craquées ou compromises, l’attaquant ne connaîtra pas le mot de passe original et ne pourra, le cas échéant, compromettre qu’une petite partie du réseau et non l’ensemble du réseau.
En plus d’une gestion des mots de passe plus efficace, Kerberos procède aussi à
une authentification mutuelle. Le client s’authentifie auprès du service et le service
s’authentifie auprès du client. Une attaque "man-in-the-middle" ou de mystification
est impossible lorsque vous utilisez des services kerbérisés. Les utilisateurs peuvent
donc faire confiance aux services auxquels ils accèdent.
54
Chapitre 3 Authentification Open Directory
Prêt à aller au-delà des mots de passe
L’authentification réseau est difficile : pour déployer une méthode d’authentification
réseau, le client et le serveur doivent se mettre d’accord sur la méthode d’authentification. Et bien qu’il soit possible pour n’importe quels processus client-serveur de se mettre d’accord sur une méthode d’authentification personnalisée, obtenir une adoption
généralisée d’une multitude de protocoles réseau, de plates-formes et de clients différents est presque impossible.
Par exemple, imaginez que vous souhaitiez déployer des cartes à puce intelligentes
comme méthode d’authentification réseau. Sans Kerberos, vous devriez modifier chaque protocole client-serveur pour qu’il prenne en charge la nouvelle méthode. La liste
des protocoles est longue : SMTP, POP, IMAP, AFP, SMB, HTTP, FTP, IPP, SSH, QuickTime
Streaming, DNS, LDAP, domaine de répertoire local, RPC, NFS, AFS, WebDAV, LPR et ainsi
de suite.
Si l’on considère tous les logiciels qui font de l’authentification réseau, déployer une
nouvelle méthode d’authentification parmi l’ensemble des protocoles réseau est une
tâche titanesque. Bien que cela semble faisable pour les logiciels d’un seul et unique
fournisseur, il est peu probable que vous arriviez à convaincre tous les fournisseurs de
modifier leur logiciel client pour qu’il utilise votre nouvelle méthode d’authentification
par cartes à puce intelligentes. De plus, vous voudrez probablement aussi que votre
authentification fonctionne sur plusieurs plates-formes (comme, par exemple,
Mac OS X, Windows et UNIX).
Grâce à la conception de Kerberos, un binaire ou protocole client-serveur prenant
en charge Kerberos ne sait même pas comment l’utilisateur prouve son identité.
C’est pourquoi il vous suffit de modifier le client Kerberos et le serveur Kerberos de
façon à ce qu’ils acceptent une nouvelle preuve d’identité comme, par exemple,
une carte intelligente. L’ensemble de votre réseau Kerberos a maintenant adopté
la nouvelle méthode de preuve d’identité, sans qu’il soit nécessaire de déployer de
nouvelles versions des logiciels client et serveur.
Authentification multiplateforme
Kerberos est disponible sur les principales plates-formes, y compris Mac OS X,
Windows, Linux et d’autres variantes d’UNIX.
Authentification centralisée
Kerberos fournit une autorité d’authentification centrale pour le réseau. Tous les services et tous les clients compatibles avec Kerberos utilisent cette autorité centrale.
Les administrateurs peuvent vérifier et contrôler les politiques et les opérations
d’authentification de façon centralisée.
Chapitre 3 Authentification Open Directory
55
Services kerbérisés
Kerberos peut authentifier des utilisateurs pour les services suivants de Mac OS X Server :
 Fenêtre d’ouverture de session
 Service de messagerie
 Service de fichiers AFP
 Service de fichiers FTP
 Service de fichiers SMB (en tant que membre d’un royaume Kerberos Active Directory)
 Service VPN
 Service Web Apache
 Service de répertoire LDAP
 Service iChat
 Service d’impression
 Service de fichiers NFS
 Xgrid
Ces services ont été kerbérisés, qu’ils tournent ou non. Seuls ces services peuvent utiliser Kerberos pour authentifier un utilisateur. Mac OS X Server contient des outils de
ligne de commande pour kerbériser d’autres services qui sont compatibles avec le
Kerberos du MIT. Pour en savoir plus, consultez le chapitre consacré à Open Directory
du Administration de ligne de commande.
Configuration de services pour Kerberos après la mise à niveau
Après la mise à niveau à Mac OS X Server 10.5, il se peut que vous deviez configurer
certains services de façon à ce qu’ils utilisent l’authentification Kerberos par signature
unique. Ces services n’étaient soit pas configurés de façon à utiliser Kerberos ou ne
faisaient pas partie de la version antérieure de Mac OS X Server.
Si cette condition existe, un message sur celle-ci apparaît lorsque vous vous connectez
au serveur dans Admin Serveur. Le message apparaît dans la sous-fenêtre Vue d’ensemble lorsque vous sélectionnez le serveur (pas un service) dans la liste des serveurs.
Pour configurer les nouveaux services et les services mis à niveau de façon à ce qu’ils
utilisent Kerberos :
1 Ouvrez Admin Serveur et connectez-vous au serveur mis à niveau.
2 Cliquez sur le triangle se trouvant à gauche du serveur.
La liste des services apparaît.
3 Dans la liste Serveurs développée, sélectionnez Open Directory.
4 Cliquez sur Réglages, puis sur Général.
5 Cliquez sur Kerbériser les services, puis saisissez le nom et le mot de passe d’un compte
d’administrateur de répertoire LDAP.
Les services déjà configurés pour l’utilisation de Kerberos ne sont pas concernés.
56
Chapitre 3 Authentification Open Directory
Principaux et royaumes Kerberos
Les services kerbérisés sont configurés pour authentifier les principaux connus d’un
royaume donné. Un royaume Kerberos peut être considéré comme une base de données
ou un domaine d’authentification Kerberos spécifique contenant des données de validation pour les utilisateurs, les services et parfois les serveurs (tous appelés principaux).
Par exemple, un royaume contient des clés secrètes de principaux qui résultent d’une
fonction unidirectionnelle appliquée à des mots de passe.
Les principaux de service sont généralement basés sur des secrets générés de façon
aléatoires plutôt que sur des mots de passe.
Voici des exemples de noms de royaume et de principal. Les noms de royaume sont
écrits en majuscules par convention pour les distinguer des noms de domaine DNS :
 Royaume : MONROYAUME.EXEMPLE.COM
 Utilisateur principal : [email protected]
 Service principal : serveurafp/[email protected]
Processus d’authentification Kerberos
L’authentification Kerberos se fait en plusieurs étapes. Lors de la première étape,
le client obtient des informations d’authentification servant à demander l’accès
aux services kerbérisés. Lors de la deuxième phase, le client requiert l’authentification
pour un service donné. Lors de la dernière étape, le client présente les informations
d’authentification au service.
L’illustration suivante schématise ces activités. Le service et le client peuvent être la
même entité (comme, par exemple, la fenêtre d’ouverture de session) ou deux entités
différentes (comme, par exemple, un client de messagerie électronique et le serveur
de messagerie).
Centre de
distribution
de clés (KDC)
4
6
Service
kerbérisé
2
3
Client
1
Chapitre 3 Authentification Open Directory
5
57
1 Le client s’authentifie auprès d’un centre de distribution de clés Kerberos, qui communique avec les royaumes pour accéder aux données d’authentification. C’est la seule
étape à laquelle les mots de passe et les informations de politique de mot de passe qui
y sont associées sont vérifiées.
2 Le centre de distribution de clés envoie un ticket d’octroi de ticket au client. Ce ticket
constitue les informations d’authentification requises lorsque le client veut utiliser les
services kerbérisés et sont valables pour une période configurable, mais peuvent être
révoquées avant l’expiration. Ils sont placés sur le client jusqu’à leur expiration.
3 Le client contacte le centre de distribution de clés avec le ticket d’octroi de ticket
lorsqu’il souhaite utiliser un service kerbérisé donné.
4 Le centre délivre un ticket pour ce service.
5 Le client présente le ticket au service.
6 Le service authentifie le client en vérifiant que le ticket est valide.
Après avoir authentifié le client, le service détermine si le client est autorisé à utiliser
le service.
Kerberos ne fait qu’authentifier les clients, il ne les autorise pas à utiliser des services.
Par exemple, de nombreux services utilisent les listes de contrôle d’accès à un service
(SACL) de Mac OS X Server pour déterminer si un client est autorisé à utiliser le service.
Kerberos n’envoie jamais de mot de passe ni d’informations de politique de mot de
passe à un service. Une fois qu’un ticket d’octroi de ticket est obtenu, plus aucune
information de mot de passe n’est fournie.
La notion de temps est très importante pour Kerberos. Si le client et le centre de distribution de clés ne sont pas synchronisés à quelques minutes près, le client ne réussira
pas à s’authentifier avec le centre. Les informations concernant la date, l’heure et le
fuseau horaire doivent être correctes sur le serveur du centre de distribution de clés et
sur les clients. Il est recommandé que le serveur et les clients utilisent tous le même
service d’horloge réseau pour que leurs horloges restent synchronisées.
Pour en savoir plus sur Kerberos, allez sur le site web du MIT consacré à Kerberos,
à l’adresse web.mit.edu/kerberos/www/index.html.
58
Chapitre 3 Authentification Open Directory
Méthodes d’authentification par serveur de mots de passe
Open Directory et par mot de passe shadow
À des fins de compatibilité avec différents services, Mac OS X Server peut utiliser plusieurs méthodes d’authentification pour valider les mots de passe Open Directory et
les mots de passe shadow.
Pour les mots de passe Open Directory, Mac OS X Server utilise la méthode standard
Simple Authentication and Security Layer (SASL) pour négocier une méthode d’authentification entre un client et un service.
Pour les mots de passe shadow, l’utilisation de SASL dépend du protocole de réseau.
Les méthodes d’authentification suivantes sont prises en charge :
Méthode
Sécurité du réseau
Sécurité du stockage
Utilise
APOP
Crypté, avec solution de Texte en clair
secours à texte en clair
Service de courrier POP
CRAM-MD5
Crypté, avec solution de Crypté
secours à texte en clair
Service de courrier
IMAP, service LDAP
DHX
Crypté
Crypté
Service de fichiers AFP,
administration Open
Directory
Digest-MD5
Crypté
Crypté
Fenêtre d’ouverture de
session, service de messagerie
MS-CHAPv2
Crypté
Crypté
Service VPN
NTLMv1 et NTLMv2
Crypté
Crypté
Services SMB (Windows NT/98 ou ultérieur)
LAN Manager
Crypté
Crypté
Services SMB
(Windows 95)
WebDAV-Digest
Crypté
Texte en clair
Service de fichiers
WebDAV (iDisk)
Open Directory prend en charge de nombreuses méthodes d’authentification parce
que tous les services qui requièrent de l’authentification utilisent certaines méthodes
et pas d’autres. Par exemple, les services de fichiers utilisent un ensemble de méthodes
d’authentification, le service Web en utilise un autre, le service de courrier encore un
autre, etc.
Certaines méthodes d’authentification sont plus sûres. Les méthodes les plus sûres utilisent des algorithmes plus robustes pour encoder les données transmises entre le client
et le serveur. Les méthodes d’authentification les plus sûres stockent en outre les mots
de passe sous la forme de condensés numériques, difficiles à récupérer à partir du serveur. Les méthodes les moins sûres stockent les mots de passe en clair, ce qui les rend
faciles à récupérer.
Chapitre 3 Authentification Open Directory
59
Personne, pas même un administrateur ni un utilisateur racine, ne peut récupérer des
mots de passe cryptés en les lisant dans la base de données. Un administrateur peut
utiliser Gestionnaire de groupe de travail pour définir le mot de passe d’un utilisateur,
mais l’administrateur ne peut lire aucun mot de passe d’utilisateur.
Si vous connectez Mac OS X Server 10.4 ou ultérieur à un domaine de répertoire de
Mac OS X Server 10.3 ou antérieur, sachez que les utilisateurs définis dans le domaine
de répertoire le plus ancien ne peuvent être authentifiés par la méthode NTLMv2. Cette
méthode peut s’avérer nécessaire pour authentifier de façon sûre certains utilisateurs
Windows pour les services Windows de Mac OS X Server 10.4 et ultérieur.
Le serveur de mots de passe Open Directory de Mac OS X Server 10.4 ou ultérieur
prend en charge l’authentification NTLMv2, mais le serveur de mots de passe de
Mac OS X Server 10.3 ou antérieur ne prend pas en charge NTLMv2.
Si vous connectez Mac OS X Server 10.3 ou ultérieur à un domaine de répertoire de
Mac OS X Server 10.2 ou antérieur, les utilisateurs définis dans le domaine de répertoire
le plus ancien ne peuvent être authentifiés par la méthode MS-CHAPv2. Or cette
méthode peut s’avérer nécessaire pour authentifier de façon sûre des utilisateurs pour
le service VPN de Mac OS X Server 10.3 ou ultérieur.
Le serveur de mots de passe Open Directory de Mac OS X Server 10.3 ou ultérieur
prend en charge l’authentification MS-CHAPv2, mais le serveur de mots de passe de
Mac OS X Server 10.2 ou antérieur ne prend pas en charge MS-CHAPv2.
Désactivation des méthodes d’authentification Open Directory
Pour renforcer la sécurité du stockage des mots de passe Open Directory sur le serveur, vous pouvez désactiver des méthodes d’authentification de manière sélective.
Par exemple, si aucun client ne va utiliser les services Windows, vous pouvez désactiver
les méthodes d’authentification NTLMv1, NTLMv2 et LAN Manager afin d’empêcher
le stockage de mots de passe sur le serveur à l’aide de ces méthodes. Ainsi, toute personne qui accéderait à votre base de données de mots de passe sans autorisation
ne pourrait pas exploiter les vulnérabilités de ces méthodes d’authentification pour
craquer des mots de passe.
Important : si vous désactivez une méthode d’authentification, son condensé numérique est supprimé de la base de données de mots de passe à la prochaine authentification de l’utilisateur. Si vous activez une méthode d’authentification qui était désactivée,
chaque mot de passe Open Directory doit être réinitialisé pour ajouter le condensé
numérique de la méthode nouvellement activée à la base de données de mots de
passe. Les utilisateurs peuvent réinitialiser leurs propres mots de passe ou un administrateur de répertoire peut le faire pour eux.
60
Chapitre 3 Authentification Open Directory
Désactiver une méthode d’authentification rend la base de données du serveur de
mots de passe Open Directory plus sûre au cas où un utilisateur non autorisé aurait
accès physiquement à un serveur Open Directory (maître ou réplique) ou à un support
contenant une copie de sauvegarde du maître Open Directory.
Une personne qui arriverait à accéder à la base de données de mots de passe peut tenter de craquer le mot de passe d’un utilisateur en attaquant le condensé numérique
ou le texte récupérable stocké dans la base de données de mots de passe à l’aide de
n’importe quelle méthode d’authentification. Rien n’est stocké dans la base de données de mots de passe par une méthode d’authentification désactivée, ce qui laisse
une voie de pénétration de moins ouverte à un pirate qui aurait accès physiquement
au serveur Open Directory ou à une copie de sauvegarde de ce dernier.
Certains condensés numériques stockés dans la base de données de mots de passe sont
plus faciles à craquer que d’autres. Les méthodes d’authentification récupérables stockent du texte en clair (parfaitement lisible). Désactiver les méthodes d’authentification
qui stockent du texte en clair ou des condensés numériques plus faibles augmente plus
la sécurité de la base de données de mots de passe que désactiver des méthodes qui
stockent des condensés numériques plus forts.
Si vous pensez que votre maître, répliques et sauvegardes Open Directory sont sûres,
sélectionnez toutes les méthodes d’authentification. Si vous vous souciez de la sécurité
physique d’un serveur Open Directory ou de ses supports de copies de sauvegarde,
vous devriez désactiver certaines méthodes.
Remarque : désactiver des méthodes d’authentification n’améliore pas la sécurité
des mots de passe pendant qu’ils transitent par le réseau. Seule la sécurité de la base
de données de mots de passe est concernée. En fait, désactiver certaines méthodes
d’authentification peut contraindre certains clients à configurer leur logiciel pour qu’il
envoie les mots de passe par le réseau sous la forme de texte en clair, ce qui risque de
compromettre la sécurité des mots de passe d’une autre façon.
Chapitre 3 Authentification Open Directory
61
Désactivation des méthodes d’authentification de mots de passe shadow
Les méthodes d’authentification peuvent être désactivées de manière sélective afin
de rendre plus sûr le stockage des mots de passe dans des fichiers de mots de passe
shadow. Par exemple, si un utilisateur n’utilise ni le service de courrier électronique ni
le service Web, vous pouvez désactiver les méthodes WebDAV-Digest et APOP pour cet
utilisateur. Ainsi, toute personne qui accéderait aux fichiers de mots de passe shadow
sur un serveur d’une manière ou d’une autre ne pourrait pas récupérer le mot de passe
de l’utilisateur.
Important : si vous désactivez une méthode d’authentification de mots de passe shadow, son condensé numérique est supprimé du fichier de mots de passe de l’utilisateur à la prochaine authentification de l’utilisateur. Si vous activez une méthode
d’authentification qui était désactivée, le condensé numérique de la méthode nouvellement activée est ajouté au fichier de mots de passe shadow de l’utilisateur à la prochaine authentification de l’utilisateur pour un service qui peut utiliser un mot de passe
en clair comme, par exemple, la fenêtre d’ouverture de session ou AFP. D’un autre côté,
le mot de passe de l’utilisateur peut être réinitialisé pour ajouter le condensé numérique de la méthode nouvellement activée. Les utilisateurs peuvent réinitialiser leurs
propres mots de passe ou un administrateur de répertoire peut le faire pour eux.
Désactiver une méthode d’authentification rend le mot de passe shadow plus sûr si un
utilisateur malveillant avait accès physiquement aux fichiers de mots de passe shadow
d’un serveur ou à un support contenant une copie de sauvegarde des fichiers de mots
de passe shadow. Une personne qui arriverait à accéder aux fichiers de mots de passe
peut tenter de craquer le mot de passe d’un utilisateur en attaquant le condensé
numérique ou le texte récupérable stocké dans la base de données de mots de passe
à l’aide de n’importe quelle méthode d’authentification.
Rien n’est stocké par une méthode d’authentification désactivée, ce qui laisse une voie
de pénétration de moins ouverte à un pirate qui aurait accès physiquement au fichier
de mots de passe shadow ou à une copie de sauvegarde de ce dernier.
Les condensés numériques stockés par certaines méthodes d’authentification sont plus
faciles à craquer que ceux d’autres méthodes. Avec les méthodes d’authentification
récupérables, le mot de passe en clair original peut être reconstruit à partir de ce qui
est stocké dans le fichier. Désactiver les méthodes d’authentification qui stockent
des condensés numériques récupérables ou plus faibles augmente plus la sécurité
du fichier de mots de passe shadow que désactiver des méthodes qui stockent des
condensés numériques plus forts.
Si vous pensez que les fichiers mot de passe shadow et les sauvegardes d’un serveur
sont sûres, sélectionnez toutes les méthodes d’authentification. Si vous vous souciez
de la sécurité physique du serveur ou de ses supports de sauvegarde, désactivez
les méthodes que vous n’utilisez pas.
62
Chapitre 3 Authentification Open Directory
Remarque : désactiver des méthodes d’authentification n’améliore pas la sécurité des
mots de passe pendant qu’ils transitent par le réseau ; seule la sécurité du stockage des
mots de passe est concernée. Désactiver certaines méthodes d’authentification peut
contraindre certains clients à configurer leur logiciel pour qu’il envoie les mots de passe
par le réseau sous la forme de texte en clair, ce qui risque de compromettre la sécurité
des mots de passe d’une autre façon.
Contenu de la base de données du serveur de mots de passe
Open Directory
Le serveur de mots de passe Open Directory tient à jour une base de données
d’authentification distincte du domaine de répertoire de . Open Directory restreint
très fort l’accès à la base de données d’authentification.
Le serveur de mots de passe Open Directory stocke les informations suivantes dans sa
base de données d’authentification pour chaque compte d’utilisateur possédant un
mot de passe de type Open Directory.
 L’identifiant de mot de passe de l’utilisateur, une valeur 128 bits attribuée lors de la
création du mot de passe. Il est également enregistré dans l’enregistrement de l’utilisateur, dans le domaine de répertoire, et est utilisé comme clé d’accès à l’enregistrement
d’utilisateur dans la base de données du serveur de mot de passe Open Directory.
 Le mot de passe stocké sous une forme récupérable (en clair) ou sous la forme d’un
condensé numérique (crypté). La forme varie en fonction de la méthode d’authentification. Un mot de passe récupérable est enregistré pour les méthodes d’authentification APOP et WebDAV. Pour toutes les autres méthodes, l’enregistrement se fait sous
la forme d’un mot de passe crypté. Si aucune méthode d’authentification exigeant
un mot de passe en clair n’est activée, la base de données d’authentification d’Open
Directory enregistre les mots de passe sous forme cryptée uniquement.
 Le nom abrégé de l’utilisateur (utilisé dans les messages d’historiques consultables
dans Admin Serveur).
 Des données de politique de mot de passe.
 Des horodatages et autres informations sur l’utilisation comme, par exemple,
l’heure de la dernière ouverture de session, l’heure de la dernière validation échouée,
le nombre de validations échouées et des informations de réplication.
Authentification par liaison LDAP
Pour les comptes d’utilisateur qui résident dans un répertoire LDAP sur un serveur non
Apple, Open Directory tente d’utiliser l’authentification par liaison LDAP. Open Directory
envoie au serveur de répertoire LDAP le nom et le mot de passe fournis par l’utilisateur
en cours d’authentification. L’authentification est réussie si le serveur LDAP trouve un
enregistrement d’utilisateur et un mot de passe correspondants.
Chapitre 3 Authentification Open Directory
63
Si le service LDAP et la liaison de l’ordinateur client à ce dernier sont configurés pour
l’envoi des mots de passe sur le réseau en clair, il se peut que l’authentification par
liaison LDAP ne soit pas sûre.
Open Directory tente d’utiliser une méthode d’authentification sûre avec le répertoire
LDAP. Si le répertoire ne prend pas en charge la liaison LDAP sécurisée et si la connexion LDAPv3 du client autorise l’envoi d’un mot de passe en clair, Open Directory
se rabat sur la liaison LDAP simple.
Pour empêcher l’authentification par du texte en clair, assurez-vous que vos serveurs
LDAP n’acceptent pas les mots de passe en clair.
Dans ce cas, vous pouvez sécuriser cette authentification en configurant un accès au
répertoire LDAP à l’aide du protocole SSL (Secure Sockets Layer).SSL sécurise l’accès
en cryptant toutes les communications avec le répertoire LDAP. Pour en savoir plus,
consultez les rubriques « Modification de la politique de sécurité pour une connexion
LDAP » à la page 171 et « Modification des réglages de connexion d’un répertoire
LDAP » à la page 170.
64
Chapitre 3 Authentification Open Directory
4
Outils de planification et
de gestion Open Directory
4
Ce chapitre fournit des indications générales pour la planification des services Open Directory et décrit les outils nécessaires
pour les gérer. Tout comme l’installation électrique ou les
canalisations d’un bâtiment, les services de répertoire d’un
réseau doivent être planifiés à l’avance plutôt qu’improvisés
au gré des circonstances.
Le stockage d’informations dans des domaines de répertoire partagés améliore le contrôle
du réseau, permet à un nombre plus important d’utilisateurs d’accéder aux informations
et simplifie la gestion des informations. Le niveau de contrôle et de convivialité dépend
toutefois de l’effort que vous consacrez à la planification de vos domaines partagés.
L’objectif de la planification d’un domaine de répertoire est de concevoir la disposition
de domaines partagés la plus simple qui fournit à vos utilisateurs Mac OS X un accès
aisé aux ressources réseau dont ils ont besoin et qui minimise le temps consacré à
la gestion des enregistrements d’utilisateurs et d’autres données administratives.
65
Directives générales de planification
Si vous ne partagez par d’informations sur les utilisateurs et les ressources entre plusieurs ordinateurs Mac OS X, la planification de domaines de répertoire est très réduite
car tout est accessible à partir d’un domaine de répertoire local.
Assurez-vous simplement que toutes les personnes qui doivent utiliser un certain
ordinateur Mac OS X disposent de comptes d’utilisateur sur ce dernier. Ces comptes
d’utilisateur résident dans le domaine de répertoire local, sur l’ordinateur.
De plus, toute personne qui a besoin d’utiliser le service de fichiers, le service de courrier ou tout autre service qui requiert une authentification de Mac OS X Server, doit
disposer d’un compte d’utilisateur dans le domaine de répertoire local du serveur.
De la sorte, chaque utilisateur a deux comptes : l’un pour ouvrir une session sur un
ordinateur et l’autre pour accéder à des services de Mac OS X Server, comme illustré
ci-dessous. L’utilisateur ouvre une session dans le domaine de répertoire local de l’ordinateur Mac OS X puis utilise un autre compte pour ouvrir une session dans le domaine
de répertoire local du serveur des services de fichiers.
Ouverture
de session
Mac OS X
Connexion à Mac OS X Server
pour le service de fichiers
Domaine de
répertoire local
Domaine de
répertoire local
Pour partager des informations entre des ordinateurs et des serveurs Mac OS X,
vous devez configurer au moins un domaine de répertoire partagé. De la sorte, chaque
utilisateur n’a besoin que d’un seul compte dans le domaine de répertoire partagé.
Avec ce compte unique, l’utilisateur peut ouvrir une session Mac OS X sur tout ordinateur configuré pour accéder au domaine de répertoire partagé. L’utilisateur peut aussi
utiliser le même compte pour accéder à des services de tout Mac OS X Server configuré pour accéder au domaine de répertoire partagé.
66
Chapitre 4 Outils de planification et de gestion Open Directory
L’illustration qui suit montre une configuration avec un domaine de répertoire partagé
L’illustration montre un utilisateur ouvrant une session sur un ordinateur Mac OS X à
l’aide d’un compte de domaine de répertoire partagé. Le compte de domaine de répertoire partagé est ensuite aussi utilisé pour accéder à un service de fichiers. Lorsque l’utilisateur tente d’accéder au service de fichiers, le serveur de services de fichiers accède
au domaine de répertoire partagé pour vérifier le compte d’utilisateur. Comme tant
l’ordinateur de l’utilisateur que l’ordinateur des services de fichiers sont connectés au
domaine de répertoire partagé, le compte d’utilisateur dans le domaine de répertoire
partagé est utilisé pour accéder à la fois à l’ordinateur et aux services sans devoir utiliser un compte local sur chacun des ordinateurs.
Domaine de
répertoire
partagé
Ouverture
de session
Mac OS X
Connexion à Mac OS X Server
pour le service de fichiers
Domaine de
répertoire local
Domaine de
répertoire local
Dans de nombreuses organisations, un domaine de répertoire partagé unique convient parfaitement. Il peut gérer des centaines de milliers d’utilisateurs et des milliers
d’ordinateurs qui partagent les mêmes ressources, comme, par exemple, les mêmes
files d’attente d’impression, points de partage pour répertoires de départ, points de
partage pour applications et points de partage pour documents.
La réplication du domaine de répertoire partagé peut augmenter les capacités ou
les performance du système de répertoire en configurant plusieurs serveurs de façon
à ce qu’ils traitent la charge du système de répertoire pour le réseau.
Chapitre 4 Outils de planification et de gestion Open Directory
67
Pour les organisations plus grandes et plus complexes, il peut être utile de mettre
en place des domaines de répertoire partagés supplémentaires. L’illustration qui suit
montre comment une telle organisation pourrait organiser ses domaines de répertoire.
Serveur Windows
Domaine de
répertoire
local
Domaine de
répertoire
partagé
Domaine
Active
Directory
Mac OS X Server
Domaine de
répertoire
local
Utilisateur Mac OS X
Utilisateur Windows
Si votre organisation est grande et si voulez augmenter les performances et la capacité
de votre domaine de répertoire réseau, vous pouvez ajouter plusieurs domaines de
répertoire à votre réseau. De plus, utiliser plusieurs domaines de répertoire permet de
répartir la charge de votre domaine de répertoire d’entreprise.
Il y a plusieurs méthodes pour configurer plusieurs domaines de répertoire. En analysant la topologie de votre réseau, vous pouvez déterminer la méthode qui convient
le mieux à votre réseau. Voici des configurations facultatives de plusieurs domaines
de répertoire :
 Open Directory avec un domaine préexistant. Vous pouvez configurer un serveur
Open Directory Mac OS X sur un réseau qui dispose d’un domaine de répertoire
préexistant comme, par exemple, un domaine Active Directory ou Open Directory.
Par exemple, si votre organisation dispose d’un serveur Active Directory préexistant
qui prend en charge les ordinateurs clients Windows et Mac OS X, vous pouvez ajouter un serveur Open Directory Mac OS X pour mieux prendre en charge vos utilisateurs Mac. Les deux serveurs peuvent coexister sur le même réseau et fournir des
domaines de répertoire redondants pour les clients Windows et les clients Mac OS X.
Vous pouvez aussi configurer le serveur Mac OS X Server de façon à ce qu’il prenne
en charge l’autorisation inter-domaines en cas d’existence d’un royaume Kerberos.
Si vous avez configuré votre serveur Mac OS X avec la configuration de groupe de travail, vous pouvez aisément l’ajouter à votre domaine de répertoire préexistant. À l’aide
de la configuration de groupe de travail de Mac OS X, vous pouvez aisément importer
des utilisateurs de votre domaine de répertoire préexistant dans votre serveur de
groupe de travail. Ces utilisateurs importés sont appelés des utilisateurs ajoutés.
68
Chapitre 4 Outils de planification et de gestion Open Directory
Pour en savoir plus sur les utilisateurs ajoutés et la configurations standard ou de
groupe de travail d’un serveur Mac OS X, consultez Premiers contacts et Gestion des
utilisateurs.
 Serveur maître Open Directory avec répliques. Vous pouvez aussi créer un serveur maître Open Directory Mac OS X avec des répliques. Les serveurs répliqués contiennent
une copie du domaine de répertoire du maître Open Directory pour la répartition
de la charge et la redondance.
 Votre organisation pourrait, par exemple, disposer d’un maître Open Directory
au siège social et placer des répliques de ce serveur dans chacune des filiales.
Cela permet aux utilisateurs des sites distants de ne pas subir de retards lors des
ouvertures de session.
 Réplication en cascade. Vous pouvez aussi utiliser le réplication en cascade, dans
laquelle les répliques d’un maître Open Directory ont des répliques à leur tour.
Lorsqu’une réplique est un membre direct du maître Open Directory et a ses propres
répliques, on parle de relais.
Par exemple, si votre organisation dispose de 32 répliques et vous devez ajouter d’autres
réplique, vous pouvez réorganiser la topologie du réseau afin que les répliques deviennent des relais en ajoutant des répliques aux répliques (ou relais).
La réplication en cascade permet de répartir la charge du maître Open Directory en
réduisant le nombre de répliques que ce dernier doit gérer directement.
Évaluation des besoins en matière de répertoires et
d’authentification
Outre le mode de répartition des différentes données de répertoires entre les différents domaines, vous devez également tenir compte des capacités de chaque domaine
de répertoire. La taille de votre domaine de répertoire dépend de vos besoins en
matière de réseau.
Parmi ces facteurs, on peut citer les performances de la base de données qui stocke les
informations de répertoire. Le domaine de répertoire LDAP de Mac OS X Server utilise
la base de données Berkeley DB, qui reste performante avec 200 000 enregistrements.
Un serveur hébergeant un domaine de répertoire de cette taille doit disposer d’un
espace disque suffisant pour stocker tous les enregistrements.
Le nombre de connexions qu’un service de répertoire peut gérer est plus difficile à
évaluer car les connexions des services de répertoires surviennent dans un contexte
qui englobe les connexions de l’ensemble des services fournis par ce serveur. Sous
Mac OS X Server, un serveur dédié à Open Directory peut accepter au maximum
1000 connexions d’ordinateurs clients simultanées.
Chapitre 4 Outils de planification et de gestion Open Directory
69
Le serveur Open Directory peut fournir des services LDAP et d’authentification à plus
d’ordinateurs clients, parce que tous les ordinateur n’ont pas besoin de ces services
en même temps. Chaque ordinateur client se connecte au répertoire LDAP pendant
une durée maximum de deux minutes et les connexions au serveur de mots de passe
Open Directory sont encore plus brèves.
Il peut néanmoins s’avérer difficile d’évaluer leur nombre, autrement dit le pourcentage
d’ordinateurs clients se connectant au même moment.
Par exemple, les ordinateurs utilisé à longueur de journée par une même personne qui
travaille sur des fichiers d’images n’aura que rarement besoin des services Open Directory.
En revanche, les nombreux utilisateurs d’un ordinateur situé dans un laboratoire
ouvrent et ferment des sessions tout au long de la journée, chacun d’entre eux utilisant différents réglages de préférences de client géré. Un tel ordinateur représente
une charge relativement lourde pour les services Open Directory.
En général, l’utilisation d’Open Directory est proportionnelle au nombre d’ouvertures
et de fermetures de sessions. Ces activités sont habituellement majoritaires dans
les services de répertoires et d’authentification de n’importe quel système.
Plus les utilisateurs ouvrent et ferment des sessions, moins le serveur Open Directory
(ou tout autre serveur de répertoires et d’authentification) pourra gérer d’ordinateurs
clients. Si les ouvertures et fermetures de sessions sont très fréquentes, vous devrez
ajouter des serveurs Open Directory. En revanche, si les sessions de travail sont plus
longues et que les ouvertures de session sont plus rares, vous pourrez vous contenter
d’un plus petit nombre de serveurs Open Directory.
Identification de serveurs pour l’hébergement de domaines
partagés
Si vous avez besoin de plus d’un domaine partagé, identifiez les serveurs sur lesquels
les domaines partagés doivent résider. Les domaines partagés concernent de nombreux utilisateurs, il est donc conseillé de les placer sur des ordinateurs Mac OS X Server
présentant les caractéristiques suivantes :
 Accès physique limité
 Accès réseau limité
 Technologies pour la haute disponibilité, comme, par exemple, les systèmes
d’alimentations sans coupure
Sélectionnez des ordinateurs qui ne seront pas fréquemment remplacés et qui sont
dotés des capacités adéquates pour accueillir un nombre croissant de domaines de
répertoire. Bien qu’il soit possible de déplacer un domaine partagé après sa configuration, vous devrez peut-être reconfigurer les politiques de recherche des ordinateurs
qui se connectent à ce domaine partagé afin que les utilisateurs puissent continuer
à y ouvrir des sessions.
70
Chapitre 4 Outils de planification et de gestion Open Directory
Duplication de services Open Directory
Mac OS X Server gère la duplication du service de répertoire LDAP, du serveur de mots
de passe Open Directory et du centre de distribution de clés Kerberos.
La duplication de vos services de répertoires et d’authentification vous permet :
 De rapprocher les informations de répertoires d’un groupe d’utilisateurs au sein d’un
réseau distribué géographiquement, ce qui améliore les performances des services
de répertoires et d’authentification pour ces utilisateurs.
 D’obtenir la redondance des services, afin que les utilisateurs ne soient que très peu
affectés en cas de défaillance ou d’inaccessibilité d’un système de répertoire.
L’un des serveurs dispose d’une copie principale du domaine de répertoire LDAP partagé, du serveur de mots de passe Open Directory et du centre de distribution de clés
Kerberos. On appelle ce serveur un maître Open Directory. Chaque réplique Open Directory constitue un serveur distinct contenant une copie du répertoire LDAP maître, du
serveur de mots de passe Open Directory et du centre de distribution de clés Kerberos.
Un serveur Open Directory Mac OS X peut avoir jusqu’à 32 répliques. Chaque réplique
peut avoir à son tour 32 répliques, ce qui donne déjà 1 056 répliques dans une hiérarchie à deux niveaux.
L’accès au répertoire LDAP sur une réplique s’effectue en lecture seule. Les modifications des enregistrements d’utilisateur et à d’autres informations du répertoire LDAP
ne peuvent être apportées que sur le maître Open Directory.
Le maître Open Directory répercute automatiquement sur ses répliques lorsque des
modifications ont été apportées au répertoire LDAP. Le maître peut mettre des répliques à jour soit dès qu’une modification survient, soit à intervalles réguliers. L’option
des intervalles de temps programmés est la meilleure si les répliques sont connectées
au maître par l’intermédiaire d’un réseau à faible débit.
Les mots de passe et les politiques de mots de passe peuvent être modifiés sur n’importe
quelle réplique. Si le mot de passe ou la politique de mot de passe d’un utilisateur est
modifié sur plusieurs répliques, c’est la modification la plus récente qui prévaut.
La mise à jour des répliques dépend de la synchronisation des horloges du maître et
de toutes les répliques. Si les répliques et le maître ont des heures différentes, la mise à
jour peut être arbitraire. Les informations de date, d’heure et de fuseau horaire doivent
être correctes sur le maître et les répliques et elles doivent, si possible, utiliser le même
service d’horloge réseau pour demeurer synchronisées.
Évitez de n’avoir qu’une seule réplique à une des deux extrémités d’un lien réseau lent.
Si une réplique est séparée de toutes les autres répliques par un lien réseau lent et si
cette réplique tombe en panne, les clients de la réplique vont basculer vers une réplique qui se trouve à l’autre extrémité du lien réseau lent. Les services de répertoire
pourraient s’en trouver nettement ralentis.
Chapitre 4 Outils de planification et de gestion Open Directory
71
Si votre réseau contient un mélange de versions 10.4 et de versions 10.5 de Mac OS X
Server, sachez qu’une version ne peut pas être la réplique d’un maître de l’autre version. Un maître Open Directory en version 10.5 ne sera pas répliqué en version 10.4 et
un maître Open Directory en version 10.4 ne sera pas répliqué en version 10.5 :
Maître sous
Mac OS X Server 10.5
Maître sous
Mac OS X Server 10.4
Réplique sous
Mac OS X Server 10.5
Oui
Non
Réplique sous
Mac OS X Server 10.4
Non
Oui
Version de la réplique
Ensemble de répliques
Un ensemble de répliques est une configuration automatique qui nécessite que tous
les services qu’Open Directory gère (LDAP, serveur de mots de passe et Kerberos)
recherchent et utilisent le même serveur répliqué. Cela permet de s’assurer que les
ordinateurs clients choisissent le même serveur répliqué lors de l’utilisation de services
Open Directory et d’empêcher les ouvertures de session lentes.
Réplication en cascade
Mac OS X 10.4 utilise un modèle en étoile pour la réplication des serveurs maître
Open Directory. Chaque maître Open Directory doit maintenir un enregistrement
de transaction pour chacun des serveurs répliqués.
L’illustration qui suit montre le modèle en étoile utilisé pour la réplication dans
Mac OS X 10.4.
Réplique
Réplique
Maître
Open Directory
Réplique
Réplique
Réplique
Réplique
De plus, il n’y avait aucune limite quant au nombre de serveurs répliqués qu’un maître
Open Directory pouvait gérer.
72
Chapitre 4 Outils de planification et de gestion Open Directory
Si un maître Open Directory avait 1 000 répliques à gérer, il pouvait avoir des problèmes
de performances si l’on continuait à ajouter des répliques. On peut comparer cette situation à celle d’un cadre devant gérer 1 000 salariés, ce qui est une situation ingérable.
Mac OS X Server 10.5 utilise la réplication en cascade pour améliorer l’extensibilité et
résoudre les problèmes de performances qui survenait avec l’ancien modèle en étoile
pour la réplication. L’utilisation de la réplication en cascade permet de limiter le nombre de serveurs répliqués pouvant être pris en charge par un seul et même serveur
maître Open Directory.
Un seul et même serveur maître Open Directory peut avoir jusqu’à 32 répliques et
chacune de ces répliques peut avoir à son tour jusqu’à 32 répliques, ce qui donne
1 056 répliques d’un seul et même serveur maître Open Directory.
Cela crée une hiérarchie à deux niveaux des serveurs répliqués. Le premier niveau de
répliques, les membres directs du maître Open Directory, sont appelés des relais s’il ont
à leur tour des répliques, parce qu’ils relaient les données vers le second niveau de
répliques.
De plus, dans le cas de la réplication en cascade, il n’est pas nécessaire que le serveur
maître Open Directory maintienne un enregistrement de transaction pour chaque serveur répliqué. Le serveur maître ne gère que maximum 32 enregistrements de transaction de répliques, ce qui améliore les performances.
L’illustration qui suit montre la hiérarchie à deux niveaux du modèle de la réplication
en cascade.
Maître
Open Directory
Relais
(réplique)
Réplique
Réplique
Relais
(réplique)
Réplique
Réplique
Relais
(réplique)
Réplique
Réplique
Chapitre 4 Outils de planification et de gestion Open Directory
Réplique
Relais
(réplique)
Réplique
73
Planification de la mise à niveau de plusieurs répliques Open Directory
Si votre maître Open Directory gère plus de 32 répliques, votre organisation doit
passer à la réplication en cascade. Le modèle de la réplication en cascade améliorera
les performances de votre serveur Open Directory.
Lorsque vous planifiez la migration, pensez à l’emplacement de vos serveurs répliqués
et à la topologie de votre réseau pour déterminer la meilleure manière de réorganiser
vos répliques dans une structure hiérarchique.
Par exemple, il faut éviter d’avoir un maître Open Directory situé sur la côte Ouest des
États-Unis qui se réplique sur une réplique située sur la côte Est.
Remarque : si votre maître Open Directory a moins de 32 répliques, la migration n’est
pas nécessaire.
Répartition de la charge dans les petits, moyens et grands
environnements
N’utilisez pas de logiciel de répartition de la charge de services de tiers avec des
serveurs Open Directory.
Un logiciel de répartition de la charge peut provoquer des problèmes imprévisibles
pour les ordinateurs Open Directory. Il pourrait, par exemple, interférer avec la répartition de la charge et le comportement en matière de basculement automatiques
d’Open Directory dans Mac OS X et Mac OS X Server.
Les ordinateurs Mac OS X recherchent le serveur Open Directory disponible le plus proche, qu’il s’agisse du maître ou d’une réplique. Le maître ou la réplique Open Directory
le plus proche d’un ordinateur est celui qui répond le plus rapidement à la demande
de connexion Open Directory de l’ordinateur.
Réplication dans un campus comprenant plusieurs bâtiments
Quand un réseau s’étend sur plusieurs bâtiments, les connexions entre bâtiments
peuvent s’avérer plus lentes que les connexions au sein des différents bâtiments.
Il peut arriver également que les connexions entre bâtiments soient saturées.
Ces situations peuvent nuire aux performances des ordinateurs qui bénéficient de
services Open Directory provenant d’un serveur situé dans un autre bâtiment. Par conséquent, il est recommandé d’installer une réplique Open Directory dans chaque bâtiment.
Selon vos besoins, il peut même s’avérer intéressant d’installer une réplique Open
Directory à chacun des étages d’un bâtiment qui en compte plusieurs. Chaque réplique offre ainsi des services de répertoires et d’authentification efficaces aux ordinateurs clients situés à proximité. Les ordinateurs n’ont plus besoin d’établir de connexion
avec un serveur Open Directory via la ligne plus lente qui relie les bâtiments entre eux.
74
Chapitre 4 Outils de planification et de gestion Open Directory
Le fait d’avoir plus de répliques présente un désavantage. Les répliques communiquent
entre elles et avec le maître via le réseau. Ces communications représentent une charge
pour le réseau, qui augmente en proportion du nombre de répliques. L’ajout d’un trop
grand nombre de répliques peut accroître le trafic entre bâtiments (du fait des mises à
jour de répliques) plus qu’il ne réduit les communications clientes Open Directory.
Lorsque vous décidez du nombre de répliques à déployer, pensez à l’intensité de l’utilisation des services Open Directory par les ordinateurs. Si les ordinateurs n’ont que
relativement peu recours aux services Open Directory et que vos bâtiments sont
reliés entre eux par des connexions rapides (Ethernet à 100 Mbits/s, par exemple),
vous n’avez sans doute pas besoin d’installer une réplique dans chaque bâtiment.
Vous pouvez réduire la charge des communications entre répliques et maître Open
Directory en programmant la fréquence de mise à jour des répliques par le maître
Open Directory. Ainsi, il n’est peut-être pas nécessaire que les répliques soient mises
à jour à chaque modification apportée au maître. Opter pour une fréquence de mise
à jour moins élevée, améliore les performances du réseau.
Utilisation d’un maître, d’une réplique ou d’un relais Open Directory
avec NAT
Si votre réseau dispose d’un serveur Open Directory du côté du réseau privé d’un routeur (ou d’une passerelle) de traduction d’adresses réseau (NAT), y compris le routeur
NAT de Mac OS X Server, seuls les ordinateurs qui se trouvent du côté du réseau privé
du routeur NAT peuvent se connecter au domaine de répertoire LDAP du serveur
Open Directory.
Les ordinateurs qui se trouvent du côté du réseau public du routeur NAT ne peuvent
pas se connecter au domaine de répertoire LDAP d’un maître ou d’une réplique
Open Directory qui se trouve du côté du réseau privé.
Si un serveur Open Directory se trouve du côté public du réseau d’un routeur NAT,
tant les ordinateurs qui se trouvent du côté du réseau privé que les ordinateurs qui se
trouvent du côté du réseau public du routeur NAT peuvent se connecter au répertoire
LDAP du serveur Open Directory.
Si votre réseau prend en charge les clients mobile comme, par exemple, les MacBook
qui vont se déplacer entre le réseau local privé de votre passerelle NAT et Internet, vous
devez configurer le service VPN pour les utilisateurs mobiles afin que ces derniers puissent utiliser un VPN pour se connecter au réseau privé et au domaine Open Directory.
Chapitre 4 Outils de planification et de gestion Open Directory
75
Compatibilité entre maître et répliques Open Directory
Le maître Open Directory et ses répliques doivent utiliser la même version de
Mac OS X Server. De plus :
 Un maître Open Directory sous Mac OS X Server 10.5 ne peut pas se répliquer vers
Mac OS X Server 10.4.
 Mac OS X Server 10.5 ne peut pas être une réplique d’un maître Open Directory sous
Mac OS X Server 10.4.
 Un maître Open Directory sous Mac OS X Server 10.5 ne peut pas se répliquer vers
une réplique Open Directory sous Mac OS X Server 10.5.
Si vous disposez d’un maître et de répliques Open Directory qui utilisent
Mac OS X Server 10.4, vous devez les mettre à niveau à 10.5 ensemble. Mettez
d’abord à niveau le maître, puis mettez à niveau les répliques. Les clients du maître et
les répliques continueront à recevoir des services de répertoire et d’authentification
pendant la mise à niveau.
Pendant la mise à niveau du maître, ses clients basculeront automatiquement
vers la réplique la plus proche. Pendant la mise à niveau des différentes répliques,
les clients basculeront vers le maître mis à niveau.
La mise à niveau d’un maître Open Directory à partir de Mac OS X Server 10.4 à 10.5
rompra les liaisons avec les répliques existantes. Après la mise à niveau d’une réplique
Open Directory à Mac OS X Server 10.5, celle-ci sera un serveur de répertoire autonome ;
vous devrez la retransformer à nouveau en réplique.
Pour en savoir plus sur la mise à niveau à Mac OS X Server 10.5, consultez Mise à niveau
et migration.
Mélange de services de maîtres et répliques Active Directory
et Open Directory
Il y a des considérations spéciales lors de l’introduction de serveur Open Directory dans
un environnement Active Directory. Si vous ne prenez pas certaines précautions, vous
obtiendrez des résultats mitigés en matière d’expérience client et de fonctionnalités
serveur.
De plus, évitez de mélanger la liaison de répertoire authentifiée et Active Directory sur
le même client ou serveur. La liaison authentifiée utilise Kerberos tout comme Active
Directory le fait. Utiliser les deux provoquera un comportement imprévu ou le nonfonctionnement des services d’authentification à moins que vous ne preniez les précautions détaillées ci-dessous.
76
Chapitre 4 Outils de planification et de gestion Open Directory
Lorsque l’on mélange Open Directory et Active Directory, l’on ne peut utiliser les informations d’authentification Kerberos d’un ou l’autre système pour la signature unique.
Vous ne pouvez pas avoir des utilisateurs dans Active Directory et dans Open Directory
et utiliser les deux informations d’authentification Kerberos pour la signature unique sur
un serveur qui est kerbérisé pour un serveur particulier. En d’autres mots, vous ne pouvez pas ouvrir une session à l’aide d’un compte Active Directory et espérer utiliser la
signature unique avec un serveur qui fait partie du royaume Kerberos Open Directory.
Kerberos est utilisé dans l’environnement Active Directory et dans l’environnement
Open Directory. Kerberos fait certaines suppositions au sujet de la détermination du
royaume d’un serveur particulier lorsque des tickets Kerberos doivent être utilisés.
Voici un exemple de mélange d’un royaume Kerberos Active Directory avec un
royaume Kerberos maître Open Directory :
 Domaine Active Directory = entreprise.com
 Royaume Kerberos Active Directory = ENTREPRISE.COM
 Maître du serveur Open Directory = serveur1.entreprise.com
 Royaume Kerberos Open Directory = SERVEUR1.ENTREPRISE.COM
Lorsque Kerberos tente d’obtenir un TGS pour l’utilisation de LDAP auprès de
serveur1.entreprise.com, il demande « ldap/serveur1. [email protected] »
à moins que domain_realm ne soit présent dans la configuration. Le « domain_realm »
pour Open Directory assume que l’ensemble de « .entreprise.com » appartient à
« SERVEUR1.DEMOTREE.COM ». Cela empêche toute connectivité au domaine Active
Directory nommé « entreprise.com ».
Si vous souhaitez mélanger la liaison de répertoire authentifiée et Active Directory,
vos royaumes et serveurs de domaine Active Directory et Open Directory doivent se
trouver dans des hiérarchies différentes. Par exemple :
 Domaine Active Directory = entreprise.com
 Royaume Kerberos Active Directory = ENTREPRISE.COM
 Maître du serveur Open Directory = serveur1.od.entreprise.com
 Royaume du serveur Open Directory = OD.ENTREPRISE.COM
ou
Â
Â
Â
Â
Domaine Active Directory = ads.entreprise.com
Royaume Kerberos Active Directory = ADS.ENTREPRISE.COM
Maître du serveur Open Directory = serveur1.od.entreprise.com
Royaume Kerberos Open Directory = OD.ENTREPRISE.COM
Chapitre 4 Outils de planification et de gestion Open Directory
77
Dans ces deux exemples, une nouvelle zone de domaine DNS doit être créée et tant
les entrées DNS directes et les entrées DNS inverses doivent exister pour les serveurs
afin que, si une adresse IP est utilisée pour le serveur Open Directory, elle reçoive
le nom prévu. Par exemple, l’adresse IP « serveur1.od.entreprise.com » = 10.1.1.1.
La recherche de 10.1.1.1 devrait donc être identique à « serveur1.od.entreprise.com » et
non à « serveur1.entreprise.com ».
Intégration avec des domaines de répertoire existants
Si votre réseau a déjà un domaine de répertoire, vous pouvez ajouter un autre serveur
de domaine de répertoire au réseau qui utilise la base de données de votre domaine
de répertoire existant pour gérer les autorisations d’accès des utilisateurs. On appelle
cette configuration l’autorisation inter-domaines. Elle requiert la prise en charge de
Kerberos par les serveurs.
Si vous utilisez l’autorisation inter-domaines, un serveur sera un serveur pseudo-maître
tandis que l’autre sera un serveur subordonné. Tous les utilisateurs s’authentifieront
auprès du serveur pseudo-maître à l’aide d’une méthode d’authentification. Tout
utilisateur qui s’authentifiera recevra un ticket Kerberos. Lorsque cet utilisateur tente
d’accéder à un service fourni par le serveur subordonné, ce dernier accepte et valide le
ticket Kerberos de l’utilisateur que lui a donné le serveur pseudo-maître pour autoriser
l’utilisateur.
Le ticket Kerberos contient des informations Privilege Attribute Certificate (PAC), qui
contiennent le nom d’utilisateur, les identifiants de l’utilisateur (UID) et des identifiants
d’appartenance de groupe (GID).Le serveur subordonné utilise ces informations pour
vérifier que l’utilisateur est autorisé à utiliser le service en comparant l’UID ou le GID à
la liste de contrôle d’accès (ACL) du service auquel l’utilisateur demande l’accès.
En utilisant l’autorisation inter-domaines, vous évitez de devoir créer différents noms
d’utilisateur et mots de passe pour votre serveur de domaine de répertoire subordonné.
Vous pouvez utiliser les mêmes noms d’utilisateur et mots de passe provenant du
domaine de répertoire d’entreprise avec les informations PAC pour donner aux utilisateurs l’autorisation d’accès.
L’autorisation inter-domaines est la configuration idéale si vous ne pouvez pas modifier directement les groupes au sein du domaine de répertoire d’entreprise.
Vous pouvez utiliser l’autorisation inter-domaines entre un serveur Active Directory et
un serveur Open Directory sous Mac OS X 10.5 ou entre deux serveurs Open Directory
sous Mac OS X 10.5. L’autorisation inter-domaines ne fonctionne pas sur un serveur
sous Mac OS X 10.4. Pour utiliser les informations PAC, le serveur pseudo-maître doit
posséder un royaume Kerberos auquel le serveur subordonné peut s’inscrire.
78
Chapitre 4 Outils de planification et de gestion Open Directory
Pour créer un serveur subordonné dans un système de répertoire, vous devez utiliser
Utilitaire de répertoire pour inscrire votre serveur auprès d’un serveur Active Directory
ou Open Directory sur lequel Kerberos est configuré et tourne. Puis, à l’aide d’Admin
Serveur, vous devez transformer votre serveur Open Directory en un maître Open
Directory. Le serveur subordonné détermine automatiquement qu’il est subordonné à
un serveur Active Directory ou Open Directory et se configure en conséquence.
Vous pouvez aussi disposer d’une réplique de votre serveur Open Directory subordonné. Pour créer une réplique d’un serveur de répertoire subordonné, inscrivez votre
serveur auprès du serveur pseudo-maître et du serveur subordonné à l’aide d’Utilitaire
de répertoire. Configurez ensuite le serveur comme réplique du serveur subordonné.
Si vous n’inscrivez pas le serveur auprès du serveur pseudo-maître et du serveur
subordonné, il sera bloqué ou ne deviendra pas une réplique.
Intégration sans modifications au schéma
Mac OS X et Mac OS X Server s’intègrent avec la plupart des répertoires basés sur LDAP
sans qu’il soit nécessaire d’apporter des modifications au schéma de votre serveur de
répertoire. Il se peut toutefois que certains types d’enregistrement ne soient pas reconnus ou maintenus par le schémas de répertoire de votre serveur.
Lorsque vous intégrez des ordinateurs sous Mac OS X avec votre serveur de répertoire,
vous voudrez peut-être ajouter un nouveau type d’enregistrement ou une nouvelle
classe d’objets au schéma de répertoire afin de mieux gérer et prendre en charge vos
ordinateurs clients sous Mac OS X.
Par exemple, par défaut, il se peut qu’il n’y ait pas de type d’enregistrement Picture
dans votre schéma de répertoire pour vos utilisateurs Mac OS X, mais vous pouvez en
ajouter un à votre schéma de répertoire afin que les enregistrements Picture puissent
être stockés dans la base de données de répertoires.
Si vous voulez ajouter des enregistrements ou des attributs à votre schéma de répertoire,
consultez votre administrateur de domaine de répertoire pour obtenir des instructions.
Intégration avec modifications au schéma
Si vous ajoutez des ordinateurs Mac OS X à votre domaine de répertoire existant,
vous pouvez apporter des modifications au schéma de votre serveur de domaine de
répertoire afin de mieux prendre en charge les ordinateurs clients sous Mac OS X.
Lorsque vous ajoutez un type d’enregistrement ou un attribut à votre schéma, regardez d’abord s’il y a déjà un type d’enregistrement ou un attribut auquel vous pouvez
aisément le faire correspondre dans votre schéma de répertoire existant. S’il n’y a pas
encore de type d’enregistrement ou d’attribut auquel vous pouvez le faire correspondre, vous pouvez ajouter le type d’enregistrement ou l’attribut à votre schéma.
On parle d’étendre le schéma.
Chapitre 4 Outils de planification et de gestion Open Directory
79
Lorsque vous étendez votre schéma, il se peut que vous deviez changer la liste de contrôle d’accès (ACL) par défaut de certains attributs afin que les comptes d’ordinateur
puissent lire les propriétés utilisateur. Par exemple, vous pouvez configurer Mac OS X
de manière à ce qu’il accède aux informations de compte d’utilisateur élémentaires
dans un domaine Active Directory d’un serveur Windows 2000 ou Windows 2003 ou
ultérieur.
Pour en savoir plus sur l’extension de votre schéma, consultez l’Annexe « Données de
répertoire Mac OS X ».
Évitement de conflits Kerberos avec plusieurs répertoires
Si vous configurez un maître Open Directory sur un réseau qui dispose d’un domaine
Active Directory, votre réseau disposera de deux royaumes Kerberos : un royaume
Kerberos Open Directory et un royaume Kerberos Active Directory.
Pour des raisons pratiques, les autres serveurs sur le réseau ne peuvent utiliser qu’un
royaume Kerberos. Lorsque vous configurez un serveur de fichiers, un serveur de courrier ou tout autre serveur qui peut utiliser l’authentification Kerberos, vous devez donc
choisir un des royaumes Kerberos.
Mac OS X Server doit appartenir au même royaume Kerberos que ses utilisateurs clients.
Le royaume n’a qu’un seul serveur Kerberos faisant autorité, qui est responsable de toute
l’authentification Kerberos au sein du royaume. En effet, le serveur Kerberos ne peut
authentifier des clients et des serveurs qu’au sein de son royaume. Le serveur Kerberos ne
peut pas authentifier des clients ou des services qui appartiennent à un autre royaume.
Seuls les comptes d’utilisateur du royaume Kerberos choisi pourront bénéficier de
la signature unique. Les comptes d’utilisateur dans l’autre royaume peuvent toujours
s’authentifier, mais ils ne bénéficieront pas de la signature unique.
Si vous configurez un serveur pour qu’il accède à plusieurs systèmes de répertoire disposant chacun de leur propre royaume Kerberos, planifiez soigneusement les comptes
d’utilisateur qui utiliseront des services kerbérisés. Vous devez connaître l’intention qui
peut présider l’accès à deux services de répertoire. Vous devez connecter le serveur au
royaume dont le domaine de répertoire compagnon contient les comptes d’utilisateur
qui doivent utiliser Kerberos et bénéficier de la signature unique.
Par exemple, il se peut que vous souhaitiez configurer l’accès à un royaume Active
Directory pour ses enregistrements d’utilisateur et un répertoire LDAP Open Directory
pour les enregistrements et les attributs Mac OS X qui ne sont pas dans Active Directory, comme, par exemple, les enregistrements de groupe et d’ordinateur. D’autres serveurs pourraient se connecter au royaume Kerberos Active Directory ou au royaume
Kerberos Open Directory.
80
Chapitre 4 Outils de planification et de gestion Open Directory
Dans ce cas, il est recommandé que ces autres serveurs se connectent au royaume
Kerberos Active Directory afin que les comptes d’utilisateur Active Directory bénéficient de la signature unique.
Si vous avez aussi des comptes d’utilisateur dans le répertoire LDAP du serveur Open
Directory, les utilisateurs peuvent toujours s’authentifier auprès d’eux, mais les comptes d’utilisateur Open Directory n’utiliseront pas Kerberos et ne bénéficieront pas de
la signature unique. Ils utiliseront des méthodes d’authentification du serveur de mots
de passe Open Directory.
Vous pourriez mettre tous les utilisateurs Mac dans le domaine Open Directory et
tous les utilisateurs Windows dans le domaine Active Directory, et ils pourraient tous
s’authentifier, mais un seul groupe pourrait utiliser Kerberos.
Important : ne configurez pas un maître ou une réplique Open Directory pour qu’il
accède aussi à un domaine Active Directory (ou à tout autre domaine de répertoire
ayant un royaume Kerberos). Si vous le faites, le royaume Kerberos Open Directory et le
royaume Kerberos Active Directory tenteront d’utiliser les mêmes fichiers de configuration sur le serveur Open Directory, ce qui perturbera probablement l’authentification
Kerberos Open Directory.
Pour éviter tout conflit de fichiers de configuration Kerberos, n’utilisez pas de serveur
Open Directory comme station de travail pour la gestion des utilisateurs dans le
domaine de répertoire d’un autre serveur Kerberos, comme, par exemple, dans un
domaine Active Directory. Utilisez plutôt un ordinateur administrateur (un ordinateur
Mac OS X sur lequel les outils d’administration de serveur sont installés) configuré pour
accéder aux domaines de répertoire liés.
Si vous devez utiliser un serveur Open Directory pour gérer les utilisateurs du domaine
de répertoire d’un autre serveur, assurez-vous que l’autre domaine de répertoire ne fait
pas partie de la politique de recherche d’authentification du serveur Open Directory.
Pour éviter un conflit de fichiers de configuration Kerberos, n’utilisez pas non plus un
serveur Open Directory pour fournir des services qui accèdent au domaine de répertoire d’un autre serveur Kerberos.
Par exemple, si vous configurez le service de fichiers AFP pour qu’il accède tant à Open
Directory qu’à Active Directory, n’utilisez pas un serveur Open Directory pour fournir
le service de fichiers. Utilisez un autre serveur et connectez-le au royaume Kerberos
de l’un ou de l’autre service de répertoire.
Chapitre 4 Outils de planification et de gestion Open Directory
81
En théorie, les serveurs et les clients peuvent appartenir à deux royaumes Kerberos,
comme, par exemple, à un royaume Open Directory et à un royaume Active Directory.
L’authentification Kerberos multiroyaume requiert toutefois une configuration très avancée, qui comprend notamment la configuration des serveurs et des clients Kerberos pour
l’authentification inter-royaume et la révision du logiciel des services kerbérisés afin qu’il
puisse appartenir à plusieurs royaumes.
Amélioration des performances et de la redondance
Vous pouvez améliorer les performances des services Open Directory en ajoutant de
la mémoire au serveur et en limitant les services qu’il fournit. Cette stratégie est également valable pour tous les autres services de Mac OS X Server. Plus vous limitez le
nombre de services offerts par un serveur, meilleures sont ses performances.
Au-delà de cette stratégie générale, vous pouvez aussi améliorer les performances des
serveurs Open Directory en assignant la base de données LDAP à un volume qui lui est
propre et les historiques Open Directory à un autre volume.
Si votre réseau contient des répliques d’un maître Open Directory, vous pouvez améliorer les performances du réseau en réduisant la fréquence de mise à jour des répliques.
Des mise à jour moins fréquentes signifient que les répliques ont des données de
répertoire moins à jour. Vous devez donc trouver un juste milieu entre des performances réseau élevées et des répliques précises.
Pour une plus grande redondance des services Open Directory, configurez des serveurs
supplémentaires comme répliques Open Directory ou utilisez des serveurs avec des
ensembles RAID.
82
Chapitre 4 Outils de planification et de gestion Open Directory
Sécurité d’Open Directory
Avec Mac OS X Server, un serveur avec un domaine de répertoire LDAP partagé fournit
aussi l’authentification Open Directory. Il est important de protéger les données
d’authentification stockées par Open Directory. Ces données d’authentification comprennent la base de données du serveur de mots de passe Open Directory ainsi que
la base de données Kerberos, qui doit aussi être protégée. Par conséquent, vous devez
vous assurer que le maître Open Directory et toutes les répliques Open Directory sont
bien protégés en suivant les instructions ci-dessous :
 La sécurité physique d’un serveur maître ou réplique Open Directory est essentielle.
Protégez-en l’accès par une porte verrouillée et fermez toujours celle-ci à clé.
 Gardez en lieu sûr les supports de sauvegarde de la base de données du serveur de
mots de passe Open Directory et de la base de données Kerberos. Le fait de placer
vos serveurs Open Directory dans une pièce fermée à clé ne protégera pas la bande
de sauvegarde que vous laissez sur votre bureau.
 N’utilisez pas les serveurs Open Directory, maître ou répliques, pour fournir d’autres
services. S’il vous est impossible de consacrer exclusivement vos serveurs aux rôles
de maîtres ou de répliques Open Directory, essayez de limiter le nombre de services
qu’ils fournissent.
L’un de ces autres services pourrait comporter une faille de sécurité permettant un
accès illicite aux bases de données Kerberos ou du serveur de mots de passe Open
Directory. L’emploi de serveurs dédiés aux services Open Directory est une solution
idéale mais pas obligatoire.
 Configurez des listes de contrôle d’accès aux services (SACL) pour la fenêtre d’ouverture de session et Secure Shell (SSH) afin de déterminer quels utilisateurs peuvent
ouvrir une session sur un maître ou une réplique Open Directory.
 Évitez d’utiliser un volume RAID partagé avec d’autres ordinateurs comme volume
de démarrage d’un serveur qui est maître ou réplique Open Directory. Une faille de
sécurité sur l’un des autres ordinateurs représente une menace potentielle pour
la sécurité des informations d’authentification Open Directory.
 Configurez le service de coupe-feu IP pour qu’il bloque tous les ports à l’exception de
ceux utilisés pour les protocoles de répertoire, d’authentification et d’administration
suivants :
 Le serveur de mots de passe Open Directory utilise les ports 106 et 3659.
 Le centre de distribution de clés Kerberos utilise le port TCP/UDP 88 et le port
TCP/UDP 749 est utilisé pour l’administration Kerberos.
 Le répertoire partagé LDAP utilise le port TCP 389 pour les connexions normales et
le port TCP 636 pour les connexions SSL.
Chapitre 4 Outils de planification et de gestion Open Directory
83
 Lors de la création d’une réplique Open Directory, gardez le port 22 ouvert entre
le maître et la future réplique. Ce port est utilisé pour les transferts de données
Secure Shell (SSH), le protocole utilisé pour transférer une copie complète et à
jour de la base de données LDAP. Après la configuration initiale de la réplique,
seul le port LDAP (389 ou 636) est utilisé pour la réplication.
 Gestionnaire de groupe de travail utilise les ports TCP 311 et 625.
 Admin Serveur utilise le port TCP 311.
 SMB utilise les ports TCP/UDP 137, 138, 139 et 445.
 Équipez l’ordinateur maître Open Directory d’un système d’alimentation sans
coupure (onduleur).
En résumé, pour un maximum de sécurité, faites ce qui suit :
 Dédiez tous les serveurs Open Directory, maître ou réplique, à la fourniture de services
Open Directory.
 Configurez un coupe-feu sur ces serveurs pour ne fournir que ce qui suit : protocoles
d’accès aux répertoires, d’authentification et d’administration (LDAP, serveur de mots
de passe, Kerberos, Gestionnaire de groupe de travail et Gestionnaire de serveur).
 Protégez physiquement chaque serveur Open Directory ainsi que leurs supports de
sauvegarde.
La réplication de données de répertoire et d’authentification sur le réseau représente
un risque minime pour la sécurité. En effet, les données de mot de passe sont répliquées de façon sécurisée à l’aide de clés aléatoires négociées lors de chaque session de
réplication. La partie du trafic de duplication concernant l’authentification (le serveur
de mots de passe Open Directory et le centre de distribution de clés Kerberos) est
entièrement cryptée.
Pour plus de sécurité encore, configurez les connexions réseau entre serveurs
Open Directory afin qu’elles utilisent des commutateurs réseau plutôt que des
concentrateurs. Cela isole le trafic de réplication d’authentification sur des segments
de réseau sûrs.
84
Chapitre 4 Outils de planification et de gestion Open Directory
Listes de contrôle d’accès à un service (SACL)
Mac OS X utilise des SACL pour donner aux utilisateurs l’autorisation d’accès à un service. Les SACL sont composées d’entrées de contrôle d’accès (ACE) qui sont utilisées
pour déterminer les autorisations privilèges d’accès à service qu’un utilisateur possède.
Vous pouvez utiliser des SACL pour autoriser ou refuser l’accès à un maître ou une
réplique Open Directory en définissant des SACL pour la fenêtre d’ouverture de session et SSH. Cela restreint l’accès au service.
Vous pouvez aussi utiliser des SACL pour définir l’accès des administrateurs à Open
Directory. Cela ne restreint pas l’accès au service, mais spécifie qui peut administrer ou
surveiller le service. Pour en savoir plus sur la définition de SACL pour administrateurs,
consultez « Configuration du contrôle d’accès à un service » à la page 207.
Les SACL vous donne plus de contrôle sur la spécification des administrateurs qui ont
accès pour la surveillance et la gestion du service. Seuls les utilisateurs et les groupes
qui figurent dans une SACL ont accès au service en question. Par exemple, si vous voulez donner un accès comme administrateur aux utilisateurs ou groupes au service Open
Directory sur votre serveur, ajoutez-les à la SACL Open Directory sous la forme d’ACE.
Administration par niveaux
Mac OS X Server n’utilise pas des unités organisationnelles (UO) pour les privilèges utilisateur ou groupe dans les services de répertoire. Les autorisations sont indépendantes
de la manière dont vous organisez votre base de données de répertoires. Mac OS X
Server 10.5 utilise l’administration par niveaux pour une plus grande granularité des
privilèges de lecture et d’écriture des utilisateurs sur les enregistrements dans la base
de données de répertoires.
Les privilèges des utilisateurs sont contrôlés en organisant les utilisateurs ou les groupes en une ACL et en donnant aux utilisateurs des privilèges de lecture et d’écriture sur
les enregistrements. Les entrées des utilisateurs ou groupes, dans les ACL, sont appelées des ACE. Grâce à l’administration par niveaux, vous pouvez organiser facilement
vos utilisateurs au sein de groupes et spécifier les enregistrements qu’un groupe peut
administrer.
Chapitre 4 Outils de planification et de gestion Open Directory
85
Si vous utilisez l’administration par niveaux, considérez les points suivants :
 Qui fera partie du groupe
 Les privilèges que vous souhaitez donner à chaque groupe
 Les enregistrements que vous souhaitez faire administrer par votre groupe
Vous pouvez donner aux utilisateurs ou groupes un contrôle complet ou limité sur
l’administration des domaines. Lorsque vous donnez un contrôle administratif limité,
vous pouvez choisir quels utilisateurs et groupes un utilisateur ou groupe peut administrer. Vous pouvez aussi spécifier les contrôles que l’utilisateur a sur ces utilisateurs et
groupes. Par exemple, donner à un utilisateur le contrôle complet donne à cet utilisateur un contrôle illimité sur le domaine de répertoire.
Vous ne pouvez modifier que les privilèges de domaine d’un utilisateur pour les domaines LDAPv3. Vous ne pouvez pas modifier les privilèges d’un compte de domaine de
répertoire local ou d’un compte stocké dans un domaine de répertoire non-LDAPv3.
Les administrateurs intégraux et limités doivent utiliser le Gestionnaire de groupe
de travail pour administrer et gérer les utilisateurs. Pour en savoir plus, consultez
la section Gestion des utilisateurs.
Outils pour la gestion des services de répertoire Open Directory
Les applications Admin Serveur, Utilitaire de répertoire et Gestionnaire de groupe de
travail fournissent des interfaces graphiques pour la gestion des services Open Directory sous Mac OS X Server. De plus, vous pouvez gérer les services Open Directory à
partir de la ligne de commandes de Terminal.
Toutes ces applications sont livrées avec Mac OS X Server et peuvent être installées
sur un autre ordinateur sous Mac OS X 10.5 ou ultérieur pour faire de cet ordinateur
un ordinateur administrateur. Pour en savoir plus sur la configuration d’un ordinateur
administrateur, lisez le chapitre sur l’administration de serveur dans le Premiers contacts.
86
Chapitre 4 Outils de planification et de gestion Open Directory
Admin Serveur
L’application Admin Serveur donne accès à des outils destinés à la configuration, la
gestion et le contrôle des services Open Directory et d’autres services. Admin serveur
vous permet de :
 Configurer Mac OS X Server en tant que maître ou réplique Open Directory, en tant
que serveur connecté à un système de répertoire ou en tant que service de répertoire autonome ne comportant qu’un domaine de répertoire local. Pour en savoir
plus, consultez le chapitre 5, « Configuration des services Open Directory ».
 Configurer des systèmes Mac OS X Server supplémentaires de telle manière qu’ils
puissent utiliser le centre de distribution de clés Kerberos d’un maître ou d’une
réplique Open Directory. Pour en savoir plus, consultez le chapitre 5.
 Configurer les options LDAP d’un maître Open Directory. Pour en savoir plus,
consultez le chapitre 5.
 Configurer le service DHCP pour qu’il fournisse l’adresse d’un serveur LDAP à des
ordinateurs Mac OS X utilisant des politiques de recherche automatiques. Pour en
savoir plus, consultez le chapitre consacré à DHCP de Administration des services de
réseau.
 Définir des politiques de mot de passe s’appliquant à tous les utilisateurs qui ne disposent pas de politique de mot de passe particulières. Pour en savoir plus, consultez
le chapitre 6, « Gestion de l’authentification d’utilisateur ». (Pour définir des politiques de mot de passe, utilisez Gestionnaire de groupe de travail. Voir à ce propos
le chapitre 6).
 Contrôler les services Open Directory. Pour en savoir plus, consultez le chapitre 9,
« Maintenance des services Open Directory ».
Pour des informations de base sur l’utilisation d’Admin Serveur, consultez le chapitre
consacré à l’administration de serveurs dans Premiers contacts. Ce chapitre explique ce
qui suit :
 Ouverture de l’application Admin Serveur et authentification
 Utilisation de serveurs
 Administration des services
 Contrôle de l’accès aux services
 Utilisation de SSL pour l’administration à distance des serveurs
 Personnalisation de l’environnement d’Admin Serveur
Admin Serveur se trouve dans /Applications/Server/.
Chapitre 4 Outils de planification et de gestion Open Directory
87
Utilitaire de répertoire
Utilitaire de répertoire détermine comment un ordinateur Mac OS X utilise les services
de répertoire, détecte les services de réseau et recherchent des informations d’authentification et de contacts dans les services de répertoire. Utilitaire de répertoire permet de :
 Configurer l’accès à des répertoires LDAP, à un domaine Active Directory et à un
domaine Network Information Services (NIS)
 Configurer le mappage de données pour les répertoires LDAP
 Définir des politiques de recherche d’informations d’authentification et de contacts
dans plusieurs services de répertoire
 Activer ou désactiver des types de services de répertoires et des types de détections
de services de réseau
Utilitaire de répertoire peut se connecter à d’autres serveurs sur votre réseau afin que
vous puissiez les configurer à distance.
Pour en savoir plus sur l’utilisation d’Utilitaire de répertoire, consultez le chapitre 7,
« Gestion des clients de répertoire »..
Utilitaire de répertoire est installé, sur tous les ordinateurs Mac OS X, dans le dossier
/Applications/Utilitaires/.
Gestionnaire de groupe de travail
L’application Gestionnaire de groupe de travail permet une gestion complète des
clients de Mac OS X Server. Gestionnaire de groupe de travail vous permet de :
 Configurer et gérer les comptes d’utilisateur, les comptes de groupe et les groupes
d’ordinateurs. Pour en savoir plus sur la gestion de l’authentification utilisateur, consultez le chapitre 6, « Gestion de l’authentification d’utilisateur ». Pour en savoir plus
sur d’autres sujets liés à la gestion des utilisateurs, des groupes et des ordinateurs,
consultez la section Gestion des utilisateurs.
 Gérer les points de partage pour les services de fichiers et les dossiers de départ des
utilisateurs. Pour en savoir plus, consultez les chapitres consacrés aux points de partage et aux services SMB dans Administration des services de fichier et le chapitre consacré aux dossiers de départ dans Gestion des utilisateurs.
 Contrôler ce que les utilisateurs Mac OS X voient lorsqu’ils sélectionnent le globe
Réseau dans une barre latérale du Finder. Pour en savoir plus, consultez le chapitre
consacré à la gestion de présentations de réseau dans Gestion des utilisateurs.
 Visionner des entrées de répertoire sous une forme brute à l’aide de l’Inspecteur.
Pour en savoir plus, consultez la rubrique « Affichage et modification des données de
répertoire » à la page 212.
88
Chapitre 4 Outils de planification et de gestion Open Directory
Pour des informations de base sur l’utilisation de Gestionnaire de groupe de travail,
consultez le chapitre consacré à l’administration d’un serveur dans Premiers contacts.
Ce chapitre explique ce qui suit :
 Ouverture et authentification dans Gestionnaire de groupe de travail
 Administration des comptes
 Personnalisation de l’environnement de Gestionnaire de groupe de travail
Gestionnaire de groupe de travail se trouve dans le dossier /Applications/Server/.
Utilitaires de ligne de commande
Toute une série d’outils de ligne de commande est disponible pour les administrateurs
qui préfèrent utiliser l’administration de serveur à l’aide de commandes.
Pour la gestion de serveur à distance, soumettez les commandes dans une session
Secure Shell (SSH).
Vous pouvez saisir des commandes sur des serveurs et des ordinateurs Mac OS X à
l’aide de l’application Terminal, qui se trouve dans le dossier /Applications/Utilitaires/.
Pour en savoir plus, consultez Administration de ligne de commande.
Chapitre 4 Outils de planification et de gestion Open Directory
89
5
Configuration des services
Open Directory
5
Les services Open Directory (services de répertoires et
d’authentification) constituent une partie essentielle
de l’infrastructure d’un réseau. Ces services affectent
considérablement les autres services et utilisateurs
du réseau. C’est pourquoi Open Directory doit être
configuré correctement dès le début.
Vue d’ensemble de la configuration
Résumé des tâches principales à réaliser pour configurer les services Open Directory.
Pour obtenir des informations détaillées sur chaque étape, consultez les pages indiquées.
Étape 1 : Avant de commencer, élaborez un programme
Pour obtenir la liste des éléments à prendre en considération avant de configurer
Open Directory sur Mac OS X Server, consultez « Avant de commencer » à la page 93.
Étape 2 : Activez le service Open Directory
Utilisez Admin Serveur pour activer le service Open Directory. Une fois que le service
est activé, vous pouvez le configurer. Pour en savoir plus sur l’activation du service
Open Directory, consultez la rubrique « Activation d’Open Directory » à la page 94.
Étape 3 : Configurez un service de répertoire autonome
Pour configurer des serveurs qui ne recevront pas d’informations d’authentification ou
d’autres informations administratives d’un service de répertoires, consultez la rubrique
« Configuration d’un service de répertoire autonome » à la page 94.
Étape 4 : Configurez un maître Open Directory
Pour configurer un serveur pour qu’il fournisse des services de répertoire et d’authentification, consultez les rubriques « Compatibilité entre maître et répliques Open Directory »
à la page 76 et « Configuration d’un maître Open Directory » à la page 95.
91
Étape 5 : Configurez un contrôleur de domaine principal
Pour configurer un serveur pour fournir des services de répertoire et d’authentification
pour les plates-formes Windows et Mac OS X, consultez la rubrique « Configuration
d’un contrôleur de domaine principal » à la page 98.
Étape 6 : Configurez une réplique Open Directory
Pour configurer un ou plusieurs serveurs pour qu’ils fournissent des services de répertoire de basculement et d’authentification ou des services de répertoire à distance
et d’authentification pour l’interaction rapide entre clients sur des réseaux distribués,
consultez la rubrique « Configuration d’une réplique Open Directory » à la page 102.
Étape 7 : Configurez des relais Open Directory pour la réplication en cascade
Pour configurer un serveur comme réplique ou relais d’un maître Open Directory
pour fournir des informations sur les répertoires et des informations d’authentification
aux ordinateurs, consultez la rubrique « Configuration de relais Open Directory pour la
réplication en cascade » à la page 105.
Étape 8 : Configurez un serveur comme contrôleur de domaine secondaire
Pour configurer des serveurs pour fournir une prise en charge du basculement pour
votre contrôleur de domaine principal, consultez la rubrique « Configuration d’un serveur comme contrôleur de domaine secondaire » à la page 106.
Étape 9 : Configurez les serveurs qui se connectent à d’autres systèmes de répertoire
Si vous disposez de serveurs de fichiers ou d’autres serveurs qui accèdent à des services de répertoire et d’authentification, consultez la rubrique « Configuration d’une connexion à un serveur de répertoire » à la page 108.
Étape 10 : Configurez l’authentification Kerberos par signature unique
Si vous avez un maître Open Directory, vous pouvez configurer d’autres serveurs pour
qu’ils se connectent à son royaume Kerberos. Si vous configurez un maître Open Directory sans Kerberos, vous pouvez configurer Kerberos plus tard. Pour en savoir plus, consultez la rubrique « Configuration de l’authentification Kerberos par signature unique »
à la page 113.
Étape 11 : Configurez des ordinateurs clients pour qu’ils se connectent à des services
de répertoire
Si vous avez un maître Open Directory, vous devez configurer les ordinateurs clients
pour qu’ils accèdent à son domaine de répertoire. Vous pouvez aussi configurer les
clients pour qu’ils accèdent à d’autres services de répertoire comme, par exemple,
Microsoft Active Directory. Consultez le chapitre 7, « Gestion des clients de répertoire. »
et le chapitre 8, « Réglages avancés des clients de répertoire. ».
Étape 12 : Expliquez aux utilisateurs comment ouvrir une session
Consultez la rubrique « Explication de la façon d’ouvrir une session » à la page 98.
92
Chapitre 5 Configuration des services Open Directory
Avant de commencer
Avant de configurer des services Open Directory pour la première fois :
 Comprenez les utilisations des données de répertoire et évaluez vos besoins en
répertoires.
Identifiez les services qui nécessitent des données issues de domaines de répertoire
et déterminez quels utilisateurs doivent accéder à ces services.
Les utilisateurs dont les informations peuvent être aisément gérées sur un serveur
doivent être définis dans le répertoire LDAP partagé d’un Mac OS X Server qui est
un maître Open Directory. Certains de ces utilisateurs pourront être définis dans des
domaines de répertoire d’autres serveurs, tels qu’un domaine Active Directory sur
un serveur Windows.
Ces concepts sont présentés au chapitre 1, « Services de répertoire avec
Open Directory. »
 Évaluez s’il vous faut plusieurs domaines partagés. Si c’est le cas, choisissez les utilisateurs
à définir dans chaque domaine partagé. Pour en savoir plus, consultez la rubrique
« Politiques de recherche multiniveaux » à la page 38.
 Déterminez quelles sont les options d’authentification nécessaires aux utilisateurs.
Pour obtenir les options disponibles, consultez le chapitre 3, « Authentification Open
Directory. » Optez pour des répliques de votre maître Open Directory ou pour un
contrôleur de domaine secondaire de votre contrôleur de domaine principal.
Le chapitre 4, « Outils de planification et de gestion Open Directory, » contient des
instructions à ce sujet.
 Sélectionnez les administrateurs des serveurs avec soin. Ne donnez un mot de passe
d’administrateur qu’aux personnes en qui vous avez entière confiance. Limitez au
maximum le nombre d’administrateurs. N’attribuez à aucun utilisateur de droits
d’accès d’administrateur pour procéder à des tâches mineures, telle que la modification de réglages dans une fiche d’utilisateur.
Les informations de répertoire ont une grande incidence sur toutes les personnes dont
l’ordinateur les utilisent.
Gestion d’Open Directory sur un serveur distant
Vous pouvez installer Admin Serveur sur un ordinateur sous Mac OS X 10.4 ou ultérieur
et l’utiliser pour gérer Open Directory sur n’importe quel serveur sur votre réseau local
ou au-delà. Vous pouvez aussi gérer Open Directory à distance en vous servant des
outils à ligne de commande sur un ordinateur Mac OS X ou sur un ordinateur nonMacintosh.
Pour en savoir plus, consultez le chapitre consacré à l’administration de serveur de
Premiers contacts.
Chapitre 5 Configuration des services Open Directory
93
Activation d’Open Directory
Pour pouvoir configurer Open Directory, vous devez activer le service Open Directory
dans Admin Serveur.
Pour activer le service Open Directory :
1 Ouvrez Admin Serveur et connectez-vous au serveur.
2 Cliquez sur Réglages.
3 Cliquez sur Services.
4 Sélectionnez la case Open Directory.
5 Cliquez sur Enregistrer.
Configuration d’un service de répertoire autonome
A l’aide d’Admin Serveur, vous pouvez configurer Mac OS X Server pour utiliser uniquement le domaine de répertoire local du serveur. Le serveur ne fournit aucune information sur les répertoires aux autres ordinateurs et n’en obtient pas d’un système existant.
(Le domaine de répertoire local ne peut être partagé.)
Si vous modifiez Mac OS X Server pour obtenir des informations de répertoires uniquement à partir de son domaine de répertoire local, les enregistrements d’utilisateurs
et les autres informations que le serveur avait récupéré sur un domaine de répertoire
partagé deviennent inaccessibles : les enregistrements d’utilisateur et les autres informations qui figurent dans le domaine de répertoire partagé sont supprimés.
Les fichiers et dossiers du serveur peuvent devenir inaccessibles aux utilisateurs dont
les comptes se trouvent dans le domaine de répertoire partagé.
Si le serveur était un maître Open Directory et d’autres serveurs y étaient connectés,
ce qui suit peut se produire :
 Des services peuvent être interrompus sur les serveurs connectés si les comptes
d’utilisateur et les autres informations du domaine de répertoire partagé deviennent
inaccessibles.
 Les utilisateurs dont les comptes se trouvent dans le domaine de répertoire partagé
peuvent ne pas pouvoir accéder aux fichiers et dossiers situés sur le maître Open
Directory et sur les autres serveurs qui étaient connectés à son domaine de répertoire LDAP partagé.
Vous pouvez archiver une copie des données de répertoire et d’authentification du
maître Open Directory avant de le transformer en service de répertoire autonome.
Pour en savoir plus, consultez la rubrique « Archivage d’un maître Open Directory » à
la page 230.
Vous pouvez aussi exporter des utilisateurs, des groupes et des groupes d’ordinateurs à partir du maître Open Directory avant de le transformer en service de répertoire autonome. Pour en savoir plus, reportez-vous à la section Gestion des utilisateurs.
94
Chapitre 5 Configuration des services Open Directory
Pour configurer un serveur afin qu’il utilise uniquement son propre domaine de
répertoire local non partagé :
1 Ouvrez Admin Serveur et connectez-vous au serveur.
2 Cliquez sur le triangle à gauche du serveur.
La liste des services apparaît.
3 Dans la liste des serveurs développée, sélectionnez Open Directory.
4 Cliquez sur Réglages, puis sur Général.
5 Cliquez sur Modifier.
L’Assistant de configuration de service s’ouvre.
6 Choisissez Autonome, puis cliquez sur Continuer.
7 Confirmez le réglage de configuration Open Directory, puis cliquez sur Continuer.
8 Si vous êtes sûr que les utilisateurs et les services n’ont plus besoin d’accéder aux données de répertoire enregistrées dans le domaine de répertoire partagé que le serveur a
hébergé ou auquel il était connecté, cliquez sur Fermer.
Configuration d’un maître Open Directory
À l’aide d’Admin Serveur, vous pouvez configurer Mac OS X Server comme maître Open
Directory afin qu’il puisse fournir des informations de répertoires et d’authentification à
d’autres systèmes.
Mac OS X Server fournit des informations de répertoires en hébergeant un domaine de
répertoire LDAP partagé. De plus, le serveur authentifie les utilisateurs dont les comptes sont enregistrés dans le domaine de répertoire LDAP partagé.
Un maître Open Directory dispose d’un serveur de mots de passe Open Directory qui
prend en charge toutes les méthodes d’authentification conventionnelles requises par
les services Mac OS X Server. De plus, un maître Open Directory peut fournir l’authentification Kerberos pour la signature unique.
Si vous souhaitez que le maître Open Directory fournisse l’authentification Kerberos
pour la signature unique, le DNS doit être disponible sur le réseau et doit être configuré
correctement pour résoudre le nom DNS complet du serveur du maître Open Directory
et le convertir en son adresse IP. DNS doit aussi être configuré pour résoudre l’adresse IP
et la convertir dans le nom DNS complet du serveur.
Important : si vous transformez une réplique Open Directory en un maître Open Directory,
la procédure à suivre dépend de savoir si la réplique doit remplacer le maître pour devenir
un maître supplémentaire.
 Pour promouvoir une réplique pour qu’elle remplace un maître non opérationnel,
suivez les instructions qui figurent dans la rubrique « Promotion d’une réplique Open
Directory » à la page 226 plutôt que les instructions ci-dessous.
Chapitre 5 Configuration des services Open Directory
95
 Pour faire d’une réplique un maître supplémentaire, déclassez d’abord la réplique
comme décrit dans « Mise hors service d’une réplique Open Directory » à la
page 229, puis faites-en un maître en suivant les étapes de cette rubrique.
Remarque : si Mac OS X Server était connecté à un système de répertoire et que vous
transformez le serveur en maître Open Directory, il reste connecté à l’autre système de
répertoire. Le serveur recherchera les fiches d’utilisateur et d’autres informations dans
son domaine de répertoire LDAP partagé avant de rechercher dans d’autres systèmes
de répertoire auxquels il est connecté.
Pour configurer un serveur en maître Open Directory :
1 Ouvrez Admin Serveur et connectez-vous au serveur.
2 Cliquez sur le triangle à gauche du serveur.
La liste des services apparaît.
3 Dans la liste des serveurs développée, sélectionnez Open Directory.
4 Cliquez sur Réglages, puis sur Général.
Si l’option Rôle est réglée sur Réplique Open Directory et que vous souhaitez créer un
nouveau maître Open Directory, vous devez changer le rôle du serveur en Autonome.
Pour en savoir plus, consultez la rubrique « Configuration d’un service de répertoire
autonome » à la page 94.
Si vous ne transformez pas une réplique Open Directory en serveur autonome avant
d’en faire un maître, vous promouvez la réplique en maître au lieu de créer un nouveau maître. Pour en savoir plus, consultez la rubrique « Promotion d’une réplique
Open Directory » à la page 226.
5 Cliquez sur Modifier.
L’Assistant de configuration de service s’ouvre.
6 Sélectionnez Maître Open Directory, puis cliquez sur Continuer.
7 Saisissez les informations suivantes sur l’administrateur de domaine maître, puis cliquez sur Continuer.
 Nom, nom abrégé, identifiant d’utilisateur, mot de passe : vous devez créer un nouveau
compte d’utilisateur pour l’administrateur principal du répertoire LDAP. Ce compte
n’est pas une copie du compte d’administrateur dans le domaine de répertoire local
du serveur. Utilisez, pour l’administrateur de répertoire LDAP, des noms et un identifiant d’utilisateur différents des noms et des identifiants d’utilisateur des comptes
d’utilisateur qui figurent dans le domaine de répertoire local. De plus, si vous voulez
empêcher le compte d’administrateur de répertoire d’apparaître dans la fenêtre
d’ouverture de session, assignez au compte d’administrateur de répertoire un identifiant d’utilisateur inférieur à 100. Les comptes qui possèdent des identifiants d’utilisateur inférieurs à 100 n’apparaissent pas dans la fenêtre d’ouverture de session.
96
Chapitre 5 Configuration des services Open Directory
Remarque : si vous prévoyez de connecter votre maître Open Directory à d’autres
domaines de répertoire, choisissez un nom et un identifiant d’utilisateur uniques dans
chaque domaine. N’utilisez pas l’identifiant d’utilisateur diradmin proposé par défaut.
Utilisez un nom qui vous aide à distinguer le domaine de répertoire que l’administrateur de répertoire contrôle.
8 Saisissez les informations suivantes sur le domaine maître, puis cliquez sur Continuer.
 Royaume Kerberos : ce champ est préréglé pour être identique au nom DNS du
serveur converti en lettres majuscules. Il s’agit d’une convention pour nommer
les royaumes Kerberos. Vous pouvez saisir un autre nom, si nécessaire.
 Base de recherche : ce champ est préréglé sur un suffixe de base de recherche pour
le nouveau répertoire LDAP, dérivé de la partie réservée au domaine du nom DNS du
serveur. Vous pouvez saisir un autre suffixe de base de recherche ou laissez le champ
vide. Si vous laissez ce champ vide, c’est le suffixe de base de recherche par défaut
du répertoire LDAP qui est utilisé.
9 Confirmez les réglages, puis cliquez sur Fermer.
10 Assurez-vous que le maître Open Directory fonctionne correctement en cliquant sur
Vue d’ensemble (dans le haut de la fenêtre d’Admin Serveur, avec Open Directory
sélectionné dans la liste Serveurs).
L’état de tous les éléments listés dans la sous-fenêtre de vue d’ensemble d’Open Directory doit être « En service ». Si Kerberos reste arrêté alors que vous souhaitez le démarrer, consultez la rubrique « Si Kerberos est arrêté sur un maître ou une réplique Open
Directory » à la page 235.
Après avoir configuré un ordinateur Mac OS X Server pour qu’il soit un maître Open
Directory, vous pouvez modifier sa politique de liaison, sa politique de sécurité, sa politique de mot de passe, la fréquence de réplication et des options de protocole LDAP.
Pour en savoir plus, reportez-vous à la rubrique « Définition des options d’un serveur
Open Directory » à la page 217.
Vous pouvez configurer d’autres ordinateurs sous Mac OS X ou Mac OS X Server pour
qu’ils accèdent au domaine de répertoire LDAP partagé du serveur. Pour en savoir plus,
reportez-vous à la rubrique « Utilisation des réglages avancés des services LDAP » à la
page 157.
Chapitre 5 Configuration des services Open Directory
97
Explication de la façon d’ouvrir une session
Lorsqu’un ordinateur Mac OS X est connecté à un domaine de répertoire et est configuré pour qu’il affiche une liste d’utilisateurs dans la fenêtre d’ouverture de session
Mac OS X, la liste peut contenir « Autre ».Dites aux utilisateurs qui n’ont jamais ouvert
de session avec un compte réseau qu’ils doivent cliquer sur Autre, puis saisir le nom du
compte et le mot de passe.
Les utilisateurs peuvent configurer leur ordinateurs pour que ces derniers n’affichent
pas une liste d’utilisateurs dans la fenêtre d’ouverture de session. Les utilisateurs changent ce réglage dans la sous-fenêtre Comptes des Préférences Système en cliquant sur
Options d’ouverture de session.
Vous pouvez afficher les utilisateurs réseau dans la fenêtre d’ouverture de session d’un
ordinateur ou ne pas afficher cette liste dans les préférences de l’ordinateur. Utilisez
Gestionnaire de groupe de travail pour configurer des réglages de préférences d’ouverture de session pour le compte de groupe d’ordinateurs qui contient l’ordinateur. Pour
gérer des ordinateurs qui ne font pas partie d’un compte de groupe d’ordinateurs particulier, configurez des réglages de préférences d’ouverture de session pour le compte
Ordinateurs hôtes.
Pour en savoir plus, consultez Gestion des utilisateurs.
Configuration d’un contrôleur de domaine principal
À l’aide d’Admin Serveur, vous pouvez configurer Mac OS X Server comme contrôleur
de domaine principal (Primary Domain Controller ou PDC) Windows. Le PDC héberge
un domaine Windows et fournit des services d’authentification aux autres membres du
domaine, y compris l’authentification pour l’ouverture de session de domaine sur des
stations de travail Windows.
Si aucun serveur membre du domaine n’est disponible, le serveur PDC peut fournir des
services de fichiers et d’impression Windows et héberger des profils d’utilisateur et des
dossiers de départ pour les utilisateurs qui disposent de comptes d’utilisateur sur le PDC.
Important : lors de la configuration de Mac OS X Server comme contrôleur de domaine
principal, assurez-vous qu’il n’y a pas, sur votre réseau, un autre contrôleur de domaine
principal possédant le même nom de domaine. Pour configurer d’autres contrôleurs de
domaine, faites-en des contrôleurs de domaine secondaire (Backup Domain Controllers
ou BDC).
98
Chapitre 5 Configuration des services Open Directory
Pour configurer un PDC Windows :
1 Assurez-vous que le serveur est un maître Open Directory.
Pour déterminer si un serveur est un maître Open Directory, ouvrez Admin Serveur,
cliquez sur le triangle (à gauche du serveur), sélectionnez Open Directory dans la liste
des services développée, puis cliquez sur Vue d’ensemble.
La première ligne des informations d’état indique le rôle du serveur Open Directory.
2 Ouvrez Admin Serveur et connectez-vous au serveur.
3 Cliquez sur Réglages, puis sur Services.
4 Sélectionnez la case SMB, puis cliquez sur Enregistrer.
5 Cliquez sur le triangle à gauche du serveur.
La liste des services apparaît.
6 Dans la liste Serveurs, sélectionnez SMB.
7 Cliquez sur Réglages, puis sur Général.
8 Dans le menu local Rôle, sélectionnez Contrôleur de domaine principal (PDC),
puis saisissez ceci :
 Description : cette description apparaît dans la fenêtre Favoris réseau des ordinateurs
Windows et est facultative.
 Nom de l’ordinateur : saisissez le nom que vous voulez montrer utilisateurs Windows
lorsqu’ils se connectent au serveur. Il s’agit du nom NetBIOS du serveur. Ce nom ne
peut comporter plus de 15 caractères, aucun caractère spécial et aucun signe de
ponctuation. Si c’est possible, utilisez comme nom de serveur le nom d’hôte DNS non
complet. Par exemple, si votre serveur DNS possède l’entrée « serveur.exemple.com »
pour votre serveur, nommez simplement votre serveur « serveur ».
 Domaine : saisissez le nom du domaine Windows que le serveur va héberger. Le nom
de domaine ne peut pas comporter plus de 15 caractères et doit être différent de
« workgroup ».
9 Cliquez sur Enregistrer.
10 Saisissez le nom et le mot de passe d’un compte d’administrateur de répertoire LDAP,
puis cliquez sur OK.
Lors de l’authentification, vous devez utiliser un compte d’administrateur de répertoire
LDAP. Vous ne pouvez pas utiliser un compte d’administrateur local, comme, par exemple, le compte d’administrateur du serveur principal (identifiant d’utilisateur 501),
pour créer un contrôleur de domaine principal (PDC).
Chapitre 5 Configuration des services Open Directory
99
Une fois que vous avez configuré un contrôleur de domaine principal, vous pouvez
modifier les restrictions en matière d’accès, le niveau de détail pour la journalisation,
le code de la page, la navigation dans le domaine ou l’enregistrement WINS. Ensuite,
si les services Windows ne tournent pas, vous pouvez les démarrer. Pour en savoir plus,
consultez la section Administration des services de réseau.
Configuration de Windows Vista pour l’ouverture de session de
domaine
Vous pouvez activer l’ouverture de session de domaine sur un ordinateur sous
Windows Vista en le connectant au domaine Windows d’un contrôleur de domaine
principal Mac OS X Server.Pour se connecter au domaine Windows, il faut disposer
du nom et du mot de passe d’un compte d’administrateur de répertoire LDAP.
Vous pouvez déléguer cette tâche à une personne disposant d’un compte d’administrateur local sur l’ordinateur Windows. Dans ce cas, vous pouvez créer un compte
d’administrateur de répertoire LDAP temporaire possédant des privilèges limités.
Pour en savoir plus, consultez la section Gestion des utilisateurs.
Remarque : seuls Windows Vista Ultimate et Business peuvent être connectés à un
domaine.
Pour connecter un ordinateur sous Windows Vista à un domaine Windows :
1 Ouvrez une session dans Windows Vista à l’aide d’un compte d’administrateur local.
2 Ouvrez la Panneau de configuration, puis Système.
3 Cliquez sur Modifier les paramètres.
4 Cliquez sur Nom de l’ordinateur, puis sur Modifier.
5 Saisissez un nom d’ordinateur, saisir Domaine, saisissez le nom de domaine du contrôleur de domaine principal Mac OS X Server, puis cliquez sur OK.
Pour rechercher le nom de domaine du serveur, ouvrez Admin Serveur sur le serveur
ou un ordinateur administrateur, sélectionnez SMB dans la liste Serveurs, cliquez sur
Réglages, puis sur Général.
6 Saisissez le nom et le mot de passe d’un administrateur de répertoire LDAP,
puis cliquez sur OK.
100
Chapitre 5 Configuration des services Open Directory
Configuration de Windows XP pour l’ouverture de session de domaine
Vous pouvez activer l’ouverture de session de domaine sur un ordinateur sous
Windows XP en le connectant au domaine Windows d’un contrôleur de domaine
principal Mac OS X Server. Pour se connecter au domaine Windows, il faut disposer
du nom et du mot de passe d’un compte d’administrateur de répertoire LDAP.
Vous pouvez déléguer cette tâche à une personne disposant d’un compte d’administrateur local sur l’ordinateur Windows. Dans ce cas, vous pouvez créer un compte
d’administrateur de répertoire LDAP temporaire possédant des privilèges limités.
Pour en savoir plus, consultez la section Gestion des utilisateurs.
Pour connecter un ordinateur sous Windows XP à un domaine Windows :
1 Ouvrez une session dans Windows XP à l’aide d’un compte d’administrateur local.
2 Ouvrez la Panneau de configuration, puis Système.
3 Cliquez sur Nom de l’ordinateur, puis sur Modifier.
4 Saisissez un nom d’ordinateur, saisir Domaine, saisissez le nom de domaine du contrôleur
de domaine principal Mac OS X Server, puis cliquez sur OK.
Pour rechercher le nom de domaine du serveur, ouvrez Admin Serveur sur le serveur
ou un ordinateur administrateur, sélectionnez SMB dans la liste Serveurs, cliquez sur
Réglages, puis sur Général.
5 Saisissez le nom et le mot de passe d’un administrateur de répertoire LDAP,
puis cliquez sur OK.
Configuration de Windows 2000 pour l’ouverture de session de domaine
Vous pouvez activer l’ouverture de session de domaine sur un ordinateur sous
Windows 2000 en le connectant au domaine Windows d’un contrôleur de domaine
principal Mac OS X Server.Pour se connecter au domaine Windows, il faut disposer
du nom et du mot de passe d’un compte d’administrateur de répertoire LDAP.
Vous pouvez déléguer cette tâche à une personne disposant d’un compte d’administrateur local sur l’ordinateur Windows. Dans ce cas, vous pouvez créer un compte
d’administrateur de répertoire LDAP temporaire possédant des privilèges limités.
Pour en savoir plus, consultez le guide Gestion des utilisateurs.
Pour connecter un ordinateur sous Windows 2000 à un domaine Windows :
1 Ouvrez une session dans Windows 2000 à l’aide d’un compte d’administrateur local.
2 Ouvrez la Panneau de configuration, puis Système.
3 Cliquez sur Identification réseau, puis sur Propriétés.
Chapitre 5 Configuration des services Open Directory
101
4 Saisissez un nom d’ordinateur, saisir Domaine, saisissez le nom de domaine du contrôleur
de domaine principal Mac OS X Server, puis cliquez sur OK.
Pour rechercher le nom de domaine du serveur, ouvrez Admin Serveur sur le serveur
ou un ordinateur administrateur, sélectionnez SMB dans la liste Serveurs, cliquez sur
Réglages, puis sur Général.
5 Saisissez le nom et le mot de passe d’un administrateur de répertoire LDAP,
puis cliquez sur OK.
Configuration d’une réplique Open Directory
À l’aide d’Admin Serveur, vous pouvez configurer Mac OS X Server comme réplique
d’un maître Open Directory afin qu’il puisse fournir les mêmes informations de répertoires et d’authentification que le maître à d’autres systèmes.
Le serveur réplique héberge une copie en lecture seule du domaine de répertoire LDAP
du maître. Le serveur réplique héberge aussi une copie en lecture/écriture du serveur
de mots de passe Open Directory et du centre de distribution de clés Kerberos (KDC).
Les répliques Open Directory offrent les avantages suivants :
 Dans un réseau étendu (WAN) de réseaux locaux (LAN) interconnectés par des
liaisons lentes, les répliques situées sur les réseaux locaux fournissent aux serveurs
et aux ordinateurs clients un accès rapide aux comptes d’utilisateur et aux autres
informations de répertoires.
 Une réplique fournit la redondance. En cas de défaillance du maître Open Directory,
les ordinateurs qui lui sont connectés basculent vers une réplique située à proximité.
Ce basculement automatique est une fonctionnalité de Mac OS X et de Mac OS X
Server 10.4 et 10.5.
Remarque : si votre réseau contient un mélange de versions 10.4 et de versions 10.5
de Mac OS X Server, sachez qu’une version ne peut pas être la réplique d’un maître
de l’autre version. Un maître Open Directory en version 10.5 ne sera pas répliqué vers
Mac OS X Server 10.4 et un maître Open Directory sous Mac OS X Server 10.4 ne sera
pas répliqué vers Mac OS X Server 10.5 :
Lorsque vous configurez une réplique Open Directory pour la première fois, toutes
les données de répertoires et d’authentification doivent être copiées sur celle-ci à
partir du maître Open Directory. La duplication peut durer plusieurs secondes ou
plusieurs minutes selon la taille du domaine de répertoire. Si la duplication est
effectuée via une liaison réseau lente, elle peut durer longtemps.
Pendant la duplication, le maître ne peut pas fournir les services de répertoires et
d’authentification. Vous ne pouvez pas utiliser des comptes d’utilisateur du répertoire
LDAP maître pour vous ouvrir une session auprès des services ou vous authentifier
avant la fin de la duplication.
102
Chapitre 5 Configuration des services Open Directory
Pour minimiser l’interruption des services de répertoires, configurez une réplique avant
que le répertoire LDAP du maître ne soit complètement rempli ou à un moment de la
journée où le service de répertoire n’est pas utilisé. Le fait de disposer d’une autre réplique configurée permettra aux clients du service de répertoire de ne pas être affectés si
le maître devient indisponible.
Si vous modifiez un ordinateur Mac OS X Server qui était connecté à un autre système
de répertoire pour qu’il devienne une réplique Open Directory, le serveur reste connecté à l’autre système de répertoire. Le serveur recherche les fiches d’utilisateur et
d’autres informations dans son domaine de répertoire LDAP partagé avant de rechercher dans d’autres systèmes de répertoire auxquels il est connecté.
Pour configurer un serveur afin qu’il héberge une réplique d’un maître Open Directory :
1 Assurez-vous que le maître, la future réplique et tous les coupe-feu entre eux sont
configurés pour autoriser les communications SSH (port 22).
Vous pouvez activer SSH pour Mac OS X Server dans Admin Serveur. Sélectionnez le
serveur dans la liste Serveurs, cliquez sur Réglages, puis sur Général, puis sélectionnez
l’option Connexion à distance (SSH).
Assurez-vous que l’accès SSH n’est pas restreint à certains utilisateurs ou groupes
(à l’aide de SACL) sur le futur maître. Cela priverait Admin Serveur des autorisations
nécessaires lors de la création de la réplique. Vous pouvez désactiver temporairement
les SACL dans Admin Serveur sous Réglages > Accès.
Pour en savoir plus sur SSH, consultez Premier contacts. Pour en savoir plus sur l’autorisation de communications SSH au travers du coupe-feu Mac OS X Server, consultez
Administration des services réseau.
2 Ouvez Admin Serveur et connectez-vous au serveur.
3 Cliquez sur le triangle à gauche du serveur.
La liste des services apparaît.
4 Dans la liste des serveurs développée, sélectionnez Open Directory.
5 Cliquez sur Réglages, puis sur Général.
6 Cliquez sur Modifier.
L’Assistant de configuration de service s’ouvre.
7 Sélectionnez Réplique Open Directory, puis cliquez sur Continuer.
Chapitre 5 Configuration des services Open Directory
103
8 Saisissez les informations obligatoires suivantes :
 Adresse IP ou nom DNS du maître Open Directory : saisissez l’adresse IP ou le nom DNS
du serveur qui fait office de maître Open Directory.
 Mot de passe root sur le maître Open Directory : saisissez le mot de passe de l’utilisateur root du système maître Open Directory (nom d’utilisateur de l’administrateur
système).
 Nom abrégé de l’administrateur de domaine : saisissez le nom d’un compte d’administrateur de domaine de répertoire LDAP.
 Mot de passe de l’administrateur de domaine : saisissez le mot de passe du compte
d’administrateur dont vous avez saisi le nom.
9 Cliquez sur Continuer.
10 Confirmez les réglages de configuration Open Directory, puis cliquez sur Continuer.
11 Cliquez sur Fermer.
12 Assurez-vous que la date, l’heure et le fuseau horaire sont exacts sur la réplique et sur
le maître.
La réplique et le maître doivent utiliser le même service horaire de réseau pour que
leurs horloges restent synchronisées.
Une fois que vous ayez configuré une réplique Open Directory, les autres ordinateurs
s’y connecteront selon leurs besoins.
Les ordinateurs sous les versions 10.3 ou 10.4 de Mac OS X ou de Mac OS X Server conservent une liste des répliques Open Directory. Si l’un de ces ordinateurs ne parvient
pas à contacter le maître Open Directory pour des services de répertoires et d’authentification, il se connecte à la réplique du maître la plus proche.
Vous pouvez configurer les ordinateurs Mac OS X pour qu’ils se connectent à une réplique Open Directory plutôt qu’au maître Open Directory pour les services de répertoires et d’authentification. Sur chaque ordinateur Mac OS X, vous pouvez utiliser Utilitaire
de répertoire pour créer une configuration LDAPv3 afin d’accéder au répertoire LDAP
de la réplique.
Vous pouvez également configurer un service DHCP pour qu’il fournisse le répertoire
LDAP de la réplique aux ordinateurs Mac OS X qui obtiennent l’adresse d’un serveur
LDAP par le service DHCP. Consultez les rubriques « Utilisation des réglages avancés des
services LDAP » à la page 157 et « Définition de politiques de recherche automatiques »
à la page 152.
104
Chapitre 5 Configuration des services Open Directory
Le maître Open Directory met la réplique à jour. Vous pouvez configurer le maître pour
qu’il effectue ces mises à jour soit à intervalles de temps programmés, soit dès que le
répertoire maître est modifié. Pour en savoir plus, consultez la rubrique « Planification
de la réplication d’un maître Open Directory ou d’un contrôleur de domaine principal
(PDC) » à la page 224.
Création de plusieurs répliques d’un maître Open Directory
Si vous souhaitez créer plus d’une réplique d’un maître Open Directory, créez une réplique à la fois. Si vous essayez de créer deux répliques simultanément, une tentative va
réussir, l’autre va échouer. Une nouvelle tentative de création de la seconde réplique
devrait réussir.
Vous pouvez avoir jusqu’à 32 répliques d’un maître Open Directory. Ces membres
directs du serveur maître Open Directory sont appelés des relais. Chaque relais peut
avoir à son tour 32 répliques de lui-même, ce qui donne 1056 répliques dans une
hiérarchie à deux niveaux.
Configuration de relais Open Directory pour la réplication
en cascade
À l’aide d’Admin Serveur, vous pouvez configurer Mac OS X Server comme réplique
ou relais d’un maître Open Directory afin qu’il puisse fournir les mêmes informations
de répertoires et d’authentification que le maître à d’autres ordinateurs.
Un relais doit répondre aux deux conditions suivantes :
 Être la réplique d’un maître Open Directory (un membre direct).
 Avoir des répliques (prend en charge jusqu’à 32 répliques).
La configuration d’une réplique d’un relais est identique à la configuration d’une
réplique d’un maître Open Directory. Pour en savoir plus, consultez la rubrique
« Configuration d’une réplique Open Directory » à la page 102.
Chapitre 5 Configuration des services Open Directory
105
Configuration d’un serveur comme contrôleur de domaine
secondaire
À l’aide d’Admin Serveur, vous pouvez configurer Mac OS X Server comme contrôleur
de domaine secondaire Windows. Le contrôleur de domaine secondaire fournit le
basculement automatique et la sauvegarde pour l’ouverture de session de domaine
Windows et d’autres demandes adressées par des clients Windows en matière de
services d’authentification et de répertoire.
Le serveur contrôleur de domaine secondaire peut fournir d’autres services Windows
(services SMB), y compris des services de fichiers, d’impression, d’accès à des fichiers
et Windows Internet Name Service (WINS). Le contrôleur de domaine secondaire peut
héberger des dossiers de départ d’utilisateurs qui disposent de comptes d’utilisateur
sur le contrôleur de domaine principal/secondaire.
Pour configurer un BDC Windows :
1 Assurez-vous que le serveur est une réplique Open Directory.
Pour déterminer si un serveur est une réplique Open Directory, ouvrez Admin Serveur
et connectez-vous au serveur, cliquez sur le triangle à gauche du serveur (pour développer la liste), sélectionnez Open Directory dans la liste des services développée,
puis cliquez sur Vue d’ensemble. La première ligne des informations d’état indique
le rôle Open Directory du serveur.
2 Ouvrez Admin Serveur et connectez-vous au serveur.
3 Cliquez sur le triangle à gauche du serveur.
La liste des services apparaît.
4 Dans la liste Serveurs développées, sélectionnez SMB.
5 Cliquez sur Réglages, puis sur Général.
6 Dans le menu local Rôle, sélectionnez Contrôleur de domaine secondaire (BDC),
puis saisissez ceci :
 Description : cette description apparaît dans la fenêtre Favoris réseau des ordinateurs
Windows et est facultative.
 Nom de l’ordinateur : saisissez le nom que vous voulez montrer utilisateurs Windows
lorsqu’ils se connectent au serveur. Il s’agit du nom NetBIOS du serveur. Ce nom ne
peut comporter plus de 15 caractères, aucun caractère spécial et aucun signe de
ponctuation. Si c’est possible, utilisez comme nom de serveur le nom d’hôte DNS non
complet. Par exemple, si votre serveur DNS possède l’entrée « serveur.exemple.com »
pour votre serveur, nommez simplement votre serveur « serveur ».
 Domaine : saisissez le nom du domaine Windows que le serveur va héberger.
Le nom de domaine ne peut pas comporter plus de 15 caractères et doit être
différent de « workgroup ».
7 Cliquez sur Enregistrer.
106
Chapitre 5 Configuration des services Open Directory
8 Saisissez le nom et le mot de passe d’un compte d’utilisateur pouvant administrer
le répertoire LDAP sur le serveur, puis cliquez sur OK.
Lors de l’authentification, vous devez utiliser un compte d’administrateur de répertoire
LDAP. Vous ne pouvez pas utiliser un compte d’administrateur local, comme, par exemple, le compte d’administrateur du serveur principal (identifiant d’utilisateur 501),
pour créer un contrôleur de domaine secondaire (BDC).
Une fois que vous avez configuré un contrôleur de domaine secondaire, vous pouvez
modifier les restrictions en matière d’accès, le niveau de détail pour la journalisation,
le code de la page, la navigation dans le domaine ou l’enregistrement WINS. Ensuite,
si les services Windows ne tournent pas, vous pouvez les démarrer. Pour en savoir plus,
reportez-vous à la section Administration des services de réseau.
Configuration du basculement Open Directory
Si un maître Open Directory ou l’une de ses répliques devient indisponible, ses ordinateurs clients sous Mac OS X ou Mac OS X Server 10.3–10.5 trouveront automatiquement une réplique disponible et s’y connecteront.
Les répliques permettent seulement aux clients de lire les informations de répertoires.
Ces informations enregistrées sur la réplique ne peuvent être modifiées avec les outils
d’administration tels que Gestionnaire de groupe de travail.
Les utilisateurs dont le type de mot de passe est Open Directory peuvent modifier leurs
mots de passe sur les ordinateurs connectés aux répliques Open Directory. Les répliques synchronisent les modifications de mots de passe avec le maître. Si le maître est
indisponible pendant un certain temps, les répliques synchronisent les modifications
de mots de passe avec le maître une fois que ce dernier est de nouveau disponible.
Si le maître Open Directory est en panne de façon permanente et que vous disposez
d’une archive à jour de ses données, vous pouvez restaurer les données sur un nouveau maître. Ou sinon, vous pouvez promouvoir une réplique en maître. Pour en savoir
plus, consultez les rubriques « Restauration d’un maître Open Directory » à la page 231
et « Promotion d’une réplique Open Directory » à la page 226.
Remarque : si un maître ou une réplique Open Directory avait des ordinateurs clients
sous Mac OS X ou Mac OS X Server 10.2 ou antérieur, les ordinateurs et les serveurs de
version 10.2 ne basculeront pas automatiquement vers une autre réplique.
Chapitre 5 Configuration des services Open Directory
107
Si vous remplacez un maître en panne en promouvant une réplique en maître, vous
reconfigurez manuellement chaque ordinateur et serveur pour qu’ils se connectent à
ce nouveau maître ou à une de ses répliques. Cela se fait en utilisant Utilitaire de répertoire sur chaque ordinateur et serveur de version 10.2 pour créer une configuration
LDAPv3 qui spécifie la façon dont l’ordinateur accède au nouveau maître ou à une de
ses répliques.
Pour en savoir plus, consultez la rubrique « Utilisation des réglages avancés des services
LDAP » à la page 157.
Configuration d’une connexion à un serveur de répertoire
À l’aide d’Admin Serveur, vous pouvez configurer Mac OS X Server pour obtenir
des enregistrements d’utilisateur et d’autres informations de répertoires à partir du
domaine de répertoire partagé d’un autre serveur. Cet autre serveur fournit également
l’authentification pour ses informations de répertoires. Mac OS X Server continue à
recevoir des informations de répertoire de son propre domaine de répertoire local et
fournira de l’authentification pour ces informations de répertoire local.
Important : modifier Mac OS X Server afin qu’il soit connecté à un autre système de
répertoire et qu’il ne soit plus un maître Open Directory entraîne la désactivation de
son domaine de répertoire LDAP partagé, avec les conséquences suivantes :
 Les enregistrements d’utilisateur et les autres informations qui figurent dans
le domaine de répertoire partagé sont supprimés.
 Si d’autres serveurs étaient connectés au domaine de répertoire du maître, leurs services risquent d’être interrompus si les comptes d’utilisateur et d’autres informations
du domaine de répertoire désactivé deviennent inaccessibles.
 Les utilisateurs dont les comptes se trouvaient dans le domaine de répertoire désactivé ne pourront plus accéder à des fichiers et dossiers du maître Open Directory et
des autres serveurs qui étaient connectés au domaine de répertoire maître.
Pour configurer un serveur afin qu’il obtienne des services de répertoires à partir
d’un système existant :
1 Ouvrez Admin Serveur et connectez-vous au serveur.
2 Cliquez sur le triangle à gauche du serveur.
La liste des services apparaît.
3 Dans la liste des serveurs développée, sélectionnez Open Directory.
4 Cliquez sur Réglages, puis sur Général.
5 Cliquez sur Modifier.
L’Assistant de configuration de service s’ouvre.
6 Sélectionnez « Connecté à un serveur de répertoire », puis cliquez sur Continuer.
108
Chapitre 5 Configuration des services Open Directory
7 Confirmez les réglages de configuration Open Directory, puis cliquez sur Continuer.
8 Si le serveur était un maître Open Directory et que vous êtes sûr que les utilisateurs et
les services n’ont plus besoin d’accéder aux données de répertoires enregistrées dans
le domaine de répertoire partagé que le serveur a hébergé, cliquez sur Fermer.
9 Cliquez sur le bouton Utilitaire Open Directory pour configurer l’accès à l’un
(ou à plusieurs) des systèmes de répertoire.
Pour en savoir plus sur la configuration de l’accès à un type de service de répertoire,
consultez le chapitre 7, « Gestion des clients de répertoire. »
Si vous connectez Mac OS X Server 10.4 ou ultérieur à un domaine de répertoire de
Mac OS X Server 10.3 ou antérieur, sachez que les utilisateurs définis dans le domaine
de répertoire le plus ancien ne peuvent être authentifiés par la méthode NTLMv2. Cette
méthode peut s’avérer nécessaire pour authentifier de façon sûre certains utilisateurs
Windows pour les services Windows de Mac OS X Server 10.4 et ultérieur.
Le serveur de mots de passe Open Directory de Mac OS X Server 10.4 ou ultérieur
prend en charge l’authentification NTLMv2, mais le serveur de mots de passe de
Mac OS X Server 10.3 ou antérieur ne prend pas en charge NTLMv2.
De la même façon, si vous configurez Mac OS X Server 10.4 ou ultérieur pour qu’il
accède à un domaine de répertoire de Mac OS X Server 10.2 ou antérieur, les utilisateurs
définis dans le domaine de répertoire le plus ancien ne peuvent être authentifiés par
la méthode MS-CHAPv2. Or cette méthode peut s’avérer nécessaire pour authentifier de
façon sûre des utilisateurs pour le service VPN de Mac OS X Server 10.4 ou ultérieur.
Open Directory de Mac OS X Server 10.4 prend en charge l’authentification MS-CHAPv2,
mais le serveur de mots de passe de Mac OS X Server 10.2 ne prend pas en charge MSCHAPv2.
10 Si le serveur que vous configurez a accès à un système de répertoire qui héberge aussi
un royaume Kerberos, vous pouvez connecter le serveur au royaume Kerberos.
Pour le connecter au royaume Kerberos, vous devez connaître le nom et le mot de
passe d’un administrateur Kerberos ou d’un utilisateur à qui l’on a délégué l’autorité de
connecter des serveurs au royaume. Pour en savoir plus, consultez la rubrique
« Connecter un serveur à un royaume Kerberos » à la page 119.
Chapitre 5 Configuration des services Open Directory
109
Configuration d’un serveur comme membre d’un domaine de
contrôleur de domaine principal Mac OS X Server
À l’aide d’Admin Serveur, vous pouvez configurer Mac OS X Server pour connecter
le serveur à un domaine Windows hébergé sur un contrôleur de domaine principal
Mac OS X Server. Un serveur qui se connecte à un domaine Windows peut fournir
des services de fichiers, d’impression et d’autres services aux utilisateurs qui disposent
de compte sur le contrôleur de domaine principal.
Le serveur membre de domaine reçoit des services d’authentification de la part du
contrôleur de domaine principal ou d’un contrôleur de domaine secondaire. Le serveur
peut héberger des profils d’utilisateur et des dossiers de départ d’utilisateurs qui disposent de comptes d’utilisateur sur le contrôleur de domaine principal. Le serveur membre du domaine ne fournit pas de services d’authentification à d’autres serveurs
membre de domaine.
Pour connecter Mac OS X Server au domaine Windows d’un contrôleur de domaine
principal Mac OS X Server :
1 Ouvrez Admin Serveur et connectez-vous au serveur.
2 Cliquez sur le triangle à gauche du serveur.
La liste des services apparaît.
3 Dans la liste Serveurs développées, sélectionnez SMB.
4 Cliquez sur Réglages, puis sur Général.
5 Dans le menu local Rôle, sélectionnez Membre du domaine, puis saisissez ceci :
 Description : cette description apparaît dans la fenêtre Favoris réseau de Windows XP
et 2000 (la fenêtre Voisinage réseau de Windows 95, 98 ou ME) et est facultative.
 Nom de l’ordinateur : saisissez le nom que vous voulez montrer utilisateurs Windows
lorsqu’ils se connectent au serveur. Il s’agit du nom NetBIOS du serveur. Ce nom ne
peut comporter plus de 15 caractères, aucun caractère spécial et aucun signe de
ponctuation.
Si c’est possible, utilisez comme nom de serveur le nom d’hôte DNS non complet.
Par exemple, si votre serveur DNS possède l’entrée « serveur.exemple.com » pour
votre serveur, nommez simplement votre serveur « serveur ».
 Domaine : saisissez le nom du domaine Windows auquel le serveur va se connecter.
Le domaine doit être hébergé par un contrôleur de domaine principal Mac OS X Server.
Le nom ne peut pas comporter plus de 15 caractères et doit être différent de
« workgroup ».
6 Cliquez sur Enregistrer.
110
Chapitre 5 Configuration des services Open Directory
7 Saisissez le nom et le mot de passe d’un compte d’administrateur de répertoire LDAP,
puis cliquez sur OK.
Lors de l’authentification, vous devez utiliser un compte d’administrateur de répertoire
LDAP. Vous ne pouvez pas utiliser un compte d’administrateur local, comme, par exemple, le compte d’administrateur du serveur principal (identifiant d’utilisateur 501),
pour connecter un serveur à un domaine Windows.
Une fois que vous avez configuré un membre de domaine Windows, vous pouvez
modifier les restrictions en matière d’accès, le niveau de détail pour la journalisation,
le code de la page, la navigation dans le domaine ou l’enregistrement WINS. Ensuite,
si les services Windows ne tournent pas, vous pouvez les démarrer.
Pour en savoir plus, consultez la section Administration des services de réseau.
Configuration d’un serveur comme membre d’un domaine
Active Directory
À l’aide d’Admin Serveur et d’Utilitaire de répertoire, vous pouvez configurer Mac OS X
Server de façon à le connecter à un domaine Active Directory hébergé par un serveur
Windows 2000 ou 2003.
Un serveur qui se connecte à un domaine Active Directory peut fournir des services de
fichiers, d’impression et d’autres services aux utilisateurs qui disposent de compte dans
le domaine Active Directory.
Le serveur membre du domaine reçoit des services d’authentification de la part
d’Active Directory. Le serveur membre du domaine ne fournit pas de services d’authentification à d’autres serveurs membre de domaine.
Pour connecter Mac OS X Server au domaine Active Directory d’un serveur Windows :
1 Ouvrez Admin Serveur et connectez-vous au serveur.
2 Cliquez sur le triangle à gauche du serveur.
La liste des services apparaît.
3 Dans la liste des serveurs développée, sélectionnez Open Directory.
4 Cliquez sur Réglage, puis sur Général.
5 Cliquez sur Modifier.
L’Assistant de configuration de service s’ouvre.
6 Sélectionnez « Connecté à un serveur de répertoire », puis cliquez sur Continuer.
7 Confirmez les réglages de configuration Open Directory, puis cliquez sur Continuer.
8 Cliquez sur Fermer.
9 Cliquez sur Ouvrir Utilitaire de répertoire.
Chapitre 5 Configuration des services Open Directory
111
10 Dans le coin inférieur gauche d’Utilitaire de répertoire, cliquez sur le cadenas et authentifiez-vous quand vous y êtes invité.
11 Cliquez sur Afficher les réglages avancés.
12 Cliquez sur Serveurs de répertoire (dans le haut).
13 Cliquez sur le bouton Ajouter (+).
14 Dans le menu local « Ajouter un nouveau répertoire de type », choisissez Active Directory,
puis saisissez ceci :
 Domaine Active Directory : il s’agit du nom DNS ou de l’adresse IP du serveur Active
Directory.
 Identifiant de l’ordinateur : modifiez éventuellement l’identifiant que vous voulez voir
utilisé par Active Directory pour votre serveur. Il s’agit du nom NetBIOS du serveur.
Ce nom ne peut comporter plus de 15 caractères, aucun caractère spécial et aucun
signe de ponctuation. Si c’est possible, utilisez comme nom de serveur le nom d’hôte
DNS non complet. Par exemple, si votre serveur DNS possède l’entrée
« serveur.exemple.com » pour votre serveur, nommez simplement votre serveur
« serveur ».
 Nom d’utilisateur et mot de passe de l’administrateur AD : saisissez le nom d’utilisateur
et le mot de passe de l’administrateur Active Directory.
15 Cliquez sur OK et fermez Utilitaire de répertoire.
16 Cliquez sur Se connecter à Kerberos pour connecter le serveur au royaume Kerberos
Active Directory.
17 Saisissez les informations suivantes :
 Nom d’administrateur : saisissez le nom d’utilisateur de l’administrateur du serveur
Kerberos.
 Mot de passe : saisissez le mot de passe de l’administrateur du serveur Kerberos.
 Nom de royaume : saisissez le nom de royaume du serveur Kerberos.
 Nom DNS/Bonjour du centre de distribution de clés : saisissez le nom DNS ou Bonjour
du serveur Kerberos.
18 Cliquez sur OK.
19 Dans la liste Serveurs, sélectionnez SMB.
20 Cliquez sur Réglages, puis sur Général.
112
Chapitre 5 Configuration des services Open Directory
21 Vérifiez que le serveur est maintenant membre du domaine Active Directory.
Vous pouvez modifier la description facultative du serveur qui apparaît dans la fenêtre
Favoris réseau des ordinateurs Windows.
Une fois que vous avez configuré un membre de domaine Active Directory, vous pouvez modifier les restrictions en matière d’accès, le niveau de détail pour la journalisation, le code de la page, la navigation dans le domaine ou l’enregistrement WINS.
Ensuite, si les services Windows ne tournent pas encore, vous pouvez les démarrer.
Pour en savoir plus, reportez-vous à la section Administration des services de réseau.
Configuration de l’authentification Kerberos par signature
unique
La configuration de l’authentification Kerberos à signature unique implique les tâches
suivantes :
 DNS doit être rendu disponible sur le réseau et doit être configuré pour résoudre
le nom DNS complet du serveur maître Open Directory (ou d’un autre serveur
Kerberos) et à le convertir en son adresse IP. DNS doit aussi être configuré pour
résoudre l’adresse IP et la convertir dans le nom DNS complet du serveur.
 Un administrateur doit configurer un système de répertoire pour qu’il héberge un
royaume Kerberos. Pour en savoir plus sur la configuration de Mac OS X Server de
sorte qu’il héberge un royaume Kerberos, consultez la rubrique « Configuration d’un
royaume Kerberos Open Directory » à la page 115.
 Un administrateur Kerberos d’un maître Open Directory peut déléguer l’autorité de
connecter des serveurs au royaume Kerberos du maître Open Directory. (L’administrateur n’a pas besoin d’autorité déléguée. Un administrateur Kerberos a implicitement
l’autorité de connecter tout serveur au royaume Kerberos). Consultez la rubrique
« Délégation d’autorité pour connecter des serveurs à un royaume
Kerberos Open Directory » à la page 117.
 Un administrateur ou des utilisateurs Kerberos possédant l’autorité déléguée nécessaire doivent connecter les serveurs au royaume Kerberos qui fournit alors l’authentification Kerberos par signature unique pour les services fournis par les serveurs qui
ont été connectés. Consultez la rubrique « Connecter un serveur à un royaume
Kerberos » à la page 119.
 Tous les ordinateurs qui utilisent Kerberos doivent être réglés sur la date, l’heure et
le fuseau horaire corrects et doivent être configurés pour utiliser le même serveur
d’horloge de réseau. Le bon fonctionnement de Kerberos repose sur la synchronisation des horloges de tous les ordinateurs participants.
Chapitre 5 Configuration des services Open Directory
113
Lorsque vous configurez un maître Open Directory, assurez-vous que votre DNS est
bien configuré et tourne avant de démarrer le service Open Directory pour la première
fois. Si le serveur DNS n’est pas bien configuré ou ne tourne pas lorsque vous démarrez Open Directory, Kerberos ne fonctionnera pas correctement.
Lors du premier démarrage d’Open Directory, Kerberos utilise le service DNS pour
générer des réglages de configuration. Si votre serveur DNS n’est pas disponible lors
du premier démarrage de Kerberos, ses configurations ne seront pas valides et il ne
fonctionnera pas correctement. Une fois que Kerberos tourne et a généré ses fichiers
de configuration, il ne dépendra plus entièrement du DNS et les modifications apportées au DNS n’affecteront plus Kerberos.
Les différents services de Mac OS X Server ne nécessitent aucune configuration pour
la signature unique ou pour Kerberos.
Les services suivants sont prêts pour l’authentification Kerberos par signature unique
sur tous les serveurs sous Mac OS X Server 10.5 ou ultérieur qui sont connectés ou qui
sont un maître ou une réplique Open Directory :
 Fenêtre d’ouverture de session
 Service de messagerie
 AFP
 FTP
 SMB (en tant que membre d’un royaume Kerberos Active Directory)
 iChat
 Service d’impression
 NFS
 Service Xgrid
 VPN
 Service Web Apache
 Service de répertoire LDAPv3 (sur un maître ou une réplique Open Directory)
114
Chapitre 5 Configuration des services Open Directory
Configuration d’un royaume Kerberos Open Directory
Vous pouvez fournir l’authentification Kerberos par signature unique sur votre réseau
en configurant un maître Open Directory.
Vous pouvez configurer un maître Open Directory pendant la configuration initiale qui
suit l’installation de Mac OS X Server, mais si vous configurez Mac OS X Server pour un
autre rôle Open Directory, vous pouvez changer ce rôle en maître Open Directory à
l’aide d’Admin Serveur.
Pour en savoir plus, consultez les rubriques « Configuration d’un maître Open Directory »
à la page 95 et « Démarrage de Kerberos après la configuration d’un maître
Open Directory » à la page 116.
Un serveur jouant le rôle de maître Open Directory ne nécessite aucune autre configuration supplémentaire pour gérer l’authentification Kerberos par signature unique pour
tous les services kerbérisés qu’il fournit lui-même.
Le serveur peut également gérer l’authentification Kerberos par signature unique pour
les services kerbérisés d’autres serveurs du réseau. Les autres serveurs doivent être
configurés pour se connecter au royaume Kerberos Open Directory.
Pour en savoir plus, reportez-vous aux rubriques « Délégation d’autorité pour connecter des serveurs à un royaume Kerberos Open Directory » à la page 117 et « Connecter
un serveur à un royaume Kerberos » à la page 119.
Important : un maître Open Directory requiert un DNS configuré correctement pour
fournir une authentification Kerberos par signature unique. De plus :
 Le service DNS doit être configuré pour résoudre les noms DNS complets de tous
les serveurs, y compris le maître Open Directory, en les convertissant en adresses IP
et pour fournir les recherches inverses correspondantes. Pour en savoir plus sur la
configuration du service DNS, consultez le guide Administration des services réseau.
 Les préférences Réseau du serveur maître Open Directory doivent être configurées
pour utiliser le serveur DNS qui convertit le nom du serveur. (Si le serveur maître
Open Directory fournit son propre service DNS, ses préférences Réseau doivent être
configurées pour s’utiliser lui-même comme serveur DNS).
Chapitre 5 Configuration des services Open Directory
115
Démarrage de Kerberos après la configuration d’un maître
Open Directory
Si Kerberos ne démarre pas lorsque vous configurez un maître Open Directory, vous
pouvez utiliser Admin Serveur pour le démarrer manuellement, mais vous devez
d’abord résoudre le problème qui empêche Kerberos de démarrer. D’habitude,
le problème vient du fait que le service DNS n’est pas configuré correctement ou
ne tourne pas.
Remarque : une fois que vous avez démarré Kerberos manuellement, il se peut que les
utilisateurs dont les comptes sont dotés de mots de passe Open Directory et qui ont
été créés dans le répertoire LDAP du maître Open Directory alors que Kerberos était
arrêté doivent réinitialiser leurs mots de passe la prochaine fois qu’ils ouvrent une session. Un compte d’utilisateur n’est donc affecté que si toutes les méthodes d’authentification récupérables pour les mots de passe Open Directory ont été désactivées
pendant que Kerberos était à l’arrêt.
Pour démarrer Kerberos manuellement sur un maître Open Directory :
1 Ouvrez Admin Serveur et connectez-vous au serveur.
2 Cliquez sur le triangle à gauche du serveur.
La liste des services apparaît.
3 Dans la liste des serveurs développée, sélectionnez Open Directory.
4 Cliquez sur Rafraîchir (ou choisissez Présentation > Rafraîchir) et vérifiez l’état de Kerberos
qui est affiché dans la sous-fenêtre Vue d’ensemble.
Si Kerberos tourne, il n’y a rien d’autre à faire.
5 Utilisez Utilitaire de réseau (dans /Applications/Utilitaires/) pour effectuer une recherche
DNS du nom DNS du maître Open Directory et une recherche inverse de l’adresse IP.
Si le nom DNS ou l’adresse IP du serveur ne se résout pas correctement :
 Dans la sous-fenêtre Réseau des Préférences Système, regardez les réglages TCP/IP
de l’interface réseau principale du serveur (généralement, Ethernet intégré).
Assurez-vous que le premier serveur DNS listé est celui qui résout le nom du
serveur Open Directory.
 Vérifiez la configuration du service DNS et assurez-vous qu’il tourne.
6 Dans Admin Serveur, sélectionnez Open Directory pour le serveur maître, cliquez sur
Réglages, puis sur Général.
7 Cliquez sur Kerbériser, puis saisissez les informations suivantes :
 Nom d’administrateur et Mot de passe : vous devez vous authentifier en tant
qu’administrateur du répertoire LDAP du maître Open Directory.
 Nom de royaume : ce champ est préréglé pour être identique au nom DNS du
serveur converti en lettres majuscules. Il s’agit d’une convention pour nommer
les royaumes Kerberos. Vous pouvez saisir un autre nom, si nécessaire.
116
Chapitre 5 Configuration des services Open Directory
Délégation d’autorité pour connecter des serveurs à un royaume
Kerberos Open Directory
À l’aide d’Admin Serveur, vous pouvez déléguer l’autorité de connecter un serveur à un
serveur maître Open Directory pour l’authentification Kerberos par signature unique.
Vous pouvez déléguer cette autorité à un ou plusieurs comptes d’utilisateur. Les comptes d’utilisateur auxquels vous déléguez cette autorité doivent être dotés d’un mot
de passe de type Open Directory et résider dans le répertoire LDAP du serveur maître
Open Directory. Le serveur dépendant pour lequel vous déléguez l’autorité doit tourner sous Mac OS X Server 10.3 ou ultérieur.
Remarque : si un compte possédant l’autorité Kerberos déléguée est supprimé
et recréé sur le serveur maître Open Directory, le nouveau compte ne possédera
pas l’autorité de connecter le serveur dépendant au royaume Kerberos du maître
Open Directory.
Un administrateur Kerberos, c’est-à-dire un administrateur LDAP Open Directory,
n’a pas besoin d’autorité déléguée pour connecter des serveurs dépendants au
royaume Kerberos Open Directory. Un administrateur Kerberos a implicitement
l’autorité de connecter tout serveur au royaume Kerberos.
Pour déléguer l’autorité de se connecter à un royaume Kerberos Open Directory :
1 Dans Gestionnaire de groupe de travail, créez un groupe d’ordinateurs dans le domaine
de répertoire LDAP du serveur maître Open Directory ou sélectionnez un groupe
d’ordinateurs existant dans ce répertoire.
 Pour sélectionner un groupe d’ordinateurs existant dans Gestionnaire de groupe
de travail, cliquez sur Comptes ou choisissez Présentation > Comptes, cliquez sur
le bouton Groupe d’ordinateurs (au-dessus de la liste des comptes), puis sélectionnez le groupe d’ordinateurs souhaité.
 Si le serveur LDAP n’a pas encore de groupe d’ordinateurs auquel vous souhaitez
ajouter le serveur dépendant, vous pouvez en créer un :
Cliquez sur Comptes, puis sur le bouton Ordinateurs (au-dessus de la liste des comptes).
Cliquez sur l’icône représentant un globe au-dessus de la liste des comptes, puis
déroulez le menu local pour ouvrir le répertoire LDAP du maître Open Directory.
Cliquez sur le cadenas et authentifiez-vous comme administrateur du répertoire LDAP.
Cliquez sur le bouton Groupe d’ordinateurs (au-dessus de la liste des comptes),
puis sur Nouveau groupe d’ordinateurs ou choisissez Serveur > Nouveau groupe
d’ordinateurs.
Saisissez le nom du groupe, comme, par exemple, Serveurs kerbérisés.
Chapitre 5 Configuration des services Open Directory
117
2 Cliquez sur Membres, puis sur le bouton Ajouter (+) et saisissez ceci :
 Adresse : saisissez l’adresse Ethernet du port Ethernet principal du serveur dépendant. Le port Ethernet principal est le premier port qui apparaît dans la liste de la
sous-fenêtre État du réseau de l’adresse des préférences Réseau du serveur dépendant. L’adresse de ce port apparaît dans le champ Identifiant Ethernet de la sousfenêtre Ethernet des préférences Réseau. Si vous ne saisissez pas l’adresse Ethernet
correcte, le serveur dépendant ne pourra pas se connecter au maître Open Directory
pour l’authentification Kerberos.
 Nom : saisissez le nom DNS complet du serveur dépendant, pas seulement son nom
d’hôte. Par exemple, le nom pourrait être serveur2.exemple.com, mais pas serveur2.
Ce nom est utilisé pour créer des principaux Kerberos dans le centre de distribution
de clés. Si le nom est incorrect, les utilisateurs ne peuvent pas s’authentifier à l’aide de
Kerberos. Votre système DNS doit posséder une entrée pour le nom du serveur dépendant et une entrée de recherche inverse pour l’adresse IP du serveur dépendant.
 Utiliser ce nom comme nom d’ordinateur : n’affecte pas le fonctionnement de Kerberos.
 Commentaires : est facultatif et purement informatif.
3 Cliquez sur Enregistrer pour enregistrer les modifications apportées au groupe
d’ordinateurs.
4 Cliquez sur Préférences et assurez-vous que le groupe d’ordinateurs n’a pas de réglages
de préférences gérés.
Si une petite flèche apparaît en regard de l’icône d’un des éléments des catégories de
préférences, l’élément possède des réglages de préférences gérées. Pour supprimer
les préférences gérées d’un élément, cliquez sur l’élément, sélectionnez Non géré,
puis cliquez sur Appliquer. Si l’élément dispose de plusieurs sous-fenêtres, sélectionnez
Non géré dans chacune des sous-fenêtres, puis cliquez sur Appliquer.
5 Si vous souhaitez déléguer l’autorité Kerberos à un ou plusieurs comptes d’utilisateur,
créez-les comptes :
 Assurez-vous que vous travaillez bien dans le répertoire LDAP du serveur maître
Open Directory. Si nécessaire, cliquez sur le petit globe et utilisez le menu local
pour ouvrir ce répertoire. Cliquez ensuite sur le cadenas et authentifiez-vous comme
administrateur de ce répertoire.
 Cliquez sur le bouton Utilisateurs (à gauche), puis sur Nouvel utilisateur ou choisissez
Serveur > Nouvel utilisateur.
 Saisissez un nom, un nom abrégé et un mot de passe.
 Assurez-vous que la case « L’utilisateur peut accéder au compte » ou « L’utilisateur
peut gérer ce serveur » n’est pas sélectionnée.
Vous pouvez changer des réglages dans d’autres sous-fenêtres, mais ne changez pas
le type de mot de passe d’utilisateur dans la sous-fenêtre Avancé. Tout utilisateur
avec autorité Kerberos déléguée doit posséder un mot de passe Open Directory.
118
Chapitre 5 Configuration des services Open Directory
6 Cliquez sur Enregistrer pour enregistrer le nouveau compte d’utilisateur.
7 Ouvrez Admin Serveur et connectez-vous au serveur maître Open Directory.
8 Cliquez sur le triangle à gauche du serveur.
La liste des services apparaît.
9 Dans la liste des serveurs développée, sélectionnez Open Directory.
10 Cliquez sur Réglages, puis sur Général.
11 Confirmez le rôle de maître Open Directory, cliquez sur Ajouter un enregistrement
Kerberos, puis saisissez les informations suivantes :
 Nom d’administrateur : saisissez le nom d’un administrateur de répertoire LDAP sur
le serveur maître Open Directory.
 Mot de passe d’administrateur : saisissez le mot de passe du compte d’administrateur
que vous avez saisi.
 Nom de fiche de configuration : saisissez le nom DNS complet tel que vous l’avez saisi
lors de l’ajout du serveur dépendant au groupe d’ordinateurs à l’étape 2.
 Administrateurs délégués : saisissez un nom abrégé ou un nom long pour chaque
compte d’utilisateur auquel vous souhaitez déléguer l’autorité Kerberos pour
le serveur spécifié. Pour éviter des problèmes si ce compte d’utilisateur devait être
supprimé à l’avenir, saisissez au moins deux noms.
12 Cliquez sur Ajouter, puis sur Enregistrer pour déléguer l’autorité Kerberos comme spécifié.
Pour déléguer l’autorité pour plus d’un serveur dépendant, répétez cette procédure
pour chacun d’entre eux.
Pour en savoir plus sur la connexion d’un serveur à un royaume Kerberos Open Directory,
consultez la rubrique « Connecter un serveur à un royaume Kerberos » à la page 119.
Connecter un serveur à un royaume Kerberos
Avec Admin Serveur, un administrateur Kerberos ou un utilisateur dont le compte
possède l’autorité déléguée correctement peut connecter Mac OS X Server à un
royaume Kerberos.
Le serveur ne peut se connecter qu’à un seul royaume Kerberos. Il peut s’agir d’un
royaume Kerberos Open Directory, d’un royaume Kerberos Active Directory ou d’un
royaume Kerberos MIT existant.
Pour se connecter à un royaume Kerberos Open Directory, vous devez disposer d’un
compte d’administrateur Kerberos ou d’un compte d’utilisateur possédant l’autorité
Kerberos déléguée. Pour en savoir plus, consultez la rubrique « Délégation d’autorité
pour connecter des serveurs à un royaume Kerberos Open Directory » à la page 117.
Chapitre 5 Configuration des services Open Directory
119
Pour connecter un serveur à un royaume Kerberos :
1 Assurez-vous que le serveur que vous souhaitez connecter au royaume Kerberos est
configuré pour accéder au domaine de répertoire partagé du serveur Kerberos.
Pour confirmer, ouvrez Utilitaire de répertoire sur le serveur que vous souhaitez connecter au royaume Kerberos ou connectez-vous au serveur à l’aide d’Utilitaire Format
de répertoire sur un autre ordinateur. Cliquez sur Politique de recherche, puis sur
Authentification et assurez-vous que le domaine de répertoire du serveur Kerberos
apparaît bien dans la liste. Si ce n’est pas le cas, consultez le chapitre 7, « Gestion des
clients de répertoire, » pour obtenir des instructions sur la configuration de l’accès au
répertoire.
2 Ouvrez Admin Serveur et connectez-vous au serveur que vous voulez connecter au
royaume Kerberos.
3 Cliquez sur le triangle à gauche du serveur.
La liste des services apparaît.
4 Dans la liste des serveurs développée, sélectionnez Open Directory.
5 Cliquez sur Réglages, puis sur Général.
6 Confirmez que le Rôle est bien Connecté à un serveur de répertoire, puis cliquez sur
Se connecter à Kerberos et saisissez les informations suivantes :
 Pour un royaume Kerberos Open Directory ou un royaume Kerberos Active Directory,
choisissez le royaume dans le menu local et saisissez le nom et le mot de passe d’un
administrateur Kerberos ou d’un utilisateur possédant l’autorité Kerberos déléguée
pour le serveur.
 Pour un royaume Kerberos MIT, saisissez le nom et le mot de passe d’un administrateur Kerberos, le nom du royaume Kerberos et le nom DNS du serveur de centre de
distribution de clés Kerberos.
120
Chapitre 5 Configuration des services Open Directory
6
Gestion de l’authentification
d’utilisateur
6
Découvrez comment réinitialiser les mots de passe d’utilisateur, modifier les types de mot de passe, définir les politiques
de mot de passe, sélectionner les méthodes d’authentification et réaliser d’autres tâches à l’aide de Gestionnaire de
groupe de travail.
Gestionnaire de groupe de travail offre une méthode centralisée de gestion des ordinateurs Mac OS X pour contrôler l’accès aux logiciels et aux supports amovibles et fournir
un environnement cohérent pour différents utilisateurs. Vous pouvez également utiliser
Gestionnaire de groupe de travail pour gérer l’authentification d’utilisateur. Pour en savoir
plus sur Gestionnaire de groupe de travail, consultez le guide Gestion des utilisateurs.
Vous pouvez gérer les informations d’authentification des utilisateurs stockées dans
les domaines de répertoire. Pour trouver les descriptions des tâches et des instructions,
reportez-vous à :
 « Composition d’un mot de passe » à la page 122
 « Modification du mot de passe d’un utilisateur » à la page 123
 « Réinitialisation des mots de passe de plusieurs utilisateurs » à la page 124
 « Modification du type de mot de passe d’un utilisateur » à la page 125
Cette rubrique aborde le changement du type de mot de passe en Open Directory,
le choix entre le mot de passe shadow et le mot de passe crypté et l’activation de
l’authentification par signature unique Kerberos.
 « Activation de l’authentification Kerberos par signature unique pour un utilisateur »
à la page 129
 « Changement de politique de mot de passe globale » à la page 129
 « Configuration des politiques de mot de passe d’utilisateurs individuels » à la page 130
 « Sélection de méthodes d’authentification pour des utilisateurs de mots de passe
shadow » à la page 132
 « Sélection de méthodes d’authentification pour des utilisateurs de mots de passe
Open Directory » à la page 133
121
 « Attribution de droits d’administrateur pour l’authentification Open Directory » à la
page 134
 « Synchronisation des mots de passe d’administrateur principaux » à la page 135
 « Activation de l’authentification par liaison LDAP pour un utilisateur » à la page 135
 « Configuration de mots de passe d’utilisateurs exportés ou importés » à la page 136
 « Migration de mots de passe à partir de Mac OS X Server 10.1 ou antérieur » à la page 137
Composition d’un mot de passe
Le mot de passe associé au compte d’un utilisateur doit être saisi par ce dernier
lorsqu’il s’authentifie pour ouvrir une session ou utiliser d’autres services. Le mot
de passe est sensible à la casse (hormis les mots de passe LAN Manager-SMB).
Il est masqué à l’écran pendant sa saisie.
Quel que soit le type de mot de passe choisi pour un utilisateur, voici les directives à suivre pour la composition des mots de passe des comptes d’utilisateur de Mac OS X Server :
 Les mots de passe doivent contenir des lettres, des chiffres et des symboles et former des combinaisons difficiles à deviner par les utilisateurs non autorisés. Ils ne
doivent pas être constitués de mots. Les bons mots de passe associent des chiffres
et des symboles (tels que # ou $) ou sont composés de la première lettre de chacun
des mots constituant une expression. Utilisez une combinaison de lettres minuscules
et majuscules.
 Évitez les espaces ainsi que les caractères obtenus à l’aide de la touche Option.
 Évitez les caractères impossibles à saisir sur les ordinateurs dont se servira l’utilisateur ou qui réclament, sur d’autres claviers et plates-formes, l’emploi d’une combinaison de touches spéciale.
 Certains protocoles réseau n’acceptent pas les mots de passe contenant des espaces
initiaux, des espaces incorporés ou des espaces finaux.
 Il n’est pas recommandé d’utiliser un mot de passe de longueur nulle. Open Directory et certains systèmes (tels que la liaison LDAP) ne prennent pas en charge les
mots de passe de longueur nulle.
 Pour une compatibilité optimale avec les ordinateurs et services auxquels vos utilisateurs sont susceptibles d’accéder, utilisez uniquement des caractères ASCII dans
les mots de passe.
122
Chapitre 6 Gestion de l’authentification d’utilisateur
Modification du mot de passe d’un utilisateur
Vous pouvez utiliser Gestionnaire de groupe de travail pour modifier le mot de passe
d’un compte d’utilisateur défini dans tout domaine de répertoire auquel vous avez
accès en lecture et écriture. Par exemple, vous pouvez modifier le mot de passe d’un
compte d’utilisateur dans l’annuaire LDAP d’un maître Open Directory.
Important : si vous modifiez le mot de passe d’un compte d’utilisateur utilisé pour
authentifier la connexion à l’annuaire LDAP d’un ordinateur, vous devez apporter la
même modification aux réglages de connexion LDAP de l’ordinateur concerné ou configurer l’annuaire LDAP et toutes les connexions pour qu’ils utilisent la liaison sécurisée.
Pour en savoir plus, consultez les rubriques « Modification du mot de passe utilisé pour
authentifier une connexion LDAP » à la page 181 ou « Configuration d’une politique de
liaison pour un serveur Open Directory » à la page 218 et « Arrêt de la liaison sécurisée
avec un annuaire LDAP » à la page 177.
Pour changer le mot de passe d’un utilisateur :
1 Ouvrez Gestionnaire de groupe de travail, cliquez sur le bouton Comptes, puis sur
le bouton Utilisateur.
2 Ouvrez le domaine de répertoire contenant le compte d’utilisateur dont vous voulez
changer le mot de passe et authentifiez-vous en tant qu’administrateur du domaine.
Pour ouvrir un domaine de répertoire, cliquez sur l’icône de globe au-dessus de la liste
des utilisateurs, puis choisissez un domaine dans le menu local.
Si le type du mot de passe de l’utilisateur est Open Directory, vous devez vous authentifier en tant qu’administrateur dont le type de mot de passe est Open Directory.
3 Sélectionnez le compte du mot de passe à changer.
4 Tapez un mot de passe dans la sous-fenêtre Élémentaire, puis cliquez sur Enregistrer.
5 Indiquez à l’utilisateur le nouveau mot de passe à employer pour ouvrir une session.
Une fois que l’utilisateur a ouvert une session sous Mac OS X à l’aide du nouveau mot
de passe, il peut le modifier en cliquant sur Comptes dans Préférences Système.
Si vous modifiez le mot de passe d’un compte dont le type de mot de passe est Open
Directory et que ce compte réside dans l’annuaire LDAP d’une réplique ou d’un maître
Open Directory, la modification est synchronisée avec le maître et toutes ses répliques.
Mac OS X Server synchronise les modifications de mots de passe Open Directory entre
un maître et ses répliques.
Chapitre 6 Gestion de l’authentification d’utilisateur
123
Réinitialisation des mots de passe de plusieurs utilisateurs
À l’aide de Gestionnaire de groupe de travail, vous pouvez sélectionner plusieurs
comptes d’utilisateur et les modifier en même temps pour qu’ils prennent tous le
même type de mot de passe et le même mot de passe temporaire.
Pour changer le type de mot de passe et le mot de passe de plusieurs comptes
d’utilisateur :
1 Ouvrez Gestionnaire de groupe de travail, cliquez sur le bouton Comptes, puis sur
le bouton Utilisateur.
2 Ouvrez le domaine de répertoire contenant le compte d’utilisateur dont vous voulez
réinitialiser les types de mot de passe et les mots de passe, puis authentifiez-vous en
tant qu’administrateur du domaine.
Pour ouvrir un domaine de répertoire, cliquez sur l’icône de globe au-dessus de la liste
des utilisateurs, puis choisissez un domaine dans le menu local.
Si vous voulez régler le type de mot de passe sur Open Directory, vous devez vous
authentifier en tant qu’administrateur dont le type de mot de passe est Open Directory.
3 Cliquez sur les comptes d’utilisateur en maintenant la touche Commande ou Maj
enfoncée pour sélectionner ceux dont le type de mot de passe doit être modifié.
4 Tapez un mot de passe dans la sous-fenêtre Élémentaire, puis définissez le type de mot
de passe dans la sous-fenêtre Avancé.
5 Cliquez sur Enregistrer.
6 Indiquez aux utilisateurs le mot de passe temporaire, de sorte qu’ils puissent ouvrir une
session.
Après avoir ouvert une session à l’aide du mot de passe temporaire, un utilisateur peut
changer le mot de passe en cliquant sur Comptes dans Préférences Système.
Si vous modifiez le mot de passe de comptes dont le type de mot de passe est Open
Directory et que ces comptes résident dans l’annuaire LDAP d’une réplique ou d’un
maître Open Directory, la modification est synchronisée avec le maître et toutes ses
répliques. Mac OS X Server synchronise les modifications de mots de passe Open
Directory entre un maître et ses répliques.
124
Chapitre 6 Gestion de l’authentification d’utilisateur
Modification du type de mot de passe d’un utilisateur
Vous pouvez définir le type de mot de passe dans la sous-fenêtre Avancé de Gestionnaire de groupe de travail. Les types de mot de passe disponibles sont les suivants :
 Open Directory : active plusieurs méthodes d’authentification héritées, ainsi que
l’authentification Kerberos par signature unique si le compte de l’utilisateur se trouve
dans l’annuaire LDAP d’un maître ou d’une réplique Open Directory. Les mots de
passe Open Directory sont stockés séparément de la base de données du serveur
de mots de passe Open Directory et du centre de distribution de clés Kerberos.
Consultez la rubrique « Choix du type de mot de passe Open Directory » à la page 125.
 Mot de passe Shadow : active plusieurs méthodes d’authentification héritées pour
les comptes d’utilisateur se trouvant dans le domaine de répertoire local. Les mots
de passe Shadow sont stockés hors du domaine de répertoire, dans des fichiers qui
ne sont lisibles que par le compte d’utilisateur root. Consultez la rubrique « Choix du
type de mot de passe shadow » à la page 128.
 Mot de passe crypté : fournit une authentification élémentaire pour un compte d’utilisateur se trouvant dans un domaine de répertoire partagé. Un mot de passe crypté
est stocké dans l’enregistrement de compte d’utilisateur, dans le domaine de répertoire. Un mot de passe crypté est nécessaire pour ouvrir une session Mac OS X 10.1
ou antérieur. Consultez la rubrique « Changement du type de mot en Mot de passe
crypté » à la page 127.
Choix du type de mot de passe Open Directory
Avec Gestionnaire de groupe de travail, vous pouvez indiquer qu’un compte d’utilisateur dispose d’un mot de passe Open Directory stocké dans des bases de données
sécurisées hors du domaine de répertoire. Les comptes d’utilisateur dans les domaines
de répertoire suivants peuvent disposer de mots de passe Open Directory :
 domaine de répertoire LDAP sur Mac OS X Server 10.3–10.5
 domaine de répertoire local de Mac OS X Server 10.3 ou serveur mis à niveau à partir
de la version 10.3
 domaine de répertoire sur Mac OS X Server 10.2 configuré pour utiliser un serveur de
mots de passe
Le type de mot de passe Open Directory prend en charge la signature unique à l’aide
de l’authentification Kerberos. Il prend aussi en charge le serveur de mots de passe
Open Directory, qui offre des protocoles d’authentification Simple Authentication and
Security Layer (SASL), notamment APOP, CRAM-MD5, DHX, Digest-MD5, MS-CHAPv2,
NTLMv2, NTLM (aussi appelé Windows NT ou SMB-NT), LAN Manager (LM) et
WebDAV-Digest.
Chapitre 6 Gestion de l’authentification d’utilisateur
125
Remarque : pour régler le type de mot de passe d’un compte d’utilisateur sur Open
Directory, vous devez posséder des droits d’administrateur pour l’authentification
Open Directory dans le domaine de répertoire contenant le compte d’utilisateur.
Cela veut dire que vous devez vous authentifier en tant qu’administrateur de domaine
de répertoire dont le type de mot de passe est Open Directory. Pour en savoir plus,
consultez la rubrique « Attribution de droits d’administrateur pour l’authentification
Open Directory » à la page 134.
Pour indiquer qu’un compte d’utilisateur doit avoir un mot de passe Open Directory :
1 Assurez-vous que le compte réside dans un domaine de répertoire qui gère l’authentification Open Directory.
Les domaines de répertoire qui prennent en charge l’authentification Open Directory
sont cités plus haut dans cette rubrique.
2 Dans Gestionnaire de groupe de travail, ouvrez le compte à utiliser (si ce n’est déjà fait).
Pour ouvrir un compte, cliquez sur le bouton Comptes, puis sur le bouton Utilisateurs.
Cliquez sur l’icône de globe située au-dessus de la liste des utilisateurs, puis utilisez
le menu local pour ouvrir le domaine de répertoire où réside le compte de l’utilisateur.
Cliquez sur le cadenas, puis authentifiez-vous en tant qu’administrateur de domaine
de répertoire dont le type de mot de passe est Open Directory. Sélectionnez ensuite
l’utilisateur dans la liste.
3 Cliquez sur Avancé.
4 Dans le menu local « Type du mot de passe », choisissez Open Directory.
5 Lorsque vous y êtes invité, tapez et confirmez un nouveau mot de passe.
Le mot de passe ne doit pas contenir plus de 512 octets (jusqu’à 512 caractères d’après la
langue), bien que le protocole d’authentification réseau puisse imposer d’autres limites,
comme, par exemple, 128 caractères pour NTLMv2 et NTLM, et 14 pour LAN Manager.
« Composition d’un mot de passe » à la page 122 vous donne des indications pour
le choix de mots de passe.
6 Dans la sous-fenêtre Avancé, cliquez sur Options pour configurer la politique de mot
de passe de l’utilisateur, puis sur OK lorsque vous avez terminé de choisir vos options.
Si vous sélectionnez « Désactiver l’ouverture de session : à la date spécifique du »,
utilisez les flèches vers le haut et le bas pour définir la date.
Si vous sélectionnez une option qui nécessite une réinitialisation (un changement) du
mot de passe, souvenez-vous que tous les protocoles n’acceptent pas le changement
de mots de passe. Par exemple, les utilisateurs ne peuvent changer leur mot de passe
lors d’une authentification au service de courrier IMAP.
126
Chapitre 6 Gestion de l’authentification d’utilisateur
L’identifiant de mot de passe est un nombre unique à 128 bits attribué lors de la création du mot de passe dans la base de données du serveur de mots de passe Open
Directory. Il peut s’avérer utile en cas de dépannage, car il apparaît dans l’historique du
serveur de mots de passe lorsqu’un problème se produit. Pour en savoir plus, consultez
la rubrique « Affichage des états et des historiques Open Directory » à la page 211.
Pour afficher cet historique Open Directory, ouvrez Admin Serveur.
7 Cliquez sur Enregistrer.
Changement du type de mot en Mot de passe crypté
Si nécessaire, vous pouvez utiliser Gestionnaire de groupe de travail pour définir un
mot de passe crypté pour le compte d’un utilisateur. Les mots de passe cryptés ne peuvent être utilisés que pour les comptes d’utilisateur se trouvant dans un domaine de
répertoire partagé. Le compte d’utilisateur peut appartenir à un domaine de répertoire
LDAP ou à un domaine NetInfo partagé hérité (disponible uniquement en cas de connexion à un serveur Mac OS X Server 10.4, 10.3 ou 10.2).
Les comptes d’utilisateur inutilisés sur les ordinateurs qui requièrent un mot de passe
crypté doivent avoir un mot de passe Open Directory ou un mot de passe shadow.
Un mot de passe crypté est requis pour ouvrir une session sur un ordinateur sous
Mac OS X 10.1 ou antérieur et sur les ordinateurs exécutant certaines variantes d’UNIX.
Un mot de passe crypté est stocké sous la forme d’une valeur cryptée (ou hachage) dans
la fiche du compte d’utilisateur dans le domaine de répertoire. Le mot de passe crypté
étant facilement accessible à partir du domaine de répertoire, il est sujet à des attaques
hors connexion, ce qui le rend moins sûr que les autres types de mot de passe.
Pour indiquer qu’un compte d’utilisateur doit être doté d’un mot de passe crypté :
1 Dans Gestionnaire de groupe de travail, ouvrez le compte à utiliser (si ce n’est déjà fait).
Pour ouvrir un compte, cliquez sur le bouton Comptes, puis sur le bouton Utilisateurs.
Cliquez sur l’icône de globe située au-dessus de la liste des utilisateurs, puis utilisez le
menu local pour ouvrir le domaine de répertoire où réside le compte de l’utilisateur.
Cliquez sur le cadenas et authentifiez-vous en tant qu’administrateur du domaine de
répertoire, puis sélectionnez l’utilisateur dans la liste.
2 Cliquez sur Avancé.
3 Dans le menu local « Type du mot de passe », choisissez « Mot de passe crypté ».
4 Lorsque vous y êtes invité, tapez et confirmez un mot de passe.
La longueur maximale d’un mot de passe crypté est de huit octets (huit caractères
ASCII). Si vous tapez un mot de passe plus long, seuls les huit premiers octets seront
utilisés.
5 Cliquez sur Enregistrer.
Chapitre 6 Gestion de l’authentification d’utilisateur
127
Choix du type de mot de passe shadow
Gestionnaire de groupe de travail vous permet d’indiquer qu’un utilisateur dispose
d’un mot de passe shadow stocké dans un fichier sécurisé en dehors du domaine de
répertoire. Seuls les utilisateurs dont les comptes résident dans le domaine de répertoire local peuvent disposer d’un mot de passe shadow.
Pour indiquer qu’un compte d’utilisateur doit être doté d’un mot de passe shadow :
1 Dans Gestionnaire de groupe de travail, ouvrez le compte à utiliser (si ce n’est déjà fait).
Pour ouvrir un compte, cliquez sur le bouton Comptes, puis sur le bouton Utilisateurs.
Cliquez sur l’icône de globe au-dessus de la liste des utilisateurs, puis choisissez dans
le menu local le domaine de répertoire local où se trouve le compte de l’utilisateur.
Cliquez sur le cadenas et authentifiez-vous en tant qu’administrateur du domaine de
répertoire, puis sélectionnez l’utilisateur dans la liste.
2 Cliquez sur Avancé.
3 Dans le menu local « Type du mot de passe », choisissez « Mot de passe Shadow ».
Remarque : vous ne pouvez affecter des mots de passe Shadow qu’à des comptes
d’utilisateur locaux.
4 Lorsque vous y êtes invité, tapez et confirmez un mot de passe.
Les mots de passe longs sont tronqués pour certaines méthodes d’authentification.
Les 128 premiers caractères du mot de passe sont utilisés pour NTLMv2 et NTLM,
mais seuls les 14 premiers caractères sont utilisés pour LAN Manager.
La rubrique « Composition d’un mot de passe » à la page 122 fournit des directives
pour le choix des mots de passe.
5 Dans la sous-fenêtre Avancé, cliquez sur Options pour configurer la politique de mot de
passe de l’utilisateur, puis sur OK lorsque vous avez terminé de choisir vos options.
Si vous sélectionnez « Désactiver l’ouverture de session : à la date spécifique du »,
utilisez les flèches vers le haut et le bas pour définir la date.
Si vous utilisez une politique qui nécessite un changement de mot de passe d’utilisateur, rappelons que tous les protocoles n’acceptent pas la modification de mots de
passe. Par exemple, les utilisateurs ne peuvent changer leur mot de passe lors d’une
authentification au service de courrier IMAP.
6 Dans la sous-fenêtre Avancé, cliquez sur Sécurité pour activer ou désactiver des méthodes
d’authentification pour l’utilisateur, puis sur OK lorsque vous avez terminé.
Pour en savoir plus, consultez la rubrique « Configuration des politiques de mot de
passe d’utilisateurs individuels » à la page 130.
7 Cliquez sur Enregistrer.
128
Chapitre 6 Gestion de l’authentification d’utilisateur
Activation de l’authentification Kerberos par signature
unique pour un utilisateur
L’activation de l’authentification Kerberos par signature unique pour un compte d’utilisateur dans un annuaire LDAP de Mac OS X Server se fait en définissant le type de mot
de passe du compte sur Open Directory dans la sous-fenêtre Avancé de Gestionnaire
de groupe de travail.
Changement de politique de mot de passe globale
Admin Serveur vous permet de définir une politique de mot de passe globale pour
les comptes d’utilisateur d’un domaine de répertoire Mac OS X Server.
La politique de mot de passe globale affecte les comptes d’utilisateur du domaine de
répertoire local du serveur. Si le serveur est un maître ou une réplique Open Directory,
la politique de mot de passe globale affecte aussi les comptes d’utilisateur qui ont un
mot de passe de type Open Directory dans le domaine de répertoire LDAP du serveur.
Si vous modifiez la politique de mot de passe globale sur une réplique Open Directory,
les réglages de la politique sont synchronisés avec le maître et toutes les autres répliques.
Les comptes d’administrateur ne sont pas affectés par les politiques de mot de passe.
Chaque utilisateur peut avoir une politique de mot de passe différente qui redéfinit
les réglages de la politique de mot de passe globale. Pour en savoir plus, consultez
la rubrique « Configuration des politiques de mot de passe d’utilisateurs individuels » à
la page 130.
Kerberos et le serveur de mots de passe Open Directory maintiennent des politiques de
mot de passe séparées. Mac OS X Server synchronise les règles de la politique de mot
de passe de Kerberos avec les règles de la politique de mot de passe du serveur de
mots de passe Open Directory.
Pour changer la politique de mot de passe globale des comptes d’utilisateur d’un
même domaine :
1 Ouvrez Admin Serveur et connectez-vous à un maître ou à une réplique Open Directory.
2 Cliquez sur le triangle se trouvant à gauche du serveur.
La liste des services apparaît.
3 Dans la liste Serveurs développée, sélectionnez Open Directory.
4 Cliquez sur Réglages, puis sur Règlement.
Chapitre 6 Gestion de l’authentification d’utilisateur
129
5 Cliquez sur Mots de passe, puis définissez les options de politique de mot de passe
souhaitées pour les utilisateurs qui ne disposent pas de leur propre politique de mot
de passe.
Si vous sélectionnez une option qui nécessite une réinitialisation du mot de passe,
souvenez-vous que certains protocoles de service n’autorisent pas la modification
des mots de passe. Par exemple, les utilisateurs ne peuvent changer leur mot de
passe lors d’une authentification au service de courrier IMAP.
6 Cliquez sur Enregistrer.
Les répliques du maître Open Directory héritent automatiquement de sa politique de
mot de passe globale.
À partir de la ligne de commande
Vous pouvez aussi définir des politiques de mot de passe à l’aide de la commande
pwpolicy dans Terminal. Pour en savoir plus, consultez le chapitre Open Directory
du document Administration de ligne de commande.
Configuration des politiques de mot de passe d’utilisateurs
individuels
À l’aide de Gestionnaire de groupe de travail, vous pouvez définir des politiques de
mot de passe pour les comptes d’utilisateur dont le type de mot de passe est Open
Directory ou « Mot de passe Shadow ».La politique de mot de passe d’un utilisateur
prime sur la politique de mot de passe globale définie dans la sous-fenêtre Réglages
d’authentification du service Open Directory dans Admin Serveur.
La politique de mot de passe pour un compte d’utilisateur mobile s’applique lorsque
le compte est utilisé alors que l’ordinateur portable est déconnecté du réseau.
La politique de mot de passe provenant du compte d’utilisateur réseau correspondant
s’applique lorsque l’ordinateur portable est connecté au réseau.
Les comptes d’administrateur ne sont pas affectés par les politiques de mot de passe.
Pour définir une politique de mot de passe pour un compte d’utilisateur qui dispose
d’un mot de passe Open Directory, vous devez posséder des droits d’administrateur
pour l’authentification Open Directory dans le domaine de répertoire contenant le
compte d’utilisateur. Cela veut dire que vous devez vous authentifier en tant qu’administrateur de domaine de répertoire dont le type de mot de passe est Open Directory.
Pour en savoir plus, consultez la rubrique « Attribution de droits d’administrateur pour
l’authentification Open Directory » à la page 134.
130
Chapitre 6 Gestion de l’authentification d’utilisateur
Kerberos et le serveur de mots de passe Open Directory maintiennent des politiques de
mot de passe séparées. Mac OS X Server synchronise les règles de la politique de mot
de passe Kerberos avec les règles de la politique de mot de passe du serveur de mots
de passe Open Directory.
N’utilisez pas le bouton Options de la sous-fenêtre Avancé pour configurer des politiques de mot de passe pour des administrateurs de domaine de répertoire. Les politiques de mot de passe n’affectent pas les comptes d’administrateur. Les administrateurs
de domaines de répertoire doivent pouvoir changer les politiques de mot de passe des
comptes d’utilisateur.
Pour changer la politique de mot de passe d’un compte d’utilisateur :
1 Dans Gestionnaire de groupe de travail, ouvrez le compte à utiliser (si ce n’est déjà fait).
Pour ouvrir un compte, cliquez sur le bouton Comptes, puis sur le bouton Utilisateurs.
Cliquez sur l’icône de globe située au-dessus de la liste des utilisateurs, puis utilisez le
menu local pour ouvrir le domaine de répertoire où réside le compte de l’utilisateur.
Cliquez sur le cadenas, puis authentifiez-vous en tant qu’administrateur de domaine
de répertoire dont le type de mot de passe est Open Directory. Sélectionnez ensuite
l’utilisateur dans la liste.
2 Cliquez sur Avancé, puis sur Options.
Vous ne pouvez cliquer sur Options que si le type de mot de passe est Open Directory
ou Mot de passe Shadow.
3 Modifiez les options de politique de mot de passe, puis cliquez sur OK.
Si vous sélectionnez une option qui nécessite une réinitialisation (modification) du mot
de passe, souvenez-vous que certains protocoles de service n’autorisent pas la modification des mots de passe. Par exemple, les utilisateurs ne peuvent changer leur mot de
passe lors d’une authentification au service de courrier IMAP.
4 Cliquez sur Enregistrer.
À partir de la ligne de commande
Vous pouvez aussi définir des politiques de mot de passe à l’aide de la commande
pwpolicy dans Terminal. Pour en savoir plus, consultez le chapitre Open Directory du
document Administration de ligne de commande.
Chapitre 6 Gestion de l’authentification d’utilisateur
131
Sélection de méthodes d’authentification pour des utilisateurs
de mots de passe shadow
À l’aide de Gestionnaire de groupe de travail, vous pouvez sélectionner les méthodes
d’authentification qui seront disponibles pour un compte d’utilisateur dont le type de
mot de passe est Mot de passe Shadow.
Un mot de passe Shadow prend en charge les méthodes d’authentification disponibles
pour la compatibilité avec certains logiciels clients. Si vous savez que l’utilisateur n’utilisera jamais un logiciel client qui requiert une méthode d’authentification particulière,
vous pouvez désactiver cette méthode. Pour en savoir plus, reportez-vous à la rubrique
« Désactivation des méthodes d’authentification de mots de passe shadow » à la page 62.
Si vous désactivez une méthode d’authentification, son hachage sera supprimé du
fichier de mots de passe Shadow de l’utilisateur à la prochaine authentification de
celui-ci.
Si vous activez une méthode d’authentification qui était désactivée, le hachage de la
méthode activée sera ajouté au fichier de mots de passe Shadow de l’utilisateur la prochaine fois que celui-ci s’authentifiera pour utiliser un service prenant en charge les
mots de passe en clair comme, par exemple, une fenêtre d’ouverture de session ou AFP.
D’un autre côté, le mot de passe de l’utilisateur peut être réinitialisé pour ajouter le
condensé numérique de la méthode nouvellement activée. Les utilisateurs peuvent
réinitialiser leurs propres mots de passe ou un administrateur de répertoire peut
le faire pour eux.
Pour activer ou désactiver des méthodes d’authentification pour des comptes d’utilisateur dont le type de mot de passe est Open Directory, consultez la rubrique suivante.
Pour activer ou désactiver des méthodes d’authentification pour un utilisateur de
mot de passe shadow :
1 Dans Gestionnaire de groupe de travail, ouvrez le compte à utiliser (si ce n’est déjà fait).
Pour ouvrir un compte, cliquez sur le bouton Comptes, puis sur le bouton Utilisateurs.
Cliquez sur l’icône de globe au-dessus de la liste des utilisateurs, puis choisissez dans
le menu local le domaine de répertoire local où se trouve le compte de l’utilisateur.
Cliquez sur le cadenas et authentifiez-vous en tant qu’administrateur de domaine de
répertoire. Sélectionnez ensuite l’utilisateur dans la liste.
2 Cliquez sur Avancé, puis sur Sécurité.
Vous ne pouvez cliquer sur Sécurité que si le type de mot de passe est « Mot de passe
Shadow ».
3 Sélectionnez les méthodes d’authentification que vous souhaitez activer, désélectionnez
celles que vous souhaitez désactiver, puis cliquez sur OK.
4 Cliquez sur Enregistrer.
132
Chapitre 6 Gestion de l’authentification d’utilisateur
À partir de la ligne de commande
Vous pouvez aussi activer ou désactiver des méthodes d’authentification pour un
utilisateur possédant un mot de passe Shadow à l’aide de la commande pwpolicy
dans Terminal. Pour en savoir plus, consultez le chapitre Open Directory du document
Administration de ligne de commande.
Sélection de méthodes d’authentification pour des utilisateurs
de mots de passe Open Directory
À l’aide d’Admin Serveur, vous pouvez sélectionner les méthodes d’authentification
qui seront disponibles pour les comptes d’utilisateur dont le type de mot de passe
est Open Directory. Le mot de passe Open Directory prend en charge les méthodes
d’authentification disponibles pour la compatibilité avec certains logiciels clients.
Si vous savez que les utilisateurs n’utiliseront jamais un logiciel client qui requiert
une méthode d’authentification particulière, vous pouvez désactiver cette méthode.
Pour en savoir plus, consultez la rubrique « Désactivation des méthodes d’authentification Open Directory » à la page 60.
Important : si vous désactivez une méthode d’authentification, son hachage sera supprimé de la base de données de mots de passe à la prochaine authentification de l’utilisateur. Si vous activez une méthode d’authentification qui était désactivée, chaque mot
de passe Open Directory doit être réinitialisé pour ajouter le hachage de la méthode
activée à la base de données de mots de passe. Les utilisateurs peuvent réinitialiser
leurs propres mots de passe ou un administrateur de répertoire peut le faire pour eux.
Pour activer ou désactiver des méthodes d’authentification pour des comptes d’utilisateur dont le type de mot de passe est « Mot de passe Shadow », consultez la rubrique
« Configuration des politiques de mot de passe d’utilisateurs individuels » à la page 130.
Pour activer ou désactiver des méthodes d’authentification pour des mots de passe
Open Directory :
1 Ouvrez Admin Serveur et connectez-vous à un maître Open Directory.
2 Cliquez sur le triangle se trouvant à gauche du serveur.
La liste des services apparaît.
3 Dans la liste Serveurs développée, sélectionnez Open Directory.
4 Cliquez sur Réglages, puis sur Règlement.
5 Cliquez sur Authentification, sélectionnez les méthodes d’authentification à activer et
désélectionnez celles que vous souhaitez désactiver.
6 Cliquez sur Enregistrer.
Les répliques du maître Open Directory héritent des réglages de méthode d’authentification des mots de passe Open Directory figurant dans l’annuaire LDAP.
Chapitre 6 Gestion de l’authentification d’utilisateur
133
À partir de la ligne de commande
Vous pouvez aussi activer ou désactiver des méthodes d’authentification du serveur de
mots de passe pour les mots de passe Open Directory à l’aide de la commande NeST
avec les arguments -getprotocols et -setprotocols dans Terminal. Pour en savoir plus,
consultez le chapitre Open Directory du document Administration de ligne de commande.
Attribution de droits d’administrateur pour l’authentification
Open Directory
À l’aide de Gestionnaire de groupe de travail et d’un compte d’administrateur possédant les droits nécessaires pour définir des réglages de mot de passe Open Directory,
vous pouvez attribuer ces droits à d’autres comptes d’utilisateur du même domaine
de répertoire.
Pour assigner ces droits, votre compte d’utilisateur doit avoir un mot de passe Open
Directory et les autorisations nécessaires pour administrer des comptes d’utilisateur.
Cette restriction renforce la protection des mots de passe stockés dans le centre de
distribution de clés Kerberos et dans la base de données du serveur de mots de passe
Open Directory.
Pour attribuer des droits d’administrateur pour l’authentification Open Directory à
un compte d’utilisateur :
1 Dans Gestionnaire de groupe de travail, ouvrez le compte, cliquez sur Avancé et assurez-vous que le type de mot de passe est bien défini sur Open Directory.
Pour en savoir plus, consultez la rubrique « Choix du type de mot de passe Open
Directory » à la page 125.
2 Cliquez sur Privilèges, puis choisissez Intégral dans le menu local Capacités d’administration.
Pour limiter les capacités d’administration, choisissez Limité.
3 Cliquez sur Enregistrer.
Pour en savoir plus sur la définition des autorisations administrateur, consultez le guide
Gestion des utilisateurs.
134
Chapitre 6 Gestion de l’authentification d’utilisateur
Synchronisation des mots de passe d’administrateur principaux
Pour Mac OS X Server 10.3, avoir des mots de passe différents pour le compte d’administrateur local et le compte d’administrateur LDAP (identifiant d’utilisateur 501) peut
prêter à confusion. C’est pourquoi il est recommandé de garder les mêmes mots de
passe. Sur un serveur Open Directory mis à niveau à partir de Mac OS X Server 10.3,
le compte d’administrateur principal existe, en principe, dans le domaine de répertoire
local du serveur et dans son annuaire LDAP. Ce compte a été copié du domaine de
répertoire local vers l’annuaire LDAP lors de la création du maître Open Directory avec
Mac OS X Server 10.3.
À l’origine, les deux copies de ce compte avaient toutes deux l’identifiant d’utilisateur
501, le même nom et le même mot de passe. Chaque compte est un administrateur
de son domaine de répertoire et les deux sont des administrateurs de serveur.
Lorsque vous vous connectez au serveur dans Gestionnaire de groupe de travail à l’aide
du nom et du mot de passe du compte, vous êtes authentifié pour le domaine de
répertoire local et le domaine de répertoire LDAP.
Si vous changez un des deux mots de passe, vous ne serez plus authentifié pour les
deux domaines de répertoire. Par exemple, si vous utilisez le mot de passe de l’administrateur local lorsque vous vous connectez au serveur dans Gestionnaire de groupe de
travail, vous ne pouvez apporter des modifications qu’au domaine de répertoire local.
Pour apporter des modifications à l’annuaire LDAP, vous devez cliquer sur le cadenas et
vous authentifier à l’aide du mot de passe de l’administrateur LDAP.
Remarque : un serveur Open Directory créé avec Mac OS X Server 10.5 possède des
comptes d’administrateur différents pour son répertoire local et son annuaire LDAP.
Ils sont dotés de noms et d’identifiants d’utilisateur différents, ce qui permet d’utiliser
des mots de passe différents sans prêter à confusion.
Activation de l’authentification par liaison LDAP pour un
utilisateur
Vous pouvez activer l’utilisation de l’authentification par liaison LDAP pour un compte
d’utilisateur stocké dans un domaine de répertoire LDAP. Cette technique de validation
de mot de passe se fie au serveur LDAP contenant le compte d’utilisateur pour authentifier le mot de passe de l’utilisateur.
Important : si le nom de votre ordinateur contient un trait d’union, vous risquez de
ne pas pouvoir rejoindre ou vous lier à un domaine de répertoire tel que LDAP ou
Active Directory. Pour établir la liaison, utilisez un nom d’ordinateur ne contenant pas
de trait d’union.
Chapitre 6 Gestion de l’authentification d’utilisateur
135
Pour activer l’authentification des utilisateurs par liaison LDAP :
1 Assurez-vous que l’ordinateur Mac OS X qui doit authentifier le compte d’utilisateur dispose d’une connexion à l’annuaire LDAP dans lequel le compte d’utilisateur réside et
que la politique de recherche de l’ordinateur contient la connexion à l’annuaire LDAP.
Pour en savoir plus sur la configuration des connexions au serveur LDAP et de la politique de recherche, consultez la rubrique « Utilisation des réglages avancés des services
LDAP » à la page 157.
2 Si vous configurez une connexion LDAP qui ne mappe pas les attributs de mot de
passe et d’autorité d’authentification, l’authentification de liaison sera automatique.
Pour en savoir plus, consultez la rubrique « Configuration des recherches et mappages
LDAP » à la page 173.
3 Si la connexion est configurée pour autoriser les mots de passe en clair, elle doit aussi
être configurée pour utiliser le protocole SSL de façon à protéger le mot de passe en
clair pendant le transit.
Pour en savoir plus, consultez les rubriques « Modification de la politique de sécurité
pour une connexion LDAP » à la page 171 et « Modification des réglages de connexion
d’un répertoire LDAP » à la page 170.
Configuration de mots de passe d’utilisateurs exportés ou
importés
Lorsque vous exportez des comptes d’utilisateur dont le type de mot de passe est
Open Directory ou Mot de passe shadow, les mots de passe ne sont pas exportés.
Cela protège la base de données du serveur de mots de passe Open Directory et
les fichiers de mots de passe shadow.
Avant l’importation, vous pouvez ouvrir le fichier des utilisateurs exportés dans un
tableur et définir leur mot de passe, qu’ils pourront modifier lors de leur prochaine
ouverture de session. Pour obtenir des instructions sur l’utilisation des fichiers d’utilisateurs exportés, consultez le guide Gestion des utilisateurs.
Après l’importation, vous disposez des possibilités suivantes pour définir les mots de
passe des comptes d’utilisateur importés :
 Vous pouvez affecter à tous les comptes d’utilisateur importés un mot de passe temporaire que chaque utilisateur pourra modifier lors de sa prochaine ouverture de session. Pour en savoir plus, consultez la rubrique « Réinitialisation des mots de passe de
plusieurs utilisateurs » à la page 124.
 Vous pouvez définir le mot de passe de chaque compte d’utilisateur importé dans
la sous-fenêtre Élémentaire de Gestionnaire de groupe de travail. Pour en savoir plus,
consultez la rubrique « Modification du mot de passe d’un utilisateur » à la page 123.
136
Chapitre 6 Gestion de l’authentification d’utilisateur
Migration de mots de passe à partir de Mac OS X Server 10.1
ou antérieur
Il est possible de faire migrer les comptes d’utilisateur de versions antérieures
de Mac OS X Server en important les fiches des comptes ou en mettant à niveau
le serveur où ils résident.
Les comptes d’utilisateur créés avec Mac OS X Server 10.1 ou antérieur n’ont pas d’attribut d’autorité d’authentification mais possèdent des mots de passe cryptés. Pour conserver la compatibilité avec ces comptes d’utilisateur, Mac OS X Server considère qu’un
compte d’utilisateur sans attribut d’autorité d’authentification possède un mot de
passe crypté.
Si vous importez des comptes d’utilisateur de Mac OS X Server 10.1 ou antérieur, ils ne
possèdent pas d’attribut d’autorité d’authentification. Par conséquent, ils sont configurés initialement pour disposer de mots de passe cryptés.
Si vous importez ces comptes d’utilisateur dans le domaine de répertoire local du serveur, ils sont convertis d’un mot de passe crypté en un mot de passe Shadow lorsque
l’utilisateur ou l’administrateur modifie le mot de passe ou lorsque l’utilisateur
s’authentifie pour utiliser un service prenant en charge une méthode d’authentification récupérable.
Pour en savoir plus sur l’importation de comptes d’utilisateur, consultez le guide
Gestion des utilisateurs.
De même, si vous réalisez une mise à niveau à partir de Mac OS X Server 10.1 ou antérieur, les comptes d’utilisateur créés avant la mise à niveau ne possèdent pas d’attribut
d’autorité d’authentification. Après leur mise à niveau, ces comptes sont supposés
disposer de mots de passe cryptés.
Bien qu’il soit possible de continuer à utiliser les mots de passe cryptés existants après
l’importation ou la mise à niveau, vous pouvez modifier les comptes d’utilisateur pour
qu’ils utilisent des mots de passe Open Directory ou des mots de passe Shadow.
Vous pouvez modifier des comptes d’utilisateur individuels ou plusieurs comptes d’utilisateur à l’aide de Gestionnaire de groupe de travail. La modification du type de mot
de passe d’un compte d’utilisateur réinitialise son mot de passe. Pour en savoir plus,
consultez les rubriques « Choix du type de mot de passe Open Directory » à la page 125
et « Choix du type de mot de passe shadow » à la page 128.
Certains comptes d’utilisateur créés avec Mac OS X Server 10.1 ou antérieur peuvent utiliser Gestionnaire d’authentification. Il s’agit d’une technologie héritée pour l’authentification des utilisateurs de service de fichiers Windows et Apple dont les ordinateurs
Mac OS 8 n’ont pas été mis à niveau avec le logiciel client AFP version 3.8.3 ou ultérieure.
Chapitre 6 Gestion de l’authentification d’utilisateur
137
Lors de la migration d’utilisateurs Gestionnaire d’authentification, vous disposez des
possibilités suivantes :
 Si vous mettez d’abord à niveau le serveur Mac OS X Server de la version 10.1 à la version 10.2, puis à la version 10.5, les utilisateurs existants peuvent continuer à utiliser
leur mot de passe.
 Vous pouvez changer tout ou partie des comptes d’utilisateur mis à niveau pour
qu’ils utilisent des mots de passe Open Directory ou des mots de passe shadow,
plus sûrs que les mots de passe cryptés. Pour en savoir plus, consultez la section
Administration d’Open Directory.
 Si le serveur mis à niveau dispose d’un domaine NetInfo partagé et que vous le
migrez vers un annuaire LDAP, tous les comptes d’utilisateur sont convertis en mots
de passe Open Directory.
 Chaque compte d’utilisateur se trouvant dans le domaine de répertoire local du
serveur est converti d’un mot de passe crypté en un mot de passe Shadow lorsque
l’utilisateur ou l’administrateur modifie le mot de passe ou lorsque l’utilisateur
s’authentifie pour utiliser un service prenant en charge une méthode d’authentification récupérable.
 Si vous importez des comptes d’utilisateur qui utilisent Gestionnaire d’authentification dans l’annuaire LDAP, ils sont convertis pour utiliser des mots de passe Open
Directory pendant l’importation.
138
Chapitre 6 Gestion de l’authentification d’utilisateur
7
Gestion des clients de répertoire
7
Exécutez l’Utilitaire de répertoire pour configurer et gérer
le mode d’accès d’un ordinateur doté de Mac OS X ou
Mac OS X Server aux services de répertoire.
Après avoir configuré votre serveur de répertoire, vous pouvez y connecter des ordinateurs clients à l’aide de l’Utilitaire de répertoire. Vous pouvez utiliser l’Utilitaire de
répertoire pour vous connecter à des ordinateurs distants et modifier leurs réglages,
ce qui simplifie la gestion des ordinateurs.
Connexion de clients aux serveurs de répertoire
Les rubriques suivantes expliquent comment ajouter, supprimer, modifier et contrôler
des serveurs de répertoire dans la liste Serveurs de répertoire de l’Utilitaire de répertoire.
 « À propos des connexions aux serveurs de répertoire » à la page 139
 « Configuration automatique des clients » à la page 140
 « Ajout d’une connexion à un serveur Active Directory » à la page 141
 « Ajout d’une connexion à un serveur Open Directory » à la page 142
 « Suppression d’une connexion à un serveur de répertoire » à la page 142
 « Modification d’une connexion à un serveur de répertoire » à la page 143
 « Contrôle des connexions aux serveurs de répertoire » à la page 143
À propos des connexions aux serveurs de répertoire
Vous pouvez utiliser l’Utilitaire de répertoire pour connecter des ordinateurs aux serveurs de répertoire. La sous-fenêtre Serveurs de répertoire de l’Utilitaire de répertoire
répertorie les serveurs de répertoire auxquels votre ordinateur est connecté. Votre ordinateur Mac OS X accède aux serveurs de la liste pour récupérer les données d’utilisateur et autres données administratives stockées dans le domaine de répertoire des
serveurs de répertoire.
139
Lorsque vous ajoutez ou supprimez un serveur dans la liste Serveurs de répertoire,
les entrées associées à ce serveur de répertoire sont ajoutées ou supprimées dans les
listes Services, Authentification et Contacts. Toutefois, si vous supprimez les entrées
associées au serveur des listes Services, Authentification et Contacts, le serveur de
répertoire n’est pas supprimé de la liste Serveurs de répertoire.
Les ordinateurs Mac OS X 10.5 peuvent se connecter à un serveur de répertoire Open
Directory, Active Directory ou Mac OS X Server. Si vous ne savez pas à quel serveur vous
connecter, demandez à votre administrateur réseau.
Important : si le nom de votre ordinateur contient un trait d’union, vous risquez de ne
pas pouvoir rejoindre ou vous lier à un domaine de répertoire tel que LDAP ou Active
Directory. Pour établir la liaison, utilisez un nom d’ordinateur ne contenant pas de trait
d’union.
Configuration automatique des clients
Lorsque vous vous connectez à un domaine Open Directory jouant le rôle de serveur
de configuration standard ou de groupe de travail Mac OS X, l’Utilitaire de répertoire
vous aide à configurer votre ordinateur.
Pour vous connecter à un serveur de configuration standard ou de groupe de travail :
1 Ouvrez l’Utilitaire de répertoire (dans /Applications/Utilitaires/).
2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus pour la déverrouiller et
tapez le nom et le mot de passe d’un administrateur.
3 Cliquez sur Serveurs de répertoire, puis sur le bouton Ajouter (+).
4 Dans le menu local « Ajouter un nouveau répertoire de type », choisissez Open Directory.
5 Dans le champ « Nom du serveur ou adresse IP », saisissez le nom ou l’adresse IP du
serveur.
6 (Sous réserve) Avant de cocher la case « Chiffrer via SSL », demandez à votre administrateur Open Directory si le protocole SSL est requis.
7 Dans la sous-fenêtre Introduction, la liste des services offerts par le serveur auquel vous
vous connectez s’affiche. Cliquez sur Démarrer la configuration.
8 Saisissez les informations d’authentification du serveur auquel vous vous connectez.
Dans les champs Nom et Mot de passe, saisissez le nom et le mot de passe de l’administrateur du serveur auquel vous vous connectez.
Saisissez le mot de passe du compte d’utilisateur qui apparaît dans « Saisissez le mot
de passe du compte nom d’utilisateur sur cet ordinateur ».
9 Cliquez sur Continuer.
140
Chapitre 7 Gestion des clients de répertoire
10 Sous Options de configuration, indiquez si vous souhaitez laisser l’Utilitaire de répertoire configurer vos applications.
Sélectionnez Oui si vous souhaitez que le serveur configure votre application pour
qu’elle utilise les services qu’il offre.
Sélectionnez Non pour contourner cette configuration.
11 Cliquez sur Continuer.
12 Cliquez sur Terminer la configuration.
L’Utilitaire de répertoire configure votre ordinateur.
13 Cliquez sur Fermer la session pour vous déconnecter de l’ordinateur.
Pour utiliser les nouveaux services, ouvrez une nouvelle session.
Cliquez sur « Ne pas fermer la session » si vous souhaitez rester connecté au serveur.
Ajout d’une connexion à un serveur Active Directory
Pour vous connecter à un serveur Active Directory, vous devez connaître son nom ou
son adresse IP, ainsi que le nom d’utilisateur et le mot de passe de l’administrateur
Active Directory.
Pour ajouter un serveur Active Directory :
1 Ouvrez l’Utilitaire de répertoire (dans /Applications/Utilitaires/).
2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus pour la déverrouiller et
tapez le nom et le mot de passe d’un administrateur.
3 Cliquez sur le bouton Ajouter (+).
4 Dans le menu local « Ajouter un nouveau répertoire de type », choisissez Active Directory,
puis saisissez les informations suivantes :
 Domaine Active Directory : nom DNS ou adresse IP du serveur Active Directory.
 Identifiant de l’ordinateur : vous pouvez indiquer l’identifiant que vous souhaitez
qu’Active Directory utilise pour votre serveur (facultatif). Il s’agit du nom NetBIOS
du serveur. Ce nom ne doit pas comporter plus de 15 caractères, sans caractères
spéciaux ni ponctuation. Pour des raisons pratiques, vous pouvez utiliser le nom
d’hôte DNS abrégé du serveur. Par exemple, si votre serveur DNS possède une entrée
« serveur.exemple.com » pour votre serveur, attribuez le nom « serveur » à votre serveur.
 Nom d’utilisateur et mot de passe de l’administrateur AD : saisissez le nom d’utilisateur
et le mot de passe de l’administrateur Active Directory.
5 Cliquez sur OK.
Chapitre 7 Gestion des clients de répertoire
141
Ajout d’une connexion à un serveur Open Directory
Pour ajouter un serveur Open Directory, vous devez connaître son nom ou son adresse
IP et savoir s’il utilise le protocole SSL (Secure Socket Layer).
Pour ajouter un serveur Open Directory :
1 Ouvrez l’Utilitaire de répertoire (dans /Applications/Utilitaires/).
2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus pour la déverrouiller et
tapez le nom et le mot de passe d’un administrateur.
3 Cliquez sur le bouton Ajouter (+).
4 Dans le menu local « Ajouter un nouveau répertoire de type », choisissez Open Directory.
5 Dans le champ « Nom du serveur ou adresse IP », saisissez le nom ou l’adresse IP du
serveur.
6 (Sous réserve) Avant de cocher la case « Chiffrer via SSL », demandez à votre administrateur Open Directory si le protocole SSL est requis.
Important : si vous modifiez vos adresse IP et nom d’ordinateur à l’aide de l’outil changeip alors que vous êtes connecté à un serveur de répertoire, vous devez vous déconnecter puis vous reconnecter à ce serveur pour que le répertoire prenne en compte
le nouveau nom et la nouvelle adresse IP de l’ordinateur. Si vous ne vous déconnecter
puis reconnecter pas au serveur de répertoire, le répertoire ne sera pas mis à jour et
continuera d’utiliser l’ancien nom et l’ancienne adresse IP de l’ordinateur.
Suppression d’une connexion à un serveur de répertoire
Avant de supprimer un serveur de répertoire de l’Utilitaire de répertoire, assurez-vous
que vous n’utilisez pas ses services pour d’autres applications.
Par exemple, si Mail est configuré pour utiliser le serveur de répertoire pour la recherche de personnes et que vous supprimez ce serveur de répertoire, vous ne pourrez
plus rechercher les personnes figurant sur ce dernier.
Pour supprimer un serveur de répertoire :
1 Ouvrez l’Utilitaire de répertoire (dans /Applications/Utilitaires/).
2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus pour la déverrouiller et
tapez le nom et le mot de passe d’un administrateur.
3 Dans la liste Serveurs de répertoire, sélectionnez le serveur de répertoire à supprimer.
4 Cliquez sur le bouton Supprimer (–).
5 Si vous êtes sûr d’avoir sélectionné le bon serveur de répertoire, cliquez sur « Arrêter
l’utilisation du serveur ».
142
Chapitre 7 Gestion des clients de répertoire
Modification d’une connexion à un serveur de répertoire
Vous pouvez utiliser l’Utilitaire de répertoire pour modifier les serveurs de répertoire
auxquels vous êtes connecté.
Pour modifier une connexion à un serveur de répertoire :
1 Ouvrez l’Utilitaire de répertoire (dans /Applications/Utilitaires/).
2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus pour la déverrouiller et
tapez le nom et le mot de passe d’un administrateur.
3 Dans la liste Serveurs de répertoire, sélectionnez le serveur de répertoire à modifier.
4 Cliquez sur le bouton Modifier (/).
5 Modifiez les réglages du serveur de répertoire.
6 Cliquez sur OK.
Contrôle des connexions aux serveurs de répertoire
Vous pouvez utiliser la liste Serveurs de répertoire de l’Utilitaire de répertoire pour
contrôler l’état des serveurs de répertoire auxquels votre ordinateur est connecté.
Ces informations peuvent vous aider à déterminer pourquoi vous ne parvenez pas
à vous connecter à un serveur de répertoire donné.
Pour contrôler l’état d’un serveur de répertoire :
1 Ouvrez l’Utilitaire de répertoire (dans /Applications/Utilitaires/).
2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus pour la déverrouiller et
tapez le nom et le mot de passe d’un administrateur.
3 Vérifiez la couleur du point d’état à gauche du serveur de répertoire :
 Vert : le serveur de répertoire répond à l’Utilitaire de répertoire.
 Jaune : l’Utilitaire de répertoire attend la réponse du serveur de répertoire.
 Rouge : le serveur de répertoire ne répond pas à l’Utilitaire de répertoire.
Gestion du compte d’utilisateur root
Vous pouvez utiliser l’Utilitaire de répertoire pour gérer le compte d’utilisateur root en
activant ou désactivant l’utilisateur root. Si vous avez activé le compte d’utilisateur root,
vous pouvez également utiliser l’Utilitaire de répertoire pour modifier son mot de passe.
Chapitre 7 Gestion des clients de répertoire
143
Activation du compte d’utilisateur root
Vous pouvez utiliser l’Utilitaire de répertoire pour activer le compte d’utilisateur root.
Si vous activez le compte d’utilisateur root, utilisez un mot de passe correctement
chiffré comportant des caractères alphanumériques et spéciaux pour éviter qu’il ne
soit découvert.
AVERTISSEMENT : le compte root est un compte d’administrateur illimité permettant
de modifier les fichiers système critiques. Même si vous avez ouvert une session en
tant qu’administrateur, vous devez utiliser le compte root, ou l’outil sudo, pour
réaliser des tâches système critiques.
N’utilisez jamais le compte root pour ouvrir une session sur un ordinateur (que ce soit
à distance ou en local). Utilisez plutôt l’outil sudo pour réaliser des tâches root. Vous
pouvez limiter l’accès à l’outil sudo en ajoutant des utilisateurs au fichier /etc/sudoers/.
Pour en savoir plus sur le compte root, consultez le guide Gestion des utilisateurs.
Pour activer le compte d’utilisateur root :
1 Ouvrez l’Utilitaire de répertoire (dans /Applications/Utilitaires/).
2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus pour la déverrouiller et
tapez le nom et le mot de passe d’un administrateur.
3 Choisissez Édition > Activer l’utilisateur root.
Modification du mot de passe du compte d’utilisateur root
Vous pouvez utiliser l’Utilitaire de répertoire pour modifier le mot de passe du compte
root. Lorsque vous modifiez le mot de passe root, utilisez un mot de passe correctement chiffré comportant des caractères alphanumériques et spéciaux pour éviter qu’il
ne soit découvert.
AVERTISSEMENT : le compte root est un compte d’administrateur illimité permettant
de modifier les fichiers système critiques. Même si vous avez ouvert une session en
tant qu’administrateur, vous devez utiliser le compte root, ou l’outil sudo, pour
réaliser des tâches système critiques.
N’utilisez jamais le compte root pour ouvrir une session sur un ordinateur (que ce soit
à distance ou en local). Utilisez plutôt l’outil sudo pour réaliser des tâches root. Vous
pouvez limiter l’accès à l’outil sudo en ajoutant des utilisateurs au fichier /etc/sudoers/.
Pour en savoir plus sur le compte root, consultez le guide Gestion des utilisateurs.
144
Chapitre 7 Gestion des clients de répertoire
Pour modifier le mot de passe du compte d’utilisateur root :
1 Ouvrez l’Utilitaire de répertoire (dans /Applications/Utilitaires/).
2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus pour la déverrouiller et
tapez le nom et le mot de passe d’un administrateur.
3 Choisissez Édition > Activer le mot de passe root.
4 Lorsque vous y êtes invité, saisissez le nouveau mot de passe root dans les champs
Mot de passe et Confirmation.
5 Cliquez sur OK.
Chapitre 7 Gestion des clients de répertoire
145
8
Réglages avancés des clients
de répertoire
8
Utilisez l’Utilitaire de répertoire pour configurer et gérer
le mode d’accès d’un ordinateur doté de Mac OS X ou
Mac OS X Server aux services de répertoire.
Après avoir configuré votre serveur de répertoire, vous pouvez personnaliser les réglages avancés de l’Utilitaire de répertoire pour qu’il fonctionne avec votre ordinateur et
vos applications logicielles.
Pour les descriptions et les instructions sur les tâches de configuration et de gestion,
reportez-vous à :
 « Configuration de l’Utilitaire de répertoire sur un serveur distant » à la page 148
 « Configuration de fiches de montage pour le domaine de répertoire local
d’un ordinateur » à la page 148
 « Utilisation des réglages avancés des règles de recherche » à la page 151
 « Utilisation des réglages avancés des services de répertoire » à la page 155
 « Utilisation des réglages avancés des services LDAP » à la page 157
 « Utilisation des réglages avancés des services Active Directory » à la page 185
 « Définition des réglages NIS » à la page 202
 « Définition des réglages de fichier de configuration BSD » à la page 203
À propos des réglages avancés des services de répertoire
Vous pouvez utiliser les fonctionnalités avancées de l’Utilitaire de répertoire pour configurer les fiches de montage NFS, les services et les règles de recherche. Vous pouvez
également utiliser l’Utilitaire de répertoire pour configurer un ordinateur distant.
L’Utilitaire de répertoire offre les fonctionnalités avancées suivantes :
 Se connecter permet de configurer à distance un ordinateur client ou un serveur.
 Points de montages permet de configurer les points de montages NFS montés lors
du redémarrage de l’ordinateur.
147
 Services permet de configurer les serveurs de répertoire auxquels peuvent accéder
les utilisateurs.
 Règles de recherche permet de configurer les emplacements dans lesquels l’ordinateur recherche les données d’authentification et de contact d’utilisateur.
Configuration de l’Utilitaire de répertoire sur un serveur distant
Vous pouvez utiliser l’application Utilitaire de répertoire sur votre ordinateur pour
configurer et gérer le mode d’accès aux services de répertoire de Mac OS X Server
sur un serveur distant.
Pour configurer l’accès à un répertoire sur un serveur distant :
1 Ouvrez l’Utilitaire de répertoire sur votre ordinateur, puis choisissez Se connecter dans
le menu Fichier.
2 Saisissez les informations de connexion et d’authentification suivantes pour le serveur à
configurer.
Adresse : saisissez le nom DNS ou l’adresse IP du serveur à configurer.
Nom d’utilisateur : saisissez le nom d’utilisateur d’un administrateur du serveur.
Mot de passe : saisissez le mot de passe correspondant au nom d’utilisateur que vous
avez saisi.
3 Cliquez sur Se connecter.
4 Cliquez sur les onglets Serveurs d’annuaire, Points de montages, Services et Règles de
recherche pour modifier les réglages selon vos besoins.
Toutes les modifications apportées affectent le serveur distant auquel vous vous êtes
connecté au cours des étapes précédentes.
5 Dans le menu Fichier de votre ordinateur, choisissez Se déconnecter.
Configuration de fiches de montage pour le domaine de
répertoire local d’un ordinateur
Vous pouvez utiliser l’Utilitaire de répertoire pour configurer des points de montages
NFS pour votre ordinateur. Les points de montages NFS sont des points de partage
hébergés par un serveur NFS. Les points de partage NFS permettent de partager des
informations avec un groupe d’utilisateurs sur un réseau ou peuvent être utilisés
comme dossier de départ réseau d’un utilisateur.
Si vous utilisez l’Utilitaire de répertoire pour configurer des points de montages NFS sur
votre ordinateur, ces points de montages seront montés au démarrage de l’ordinateur.
Les points de montages NFS sont répertoriés dans la sous-fenêtre Points de montages
de l’Utilitaire de répertoire. Cette sous-fenêtre indique l’URL du serveur NFS ainsi que
l’emplacement des points de montages NFS sur l’ordinateur.
148
Chapitre 8 Réglages avancés des clients de répertoire
Ajout d’une fiche de montage au domaine de répertoire local
Pour ajouter un serveur NFS, vous devez connaître son URL et avoir accès au point de
partage NFS.
Pour ajouter une fiche de montage :
1 Ouvrez l’Utilitaire de répertoire (dans /Applications/Utilitaires/).
2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus pour la déverrouiller et
tapez le nom et le mot de passe d’un administrateur.
3 Cliquez sur « Afficher les réglages avancés » (s’ils ne sont pas déjà visibles).
4 Cliquez sur Points de montages, puis sur le bouton Ajouter (+).
5 Définissez les réglages du point de montage NFS en procédant comme suit :
Dans le champ « URL du NFS distant », saisissez l’URL du serveur NFS.
Dans le champ « Emplacement de montage », saisissez le point de montage local du
point de montage NFS.
Pour ajouter des paramètres de montage, cliquez sur le triangle se trouvant à gauche
de « Paramètres de montage avancés » et saisissez vos paramètres.
Pour monter un volume NFS en lecture seule, cochez la case « Monter en lecture
seule ».
Si vous souhaitez que le point de montage NFS ignore les privilèges d’identifiant
utilisateur, cochez la case « Ignorer privilèges définition d’id. utilisateur ».
6 Pour vérifier que le serveur NFS répond, cliquez sur Vérifier ; sinon, cliquez sur Ne pas
vérifier.
Si l’Utilitaire de répertoire reçoit une réponse du serveur NFS, une invite indiquant que
le serveur a bien répondu s’affiche.
Si l’Utilitaire de répertoire ne reçoit pas de réponse du serveur NFS, vous pouvez créer
le point de montage en cliquant sur Créer.
7 Cliquez sur Appliquer.
Les points de montages NFS s’affichent dans la sous-fenêtre Points de montages de
l’Utilitaire de répertoire.
Chapitre 8 Réglages avancés des clients de répertoire
149
Suppression d’une fiche de montage du domaine de répertoire local
Lorsque vous supprimez un point de montage NFS de l’Utilitaire de répertoire, veillez à
ne pas supprimer la fiche de montage de votre dossier de départ NFS. Vous ne pourriez alors plus accéder à vos données.
Pour supprimer une fiche de montage :
1 Ouvrez l’Utilitaire de répertoire (dans /Applications/Utilitaires/).
2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus pour la déverrouiller et
tapez le nom et le mot de passe d’un administrateur.
3 Cliquez sur « Afficher les réglages avancés » (s’ils ne sont pas déjà visibles).
4 Cliquez sur Points de montages.
5 Dans la liste Points de montages, sélectionnez le point de montage NFS à supprimer.
6 Cliquez sur le bouton Supprimer (–).
7 Si vous êtes sûr d’avoir sélectionné le bon point de montage NFS, cliquez sur Supprimer.
Modification d’une fiche de montage dans le domaine de répertoire
local
Vous pouvez utiliser l’Utilitaire de répertoire pour modifier les réglages d’une fiche de
montage NFS existante.
Pour modifier une fiche de montage :
1 Ouvrez l’Utilitaire de répertoire (dans /Applications/Utilitaires/).
2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus pour la déverrouiller et
tapez le nom et le mot de passe d’un administrateur.
3 Cliquez sur « Afficher les réglages avancés » (s’ils ne sont pas déjà visibles).
4 Cliquez sur Points de montages.
5 Dans la liste Points de montages, sélectionnez le point de montage NFS à modifier.
6 Cliquez sur le bouton Modifier (/).
7 Modifiez les réglages du point de montage NFS.
150
Chapitre 8 Réglages avancés des clients de répertoire
Utilisation des réglages avancés des règles de recherche
L’Utilitaire de répertoire définit les règles de recherche suivantes :
 Authentification : Mac OS X utilise la politique de recherche d’authentification pour
localiser et récupérer, à partir des domaines de répertoire, les informations d’authentification d’utilisateur et d’autres données administratives.
 Contacts : Mac OS X utilise la politique de recherche de contacts pour localiser et
récupérer, à partir des domaines de répertoire, les noms, adresses et autres informations de contact. Carnet d’adresses de Mac OS X utilise ces informations de contact.
D’autres applications peuvent également être configurées pour les utiliser.
Chaque règle de recherche comprend une liste de domaines de répertoire. L’ordre des
domaines de répertoire dans la liste définit la politique de recherche. En commençant
en haut de la liste, Mac OS X examine tour à tour chaque domaine de répertoire listé
jusqu’à ce qu’il trouve les informations nécessaires ou qu’il atteigne la fin de la liste sans
trouver ces informations.
Les règles de recherche de données d’authentification et d’informations de contact
peuvent avoir l’un des réglages suivants :
 Automatique : commence par le domaine de répertoire local et peut inclure un
annuaire LDAP fourni par DHCP et les domaines de répertoire auxquels l’ordinateur
est connecté. Il s’agit du réglage par défaut pour Mac OS X 10.2 ou ultérieur ; il offre
une souplesse maximale pour les ordinateurs nomades.
 Répertoire local : n’inclut que le domaine de répertoire local.
 Chemin personnalisé : commence par le domaine de répertoire local et inclut votre
sélection de répertoires LDAP, un domaine Active Directory, les domaines de répertoire partagés, les fichiers de configuration BSD et un domaine NIS.
Important : si vous configurez Mac OS X pour qu’il utilise une règle de recherche
d’authentification automatique et un serveur LDAP fourni par DHCP, vous augmentez le
risque de voir un utilisateur malveillant prendre le contrôle de votre ordinateur. Le risque est encore plus élevé si votre ordinateur est configuré pour se connecter à un
réseau sans fil. Pour en savoir plus, consultez la rubrique « Protection des ordinateurs
contre un serveur DHCP malveillant » à la page 154.
Pour trouver les descriptions des tâches et des instructions, reportez-vous à :
 « Définition de politiques de recherche automatiques » à la page 152
 « Définition de politiques de recherche personnalisées » à la page 153
 « Définition de politiques de recherche de répertoire local » à la page 154
 « Attente de l’entrée en vigueur d’une modification de la politique de recherche » à
la page 154
Chapitre 8 Réglages avancés des clients de répertoire
151
Définition de politiques de recherche automatiques
À l’aide d’Utilitaire de répertoire, vous pouvez faire en sorte que les règles de recherche d’authentification et de contacts d’un ordinateur Mac OS X soient définies
automatiquement.
Une politique de recherche définie automatiquement inclut le domaine de répertoire
local. Elle peut aussi inclure un serveur de répertoire LDAP spécifié par DHCP ainsi que
les domaines de répertoire partagés auxquels l’ordinateur est connecté.
C’est la configuration par défaut pour les règles de recherche d’authentification et de
contacts.
Remarque : certaines applications, comme Mail et Carnet d’adresses de Mac OS X, sont
capables d’accéder directement aux répertoires LDAP, sans utiliser Open Directory. Pour
configurer l’une de ces applications pour qu’elle accède directement aux annuaires
LDAP, ouvrez l’application et définissez la préférence appropriée.
Important : si vous configurez Mac OS X pour qu’il utilise une règle de recherche
d’authentification automatique et un serveur LDAP fourni par DHCP ou un domaine
de répertoire partagé fourni par DHCP, vous augmentez le risque de voir un utilisateur
malveillant prendre le contrôle de votre ordinateur. Le risque est encore plus élevé si
votre ordinateur est configuré pour se connecter à un réseau sans fil. Pour en savoir
plus, consultez la rubrique « Protection des ordinateurs contre un serveur DHCP
malveillant » à la page 154.
Pour obtenir qu’une politique de recherche soit automatiquement définie :
1 Ouvrez l’Utilitaire de répertoire, cliquez sur Règles de recherche, puis choisissez une
règle de recherche :
 Authentification : affiche la règle de recherche utilisée pour l’authentification et
la plupart des autres données administratives.
 Contacts : affiche la règle de recherche utilisée pour les informations de contact
dans les applications telles que Carnet d’adresses.
2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus pour la déverrouiller et
tapez le nom et le mot de passe d’un administrateur.
3 Sélectionnez Automatique dans le menu local Rechercher, puis cliquez sur Appliquer.
4 Dans Préférences Système, assurez-vous que les préférences de réseau de l’ordinateur
sont configurées pour utiliser DHCP ou DHCP via une adresse IP manuelle.
5 Pour inclure un serveur LDAP dans la règle de recherche automatique, assurez-vous
que l’utilisation d’un annuaire LDAP fourni par DHCP est activée dans l’Utilitaire de
répertoire et que le service DHCP est configuré pour fournir l’adresse du serveur LDAP.
Pour en savoir plus, consultez la rubrique « Activation ou désactivation d’un répertoire
LDAP fourni via DHCP » à la page 158. Pour en savoir plus sur la configuration du service DHCP de Mac OS X Server, consultez le guide Administration des services réseau.
152
Chapitre 8 Réglages avancés des clients de répertoire
Définition de politiques de recherche personnalisées
À l’aide d’Utilitaire de répertoire, vous pouvez faire en sorte que les règles de recherche d’authentification et de contacts d’un ordinateur Mac OS X utilisent une liste
personnalisée de domaines de répertoire.
Une liste personnalisée commence par le domaine de répertoire local de l’ordinateur
et peut inclure des domaines de répertoire Open Directory (et d’autres domaines de
répertoire LDAP), un domaine Active Directory, des domaines de répertoire partagés,
des fichiers de configuration BSD et un domaine NIS.
Si un domaine de répertoire spécifié dans la règle de recherche personnalisée d’un
ordinateur n’est pas disponible, il y aura un délai lors du démarrage de l’ordinateur.
Pour spécifier une liste personnalisée de domaines de répertoire pour une politique
de recherche :
1 Dans l’Utilitaire de répertoire, cliquez sur Règles de recherche, puis choisissez une règle
de recherche.
 Authentification : affiche la règle de recherche utilisée pour l’authentification et
la plupart des autres données administratives.
 Contacts : affiche la règle de recherche utilisée pour les informations de contact
dans les applications telles que Carnet d’adresses.
2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus pour la déverrouiller et
tapez le nom et le mot de passe d’un administrateur.
3 Choisissez Chemin personnalisé dans le menu local Rechercher.
4 Ajoutez autant de domaines de répertoire que nécessaire en cliquant sur Ajouter, en
sélectionnant un ou plusieurs répertoires, puis en cliquant de nouveau sur Ajouter.
5 Modifiez l’ordre des domaines de répertoire listés selon vos besoins en les faisant glisser
vers le haut ou le bas de la liste.
6 Supprimez les domaines de répertoire listés que vous ne souhaitez pas inclure dans la
règle de recherche en les sélectionnant puis en cliquant sur le bouton Supprimer (–).
7 Confirmez la suppression en cliquant sur OK, puis cliquez sur Appliquer.
Pour ajouter un répertoire qui ne figure pas parmi les répertoires disponibles, assurezvous que l’ordinateur a été configuré pour accéder à ce répertoire. Pour en savoir plus,
consultez :
 « Utilisation des réglages avancés des services de répertoire » à la page 155
 « Utilisation des réglages avancés des services LDAP » à la page 157
 « Utilisation des réglages avancés des services Active Directory » à la page 185
 « Définition des réglages NIS » à la page 202
 « Définition des réglages de fichier de configuration BSD » à la page 203
Chapitre 8 Réglages avancés des clients de répertoire
153
Définition de politiques de recherche de répertoire local
À l’aide de l’Utilitaire de répertoire, vous pouvez faire en sorte que les règles de recherche d’authentification et de contacts d’un ordinateur Mac OS X utilisent uniquement
le répertoire local de l’ordinateur.
Une politique de recherche qui n’utilise que le répertoire local limite l’accès d’un ordinateur aux informations d’authentification et autres données administratives.
Si vous restreignez la politique de recherche d’authentification d’un ordinateur à
l’emploi du répertoire local, seuls les utilisateurs possédant un compte local pourront
ouvrir une session.
Pour qu’une règle de recherche n’utilise que le domaine de répertoire local
(répertoire local) :
1 Ouvrez l’Utilitaire de répertoire, cliquez sur Règles de recherche, puis choisissez une
règle de recherche :
 Authentification : affiche la règle de recherche utilisée pour l’authentification et
la plupart des autres données administratives.
 Contacts : affiche la règle de recherche utilisée pour les informations de contact
dans les applications telles que Carnet d’adresses.
2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus pour la déverrouiller et
tapez le nom et le mot de passe d’un administrateur.
3 Choisissez Répertoire local dans le menu local Rechercher, puis cliquez sur Appliquer.
Attente de l’entrée en vigueur d’une modification de la politique de
recherche
Après avoir modifié la règle de recherche dans la sous-fenêtre Authentification ou Contacts de l’Utilitaire de répertoire, attendez 10 à 15 secondes pour que les modifications
entrent en vigueur. Toute tentative d’ouverture de session à l’aide d’un compte provenant d’un domaine de répertoire qui utilise la règle de recherche d’authentification
échouera tant que les modifications apportées ne seront pas entrées en vigueur.
Protection des ordinateurs contre un serveur DHCP malveillant
Apple recommande de ne pas utiliser de règle de recherche d’authentification automatique avec un serveur LDAP fourni par DHCP ou un domaine de répertoire partagé
fourni par DHCP dans un environnement dans lequel la sécurité est un souci majeur.
Un bidouilleur malveillant ayant accès à votre réseau peut utiliser un serveur DHCP
leurre et un annuaire LDAP (ou un domaine de répertoire partagé) leurre pour contrôler votre ordinateur à l’aide du compte d’utilisateur root.
154
Chapitre 8 Réglages avancés des clients de répertoire
Pour qu’un bidouilleur puisse accéder à votre réseau, son serveur DHCP leurre doit faire
partie de votre réseau local ou de votre sous-réseau. Par conséquent, si vos ordinateurs
sont les seuls sur votre réseau local et s’ils ont accès à Internet par le service NAT de
Mac OS X Server ou via un routeur NAT, ce type de faille de sécurité est impossible.
Toutefois, un réseau local sans fil réduit le niveau de sécurité car un bidouilleur peut
accéder plus facilement à un réseau local sans fil qu’à un réseau local câblé.
Vous pouvez protéger votre Mac contre les attaques malveillantes à partir d’un serveur
DHCP leurre en désactivant l’utilisation d’un annuaire LDAP fourni par DHCP et en
désactivant la liaison Broadcast et DHCP pour le domaine de répertoire partagé (ou en
désactivant le domaine de répertoire partagé). Pour en savoir plus, consultez la rubrique « Activation ou désactivation d’un répertoire LDAP fourni via DHCP » à la page 158.
Si vous disposez d’un ordinateur nomade qui se connecte à un serveur LDAP lorsqu’il
est connecté à un réseau et que vous changez sa règle de recherche d’automatique à
personnalisée (dans la sous-fenêtre Authentification de l’onglet Règles de recherche de
l’Utilitaire de répertoire), un délai se produira au démarrage lorsque l’ordinateur ne sera
pas connecté au réseau.
Ce délai se produit car l’ordinateur ne peut pas se connecter à un domaine de répertoire spécifique figurant dans sa règle de recherche personnalisée. Vous ne remarquerez aucun délai lorsque vous réveillerez un ordinateur qui a été déconnecté du réseau
pendant la suspension d’activité.
Utilisation des réglages avancés des services de répertoire
L’Utilitaire de répertoire répertorie les différentes catégories de services de répertoire
auxquelles Mac OS X peut accéder. La liste inclut les services de répertoires qui donnent à Mac OS X accès aux informations d’utilisateur et autres données administratives
stockées dans les domaines de répertoire.
Vous pouvez activer ou désactiver l’accès à chaque service de répertoire. Si vous désactivez un service dans l’Utilitaire de répertoire, Mac OS X ne peut plus accéder à ce service de répertoire.
Pour trouver les descriptions des tâches et des instructions, reportez-vous à :
 « Activation ou désactivation du service Active Directory » à la page 156
 « Activation ou désactivation des services de répertoires LDAP » à la page 156
Chapitre 8 Réglages avancés des clients de répertoire
155
Activation ou désactivation du service Active Directory
L’Utilitaire de répertoire permet d’activer ou de désactiver l’utilisation des services
Active Directory fournis par un serveur Windows. Active Directory est le service de
répertoire des serveurs Windows 2000 et ultérieurs.
Si vous désactivez les services Active Directory et que des domaines Active Directory
sont inclus dans une règle de recherche personnalisée, ils sont affichés en rouge
dans la sous-fenêtre Authentification ou Contacts de l’onglet Règles de recherche
de l’Utilitaire de répertoire.
Pour activer ou désactiver l’accès à Active Directory :
1 Ouvrez l’Utilitaire de répertoire et cliquez sur Services.
2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus pour la déverrouiller et
tapez le nom et le mot de passe d’un administrateur.
3 Cochez ou décochez la case en regard d’Active Directory, puis cliquez sur Appliquer.
Pour obtenir des instructions sur la configuration, consultez la rubrique « Utilisation des
réglages avancés des services Active Directory » à la page 185.
Activation ou désactivation des services de répertoires LDAP
Vous pouvez utiliser l’Utilitaire de répertoire pour activer ou désactiver l’accès aux services de répertoire utilisant les versions 2 et 3 du protocole LDAP. Un module unique de
l’Utilitaire de répertoire nommé LDAPv3 permet d’accéder aux versions 2 et 3 du protocole LDAP.
Les services de répertoire fournis par Mac OS X Server utilisent LDAPv3, comme de
nombreux autres serveurs. LDAPv3 est une norme ouverte commune dans les réseaux
mixtes de systèmes Macintosh, UNIX et Windows. Certains serveurs utilisent la version
antérieure, LDAPv2, pour fournir des services de répertoire.
Si vous désactivez les services de répertoire LDAP et que des annuaires LDAP sont
inclus dans une règle de recherche personnalisée, ils sont affichés en rouge dans la
sous-fenêtre Authentification ou Contacts de l’onglet Règles de recherche de l’Utilitaire
de répertoire.
Pour activer ou désactiver les services de répertoires LDAP :
1 Ouvrez l’Utilitaire de répertoire et cliquez sur Services.
2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus pour la déverrouiller et
tapez le nom et le mot de passe d’un administrateur.
3 Cochez ou décochez la case en regard de LDAPv3, puis cliquez sur Appliquer.
Pour obtenir des instructions sur la configuration, consultez la rubrique « Utilisation des
réglages avancés des services LDAP » à la page 157.
156
Chapitre 8 Réglages avancés des clients de répertoire
Utilisation des réglages avancés des services LDAP
Vous pouvez configurer un serveur équipé de Mac OS X Server ou un ordinateur doté
de Mac OS X pour accéder à des répertoires LDAP particuliers, y compris le répertoire
LDAP d’un maître Open Directory de Mac OS X Server.
Pour trouver les descriptions des tâches et des instructions, reportez-vous à :
Â
Â
Â
Â
Â
Â
Â
Â
Â
Â
Â
Â
Â
Â
Â
Â
Â
Â
Â
Â
Â
Â
Â
Â
Â
« Accès à des répertoires LDAP dans Mail et Carnet d’adresses » à la page 158
« Activation ou désactivation d’un répertoire LDAP fourni via DHCP » à la page 158
« Affichage ou masquage de configurations pour serveurs LDAP » à la page 159
« Configuration de l’accès à un répertoire LDAP » à la page 160
« Configuration manuelle de l’accès à un répertoire LDAP » à la page 163
« Modification d’une configuration pour l’accès à un répertoire LDAP » à la page 165
« Duplication d’une configuration pour l’accès à un répertoire LDAP » à la page 167
« Suppression d’une configuration pour l’accès à un répertoire LDAP » à la page 169
« Modification des réglages de connexion d’un répertoire LDAP » à la page 170
« Modification de la politique de sécurité pour une connexion LDAP » à la page 171
« Configuration des recherches et mappages LDAP » à la page 173
« Configuration de la liaison sécurisée pour un annuaire LDAP » à la page 176
« Arrêt de la liaison sécurisée avec un annuaire LDAP » à la page 177
« Modification du délai d’ouverture/de fermeture pour une connexion LDAP » à la
page 178
« Modification du délai de requête pour une connexion LDAP » à la page 178
« Modification du délai de tentative de reconnexion pour une connexion LDAP » à la
page 179
« Modification du délai d’inactivité pour une connexion LDAP » à la page 179
« Forçage de l’accès LDAPv2 en lecture seule » à la page 180
« Ignorance des références de serveur LDAP » à la page 180
« Authentification d’une connexion LDAP » à la page 181
« Modification du mot de passe utilisé pour authentifier une connexion LDAP » à la
page 181
« Mappage d’attributs d’enregistrement de configuration pour répertoires LDAP » à
la page 182
« Modification du mappage RFC 2307 pour activer la création d’utilisateurs » à la
page 183
« Préparation d’un répertoire LDAP en lecture seule pour Mac OS X » à la page 184
« Remplissage d’annuaires LDAP avec des données pour Mac OS X » à la page 184
Chapitre 8 Réglages avancés des clients de répertoire
157
Accès à des répertoires LDAP dans Mail et Carnet d’adresses
Vous pouvez configurer Mail, Carnet d’adresses et certaines applications similaires
de Mac OS X pour qu’ils accèdent directement à des annuaires LDAP spécifiques,
sans utiliser Open Directory.
Pour en savoir plus, ouvrez Mail et choisissez Aide > Aide Mail ou ouvrez Carnet
d’adresses et choisissez Aide > Aide Carnet d’adresses, puis cherchez de l’aide sur LDAP.
Activation ou désactivation d’un répertoire LDAP fourni via DHCP
L’Utilitaire de répertoire permet de configurer un ordinateur Mac OS X pour qu’il
obtienne l’adresse d’un serveur de répertoire LDAP au démarrage.
Mac OS X requiert l’adresse d’un serveur de répertoire LDAP auprès du service DHCP
qui fournit également l’adresse IP de l’ordinateur, l’adresse du routeur et les adresses
de serveur DNS. Mac OS X ajoute l’adresse du serveur LDAP fournie via DHCP à la
politique de recherche automatique de l’ordinateur. Le serveur LDAP fourni par DHCP
apparaît aussi (estompé) dans la liste des configurations LDAP.
Pour en savoir plus, consultez les rubriques « Définition de politiques de recherche
automatiques » à la page 152 et « Modification d’une configuration pour l’accès à un
répertoire LDAP » à la page 165.
L’ordinateur ne peut pas être configuré pour utiliser à la fois une liaison sécurisée LDAP
et un annuaire LDAP fourni par DHCP. La liaison LDAP sécurisée est en réalité une
liaison statique, alors que le LDAP fourni le DHCP est une liaison dynamique.
Pour en savoir plus, consultez les rubriques « Configuration de la liaison sécurisée pour
un annuaire LDAP » à la page 176 et « Configuration d’une politique de liaison pour un
serveur Open Directory » à la page 218.
Important : si vous configurez Mac OS X pour qu’il utilise une règle de recherche
d’authentification automatique et un serveur LDAP fourni par DHCP ou un domaine de
répertoire partagé fourni par DHCP, vous augmentez le risque de voir un utilisateur
malveillant prendre le contrôle de votre ordinateur. Le risque est encore plus élevé si
votre ordinateur est configuré pour se connecter à un réseau sans fil. Pour en savoir
plus, consultez la rubrique « Protection des ordinateurs contre un serveur DHCP
malveillant » à la page 154.
158
Chapitre 8 Réglages avancés des clients de répertoire
Pour activer ou désactiver l’accès automatique à un serveur LDAP :
1 Ouvrez l’Utilitaire de répertoire et cliquez sur Services.
2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus pour la déverrouiller et
tapez le nom et le mot de passe d’un administrateur.
3 Dans la liste des services, sélectionnez LDAPv3, puis cliquez sur le bouton Modifier (/).
4 Choisissez un emplacement de réseau dans le menu local Emplacement.
L’option de serveur LDAP fourni par DHCP peut être activée ou désactivée indépendamment pour chaque emplacement de réseau défini dans la sous-fenêtre Réseau de
Préférences Système.
5 Cliquez sur « Ajouter les serveurs LDAP fournis par DHCP aux règles de recherche
automatique », puis effectuez l’une des opérations suivantes :
 Si vous désactivez cette option, l’ordinateur n’utilisera pas de serveur de répertoire
LDAP fourni par DHCP. Pour en savoir plus, reportez-vous à la rubrique
« Configuration de l’accès à un répertoire LDAP » à la page 160.
 Si vous activez cette option, le serveur qui fournit le service DHCP à cet ordinateur doit
être configuré pour fournir l’adresse d’un serveur de répertoire LDAP. Pour en savoir
plus, consultez le chapitre DHCP du document Administration des services réseau.
Affichage ou masquage de configurations pour serveurs LDAP
Vous pouvez afficher ou masquer la liste des configurations disponibles pour accéder
aux répertoires LDAP. Chaque configuration définit la manière dont Open Directory
accède à un annuaire LDAP. Lorsque la liste est affichée, vous pouvez modifier les réglages de chaque configuration LDAP qui n’est pas estompée.
Lorsqu’une configuration LDAP est estompée, cela signifie qu’elle est fournie par DHCP,
comme décrit dans la rubrique « Activation ou désactivation d’un répertoire LDAP
fourni via DHCP » à la page 158.
Pour afficher ou masquer les configurations d’annuaire LDAP disponibles :
1 Ouvrez l’Utilitaire de répertoire et cliquez sur Services.
2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus pour la déverrouiller et
tapez le nom et le mot de passe d’un administrateur.
3 Dans la liste des services, sélectionnez LDAPv3, puis cliquez sur le bouton Modifier (/).
4 En fonction du contexte, cliquez sur Afficher les options ou sur Masquer les options.
Chapitre 8 Réglages avancés des clients de répertoire
159
Configuration de l’accès à un répertoire LDAP
À l’aide de l’Utilitaire de répertoire, vous pouvez définir la manière dont Mac OS X
accède à un annuaire LDAPv3 si vous connaissez le nom DNS ou l’adresse IP du serveur
de répertoire LDAP.
Si le répertoire n’est pas hébergé par un serveur fournissant ses propres mappages
(comme par exemple Mac OS X Server), vous devez connaître la base de recherche
et le modèle de mappage des données Mac OS X aux données du répertoire.
Les modèles de mappage pris en charge sont les suivants :
 Serveur Open Directory, pour un répertoire utilisant le schéma de Mac OS X Server ;
 Active Directory, pour un répertoire hébergé par un serveur Windows 2000,
Windows 2003 ou ultérieur ;
 RFC 2307, pour la plupart des répertoires hébergés par des serveurs UNIX.
Le module externe LDAPv3 prend entièrement en charge la réplication et le basculement Open Directory. Si le maître Open Directory devient indisponible, le module
bascule sur une réplique proche.
Pour spécifier des mappages personnalisés pour les données du répertoire, suivez les
instructions de la rubrique « Configuration manuelle de l’accès à un répertoire LDAP » à
la page 163 plutôt que celles présentées ici.
Important : si le nom de votre ordinateur contient un trait d’union, vous risquez de
ne pas pouvoir rejoindre ou vous lier à un domaine de répertoire tel que LDAP ou
Active Directory. Pour établir la liaison, utilisez un nom d’ordinateur ne contenant
pas de trait d’union.
Pour que l’Utilitaire de répertoire vous aide à configurer l’accès à un annuaire LDAP :
1 Ouvrez l’Utilitaire de répertoire et cliquez sur Services.
2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus pour la déverrouiller et
tapez le nom et le mot de passe d’un administrateur.
3 Dans la liste des services, sélectionnez LDAPv3, puis cliquez sur le bouton Modifier (/).
Vous pouvez sélectionner LDAPv3 dans la liste des services sans cocher la case Activer
pour LDAPv3.
4 Cliquez sur Nouveau, puis tapez le nom DNS ou l’adresse IP du serveur LDAP.
160
Chapitre 8 Réglages avancés des clients de répertoire
5 Sélectionnez les options d’accès au répertoire :
 Cochez la case “Crypter via SSL” si vous souhaitez qu’Open Directory utilise Secure
Sockets Layer (SSL) pour les connexions avec le répertoire LDAP. Avant de sélectionner cette option, demandez à votre administrateur Open Directory si le protocole
SSL est requis.
 Cochez la case « Utiliser pour l’authentification » si ce répertoire contient des comptes d’utilisateur que quelqu’un va utiliser pour l’ouverture de session ou l’authentification à des services.
 Cochez la case « Utiliser pour les contacts » si ce répertoire contient des adresses
électroniques et d’autres informations que vous souhaitez utiliser dans Carnet
d’adresses.
Si l’Utilitaire de répertoire ne peut pas contacter le serveur LDAP, un message s’affiche
et vous devez alors configurer l’accès manuellement ou annuler le processus de configuration. Pour en savoir plus sur la configuration manuelle, consultez la rubrique
« Configuration manuelle de l’accès à un répertoire LDAP » à la page 163.
Si la zone de dialogue se développe pour afficher des options de mappage, choisissez
le modèle de mappage dans le menu local, tapez le suffixe de la base de recherche,
puis cliquez sur Continuer.
Le suffixe de la base de recherche provient généralement du nom DNS du serveur.
Par exemple, le suffixe de la base de recherche pourrait être “dc=ods, dc=exemple,
dc=com” pour un serveur dont le nom DNS est ods.exemple.com.
Si aucun des modèles de mappage disponibles ne s’applique à la connexion que vous
configurez, cliquez sur Manuel. Pour en savoir plus, consultez la rubrique
« Configuration manuelle de l’accès à un répertoire LDAP » à la page 163.
6 Pour que l’Utilitaire de répertoire obtienne des informations du serveur LDAP, cliquez
sur Continuer.
7 Si la zone de dialogue se développe pour afficher des options relatives à la liaison sécurisée, tapez le nom de l’ordinateur ainsi que le nom d’utilisateur et le mot de passe d’un
administrateur de répertoire (il se peut que la liaison soit facultative).
La zone de dialogue vous indique si le répertoire LDAP requiert la liaison sécurisée ou
la rend facultative. La liaison sécurisée est mutuelle : chaque fois que l’ordinateur se
connecte au répertoire LDAP, ils s’authentifient l’un et l’autre. Si la liaison sécurisée est
déjà configurée ou si l’annuaire LDAP ne prend pas en charge la liaison sécurisée, le
bouton Liaison ne s’affiche pas. Assurez-vous d’avoir saisi le bon nom d’ordinateur.
Si un avertissement s’affiche pour indiquer qu’une fiche d’ordinateur existe, cliquez sur
Annuler pour revenir à la page précédente et modifier le nom de l’ordinateur, ou cliquez sur Écraser pour remplacer la fiche d’ordinateur existante.
La fiche d’ordinateur existante peut être abandonnée ou appartenir à un autre ordinateur.
Chapitre 8 Réglages avancés des clients de répertoire
161
Si vous remplacez une fiche d’ordinateur, prévenez l’administrateur de l’annuaire LDAP,
au cas où le remplacement de la fiche désactiverait un autre ordinateur. Dans ce cas,
l’administrateur de l’annuaire LDAP doit attribuer un autre nom à l’ordinateur désactivé et l’ajouter à nouveau au groupe d’ordinateurs auquel il appartenait.
Pour en savoir plus sur l’ajout d’un ordinateur à un groupe d’ordinateurs, consultez
le chapitre relatif aux groupes d’ordinateurs dans Gestion des utilisateurs.
8 Si la zone de dialogue se développe pour afficher des options relatives à la connexion,
sélectionnez l’option « Utiliser l’authentification lors de la sélection » puis tapez le nom
distinctif et le mot de passe d’un compte d’utilisateur du répertoire.
Les options pour une connexion authentifiée apparaissent si le serveur LDAP prend en
charge une connexion authentifiée, mais pas la liaison sécurisée. La connexion authentifiée n’est pas mutuelle : le serveur LDAP authentifie le client, mais le client n’authentifie pas le serveur.
L’option “Utiliser l’authentification lors de la sélection” est présélectionnée, mais estompée si le serveur LDAP requiert que vous fournissiez le nom distinctif et le mot de passe
d’un compte d’utilisateur pour une connexion authentifiée.
Le nom distinctif peut spécifier tout compte d’utilisateur ayant l’autorisation de voir les
données dans le répertoire. Par exemple, un compte d’utilisateur dont le nom abrégé
est dirauth sur un serveur LDAP dont l’adresse est ods.exemple.com porterait le nom
distinctif uid=dirauth,cn=utilisateurs,dc=ods,dc=exemple,dc=com.
Important : si le nom distinctif ou le mot de passe est incorrect, vous pouvez ouvrir une
session sur l’ordinateur à l’aide de comptes d’utilisateur provenant de l’annuaire LDAP.
9 Cliquez sur OK pour terminer la création de la connexion LDAP.
10 Cliquez sur OK pour terminer la configuration des options LDAPv3.
Si vous avez sélectionné l’option « Utiliser pour l’authentification » ou « Utiliser pour
les contacts » à l’étape 5, la configuration d’annuaire LDAP que vous venez de créer est
ajoutée à une règle de recherche personnalisée dans la sous-fenêtre Authentification
ou Contacts de l’Utilitaire de répertoire.
Assurez-vous que LDAPv3 est activé dans la sous-fenêtre Services afin que l’ordinateur
utilise la configuration LDAP que vous venez de créer. Pour en savoir plus, consultez la
rubrique « Activation ou désactivation des services de répertoires LDAP » à la page 156.
162
Chapitre 8 Réglages avancés des clients de répertoire
Configuration manuelle de l’accès à un répertoire LDAP
Vous pouvez créer manuellement une configuration définissant la manière dont
Mac OS X accède à un annuaire LDAPv3 ou LDAPv2. Vous devez connaître le nom DNS
ou l’adresse IP du serveur de répertoire LDAP.
Si le répertoire n’est pas hébergé par un serveur Mac OS X Server, vous devez connaître la base de recherche et le modèle de mappage des données Mac OS X aux données du répertoire. Les modèles de mappage pris en charge sont les suivants :
 Du serveur, pour un répertoire fournissant ses propres mappages et sa propre base
de recherche, comme par exemple Mac OS X Server ;
 Serveur Open Directory, pour un répertoire utilisant le schéma de Mac OS X Server ;
 Active Directory, pour un répertoire hébergé par un serveur Windows 2000, Windows 2003 ou ultérieur ;
 RFC 2307, pour la plupart des répertoires hébergés par des serveurs UNIX.
 Personnalisé, pour les répertoires qui n’utilisent aucun des mappages ci-dessus.
Le module externe LDAPv3 prend entièrement en charge la réplication et le basculement
Open Directory. Si le maître Open Directory devient indisponible, le module bascule sur
une réplique proche.
Important : si le nom de votre ordinateur contient un trait d’union, vous risquez de ne
pas pouvoir rejoindre ou vous lier à un domaine de répertoire tel que LDAP ou Active
Directory. Pour établir la liaison, utilisez un nom d’ordinateur ne contenant pas de trait
d’union.
Pour configurer manuellement l’accès à un répertoire LDAP :
1 Ouvrez l’Utilitaire de répertoire et cliquez sur Services.
2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus pour la déverrouiller et
tapez le nom et le mot de passe d’un administrateur.
3 Dans la liste des services, sélectionnez LDAPv3, puis cliquez sur le bouton Modifier (/).
Vous pouvez sélectionner LDAPv3 dans la liste des services sans cocher la case Activer
pour LDAPv3.
4 Cliquez sur Nouveau, puis sur Manuel.
5 Tapez un nom pour la configuration.
6 Appuyez sur la touche Tabulation, puis tapez le nom DNS ou l’adresse IP du serveur qui
héberge le répertoire LDAP auquel vous voulez accéder.
Chapitre 8 Réglages avancés des clients de répertoire
163
7 Cliquez sur le menu local en regard du nom DNS ou de l’adresse IP et choisissez un
modèle ou une méthode de mappage :
 Si vous choisissez Du serveur, aucun suffixe de base de recherche n’est requis.
Dans ce cas, Open Directory assume que le suffixe de base de recherche est
le premier niveau du répertoire LDAP.
 Si vous choisissez un modèle, saisissez le suffixe de la base de recherche pour
l’annuaire LDAP, puis cliquez sur OK. Vous devez saisir un suffixe de base de recherche, sinon l’ordinateur ne pourra pas trouver d’informations dans l’annuaire LDAP.
Le suffixe de la base de recherche provient généralement du nom DNS du serveur.
Par exemple, le suffixe de la base de recherche pourrait être “dc=ods, dc=exemple,
dc=com” pour un serveur dont le nom DNS est ods.exemple.com.
 Si vous choisissez Personnalisé, vous devez configurer des mappages entre les types
de fiches et les attributs Mac OS X et les classes et les attributs de l’annuaire LDAP
auquel vous vous connectez. Pour en savoir plus, reportez-vous à la rubrique
« Configuration des recherches et mappages LDAP » à la page 173.
8 Avant de cocher la case « Chiffrer via SSL », demandez à votre administrateur
Open Directory si le protocole SSL est requis.
9 Pour modifier les réglages ci-dessous de cette configuration LDAP, cliquez sur Modifier
pour afficher les options de la configuration LDAP sélectionnée, apportez vos modifications, puis cliquez sur OK une fois que vous avez terminé.
 Cliquez sur Connexion pour définir des options de délai, spécifier un port personnalisé, ignorer des références de serveur ou forcer l’utilisation du protocole LDAPv2
(lecture seule). Pour en savoir plus, reportez-vous à la rubrique « Modification des
réglages de connexion d’un répertoire LDAP » à la page 170..
 Cliquez sur Recherche et mappages pour configurer des recherches et des mappages pour un serveur LDAP. Pour en savoir plus, reportez-vous à la rubrique
« Configuration de la liaison sécurisée pour un annuaire LDAP » à la page 176.
 Cliquez sur Sécurité pour configurer une connexion authentifiée (plutôt qu’une
liaison sécurisée) et d’autres options de politique de sécurité. Pour en savoir plus,
reportez-vous à la rubrique « Modification de la politique de sécurité pour une connexion LDAP » à la page 171.
 Cliquez sur Liaison pour configurer la liaison sécurisée (si l’annuaire LDAP la prend en
charge). Pour en savoir plus, reportez-vous à la rubrique « Configuration de la liaison
sécurisée pour un annuaire LDAP » à la page 176.
10 Cliquez sur OK pour clôturer manuellement la création de la configuration d’accès au
répertoire LDAP.
164
Chapitre 8 Réglages avancés des clients de répertoire
11 Pour que l’ordinateur puisse accéder à l’annuaire LDAP pour lequel vous avez créé une
configuration, ajoutez le répertoire à une règle de recherche personnalisée dans les
sous-fenêtres Authentification et Contacts de l’onglet Règles de recherche de l’Utilitaire
de répertoire, puis assurez-vous que LDAPv3 est activé dans la sous-fenêtre Services.
Pour en savoir plus, consultez les rubriques « Activation ou désactivation des services
de répertoires LDAP » à la page 156 et « Définition de politiques de recherche
personnalisées » à la page 153.
Remarque : pour pouvoir utiliser Gestionnaire de groupe de travail pour créer des utilisateurs sur un serveur LDAP non-Apple qui utilise des mappages RFC 2307 (UNIX), vous
devez modifiez le mappage du type de fiche Utilisateurs. Pour en savoir plus, consultez
la rubrique « Modification du mappage RFC 2307 pour activer la création d’utilisateurs »
à la page 183.
Important : si vous modifiez vos adresse IP et nom d’ordinateur à l’aide de l’outil
alors que vous êtes connecté à un serveur de répertoire, vous devez vous
déconnecter puis vous reconnecter à ce serveur pour que le répertoire prenne en
compte le nouveau nom et la nouvelle adresse IP de l’ordinateur. Si vous ne vous
déconnectez puis reconnectez pas au serveur de répertoire, le répertoire ne sera pas
mis à jour et continuera d’utiliser l’ancien nom et l’ancienne adresse IP de l’ordinateur.
changeip
Modification d’une configuration pour l’accès à un répertoire LDAP
Vous pouvez utiliser l’Utilitaire de répertoire pour modifier les réglages d’une configuration d’annuaire LDAP. Les réglages de la configuration définissent la manière dont
Open Directory accède à un annuaire LDAPv3 ou LDAPv2.
Si la configuration LDAP a été fournie par DHCP, elle ne peut pas être modifiée ; ce type
de configuration est donc estompé dans la liste des configurations LDAP.
Pour modifier une configuration d’accès à un répertoire LDAP :
1 Ouvrez l’Utilitaire de répertoire et cliquez sur Services.
2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus pour la déverrouiller et
tapez le nom et le mot de passe d’un administrateur.
3 Dans la liste des services, sélectionnez LDAPv3, puis cliquez sur le bouton Modifier (/).
4 Si la liste des configurations de serveur est masquée, cliquez sur Afficher les options.
5 Apportez les modifications nécessaires aux réglages suivants :
 Activer : cochez/décochez une case pour activer ou désactiver l’accès à un serveur
de répertoire LDAP.
 Nom de la configuration : double-cliquez sur un nom de configuration pour
le modifier.
 Nom du serveur ou adresse IP : double-cliquez sur un nom ou une adresse IP
de serveur pour le modifier.
Chapitre 8 Réglages avancés des clients de répertoire
165
 Mappage LDAP : choisissez un modèle dans le menu local, saisissez le suffixe de
la base de recherche pour l’annuaire LDAP, puis cliquez sur OK.
Si vous avez choisi un modèle, vous devez saisir un suffixe de base de recherche,
sinon l’ordinateur ne pourra pas trouver d’informations dans l’annuaire LDAP.
Le suffixe de la base de recherche provient généralement du nom DNS du serveur.
Par exemple, pour un serveur dont le nom DNS est ods.exemple.com, le suffixe de
la base de recherche est « dc=ods,dc=exemple,dc=com ».
Si vous choisissez Du serveur au lieu d’un modèle, aucun suffixe de base de recherche n’est requis. Dans ce cas, Open Directory assume que le suffixe de base de
recherche est le premier niveau du répertoire LDAP.
Si vous choisissez Personnalisé, vous devez configurer des mappages entre les types
de fiches et les attributs Mac OS X et les classes et les attributs de l’annuaire LDAP
auquel vous vous connectez. Pour en savoir plus, consultez la rubrique
« Configuration des recherches et mappages LDAP » à la page 173.
 SSL : cochez/décochez la case pour activer ou désactiver les communications chiffrées à l’aide du protocole SSL. Avant de cocher la case SSL, demandez à votre administrateur Open Directory si le protocole SSL est requis.
6 Pour modifier les réglages par défaut ci-dessous de cette configuration LDAP, cliquez
sur Modifier pour afficher les options de la configuration LDAP sélectionnée, apportez
vos modifications, puis cliquez sur OK une fois que vous avez terminé.
 Cliquez sur Connexion pour définir des options de délai, spécifier un port personnalisé, ignorer des références de serveur ou forcer l’utilisation du protocole LDAPv2
(lecture seule). Pour en savoir plus, reportez-vous à la rubrique « Modification des
réglages de connexion d’un répertoire LDAP » à la page 170.
 Cliquez sur Recherche et mappages pour configurer des recherches et des mappages
pour un serveur LDAP. Pour en savoir plus, reportez-vous à la rubrique « Configuration
de la liaison sécurisée pour un annuaire LDAP » à la page 176.
 Cliquez sur Sécurité pour configurer une connexion authentifiée (plutôt qu’une
liaison sécurisée) et d’autres options de politique de sécurité. Pour en savoir plus,
reportez-vous à la rubrique « Modification de la politique de sécurité pour une connexion LDAP » à la page 171.
 Cliquez sur Liaison pour configurer la liaison sécurisée ou sur Rompre la liaison pour
arrêter la liaison sécurisée (il se peut que vous ne voyiez pas ces boutons si l’annuaire
LDAP ne prend pas en charge la liaison sécurisée). Pour en savoir plus, reportez-vous
à la rubrique « Configuration de la liaison sécurisée pour un annuaire LDAP » à la
page 176.
7 Pour terminer la modification de la configuration d’accès à un annuaire LDAP,
cliquez sur OK.
166
Chapitre 8 Réglages avancés des clients de répertoire
Duplication d’une configuration pour l’accès à un répertoire LDAP
Vous pouvez utiliser l’Utilitaire de répertoire pour dupliquer une configuration définissant la manière dont Mac OS X accède à un annuaire LDAPv3 ou LDAPv2. Après avoir
dupliqué une configuration de répertoire LDAP, vous pouvez en modifier les réglages
pour la différencier de la configuration d’origine.
Pour dupliquer une configuration d’accès à un répertoire LDAP :
1 Ouvrez l’Utilitaire de répertoire et cliquez sur Services.
2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus pour la déverrouiller et
tapez le nom et le mot de passe d’un administrateur.
3 Dans la liste des services, sélectionnez LDAPv3, puis cliquez sur le bouton Modifier (/).
4 Si la liste des configurations de serveur est masquée, cliquez sur Afficher les options.
5 Sélectionnez une configuration de serveur dans la liste, puis cliquez sur Dupliquer.
6 Modifiez les réglages de la configuration dupliquée :
 Activer : cochez/décochez une case pour activer ou désactiver l’accès à un serveur
de répertoire LDAP.
 Nom de la configuration : double-cliquez sur un nom de configuration pour le modifier.
 Nom du serveur ou adresse IP : double-cliquez sur un nom ou une adresse IP de
serveur pour le modifier.
 Mappage LDAP : choisissez un modèle dans le menu local, saisissez le suffixe de
la base de recherche pour l’annuaire LDAP, puis cliquez sur OK.
Si vous avez choisi un modèle, vous devez saisir un suffixe de base de recherche,
sinon l’ordinateur ne pourra pas trouver d’informations dans l’annuaire LDAP.
Le suffixe de la base de recherche provient généralement du nom DNS du serveur.
Par exemple, pour un serveur dont le nom DNS est ods.exemple.com, le suffixe de
la base de recherche est « dc=ods,dc=exemple,dc=com ».
Si vous choisissez Du serveur au lieu d’un modèle, aucun suffixe de base de recherche n’est requis. Dans ce cas, Open Directory assume que le suffixe de base de
recherche est le premier niveau du répertoire LDAP.
Si vous choisissez Personnalisé, vous devez configurer des mappages entre les types
de fiches et les attributs Mac OS X et les classes et les attributs de l’annuaire LDAP
auquel vous vous connectez. Pour en savoir plus, consultez la rubrique
« Configuration des recherches et mappages LDAP » à la page 173.
 SSL : cochez/décochez la case pour activer ou désactiver les communications
chiffrées à l’aide du protocole SSL. Avant de cocher la case SSL, demandez à votre
administrateur Open Directory si le protocole SSL est requis.
Chapitre 8 Réglages avancés des clients de répertoire
167
7 Pour modifier les réglages par défaut ci-dessous de la configuration LDAP dupliquée,
cliquez sur Modifier pour afficher les options, apportez vos modifications, puis cliquez
sur OK une fois que vous avez terminé :
 Cliquez sur Connexion pour configurer la liaison sécurisée (si le répertoire LDAP la
prend en charge), définir des options de délai, spécifier un port personnalisé, ignorer
des références de serveur ou forcer l’utilisation du protocole LDAPv2 (lecture seule).
Pour obtenir des instructions complémentaires, consultez la rubrique « Modification
des réglages de connexion d’un répertoire LDAP » à la page 170.
 Cliquez sur Recherche et mappages pour configurer des recherches et des
mappages pour un serveur LDAP. Pour en savoir plus, reportez-vous à la rubrique
« Configuration de la liaison sécurisée pour un annuaire LDAP » à la page 176.
 Cliquez sur Sécurité pour configurer une connexion authentifiée (plutôt qu’une
liaison sécurisée) et d’autres options de politique de sécurité. Pour en savoir plus,
reportez-vous à la rubrique « Modification de la politique de sécurité pour une connexion LDAP » à la page 171.
 Cliquez sur Liaison pour configurer la liaison sécurisée ou sur Rompre la liaison pour
arrêter la liaison sécurisée (il se peut que vous ne voyiez pas ces boutons si l’annuaire
LDAP ne prend pas en charge la liaison sécurisée). Pour en savoir plus, reportez-vous
à la rubrique « Configuration de la liaison sécurisée pour un annuaire LDAP » à la
page 176.
8 Pour terminer la modification de la configuration dupliquée, cliquez sur OK.
9 Pour que l’ordinateur puisse accéder à l’annuaire LDAP spécifié par la configuration
dupliquée que vous avez créée, ajoutez le répertoire à une règle de recherche personnalisée dans la sous-fenêtre Authentification ou Contacts de l’onglet Règles de recherche de l’Utilitaire de répertoire et assurez-vous que LDAPv3 est activé dans la sousfenêtre Services.
Pour en savoir plus, reportez-vous aux rubriques « Activation ou désactivation des services de répertoires LDAP » à la page 156 et « Définition de politiques de recherche
personnalisées » à la page 153.
168
Chapitre 8 Réglages avancés des clients de répertoire
Suppression d’une configuration pour l’accès à un répertoire LDAP
Vous pouvez utiliser l’Utilitaire de répertoire pour supprimer une configuration définissant la manière dont l’ordinateur accède à un répertoire LDAPv3 ou LDAPv2.
Si la configuration LDAP a été fournie par DHCP, elle ne peut pas être modifiée ; cette
option de configuration est donc estompée dans la liste des configurations LDAP.
Pour supprimer une configuration d’accès à un répertoire LDAP :
1 Ouvrez l’Utilitaire de répertoire et cliquez sur Services.
2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus pour la déverrouiller et
tapez le nom et le mot de passe d’un administrateur.
3 Dans la liste des services, sélectionnez LDAPv3, puis cliquez sur le bouton Modifier (/).
4 Si la liste des configurations de serveur est masquée, cliquez sur Afficher les options.
5 Sélectionnez une configuration de serveur dans la liste, cliquez sur Supprimer, puis sur OK.
Si un avertissement s’affiche pour indiquer que l’ordinateur est lié à un annuaire LDAP
et que vous souhaitez arrêter la liaison sécurisée, cliquez sur OK, puis saisissez le nom
et le mot de passe d’un administrateur d’annuaire LDAP (et non ceux d’un administrateur d’ordinateur local).Si un avertissement s’affiche pour indiquer que l’ordinateur ne
parvient pas à contacter le serveur LDAP, vous pouvez cliquer sur OK pour forcer l’arrêt
de la liaison sécurisée.
Si vous forcez l’arrêt de la liaison sécurisée, cet ordinateur dispose toujours d’une fiche
d’ordinateur dans l’annuaire LDAP. Prévenez l’administrateur de l’annuaire LDAP pour
qu’il supprime l’ordinateur du groupe d’ordinateurs.
Pour en savoir plus sur la suppression d’un ordinateur de son groupe d’ordinateurs,
consultez le chapitre relatif aux groupes d’ordinateurs dans Gestion des utilisateurs.
La configuration supprimée est effacée des règles de recherche personnalisées pour
l’authentification et les contacts.
Chapitre 8 Réglages avancés des clients de répertoire
169
Modification des réglages de connexion d’un répertoire LDAP
Vous pouvez utiliser l’Utilitaire de répertoire pour modifier les réglages de connexion
d’une configuration définissant la manière dont l’ordinateur accède à un répertoire
LDAPv3 ou LDAPv2.
Pour modifier les réglages de connexion pour l’accès à un répertoire LDAP :
1 Ouvrez l’Utilitaire de répertoire et cliquez sur Services.
2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus pour la déverrouiller et
tapez le nom et le mot de passe d’un administrateur.
3 Dans la liste des services, sélectionnez LDAPv3, puis cliquez sur le bouton Modifier (/).
4 Si la liste des configurations de serveur est masquée, cliquez sur Afficher les options.
5 Sélectionnez une configuration de serveur dans la liste, puis cliquez sur Modifier.
6 Cliquez sur Connexion, puis modifiez les réglages suivants :
 Nom de la configuration : identifie cette configuration dans la liste des configurations d’annuaire LDAP. (Vous pouvez également modifier le nom dans la liste des
configurations d’annuaire LDAP.)
 Nom du serveur ou adresse IP : définit le nom DNS ou l’adresse IP du serveur.
(Vous pouvez également modifier cette option dans la liste des configurations
d’annuaire LDAP.)
 L’ouverture/fermeture expire après : définit la durée maximale d’une tentative de
connexion avant son annulation.
 La requête expire après : définit la durée maximale d’une requête avant son annulation.
 Nouvelle tentative de liaison après : définit le nombre de secondes avant une nouvelle tentative de connexion si le serveur LDAP ne répond pas. Augmentez cette
valeur pour éviter des tentatives de reconnexion continues.
 La connexion expire après : définit la durée (en minutes) pendant laquelle une
connexion inactive ou sans réponse peut rester ouverte.
 Chiffrer via SSL : détermine si les communications avec l’annuaire LDAP doivent être
chiffrées à l’aide d’une connexion SSL. (Vous pouvez également modifier ce réglage
dans la liste des configurations d’annuaire LDAP.) Avant de cocher la case SSL,
demandez à votre administrateur Open Directory si le protocole SSL est requis.
 Utiliser le port personnalisé : spécifie un numéro de port autre que celui du port
par défaut pour les connexions LDAP (389 sans SSL ou 636 avec SSL).
 Ignorer les références du serveur : détermine s’il faut ignorer ou suivre les références d’un serveur LDAP pour rechercher des informations sur d’autres serveurs LDAP
ou des répliques. Les références du serveur peuvent aider un ordinateur à trouver
des informations mais peuvent aussi ralentir les ouvertures de session ou provoquer
d’autres délais si l’ordinateur doit vérifier des références à d’autres serveurs LDAP.
 Utiliser LDAPv2 (lecture seule) : détermine si l’ancien protocole LDAPv2 doit être
utilisé pour l’accès en lecture seule à un annuaire LDAP.
170
Chapitre 8 Réglages avancés des clients de répertoire
Modification de la politique de sécurité pour une connexion LDAP
L’Utilitaire de répertoire vous permet de configurer un règlement de sécurité plus strict
que celui de l’annuaire LDAP pour une connexion LDAPv3. Par exemple, si le règlement de sécurité de l’annuaire LDAP autorise les mots de passe en clair, vous pouvez
configurer une connexion LDAPv3 pour qu’elle n’autorise pas ce type de mot de passe.
Définir un règlement de sécurité plus strict permet d’empêcher un bidouilleur malveillant d’utiliser un serveur LDAP piraté pour prendre le contrôle de votre ordinateur.
L’ordinateur doit communiquer avec le serveur LDAP pour montrer l’état des options
de sécurité. C’est pourquoi, lorsque vous modifiez des options de sécurité pour une
connexion LDAPv3, la politique de recherche d’authentification de l’ordinateur doit
inclure la connexion LDAPv3.
Les réglages autorisés pour les options de sécurité d’une connexion LDAPv3 dépendent des possibilités et des besoins en matière de sécurité du serveur LDAP. Par exemple, si le serveur LDAP ne prend pas en charge l’authentification Kerberos, plusieurs
options de sécurité de la connexion LDAPv3 sont désactivées.
Pour modifier les options de sécurité d’une connexion LDAPv3 :
1 Ouvrez l’Utilitaire de répertoire et cliquez sur Règles de recherche.
2 Cliquez sur Authentification et assurez-vous que l’annuaire LDAPv3 souhaité est inclus
dans la règle de recherche.
Pour en savoir plus sur l’ajout d’un annuaire LDAPv3 à une règle de recherche
d’authentification, consultez la rubrique « Définition de politiques de recherche
personnalisées » à la page 153.
3 Si l’icône représentant le cadenas est verrouillée, cliquez dessus pour la déverrouiller et
tapez le nom et le mot de passe d’un administrateur.
4 Cliquez sur Services.
5 Dans la liste des services, sélectionnez LDAPv3, puis cliquez sur le bouton Modifier (/).
6 Si la liste des configurations de serveur est masquée, cliquez sur Afficher les options.
7 Sélectionnez la configuration d’annuaire souhaitée, puis cliquez sur Modifier.
8 Cliquez sur Sécurité, puis modifiez les réglages suivants selon vos besoins.
Remarque : ces réglages de sécurité ainsi que ceux du serveur LDAP correspondant
sont définis lors de la configuration de la connexion LDAP. Ils ne sont pas automatiquement mis à jour si les réglages du serveur sont modifiés.
Si l’une des quatre dernières options est sélectionnée mais désactivée, l’annuaire LDAP
la requiert. Si l’une de ces options est désélectionnée et désactivée, le serveur LDAP
ne la prend pas en charge. Pour en savoir plus sur la définition de ces options pour un
annuaire LDAP Mac OS X Server, consultez la rubrique « Configuration d’un règlement
de sécurité pour un serveur Open Directory » à la page 219.
Chapitre 8 Réglages avancés des clients de répertoire
171
 Utiliser l’authentification lors de la connexion : détermine si la connexion LDAPv3
s’authentifie auprès de l’annuaire LDAP en fournissant le nom distinctif et le mot de
passe définis. Cette option n’apparaît pas si la connexion LDAPv3 utilise la liaison
sécurisée avec l’annuaire LDAP.
 Relié à l’annuaire en tant que : définit les informations d’authentification utilisées
par la connexion LDAPv3 pour la liaison sécurisée avec l’annuaire LDAP. Vous ne pouvez pas changer cette option ni les informations d’authentification ici. Par contre,
vous pouvez rompre le lien, puis l’établir à nouveau avec d’autres informations
d’authentification.
Pour en savoir plus, consultez les rubriques « Arrêt de la liaison sécurisée avec un
annuaire LDAP » à la page 177 et « Configuration de la liaison sécurisée pour un
annuaire LDAP » à la page 176.
Cette option n’est affichée que si la connexion LDAPv3 utilise la liaison sécurisée.
 Désactiver les mots de passe en clair : détermine si le mot de passe doit être
envoyé en clair s’il ne peut pas être validé à l’aide d’une méthode d’authentification
qui envoie un mot de passe crypté.
Pour en savoir plus, consultez les rubriques « Sélection de méthodes d’authentification pour des utilisateurs de mots de passe shadow » à la page 132 et « Sélection de
méthodes d’authentification pour des utilisateurs de mots de passe Open Directory »
à la page 133.
 Signer tous les paquets numériquement (requiert Kerberos) : certifie que les données d’annuaire provenant du serveur LDAP n’ont pas été interceptées et modifiées
par un autre ordinateur pendant leur transit vers votre ordinateur.
 Crypter tous les paquets (requiert SSL ou Kerberos) : exige du serveur LDAP qu’il
chiffre les données d’annuaire à l’aide du protocole SSL ou de Kerberos avant de
les envoyer vers votre ordinateur. Avant de cocher la case « Crypter tous les paquets
(requiert SSL ou Kerberos) », demandez à votre administrateur Open Directory si
le protocole SSL est requis.
 Bloquer les attaques « Man-in-the-Middle » (requiert Kerberos) : empêche un serveur malveillant de se faire passer pour le serveur LDAP. Plus efficace avec l’option
“Signer tous les paquets numériquement”.
172
Chapitre 8 Réglages avancés des clients de répertoire
Configuration des recherches et mappages LDAP
L’Utilitaire de répertoire vous permet de modifier les mappages, les bases de recherche
et les étendues de recherche définissant la manière dont Mac OS X recherche des
données particulières dans un annuaire LDAP. Vous pouvez modifier ces réglages
séparément pour chaque configuration d’annuaire LDAP répertoriée dans l’Utilitaire
de répertoire. Chaque configuration de répertoire LDAP spécifie la manière dont
Mac OS X accède aux données dans un répertoire LDAPv3 ou LDAPv2.
Vous pouvez modifier les éléments suivants :
 le mappage de chaque type de fiche Mac OS X vers une ou plusieurs classes d’objets
LDAP ;
 le mappage des types de données, ou attributs, Mac OS X aux attributs LDAP pour
chaque type de fiche ;
 la base de recherche et l’étendue de recherche LDAP déterminant l’emplacement où
Mac OS X doit rechercher un type de fiche Mac OS X dans un annuaire LDAP.
Lors du mappage d’attributs d’utilisateur Mac OS X vers un domaine de répertoire
LDAP en lecture/écriture (un domaine LDAP qui n’est pas en lecture seule), l’attribut
LDAP mappé vers RealName ne doit pas être le même que le premier attribut d’une
liste d’attributs LDAP mappés vers RecordName.
Par exemple, l’attribut cn ne doit pas être le premier attribut mappé vers RecordName
si cn est également mappé vers RealName.
Si l’attribut LDAP mappé vers RealName est le même que le premier attribut mappé
vers RecordName, des problèmes se produiront lorsque vous tenterez de modifier le
nom complet (long) ou le premier nom abrégé dans Gestionnaire de groupe de travail.
Pour en savoir plus sur les types de fiches et les attributs Mac OS X, consultez l’annexe,
« Données de répertoire Mac OS X ».
Pour modifier les bases de recherche et les mappages d’un serveur LDAP :
1 Ouvrez l’Utilitaire de répertoire et cliquez sur Services.
2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus pour la déverrouiller et
tapez le nom et le mot de passe d’un administrateur.
3 Cliquez sur Services.
4 Dans la liste des services, sélectionnez LDAPv3, puis cliquez sur le bouton Modifier (/).
5 Si la liste des configurations de serveur est masquée, cliquez sur Afficher les options.
6 Sélectionnez une configuration de serveur dans la liste, puis cliquez sur Modifier.
7 Cliquez sur Recherche et mappages.
Chapitre 8 Réglages avancés des clients de répertoire
173
8 Sélectionnez les mappages à utiliser comme point de départ ; sinon, choisissez
Personnalisé pour commencer sans mappage prédéfini.
Si vous choisissez l’un des modèles de mappage LDAP, un suffixe de base de recherche
que vous pouvez modifier s’affiche. Si vous souhaitez accepter ce suffixe par défaut,
cliquez sur OK.
Cliquez sur le menu local « Accéder à ce serveur LDAPv3 via » et choisissez un modèle
de mappage pour utiliser ses mappages comme point de départ.
9 Ajoutez des types de fiches et modifiez leur base de recherche selon vos besoins.
 Pour ajouter des types de fiches, cliquez sur Ajouter (sous la liste « Types d’enregistrement et attributs ») ; sélectionnez ensuite Types d’enregistrement dans la zone de
dialogue qui apparaît, choisissez un ou plusieurs types de fiches, puis cliquez sur OK.
 Pour modifier la base de recherche et l’étendue de recherche d’un type de fiche,
sélectionnez-le dans la liste « Types d’enregistrement et attributs », puis modifiez le
champ Base de recherche. Sélectionnez « tous les sous-arbres » pour définir l’étendue de recherche de sorte à inclure l’ensemble de la hiérarchie de l’annuaire LDAP
à partir de la base de recherche, ou sélectionnez « le premier niveau » pour définir
l’étendue de recherche de sorte à n’inclure que la base de recherche et un niveau
sous cette dernière dans la hiérarchie de l’annuaire LDAP.
 Pour supprimer un type de fiche, sélectionnez-le dans la liste « Types d’enregistrement
et attributs », puis cliquez sur Supprimer.
 Pour ajouter un mappage pour un type de fiche, sélectionnez ce dernier dans la liste
« Types d’enregistrement et attributs », cliquez sur Ajouter (sous la liste « Mapper
sur __ éléments listés »), puis saisissez le nom d’une classe d’objets figurant dans
l’annuaire LDAP. Pour ajouter une autre classe d’objets LDAP, appuyez sur Retour,
saisissez le nom de la classe d’objets, puis indiquez si vous souhaitez utiliser toutes
les classes d’objets LDAP répertoriées ou seulement l’une d’entre elles à l’aide du
menu local se trouvant au-dessus de la liste.
 Pour modifier un mappage pour un type de fiche, sélectionnez ce dernier dans la
liste « Types d’enregistrement et attributs », double-cliquez sur la classe d’objets
LDAP à modifier dans la liste « Mapper sur __ éléments listés », puis modifiez-la.
Spécifiez si vous souhaitez utiliser toutes les classes d’objets LDAP ou l’une d’entre
elles via la menu local situé au-dessus de la liste.
 Pour supprimer un mappage pour un type de fiche, sélectionnez ce dernier dans
la liste « Types d’enregistrement et attributs », choisissez la classe d’objets LDAP à
supprimer de la liste « Mapper sur __ éléments listés », puis cliquez sur Supprimer
(sous la liste « Mapper sur __ éléments listés »).
174
Chapitre 8 Réglages avancés des clients de répertoire
10 Ajoutez des attributs, puis modifiez leur mappage selon vos besoins :
 Pour ajouter des attributs à un type de fiche, sélectionnez ce dernier dans la liste
« Types d’enregistrement et attributs », puis cliquez sur Ajouter (sous la liste « Types
d’enregistrement et attributs ») ; sélectionnez ensuite Types d’attributs dans la zone de
dialogue qui apparaît, choisissez un ou plusieurs types d’attributs, puis cliquez sur OK.
 Pour ajouter un mappage pour un attribut, sélectionnez ce dernier dans la liste
« Types d’enregistrement et attributs », cliquez sur Ajouter (sous la liste « Mapper
sur __ éléments listés »), puis saisissez le nom d’un attribut figurant dans l’annuaire
LDAP ; pour ajouter un autre attribut LDAP, appuyez sur Retour, puis saisissez le nom
de l’attribut.
 Pour modifier un mappage pour un attribut, sélectionnez ce dernier dans la liste
« Types d’enregistrement et attributs », double-cliquez sur l’élément à modifier
dans la liste « Mapper sur __ éléments listés », puis modifiez le nom de cet élément.
 Pour supprimer un mappage pour un attribut, sélectionnez ce dernier dans la liste
« Types d’enregistrement et attributs », choisissez l’élément à supprimer de la liste
« Mapper sur __ éléments listés », puis cliquez sur Supprimer (sous la liste « Mapper
sur __ éléments listés »).
 Pour modifier l’ordre des attributs dans la liste située à droite, faites glisser
les attributs vers le haut ou le bas de la liste.
11 Pour enregistrer vos mappages sous la forme d’un modèle, cliquez sur Enregistrer
le modèle.
Les modèles enregistrés dans l’emplacement par défaut apparaîtront dans les menus
locaux des modèles de mappage LDAP la prochaine fois que vous ouvrirez l’Utilitaire
de répertoire. L’emplacement d’enregistrement par défaut des modèles se trouve dans
votre dossier de départ, au chemin suivant :
~/Library/Application Support/Directory Utility/LDAPv3/Templates
12 Pour stocker les mappages dans l’annuaire LDAP de sorte qu’il puisse les fournir automatiquement à ses clients, cliquez sur « Écrire sur le serveur », puis saisissez une base
de recherche pour stocker les mappages, le nom distinct d’un administrateur ou d’un
autre utilisateur disposant de l’autorisation en écriture sur la base de recherche (par
exemple uid=diradmin,cn=utilisateurs,dc=ods,dc=exemple,dc=com), ainsi qu’un mot
de passe.
Si vous écrivez des mappages sur un serveur LDAP Open Directory, la base de recherche correcte est “cn=config, suffixe” (où suffixe est le suffixe de la base de recherche du
serveur, comme par exemple “dc=exemple, dc=com”).
Chapitre 8 Réglages avancés des clients de répertoire
175
Le répertoire LDAP fournit ses mappages aux clients Mac OS X dont la politique de
recherche personnalisée contient une connexion qui est configurée pour obtenir les
mappages du serveur LDAP. Le répertoire LDAP fournit aussi ses mappages à tous les
clients Mac OS X qui disposent d’une politique de recherche automatique. Pour en
savoir plus, consultez les rubriques « Configuration de l’accès à un répertoire LDAP » à la
page 160 et « Utilisation des réglages avancés des règles de recherche » à la page 151.
Configuration de la liaison sécurisée pour un annuaire LDAP
Vous pouvez utiliser l’Utilitaire de répertoire pour configurer la liaison sécurisée entre
l’ordinateur et un annuaire LDAP prenant en charge la liaison sécurisée. La liaison
est authentifiée de façon mutuelle au moyen d’une fiche d’ordinateur authentifié,
qui est créée dans le répertoire lorsque vous configurez la liaison sécurisée.
L’ordinateur ne peut pas être configuré pour utiliser à la fois la liaison LDAP sécurisée
et un annuaire LDAP fourni par DHCP. La liaison LDAP sécurisée est par nature statique,
alors que le LDAP fourni par DHCP est dynamique.
Pour en savoir plus, consultez les rubriques « Activation ou désactivation d’un répertoire LDAP fourni via DHCP » à la page 158 et « Configuration d’une politique de liaison
pour un serveur Open Directory » à la page 218.
Pour configurer la liaison sécurisée vers un répertoire LDAP :
1 Ouvrez l’Utilitaire de répertoire et cliquez sur Services.
2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus pour la déverrouiller et
tapez le nom et le mot de passe d’un administrateur.
3 Dans la liste des services, sélectionnez LDAPv3, puis cliquez sur le bouton Modifier (/).
4 Si la liste des configurations de serveur est masquée, cliquez sur Afficher les options.
5 Sélectionnez la configuration de serveur souhaitée, puis cliquez sur Modifier.
6 Cliquez sur Liaison, saisissez les informations d’authentification suivantes, puis cliquez
sur OK.
Saisissez le nom de l’ordinateur, et le nom et le mot de passe d’un administrateur de
domaine de répertoire LDAP. Le nom de l’ordinateur ne peut pas être déjà utilisé par un
autre ordinateur pour la liaison sécurisée ou d’autres services de réseau.
Si le bouton Liaison n’apparaît pas, cela signifie que l’annuaire LDAP ne prend pas en
charge la liaison sécurisée.
7 Vérifiez que vous avez saisi le bon nom d’ordinateur.
Si un avertissement s’affiche pour indiquer qu’une fiche d’ordinateur existe, cliquez sur
Annuler pour revenir à la page précédente et modifier le nom de l’ordinateur, ou cliquez sur Écraser pour remplacer la fiche d’ordinateur existante.
176
Chapitre 8 Réglages avancés des clients de répertoire
La fiche d’ordinateur existante peut être abandonnée ou appartenir à un autre ordinateur. Si vous remplacez une fiche d’ordinateur, prévenez l’administrateur de l’annuaire
LDAP, au cas où le remplacement de la fiche désactiverait un autre ordinateur.
Dans ce cas, l’administrateur de l’annuaire LDAP doit attribuer un autre nom à l’ordinateur désactivé et l’ajouter au groupe d’ordinateurs auquel il appartenait en utilisant un
autre nom pour cet ordinateur.
Pour en savoir plus sur l’ajout d’un ordinateur à un groupe d’ordinateurs, consultez
le chapitre relatif aux groupes d’ordinateurs dans Gestion des utilisateurs.
8 Pour terminer la configuration de la liaison sécurisée, cliquez sur OK.
Arrêt de la liaison sécurisée avec un annuaire LDAP
Vous pouvez utiliser l’Utilitaire de répertoire pour arrêter la liaison sécurisée entre un
ordinateur et un annuaire LDAP qui prend en charge, mais ne requiert pas, la liaison
sécurisée.
Pour arrêter la liaison sécurisée avec un annuaire LDAP :
1 Ouvrez l’Utilitaire de répertoire et cliquez sur Services.
2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus puis tapez le nom et
le mot de passe d’un administrateur.
3 Dans la liste des services, sélectionnez LDAPv3, puis cliquez sur le bouton Modifier (/).
4 Si la liste des configurations de serveur est masquée, cliquez sur Afficher les options.
5 Sélectionnez la configuration de serveur souhaitée, puis cliquez sur Modifier.
6 Cliquez sur Rompre la liaison, saisissez les informations d’authentification suivantes,
puis cliquez sur OK.
Saisissez le nom et le mot de passe d’un administrateur de répertoire LDAP (pas un
administrateur de l’ordinateur local).
Si la liaison sécurisée n’a pas été configurée sur cet ordinateur, le bouton Rompre
la liaison n’apparaît pas.
Si un avertissement s’affiche pour indiquer que l’ordinateur ne parvient pas à contacter le serveur LDAP, cliquez sur OK pour forcer l’arrêt de la liaison sécurisée.
Si vous forcez l’arrêt de la liaison sécurisée, cet ordinateur dispose toujours d’une fiche
d’ordinateur dans l’annuaire LDAP. Prévenez l’administrateur de l’annuaire LDAP pour
qu’il supprime l’ordinateur du groupe d’ordinateurs.
Pour en savoir plus sur la suppression d’un ordinateur de son groupe d’ordinateurs,
consultez le chapitre relatif aux groupes d’ordinateurs dans Gestion des utilisateurs.
7 Cliquez sur OK pour finaliser l’arrêt de la liaison sécurisée.
Chapitre 8 Réglages avancés des clients de répertoire
177
Modification du délai d’ouverture/de fermeture pour une
connexion LDAP
L’Utilitaire de répertoire permet de spécifier combien de temps Open Directory doit
attendre avant d’annuler une tentative de connexion au serveur LDAP.
Pour définir le délai d’ouverture/de fermeture pour une connexion LDAP :
1 Ouvrez l’Utilitaire de répertoire et cliquez sur Services.
2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus pour la déverrouiller et
tapez le nom et le mot de passe d’un administrateur.
3 Dans la liste des services, sélectionnez LDAPv3, puis cliquez sur le bouton Modifier (/).
4 Si la liste des configurations de serveur est masquée, cliquez sur Afficher les options.
5 Sélectionnez une configuration de serveur dans la liste, puis cliquez sur Modifier.
6 Cliquez sur Connexion, puis saisissez une valeur dans le champ « L’ouverture/fermeture
expire après __ secondes ».
La valeur par défaut est 15 secondes.
Modification du délai de requête pour une connexion LDAP
L’Utilitaire de répertoire permet de spécifier combien de temps Open Directory doit
attendre avant d’annuler une requête envoyée à l’annuaire LDAP.
Pour définir le délai de requête pour une connexion LDAP :
1 Ouvrez l’Utilitaire de répertoire et cliquez sur Services.
2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus pour la déverrouiller et
tapez le nom et le mot de passe d’un administrateur.
3 Dans la liste des services, sélectionnez LDAPv3, puis cliquez sur le bouton Modifier (/).
4 Si la liste des configurations de serveur est masquée, cliquez sur Afficher les options.
5 Sélectionnez une configuration de serveur dans la liste, puis cliquez sur Modifier.
6 Cliquez sur Connexion, puis saisissez une valeur dans le champ « La requête expire
après __ secondes ».
La valeur par défaut est 120 secondes.
178
Chapitre 8 Réglages avancés des clients de répertoire
Modification du délai de tentative de reconnexion pour
une connexion LDAP
L’Utilitaire de répertoire permet de spécifier combien de temps attendre avant de tenter de se reconnecter si un serveur LDAP ne répond pas. Vous pouvez augmenter cette
valeur pour éviter des tentatives de reconnexion continues.
Pour définir le délai de tentative de reconnexion pour les clients LDAP inactifs :
1 Ouvrez l’Utilitaire de répertoire et cliquez sur Services.
2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus pour la déverrouiller et
tapez le nom et le mot de passe d’un administrateur.
3 Dans la liste des services, sélectionnez LDAPv3, puis cliquez sur le bouton Modifier (/).
4 Si la liste des configurations de serveur est masquée, cliquez sur Afficher les options.
5 Sélectionnez une configuration de serveur dans la liste, puis cliquez sur Modifier.
6 Cliquez sur Connexion, puis saisissez une valeur dans le champ « Tentative de reconnexion après __ secondes ».
La valeur par défaut est 120 secondes.
Modification du délai d’inactivité pour une connexion LDAP
L’Utilitaire de répertoire permet de spécifier le délai d’inactivité d’une connexion LDAP
avant qu’Open Directory ne ferme la connexion. Vous pouvez ajuster ce réglage pour
réduire le nombre de connexions ouvertes sur le serveur LDAP.
Pour définir le délai d’inactivité pour une connexion LDAP :
1 Ouvrez l’Utilitaire de répertoire et cliquez sur Services.
2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus pour la déverrouiller et
tapez le nom et le mot de passe d’un administrateur.
3 Dans la liste des services, sélectionnez LDAPv3, puis cliquez sur le bouton Modifier (/).
4 Si la liste des configurations de serveur est masquée, cliquez sur Afficher les options.
5 Sélectionnez une configuration de serveur dans la liste, puis cliquez sur Modifier.
6 Cliquez sur Connexion et saisissez une valeur dans le champ « La connexion expirera
après __ minutes ».
La valeur par défaut est 1 minute.
Chapitre 8 Réglages avancés des clients de répertoire
179
Forçage de l’accès LDAPv2 en lecture seule
L’Utilitaire de répertoire permet de forcer une connexion à un serveur LDAP à l’aide
du protocole LDAPv2. Cette connexion LDAPv2 forcée est en lecture seule (et non en
lecture-écriture) et n’utilise pas SSL.
Pour forcer l’accès LDAPv2 en lecture seule vers un serveur LDAP :
1 Ouvrez l’Utilitaire de répertoire et cliquez sur Services.
2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus pour la déverrouiller et
tapez le nom et le mot de passe d’un administrateur.
3 Dans la liste des services, sélectionnez LDAPv3, puis cliquez sur le bouton Modifier (/).
4 Si la liste des configurations de serveur est masquée, cliquez sur Afficher les options.
5 Sélectionnez la configuration de serveur dans la liste, puis cliquez sur Modifier.
6 Cliquez sur Connexion, puis cochez la case « Utiliser LDAPv2 (lecture seule) ».
Ignorance des références de serveur LDAP
L’Utilitaire de répertoire permet de spécifier si l’ordinateur doit ignorer ou suivre les
références d’un serveur LDAP pour rechercher des informations sur d’autres serveurs
LDAP ou des répliques.
Les références du serveur peuvent aider un ordinateur à trouver des informations mais
peuvent aussi ralentir les ouvertures de session ou provoquer d’autres délais si l’ordinateur doit vérifier des références à d’autres serveurs LDAP.
Pour spécifier s’il faut ignorer les références de serveur LDAP :
1 Ouvrez l’Utilitaire de répertoire et cliquez sur Services.
2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus pour la déverrouiller et
tapez le nom et le mot de passe d’un administrateur.
3 Dans la liste des services, sélectionnez LDAPv3, puis cliquez sur le bouton Modifier (/).
4 Si la liste des configurations de serveur est masquée, cliquez sur Afficher les options.
5 Sélectionnez une configuration de serveur dans la liste, puis cliquez sur Modifier.
6 Cliquez sur Connexion et cochez la case « Ignorer les références du serveur ».
180
Chapitre 8 Réglages avancés des clients de répertoire
Authentification d’une connexion LDAP
L’Utilitaire de répertoire permet de configurer une connexion authentifiée à un
annuaire LDAP. Cette authentification est unidirectionnelle. L’ordinateur prouve son
identité auprès d’un répertoire LDAP, mais le répertoire LDAP ne prouve pas son
authenticité auprès de l’ordinateur. Pour une authentification mutuelle, consultez la
rubrique « Configuration de la liaison sécurisée pour un annuaire LDAP » à la page 176.
Remarque : si la liaison sécurisée est configurée entre l’ordinateur et l’annuaire LDAP, une
connexion authentifiée serait redondante ; vous ne pouvez donc pas en configurer une.
Pour configurer une connexion LDAPv3 authentifiée :
1 Ouvrez l’Utilitaire de répertoire et cliquez sur Services.
2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus pour la déverrouiller et
tapez le nom et le mot de passe d’un administrateur.
3 Dans la liste des services, sélectionnez LDAPv3, puis cliquez sur le bouton Modifier (/).
4 Si la liste des configurations de serveur est masquée, cliquez sur Afficher les options.
5 Sélectionnez une configuration de serveur dans la liste, puis cliquez sur Modifier.
6 Cliquez sur Sécurité.
7 Cochez la case « Utiliser l’authentification lors de la connexion », puis saisissez le nom
distinctif et le mot de passe d’un utilisateur.
Le nom distinctif peut spécifier tout compte d’utilisateur ayant l’autorisation de voir
les données du répertoire. Par exemple, un compte d’utilisateur dont le nom abrégé
est « authentificateur » sur un serveur LDAP dont l’adresse est ods.exemple.com porte
le nom distinctif uid=authentificateur,cn=utilisateurs,dc=ods,dc=exemple,dc=com.
Important : si le nom distinctif ou le mot de passe est incorrect, personne ne peut
ouvrir une session sur l’ordinateur à l’aide de comptes d’utilisateur provenant de
l’annuaire LDAP.
Modification du mot de passe utilisé pour authentifier une
connexion LDAP
L’Utilitaire de répertoire permet de mettre à jour une connexion LDAP authentifiée
pour qu’elle utilise un mot de passe qui a été modifié sur le serveur LDAP. (Tous les
ordinateurs disposant d’une connexion authentifiée à un serveur LDAP doivent être mis
à jour si le mot de passe utilisé pour authentifier la connexion LDAP est modifié sur
le serveur).
Chapitre 8 Réglages avancés des clients de répertoire
181
Pour modifier le mot de passe pour une connexion LDAP :
1 Ouvrez l’Utilitaire de répertoire et cliquez sur Services.
2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus pour la déverrouiller et
tapez le nom et le mot de passe d’un administrateur.
3 Dans la liste des services, sélectionnez LDAPv3, puis cliquez sur le bouton Modifier (/).
4 Si la liste des configurations de serveur est masquée, cliquez sur Afficher les options.
5 Sélectionnez une configuration de serveur dans la liste, puis cliquez sur Modifier.
6 Cliquez sur Sécurité, puis modifiez le réglage Mot de passe :
 Si le réglage Mot de passe est estompé parce que la case « Utiliser l’authentification
lors de la connexion » est décochée, consultez la rubrique « Authentification d’une
connexion LDAP » à la page 181.
 Si le réglage Mot de passe est estompé parce que la case « Relié à l’annuaire en tant
que » est cochée (mais estompée), cela signifie que la connexion n’est pas authentifiée avec un mot de passe d’utilisateur. La connexion utilise alors plutôt une fiche
d’ordinateur authentifié ou la liaison sécurisée.
Mappage d’attributs d’enregistrement de configuration pour
répertoires LDAP
Pour stocker des informations pour les utilisateurs Mac OS X gérés dans un annuaire
LDAP non-Apple, vous devez mapper les attributs suivants du type de fiche
Config : RealName et DataStamp.
Si vous ne mappez pas ces attributs, le message d’erreur suivant s’affichera lorsque
vous utiliserez Gestionnaire de groupe de travail pour modifier une fiche d’utilisateur
située dans l’annuaire LDAP :
L’attribut nommé “dsRecTypeStandard:Config” n’est pas mappé.
Vous pouvez ignorer ce message si vous n’utilisez pas la gestion de client Mac OS X, qui
dépend des attributs RealName et DataStamp du type Enregistrement de configuration pour la mémoire cache.
182
Chapitre 8 Réglages avancés des clients de répertoire
Modification du mappage RFC 2307 pour activer la création
d’utilisateurs
Pour pouvoir utiliser Gestionnaire de groupe de travail pour créer des utilisateurs sur un
serveur LDAP non-Apple qui utilise des mappages RFC 2307 (UNIX), vous devez modifiez le mappage du type de fiche Utilisateurs. Vous devez pour cela utiliser l’Utilitaire
de répertoire.
Pour activer la création d’enregistrements d’utilisateurs dans un répertoire LDAP
avec mappages RFC 2307 :
1 Ouvrez l’Utilitaire de répertoire et cliquez sur Services.
2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus pour la déverrouiller et
tapez le nom et le mot de passe d’un administrateur.
3 Dans la liste des services, sélectionnez LDAPv3, puis cliquez sur le bouton Modifier (/).
4 Si la liste des configurations de serveur est masquée, cliquez sur Afficher les options.
5 Sélectionnez la configuration de répertoire avec mappages RFC 2307, puis cliquez sur
Modifier.
6 Cliquez sur Recherche et mappages.
7 Sélectionnez Utilisateurs dans la liste de gauche.
Par défaut, « Mapper sur __ éléments listés » est défini sur Quelconque et la liste de
droite contient posixAccount, inetOrgPerson et shadowAccount.
8 Définissez « Mapper sur __ éléments listés » sur Tout, puis modifiez la liste de droite
pour n’inclure que les classes d’objets LDAP vers lesquelles vous voulez mapper le type
de fiche Utilisateurs.
Supprimez par exemple shadowAccount de la liste de sorte que le type de fiche Utilisateurs ne soit mappé que vers posixAccount et inetOrgPerson. Vous pouvez également
mapper le type de fiche Utilisateurs vers account, posixAccount et shadowAccount.
Pour modifier un élément de la liste, double-cliquez dessus. Pour ajouter un élément à
la liste, cliquez sur Ajouter. Pour supprimer l’élément sélectionné de la liste, cliquez sur
Supprimer. Pour modifier l’ordre des éléments répertoriés, faites-les glisser vers le haut
ou le bas de la liste. Vous pouvez rechercher les classes d’objets des fiches d’utilisateur
se trouvant dans l’annuaire LDAP à l’aide de l’outil UNIX ldapsearch dans Terminal.
Par exemple, le code suivant recherche les classes d’objets d’une fiche d’utilisateur dont
l’attribut cn est « Léonard de Vinci » :
$ ldapsearch -x -h ldapserver.exemple.com -b "dc=exemple, dc=com"
’cn=Léonard de Vinci’ objectClass
Cet exemple renverrait les résultats suivants :
# Léonard de Vinci, exemple.com
dn: cn=Léonard de Vinci, dc=exemple, dc=com
objectClass: inetOrgPerson
objectClass: posixAccount
Chapitre 8 Réglages avancés des clients de répertoire
183
Préparation d’un répertoire LDAP en lecture seule pour Mac OS X
Si vous souhaitez qu’un ordinateur Mac OS X puisse lire des données administratives
dans un annuaire LDAP en lecture seule, ces données doivent être au format requis par
Mac OS X. Il vous faudra peut-être ajouter, modifier ou réorganiser les données dans
l’annuaire LDAP en lecture seule.
Dans la mesure où Mac OS X ne peut pas écrire de données dans un répertoire en
lecture seule, vous devez utiliser d’autres outils pour apporter ces modifications.
Ces outils doivent résider sur le serveur qui héberge l’annuaire LDAP en lecture seule.
Pour préparer un répertoire LDAP en lecture seule pour Mac OS X :
1 Accédez au serveur qui héberge le répertoire LDAP en lecture seule et configurez-le
pour qu’il gère l’authentification LDAP et la vérification des mots de passe.
2 Modifiez comme il se doit les classes d’objets et attributs de l’annuaire LDAP afin de
fournir les données nécessaires à Mac OS X.
Pour obtenir des spécifications sur les données requises par les services de répertoire
de Mac OS X, consultez l’annexe, « Données de répertoire Mac OS X ».
Remplissage d’annuaires LDAP avec des données pour Mac OS X
Après avoir configuré l’accès aux domaines de répertoire LDAP et configuré leur
mappage de données, vous pouvez les remplir avec des fiches et des données pour
Mac OS X.Pour les annuaires LDAP qui autorisent l’administration à distance (accès en
lecture/écriture), vous pouvez utiliser l’application Gestionnaire de groupe de travail,
livrée avec Mac OS X Server, de la manière suivante :
 Les points de partage d’identité et les domaines partagés que vous souhaitez monter automatiquement dans les navigateurs de Réseau des utilisateurs (ce que les utilisateurs voient lorsqu’ils cliquent sur Réseau dans la barre latérale d’une fenêtre du
Finder).
Utilisez le module Partage d’Admin Serveur et le module Réseau de Gestionnaire de
groupe de travail. Pour en savoir plus, consultez la section Administration des services
de fichier.
 Définissez les fiches d’utilisateur et de groupe, puis configurez-les.
Utilisez le module Comptes de Gestionnaire de groupe de travail. Pour en savoir plus,
consultez la section Gestion des utilisateurs.
 Définissez les listes d’ordinateurs partageant les mêmes réglages de préférences et
disponibles pour les mêmes utilisateurs et groupes.
Utilisez le module Ordinateurs de Gestionnaire de groupe de travail. Pour en savoir
plus, consultez la section Gestion des utilisateurs.
184
Chapitre 8 Réglages avancés des clients de répertoire
Dans tous les cas, cliquez sur la petite icône de globe au-dessus de la liste des utilisateurs, puis choisissez une option du menu local de Gestionnaire de groupe de travail
pour ouvrir le domaine de répertoire LDAP. Si le répertoire LDAP ne figure pas dans
le menu local, choisissez Autre pour le sélectionner.
Remarque : pour ajouter des fiches et des données à un annuaire LDAP en lecture seule,
vous devez utiliser des outils résidant sur le serveur qui héberge cet annuaire LDAP.
Utilisation des réglages avancés des services Active Directory
Vous pouvez configurer un serveur équipé de Mac OS X Server ou un ordinateur
doté de Mac OS X pour accéder à un domaine Active Directory sur un serveur
Windows 2000 ou Windows 2003.
Pour trouver les descriptions des tâches et des instructions, reportez-vous à :
Â
Â
Â
Â
Â
Â
Â
Â
Â
Â
Â
Â
Â
« À propos de l’accès à Active Directory » à la page 186
« Configuration de l’accès à un domaine Active Directory » à la page 188
« Configuration de comptes d’utilisateur mobiles dans Active Directory » à la page 191
« Configuration de dossiers de départ pour des comptes d’utilisateur Active Directory »
à la page 192
« Configuration d’un shell UNIX pour des comptes d’utilisateur Active Directory » à la
page 193
« Association de l’UID à un attribut Active Directory » à la page 194
« Mappage de l’identifiant de groupe principal vers un attribut Active Directory » à la
page 195
« Mappage de l’identifiant de groupe des comptes de groupe vers un attribut Active
Directory » à la page 196
« Spécification d’un serveur Active Directory préféré » à la page 197
« Modification des groupes Active Directory autorisés à administrer l’ordinateur » à la
page 198
« Contrôle de l’authentification à partir de tous les domaines de la forêt Active Directory »
à la page 199
« Rupture de la liaison avec le serveur Active Directory » à la page 200
« Modification de comptes d’utilisateur et d’autres enregistrements dans Active
Directory » à la page 200
Pour certains réseaux, d’autres méthodes s’avèrent appropriées pour l’accès à un
domaine Active Directory. Consultez la rubrique « Configuration de l’accès LDAP aux
domaines Active Directory » à la page 201.
Chapitre 8 Réglages avancés des clients de répertoire
185
À propos de l’accès à Active Directory
Vous pouvez configurer Mac OS X pour qu’il accède à des informations de compte d’utilisateur élémentaires dans un domaine Active Directory d’un serveur Windows 2000
ou ultérieur. Cela est possible grâce au module Active Directory de l’Utilitaire de
répertoire. Ce module Active Directory figure dans la sous-fenêtre Services de l’Utilitaire
de répertoire.
Il n’est pas nécessaire d’apporter des modifications de schéma au domaine Active Directory pour obtenir des informations de compte d’utilisateur élémentaires. Vous devrez
éventuellement modifier la liste de contrôle d’accès (ACL) par défaut de certains attributs pour que les comptes d’ordinateur puissent lire les propriétés d’utilisateur.
Le module externe Active Directory génère tous les attributs requis pour l’authentification Mac OS X à partir d’attributs standard dans les comptes d’utilisateur Active Directory. Le module prend également en charge les règlements d’authentification Active
Directory, y compris la modification, l’expiration et le changement forcé de mot de
passe, ainsi que les options de sécurité.
Mac OS X 10.5 prend en charge les options de chiffrement et de signature des paquets
pour tous les domaines Windows Active Directory. Cette fonctionnalité est définie par
défaut sur « autoriser ». Vous pouvez modifier ce réglage par défaut pour le définir sur
« désactivé » ou « requis par » à l’aide de l’outil de ligne de commande dsconfigad.
Les options de chiffrement et de signature des paquets garantissent la protection de
toutes les données transitant entre l’ordinateur et le domaine Active Directory lors
des recherches de fiche.
Le module externe Active Directory génère de manière dynamique un identifiant
d’utilisateur unique et un identifiant de groupe principal, basés sur l’identifiant GUID
(Globally Unique ID) du compte d’utilisateur dans le domaine Active Directory. L’identifiant d’utilisateur et l’identifiant de groupe principal générés sont les mêmes pour
chaque compte d’utilisateur, même si le compte est utilisé pour ouvrir une session sur
différents ordinateurs Mac OS X.
Vous pouvez également forcer le module externe Active Directory à associer l’identifiant d’utilisateur à des attributs Active Directory que vous spécifiez.
Le module Active Directory génère un identifiant de groupe d’après le GUID du compte
de groupe Active Directory. Vous pouvez aussi forcer le module externe à mapper
l’identifiant de groupe pour les comptes de groupe vers des attributs Active Directory
que vous spécifiez.
186
Chapitre 8 Réglages avancés des clients de répertoire
Lorsque quelqu’un ouvre une session Mac OS X à l’aide d’un compte d’utilisateur Active
Directory, le module Active Directory peut monter le dossier de départ réseau Windows
défini comme dossier de départ Mac OS X de l’utilisateur dans le compte d’utilisateur
Active Directory. Vous pouvez indiquer s’il faut utiliser le dossier de départ réseau défini
par l’attribut home Directory standard d’Active Directory ou par l’attribut home Directory
de Mac OS X (si le schéma Active Directory a été étendu pour l’inclure).
Vous pouvez aussi configurer le module externe pour qu’il crée un dossier de départ
local sur le volume de démarrage de l’ordinateur client Mac OS X. Dans ce cas, le
module monte aussi le dossier de départ réseau Windows de l’utilisateur (défini dans
le compte d’utilisateur Active Directory) en tant que volume réseau, comme un point
de partage. À l’aide du Finder, l’utilisateur peut alors copier des fichiers entre le volume
réseau du dossier de départ Windows et le dossier de départ Mac OS X local.
Le module externe Active Directory peut aussi créer des comptes mobiles pour les
utilisateurs. Un compte mobile dispose d’un dossier de départ local sur le volume de
démarrage de l’ordinateur client Mac OS X. (L’utilisateur dispose d’un dossier de départ
réseau, comme spécifié dans son compte Active Directory).
Un compte mobile met les informations d’authentification Active Directory de l’utilisateur en mémoire cache sur l’ordinateur client Mac OS X. Les informations d’authentification mises en mémoire cache permettent à l’utilisateur d’ouvrir une session à l’aide
du nom et du mot de passe Active Directory lorsque l’ordinateur client est déconnecté
du serveur Active Directory.
Un compte mobile dispose d’un dossier de départ local sur le volume de démarrage
de l’ordinateur client Mac OS X. (L’utilisateur dispose d’un dossier de départ réseau,
comme spécifié dans le compte Active Directory de l’utilisateur).
Si le schéma Active Directory a été étendu pour inclure les types de fiches (classes
d’objets) et les attributs Mac OS X, le module Active Directory les détecte et y accède.
Par exemple, le schéma Active Directory pourrait être modifié à l’aide d’outils d’administration Windows pour inclure des attributs de client géré Mac OS X. Cette modification du schéma permet au module Active Directory de prendre en charge les réglages
de client géré définis à l’aide de l’application Gestionnaire de groupe de travail de
Mac OS X Server.
Les clients Mac OS X bénéficient d’un accès en lecture complet aux attributs ajoutés
au répertoire. C’est pourquoi il peut s’avérer nécessaire de modifier la liste de contrôle
d’accès de ces attributs pour autoriser des groupes d’ordinateurs à lire ces attributs
ajoutés.
Chapitre 8 Réglages avancés des clients de répertoire
187
Le module Active Directory détecte tous les domaines d’une forêt Active Directory.
Vous pouvez configurer le module pour qu’il autorise les utilisateurs de n’importe
quel domaine de la forêt à s’authentifier sur un ordinateur Mac OS X. Vous pouvez
également autoriser l’authentification de certains domaines uniquement sur le client.
Le module externe Active Directory prend entièrement en charge la réplication et
le basculement Active Directory. Il détecte plusieurs contrôleurs de domaine et détermine le plus proche. Si un contrôleur de domaine devient indisponible, le module
bascule sur un autre contrôleur de domaine proche.
Le module Active Directory utilise LDAP pour accéder aux comptes d’utilisateur Active
Directory et Kerberos pour les authentifier. Le module externe Active Directory n’utilise
pas l’interface propriétaire ADSI (Active Directory Services Interface) de Microsoft pour
accéder aux services de répertoire ou d’authentification.
Configuration de l’accès à un domaine Active Directory
À l’aide du module Active Directory de l’Utilitaire de répertoire, vous pouvez configurer
Mac OS X pour qu’il accède aux informations de compte d’utilisateur élémentaires dans
un domaine Active Directory sur un serveur Windows.
Le module externe Active Directory génère tous les attributs requis pour l’authentification Mac OS X. Aucune modification du schéma Active Directory n’est nécessaire.
Le module Active Directory détecte et accède aux types de fiches et aux attributs
Mac OS X standard (tels que les attributs requis pour la gestion des clients Mac OS X),
si le schéma Active Directory a été étendu pour les inclure.
AVERTISSEMENT : les options avancées du module Active Directory permettent de
mapper l’identifiant d’utilisateur unique (UID), l’identifiant de groupe (GID) principal
et l’attribut d’identifiant de groupe Mac OS X vers les attributs appropriés qui ont été
ajoutés au schéma Active Directory. Si vous modifiez ultérieurement le réglage de ces
options de mappage, les utilisateurs risquent de perdre l’accès aux fichiers créés
précédemment.
Important : si le nom de votre ordinateur contient un trait d’union, vous risquez de ne
pas pouvoir rejoindre ou vous lier à un domaine de répertoire tel que LDAP ou Active
Directory. Pour établir la liaison, utilisez un nom d’ordinateur ne contenant pas de trait
d’union.
188
Chapitre 8 Réglages avancés des clients de répertoire
Pour configurer l’accès à un domaine Active Directory :
1 Ouvrez l’Utilitaire de répertoire et cliquez sur Services.
2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus pour la déverrouiller et
tapez le nom et le mot de passe d’un administrateur.
3 Dans la liste des services, sélectionnez Active Directory, puis cliquez sur le bouton
Modifier (/).
4 Saisissez le nom DNS du domaine Active Directory auquel vous souhaitez lier l’ordinateur que vous êtes en train de configurer.
L’administrateur du domaine Active Directory peut vous communiquer le nom DNS à
saisir.
5 Si nécessaire, modifiez l’identifiant de l’ordinateur.
L’identifiant de l’ordinateur est le nom sous lequel cet ordinateur sera connu dans le
domaine Active Directory ; par défaut, il s’agit du nom de l’ordinateur. Il se peut que
vous deviez le modifier pour vous conformer au schéma défini par votre organisation
pour l’attribution des noms d’ordinateur dans le domaine Active Directory. Si vous
n’êtes pas sûr du nom à saisir, consultez l’administrateur du domaine Active Directory.
6 (Facultatif ) Définissez les options avancées.
Si les options avancées sont masquées, cliquez sur Afficher les options avancées et définissez des options dans les sous-fenêtres Expérience utilisateur, Mappages et Administratif. Vous pouvez aussi modifier ultérieurement les réglages des options avancées.
Pour en savoir plus sur les options avancées, consultez les rubriques suivantes :
 « Configuration de comptes d’utilisateur mobiles dans Active Directory » à la page 191
 « Configuration de dossiers de départ pour des comptes d’utilisateur Active Directory » à
la page 192
 « Configuration d’un shell UNIX pour des comptes d’utilisateur Active Directory » à la
page 193
 « Association de l’UID à un attribut Active Directory » à la page 194
 « Mappage de l’identifiant de groupe principal vers un attribut Active Directory » à la
page 195
 « Mappage de l’identifiant de groupe des comptes de groupe vers un attribut Active
Directory » à la page 196
 « Spécification d’un serveur Active Directory préféré » à la page 197
 « Modification des groupes Active Directory autorisés à administrer l’ordinateur » à la
page 198
 « Contrôle de l’authentification à partir de tous les domaines de la forêt Active Directory »
à la page 199
Chapitre 8 Réglages avancés des clients de répertoire
189
7 Cliquez sur Liaison, utilisez les champs suivants pour vous authentifier en tant qu’utilisateur ayant le droit de relier un ordinateur au domaine Active Directory, sélectionnez
les règles de recherche auxquelles vous souhaitez ajouter Active Directory (voir ci-dessous), puis cliquez sur OK :
 Nom d’utilisateur et mot de passe : vous pouvez vous authentifier en saisissant les
nom et mot de passe de votre compte d’utilisateur Active Directory ; sinon, il se peut
que l’administrateur du domaine Active Directory doive vous fournir un nom et un
mot de passe.
 Clé OU ordinateur : saisissez l’unité organisationnelle (UO) de l’ordinateur que vous
êtes en train de configurer.
 Utiliser pour l’authentification : permet de déterminer si Active Directory doit être
ajouté à la règle de recherche d’authentification de l’ordinateur.
 Utiliser pour les contacts : permet de déterminer si Active Directory doit être ajouté
à la règle de recherche de contacts de l’ordinateur.
Lorsque vous cliquez sur OK, l’Utilitaire de répertoire configure la liaison sécurisée
entre l’ordinateur que vous êtes en train de configurer et le serveur Active Directory.
Les règles de recherche de l’ordinateur sont configurées en fonction des options que
vous avez sélectionnées lorsque vous vous êtes authentifié et Active Directory est
activé dans la sous-fenêtre Services de l’Utilitaire de répertoire.
Avec les réglages par défaut des options avancées d’Active Directory, la forêt Active
Directory est ajoutée aux règles de recherche d’authentification et de contacts de
l’ordinateur si vous avez sélectionné l’option « Utiliser pour l’authentification » ou
« Utiliser pour les contacts ».
Toutefois, si vous désélectionnez l’option « Autoriser l’authentification depuis n’importe
quel domaine de la forêt » dans la sous-fenêtre d’options avancées Administratif avant
de cliquer sur Liaison, c’est le domaine Active Directory le plus proche qui est ajouté,
et non la forêt.
Vous pouvez modifier les règles de recherche ultérieurement en ajoutant ou en supprimant la forêt Active Directory ou des domaines individuels. Pour en savoir plus, consultez la rubrique « Définition de politiques de recherche personnalisées » à la page 153.
8 (Facultatif ) Reliez le serveur au royaume Kerberos Active Directory.
Sur le serveur ou sur un ordinateur administrateur qui peut se connecter au serveur,
ouvrez Admin Serveur et sélectionnez Open Directory pour le serveur. Cliquez sur
Réglages, puis sur Général. Cliquez sur Se connecter à Kerberos, puis choisissez le
royaume Kerberos Active Directory dans le menu local et saisissez les informations
d’authentification d’un administrateur local sur ce serveur.
Pour en savoir plus, consultez la rubrique « Connecter un serveur à un royaume
Kerberos » à la page 119.
190
Chapitre 8 Réglages avancés des clients de répertoire
Configuration de comptes d’utilisateur mobiles dans Active Directory
Vous pouvez activer ou désactiver des comptes d’utilisateur Active Directory mobiles
sur un ordinateur configuré pour utiliser le module Active Directory de l’Utilitaire de
répertoire. Les utilisateurs qui disposent de comptes mobiles peuvent ouvrir une session à l’aide de leurs informations d’authentification Active Directory lorsque l’ordinateur n’est pas connecté au serveur Active Directory.
Le module externe Active Directory met en mémoire cache les informations d’authentification d’un compte mobile d’utilisateur lorsque l’utilisateur ouvre une session alors
que l’ordinateur est connecté au domaine Active Directory. Cette mise en cache des
informations d’authentification ne requiert aucune modification du schéma Active
Directory.
Si le schéma Active Directory a été étendu pour inclure les attributs de client géré
Mac OS X, ces réglages de compte mobile seront utilisés à la place des réglages de
compte mobile du module Active Directory.
Vous pouvez faire en sorte que les comptes mobiles soient créés automatiquement ou
obliger les utilisateurs Active Directory à confirmer la création des comptes mobiles.
Pour activer ou désactiver les comptes mobiles dans un domaine Active Directory :
1 Ouvrez l’Utilitaire de répertoire et cliquez sur Services.
2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus pour la déverrouiller et
tapez le nom et le mot de passe d’un administrateur.
3 Dans la liste des services, sélectionnez Active Directory, puis cliquez sur le bouton
Modifier (/).
4 Si les options avancées sont masquées, cliquez sur Afficher les options avancées.
5 Cliquez sur Expérience utilisateur, puis sur « Créer un compte mobile lors de l’ouverture de session » et, éventuellement, sur « Exiger une confirmation avant de créer un
compte mobile ».
6 Si vous sélectionnez les deux options, chaque utilisateur décide de créer ou non
un compte mobile à l’ouverture de session. Lorsqu’un utilisateur ouvre une session
Mac OS X à l’aide d’un compte d’utilisateur Active Directory, ou lorsqu’il ouvre une session en tant qu’utilisateur réseau, il voit apparaître une zone de dialogue contenant des
commandes permettant de créer immédiatement un compte mobile. Si la première
option est sélectionnée et que la seconde ne l’est pas, les comptes mobiles sont créés
lorsque les utilisateurs ouvrent une session. Si la première option n’est pas sélectionnée, la seconde est désactivée. Cliquez sur OK.
Chapitre 8 Réglages avancés des clients de répertoire
191
Configuration de dossiers de départ pour des comptes d’utilisateur
Active Directory
Sur un ordinateur configuré pour utiliser le module Active Directory de l’Utilitaire de
répertoire, vous pouvez activer ou désactiver les dossiers de départ réseau ou locaux
pour les comptes d’utilisateur Active Directory.
Avec les dossiers de départ réseau, le dossier de départ réseau Windows d’un utilisateur est monté comme le dossier de départ Mac OS X lorsque l’utilisateur ouvre
une session.
Vous pouvez spécifier s’il faut utiliser le dossier de départ réseau défini par l’attribut
homeDirectory standard d’Active Directory ou par l’attribut homeDirectory de
Mac OS X, si le schéma Active Directory a été étendu pour l’inclure.
Avec les dossiers de départ locaux, chaque utilisateur Active Directory qui ouvre une
session d’un dossier de départ sur le disque de démarrage de Mac OS X. De plus, le
dossier de départ réseau de l’utilisateur est monté comme un volume réseau, comme
un point de partage. L’utilisateur peut copier des fichiers entre ce volume réseau et
le dossier de départ local.
Pour configurer des dossiers de départ pour des comptes d’utilisateur Active Directory :
1 Ouvrez l’Utilitaire de répertoire et cliquez sur Services.
2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus pour la déverrouiller et
tapez le nom et le mot de passe d’un administrateur.
3 Dans la liste des services, sélectionnez Active Directory, puis cliquez sur le bouton
Modifier (/).
4 Si les options avancées sont masquées, cliquez sur Afficher les options avancées.
5 Cliquez sur Expérience utilisateur.
6 Cliquez sur « Forcer l’utilisation du répertoire de départ local sur le disque de démarrage »
si vous souhaitez que les comptes d’utilisateur Active Directory aient des dossiers de
départ locaux dans le dossier /Utilisateurs de l’ordinateur.
Cette option n’est pas disponible si la case “Créer un compte mobile lors de l’ouverture
de session” est cochée.
7 Pour utiliser l’attribut standard d’Active Directory pour l’emplacement du dossier de
départ, sélectionnez « Utiliser le chemin UNC depuis Active Directory pour déduire
l’emplacement du répertoire de départ réseau », puis choisissez l’un des protocoles
suivants pour accéder au dossier de départ :
 Pour utiliser le protocole SMB standard de Windows, choisissez smb dans le menu
local « Protocole réseau à utiliser ».
 Pour utiliser le protocole AFP standard de Macintosh, choisissez afp dans le menu
local « Protocole réseau à utiliser ».
192
Chapitre 8 Réglages avancés des clients de répertoire
8 Pour utiliser l’attribut Mac OS X pour l’emplacement du dossier de départ, décochez
la case « Utiliser le chemin UNC depuis Active Directory pour déduire l’emplacement
du répertoire de départ réseau ».
Pour utiliser l’attribut Mac OS X, le schéma Active Directory doit être étendu pour
l’inclure.
9 Cliquez sur OK.
Si vous modifiez le nom d’un compte d’utilisateur dans le domaine Active Directory,
le serveur créera un nouveau dossier de départ (et des sous-dossiers) pour ce compte
d’utilisateur la prochaine fois qu’il sera utilisé pour l’ouverture de session à un ordinateur Mac OS X. L’utilisateur peut toujours atteindre l’ancien dossier de départ et voir
son contenu dans le Finder.
Vous pouvez empêcher la création d’un nouveau dossier de départ en renommant
l’ancien dossier avant la prochaine ouverture de session de l’utilisateur.
Configuration d’un shell UNIX pour des comptes d’utilisateur
Active Directory
Sur un ordinateur configuré pour utiliser le module Active Directory de l’Utilitaire
de répertoire, vous pouvez définir le shell de ligne de commande que les utilisateurs
disposant d’un compte Active Directory utiliseront par défaut lorsqu’ils interagiront
avec Mac OS X dans l’application Terminal.
Le shell par défaut est aussi utilisé pour l’interaction à distance via SSH (Secure Shell)
ou Telnet. Chaque utilisateur peut redéfinir le shell par défaut en changeant une préférence de Terminal.
Pour définir un shell UNIX pour des comptes d’utilisateur Active Directory :
1 Ouvrez l’Utilitaire de répertoire et cliquez sur Services.
2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus pour la déverrouiller et
tapez le nom et le mot de passe d’un administrateur.
3 Dans la liste des services, sélectionnez Active Directory, puis cliquez sur le bouton
Modifier (/).
4 Si les options avancées sont masquées, cliquez sur Afficher les options avancées.
5 Cliquez sur Expérience utilisateur.
6 Sélectionnez « Shell utilisateur par défaut », puis saisissez le chemin du shell utilisateur
par défaut.
7 Cliquez sur OK.
Chapitre 8 Réglages avancés des clients de répertoire
193
Association de l’UID à un attribut Active Directory
Sur un ordinateur configuré pour utiliser le module Active Directory de l’Utilitaire de
répertoire, vous pouvez spécifier l’attribut Active Directory à mapper vers l’attribut
d’identifiant d’utilisateur unique (UID) de Mac OS X.
Généralement, le schéma Active Directory doit être étendu pour inclure un attribut qui
convienne au mappage vers l’UID :
 Si l’administrateur Active Directory étend le schéma Active Directory en installant
les services pour UNIX de Microsoft, vous pouvez mapper l’UID vers l’attribut
msSFU-30-Uid-Number.
 Si l’administrateur Active Directory étend manuellement le schéma Active Directory
pour qu’il contienne les attributs RFC 2307, vous pouvez mapper l’UID vers uidNumber.
 Si l’administrateur Active Directory étend manuellement le schéma Active Directory
pour qu’il contienne l’attribut UniqueID de Mac OS X, vous pouvez mapper l’UID vers
ce dernier.
Si le mappage de l’UID est désactivé, le module Active Directory génère un UID en
fonction de l’attribut GUID standard d’Active Directory.
AVERTISSEMENT : si vous modifiez ultérieurement le mappage de l’UID, les utilisateurs
risquent de perdre l’accès aux fichiers créés précédemment.
Pour mapper l’UID à un attribut d’un schéma Active Directory étendu :
1 Ouvrez l’Utilitaire de répertoire et cliquez sur Services.
2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus pour la déverrouiller et
tapez le nom et le mot de passe d’un administrateur.
3 Dans la liste des services, sélectionnez Active Directory, puis cliquez sur le bouton
Modifier (/).
4 Si les options avancées sont masquées, cliquez sur Afficher les options avancées.
5 Cliquez sur Mappages.
6 Sélectionnez « Mappage UID à attribuer », puis saisissez le nom de l’attribut Active
Directory à mapper vers l’UID.
7 Cliquez sur OK.
194
Chapitre 8 Réglages avancés des clients de répertoire
Mappage de l’identifiant de groupe principal vers un attribut
Active Directory
Sur un ordinateur configuré pour utiliser le module Active Directory de l’Utilitaire de
répertoire, vous pouvez spécifier l’attribut Active Directory à mapper vers l’attribut
d’identifiant de groupe principal (GID) de Mac OS X dans les comptes d’utilisateur.
Généralement, le schéma Active Directory doit être étendu pour inclure un attribut qui
convienne au mappage vers le GID principal :
 Si l’administrateur Active Directory étend le schéma Active Directory en installant les
services pour UNIX de Microsoft, vous pouvez mapper le GID principal vers l’attribut
msSFU-30-Gid-Number.
 Si l’administrateur Active Directory étend manuellement le schéma Active Directory
pour qu’il contienne les attributs RFC 2307, vous pouvez mapper le GID principal vers
gidNumber.
 Si l’administrateur Active Directory étend manuellement le schéma Active Directory
pour qu’il contienne l’attribut PrimaryGroupID de Mac OS X, vous pouvez mapper le
GID principal vers ce dernier.
Si le mappage du GID principal est désactivé, le module Active Directory génère un GID
principal en fonction de l’attribut GUID standard d’Active Directory.
AVERTISSEMENT : si vous modifiez ultérieurement le mappage du GID principal,
les utilisateurs risquent de perdre l’accès aux fichiers créés précédemment.
Chapitre 8 Réglages avancés des clients de répertoire
195
Pour mapper le GID principal à un attribut d’un schéma Active Directory étendu :
1 Ouvrez l’Utilitaire de répertoire et cliquez sur Services.
2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus pour la déverrouiller et
tapez le nom et le mot de passe d’un administrateur.
3 Dans la liste des services, sélectionnez Active Directory, puis cliquez sur le bouton
Modifier (/).
4 Si les options avancées sont masquées, cliquez sur Afficher les options avancées.
5 Cliquez sur Mappages.
6 Sélectionnez « Mappage du GID d’utilisateur à attribuer », puis saisissez le nom de
l’attribut Active Directory à mapper vers l’identifiant de groupe principal dans les
comptes d’utilisateur.
7 Cliquez sur OK.
Mappage de l’identifiant de groupe des comptes de groupe vers un
attribut Active Directory
Sur un ordinateur configuré pour utiliser le module Active Directory de l’Utilitaire de
répertoire, vous pouvez spécifier l’attribut Active Directory à mapper vers l’attribut
d’identifiant de groupe (GID) de Mac OS X dans les comptes de groupe.
Généralement, le schéma Active Directory doit être étendu pour inclure un attribut qui
convienne au mappage vers le GID :
 Si l’administrateur Active Directory étend le schéma Active Directory en installant les
services pour UNIX de Microsoft, vous pouvez mapper le GID vers l’attribut msSFU30-Gid-Number.
 Si l’administrateur Active Directory étend manuellement le schéma Active Directory
pour qu’il inclue les attributs RFC 2307, vous pouvez mapper le GID vers gidNumber.
 Si l’administrateur Active Directory étend manuellement le schéma Active Directory
pour qu’il inclue l’attribut gidNumber de Mac OS X, vous pouvez mapper le GID vers
ce dernier.
Si le mappage du GID est désactivé, le module Active Directory génère un GID en
fonction de l’attribut GUID standard d’Active Directory.
AVERTISSEMENT : si vous modifiez ultérieurement le mappage du GID, les utilisateurs
risquent de perdre l’accès aux fichiers créés précédemment.
196
Chapitre 8 Réglages avancés des clients de répertoire
Pour mapper le GID à un attribut d’un schéma Active Directory étendu :
1 Ouvrez l’Utilitaire de répertoire et cliquez sur Services.
2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus pour la déverrouiller et
tapez le nom et le mot de passe d’un administrateur.
3 Dans la liste des services, sélectionnez Active Directory, puis cliquez sur le bouton
Modifier (/).
4 Si les options avancées sont masquées, cliquez sur Afficher les options avancées.
5 Cliquez sur Mappages.
6 Sélectionnez « Mappage du GID de groupe à attribuer », puis saisissez le nom de
l’attribut Active Directory à mapper vers le GID dans les comptes de groupe.
7 Cliquez sur OK.
Spécification d’un serveur Active Directory préféré
Sur un ordinateur configuré pour utiliser le module Active Directory de l’Utilitaire de
répertoire, vous pouvez spécifier le nom DNS du serveur du domaine Active Directory
auquel l’ordinateur doit accéder par défaut.
Si le serveur devient indisponible, le module Active Directory bascule sur un autre
serveur proche dans la forêt.
Si cette option n’est pas sélectionnée, le module Active Directory détermine le
domaine Active Directory le plus proche dans la forêt.
Pour spécifier un serveur auquel le module Active Directory doit accéder par défaut :
1 Ouvrez l’Utilitaire de répertoire et cliquez sur Services.
2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus pour la déverrouiller et
tapez le nom et le mot de passe d’un administrateur.
3 Dans la liste des services, sélectionnez Active Directory, puis cliquez sur le bouton
Modifier (/).
4 Si les options avancées sont masquées, cliquez sur Afficher les options avancées.
5 Cliquez sur Administratif.
6 Sélectionnez « Préférer ce serveur de domaine », puis saisissez le nom DNS du serveur
Active Directory.
7 Cliquez sur OK.
Chapitre 8 Réglages avancés des clients de répertoire
197
Modification des groupes Active Directory autorisés à administrer
l’ordinateur
Sur un ordinateur configuré pour utiliser le module Active Directory de l’Utilitaire
de répertoire, vous pouvez identifier les comptes de groupe Active Directory dont
les membres doivent avoir des autorisations d’administrateur pour l’ordinateur.
Les utilisateurs qui sont membres de ces comptes de groupe Active Directory peuvent
effectuer des tâches administratives comme, par exemple, installer des logiciels sur
l’ordinateur Mac OS X que vous êtes en train de configurer.
Pour ajouter ou supprimer des comptes de groupe Active Directory dont
les membres ont des autorisations d’administrateur :
1 Ouvrez l’Utilitaire de répertoire et cliquez sur Services.
2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus pour la déverrouiller et
tapez le nom et le mot de passe d’un administrateur.
3 Dans la liste des services, sélectionnez Active Directory, puis cliquez sur le bouton
Modifier (/).
4 Si les options avancées sont masquées, cliquez sur Afficher les options avancées.
5 Cliquez sur Administratif.
6 Sélectionnez « Permettre l’administration par », puis modifiez la liste des comptes
de groupe Active Directory dont les membres doivent avoir des autorisations
d’administrateur :
 Pour ajouter un groupe, cliquez sur le bouton Ajouter (+) et saisissez le nom de
domaine Active Directory, une barre oblique inverse et le nom du compte de groupe
(par exemple, ADS\Domain Admins,IL2\Domain Admins).
 Pour supprimer un groupe, sélectionnez-le dans la liste, puis cliquez sur le bouton
Supprimer (–).
7 Cliquez sur OK.
198
Chapitre 8 Réglages avancés des clients de répertoire
Contrôle de l’authentification à partir de tous les domaines de la forêt
Active Directory
Sur un ordinateur configuré pour utiliser le module Active Directory de l’Utilitaire de
répertoire, vous pouvez autoriser les utilisateurs de la forêt Active Directory à s’authentifier à partir de tous les domaines, ou vous pouvez limiter l’authentification aux utilisateurs de domaines spécifiques.
Pour contrôler si les utilisateurs peuvent s’authentifier depuis tous les domaines de
la forêt :
1 Ouvrez l’Utilitaire de répertoire et cliquez sur Services.
2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus pour la déverrouiller et
tapez le nom et le mot de passe d’un administrateur.
3 Dans la liste des services, sélectionnez Active Directory, puis cliquez sur le bouton
Modifier (/).
4 Si les options avancées sont masquées, cliquez sur Afficher les options avancées.
5 Cliquez sur Administratif.
6 Sélectionnez « Autoriser l’authentification depuis n’importe quel domaine de la forêt ».
Si vous cochez la case “Autoriser l’authentification depuis n’importe quel domaine de la
forêt”, vous pouvez ajouter la forêt Active Directory aux politiques de recherche personnalisées pour l’authentification et les contacts de l’ordinateur. Lorsque vous ajoutez une forêt
Active Directory à une règle de recherche personnalisée, la forêt apparaît dans la liste
des domaines de répertoire disponibles sous la forme « /Active Directory/All Domains ».
(Il s’agit du réglage par défaut).
Si vous désélectionnez la case « Autoriser l’authentification depuis n’importe quel
domaine de la forêt », vous pouvez ajouter des domaines Active Directory aux politiques de recherche personnalisées pour l’authentification et les contacts de l’ordinateur
individuellement. Lorsque vous ajoutez des domaines Active Directory à une règle de
recherche personnalisée, chacun d’eux apparaît séparément dans la liste des domaines
de répertoire disponibles.
7 Cliquez sur OK.
8 Après avoir sélectionné « Autoriser l’authentification depuis n’importe quel domaine de
la forêt », modifiez la règle de recherche personnalisée dans les sous-fenêtres Authentification et Contacts pour inclure la forêt Active Directory ou les domaines sélectionnés.
Pour en savoir plus sur la modification des règles de recherche personnalisées, consultez la rubrique « Définition de politiques de recherche personnalisées » à la page 153.
Chapitre 8 Réglages avancés des clients de répertoire
199
Rupture de la liaison avec le serveur Active Directory
Si l’ordinateur utilise le module Active Directory de l’Utilitaire de répertoire pour se lier
à un serveur Active Directory, vous pouvez rompre cette liaison.
Vous pouvez forcer la rupture de la liaison si l’ordinateur ne parvient pas à contacter
le serveur ou si la fiche d’ordinateur a été supprimée du serveur.
Pour rompre la liaison de l’ordinateur avec le serveur Active Directory :
1 Ouvrez l’Utilitaire de répertoire et cliquez sur Services.
2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus pour la déverrouiller et
tapez le nom et le mot de passe d’un administrateur.
3 Dans la liste des services, sélectionnez Active Directory, puis cliquez sur le bouton
Modifier (/).
4 Cliquez sur Rompre la liaison, authentifiez-vous en tant qu’utilisateur disposant
des droits nécessaires pour rompre une connexion au domaine Active Directory,
puis cliquez sur OK.
Si un avertissement s’affiche pour indiquer que les informations d’authentification ne
sont pas acceptées ou que l’ordinateur ne parvient pas à contacter Active Directory,
cliquez sur « Forcer à rompre le lien » pour forcer la rupture de la connexion.
Si vous forcez la rupture de la liaison, Active Directory disposera toujours d’une fiche
d’ordinateur pour cet ordinateur. Prévenez l’administrateur Active Directory pour qu’il
supprime la fiche d’ordinateur.
5 Dans la sous-fenêtre Services, désélectionnez le réglage Activer d’Active Directory,
puis cliquez sur Appliquer.
Modification de comptes d’utilisateur et d’autres enregistrements
dans Active Directory
Vous pouvez utiliser Gestionnaire de groupe de travail pour modifier les comptes d’utilisateur, les comptes de groupe, les groupes d’ordinateurs et d’autres fiches dans un
domaine Active Directory. Vous pouvez également utiliser Gestionnaire de groupe de
travail pour supprimer des fiches dans un domaine Active Directory.
Si le schéma Active Directory a été étendu pour inclure les types de fiches (classes
d’objets) et les attributs Mac OS X standard, vous pouvez utiliser Gestionnaire de
groupe de travail pour créer et modifier des groupes d’ordinateurs dans le domaine
Active Directory.
Pour en savoir plus sur l’utilisation des comptes d’utilisateur, des comptes de groupe et
des groupes d’ordinateurs, consultez le guide Gestion des utilisateurs.
Pour créer des comptes d’utilisateur ou de groupe dans un domaine Active Directory,
utilisez les outils d’administration Active Directory de Microsoft sur un ordinateur
d’administration serveur Windows.
200
Chapitre 8 Réglages avancés des clients de répertoire
Configuration de l’accès LDAP aux domaines Active Directory
L’Utilitaire de répertoire vous permet de définir une configuration LDAPv3 afin d’accéder à un domaine Active Directory situé sur un serveur Windows. Une configuration
LDAPv3 vous donne un contrôle total sur le mappage des types de fiches et des attributs Mac OS X vers les classes d’objets, bases de recherche et attributs Active Directory.
Le mappage de certains types de fiches et d’attributs Mac OS X importants, tels que
l’UID (identifiant d’utilisateur unique), nécessite l’extension du schéma Active Directory.
Les fonctionnalités suivantes du module Active Directory de l’Utilitaire de répertoire ne
sont pas incluses dans les configurations LDAPv3 :
 génération dynamique d’un identifiant d’utilisateur unique et d’un identifiant de
groupe principal ;
 création d’un dossier de départ Mac OS X local ;
 montage automatique d’un dossier de départ Windows ;
 comptes d’utilisateur mobiles avec mise en cache des informations
d’authentification ;
 détection de tous les domaines d’une forêt Active Directory ;
 prise en charge de la réplication et du basculement Active Directory.
Pour en savoir plus, consultez la rubrique « À propos de l’accès à Active Directory » à la
page 186.
Pour créer une configuration de serveur Active Directory :
1 Ouvrez l’Utilitaire de répertoire et cliquez sur Services.
2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus pour la déverrouiller et
tapez le nom et le mot de passe d’un administrateur.
3 Dans la liste des services, sélectionnez LDAPv3, puis cliquez sur le bouton Modifier (/).
4 Cliquez sur Nouveau et saisissez le nom DNS ou l’adresse IP du serveur Active Directory.
5 Sélectionnez une ou plusieurs des options suivantes pour l’accès au répertoire,
puis cliquez sur Continuer pour que l’Utilitaire de répertoire obtienne des informations
auprès du serveur Active Directory.
 Sélectionnez « Chiffrer via SSL » si vous souhaitez qu’Open Directory utilise le protocole SSL pour les connexions avec le serveur Active Directory. Avant de cocher la case
SSL, demandez à votre administrateur Open Directory si le protocole SSL est requis.
 Sélectionnez « Utiliser pour l’authentification » si ce répertoire contient des comptes
d’utilisateur que quelqu’un va utiliser pour l’ouverturede session ou l’authentification à des services.
 Cochez la case « Utiliser pour les contacts » si ce répertoire contient des adresses
électroniques et d’autres informations que vous souhaitez utiliser dans Carnet
d’adresses.
Chapitre 8 Réglages avancés des clients de répertoire
201
Si l’Utilitaire de répertoire ne parvient pas à contacter le serveur Active Directory, un
message s’affiche et vous devez alors configurer l’accès manuellement ou annuler le
processus de configuration. Pour en savoir plus, consultez la rubrique « Configuration
manuelle de l’accès à un répertoire LDAP » à la page 163.
Si vous avez sélectionné l’option « Utiliser pour l’authentification » ou « Utiliser pour
les contacts », la connexion LDAPv3 au domaine Active Directory est ajoutée à une
règle de recherche personnalisée dans la sous-fenêtre Authentification ou Contacts
de l’Utilitaire de répertoire.
Assurez-vous que LDAPv3 est activé dans la sous-fenêtre Services afin que l’ordinateur
utilise la connexion que vous configurez. Pour en savoir plus, consultez la rubrique
« Activation ou désactivation des services de répertoires LDAP » à la page 156.
6 Si la zone de dialogue se développe pour afficher des options de mappage, choisissez
Active Directory dans le menu local, saisissez la base de recherche, puis cliquez sur
Continuer.
Le modèle de mappage Active Directory pour une configuration LDAPv3 mappe certains attributs et types d’enregistrements Mac OS X vers des classes d’objets et des attributs qui ne font pas partie d’un schéma Active Directory standard. Il est possible de
modifier les mappages définis par le modèle ou d’étendre le schéma Active Directory.
Vous pouvez également accéder à votre domaine Active Directory via le module Active
Directory et non via LDAPv3. Pour en savoir plus, consultez « Configuration de l’accès à
un domaine Active Directory ».
7 Lorsque la zone de dialogue se développe pour afficher des options de connexion,
saisissez le nom distinctif et le mot de passe d’un compte d’utilisateur Active Directory.
8 Cliquez sur OK pour terminer la création de la connexion LDAP.
9 Cliquez sur OK pour terminer la configuration des options LDAPv3.
Définition des réglages NIS
L’Utilitaire de répertoire permet de créer une configuration définissant la manière dont
Mac OS X accède à un domaine NIS (Network Information Service).
Pour créer une configuration d’accès à un domaine NIS :
1 Ouvrez l’Utilitaire de répertoire et cliquez sur Services.
2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus pour la déverrouiller et
tapez le nom et le mot de passe d’un administrateur.
3 Dans la liste des services, sélectionnez « Fichier plat BSD et NIS », puis cliquez sur
le bouton Modifier (/).
202
Chapitre 8 Réglages avancés des clients de répertoire
4 Saisissez le nom du domaine NIS, ou le nom DNS ou l’adresse IP du serveur sur lequel
se trouve le domaine NIS.
Incluez le nom d’hôte ou l’adresse IP du serveur NIS s’il est nécessaire pour des raisons
de sécurité ou si le serveur n’est pas sur le même sous-réseau que l’ordinateur que vous
êtes en train de configurer.
Si vous ne spécifiez pas de serveur, NIS utilise un protocole Broadcast pour détecter un
serveur NIS sur le sous-réseau.
5 Cochez la case “Utiliser le domaine NIS pour l’authentification”, puis cliquez sur OK.
Le domaine NIS est ajouté à la règle de recherche d’authentification de l’ordinateur
sous la forme /BSD/domaine, où domaine correspond au nom que vous avez saisi à
l’étape 4.
Définition des réglages de fichier de configuration BSD
Les ordinateurs UNIX stockent traditionnellement les données administratives dans
des fichiers de configuration tels que /etc/master.passwd, /etc/group et /etc/hosts.
Mac OS X est basé sur une version BSD d’UNIX, mais reçoit les données administratives
normalement de systèmes de répertoire.
Mac OS X Server prend en charge un jeu fixe de fichiers de configuration BSD. Vous ne
pouvez pas spécifier les fichiers de configuration à utiliser, ni mapper leur contenu vers
des attributs et types d’enregistrements Mac OS X.
Dans Mac OS X 10.2 ou ultérieur (y compris Mac OS X Server 10.2 ou ultérieur), Open
Directory peut lire des données administratives à partir de fichiers de configuration BSD.
Cette fonction permet aux organisations disposant de fichiers de configuration BSD
d’utiliser des copies des fichiers existants sur les ordinateurs Mac OS X. Les fichiers de
configuration BSD peuvent être utilisés seuls ou avec d’autres domaines de répertoire.
Pour utiliser des fichiers de configuration BSD :
1 Assurez-vous que les fichiers de configuration BSD contiennent les données requises
par les services de répertoire Mac OS X.
Pour en savoir plus, consultez la rubrique « Configuration de données dans des fichiers
de configuration BSD » à la page 204.
2 Ouvrez l’Utilitaire de répertoire et cliquez sur Services.
3 Si l’icône représentant le cadenas est verrouillée, cliquez dessus pour la déverrouiller et
tapez le nom et le mot de passe d’un administrateur.
4 Dans la liste des services, sélectionnez « Fichier plat BSD et NIS », puis cliquez sur
le bouton Modifier (/).
Chapitre 8 Réglages avancés des clients de répertoire
203
5 Sélectionnez « Utiliser les fichiers locaux BSD (/etc) pour l’authentification », puis cliquez
sur OK.
Le domaine des fichiers de configuration BSD est ajouté à la politique de recherche
d’authentification de l’ordinateur comme /BSD/local.
Configuration de données dans des fichiers de configuration BSD
Si vous voulez qu’un ordinateur Mac OS X lise des données administratives à partir de
fichiers de configuration BSD, ces données doivent être présentes dans ces fichiers et
doivent être au format requis par Mac OS X.
Vous pouvez être amené à ajouter, modifier ou réorganiser des données dans les
fichiers. Gestionnaire de groupe de travail ne pouvant modifier les données des fichiers
de configuration BSD, vous devez procéder aux modifications nécessaires à l’aide d’un
éditeur de texte ou d’un autre outil.
Le tableau suivant répertorie les noms des fichiers et décrit leur contenu.
Fichier de configuration BSD
Contient
/etc/master.passwd ;
Noms d’utilisateur, mots de passe, identifiants, identifiants de
groupe principal, etc.
/etc/group ;
Noms de groupe, identifiants et membres
/etc/fstab.
Montages NFS
/etc/hosts ;
Noms et adresses d’ordinateur
/etc/networks
Noms et adresses de réseau
/etc/services
Noms de service, ports et protocoles
/etc/protocols
Noms et numéros des protocoles IP
/etc/rpcs
Serveurs RPC Open Network Computing
/etc/printcap
Noms et fonctionnalités d’imprimante
/etc/bootparams
Réglages Bootparam
/etc/bootp
Réglages Bootp
/etc/aliases
Alias et listes de distribution de Mail
/etc/netgroup
Noms de groupe et membres à l’échelle du réseau
Pour en savoir plus sur les données requises par les services de répertoire de Mac OS X,
consultez l’annexe « Données de répertoire Mac OS X ».
204
Chapitre 8 Réglages avancés des clients de répertoire
9
Maintenance des services
Open Directory
9
Vous pouvez contrôler les services Open Directory, afficher
et modifier les données brutes des domaines Open Directory
et effectuer une sauvegarde des fichiers Open Directory.
Voici les principales tâches que vous aurez à effectuer régulièrement dans le cadre de
la gestion des services Open Directory :
 « Contrôle de l’accès aux serveurs et services Open Directory » à la page 205
 « Contrôle d’Open Directory » à la page 209
 « Affichage et modification des données de répertoire » à la page 212
 « Importation d’enregistrements de tous types » à la page 217
 « Définition des options d’un serveur Open Directory » à la page 217
 « Gestion de la réplication Open Directory » à la page 224
 « Archivage d’un maître Open Directory » à la page 230
 « Restauration d’un maître Open Directory » à la page 231
Pour obtenir des informations sur la résolution des problèmes liés à Open Directory,
consultez la rubrique « Résolution de problèmes liés à Open Directory » à la page 235.
Contrôle de l’accès aux serveurs et services Open Directory
Vous pouvez contrôler l’accès à un maître ou à une réplique Open Directory en contrôlant quelles personnes peuvent ouvrir une session à l’aide de la fenêtre d’ouverture de
session ou de l’outil de ligne de commande ssh. Pour en savoir plus, consultez :
 « Contrôle de l’accès à la fenêtre d’ouverture de session d’un serveur » à la page 206
 « Contrôle de l’accès au service SSH » à la page 206
 « Configuration du contrôle d’accès à un service » à la page 207
 « Configuration de privilèges de fiche » à la page 208
205
Contrôle de l’accès à la fenêtre d’ouverture de session d’un serveur
Vous pouvez utiliser Admin Serveur pour contrôler quels utilisateurs peuvent ouvrir
une session Mac OS X Server à l’aide de la fenêtre d’ouverture de session. Les utilisateurs disposant d’autorisations d’administrateur de serveur sont toujours autorisés à
ouvrir une session sur le serveur.
Pour contrôler l’utilisation de la fenêtre d’ouverture de session sur un serveur :
1 Ouvrez Admin Serveur et connectez-vous au serveur.
2 Cliquez sur Réglages, puis sur Accès.
3 Cliquez sur Services.
4 Sélectionnez « Pour les services sélectionnés », puis choisissez « Fenêtre d’ouverture de
session » dans la liste de gauche.
5 Sélectionnez « Autoriser les utilisateurs et groupes ci-dessous », puis modifiez la liste
des utilisateurs et des groupes que vous souhaitez autoriser à ouvrir une session à
l’aide de la fenêtre d’ouverture de session du serveur :
 Ajoutez les utilisateurs ou groupes qui peuvent utiliser la fenêtre d’ouverture de session en cliquant sur le bouton Ajouter (+) et en fournissant les informations requises.
 Supprimez des utilisateurs ou des groupes de la liste en en sélectionnant un ou
plusieurs, puis en cliquant sur le bouton Supprimer (–).
6 Cliquez sur Enregistrer.
Si la case « Autoriser tous les utilisateurs et groupes » est cochée lorsque vous sélectionnez « Pour les services sélectionnés » à l’étape 4, tous les services à l’exception de
la fenêtre d’ouverture de session seront accessibles à tous les utilisateurs et groupes.
Si vous souhaitez restreindre l’accès à un service énuméré dans la liste en plus de la
fenêtre d’ouverture de session, sélectionnez-le, cochez la case « Autoriser les utilisateurs et groupes ci-dessous », puis ajoutez des utilisateurs et des groupes à la liste.
Si vous souhaitez que tous les utilisateurs puissent ouvrir une session à l’aide de
la fenêtre d’ouverture de session du serveur, sélectionnez « Fenêtre d’ouverture
de session », puis cochez la case « Autoriser tous les utilisateurs et groupes ».
Contrôle de l’accès au service SSH
Vous pouvez utiliser Admin Serveur pour contrôler les utilisateurs qui peuvent ouvrir
une connexion par la ligne de commande à Mac OS X Server à l’aide de la commande
ssh dans Terminal. Les utilisateurs disposant d’autorisations d’administrateur de serveur sont toujours autorisés à se connecter à l’aide de la commande ssh.
La commande ssh utilise le service SSH (Secure Shell). Pour en savoir plus sur l’utilisation de la commande ssh, consultez le document Administration de ligne de commande.
206
Chapitre 9 Maintenance des services Open Directory
Pour contrôler l’ouverture d’une connexion SSH à un serveur distant :
1 Ouvrez Admin Serveur et connectez-vous au serveur.
2 Cliquez sur Réglages, puis sur Accès.
3 Cliquez sur Services.
4 Sélectionnez « Pour les services sélectionnés », puis choisissez SSH dans la liste de gauche.
5 Sélectionnez « Autoriser les utilisateurs et groupes ci-dessous », puis modifiez la liste
des utilisateurs et des groupes que vous souhaitez autoriser à se connecter au serveur
via SSH :
 Ajoutez les utilisateurs ou groupes autorisés à ouvrir des connexions SSH en cliquant
sur le bouton Ajouter (+) et en fournissant les informations requises.
 Supprimez des utilisateurs ou des groupes de la liste en en sélectionnant un ou
plusieurs, puis en cliquant sur le bouton Supprimer (–).
6 Cliquez sur Enregistrer.
Si la case « Autoriser tous les utilisateurs et groupes » est cochée lorsque vous sélectionnez « Pour les services sélectionnés » à l’étape 4, tous les services à l’exception de
SSH seront accessibles à tous les utilisateurs et groupes.
Si vous souhaitez restreindre l’accès à un service énuméré dans la liste en plus de SSH,
sélectionnez-le, cochez la case « Autoriser les utilisateurs et groupes ci-dessous »,
puis ajoutez des utilisateurs et des groupes à la liste.
Si vous souhaitez que tous les utilisateurs puissent ouvrir une connexion SSH avec
le serveur, sélectionnez SSH, puis cochez la case « Autoriser tous les utilisateurs et
groupes ».
Configuration du contrôle d’accès à un service
Vous pouvez configurer des listes de contrôle d’accès à un service (SACL) à l’aide
d’Admin Serveur. Les SACL vous permettent de spécifier quels administrateurs ont
accès à Open Directory.
Les SACL offrent une plus grande souplesse pour la définition des administrateurs
autorisés à contrôler et à gérer le service. Seuls les utilisateurs et les groupes qui figurent dans une SACL ont accès au service en question. Par exemple, si vous souhaitez
accorder un accès administrateur à des utilisateurs ou groupes pour le service Open
Directory sur votre serveur, vous pouvez les ajouter à la SACL Open Directory.
Chapitre 9 Maintenance des services Open Directory
207
Pour définir des autorisations d’administrateur SACL pour le service Open Directory :
1 Ouvrez Admin Serveur et connectez-vous au serveur.
2 Cliquez sur Réglages, puis sur Accès.
3 Cliquez sur Administrateurs.
4 Sélectionnez le niveau de restriction souhaité pour les services.
Pour restreindre l’accès à tous les services, sélectionnez « Pour tous les services ».
Pour définir des autorisations d’accès pour des services individuels, sélectionnez « Pour
les services sélectionnés », puis choisissez Open Directory dans la liste des services.
5 Cliquez sur le bouton Ajouter (+) pour ouvrir le volet Utilisateurs et groupes.
6 Faites glisser des utilisateurs et des groupes du volet Utilisateurs et groupes vers la liste.
7 Définissez l’autorisation des utilisateurs.
Pour accorder un accès administrateur, choisissez Administrateur dans le menu local
Autorisation situé en regard du nom d’utilisateur.
Pour accorder un accès de contrôle, choisissez Surveiller dans le menu local Autorisation
situé en regard du nom d’utilisateur.
8 Cliquez sur Enregistrer.
Configuration de privilèges de fiche
Vous pouvez configurer des privilèges de fiche à l’aide d’Admin Serveur. Ces privilèges
vous permettent de spécifier les utilisateurs ou groupes autorisés à administrer les
types de fiches et les attributs dans la base de données du domaine de répertoire.
Pour configurer des privilèges pour des types de fiches et des attributs :
1 Ouvrez Admin Serveur et connectez-vous au serveur.
2 Cliquez sur le triangle se trouvant à gauche du serveur.
La liste des services apparaît.
3 Dans la liste Serveurs développée, sélectionnez Open Directory.
4 Cliquez sur Réglages, puis sur Autorisations.
5 Dans la liste Enregistrement, sélectionnez les types de fiches et les attributs que
les utilisateurs ou groupes pourront administrer.
Administrer signifie que l’utilisateur peut modifier les caractéristiques d’une fiche existante.
Pour autoriser les utilisateurs sélectionnés à administrer toutes les fiches, sélectionnez
« Pour toutes les fiches ».
Pour autoriser les utilisateurs sélectionnés à administrer des fiches spécifiques,
sélectionnez « Pour les fiches sélectionnées », puis choisissez les fiches que vos
utilisateurs pourront administrer.
6 Cliquez sur le bouton Ajouter (+) pour ouvrir le volet Utilisateurs et groupes.
208
Chapitre 9 Maintenance des services Open Directory
7 Faites glisser des utilisateurs et des groupes du volet Utilisateurs et groupes vers la liste.
Les utilisateurs que vous ajoutez à la liste auront l’autorisation d’administrer la fiche en
question.
8 Dans la liste Enregistrement, sélectionnez les types de fiches et les attributs que
les utilisateurs ou groupes pourront créer.
Créer signifie que l’utilisateur pourra créer le type de fiche en question (par exemple,
créer une salle de conférence).
Pour autoriser les utilisateurs sélectionnés à créer toutes les fiches, sélectionnez
« Pour toutes les fiches ».
Pour autoriser les utilisateurs sélectionnés à créer des fiches spécifiques, sélectionnez
« Pour les fiches sélectionnées », puis choisissez les fiches que vos utilisateurs pourront
créer.
9 Cliquez sur le bouton Ajouter (+) pour ouvrir le volet Utilisateurs et groupes.
10 Faites glisser des utilisateurs et des groupes du volet Utilisateurs et groupes vers la liste.
Les utilisateurs que vous ajoutez à la liste auront l’autorisation de créer la fiche en question.
11 Cliquez sur Enregistrer.
Contrôle d’Open Directory
Vous pouvez afficher les états et les historiques d’Open Directory. Vous pouvez également examiner les historiques d’authentification Open Directory pour y chercher des
traces d’activités suspectes.
Pour obtenir des instructions, consultez les rubriques suivantes :
 « Contrôle de l’état d’un serveur Open Directory » à la page 210
 « Contrôle des répliques et des relais d’un maître Open Directory » à la page 210
 « Affichage des états et des historiques Open Directory » à la page 211
 « Contrôle de l’authentification Open Directory » à la page 211
Chapitre 9 Maintenance des services Open Directory
209
Contrôle de l’état d’un serveur Open Directory
Vous pouvez contrôler le bon fonctionnement du maître Open Directory à l’aide
d’Admin Serveur.
Pour contrôler l’état d’un serveur Open Directory :
1 Ouvrez Admin Serveur et connectez-vous au serveur.
2 Cliquez sur le triangle se trouvant à gauche du serveur.
La liste des services apparaît.
3 Dans la liste Serveurs développée, sélectionnez Open Directory.
4 Cliquez sur Vue d’ensemble.
5 Assurez-vous que l’état de tous les éléments répertoriés dans la sous-fenêtre d’aperçu
Open Directory est bien « En service ».
Si l’un ou l’autre des éléments est arrêté, cliquez sur Réactualiser (ou choisissez
Présentation > Réactualiser). Si Kerberos reste arrêté, consultez la rubrique
« Si Kerberos est arrêté sur un maître ou une réplique Open Directory » à la page 235.
Contrôle des répliques et des relais d’un maître Open Directory
Grâce à Admin Serveur, vous pouvez contrôler l’état de la création de répliques et de
la réplication en cours.
Pour contrôler les répliques et les relais d’un maître Open Directory :
1 Ouvrez Admin Serveur et connectez-vous au serveur.
2 Cliquez sur le triangle se trouvant à gauche du serveur.
La liste des services apparaît.
3 Dans la liste Serveurs développée, sélectionnez Open Directory.
4 Cliquez sur Réglages puis sur Général pour afficher la liste des répliques et l’état de
chacune d’elles.
L’état d’une nouvelle réplique indique si sa création a réussi. Ensuite, l’état indique si
la dernière tentative de réplication a réussi.
210
Chapitre 9 Maintenance des services Open Directory
Affichage des états et des historiques Open Directory
Vous pouvez utiliser Admin Serveur pour afficher les informations d’état et les historiques
des services Open Directory. Les historiques suivants sont disponibles :
 Historique du serveur de services de répertoires
 Historique des erreurs des services de répertoires
 Historique kadmin
 Historique kdc
 LDAPhistorique
 Historique du serveur du service de mot de passe
 Historique des erreurs du service de mot de passe
 Historique de réplication du service de mot de passe
 Historique slapconfig
Pour visualiser des historiques ou des états de services de répertoires :
1 Ouvrez Admin Serveur et connectez-vous au serveur.
2 Cliquez sur le triangle se trouvant à gauche du serveur.
La liste des services apparaît.
3 Dans la liste Serveurs développée, sélectionnez Open Directory.
4 Cliquez sur Vue d’ensemble pour afficher les informations d’état.
5 Cliquez sur Historiques et utilisez le menu local Afficher pour choisir l’historique que
vous souhaitez consulter.
Le chemin d’accès au fichier d’historique est affiché au-dessus de l’historique.
6 Si vous le souhaitez, vous pouvez saisir du texte dans le champ Filtre et appuyer sur
Retour pour n’afficher que les lignes contenant le texte que vous avez saisi.
Contrôle de l’authentification Open Directory
Vous pouvez utiliser les historiques du service de mot de passe, que vous pouvez consulter à l’aide d’Admin Serveur, pour contrôler les tentatives d’ouverture de session
ayant échoué et ainsi identifier les activités suspectes.
Open Directory consigne les échecs d’authentification dans des historiques, y compris
les adresses IP qui les ont générés. Réexaminez régulièrement les historiques afin de
déterminer s’il existe un grand nombre de tentatives infructueuses pour un même
identifiant de mot de passe, ce qui indiquerait qu’une personne est peut-être en train
d’essayer de deviner des mots de passe.
Chapitre 9 Maintenance des services Open Directory
211
Pour afficher les historiques d’authentification Open Directory :
1 Ouvrez Admin Serveur et connectez-vous au serveur.
2 Cliquez sur le triangle se trouvant à gauche du serveur.
La liste des services apparaît.
3 Dans la liste Serveurs développée, sélectionnez Open Directory.
4 Cliquez sur Historiques, puis choisissez l’historique kdc ou un historique du service de
mot de passe dans le menu local Afficher.
Affichage et modification des données de répertoire
Vous pouvez afficher ou modifier les données de répertoire brutes à l’aide de l’Inspecteur dans Gestionnaire de groupe de travail. À l’aide de l’Inspecteur, vous pouvez afficher les données de répertoire que vous ne pouvez pas consulter autrement dans
Gestionnaire de groupe de travail.
L’Inspecteur vous permet de modifier les données de répertoire que vous ne pouvez
pas modifier autrement dans Gestionnaire de groupe de travail. Vous pouvez, par
exemple, utiliser l’Inspecteur pour modifier le nom abrégé d’un utilisateur.
Pour en savoir plus, consultez :
 « Affichage de l’Inspecteur de répertoire » à la page 212
 « Masquage de l’inspecteur de répertoire » à la page 213
 « Définition de contrôles d’accès aux répertoires (DAC, Directory Access Controls) » à
la page 213
 « Suppression d’enregistrements » à la page 214
 « Suppression d’utilisateurs ou d’ordinateurs à l’aide de l’Inspecteur ou de la ligne de
commande » à la page 215
 « Modification du nom abrégé d’un utilisateur » à la page 216
Affichage de l’Inspecteur de répertoire
Vous pouvez afficher l’Inspecteur dans Gestionnaire de groupe de travail en sélectionnant une option dans les Préférences de Gestionnaire de groupe de travail. Vous pouvez ensuite accéder à l’Inspecteur pour visualiser ou modifier des données de
répertoire brutes.
AVERTISSEMENT : la modification de données de répertoire brutes peut avoir des
conséquences imprévisibles et indésirables. Vous pourriez involontairement
désactiver un utilisateur ou un ordinateur, ou autoriser les utilisateurs à accéder à
un nombre plus élevé de ressources que prévu.
212
Chapitre 9 Maintenance des services Open Directory
Pour afficher l’Inspecteur :
1 Ouvrez Gestionnaire de groupe de travail.
2 Choisissez Gestionnaire de groupe de travail > Préférences.
3 Sélectionnez “Afficher l’inspecteur et l’onglet Toutes les fiches”, puis cliquez sur OK.
4 Pour afficher les attributs d’utilisateur, de groupe, d’ordinateur ou de groupe d’ordinateurs, cliquez sur le bouton Utilisateurs, Groupe, Ordinateur ou Groupe d’ordinateurs,
puis sur Inspecteur (à droite).
5 Pour afficher d’autres types de fiches, cliquez sur le bouton Toutes les fiches en regard
du bouton Groupe d’ordinateurs, puis choisissez un type de fiche dans le menu local
situé en haut de la liste.
Le menu local affiche tous les types d’enregistrement standard qui existent dans le
domaine de répertoire. Vous pouvez également choisir Natif dans le menu local, puis
saisir le nom d’une fiche d’origine dans le champ qui apparaît sous le menu local. La
liste affiche toutes les fiches, y compris les fiches prédéfinies, du type de fiche sélectionné.
Masquage de l’inspecteur de répertoire
Si l’Inspecteur est visible dans Gestionnaire de groupe de travail, vous pouvez le masquer
en modifiant une option dans les Préférences de Gestionnaire de groupe de travail.
Pour masquer l’Inspecteur :
1 Ouvrez Gestionnaire de groupe de travail.
2 Choisissez Gestionnaire de groupe de travail > Préférences.
3 Désélectionnez “Afficher l’inspecteur et l’onglet Toutes les fiches”, puis cliquez sur OK.
Définition de contrôles d’accès aux répertoires (DAC, Directory
Access Controls)
Open Directory permet de définir des contrôles d’accès aux répertoires (DAC) pour
toutes les parties de l’annuaire LDAP ; vous pouvez ainsi spécifier quels utilisateurs
sont autorisés à apporter des modifications et ce qu’ils sont autorisés à modifier.
Open Directory stocke les contrôles d’accès aux répertoires dans une fiche apple-acl
que vous pouvez modifier à l’aide de l’Inspecteur de Gestionnaire de groupe de travail.
Pour modifier les contrôles d’accès aux répertoires :
1 Ouvrez Gestionnaire de groupe de travail et affichez l’Inspecteur s’il est masqué.
Pour en savoir plus, consultez la rubrique « Affichage de l’Inspecteur de répertoire » à la
page 212.
2 Ouvrez le domaine de répertoire pour lequel vous souhaitez définir des contrôles
d’accès et authentifiez-vous comme administrateur du domaine.
Pour ouvrir un domaine de répertoire, cliquez sur l’icône de globe au-dessus de la liste
des utilisateurs, puis choisissez un domaine dans le menu local.
Chapitre 9 Maintenance des services Open Directory
213
3 Cliquez sur le bouton Toutes les fiches (en regard du bouton Groupe d’ordinateurs),
puis choisissez AccessControls dans le menu local situé en haut de la liste.
4 Sélectionnez « par défaut » dans la liste des fiches.
5 Sélectionnez AccessControlEntry dans la liste des attributs ; si un triangle est visible
en regard d’AccessControlEntry, cliquez dessus pour afficher toutes les entrées de
contrôle d’accès.
6 Sélectionnez AccessControlEntry, puis cliquez sur Modifier pour changer la valeur ou
cliquez sur Nouvelle valeur pour ajouter une valeur AccessControlEntry.
Vous pouvez aussi double-cliquer sur une valeur pour la modifier.
7 Cliquez sur Enregistrer.
Suppression d’enregistrements
Vous pouvez utiliser l’Inspecteur de Gestionnaire de groupe de travail pour supprimer
une fiche.
AVERTISSEMENT : après avoir utilisé l’Inspecteur pour supprimer une fiche d’utilisateur
ou d’ordinateur, utilisez les outils de ligne de commande pour supprimer l’identité
Kerberos et le logement de serveur de mots de passe correspondants. Si vous
conservez une identité Kerberos ou un logement de serveur de mots de passe après
avoir supprimé la fiche correspondante, des conflits peuvent se produire
ultérieurement lors de la création d’une fiche d’utilisateur ou d’ordinateur.
AVERTISSEMENT : la suppression d’enregistrements peut provoquer un
comportement désordonné du serveur ou son arrêt. Ne supprimez une fiche que si
vous êtes sûr qu’elle n’est pas requise pour le bon fonctionnement du serveur.
Pour supprimer des enregistrements avec l’Inspecteur :
1 Ouvrez Gestionnaire de groupe de travail et affichez l’Inspecteur s’il est masqué.
Pour en savoir plus, consultez la rubrique « Affichage de l’Inspecteur de répertoire » à la
page 212.
2 Ouvrez le domaine de répertoire dans lequel vous souhaitez supprimer une fiche,
puis authentifiez-vous en tant qu’administrateur du domaine.
Pour ouvrir un domaine de répertoire, cliquez sur l’icône de globe au-dessus de la liste
des utilisateurs, puis choisissez un domaine dans le menu local.
3 Cliquez sur le bouton Toutes les fiches (en regard du bouton Groupe d’ordinateurs),
puis choisissez un type de fiche dans le menu local situé en haut de la liste.
4 Sélectionnez la ou les fiches à supprimer dans la liste des fiches.
5 Cliquez sur Supprimer (ou choisissez Serveur > Supprimer les fiches sélectionnées).
214
Chapitre 9 Maintenance des services Open Directory
Suppression d’utilisateurs ou d’ordinateurs à l’aide de l’Inspecteur ou
de la ligne de commande
Si vous utilisez l’Inspecteur dans Gestionnaire de groupe de travail ou les outils de ligne
de commande dans Terminal pour supprimer une fiche d’utilisateur ou d’ordinateur
dont l’attribut AuthenticationAuthority inclut une valeur Kerberos ou de serveur de
mots de passe, vous devez supprimer l’identité Kerberos et le logement de serveur de
mots de passe correspondants.
Si vous conservez une identité Kerberos dans le centre de distribution de clés Kerberos
ou un logement de serveur de mots de passe après avoir supprimé la fiche correspondante, des conflits peuvent se produire ultérieurement lors de la création d’une fiche
d’utilisateur ou d’ordinateur.
Si l’attribut AuthenticationAuthority inclut une valeur commençant par ;Kerberosv5;,
utilisez la commande delete_principal de l’outil de ligne de commande kadmin.local
dans Terminal pour supprimer l’identité Kerberos correspondante du centre de distribution de clés Kerberos. Pour en savoir plus, consultez la page man de kadmin.local.
Si l’attribut AuthenticationAuthority inclut une valeur commençant par ;ApplePasswordServer;, utilisez la commande -deleteslot de l’outil de ligne de commande
mkpassdb dans Terminal pour supprimer le logement de serveur de mots de passe c
orrespondant. Pour en savoir plus, consultez la page man de mkpassdb.
Si vous supprimez un compte d’utilisateur dans Gestionnaire de groupe de travail en cliquant sur le bouton Utilisateur (et non sur le bouton Toutes les fiches) situé à gauche,
en sélectionnant le compte d’utilisateur, puis en cliquant sur Supprimer dans la barre
d’outils de Gestionnaire de groupe de travail (ou en choisissant Serveur > Supprimer
l’utilisateur sélectionné), Gestionnaire de groupe de travail supprime automatiquement
le logement de serveur de mots de passe et l’identité Kerberos du compte d’utilisateur.
De même, si vous supprimez une fiche d’ordinateur en la sélectionnant dans un groupe
d’ordinateurs puis en cliquant sur le bouton Supprimer (–), Gestionnaire de groupe de
travail supprime automatiquement le logement de serveur de mots de passe et l’identité Kerberos du compte d’utilisateur.
Chapitre 9 Maintenance des services Open Directory
215
Modification du nom abrégé d’un utilisateur
Pour modifier le premier nom abrégé d’un utilisateur, vous pouvez utiliser l’outil de
ligne de commande ldapmodrdn dans Terminal. Tous les noms abrégés à l’exception
du premier peuvent être modifiés dans la sous-fenêtre Élémentaires d’une fenêtre
d’utilisateur Gestionnaire de groupe de travail.
AVERTISSEMENT : la modification du nom abrégé d’un utilisateur peut avoir des
conséquences inattendues et indésirables. D’autres services utilisent le nom abrégé
des utilisateurs pour les identifier de manière unique et persistante.
Ainsi, la modification du premier nom abrégé d’un utilisateur n’affecte pas le nom
de son dossier de départ. L’utilisateur dispose du même dossier de départ (bien que
le nom de ce dernier ne corresponde plus au nouveau nom abrégé de l’utilisateur)
sauf s’il accède à son dossier de départ en tant que membre d’un groupe.
L’exemple suivant explique comment modifier le nom abrégé d’un compte d’utilisateur
à l’aide de ldapmodrdn :
$ ldapmodrdn -U adminrép n -Y "cram-md5" -W -r "uid=anciennomabrégé,
cn=utilisateurs,dc=exemple,dc=com" "uid=nouveaunomabrégé"
Cet exemple suppose que vous utilisiez Terminal sur le serveur maître Open Directory
ou que vous ayez établi une connexion SSH au serveur maître Open Directory à l’aide
de Terminal sur un autre ordinateur.
Dans cet exemple, vous devez remplacer adminrép par le nom d’un administrateur de
répertoire, anciennomabrégé par le nom abrégé à modifier et nouveaunomabrégé par
le nouveau nom abrégé.
Vous devez également remplacer dc=exemple,dc=com par le suffixe de base de recherche du serveur. Le suffixe de base de recherche du serveur est indiqué dans la sousfenêtre de réglages Protocoles du service Open Directory dans Admin Serveur.
Si vous utilisez ldapmodrdn pour modifier le premier nom abrégé d’une fiche d’utilisateur contenant plusieurs noms abrégés, le second nom abrégé de la fiche devient
le premier et le nouveau nom abrégé, le dernier.
Pour réorganiser les noms abrégés, utilisez l’outil de ligne de commande ldapmodify.
Pour en savoir plus, consultez la page man de ldapmodify.
216
Chapitre 9 Maintenance des services Open Directory
Importation d’enregistrements de tous types
Gestionnaire de groupe de travail peut importer tous les types d’enregistrements dans
le répertoire LDAP d’un maître Open Directory. Cela couvre les utilisateurs, les groupes,
les groupes d’ordinateurs, les ordinateurs et tous les autres types de fiches Mac OS X
standard.
Important : si vous importez des fiches d’utilisateur ou de groupe depuis un fichier
exporté par Mac OS X Server 10.3 ou antérieur, chaque fiche importée se voit attribuer
un identifiant global unique (GUID).
Pour vous assurer que les GUID et leur relation avec des utilisateurs et groupes spécifiques restent inchangés (en cas de réimportation des mêmes utilisateurs et groupes),
créez un fichier d’exportation à l’aide de Gestionnaire de groupe de travail dans
Mac OS X Server 10.5. Utilisez le fichier d’exportation de la version 10.5 au lieu de celui
créé à l’aide de la version antérieure du serveur.
Pour obtenir une liste des types d’enregistrements et des attributs qui peuvent être
importés, consultez le fichier suivant :
/Système/Bibliothèque/Frameworks/DirectoryService.framework/Headers/DirServicesConst.h
Pour obtenir des informations sur les types de fiches et les attributs les plus courants,
consultez la rubrique « types d’enregistrements et attributs Open Directory standard »
à la page 293.
Pour en savoir plus sur l’exportation d’utilisateurs et de groupes à l’aide de Gestionnaire
de groupe de travail et sur l’importation de fiches de tout type, consultez le document
Gestion des utilisateurs.
Définition des options d’un serveur Open Directory
Vous pouvez définir des politiques de liaison, de sécurité et de mot de passe pour un
maître Open Directory et ses répliques. Vous pouvez aussi définir plusieurs options
LDAP pour un maître ou une réplique Open Directory. Pour en savoir plus, consultez
ce qui suit :
 « Configuration d’une politique de liaison pour un serveur Open Directory » à la page 218
 « Configuration d’un règlement de sécurité pour un serveur Open Directory » à la
page 219
 « Changement de politique de mot de passe globale » à la page 129
 « Modification de l’emplacement d’une base de données LDAP » à la page 220
Â
Â
Â
Â
« Limitation des résultats de la recherche pour le service LDAP » à la page 221
« Définition du délai de recherche autorisé pour le service LDAP » à la page 221
« Configuration de SSL pour le service LDAP » à la page 222
« Création d’une configuration SSL personnalisée pour LDAP » à la page 222
Chapitre 9 Maintenance des services Open Directory
217
Configuration d’une politique de liaison pour un serveur Open Directory
À l’aide d’Admin Serveur, vous pouvez configurer un maître Open Directory pour qu’il
autorise ou exige une liaison sécurisée entre l’annuaire LDAP et les ordinateurs qui y
accèdent. Les répliques d’un maître Open Directory héritent automatiquement de sa
politique de liaison.
Une liaison LDAP sécurisée est authentifiée mutuellement. L’ordinateur prouve son
identité en utilisant le nom et le mot de passe d’un administrateur du répertoire LDAP
pour s’authentifier auprès du répertoire LDAP. L’annuaire LDAP prouve son authenticité
au moyen d’une fiche d’ordinateur authentifié qui est créée dans le répertoire lorsque
vous configurez la liaison sécurisée.
Les clients ne peuvent pas être configurés pour utiliser à la fois la liaison LDAP sécurisée
et un serveur LDAP fourni par le DHCP (connu aussi sous le nom d’option DHCP 95).
La liaison LDAP sécurisée est en réalité une liaison statique, alors que le LDAP fourni le
DHCP est une liaison dynamique. Pour en savoir plus, consultez la rubrique « Activation
ou désactivation d’un répertoire LDAP fourni via DHCP » à la page 158.
Remarque : pour pouvoir utiliser la liaison LDAP sécurisée, les clients ont besoin de
la version 10.4 ou ultérieure de Mac OS X ou Mac OS X Server. Les clients sous 10.3 ou
antérieur ne peuvent pas configurer de liaison sécurisée.
Pour configurer la politique de liaison pour un maître Open Directory :
1 Ouvrez Admin Serveur et connectez-vous au serveur maître Open Directory.
2 Cliquez sur le triangle se trouvant à gauche du serveur.
La liste des services apparaît.
3 Dans la liste Serveurs développée, sélectionnez Open Directory.
4 Cliquez sur Réglages, puis sur Règlement.
5 Cliquez sur Liaison, puis définissez les options de liaison de répertoire souhaitées.
 Pour autoriser la liaison sécurisée, sélectionnez « Activer la liaison de répertoire
authentifiée ».
 Pour exiger la liaison sécurisée, sélectionnez également « Requiert une liaison
authentifiée entre l’annuaire et les clients ».
6 Cliquez sur Enregistrer.
Important : si vous activez les options « Crypter tous les paquets (requiert SSL ou
Kerberos) » et « Activer la liaison de répertoire authentifiée », assurez-vous que vos
utilisateurs utilisent l’une ou l’autre pour la liaison, mais pas les deux.
218
Chapitre 9 Maintenance des services Open Directory
Configuration d’un règlement de sécurité pour un serveur
Open Directory
À l’aide d’Admin Serveur, vous pouvez configurer une politique de sécurité pour accéder
au répertoire LDAP d’un maître Open Directory.
Les répliques du maître Open Directory héritent automatiquement de son règlement
de sécurité.
Remarque : si vous modifiez le règlement de sécurité de l’annuaire LDAP d’un maître
Open Directory, vous devez déconnecter puis reconnecter (rompre puis rétablir la liaison
de) chaque ordinateur connecté (lié) à cet annuaire LDAP. Utilisez l’Utilitaire de répertoire comme décrit dans « Suppression d’une connexion à un serveur de répertoire » à la
page 142 et « Ajout d’une connexion à un serveur Open Directory » à la page 142.
Pour configurer la politique de sécurité pour un maître Open Directory :
1 Ouvrez Admin Serveur et connectez-vous au serveur maître Open Directory.
2 Cliquez sur le triangle se trouvant à gauche du serveur.
La liste des services apparaît.
3 Dans la liste Serveurs développée, sélectionnez Open Directory.
4 Cliquez sur Réglages, puis sur Règlement.
5 Cliquez sur Liaison, puis définissez les options de sécurité souhaitées :
 « Désactiver les mots de passe en clair » détermine si les clients peuvent envoyer
les mots de passe en clair si les mots de passe ne peuvent pas être validés à l’aide
d’une méthode d’authentification qui envoie des mots de passe cryptés. Pour en savoir
plus, consultez les rubriques « Sélection de méthodes d’authentification pour des utilisateurs de mots de passe shadow » à la page 132 et « Sélection de méthodes d’authentification pour des utilisateurs de mots de passe Open Directory » à la page 133.
 « Signer tous les paquets numériquement (requiert Kerberos) » permet de s’assurer que les données de répertoire provenant du serveur LDAP ne seront pas interceptées et modifiées par un autre ordinateur pendant leur transit vers les ordinateurs
clients.
 « Crypter tous les paquets (requiert SSL ou Kerberos) » oblige le serveur LDAP à
crypter les données de répertoire à l’aide du protocole SSL ou de Kerberos avant de
les envoyer aux ordinateurs clients.
 « Bloquer les attaques « Man-in-the-Middle » (requiert Kerberos) » empêche un serveur malveillant de se faire passer pour le serveur LDAP. Plus efficace avec l’option
“Signer tous les paquets numériquement”.
 « Désactiver la mise en cache du client » empêche les ordinateurs clients de mettre
en cache les données LDAP en local.
 « Autoriser les utilisateurs à modifier leurs informations de contact personnelles »
autorise les utilisateurs à modifier leurs informations de contact sur le serveur LDAP.
Chapitre 9 Maintenance des services Open Directory
219
6 Cliquez sur Enregistrer.
Important : si vous activez les options « Crypter tous les paquets (requiert SSL ou
Kerberos) » et « Activer la liaison de répertoire authentifiée », assurez-vous que vos
utilisateurs utilisent l’une ou l’autre pour la liaison, mais pas les deux.
En fonction des réglages définis ici, les options de sécurité peuvent aussi être configurées sur les différents clients d’un maître ou d’une réplique Open Directory. Si vous
sélectionnez une option ici, elle ne pourra pas être désélectionnée pour un client. Pour
en savoir plus sur la configuration de ces options sur un client, consultez la rubrique
« Modification de la politique de sécurité pour une connexion LDAP » à la page 171.
Modification de l’emplacement d’une base de données LDAP
À l’aide d’Admin Serveur, vous pouvez spécifier l’emplacement du disque de la base de
données qui stocke les fiches d’utilisateur et d’autres informations dans un domaine de
répertoire LDAP d’un maître ou d’une réplique Open Directory. La base de données
LDAP est généralement située sur le volume de démarrage, mais elle peut se trouver
sur un autre volume local.
Remarque : pour des raisons de sécurité, les bases de données qui contiennent les
informations d’authentification pour Open Directory et Kerberos sont toujours placées
sur le volume de démarrage, quel que soit l’emplacement de la base de données LDAP.
Pour modifier l’emplacement d’une base de données LDAP :
1 Ouvrez Admin Serveur et connectez-vous au maître ou à une réplique Open Directory.
2 Cliquez sur le triangle se trouvant à gauche du serveur.
La liste des services apparaît.
3 Dans la liste Serveurs développée, sélectionnez Open Directory.
4 Cliquez sur Réglages, puis sur LDAP.
5 Choisissez Réglages LDAP dans le menu local Configurer, puis spécifiez le chemin
d’accès au dossier dans lequel vous voulez placer la base de données LDAP.
Vous pouvez saisir le chemin d’accès à un dossier dans le champ Base de données ou
sélectionner l’emplacement d’un dossier en cliquant sur Choisir puis en naviguant
jusqu’à l’emplacement dans lequel vous voulez placer le dossier.
6 Cliquez sur Enregistrer.
220
Chapitre 9 Maintenance des services Open Directory
Limitation des résultats de la recherche pour le service LDAP
Admin Serveur vous permet d’empêcher un type d’attaque par saturation sur
le Mac OS X Server en limitant le nombre de résultats de recherche renvoyés
par le domaine de répertoire LDAP partagé du serveur. Cela empêche un utilisateur
malveillant de bloquer le serveur en lui envoyant des requêtes de recherches LDAP
multiples et complexes.
Pour limiter les résultats de la recherche LDAP :
1 Ouvrez Admin Serveur et connectez-vous au maître ou à une réplique Open Directory.
2 Cliquez sur le triangle se trouvant à gauche du serveur.
La liste des services apparaît.
3 Dans la liste Serveurs développée, sélectionnez Open Directory.
4 Cliquez sur Réglages, puis sur LDAP.
5 Choisissez Réglages LDAP dans le menu local Configurer, puis saisissez le nombre maximum de résultats de recherche à renvoyer dans le champ « Renvoyer un maximum de
__ résultats de la recherche ».
6 Cliquez sur Enregistrer.
Définition du délai de recherche autorisé pour le service LDAP
À l’aide d’Admin Serveur, vous pouvez empêcher un type d’attaque par saturation sur
le serveur Mac OS X Server en limitant le temps alloué au serveur pour effectuer une
recherche sur son domaine de répertoire LDAP partagé.
Cela empêche un utilisateur malveillant de bloquer le serveur en lui envoyant une
requête de recherche LDAP exceptionnellement complexe.
Pour définir un délai de recherche pour le service LDAP :
1 Ouvrez Admin Serveur et connectez-vous au maître ou à une réplique Open Directory.
2 Cliquez sur le triangle se trouvant à gauche du serveur.
La liste des services apparaît.
3 Dans la liste Serveurs développée, sélectionnez Open Directory.
4 Cliquez sur Réglages, puis sur LDAP.
5 Choisissez Réglages LDAP dans le menu local Configurer, puis définissez un délai de
recherche dans le champ « La recherche expire dans __ ».
Définissez le délai à l’aide du menu local.
6 Cliquez sur Enregistrer.
Chapitre 9 Maintenance des services Open Directory
221
Configuration de SSL pour le service LDAP
À l’aide d’Admin Serveur, vous pouvez activer Secure Sockets Layer (SSL) pour les communications cryptées entre un domaine de répertoire LDAP d’un serveur Open Directory et les ordinateurs qui y accèdent. SSL utilise des certificats numériques pour
fournir une identité certifiée pour le serveur. Vous pouvez utiliser un certificat autosigné ou un certificat provenant d’une autorité de certification.
Pour obtenir des informations détaillées sur la définition, l’obtention et l’installation
de certificats sur votre serveur, consultez le document Configuration de la sécurité de
Mac OS X Server.
Les communications SSL pour LDAP utilisent le port 636. Si SSL est désactivé pour
le service LDAP, les communications sont envoyées en clair sur le port 389.
Pour configurer des communications SSL pour le service LDAP :
1 Ouvrez Admin Serveur et connectez-vous au maître ou à une réplique Open Directory.
2 Cliquez sur le triangle se trouvant à gauche du serveur.
La liste des services apparaît.
3 Dans la liste Serveurs développée, sélectionnez Open Directory.
4 Cliquez sur Réglages, puis sur LDAP.
5 Choisissez Réglages LDAP dans le menu local Configurer, puis sélectionnez Activer SSL.
6 Utilisez le menu local Certificat pour choisir le certificat SSL que vous souhaitez voir
utiliser par le service LDAP.
Le menu dresse la liste tous les certificats SSL qui sont installés sur le serveur. Pour utiliser un certificat qui ne figure pas dans la liste, choisissez Configuration personnalisée
dans le menu local.
7 Cliquez sur Enregistrer.
Création d’une configuration SSL personnalisée pour LDAP
SSL utilise des certificats numériques pour fournir une identité certifiée pour le serveur.
Vous pouvez utiliser des certificats numériques personnalisés pour configurer le protocole SSL pour votre environnement réseau. Les étapes suivantes expliquent comment
créer des certificats personnalisés à l’aide de la ligne de commande et fournissent des
instructions pour les implémenter dans Admin Serveur.
Pour créer un certificat pour le service Open Directory :
1 Générez une clé privée pour le serveur dans le dossier /usr/share/certs/ :
Si le dossier /usr/share/certs n’existe pas, créez-le.
$ sudo openssl genrsa -out ldapserver.key 2048
222
Chapitre 9 Maintenance des services Open Directory
2 Générez une demande de signature de certificat (CSR) pour la signature de l’autorité de
certificat (AC) :
$ sudo openssl req -new -key ldapserver.key -out ldapserver.csr
3 Renseignez les champs suivants en étant aussi exhaustif que possible, en vous assurant
que le champ Nom commun correspond exactement au nom de domaine du serveur
LDAP et en laissant les champs réservés au mot de passe Challenge et au nom de
société facultatif vierges :
Pays :
Unité d’organisation :
Région/Province :
Nom commun :
Localité (ville) :
Adresse électronique :
Nom de l’organisation :
4 Signez la demande ldapserver.csr à l’aide de la commande openssl.
$ sudo openssl ca -in ldapserver.csr -out ldapserver.crt
5 Lorsque vous y êtes invité, saisissez la phrase clé AC pour poursuivre et terminer
le processus.
Les fichiers de certificat requis pour activer le protocole SSL sur le serveur LDAP
se trouvent désormais dans le dossier /usr/share/certs/.
6 Ouvrez Admin Serveur et connectez-vous au maître ou à une réplique Open Directory.
7 Cliquez sur le triangle se trouvant à gauche du serveur.
La liste des services apparaît.
8 Dans la liste Serveurs développée, sélectionnez Open Directory.
9 Cliquez sur Réglages, puis sur LDAP.
10 Choisissez Réglages LDAP dans le menu local Configurer.
11 Sélectionnez « Activer SSL (Secure Sockets Layer) ».
12 Utilisez le menu local Certificat pour choisir le certificat SSL que vous souhaitez voir
utiliser par le service LDAP.
Le menu dresse la liste tous les certificats SSL qui sont installés sur le serveur. Pour utiliser un certificat qui ne figure pas dans la liste, choisissez Configuration personnalisée
dans le menu local.
13 Cliquez sur Enregistrer.
Chapitre 9 Maintenance des services Open Directory
223
Gestion de la réplication Open Directory
Vous pouvez planifier la réplication Open Directory ou répliquer à la demande,
promouvoir une réplique en maître ou mettre une réplique hors service.
Pour en savoir plus, consultez :
 « Planification de la réplication d’un maître Open Directory ou d’un contrôleur de
domaine principal (PDC) » à la page 224
 « Synchronisation d’une réplique Open Directory ou d’un contrôleur de domaine
secondaire à la demande » à la page 225
 « Conversion d’une réplique Open Directory en un relais » à la page 226
 « Promotion d’une réplique Open Directory » à la page 226
 « Mise hors service d’une réplique Open Directory » à la page 229
Planification de la réplication d’un maître Open Directory ou
d’un contrôleur de domaine principal (PDC)
À l’aide d’Admin Serveur, vous pouvez spécifier la fréquence à laquelle le maître Open
Directory met à jour ses répliques en y intégrant les modifications apportées aux répertoires et aux informations d’authentification. Le maître peut mettre à jour les répliques
dès qu’une modification a lieu dans son domaine de répertoire ou en fonction d’un
calendrier que vous définissez.
La procédure est la même si vous configurez votre serveur Mac OS X Server en tant que
contrôleur de domaine principal (PDC). Vous définissez le calendrier de réplication du
contrôleur de domaine principal vers le contrôleur de domaine secondaire (BDC) en
planifiant la réplication d’Open Directory.
Pour définir la fréquence à laquelle un maître Open Directory ou un contrôleur de
domaine principal met à jour ses répliques ou ses contrôleurs de domaine secondaires :
1 Ouvrez Admin Serveur et connectez-vous au maître Open Directory ou au serveur du
contrôleur de domaine principal.
2 Cliquez sur le triangle se trouvant à gauche du serveur.
La liste des services apparaît.
3 Dans la liste Serveurs développée, sélectionnez Open Directory.
4 Cliquez sur Réglages, puis sur Général.
224
Chapitre 9 Maintenance des services Open Directory
5 Spécifiez une fréquence de réplication :
 « Répliquer vers les clients chaque fois que le répertoire est modifié » : garde les
répliques à jour en temps réel, mais augmente la charge sur le réseau. Peut affecter
les performances du maître si une réplique est connectée via une liaison réseau
lente.
 « Répliquer vers les clients tous/toutes les __ » : permet de planifier des mises à
jour moins fréquentes (en spécifiant un intervalle plus long). Les mises à jour moins
fréquentes présentent l’inconvénient de générer des répliques moins exactes mais
offrent l’avantage de réduire le nombre de connexions réseau entre le maître et ses
répliques. La diminution du nombre de connexions peut s’avérer souhaitable si les
répliques ne font pas toutes partie du même réseau local que le maître.
6 Cliquez sur Enregistrer.
Synchronisation d’une réplique Open Directory ou d’un contrôleur de
domaine secondaire à la demande
Bien qu’un maître Open Directory ou un contrôleur de domaine principal synchronise
automatiquement ses données de répertoire et d’authentification avec les répliques ou
les contrôleurs de domaine secondaires enregistrés, vous pouvez utiliser Admin Serveur
pour synchroniser les données avec une réplique ou un contrôleur de domaine secondaire sélectionné à la demande.
Pour synchroniser une réplique Open Directory ou un contrôleur de domaine
secondaire à la demande :
1 Ouvrez Admin Serveur et connectez-vous au maître Open Directory ou au serveur du
contrôleur de domaine principal.
2 Cliquez sur le triangle se trouvant à gauche du serveur.
La liste des services apparaît.
3 Dans la liste Serveurs développée, sélectionnez Open Directory.
4 Cliquez sur Réglages, puis sur Général.
5 Sélectionnez une réplique ou un contrôleur de domaine secondaire dans la liste,
puis cliquez sur Répliquer.
Chapitre 9 Maintenance des services Open Directory
225
Conversion d’une réplique Open Directory en un relais
Il y a peu de différences entre un relais et une réplique. Les deux contiennent une copie
en lecture seule du domaine de répertoire LDAP du maître Open Directory, ainsi qu’une
copie en lecture et écriture du serveur de mots de passe Open Directory et du centre
de distribution de clés (KDC) Kerberos.
Un relais est une réplique directe d’un maître Open Directory et possède ses propres
répliques.
Vous pouvez convertir une réplique Open Directory en relais si les conditions suivantes
sont réunies :
 La réplique doit être une réplique directe du maître Open Directory (premier niveau).
 La réplique doit avoir ses propres répliques (jusqu’à 32 répliques prises en charge).
Pour en savoir plus sur les relais, consultez « Réplication en cascade » à la page 72.
Promotion d’une réplique Open Directory
Si un maître Open Directory tombe en panne et que vous ne pouvez pas le récupérer
à partir d’une copie de sauvegarde, vous pouvez transformer une réplique en maître.
Le nouveau maître (réplique promue) utilise le répertoire et les bases de données
d’authentification de la réplique.
Une fois la transformation effectuée, vous devez convertir toutes les autres répliques
de l’ancien maître en services de répertoire autonomes, puis en faire des répliques du
nouveau maître.
Important : n’utilisez cette procédure que pour remplacer un maître Open Directory
par sa réplique. Pour conserver le maître Open Directory en service et faire de sa réplique un autre maître, n’utilisez pas cette procédure. Mettez plutôt le réplique hors service, puis transformez-la en maître comme décrit dans les rubriques « Mise hors service
d’une réplique Open Directory » à la page 229 et « Configuration d’un maître Open
Directory » à la page 95.
Pour promouvoir une réplique Open Directory :
1 Ouvrez Admin Serveur et connectez-vous au serveur de la réplique que vous souhaitez
convertir en maître.
2 Cliquez sur le triangle se trouvant à gauche du serveur.
La liste des services apparaît.
3 Dans la liste Serveurs développée, sélectionnez Open Directory.
4 Cliquez sur Réglages, puis sur Général.
5 Cliquez sur Modifier.
L’Assistant de configuration de service s’ouvre.
6 Sélectionnez Maître Open Directory, puis cliquez sur Continuer.
226
Chapitre 9 Maintenance des services Open Directory
7 Saisissez les informations d’administrateur de domaine maître suivantes, puis cliquez
sur Continuer.
 Nom, nom abrégé, identifiant d’utilisateur, mot de passe : vous devez créer un
compte d’utilisateur pour l’administrateur principal de l’annuaire LDAP. Ce compte
n’est pas une copie du compte d’administrateur dans le domaine de répertoire local
du serveur. Utilisez pour l’administrateur de l’annuaire LDAP des noms et un identifiant d’utilisateur différents des noms et des identifiants d’utilisateur des comptes
d’utilisateur qui figurent dans le domaine de répertoire local.
Remarque : si vous envisagez de connecter votre maître Open Directory à d’autres
domaines de répertoire, choisissez un nom et un identifiant d’utilisateur uniques pour
chaque domaine. N’utilisez pas l’identifiant d’utilisateur diradmin suggéré. Utilisez un
nom vous permettant d’identifier facilement le domaine de répertoire que l’administrateur de répertoire contrôle.
8 Saisissez les informations de domaine maître suivantes, puis cliquez sur Continuer.
 Royaume Kerberos : ce champ est défini par défaut sur le nom DNS du serveur,
converti en lettres majuscules. Il s’agit d’une convention pour nommer les royaumes
Kerberos. Vous pouvez saisir un autre nom, si nécessaire.
 Base de recherche : ce champ est préréglé sur un suffixe de base de recherche pour
le nouveau répertoire LDAP, dérivé de la partie réservée au domaine du nom DNS du
serveur. Vous pouvez saisir un autre suffixe de base de recherche ou laissez le champ
vide. Si vous laissez ce champ vide, le suffixe de base de recherche par défaut de
l’annuaire LDAP sera utilisé.
9 Vérifiez les réglages, puis cliquez sur Fermer.
Vos réglages sont alors enregistrés et le service est redémarré.
10 Dans Admin Serveur, connectez-vous à une autre réplique de l’ancien maître.
11 Cliquez sur le triangle se trouvant à gauche du serveur.
La liste des services apparaît.
12 Dans la liste Serveurs développée, sélectionnez Open Directory.
13 Cliquez sur Réglages, puis sur Général.
14 Cliquez sur Modifier.
L’Assistant de configuration de service s’ouvre.
15 Choisissez Autonome, puis cliquez sur Continuer.
16 Vérifiez la configuration Open Directory, puis cliquez sur Continuer.
17 Si vous êtes sûr que les utilisateurs et les services n’ont plus besoin d’accéder aux données de répertoire enregistrées dans le domaine de répertoire partagé que le serveur
hébergeait ou auquel il était connecté, cliquez sur Fermer.
Vos réglages sont alors enregistrés et le service est redémarré.
Chapitre 9 Maintenance des services Open Directory
227
18 Cliquez sur Modifier.
L’Assistant de configuration de service s’ouvre.
19 Choisissez Réplique Open Directory, puis cliquez sur Continuer.
20 Saisissez les informations suivantes :
 « Adresse IP ou nom DNS du maître Open Directory » : saisissez l’adresse IP ou
le nom DNS du serveur jouant le rôle de maître Open Directory.
 « Mot de passe root sur le maître Open Directory » : saisissez le mot de passe de
l’utilisateur root du système maître Open Directory (nom d’utilisateur de l’administrateur système).
 « Nom abrégé de l’administrateur de domaine » : saisissez le nom d’un compte
d’administrateur de domaine de répertoire LDAP.
 « Mot de passe de l’administrateur de domaine » : saisissez le mot de passe du
compte d’administrateur dont vous avez saisi le nom.
21 Cliquez sur Continuer.
22 Vérifiez les réglages de la configuration Open Directory, puis cliquez sur Continuer.
23 Cliquez sur Fermer.
Vos réglages sont alors enregistrés et le service est redémarré.
24 Répétez les étapes 14 à 23 pour chaque réplique de l’ancien maître.
25 Assurez-vous que la date, l’heure et le fuseau horaire sont exacts sur les répliques et sur
le maître.
Les répliques et le maître doivent utiliser le même service d’horloge de réseau pour
que leurs horloges restent synchronisées.
Si d’autres ordinateurs étaient connectés à l’annuaire LDAP de l’ancien maître Open
Directory, vous devez reconfigurer leur connexion pour qu’ils utilisent l’annuaire LDAP
du nouveau maître.
Chaque ordinateur Mac OS X et Mac OS X Server disposant d’une règle de recherche
personnalisée qui contenait l’annuaire LDAP de l’ancien maître doit être reconfiguré
pour se connecter à l’annuaire LDAP du nouveau maître. Utilisez les sous-fenêtres Services et Authentification de l’Utilitaire de répertoire .
Pour en savoir plus, reportez-vous aux rubriques « Suppression d’une configuration
pour l’accès à un répertoire LDAP » à la page 169 et « Configuration de l’accès à un
répertoire LDAP » à la page 160.
Si le service DHCP fournissait l’URL LDAP de l’ancien maître aux ordinateurs disposant
de règles de recherche automatique, vous devez reconfigurer le service DHCP pour
qu’il fournisse l’URL LDAP du nouveau maître.
228
Chapitre 9 Maintenance des services Open Directory
Les ordinateurs Mac OS X et Mac OS X Server disposant de règles de recherche automatique n’ont pas besoin d’être reconfigurés. Le service DHCP mis à jour leur fournira
la bonne URL LDAP lors de leur prochain démarrage.
Pour en savoir plus, consultez le chapitre DHCP du document Administration des services
de réseau.
Mise hors service d’une réplique Open Directory
Vous pouvez mettre le serveur d’une réplique Open Directory hors service en le transformant en serveur autonome ou en le connectant à un autre système pour les services de répertoire et d’authentification.
Pour mettre hors service une réplique Open Directory :
1 Vérifiez que la connexion réseau fonctionne entre le maître Open Directory et
la réplique à mettre hors service.
Le port 389 ou 636 doit être ouvert entre le maître et la réplique pendant la mise hors
service de la réplique. LDAP utilise le port 389 si SSL est désactivé ou le port 636 si SSL
est activé sur le maître. (Le port 22, utilisé pour SSH, ne doit pas être ouvert pour mettre hors service une réplique).
Important : si vous mettez une réplique hors service alors qu’il n’y a pas de connectivité réseau entre la réplique et le maître, la réplique mise hors service restera dans la
liste de répliques du maître. Le maître tentera de se répliquer vers la réplique mise
hors service spécifiée dans la sous-fenêtre de réglages Général pour le service Open
Directory sur le serveur maître.
2 Dans Admin Serveur, connectez-vous à la réplique à mettre hors service.
3 Cliquez sur le triangle se trouvant à gauche du serveur.
La liste des services apparaît.
4 Dans la liste Serveurs développée, sélectionnez Open Directory.
5 Cliquez sur Réglages, puis sur Général.
6 Cliquez sur Modifier.
L’Assistant de configuration de service s’ouvre.
7 Choisissez Autonome ou « Connecté à un système de répertoire », puis saisissez
les informations suivantes.
 « Mot de passe root sur le maître Open Directory » : saisissez le mot de passe de
l’utilisateur root du système maître Open Directory (nom d’utilisateur de l’administrateur système).
 « Nom abrégé de l’administrateur de domaine » : saisissez le nom d’un compte
d’administrateur de domaine de répertoire LDAP.
 « Mot de passe de l’administrateur de domaine » : saisissez le mot de passe du
compte d’administrateur dont vous avez saisi le nom.
Chapitre 9 Maintenance des services Open Directory
229
8 Cliquez sur Continuer.
9 Vérifiez la configuration Open Directory, puis cliquez sur Continuer.
10 Si vous êtes sûr que les utilisateurs et les services n’ont plus besoin d’accéder aux données de répertoire enregistrées dans le domaine de répertoire partagé que le serveur
hébergeait ou auquel il était connecté, cliquez sur Fermer.
Vos réglages sont alors enregistrés et le service est redémarré.
En supposant qu’il y ait une connexion réseau entre le maître Open Directory et
la réplique, le maître est mis à jour pour ne plus se connecter à la réplique.
11 Si vous avez choisi « Connecté à un système de répertoire » dans le menu local Rôle,
cliquez sur le bouton « Ouvrir Utilitaire de répertoire » pour configurer l’accès à un ou
plusieurs systèmes de répertoire.
Pour en savoir plus sur la configuration de l’accès à un service de répertoire, consultez
le chapitre 7, « Gestion des clients de répertoire. »
Archivage d’un maître Open Directory
Vous pouvez utiliser Admin Serveur pour archiver une copie de données de répertoire
et d’authentification d’un maître Open Directory. Vous pouvez archiver une copie des
données pendant que le maître Open Directory est en service.
Les fichiers suivants sont archivés :
 Base de données de répertoires et fichiers de configuration LDAP
 Base de données du serveur de mots de passe Open Directory
 Base de données et fichiers de configuration Kerberos
 Domaine de répertoire local et base de données de mots de passe Shadow
Si vous disposez d’une archive fiable d’un maître Open Directory, vous disposez de
fait d’une archive de toutes ses répliques. En cas de problème avec une réplique,
vous pouvez modifier son rôle Open Directory pour la transformer en serveur autonome,
puis configurer ce dernier comme s’il s’agissait d’un nouveau serveur, avec un nouveau
nom d’hôte, et le définir comme réplique du même maître comme auparavant.
Important : protégez soigneusement le support d’archivage contenant une copie de
la base de données de mots de passe Open Directory, de la base de données Kerberos
et du fichier keytab de Kerberos. Cette archive contient les mots de passe de tous les
utilisateurs qui possèdent un mot de passe Open Directory, tant dans le domaine de
répertoire LDAP partagé que dans le domaine de répertoire local. Les mesures de sécurité que vous prenez pour le support d’archivage doivent être aussi strictes que celles
prises pour le serveur maître Open Directory.
230
Chapitre 9 Maintenance des services Open Directory
Pour archiver un maître Open Directory :
1 Ouvrez Admin Serveur et connectez-vous au serveur maître Open Directory.
2 Cliquez sur le triangle se trouvant à gauche du serveur.
La liste des services apparaît.
3 Dans la liste Serveurs développée, sélectionnez Open Directory.
4 Cliquez sur Archive.
5 Dans le champ Archiver dans, saisissez le chemin d’accès au dossier dans lequel vous
souhaitez archiver les données Open Directory, puis cliquez sur le bouton Archiver.
Vous pouvez taper le chemin d’accès au dossier ou cliquer sur le bouton Choisir pour
le sélectionner.
6 Saisissez le nom et le mot de passe à utiliser pour crypter l’archive, puis cliquez sur OK.
Restauration d’un maître Open Directory
Vous pouvez utiliser Admin Serveur ou l’outil de ligne de commande slapconfig pour
restaurer les données de répertoire et d’authentification d’un maître Open Directory à
partir d’une archive.
Si vous utilisez Admin Serveur, vous pouvez restaurer les données sur un serveur jouant
le rôle de maître Open Directory. Les fichiers suivants sont restaurés en fusionnant
l’archive avec le maître existant :
 Base de données de répertoires et fichiers de configuration LDAP
 Base de données du serveur de mots de passe Open Directory
 Base de données et fichiers de configuration Kerberos
En cas de conflit pendant la fusion, la fiche existante prime sur les données de l’archive.
La fiche de l’archive est ignorée. Les conflits sont consignés dans le fichier d’historique
slapconfig (/Bibliothèque/Logs/slapconfig.log), que vous pouvez visionner à l’aide
d’Admin Serveur. Consultez la rubrique « Affichage des états et des historiques Open
Directory » à la page 211.
Important : si vous avez une archive d’un serveur Open Directory Mac OS X 10.4,
vous ne pouvez que la restaurer sur un serveur Mac OS X 10.5. Vous ne pouvez pas
fusionner une archive Mac OS X 10.4 avec un serveur Open Directory Mac OS X 10.5.
Plutôt que de restaurer un maître Open Directory à partir d’une archive, vous pouvez
obtenir de meilleurs résultats en transformant une réplique en maître. Il se peut en
effet que la réplique ait des données de répertoire et d’authentification plus récentes
que l’archive.
Après avoir restauré un maître Open Directory à partir d’une archive, vous devez
recréer les répliques Open Directory.
Chapitre 9 Maintenance des services Open Directory
231
Important : il ne faut pas utiliser la restauration d’une archive comme un moyen
de porter des données de répertoire et d’authentification d’un système à un autre.
Exportez plutôt les données du répertoire source et importez-les dans le répertoire
cible. Pour en savoir plus sur l’exportation et l’importation de données de répertoire,
consultez le document Gestion des utilisateurs.
Pour fusionner une archive avec un maître Open Directory existant :
1 Ouvrez Admin Serveur et connectez-vous au serveur maître Open Directory.
Le serveur cible doit porter le même nom de royaume Kerberos que le maître à partir
duquel l’archive a été créée.
2 Cliquez sur le triangle se trouvant à gauche du serveur.
La liste des services apparaît.
3 Dans la liste Serveurs développée, sélectionnez Open Directory.
4 Cliquez sur Archive.
5 Dans le champ « Restauration à partir du », saisissez le chemin d’accès au fichier de
l’archive Open Directory, puis cliquez sur le bouton Restaurer.
Vous pouvez taper le chemin d’accès ou cliquer sur le bouton Choisir pour sélectionner
le fichier de l’archive.
6 Saisissez le mot de passe qui a été utilisé pour crypter l’archive lorsqu’elle a été créée,
puis cliquez sur OK.
7 Une fois la restauration terminée, consultez l’historique de l’outil slapconfig pour vérifier si des conflits ou d’autres événements se sont produits pendant l’opération.
8 Convertissez tous les serveurs de réplique Open Directory en serveurs Open Directory
autonomes, puis faites-en des répliques du nouveau maître.
Pour en savoir plus, consultez les rubriques « Configuration d’un service de répertoire
autonome » à la page 94 et « Configuration d’une réplique Open Directory » à la page 102.
À partir de la ligne de commande
Au lieu d’effectuer la restauration sur un serveur jouant le rôle de maître Open Directory, vous pouvez l’effectuer sur un serveur autonome à l’aide de l’outil de ligne de
commande slapconfig. Le serveur devient alors un maître Open Directory contenant
les données de répertoire et d’authentification provenant de l’archive.
Les données restaurées incluent les fichiers LDAP, Kerberos et de serveur de mots de
passe mentionnés plus haut, ainsi que le domaine de répertoire local et les fichiers de
mot de passe Shadow associés.
En outre, slapconfig conserve le compte d’utilisateur local que vous utilisiez dans
la fenêtre d’ouverture de session. Après la restauration, le maître contient les fiches de
compte d’utilisateur provenant de l’archive, ainsi que le compte que vous utilisiez dans
la fenêtre d’ouverture de session.
232
Chapitre 9 Maintenance des services Open Directory
Si l’archive contient un compte d’utilisateur entrant en conflit avec celui que vous utilisiez dans la fenêtre d’ouverture de session, le compte figurant dans l’archive est ignoré.
AVERTISSEMENT : si vous effectuez une restauration sur un serveur autonome,
les fiches de répertoire et les données d’authentification pré-existantes ne sont pas
conservées, à l’exception du compte d’utilisateur que vous utilisiez dans la fenêtre
d’ouverture de session.
Pour remplacer les données de répertoire et d’authentification sur un serveur autonome
par les données d’une archive Open Directory, tapez la commande suivante dans Terminal,
en remplaçant chemin-archive par le chemin d’accès au fichier de l’archive :
$ sudo slapconfig -restoredb chemin-archive
La commande slapconfig requiert des privilèges root, d’où l’utilisation de sudo dans
cette ligne de commande. Pour en savoir plus sur slapconfig, consultez sa page man.
Pour en savoir plus sur sudo et les privilèges root, consultez Administration de ligne
de commande.
Chapitre 9 Maintenance des services Open Directory
233
10
Résolution de problèmes liés à
Open Directory
10
Le présent chapitre fournit des solutions permettant de
résoudre des problèmes communs que vous pourriez
rencontrer lors de l’utilisation d’Open Directory.
La présente section contient des solutions aux problèmes courants liés à Open Directory.
Résolution de problèmes liés aux maîtres et aux répliques
Open Directory
Utilisez l’aide suivante pour résoudre des problèmes liés aux maîtres et aux répliques
Open Directory.
Si Kerberos est arrêté sur un maître ou une réplique Open Directory
Un maître Open Directory requiert un DNS configuré correctement pour fournir une
authentification Kerberos par signature unique.
Pour vérifier que le DNS est configuré correctement pour Kerberos :
1 Assurez-vous que le service DNS est configuré pour résoudre les noms DNS complets et
fournir les recherches inverses correspondantes.
Le service DNS doit résoudre des noms DNS complets et fournir les recherches inverses
au serveur maître Open Directory, aux serveurs répliques et aux autres serveurs qui
sont membres du royaume Kerberos.
Pour faire une recherche DNS d’un nom DNS d’un serveur et une recherche inverse de
l’adresse IP du serveur, vous pouvez utiliser la sous-fenêtre Recherche d’Utilitaire de
réseau (dans /Applications/Utilitaires/).
Pour en savoir plus sur la configuration du service DNS, consultez le guide Administration
des services de réseau.
2 Assurez-vous que le nom d’hôte du serveur maître Open Directory est bien le nom DNS
complet correct, et non le nom d’hôte local du serveur.
Par exemple, le nom d’hôte pourrait être ods.exemple.com, mais ne peut pas être
ods.local.
235
Vous pouvez voir le nom d’hôte en ouvrant Terminal et en tapant hostname.
Si le nom d’hôte du serveur Open Directory n’est pas son nom DNS complet, effacez
temporairement la liste des serveurs DNS et cliquez sur Appliquer dans les préférences
Réseau du serveur Open Directory. Saisissez ensuite à nouveau une ou plusieurs adresses IP de serveur DNS, en commençant par le serveur DNS principal qui résout le nom
du serveur Open Directory, puis en cliquant sur Appliquer dans les préférences Réseau.
Si le nom d’hôte du serveur Open Directory n’est toujours pas son nom DNS complet,
redémarrez le serveur.
3 Assurez-vous que les préférences Réseau du serveur maître Open Directory sont
configurées pour utiliser le serveur DNS qui résout le nom du serveur.
Si le serveur maître Open Directory fournit son propre service DNS, les préférences
Réseau du serveur doivent être configurées pour s’utiliser lui-même comme serveur DNS.
4 Après vous être assuré que la configuration DNS pour le serveur est correcte,
démarrez Kerberos.
Consultez la rubrique « Démarrage de Kerberos après la configuration d’un maître
Open Directory » à la page 116.
Si vous ne pouvez pas créer une réplique Open Directory
Si vous essayez de créer deux répliques simultanément, une tentative va réussir, l’autre
va échouer.Une nouvelle tentative de création de la seconde réplique devrait réussir. Si
vous ne pouvez toujours pas créer la seconde réplique, allez dans le dossier /var/run/,
localisez le fichier slapconfig.lock et supprimez-le s’il existe. Vous pouvez aussi redémarrer le serveur.
Si vous ne pouvez pas créer un maître ou une réplique Open Directory
à partir d’un fichier de configuration
Vous ne pouvez pas faire de Mac OS X Server un maître Open Directory ou une réplique Open Directory en faisant glisser un fichier de configuration de listes de propriétés
vers la sous-fenêtre Réglages Open Directory dans Admin Serveur. Suivez plutôt les instructions de la rubrique « Configuration d’un maître Open Directory » à la page 95 ou
« Configuration d’une réplique Open Directory » à la page 102.
Pour créer un fichier de configuration de listes de propriétés, faites glisser la fenêtre
miniature du coin inférieur droit de la sous-fenêtre Réglages dans Server Admin.
Si vous ne pouvez pas connecter une réplique à un relais
Assurez-vous que votre réplique n’a pas atteint sa capacité maximale de 32 répliques.
Assurez-vous aussi que vous ne vous connectez pas à une réplique de second niveau
au lieu d’un relais de premier niveau.
236
Chapitre 10 Résolution de problèmes liés à Open Directory
Si vous ne pouvez pas connecter une réplique Open Directory à un
Open Directory qui est le subordonné d’un serveur Active Directory
Avant de tenter de transformer le serveur en réplique du serveur Open Directory subordonné, n’oubliez de d’abord connecter le serveur au même serveur Active Directory
que le serveur maître Open Directory auquel vous tentez de vous connecter. Vos répliques doivent avoir accès au serveur Active Directory pour que Kerberos fonctionne.
Résolution de problèmes des connexion à des répertoires
Les problèmes d’accès aux services de répertoire lors du démarrage peuvent avoir
plusieurs causes.
Si un ralentissement se produit lors du démarrage
Si un ralentissement se produit un ralentissement se produit au démarrage de
Mac OS X ou de Mac OS X Server alors qu’un message relatif à LDAP ou aux services
de répertoire apparaît au-dessus de la barre de progression, il se peut que l’ordinateur
tente d’accéder à un répertoire LDAP qui n’est pas disponible sur votre réseau. Tenez
compte des points suivants :
 Une pause est normale au cours du démarrage si un ordinateur portable n’est pas
connecté au réseau auquel le serveur LDAP est connecté.
 Utilisez Utilitaire de répertoire pour vous assurer que les configurations de domaine
de répertoire local et LDAP sont correctes.
 Utilisez le tableau Réseau des Préférences Système pour vous assurer que la configuration réseau de l’ordinateur et les autres paramètres de réseau sont corrects.
 Examinez le réseau physique pour détecter d’éventuels problèmes de connexion.
Résolution des problèmes d’authentification
Utilisez ce qui suit pour vous aider à résoudre des problèmes d’authentification.
Si vous ne pouvez pas modifier le mot de passe Open Directory d’un
utilisateur
Pour modifier le mot de passe de type Open Directory d’un utilisateur, vous devez être
un administrateur du domaine de répertoire dans lequel la fiche de l’utilisateur réside.
De plus, le compte de votre utilisateur doit présenter un mot de passe de type Open
Directory.
Normalement, le compte d’utilisateur spécifié lors de la configuration du maître Open
Directory (à l’aide d’Assistant du serveur ou des réglages de services Open Directory
dans Admin Serveur) être doté d’un mot de passe Open Directory. Vous pouvez utiliser
ce compte pour configurer d’autres comptes d’utilisateur en tant qu’administrateurs de
domaine de répertoire avec des mots de passe Open Directory.
Chapitre 10 Résolution de problèmes liés à Open Directory
237
Si tout le reste échoue, utilisez le compte d’utilisateur root pour configurer un compte
d’utilisateur en tant qu’administrateur de répertoire avec un mot de passe Open Directory. (Le nom du compte d’utilisateur root est « root » et le mot de passe est généralement le même que le mot de passe attribué au compte d’administrateur créé pendant
la configuration initiale du serveur.)
Si un utilisateur ne peut pas accéder à certains services
Si un utilisateur peut accéder à certains services qui requièrent une authentification,
mais pas à d’autres, essayez de changer temporairement le mot de passe de l’utilisateur en une suite de caractères simples, comme, par exemple, « mdp ».
Si cela résout le problème, cela signifie que le mot de passe précédent de l’utilisateur
contenait des caractères qui n’étaient pas reconnus par tous les services. Par exemple,
certains services acceptent les espaces dans les mots de passe, d’autres pas.
Si un utilisateur ne parvient pas à s’authentifier pour le service VPN
Les utilisateurs, dont les comptes sont stockés sur un serveur sous Mac OS X Server 10.2
ne peuvent pas s’authentifier pour le service VPN fourni par Mac OS X Server 10.3–10.5.
Le service VPN requiert la méthode d’authentification MS-CHAPv2, qui n’est pas prise
en charge par Mac OS X Server 10.2.
Pour permettre aux utilisateurs concernés d’ouvrir une session, transférez leurs comptes d’utilisateur sur un serveur sous Mac OS X Server 10.3–10.5. Une autre solution consiste à mettre à niveau les anciens serveurs à Mac OS X Server 10.5 ou ultérieur.
Si vous ne pouvez pas changer le type de mot de passe d’un utilisateur en type Open Directory
Pour modifier le type de mot de passe d’un utilisateur en authentification Open Directory, vous devez être un administrateur du domaine de répertoire sur lequel la fiche de
l’utilisateur réside. De plus, le compte de votre utilisateur doit être configuré pour
l’authentification Open Directory.
Le compte d’utilisateur spécifié lors de la configuration du maître Open Directory (à
l’aide d’Assistant du serveur ou des réglages de services Open Directory dans Admin
Serveur) possède un mot de passe Open Directory. Vous pouvez utiliser ce compte
pour configurer d’autres comptes d’utilisateur en tant qu’administrateurs de domaine
de répertoire avec des mots de passe Open Directory.
238
Chapitre 10 Résolution de problèmes liés à Open Directory
Si les utilisateurs exploitant un serveur de mots de passe ne peuvent
pas ouvrir de session
Si votre réseau contient un serveur sous Mac OS X Server 10.2, il peut être configuré
pour obtenir l’authentification d’un serveur de mots de passe Open Directory hébergé
par un autre serveur.
Si l’ordinateur du serveur de mots de passe est déconnecté du réseau, par exemple
parce que vous avez débranché la câble du port Ethernet de l’ordinateur, les utilisateurs dont les mots de passe sont validés à l’aide du Serveur de mots de passe ne
peuvent pas ouvrir de session parce que l’adresse IP n’est pas accessible.
Les utilisateurs peuvent ouvrir une session à Mac OS X Server si vous reconnectez au
réseau l’ordinateur du serveur de mots de passe. Pendant que l’ordinateur du serveur
de mots de passe est hors ligne, les utilisateurs peuvent aussi ouvrir une session avec
des comptes d’utilisateur dont le mot de passe est de type crypté ou Shadow.
Si les utilisateurs ne peuvent pas ouvrir de session sous un compte
issu d’un domaine de répertoire partagé
Les utilisateurs ne peuvent pas ouvrir de session sous un compte issu d’un domaine de
répertoire partagé si le serveur hébergeant l’annuaire n’est pas accessible. Un serveur
peut devenir inaccessible en raison d’un problème de réseau, du logiciel ou du matériel du serveur.
Les problèmes liés au matériel ou au logiciel du serveur affectent les utilisateurs qui
tentent d’ouvrir une session sur des ordinateurs Mac OS X et les utilisateurs qui tentent
d’ouvrir une session sur un domaine Windows d’un PDC Mac OS X Server. Les problèmes de réseau peuvent affecter seulement certains utilisateurs, selon la localisation du
problème sur le réseau.
Les utilisateurs qui disposent de comptes d’utilisateur mobiles peuvent toujours ouvrir
une session sur les ordinateurs Mac OS X qu’ils ont utilisé auparavant et les utilisateurs
affectés par ces problèmes peuvent ouvrir une session à l’aide d’un compte d’utilisateur local défini sur l’ordinateur, comme, par exemple, le compte d’utilisateur créé
pendant la configuration initiale, après l’installation de Mac OS X.
Si vous ne pouvez pas ouvrir une session comme utilisateur
Active Directory
Après avoir configuré une connexion vers un domaine Active Directory dans la sousfenêtre Service de Utilitaire de répertoire et après l’avoir ajouté à une politique de
recherche personnalisée dans la sous-fenêtre Authentification, vous devez attendre 10
ou 15 secondes pour que le changement entre en vigueur. Les tentatives d’ouverture
de session immédiates avec un compte Active Directory échoueront.
Chapitre 10 Résolution de problèmes liés à Open Directory
239
Si des utilisateurs ne peuvent pas s’authentifier par Kerberos et
la signature unique
En cas d’échec de l’authentification d’un utilisateur ou d’un service utilisant Kerberos,
essayez les solutions suivantes :
 L’authentification Kerberos est basée sur des horodatages cryptés. S’il existe un écart
de plus de 5 minutes entre le centre de distribution de clés, l’ordinateur client et
l’ordinateur du service, l’authentification peut échouer. Assurez-vous que les horloges de tous les ordinateurs sont synchronisées à l’aide du service Network Time
Protocol (NTP) et Mac OS X Server ou de tout autre serveur horloge de réseau.
Pour en savoir plus sur le service NTP de Mac OS X Server, consultez la section
Administration des services de réseau.
 Assurez-vous que Kerberos est exécuté sur le maître Open Directory et les répliques.
Consultez la rubrique « Si Kerberos est arrêté sur un maître ou une réplique Open
Directory » à la page 235.
 Si un serveur Kerberos servant à la validation de mot de passe est indisponible,
réinitialisez le mot de passe de l’utilisateur afin de recourir à un serveur disponible.
 Assurez-vous que le serveur fournissant le service kerbérisé dispose d’un accès au
domaine de répertoire du serveur Kerberos et que ce domaine de répertoire contient les comptes des utilisateurs qui tentent de s’authentifier à l’aide de Kerberos.
Pour en savoir plus sur la configuration de l’accès à des domaines de répertoire,
consultez le chapitre 7, « Gestion des clients de répertoire ».
 Pour un royaume Kerberos d’un serveur Open Directory, assurez-vous que l’ordinateur du client est configuré pour accéder au répertoire LDAP du serveur Open Directory à l’aide du bon suffixe de base de recherche. Le réglage du suffixe de base de
recherche LDAPv3 du client doit correspondre au réglage de base de recherche du
répertoire LDAP. Le suffixe de base de recherche LDAPv3 du client peut être vide s’il
reçoit ses mappages LDAP du serveur. Si c’est le cas, le client utilise le suffixe de base
de recherche par défaut du répertoire LDAP.
 Pour vérifier le réglage en matière de suffixe de base de recherche, ouvrez Utilitaire de répertoire, affichez la liste des configurations LDAPv3 et choisissez l’élément dans le menu local Mappages LDAP qui est déjà sélectionné dans le menu.
Pour en savoir plus, consultez la rubrique « Modification d’une configuration pour
l’accès à un répertoire LDAP » à la page 165.
 Pour contrôler les réglages de base de recherche du répertoire LDAP, ouvrez Admin
Serveur et recherchez le service Open Directory dans la sous-fenêtre Protocole de
la sous-fenêtre Réglages.
 Pour obtenir des informations pouvant vous aider à résoudre des problèmes,
consultez l’historique du centre de distribution de clés. Consultez la rubrique
« Affichage des états et des historiques Open Directory » à la page 211.
240
Chapitre 10 Résolution de problèmes liés à Open Directory
 Si Kerberos ne tournait pas quand les enregistrements d’utilisateur ont été créés,
importés ou mis à jour à partir d’une version de Mac OS X plus ancienne, il se peut
qu’ils ne soient pas activés pour l’authentification Kerberos :
 Un enregistrement n’est pas activé pour Kerberos s’il manque la valeur
;Kerberosv5; à son attribut d’autorité d’authentification. Utilisez l’Inspecteur de
Gestionnaire de groupe de travail pour voir les valeurs d’un attribut d’autorité
d’authentification d’un enregistrement d’utilisateur. Pour en savoir plus, consultez
la rubrique « Affichage de l’Inspecteur de répertoire » à la page 212.
 Activez Kerberos pour un enregistrement d’utilisateur en changeant son type de
mot de passe. Réglez d’abord le type de mot de passe sur Mot de passe crypté,
puis réglez-le sur Open Directory. Pour en savoir plus, consultez les rubriques
« Changement du type de mot en Mot de passe crypté » à la page 127 et « Choix
du type de mot de passe Open Directory » à la page 125.
 Si des utilisateurs ne peuvent pas s’authentifier à l’aide de la signature unique ou de
Kerberos pour des services fournis par un serveur connecté à un royaume Kerberos
d’un maître Open Directory, l’enregistrement d’ordinateur du serveur est peut-être
mal configuré dans le répertoire LDAP du maître Open Directory. En particulier, le
nom du serveur qui figure dans le compte de groupe d’ordinateurs doit être le nom
DNS complet du serveur, et pas juste le nom d’hôte du serveur. Par exemple, le nom
pourrait être serveur2.exemple.com, mais pas juste serveur2.
Pour reconfigurer un enregistrement d’ordinateur d’un serveur pour l’authentification Kerberos à signature unique :
1 Supprimez le serveur du compte de groupe d’ordinateurs dans le répertoire LDAP.
Pour en savoir plus sur cette étape-ci et la suivante, consultez le guide
Gestion des utilisateurs.
2 Ajoutez à nouveau le serveur au groupe d’ordinateurs.
3 Déléguez à nouveau l’autorité pour connecter le serveur au royaume Kerberos du
maître Open Directory.
Pour en savoir plus, consultez la rubrique « Délégation d’autorité pour connecter des
serveurs à un royaume Kerberos Open Directory » à la page 117.
4 Connectez à nouveau le serveur au royaume Kerberos Open Directory.
Pour en savoir plus, consultez la rubrique « Connecter un serveur à un royaume
Kerberos » à la page 119.
Chapitre 10 Résolution de problèmes liés à Open Directory
241
Si les utilisateurs n’arrivent pas à modifier leur mot de passe
Les utilisateurs dont les comptes résident dans un répertoire LDAP qui n’est pas
hébergé par Mac OS X Server et qui ont un mot de passe de type crypté ne peuvent
pas changer leur mot de passe après s’être connecté à partir d’un ordinateur client
sous Mac OS X 10.3.
Ces utilisateurs peuvent changer leur mot de passe si vous utilisez la sous-fenêtre
Avancé de Gestionnaire de groupe de travail pour changer le réglage Type du mot
de passe de leur compte en Open Directory.
En effectuant cette modification, vous devez également saisir un autre mot de passe.
Ensuite, indiquez aux utilisateurs qu’ils doivent ouvrir une session à l’aide de ce nouveau
mot de passe puis le modifier dans la sous-fenêtre Comptes des Préférences Système.
Si vous ne pouvez pas connecter un serveur à un royaume Kerberos
Open Directory
Si un utilisateur possédant une autorité Kerberos délégué ne peut pas connecter un
serveur à un royaume Kerberos d’un maître Open Directory, il se peut que l’enregistrement d’ordinateur du serveur soit mal configuré dans le répertoire LDAP du maître
Open Directory.
L’adresse du serveur dans le compte de groupe d’ordinateurs doit être l’adresse Ethernet
principale du serveur. L’adresse Ethernet principale du serveur est l’identifiant Ethernet du
premier port Ethernet qui apparaît dans la liste des configurations de ports réseau qui est
affichée dans la sous-fenêtre des préférences Réseau du serveur.
Pour reconfigurer un enregistrement d’ordinateur d’un serveur pour se connecter à
un royaume Kerberos :
1 Supprimez le serveur du compte de groupe d’ordinateurs dans le répertoire LDAP.
Pour en savoir plus sur cette étape-ci et la suivante, consultez le guide
Gestion des utilisateurs.
2 Ajoutez à nouveau le serveur au groupe d’ordinateurs.
3 Déléguez à nouveau l’autorité pour connecter le serveur au royaume Kerberos du
maître Open Directory.
Passez cette étape si vous pouvez utiliser un compte d’administrateur Kerberos (un
compte d’administrateur de répertoire LDAP) pour connecter à nouveau le serveur au
royaume Kerberos.
Pour en savoir plus, consultez la rubrique « Délégation d’autorité pour connecter des
serveurs à un royaume Kerberos Open Directory » à la page 117.
4 Connectez à nouveau le serveur au royaume Kerberos Open Directory.
Pour en savoir plus, consultez la rubrique « Connecter un serveur à un royaume
Kerberos » à la page 119.
242
Chapitre 10 Résolution de problèmes liés à Open Directory
Si vous devez réinitialiser un mot de passe d’administrateur
Le disque d’installation de Mac OS X Server vous permet de changer le mot de passe
d’un compte d’utilisateur disposant d’autorisations d’administrateur, y compris le
compte de l’Administrateur système (root ou superuser).
Important : comme un utilisateur disposant du disque d’installation peut accéder sans
restriction à votre serveur, il est conseillé de limiter l’accès physique à l’ordinateur
hébergeant le logiciel de serveur.
Pour réinitialiser un mot de passe d’administrateur :
1 Démarrez à partir du disque d’installation 1 de Mac OS X Server.
2 Dans le programme d’installation, choisissez Installation > Réinitialiser le mot de passe.
3 Sélectionnez le volume de disque dur contenant le compte d’administrateur dont vous
voulez réinitialiser le mot de passe.
4 Dans le menu local, tapez un nouveau mot de passe, choisissez le compte d’administrateur, puis cliquez sur Enregistrer.
Le compte d’administrateur système est le compte de l’utilisateur root (superuser).
Ne confondez pas ce compte avec un compte d’administrateur normal.
Évitez de modifier les mots de passe des comptes d’utilisateur prédéfinis. Pour en savoir
plus sur les comptes d’utilisateur prédéfinis, consultez le guide Gestion des utilisateurs.
Remarque : cette procédure modifie le mot de passe du compte d’administrateur du
domaine de répertoire local du serveur. Il ne modifie pas le mot de passe d’un compte
d’administrateur du domaine de répertoire partagé du serveur, si le serveur dispose
d’un tel domaine.
Si vous connaissez le mot de passe d’un compte d’administrateur du domaine local,
vous pouvez modifier le mot de passe de tous les autres comptes d’administrateur du
domaine de répertoire local en utilisant Gestionnaire de groupe de travail plutôt que
cette procédure. Pour en savoir plus, consultez la rubrique « Modification du mot de
passe d’un utilisateur » à la page 123.
Chapitre 10 Résolution de problèmes liés à Open Directory
243
Annexe
Données de répertoire Mac OS X
La connaissance du schéma LDAP Open Directory et des
attributs et types d’enregistrements des domaines de répertoire Mac OS X vous aidera pour le mappage sur d’autres
domaines de répertoire, ainsi que pour l’importation ou
l’exportation des comptes d’utilisateur et de groupe.
La présente annexe liste les extensions Open Directory au schéma LDAP, les mappages
d’attributs Open Directory sur des attributs LDAP et Active Directory et les attributs
standard de divers types d’enregistrements. Utilisez ces informations pour :
 Mapper des classes d’objets et des attributs de répertoires LDAP non-Apple ou
des domaines Active Directory sur des types et attributs d’enregistrements Open
Directory, comme décrit dans la rubrique « Configuration des recherches et mappages
LDAP » à la page 173.
 Importer ou exporter des comptes d’utilisateur ou de groupe vers un domaine
Open Directory, comme décrit dans Gestion des utilisateurs.
 Travailler dans la sous-fenêtre Inspecteur de Gestionnaire de groupe de travail,
comme décrit dans la rubrique « Affichage et modification des données de
répertoire » à la page 212.
Remarque : les tableaux suivants ne fournissent pas des informations complètes sur
l’extension de votre schéma. Le tableau indique les enregistrements et les attributs
qu’Open Directory utilise à partir de schémas Active Directory et Unix RFC2307 existants. Il indique aussi les attributs et les enregistrements qui ne possèdent pas de
mappage direct.
Pour plus de détails, consultez les rubriques suivantes :
 « Extensions Open Directory au schéma LDAP » à la page 246
 « Classes d’objets du schéma LDAP Open Directory » à la page 247
 « Attributs du schéma LDAP Open Directory » à la page 256
 « Mappage de types d’enregistrements et d’attributs standard vers LDAP et
Active Directory » à la page 276
245
« Mappages d’utilisateurs (Users) » à la page 277
« Mappages de groupes (Groups) » à la page 280
« Mappages de montages (Mounts) » à la page 282
« Mappages d’ordinateurs (Computers) » à la page 282
« Mappages de listes d’ordinateurs (ComputerLists) » à la page 284
« Mappages de configurations (Config) » à la page 285
« Mappages de personnes (People) » à la page 286
« Mappages de listes d’ordinateurs préréglés (PresetComputerLists) » à la page 287
« Mappages de groupes préréglés (PresetGroups) » à la page 288
« Mappages d’utilisateurs préréglés (PresetUsers) » à la page 289
« Mappages d’imprimantes (Printers) » à la page 290
« Mappages de configurations automatiques de serveur (AutoServerSetup) »
à la page 292
 « Mappages d’emplacements (Locations) » à la page 292
« types d’enregistrements et attributs Open Directory standard » à la page 293
« Attributs standard dans les enregistrements d’utilisateurs » à la page 293
« Attributs standard dans les enregistrements de groupes » à la page 299
« Attributs standard dans les enregistrements d’ordinateurs » à la page 300
« Attributs standard dans les enregistrements de groupes d’ordinateurs »
à la page 301
« Attributs standard dans les enregistrements de montages » à la page 302
« Attributs standard dans les enregistrements de configurations » à la page 303
Â
Â
Â
Â
Â
Â
Â
Â
Â
Â
Â
Â
Â
Â
Â
Â
Â
Â
Â
Extensions Open Directory au schéma LDAP
Le schéma des répertoires LDAP Open Directory est basé sur les attributs et classes
d’objets standard définis dans les documents RFC (Request for Comments) de l’IETF
(Internet Engineering Task Force) :
 RFC 2307 “An Approach for Using LDAP as a Network Information Service”
 RFC 2798 “Definition of the inetOrgPerson LDAP Object Class”
Les définitions de schéma LDAP spécifient les identifiants de syntaxe et les règles
correspondantes qui sont définis dans le document RFC 2252, « Attributs LDAPv3 ».
Ces RFC sont disponibles sur le site Web de l’IETF (en anglais) : www.ietf.org/rfc.html.
Les attributs et classes d’objets définis dans ces RFC forment la base du schéma LDAP
Open Directory.
246
Annexe
Données de répertoire Mac OS X
Le schéma étendu pour les répertoires LDAP Open Directory inclut les attributs et
classes d’objets définis dans :
 « Classes d’objets du schéma LDAP Open Directory » à la page 247
 « Attributs du schéma LDAP Open Directory » à la page 256
Remarque : Apple est susceptible d’étendre le schéma LDAP Open Directory à l’avenir,
par exemple, pour prendre en charge de nouvelles versions de Mac OS X et Mac OS X
Server. Le schéma le plus récent est disponible sous forme de fichiers texte sur tout
ordinateur doté de Mac OS X Server. Les fichiers de schéma se trouvent dans le répertoire /etc/openldap/schema. Le fichier apple.schema contient les dernières extensions
de schéma pour les répertoires LDAP Open Directory.
Classes d’objets du schéma LDAP Open Directory
Cette section définit les classes d’objets Open Directory LDAP qui étendent le schéma
LDAP standard.
Classe d’objets structurelle de conteneur (container)
Container est une classe d’objets structurelle utilisée pour les conteneurs d’enregistrements de premier niveau comme cn=users, cn=groups et cn=mounts. Il n’existe pas de
services de répertoires analogues à cette classe d’objets, mais le nom de conteneur fait
partie de la base de recherche pour chaque type d’enregistrement.
#objectclass (
# 1.2.840.113556.1.3.23
# NAME ’container’
# SUP top
# STRUCTURAL
# MUST (
cn ) )
Classe d’objets de durée de vie (Time To Live)
objectclass (
1.3.6.1.4.1.250.3.18
NAME ’cacheObject’
AUXILIARY
SUP top
DESC ’Auxiliary object class to hold TTL caching information’
MAY (
Annexe
ttl ) )
Données de répertoire Mac OS X
247
Classe d’objets d’utilisateur (User)
La classe d’objets apple-user est une classe auxiliaire servant à stocker des attributs
Mac OS X qui ne font pas partie d’inetOrgPerson ou de posixAccount. Cette classe
d’objets est utilisée avec les enregistrements kDSStdRecordTypeUsers.
objectclass (
1.3.6.1.4.1.63.1000.1.1.2.1
NAME ’apple-user’
SUP top
AUXILIARY
DESC ’compte d’utilisateur apple’
MAY (
apple-user-homeurl $ apple-user-class $
apple-user-homequota $ apple-user-mailattribute $
apple-user-printattribute $ apple-mcxflags $
apple-mcxsettings $ apple-user-adminlimits $
apple-user-picture $ apple-user-authenticationhint $
apple-user-homesoftquota $ apple-user-passwordpolicy $
apple-keyword $ apple-generateduid $ apple-imhandle $
apple-webloguri $ authAuthority $ acctFlags $ pwdLastSet $
logonTime $ logoffTime $ kickoffTime $ homeDrive $ scriptPath $
profilePath $ userWorkstations $ smbHome $ rid $
primaryGroupID $ sambaSID $ sambaPrimaryGroupSID $
userCertificate $ jpegPhoto $ apple-nickname $
apple-namesuffix $ apple-birthday $ apple-relationships $
apple-organizationinfo $ apple-phonecontacts $
apple-emailcontacts $ apple-postaladdresses $
apple-mapcoordinates $ apple-mapuri $ apple-mapguid $
apple-serviceslocator) )
Classe d’objets auxiliaire de groupe (group)
La classe d’objets apple-group est une classe auxiliaire utilisée pour stocker des attributs Mac OS X qui ne font pas partie de posixGroup. Cette classe d’objets est utilisée
avec les enregistrements kDSStdRecordTypeGroups.
objectclass (
1.3.6.1.4.1.63.1000.1.1.2.14
NAME ’apple-group’
SUP top
AUXILIARY
DESC ’compte de groupe’
MAY (
apple-group-homeurl $
apple-group-homeowner $
apple-mcxflags $
apple-mcxsettings $
apple-group-realname $
apple-user-picture $
apple-keyword $
apple-generateduid $
248
Annexe
Données de répertoire Mac OS X
apple-group-nestedgroup $
apple-group-memberguid $
mail $
rid $
sambaSID $
ttl $
jpegPhoto $
apple-group-services $
apple-contactguid $
apple-ownerguid $
labeledURI $
apple-serviceslocator) )
Classe d’objets auxiliaire de machine (machine)
objectclass (
1.3.6.1.4.1.63.1000.1.1.2.3
NAME ’apple-machine’
SUP top
AUXILIARY
MAY (
apple-machine-software $
apple-machine-hardware $
apple-machine-serves $
apple-machine-suffix $
apple-machine-contactperson ) )
Classe d’objets de montage (mount)
objectclass (
1.3.6.1.4.1.63.1000.1.1.2.8
NAME ’mount’
SUP top STRUCTURAL
MUST (
cn )
MAY (
mountDirectory $
mountType $
mountOption $
mountDumpFrequency $
mountPassNo ) )
Classe d’objets d’imprimante (printer)
objectclass (
1.3.6.1.4.1.63.1000.1.1.2.9
NAME ’apple-printer’
SUP top STRUCTURAL
MUST (
cn )
MAY (
apple-printer-attributes $
apple-printer-lprhost $
apple-printer-lprqueue $
apple-printer-type $
apple-printer-note ) )
Annexe
Données de répertoire Mac OS X
249
Classe d’objets d’ordinateur (computer)
objectclass (
1.3.6.1.4.1.63.1000.1.1.2.10
NAME ’apple-computer’
DESC ’ordinateur’
SUP top STRUCTURAL
MUST (
cn )
MAY (
apple-realname $
description $
macAddress $
apple-category $
apple-computer-list-groups $
apple-keyword $
apple-mcxflags $
apple-mcxsettings $
apple-networkview $
apple-xmlplist $
apple-service-url $
apple-serviceinfo $
apple-primarycomputerlist $
authAuthority $
uidNumber $ gidNumber $ apple-generateduid $ ttl $
acctFlags $ pwdLastSet $ logonTime $
logoffTime $ kickoffTime $ rid $ primaryGroupID $
sambaSID $ sambaPrimaryGroupSID
owner $ apple-ownerguid $ apple-contactguid $
ipHostNumber $ bootFile) )
Classe d’objets de liste d’ordinateurs (ComputerList)
objectclass (
1.3.6.1.4.1.63.1000.1.1.2.11
NAME ’apple-computer-list’
DESC ’liste d’ordinateurs’
SUP top STRUCTURAL
MUST (
cn )
MAY (
apple-mcxflags $
apple-mcxsettings $
apple-computer-list-groups $
apple-computers $
apple-generateduid $
apple-keyword ) )
250
Annexe
Données de répertoire Mac OS X
Classe d’objets de configuration (Configuration)
objectclass (
1.3.6.1.4.1.63.1000.1.1.2.12
NAME ’apple-configuration’
DESC ’configuration’
SUP top STRUCTURAL
MAY (
cn $ apple-config-realname $
apple-data-stamp $ apple-password-server-location $
apple-password-server-list $ apple-ldap-replica $
apple-ldap-writable-replica $ apple-keyword $
apple-kdc-authkey $ apple-kdc-configdata $ apple-xmlplist $
ttl ) )
Classe d’objets de liste d’ordinateurs préréglés (Preset Computer List)
objectclass (
1.3.6.1.4.1.63.1000.1.1.2.13
NAME ’apple-preset-computer-list’
DESC ’liste d’ordinateurs préréglés’
SUP top STRUCTURAL
MUST (
cn )
MAY (
apple-mcxflags $
apple-mcxsettings $
apple-computer-list-groups $
apple-keyword ) )
Classe d’objets d’ordinateur préréglé (Preset Computer)
objectclass (
1.3.6.1.4.1.63.1000.1.1.2.25
NAME ’apple-preset-computer’
DESC ’preset computer’
SUP top STRUCTURAL
MUST (
cn )
MAY (
apple-mcxflags $
apple-mcxsettings $
apple-computer-list-groups $
apple-primarycomputerlist $
description $
apple-networkview $
apple-keyword ) )
Annexe
Données de répertoire Mac OS X
251
Classe d’objets de groupe d’ordinateurs préréglés (Preset Computer Group)
objectclass (
1.3.6.1.4.1.63.1000.1.1.2.26
NAME ’apple-preset-computer-group’
DESC ’preset computer group’
SUP top STRUCTURAL
MUST (
cn )
MAY (
gidNumber $
memberUid $
apple-mcxflags $
apple-mcxsettings $
apple-group-nestedgroup $
description $
jpegPhoto $
apple-keyword ) )
Classe d’objets de groupe préréglé (Preset Group)
objectclass (
1.3.6.1.4.1.63.1000.1.1.3.14
NAME ’apple-preset-group’
DESC ’groupe préréglé’
SUP top STRUCTURAL
MUST (
cn )
MAY (
memberUid $
gidNumber $
description $
apple-group-homeurl $
apple-group-homeowner $
apple-mcxflags $
apple-mcxsettings $
apple-group-realname $
apple-keyword $
apple-group-nestedgroup $
apple-group-memberguid $
ttl $
jpegPhoto $
apple-group-services $
labeledURI) )) )
252
Annexe
Données de répertoire Mac OS X
Classe d’objets d’utilisateur préréglé (Preset User)
objectclass (
1.3.6.1.4.1.63.1000.1.1.2.15
NAME ’apple-preset-user’
DESC ’utilisateur préréglé’
SUP top STRUCTURAL
MUST (
cn )
MAY (
uid $
memberUid $
gidNumber $
homeDirectory $
apple-user-homeurl $
apple-user-homequota $
apple-user-homesoftquota $
apple-user-mailattribute $
apple-user-printattribute $
apple-mcxflags $
apple-mcxsettings $
apple-user-adminlimits $
apple-user-passwordpolicy $
userPassword $
apple-user-picture $
apple-keyword $
loginShell $
description $
shadowLastChange $
shadowExpire $
authAuthority $
homeDrive $ scriptPath $ profilePath $ smbHome $
apple-preset-user-is-admin
jpegPhoto $
apple-relationships $ apple-phonecontacts $ apple-emailcontacts $
apple-postaladdresses $ apple-mapcoordinates ) )
Classe d’objets d’autorité d’authentification (Authentication Authority)
objectclass (
1.3.6.1.4.1.63.1000.1.1.2.16
NAME ’authAuthorityObject’
SUP top STRUCTURAL
MAY (
Annexe
authAuthority ) )
Données de répertoire Mac OS X
253
Classe d’objets de configuration d’assistant du serveur
(Server Assistant Configuration)
objectclass (
1.3.6.1.4.1.63.1000.1.1.2.17
NAME ’apple-serverassistant-config’
SUP top STRUCTURAL
MUST (
cn )
MAY (
apple-xmlplist ) )
Classe d’objets d’emplacement (Location)
objectclass (
1.3.6.1.4.1.63.1000.1.1.2.18
NAME ’apple-location’
SUP top AUXILIARY
MUST (
cn )
MAY (
apple-dns-domain $ apple-dns-nameserver ) )
Classe d’objets de service (Service)
objectclass (
1.3.6.1.4.1.63.1000.1.1.2.19
NAME ’apple-service’
SUP top STRUCTURAL
MUST (
cn $
MAY (
ipHostNumber $
apple-service-type )
description $
apple-service-location $
apple-service-url $
apple-service-port $
apple-dnsname $
apple-keyword ) )
Classe d’objets de voisinage (Neighborhood)
objectclass (
1.3.6.1.4.1.63.1000.1.1.2.20
NAME ’apple-neighborhood’
SUP top STRUCTURAL
MUST (
cn )
MAY (
description $
apple-generateduid $
apple-category $
apple-nodepathxml $
apple-neighborhoodalias $
apple-computeralias $
apple-keyword $
apple-realname $
apple-xmlplist $
ttl ) )
254
Annexe
Données de répertoire Mac OS X
Classe d’objets de liste de contrôle d’accès (ACL)
objectclass (
1.3.6.1.4.1.63.1000.1.1.2.21
NAME ’apple-acl’
SUP top STRUCTURAL
MUST (
cn $
apple-acl-entry ) )
Classe d’objets de ressource (Resource)
objectclass (
1.3.6.1.4.1.63.1000.1.1.2.23
NAME ’apple-resource’
SUP top STRUCTURAL
MUST (
cn )
MAY (
apple-realname $ description $ jpegPhoto $ apple-keyword $
apple-generateduid $ apple-contactguid $ apple-ownerguid $
apple-resource-info $ apple-resource-type $ apple-capacity $
labeledURI $ apple-mapuri $ apple-serviceslocator $
apple-phonecontacts $ c $ apple-mapguid $ apple-mapcoordinates ) )
Classe d’objets d’augmentation (Augment)
objectclass (
1.3.6.1.4.1.63.1000.1.1.2.24
NAME ’apple-augment’
SUP top
STRUCTURAL
MUST (
cn ) )
Classe d’objets de mappage de montage automatique (Automount Map)
objectclass (
1.3.6.1.1.1.2.16
NAME ’automountMap’
SUP top STRUCTURAL
MUST (
automountMapName )
MAY
description )
Classe d’objets de montage automatique (Automount)
objectclass (
1.3.6.1.1.1.2.17
NAME ’automount’
SUP top STRUCTURAL
DESC ’Automount’
MUST (
automountKey $ automountInformation )
MAY
description )
Annexe
Données de répertoire Mac OS X
255
Attributs du schéma LDAP Open Directory
Cette section définit les attributs LDAP Open Directory qui étendent le schéma LDAP
standard.
Attribut de durée de vie (Time-to-Live, TTL)
attributetype (
1.3.6.1.4.1.250.1.60
NAME ’ttl’
EQUALITY integerMatch
SYNTAX ’1.3.6.1.4.1.1466.115.121.1.27’ SINGLE-VALUE )
Attributs d’utilisateur (User)
apple-user-homeurl
Stocke les informations de dossier de départ sous la forme d’une URL et d’un
chemin d’accès. Permet d’établir une correspondance avec le type d’attribut
kDS1AttrHomeDirectory des services de répertoires.
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.1.6
NAME ’apple-user-homeurl’
DESC ’URL du dossier de départ ’
EQUALITY caseExactIA5Match
SUBSTR caseExactIA5SubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )
apple-user-class
Inutilisé.
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.1.7
NAME ’apple-user-class’
DESC ’classe d’utilisateur’
EQUALITY caseExactIA5Match
SUBSTR caseExactIA5SubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )
apple-user-homequota
Spécifie le quota du dossier de départ en kilo-octets.
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.1.8
NAME ’apple-user-homequota’
DESC ’quota du dossier de départ ’
EQUALITY caseExactIA5Match
SUBSTR caseExactIA5SubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )
apple-user-mailattribute
Stocke les réglages de courrier au format XML.
256
Annexe
Données de répertoire Mac OS X
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.1.9
NAME ’apple-user-mailattribute’
DESC ’attribut de courrier’
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE )
apple-mcxflags
Stocke les informations de client géré. Cet attribut se trouve dans les enregistrements
d’utilisateur, de groupe, d’ordinateur et de groupe d’ordinateurs.
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.1.10
NAME ’apple-mcxflags’
DESC ’indicateurs mcx’
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE )
apple-mcxsettings
Stocke les informations de client géré. Cet attribut se trouve dans les enregistrements
d’utilisateur, de groupe, d’ordinateur et de groupe d’ordinateurs.
#attributetype (
# 1.3.6.1.4.1.63.1000.1.1.1.1.11
# NAME ’apple-mcxsettings’
# DESC ’réglages mcx’
# EQUALITY caseExactMatch
# SUBSTR caseExactSubstringsMatch
# SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE )
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.1.16
NAME ( ’apple-mcxsettings’ ’apple-mcxsettings2’ )
DESC ’réglages mcx’
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )
apple-user-picture
Stocke un chemin d’accès du système de fichiers vers l’image à afficher pour cet enregistrement d’utilisateur dans la fenêtre d’ouverture de session. Utilisé lorsque l’utilisateur réseau est affiché dans la liste déroulante de la fenêtre d’ouverture de session
(sur les réseaux gérés).
Par défaut, les utilisateurs peuvent modifier leurs photos.
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.1.12
NAME ’apple-user-picture’
DESC ’image’
Annexe
Données de répertoire Mac OS X
257
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE )
apple-user-printattribute
Stocke les réglages de quota d’impression sous forme de plist XML.
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.1.13
NAME ’apple-user-printattribute’
DESC ’attribut d’impression’
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE )
apple-user-adminlimits
Utilisé par Gestionnaire de groupe de travail pour stocker un fichier plist XML décrivant
les compétences d’un administrateur. Ces réglages sont respectés et actualisés par
Gestionnaire de groupe de travail, mais n’affectent pas les autres éléments du système.
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.1.14
NAME ’apple-user-adminlimits’
DESC ’capacités d’administrateur’
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE )
apple-user-authenticationhint
Utilisé par la fenêtre d’ouverture de session pour fournir un indice si l’utilisateur fait
trois tentatives d’ouverture de session infructueuses de suite. Par défaut, chaque
utilisateur peut modifier son indice d’authentification.
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.1.15
NAME ’apple-user-authenticationhint’
DESC ’indice de mot de passe’
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE )
apple-user-homesoftquota
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.1.17
NAME ’apple-user-homesoftquota’
DESC ’quota (soft) du dossier de départ ’
EQUALITY caseExactIA5Match
SUBSTR caseExactIA5SubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )
258
Annexe
Données de répertoire Mac OS X
apple-user-passwordpolicy
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.1.18
NAME ’apple-user-passwordpolicy’
DESC ’options de politique de mot de passe’
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE )
apple-keyword
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.1.19
NAME ( ’apple-keyword’ )
DESC ’mots clés’
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )
apple-generateduid
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.1.20
NAME ( ’apple-generateduid’ )
DESC ’identifiant unique généré’
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE )
apple-imhandle
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.1.21
NAME ( ’apple-imhandle’ )
DESC ’IM handle (service:account name)’
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )
apple-webloguri
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.1.22
NAME ( ’apple-webloguri’ )
DESC ’Weblog URI’
EQUALITY caseExactIA5Match
SUBSTR caseExactIA5SubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )
apple-mapcoordinates
attributetype (
Annexe
Données de répertoire Mac OS X
259
1.3.6.1.4.1.63.1000.1.1.1.1.23
NAME ( ’apple-mapcoordinates’ )
DESC ’Map Coordinates’
EQUALITY caseExactIA5Match
SUBSTR caseExactIA5SubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )
apple-postaladdresses
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.1.24
NAME ( ’apple-postaladdresses’ )
DESC ’Postal Addresses’
EQUALITY caseExactIA5Match
SUBSTR caseExactIA5SubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )
apple-phonecontacts
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.1.25
NAME ( ’apple-phonecontacts’ )
DESC ’Phone Contacts’
EQUALITY caseExactIA5Match
SUBSTR caseExactIA5SubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )
apple-emailcontacts
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.1.26
NAME ( ’apple-emailcontacts’ )
DESC ’EMail Contacts’
EQUALITY caseExactIA5Match
SUBSTR caseExactIA5SubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )
apple-birthday
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.1.27
NAME ( ’apple-birthday’ )
DESC ’Birthday’
EQUALITY generalizedTimeMatch
SUBSTR caseExactIA5SubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.24 SINGLE-VALUE )
apple-relationships
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.1.28
NAME ( ’apple-relationships’ )
DESC ’Relationships’
260
Annexe
Données de répertoire Mac OS X
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )
apple-company
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.1.29
NAME ( ’apple-company’ )
DESC ’company’
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )
apple-nickname
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.1.30
NAME ( ’apple-nickname’ )
DESC ’nickname’
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )
apple-mapuri
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.1.31
NAME ( ’apple-mapuri’ )
DESC ’Map URI’
EQUALITY caseExactIA5Match
SUBSTR caseExactIA5SubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )
apple-mapguid
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.1.32
NAME ( ’apple-mapguid’ )
DESC ’map GUID’
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE )
apple-serviceslocator
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.1.33
NAME ( ’apple-serviceslocator’ )
DESC ’Calendar Principal URI’
EQUALITY caseExactIA5Match
SUBSTR caseExactIA5SubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )
Annexe
Données de répertoire Mac OS X
261
apple-organizationinfo
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.1.34
NAME ’apple-organizationinfo’
DESC ’Originization Info data’
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )
apple-namesuffix
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.1.35
NAME ( ’apple-namesuffix’ )
DESC ’namesuffix’
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )
apple-primarycomputerlist
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.1.36
NAME ( ’apple-primarycomputerlist’ )
DESC ’primary computer list’
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE )
apple-user-homeDirectory
Non utilisé par le serveur Open Directory, mais fourni comme exemple d’OID et d’attribut à employer comme alternative à l’attribut homeDirectory pour la RFC 2307. Il est
surtout intéressant pour les administrateurs Active Directory parce qu’Active Directory
utilise un attribut homeDirectory différent de celui de la RFC 2307.
#attributetype (
# 1.3.6.1.4.1.63.1000.1.1.1.1.100
# NAME ’apple-user-homeDirectory’
# DESC ’Le chemin d’accès absolu au dossier de départ ’
# EQUALITY caseExactIA5Match
# SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )
262
Annexe
Données de répertoire Mac OS X
Attributs de groupe (Group)
apple-group-homeurl
Spécifie le dossier de départ associé à un groupe de travail de clients gérés. Ce dernier
est monté à l’ouverture de session par tout utilisateur faisant partie de ce groupe de
travail.
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.14.1
NAME ’apple-group-homeurl’
DESC ’url du dossier de départ du groupe’
EQUALITY caseExactIA5Match
SUBSTR caseExactIA5SubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )
apple-group-homeowner
Détermine le propriétaire du dossier de départ du groupe de travail lorsqu’il est créé
dans le système de fichiers. Le groupe du répertoire est le groupe de travail auquel
il est associé.
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.14.2
NAME ’apple-group-homeowner’
DESC ’réglages du propriétaire du dossier de départ du groupe’
EQUALITY caseExactIA5Match
SUBSTR caseExactIA5SubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )
apple-group-realname
Utilisé pour associer un nom d’utilisateur plus long et plus convivial aux groupes. Ce
nom apparaît dans Gestionnaire de groupe de travail et peut contenir des caractères
non-ASCII.
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.14.5
NAME ’apple-group-realname’
DESC ’nom réel du groupe’
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE )
apple-group-nestedgroup
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.14.6
NAME ’apple-group-nestedgroup’
DESC ’nom réel du groupe’
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )
Annexe
Données de répertoire Mac OS X
263
apple-group-memberguid
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.14.7
NAME ’apple-group-memberguid’
DESC ’nom réel du groupe’
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )
apple-group-services
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.14.8
NAME ’apple-group-services’
DESC ’group services’
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )
apple-group-memberUid
Non utilisé par le serveur Open Directory, mais défini comme exemple d’attribut et
d’OID pouvant être ajoutés à un autre serveur LDAP pour gérer les clients Mac OS X.
# Alternative à l’emploi de l’attribut memberUid de la RFC 2307.
#attributetype (
# 1.3.6.1.4.1.63.1000.1.1.1.14.1000
# NAME ’apple-group-memberUid’
# DESC ’liste des membres du groupe’
# EQUALITY caseExactIA5Match
# SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )
# can also use OID 1.3.6.1.4.1.63.1000.1.1.2.1000
apple-contactguid
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.14.9
NAME ( ’apple-contactguid’ )
DESC ’contact GUID’
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE )
apple-ownerguid
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.14.10
NAME ( ’apple-ownerguid’ )
DESC ’owner GUID’
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE )
264
Annexe
Données de répertoire Mac OS X
apple-primarycomputerguid
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.14.11
NAME ( ’apple-primarycomputerguid’ )
DESC ’primary computer GUID’
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE )
apple-group-expandednestedgroup
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.14.12
NAME ’apple-group-expandednestedgroup’
DESC ’expanded nested group list’
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )
Attributs de machine (Machine)
apple-machine-software
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.3.8
NAME ’apple-machine-software’
DESC ’logiciel système installé’
EQUALITY caseIgnoreIA5Match
SUBSTR caseIgnoreIA5SubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )
apple-machine-hardware
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.3.9
NAME ’apple-machine-hardware’
DESC ’description matérielle du système’
EQUALITY caseIgnoreIA5Match
SUBSTR caseIgnoreIA5SubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )
apple-machine-serves
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.3.10
NAME ’apple-machine-serves’
DESC ’Liaison de serveur de domaine NetInfo’
EQUALITY caseExactIA5Match
SUBSTR caseExactIA5SubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )
Annexe
Données de répertoire Mac OS X
265
apple-machine-suffix
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.3.11
NAME ’apple-machine-suffix’
DESC ’suffixe DIT’
EQUALITY caseIgnoreMatch
SUBSTR caseIgnoreSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )
apple-machine-contactperson
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.3.12
NAME ’apple-machine-contactperson’
DESC ’Name of contact person/owner of this machine’
EQUALITY caseIgnoreMatch
SUBSTR caseIgnoreSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )
attributeTypesConfig
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.22.1
NAME ’attributeTypesConfig’
DESC ’RFC2252: attribute types’
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )
objectClassesConfig
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.22.2
NAME ’objectClassesConfig’
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )
Attributs de montage
mountDirectory
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.8.1
NAME ’mountDirectory’
DESC ’chemin d’accès de montage’
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE )
266
Annexe
Données de répertoire Mac OS X
mountType
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.8.2
NAME ’mountType’
DESC ’type VFS du montage’
EQUALITY caseIgnoreIA5Match
SUBSTR caseIgnoreIA5SubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )
mountOption
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.8.3
NAME ’mountOption’
DESC ’options de montage’
EQUALITY caseIgnoreIA5Match
SUBSTR caseIgnoreIA5SubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )
mountDumpFrequency
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.8.4
NAME ’mountDumpFrequency’
DESC ’fréquence de vidage du montage’
EQUALITY caseIgnoreIA5Match
SUBSTR caseIgnoreIA5SubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )
mountPassNo
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.8.5
NAME ’mountPassNo’
DESC ’passno du montage’
EQUALITY caseIgnoreIA5Match
SUBSTR caseIgnoreIA5SubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )
apple-mount-name
# Alternative to using ’cn’ when adding mount record schema to other LDAP
servers
#attributetype (
# 1.3.6.1.4.1.63.1000.1.1.1.8.100
# NAME ( ’apple-mount-name’ )
# DESC ’mount name’
# SUP name )
Annexe
Données de répertoire Mac OS X
267
Attributs d’imprimante (Printer)
apple-printer-attributes
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.9.1
NAME ’apple-printer-attributes’
DESC ’attributs d’imprimante au format /etc/printcap’
EQUALITY caseIgnoreIA5Match
SUBSTR caseIgnoreIA5SubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )
apple-printer-lprhost
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.9.2
NAME ’apple-printer-lprhost’
DESC ’nom d’hôte LPR d’imprimante’
EQUALITY caseIgnoreMatch
SUBSTR caseIgnoreSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )
apple-printer-lprqueue
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.9.3
NAME ’apple-printer-lprqueue’
DESC ’liste d’attente LPR d’imprimante’
EQUALITY caseIgnoreMatch
SUBSTR caseIgnoreSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )
apple-printer-type
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.9.4
NAME ’apple-printer-type’
DESC ’type d’imprimante’
EQUALITY caseIgnoreMatch
SUBSTR caseIgnoreSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )
apple-printer-note
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.9.5
NAME ’apple-printer-note’
DESC ’note d’imprimante’
EQUALITY caseIgnoreMatch
SUBSTR caseIgnoreSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )
268
Annexe
Données de répertoire Mac OS X
Attributs d’ordinateur (Computer)
apple-realname
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.10.2
NAME ’apple-realname’
DESC ’nom réel’
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )
apple-networkview
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.10.3
NAME ’apple-networkview’
DESC ’Network view for the computer’
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )
apple-category
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.10.4
NAME ’apple-category’
DESC ’Category for the computer or neighborhood’
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )
Attributs de liste d’ordinateurs (ComputerList)
apple-computers
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.11.3
NAME ’apple-computers’
DESC ’ordinateurs’
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )
apple-computer-list-groups
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.11.4
NAME ’apple-computer-list-groups’
DESC ’groupes’
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )
Annexe
Données de répertoire Mac OS X
269
Attribut de Plist XML
apple-xmlplist
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.17.1
NAME ’apple-xmlplist’
DESC ’données de plist XML’
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE )
Attributs d’URL de service (Service URL)
apple-service-url
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.19.2
NAME ’apple-service-url’
DESC ’URL of service’
EQUALITY caseExactIA5Match
SUBSTR caseExactIA5SubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )
Attribut d’information de service
apple-serviceinfo
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.19.6
NAME ’apple-serviceinfo’
DESC ’service related information’
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )
Attributs de configuration (Configuration)
apple-password-server-location
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.12.1
NAME ’apple-password-server-location’
DESC ’emplacement du serveur de mots de passe’
EQUALITY caseExactIA5Match
SUBSTR caseExactIA5SubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )
270
Annexe
Données de répertoire Mac OS X
apple-data-stamp
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.12.2
NAME ’apple-data-stamp’
DESC ’data stamp’
EQUALITY caseExactIA5Match
SUBSTR caseExactIA5SubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )
apple-config-realname
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.12.3
NAME ’apple-config-realname’
DESC ’nom réel de configuration’
EQUALITY caseExactIA5Match
SUBSTR caseExactIA5SubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )
apple-password-server-list
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.12.4
NAME ’apple-password-server-list’
DESC ’plist de duplication de serveur de mots de passe’
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE )
apple-ldap-replica
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.12.5
NAME ’apple-ldap-replica’
DESC ’liste de duplication LDAP’
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )
apple-ldap-writable-replica
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.12.6
NAME ’apple-ldap-writable-replica’
DESC ’liste de duplication LDAP modifiable’
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )
Annexe
Données de répertoire Mac OS X
271
apple-kdc-authkey
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.12.7
NAME ’apple-kdc-authkey’
DESC ’clé maîtresse KDC cryptée au format RSA avec clé publique de
royaume’
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )
apple-kdc-configdata
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.12.8
NAME ’apple-kdc-configdata’
DESC ’Contenu du fichier kdc.conf’
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE )
Attribut d’utilisateur préréglé (PresetUser)
apple-preset-user-is-admin
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.15.1
NAME ’apple-preset-user-is-admin’
DESC ’indicateur signalant si l’utilisateur préréglé est un administrateur’
EQUALITY caseExactIA5Match
SUBSTR caseExactIA5SubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )
Attributs d’autorité d’authentification (Authentication Authority)
authAuthority
#attributetype (
# 1.3.6.1.4.1.63.1000.1.1.2.16.1
# NAME ’authAuthority’
#
#
#
#
DESC ’autorité d’authentification du serveur de mots de passe’
EQUALITY caseExactIA5Match
SUBSTR caseExactIA5SubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )
authAuthority2
#attributetype (
# 1.3.6.1.4.1.63.1000.1.1.2.16.2
# NAME ( ’authAuthority’ ’authAuthority2’ )
# DESC ’autorité d’authentification du serveur de mots de passe’
# EQUALITY caseExactMatch
# SUBSTR caseExactSubstringsMatch
# SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )
272
Annexe
Données de répertoire Mac OS X
Attributs d’emplacement (Location)
apple-dns-domain
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.18.1
NAME ’apple-dns-domain’
DESC ’domaine DNS’
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )
apple-dns-nameserver
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.18.2
NAME ’apple-dns-nameserver’
DESC ’liste de serveurs de noms DNS’
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )
Attributs de service (Service)
apple-service-type
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.19.1
NAME ’apple-service-type’
DESC ’type of service’
EQUALITY caseExactIA5Match
SUBSTR caseExactIA5SubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )
apple-service-url
#attributetype (
# 1.3.6.1.4.1.63.1000.1.1.1.19.2
# NAME ’apple-service-url’
# DESC ’URL of service’
# EQUALITY caseExactIA5Match
# SUBSTR caseExactIA5SubstringsMatch
# SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )
apple-service-port
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.19.3
NAME ’apple-service-port’
DESC ’Service port number’
EQUALITY integerMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.27 )
Annexe
Données de répertoire Mac OS X
273
apple-dnsname
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.19.4
NAME ’apple-dnsname’
DESC ’DNS name’
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )
apple-service-location
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.19.5
NAME ’apple-service-location’
DESC ’Service location’
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )
Attributs de voisinage (Neighborhood)
apple-nodepathxml
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.20.1
NAME ’apple-nodepathxml’
DESC ’XML plist of directory node path’
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )
apple-neighborhoodalias
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.20.2
NAME ’apple-neighborhoodalias’
DESC ’XML plist referring to another neighborhood record’
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )
apple-computeralias
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.20.3
NAME ’apple-computeralias’
DESC ’XML plist referring to a computer record’
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )
274
Annexe
Données de répertoire Mac OS X
Attribut de liste de contrôle d’accès (ACL)
apple-acl-entry
#attributetype (
# 1.3.6.1.4.1.63.1000.1.1.1.21.1
# NAME ’apple-acl-entry’
# DESC ’acl entry’
# EQUALITY caseExactMatch
# SUBSTR caseExactSubstringsMatch
# SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )
Attributs de schéma (Schema)
attributeTypesConfig
#attributetype (
# 1.3.6.1.4.1.63.1000.1.1.1.22.1
# NAME ’attributeTypesConfig’
# DESC ’attribute type configuration’
# EQUALITY objectIdentifierFirstComponentMatch
# SYNTAX 1.3.6.1.4.1.1466.115.121.1.3 )
objectClassesConfig
#attributetype (
# 1.3.6.1.4.1.63.1000.1.1.1.22.2
# NAME ’objectClassesConfig’
# DESC ’object class configuration’
# EQUALITY objectIdentifierFirstComponentMatch
# SYNTAX 1.3.6.1.4.1.1466.115.121.1.37 )
Attribut de ressource
apple-resource-type
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.23.1
NAME ’apple-resource-type’
DESC ’resource type’
EQUALITY caseExactIA5Match
SUBSTR caseExactIA5SubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )
apple-resource-info
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.23.2
NAME ’apple-resource-info’
DESC ’resource info’
EQUALITY caseExactIA5Match
SUBSTR caseExactIA5SubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )
Annexe
Données de répertoire Mac OS X
275
apple-capacity
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.23.3
NAME ’apple-capacity’
DESC ’capacity’
EQUALITY integerMatch
SYNTAX ’1.3.6.1.4.1.1466.115.121.1.27’ SINGLE-VALUE )
Attribut de montage automatique
automountMapName
attributetype (
1.3.6.1.1.1.1.31
NAME ’automountMapName’
DESC ’automount Map Name’
EQUALITY caseExactMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15
SINGLE-VALUE )
automountKey
attributetype (
1.3.6.1.1.1.1.32
NAME ’automountKey’
DESC ’Automount Key value’
EQUALITY caseExactMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15
SINGLE-VALUE )
automountInformation
attributetype (
1.3.6.1.1.1.1.33
NAME ’automountInformation’
DESC ’Automount information’
EQUALITY caseExactMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15
SINGLE-VALUE )
Mappage de types d’enregistrements et d’attributs standard
vers LDAP et Active Directory
Cette section décrit le mappage des types d’enregistrements et attributs Open Directory vers les classes d’objets et attributs LDAP. Elle décrit également le mappage de
certaines catégories et de certains attributs d’objet Active Directory vers les types
d’enregistrements et attributs Open Directory, et comment les premiers sont générés
à partir des derniers.
276
Annexe
Données de répertoire Mac OS X
Les tableaux suivants ne fournissent pas de correspondances pour l’extension de votre
schéma. Le tableau indique les enregistrements et les attributs qu’Open Directory utilise à partir de schémas Active Directory et Unix RFC2307 existants. Il indique aussi les
attributs et les enregistrements qui ne possèdent pas de mappages directs.
Mappages d’utilisateurs (Users)
Les tableaux suivants décrivent la manière dont le module LDAPv3 d’Utilitaire de répertoire mappe le type d’enregistrement et les attributs Users Open Directory vers les classes d’objets et les attributs LDAP.
Les tableaux spécifient également la manière dont le module Active Directory d’Utilitaire de répertoire mappe et génère des attributs et des catégories d’objets Active
Directory à partir d’attributs et de types d’enregistrements Open Directory.
Mappages des types d’enregistrements d’utilisateurs
Nom Open Directory,
RFC/classe
OID de nom de classe d’objets
LDAP
Module externe
Active Directory
Users,
RFC 2798
inetOrgPerson
2.16.840.1.113730.3.2.2
ObjectCategory = Person
Users,
RFC 2307
posixAccount
1.3.6.1.1.1.2.0
Users,
RFC 2307
shadowAccount
1.3.6.1.1.1.2.1
Users,
enregistré par Apple
apple-user
1.3.6.1.4.1.63.1000.1.1.2.1
schéma étendu Apple
Mappages des attributs d’utilisateurs
Nom Open Directory,
RFC/classe,
emploi spécial
OID de nom d’attribut LDAP
Module externe
Active Directory
HomeDirectory,
enregistré par Apple
apple-user-homeurl
1.3.6.1.4.1.63.1000.1.1.1.1.6
Généré à partir de homeDirectory
HomeDirectoryQuota,
enregistré par Apple
apple-user-homequota
1.3.6.1.4.1.63.1000.1.1.1.1.8
schéma étendu Apple
HomeDirectorySoftQuota,
enregistré par Apple
apple-user-homesoftquota
1.3.6.1.4.1.63.1000.1.1.1.1.17
schéma étendu Apple
MailAttribute,
enregistré par Apple
apple-user-mailattribute
1.3.6.1.4.1.63.1000.1.1.1.1.9
schéma étendu Apple
PrintServiceUserData,
enregistré par Apple
apple-user-printattribute
1.3.6.1.4.1.63.1000.1.1.1.1.13
schéma étendu Apple
MCXFlags,
enregistré par Apple
apple-mcxflags
1.3.6.1.4.1.63.1000.1.1.1.1.10
schéma étendu Apple
Annexe
Données de répertoire Mac OS X
277
278
Nom Open Directory,
RFC/classe,
emploi spécial
OID de nom d’attribut LDAP
MCXSettings,
enregistré par Apple
apple-mcxsettings
1.3.6.1.4.1.63.1000.1.1.1.1.16
schéma étendu Apple
AdminLimits,
enregistré par Apple
apple-user-adminlimits
1.3.6.1.4.1.63.1000.1.1.1.1.14
schéma étendu Apple
AuthenticationAuthority,
enregistré par Apple
authAuthority
1.3.6.1.4.1.63.1000.1.1.2.16.1
Généré en tant qu’autorité Kerberos
AuthenticationHint,
enregistré par Apple
apple-user-authenticationhint
1.3.6.1.4.1.63.1000.1.1.1.1.15
schéma étendu Apple
PasswordPolicyOptions,
enregistré par Apple
apple-user-passwordpolicy
1.3.6.1.4.1.63.1000.1.1.1.1.18
schéma étendu Apple
Keywords,
enregistré par Apple
apple-keyword
1.3.6.1.4.1.63.1000.1.1.1.1.19
schéma étendu Apple
Picture,
enregistré par Apple
apple-user-picture
1.3.6.1.4.1.63.1000.1.1.1.1.12
schéma étendu Apple
GeneratedUID,
enregistré par Apple
apple-generateduid
1.3.6.1.4.1.63.1000.1.1.1.1.20
À partir de GUID — formaté
RecordName,
RFC 2256
cn
2.5.4.3
Généré à partir de cn, userPrincipal, mail, sAMAccountName
RecordName,
RFC 1274
uid
0.9.2342.19200300.100.1.1
Indisponible
EMailAddress,
RFC 1274
mail
0.9.2342.19200300.100.1.3
Standard RFC
RealName,
RFC 2256
cn
2.5.4.3
1.2.840.113556.1.2.13 (Microsoft)
Password,
RFC 2256
userPassword
2.5.4.35
Pas de mappage
Comment,
RFC 2256
description
2.5.4.13
Standard RFC
LastName,
RFC 2256
sn
2.5.4.4
Standard RFC
FirstName,
RFC 2256
givenName
2.5.4.42
Standard RFC
PhoneNumber,
RFC 2256
telephoneNumber
2.5.4.20
Standard RFC
AddressLIne1,
RFC 2256
street
2.5.4.9
Standard RFC
PostalAddress,
RFC 2256
postalAddress
2.5.4.16
Standard RFC
PostalCode,
RFC 2256
postalCode
2.5.4.17
Standard RFC
Annexe
Données de répertoire Mac OS X
Module externe
Active Directory
Nom Open Directory,
RFC/classe,
emploi spécial
OID de nom d’attribut LDAP
OrganizationName,
RFC 2256
o
2.5.4.10
1.2.840.113556.1.2.146 (Microsoft)
UserShell,
RFC 2307
loginShell
1.3.6.1.1.1.1.4
Étendu à l’aide de RFC
Change,
RFC 2307
shadowLastChange
1.3.6.1.1.1.1.5
Pas de mappage
Expire,
RFC 2307
shadowExpire
1.3.6.1.1.1.1.10
Pas de mappage
UniqueID,
RFC 2307
uidNumber
1.3.6.1.1.1.1.0
Généré à partir de GUID
NFSHomeDirectory,
RFC 2307
homeDirectory
1.3.6.1.1.1.1.3
Généré à partir de homeDirectory
PrimaryGroupID,
RFC 2307
gidNumber
1.3.6.1.1.1.1.1
Étendu à l’aide de RFC ou
généré à partir de GUID
SMBAccountFlags,
enregistré par Samba,
Apple PDC
acctFlags
1.3.6.1.4.1.7165.2.1.4
1.2.840.113556.1.4.302 (Microsoft)
SMBPasswordLastSet,
enregistré par Samba,
Apple PDC
pwdLastSet
1.3.6.1.4.1.7165.2.1.3
1.2.840.113556.1.4.96 (Microsoft)
SMBLogonTime,
enregistré par Samba,
Apple PDC
logonTime
1.3.6.1.4.1.7165.2.1.5
1.2.840.113556.1.4.52 (Microsoft)
SMBLogoffTime,
enregistré par Samba,
Apple PDC
logoffTime
1.3.6.1.4.1.7165.2.1.6
1.2.840.113556.1.4.51 (Microsoft)
SMBKickoffTime,
enregistré par Samba,
Apple PDC
kickoffTime
1.3.6.1.4.1.7165.2.1.7
Pas de mappage
SMBHomeDrive,
enregistré par Samba,
Apple PDC
homeDrive
1.3.6.1.4.1.7165.2.1.10
1.2.840.113556.1.4.45 (Microsoft)
SMBScriptPath,
enregistré par Samba,
Apple PDC
scriptPath
1.3.6.1.4.1.7165.2.1.11
1.2.840.113556.1.4.62 (Microsoft)
SMBProfilePath,
enregistré par Samba,
Apple PDC
profilePath
1.3.6.1.4.1.7165.2.1.12
1.2.840.113556.1.4.139 (Microsoft)
SMBUserWorkstations,
enregistré par Samba,
Apple PDC
userWorkstations
1.3.6.1.4.1.7165.2.1.13
1.2.840.113556.1.4.86 (Microsoft)
Annexe
Données de répertoire Mac OS X
Module externe
Active Directory
279
Nom Open Directory,
RFC/classe,
emploi spécial
OID de nom d’attribut LDAP
Module externe
Active Directory
SMBHome,
enregistré par Samba,
Apple PDC
smbHome
1.3.6.1.4.1.7165.2.1.17
1.2.840.113556.1.4.44 (Microsoft)
SMBRID,
enregistré par Samba,
Apple PDC
rid
1.3.6.1.4.1.7165.2.1.14
1.2.840.113556.1.4.153 (Microsoft)
SMBGroupRID,
enregistré par Samba,
Apple PDC
primaryGroupID
1.3.6.1.4.1.7165.2.1.15
1.2.840.113556.1.4.98 (Microsoft)
FaxNumber,
RFC 2256
fax
2.5.4.23
Standard RFC
MobileNumber,
RFC 1274
mobile
0.9.2342.19200300.100.1.41
Standard RFC
PagerNumber,
RFC 1274
pager
0.9.2342.19200300.100.1.42
Standard RFC
Department,
RFC 2798,
departmentNumber
2.16.840.1.113730.3.1.2
1.2.840.113556.1.2.141 (Microsoft)
NickName,
Microsoft Attribute
1.2.840.113556.1.2.447 (Microsoft)
JobTitle,
RFC 2256
title
2.5.4.12
Standard RFC
Building,
RFC 2256
buildingName
2.5.4.19
Standard RFC
Country,
RFC 2256
c
2.5.4.6
Standard RFC
Street,
RFC 2256
street
2.5.4.9
1.2.840.113556.1.2.256 (Microsoft)
City,
RFC 2256
locality
2.5.4.7
Standard RFC
State,
RFC 2256
st
2.5.4.8
Standard RFC
Mappages de groupes (Groups)
Les tableaux suivants spécifient la manière dont le module LDAPv3 d’Utilitaire de répertoire mappe le type d’enregistrements et les attributs de groupes Open Directory sur
les classes d’objets LDAP.
Les tableaux spécifient également la manière dont le module Active Directory d’Utilitaire de répertoire mappe et génère des attributs et des catégories d’objets Active
Directory à partir d’attributs et de types d’enregistrements Open Directory.
280
Annexe
Données de répertoire Mac OS X
Mappages des types d’enregistrements de groupes (Groups)
Nom Open Directory,
RFC/classe
OID de nom de classe d’objets
LDAP
Module externe Active
Directory
Groups,
RFC 2307
posixGroup
1.3.6.1.1.1.2.2
objectCategory = Group
Groups,
enregistré par Apple
apple-group
1.3.6.1.4.1.63.1000.1.1.2.14
schéma étendu Apple
Mappage des attributs de groupes (Groups)
Nom Open Directory,
RFC/classe
OID de nom d’attribut LDAP
RecordName,
RFC 2256
cn
2.5.4.3
Standard RFC
HomeDirectory,
enregistré par Apple
apple-group-homeurl
1.3.6.1.4.1.63.1000.1.1.1.14.1
schéma étendu Apple
HomeLocOwner,
enregistré par Apple
apple-group-homeowner
1.3.6.1.4.1.63.1000.1.1.1.14.2
schéma étendu Apple
MCXFlags,
enregistré par Apple
apple-mcxflags
1.3.6.1.4.1.63.1000.1.1.1.1.10
schéma étendu Apple
MCXSettings,
enregistré par Apple
apple-mcxsettings
1.3.6.1.4.1.63.1000.1.1.1.1.16
schéma étendu Apple
RealName,
enregistré par Apple
apple-group-realname
1.3.6.1.4.1.63.1000.1.1.1.14.5
1.2.840.113556.1.2.13 (Microsoft)
Picture,
enregistré par Apple
apple-user-picture
1.3.6.1.4.1.63.1000.1.1.1.1.12
schéma étendu Apple
Keywords,
enregistré par Apple
apple-keyword
1.3.6.1.4.1.63.1000.1.1.1.1.19
schéma étendu Apple
GeneratedUID,
enregistré par Apple
apple-generateduid
1.3.6.1.4.1.63.1000.1.1.1.1.20
À partir de GUID — formaté
GroupMembership,
RFC 2307
memberUid
1.3.6.1.1.1.1.12
Généré à partir de member
Member,
RFC 2307
memberUid
1.3.6.1.1.1.1.12
Idem GroupMembership
PrimaryGroupID,
RFC 2307
gidNumber
1.3.6.1.1.1.1.1
Étendu à l’aide de RFC ou
généré à partir de GUID
Annexe
Données de répertoire Mac OS X
Module externe Active
Directory
281
Mappages de montages (Mounts)
Les tableaux suivants décrivent la manière dont le module LDAPv3 d’Utilitaire de
répertoire mappe le type d’enregistrement et les attributs Open Directory Mounts
vers les classes d’objets et les attributs LDAP.
Les tableaux spécifient également la manière dont le module Active Directory d’Utilitaire
de répertoire mappe et génère des attributs et des catégories d’objets Active Directory à
partir d’attributs et de types d’enregistrements Open Directory.
Mappages des types d’enregistrements de montages (Mounts)
Nom Open Directory,
RFC/classe
OID de nom de classe d’objets
LDAP
Module externe Active
Directory
Mounts,
enregistré par Apple
mount
1.3.6.1.4.1.63.1000.1.1.2.8
schéma étendu Apple
Mappages des attributs de montages (Mounts)
Nom Open Directory,
RFC/classe
OID de nom d’attribut LDAP
Module externe Active
Directory
RecordName,
RFC 2256
cn
2.5.4.3
Standard RFC
VFSLinkDir,
enregistré par Apple
mountDirectory
1.3.6.1.4.1.63.1000.1.1.1.8.1
schéma étendu Apple
VFSOpts,
enregistré par Apple
mountOption
1.3.6.1.4.1.63.1000.1.1.1.8.3
schéma étendu Apple
VFSType,
enregistré par Apple
mountType
1.3.6.1.4.1.63.1000.1.1.1.8.2
schéma étendu Apple
VFSDumpFreq,
enregistré par Apple
mountDumpFrequency
1.3.6.1.4.1.63.1000.1.1.1.8.4
schéma étendu Apple
VFSPassNo,
enregistré par Apple
mountPassNo
1.3.6.1.4.1.63.1000.1.1.1.8.5
schéma étendu Apple
Mappages d’ordinateurs (Computers)
Les tableaux suivants spécifient la manière dont le module LDAPv3 d’Utilitaire de répertoire mappe le type d’enregistrements et les attributs Open Directory Computers sur
les classes d’objets LDAP.
Les tableaux spécifient également la manière dont le module Active Directory d’Utilitaire de répertoire mappe et génère des attributs et des catégories d’objets Active
Directory à partir d’attributs et de types d’enregistrements Open Directory.
282
Annexe
Données de répertoire Mac OS X
Mappages des types d’enregistrements d’ordinateurs (Computers)
Nom Open Directory,
RFC/classe
OID de nom de classe d’objets
LDAP
Module externe
Active Directory
Computers,
enregistré par Apple
apple-computer
1.3.6.1.4.1.63.1000.1.1.2.10
objectCategory = Computer
Mappages des attributs d’ordinateurs (Computers)
Nom Open Directory,
RFC/classe,
emploi spécial
OID de nom d’attribut LDAP
RecordName,
RFC 2256
cn
2.5.4.3
Standard RFC
RealName,
enregistré par Apple
apple-realname
1.3.6.1.4.1.63.1000.1.1.1.10.2
1.2.840.113556.1.2.13 (Microsoft)
MCXFlags,
enregistré par Apple
apple-mcxflags
1.3.6.1.4.1.63.1000.1.1.1.1.10
schéma étendu Apple
MCXSettings,
enregistré par Apple
apple-mcxsettings
1.3.6.1.4.1.63.1000.1.1.1.1.16
schéma étendu Apple
Group,
enregistré par Apple
apple-computer-list-groups
1.3.6.1.4.1.63.1000.1.1.1.11.4
schéma étendu Apple
AuthenticationAuthority,
enregistré par Apple
authAuthority
1.3.6.1.4.1.63.1000.1.1.2.16.1
Indisponible
GeneratedUID,
enregistré par Apple
apple-generateduid
1.3.6.1.4.1.63.1000.1.1.1.1.20
À partir de GUID — formaté
XMLPlist,
enregistré par Apple
apple-xmlplist
1.3.6.1.4.1.63.1000.1.1.1.17.1
schéma étendu Apple
Comment,
RFC 2256
description
2.5.4.13
Standard RFC
ENetAddress,
RFC 2307
macAddress
1.3.6.1.1.1.1.22
Étendu à l’aide de RFC
UniqueID,
RFC 2307
uidNumber
1.3.6.1.1.1.1.0
Généré à partir de GUID
PrimaryGroupID,
RFC 2307
gidNumber
1.3.6.1.1.1.1.1
Étendu à l’aide de RFC ou
généré
SMBAccountFlags,
enregistré par Samba,
Apple PDC
acctFlags
1.3.6.1.4.1.7165.2.1.4
1.2.840.113556.1.4.302 (Microsoft)
SMBPasswordLastSet,
enregistré par Samba,
Apple PDC
pwdLastSet
1.3.6.1.4.1.7165.2.1.3
1.2.840.113556.1.4.96 (Microsoft)
SMBLogonTime,
enregistré par Samba,
Apple PDC
logonTime
1.3.6.1.4.1.7165.2.1.5
1.2.840.113556.1.4.52 (Microsoft)
Annexe
Données de répertoire Mac OS X
Module externe
Active Directory
283
Nom Open Directory,
RFC/classe,
emploi spécial
OID de nom d’attribut LDAP
Module externe
Active Directory
SMBLogoffTime,
enregistré par Samba,
Apple PDC
logoffTime
1.3.6.1.4.1.7165.2.1.6
1.2.840.113556.1.4.51 (Microsoft)
SMBKickoffTime,
enregistré par Samba,
Apple PDC
kickoffTime
1.3.6.1.4.1.7165.2.1.7
Pas de mappage
SMBRID,
enregistré par Samba,
Apple PDC
rid
1.3.6.1.4.1.7165.2.1.14
1.2.840.113556.1.4.153 (Microsoft)
SMBGroupID,
enregistré par Samba,
Apple PDC
primaryGroupID
1.3.6.1.4.1.7165.2.1.15
1.2.840.113556.1.4.98 (Microsoft)
Mappages de listes d’ordinateurs (ComputerLists)
Les tableaux suivants spécifient la manière dont le module LDAPv3 d’Utilitaire de répertoire mappe le type d’enregistrements et les attributs Open Directory ComputerLists
vers les classes d’objets LDAP.
Les tableaux spécifient également la manière dont le module Active Directory d’Utilitaire de répertoire mappe et génère des attributs et des catégories d’objets Active
Directory à partir d’attributs et de types d’enregistrements Open Directory.
Mappages des types d’enregistrements de listes d’ordinateurs (ComputerLists)
Nom Open Directory,
RFC/classe
OID de nom de classe d’objets
LDAP
Module externe Active
Directory
ComputerLists,
enregistré par Apple
apple-computer-list
1.3.6.1.4.1.63.1000.1.1.2.11
schéma étendu Apple
Mappages des attributs pour listes d’ordinateurs (ComputerLists)
284
Nom Open Directory,
RFC/classe
OID de nom d’attribut LDAP
RecordName,
RFC 2256
cn
2.5.4.3
Standard RFC
MCXFlags,
enregistré par Apple
apple-mcxflags
1.3.6.1.4.1.63.1000.1.1.1.1.10
schéma étendu Apple
MCXSettings,
enregistré par Apple
apple-mcxsettings
1.3.6.1.4.1.63.1000.1.1.1.1.16
schéma étendu Apple
Computers,
enregistré par Apple
apple-computers
1.3.6.1.4.1.63.1000.1.1.1.11.3
schéma étendu Apple
Annexe
Données de répertoire Mac OS X
Module externe Active
Directory
Nom Open Directory,
RFC/classe
OID de nom d’attribut LDAP
Module externe Active
Directory
Group,
enregistré par Apple
apple-computer-list-groups
1.3.6.1.4.1.63.1000.1.1.1.11.4
schéma étendu Apple
Keywords,
enregistré par Apple
apple-keyword
1.3.6.1.4.1.63.1000.1.1.1.1.19
schéma étendu Apple
Mappages de configurations (Config)
Les tableaux suivants spécifient la manière dont le module LDAPv3 d’Utilitaire de
répertoire mappe le type d’enregistrements et les attributs Open Directory Config
vers les classes d’objets LDAP.
Les tableaux spécifient également la manière dont le module Active Directory d’Utilitaire
de répertoire mappe et génère des attributs et des catégories d’objets Active Directory à
partir d’attributs et de types d’enregistrements Open Directory.
Mappages des types d’enregistrements de configurations (Config)
Nom Open Directory,
RFC/classe
OID de nom de classe d’objets
LDAP
Module externe Active
Directory
Config,
enregistré par Apple
apple-configuration
1.3.6.1.4.1.63.1000.1.1.2.12
schéma étendu Apple
Mappages des attributs de configurations (Config)
Nom Open Directory,
RFC/classe,
emploi spécial
OID de nom d’attribut LDAP
RecordName,
RFC 2256
cn
2.5.4.3
Standard RFC
RealName,
enregistré par Apple
apple-config-realname
1.3.6.1.4.1.63.1000.1.1.1.12.3
1.2.840.113556.1.2.13 (Microsoft)
DataStamp,
enregistré par Apple
apple-data-stamp
1.3.6.1.4.1.63.1000.1.1.1.12.2
schéma étendu Apple
KDCAuthKey,
enregistré par Apple,
Apple KDC
apple-kdc-authkey
1.3.6.1.4.1.63.1000.1.1.1.12.7
Pas de mappage
KDCConfigData,
enregistré par Apple,
Apple KDC
apple-kdc-configdata
1.3.6.1.4.1.63.1000.1.1.1.12.8
Pas de mappage
Keywords,
enregistré par Apple
apple-keyword
1.3.6.1.4.1.63.1000.1.1.1.1.19
schéma étendu Apple
LDAPReadReplicas,
enregistré par Apple,
Apple LDAP Server
apple-ldap-replica
1.3.6.1.4.1.63.1000.1.1.1.12.5
Pas de mappage
Annexe
Données de répertoire Mac OS X
Module externe Active Directory
285
Nom Open Directory,
RFC/classe,
emploi spécial
OID de nom d’attribut LDAP
Module externe Active Directory
LDAPWriteReplicas,
enregistré par Apple,
Apple LDAP Server
apple-ldap-writable-replica
1.3.6.1.4.1.63.1000.1.1.1.12.6
Pas de mappage
PasswordServerList,
enregistré par Apple,
Serveur de mots de passe
apple-password-server-list
1.3.6.1.4.1.63.1000.1.1.1.12.4
Pas de mappage
PasswordServerLocation,
enregistré par Apple,
Serveur de mots de passe
apple-password-server-location
1.3.6.1.4.1.63.1000.1.1.1.12.1
Pas de mappage
XMLPlist,
enregistré par Apple
apple-xmlplist
1.3.6.1.4.1.63.1000.1.1.1.17.1
schéma étendu Apple
Mappages de personnes (People)
Les tableaux suivants spécifient la manière dont le module LDAPv3 d’Utilitaire de répertoire mappe le type d’enregistrements et les attributs Open Directory People avec les
classes d’objets LDAP.
Les tableaux spécifient également la manière dont le module Active Directory d’Utilitaire de répertoire mappe et génère des attributs et des catégories d’objets Active
Directory à partir d’attributs et de types d’enregistrements Open Directory.
Mappages des types d’enregistrements de personnes (People)
Nom Open Directory,
RFC/classe
OID de nom de classe d’objets
LDAP
Module externe Active
Directory
People,
RFC 2798
inetOrgPerson
2.16.840.1.113730.3.2.2
Standard RFC
Mappage des attributs de personnes (People)
286
Nom Open Directory,
RFC/classe
OID de nom d’attribut LDAP
RecordName,
RFC 2256
cn
2.5.4.3
Standard RFC
EMailAddress,
RFC 1274
mail
0.9.2342.19200300.100.1.3
Standard RFC
RealName,
RFC 2256
cn
1.2.840.113556.1.3.23
Standard RFC
LastName,
RFC 2256
sn
2.5.4.4
Standard RFC
FirstName,
RFC 2256
givenName
2.5.4.42
Standard RFC
Annexe
Données de répertoire Mac OS X
Module externe Active
Directory
Nom Open Directory,
RFC/classe
OID de nom d’attribut LDAP
Module externe Active
Directory
FaxNumber,
RFC 2256
fax
2.5.4.23
Standard RFC
MobileNumber,
RFC 1274
mobile
0.9.2342.19200300.100.1.41
Standard RFC
PagerNumber,
RFC 1274
pager
0.9.2342.19200300.100.1.42
Standard RFC
Department,
RFC 2798,
departmentNumber
2.16.840.1.113730.3.1.2
1.2.840.113556.1.2.141 (Microsoft)
JobTitle,
RFC 2256
title
2.5.4.12
Standard RFC
PhoneNumber,
RFC 2256
telephoneNumber
2.5.4.20
Standard RFC
AddressLine1,
RFC 2256
street
2.5.4.9
Standard RFC
Street,
RFC 2256
street
2.5.4.9
Standard RFC
PostalAddress,
RFC 2256
postalAddress
2.5.4.16
Standard RFC
City,
RFC 2256
locality
2.5.4.7
Standard RFC
State,
RFC 2256
st
2.5.4.8
Standard RFC
Country,
RFC 2256
c
2.5.4.6
Standard RFC
PostalCode,
RFC 2256
postalCode
2.5.4.17
Standard RFC
OrganizationName,
RFC 2256
o
2.5.4.10
1.2.840.113556.1.2.146 (Microsoft)
Mappages de listes d’ordinateurs préréglés (PresetComputerLists)
Les tableaux suivants spécifient la manière dont le module LDAPv3 d’Utilitaire de répertoire mappe le type d’enregistrements et les attributs Open Directory PresetComputerLists avec les classes d’objets LDAP.
Les tableaux spécifient également la manière dont le module Active Directory d’Utilitaire de répertoire mappe et génère des attributs et des catégories d’objets Active
Directory à partir d’attributs et de types d’enregistrements Open Directory.
Annexe
Données de répertoire Mac OS X
287
Mappages des types d’enregistrements de listes d’ordinateurs préréglés
(PresetComputerLists)
Nom Open Directory,
RFC/classe
OID de nom de classe d’objets
LDAP
Module externe Active
Directory
PresetComputerLists,
enregistré par Apple
apple-preset-computer-list
1.3.6.1.4.1.63.1000.1.1.2.13
schéma étendu Apple
Mappages des attributs de listes d’ordinateurs préréglés (PresetComputerLists)
Nom Open Directory,
RFC/classe
OID de nom d’attribut LDAP
Module externe Active
Directory
RecordName,
RFC 2256
cn
2.5.4.3
Standard RFC
MCXFlags,
enregistré par Apple
apple-mcxflags
1.3.6.1.4.1.63.1000.1.1.1.1.10
schéma étendu Apple
MCXSettings,
enregistré par Apple
apple-mcxsettings
1.3.6.1.4.1.63.1000.1.1.1.1.16
schéma étendu Apple
Keywords,
enregistré par Apple
apple-keyword
1.3.6.1.4.1.63.1000.1.1.1.1.19
schéma étendu Apple
Mappages de groupes préréglés (PresetGroups)
Les tableaux suivants spécifient la manière dont le module LDAPv3 d’Utilitaire de répertoire mappe le type d’enregistrements et les attributs Open Directory PresetGroups
avec les classes d’objets LDAP.
Les tableaux spécifient également la manière dont le module Active Directory d’Utilitaire de répertoire mappe et génère des attributs et des catégories d’objets Active
Directory à partir d’attributs et de types d’enregistrements Open Directory.
Mappages des types d’enregistrements de groupes préréglés (PresetGroups)
Nom Open Directory,
RFC/classe
OID de nom de classe d’objets
LDAP
Module externe Active
Directory
PresetGroups,
enregistré par Apple
apple-preset-group
1.3.6.1.4.1.63.1000.1.1.3.14
schéma étendu Apple
Mappages des attributs de groupes préréglés (PresetGroups)
288
Nom Open Directory,
RFC/classe
OID de nom d’attribut LDAP
HomeDirectory,
enregistré par Apple
apple-group-homeurl
1.3.6.1.4.1.63.1000.1.1.1.1.6
schéma étendu Apple
HomeLocOwner,
enregistré par Apple
apple-group-homeowner
1.3.6.1.4.1.63.1000.1.1.1.14.2
schéma étendu Apple
Annexe
Données de répertoire Mac OS X
Module externe Active
Directory
Nom Open Directory,
RFC/classe
OID de nom d’attribut LDAP
Module externe Active
Directory
MCXFlags,
enregistré par Apple
apple-mcxflags
1.3.6.1.4.1.63.1000.1.1.1.1.10
schéma étendu Apple
MCXSettings,
enregistré par Apple
apple-mcxsettings
1.3.6.1.4.1.63.1000.1.1.1.1.16
schéma étendu Apple
RealName,
enregistré par Apple
apple-group-realname
1.3.6.1.4.1.63.1000.1.1.1.14.5
schéma étendu Apple
Keywords,
enregistré par Apple
apple-keyword
1.3.6.1.4.1.63.1000.1.1.1.1.19
schéma étendu Apple
RecordName,
RFC 2256
cn
2.5.4.3
Standard RFC
GroupMembership,
RFC 2307
memberUid
1.3.6.1.1.1.1.12
Étendu à l’aide de RFC
PrimaryGroupID,
RFC 2307
gidNumber
1.3.6.1.1.1.1.1
Étendu à l’aide de RFC
Mappages d’utilisateurs préréglés (PresetUsers)
Les tableaux suivants spécifient la manière dont le module LDAPv3 d’Utilitaire de répertoire mappe le type d’enregistrements et les attributs Open Directory PresetUsers avec
les classes d’objets LDAP.
Les tableaux spécifient également la manière dont le module Active Directory d’Utilitaire de répertoire mappe et génère des attributs et des catégories d’objets Active
Directory à partir d’attributs et de types d’enregistrements Open Directory.
Mappages des types d’enregistrements d’utilisateurs préréglés (PresetUsers)
Nom Open Directory,
RFC/classe
OID de nom de classe d’objets
LDAP
Module externe Active
Directory
PresetUsers,
enregistré par Apple
apple-preset-user
1.3.6.1.4.1.63.1000.1.1.2.15
ObjectCategory = Person
Mappages des attributs d’utilisateurs préréglés (PresetUsers)
Nom Open Directory,
RFC/classe
OID de nom d’attribut LDAP
HomeDirectory,
enregistré par Apple
apple-user-homeurl
1.3.6.1.4.1.63.1000.1.1.1.1.6
Indisponible
HomeDirectoryQuota,
enregistré par Apple
apple-user-homequota
1.3.6.1.4.1.63.1000.1.1.1.1.8
schéma étendu Apple
HomeDirectorySoftQuota,
enregistré par Apple
apple-user-homesoftquota
1.3.6.1.4.1.63.1000.1.1.1.1.17
schéma étendu Apple
MailAttribute,
enregistré par Apple
apple-user-mailattribute
1.3.6.1.4.1.63.1000.1.1.1.1.9
schéma étendu Apple
Annexe
Données de répertoire Mac OS X
Module externe Active
Directory
289
Nom Open Directory,
RFC/classe
OID de nom d’attribut LDAP
Module externe Active
Directory
PrintServiceUserData,
enregistré par Apple
apple-user-printattribute
1.3.6.1.4.1.63.1000.1.1.1.1.13
schéma étendu Apple
MCXFlags,
enregistré par Apple
apple-mcxflags
1.3.6.1.4.1.63.1000.1.1.1.1.10
schéma étendu Apple
MCXSettings,
enregistré par Apple
apple-mcxsettings
1.3.6.1.4.1.63.1000.1.1.1.1.16
schéma étendu Apple
AdminLimits,
enregistré par Apple
apple-user-adminlimits
1.3.6.1.4.1.63.1000.1.1.1.1.14
schéma étendu Apple
Picture,
enregistré par Apple
apple-user-picture
1.3.6.1.4.1.63.1000.1.1.1.1.12
schéma étendu Apple
AuthenticationAuthority,
enregistré par Apple
authAuthority
1.3.6.1.4.1.63.1000.1.1.2.16.1
Indisponible
PasswordPolicyOptions,
enregistré par Apple
apple-user-passwordpolicy
1.3.6.1.4.1.63.1000.1.1.1.1.18
schéma étendu Apple
PresetUserIsAdmin,
enregistré par Apple
apple-preset-user-is-admin
1.3.6.1.4.1.63.1000.1.1.1.15.1
schéma étendu Apple
Keywords,
enregistré par Apple
apple-keyword
1.3.6.1.4.1.63.1000.1.1.1.1.19
schéma étendu Apple
RecordName,
RFC 1274
cn
2.5.4.3
Standard RFC
RealName,
RFC 2256
cn
2.5.4.3
Standard RFC
Password,
RFC 2256
userPassword
2.5.4.35
Indisponible
GroupMembership,
RFC 2307
memberUid
1.3.6.1.1.1.1.12
Étendu à l’aide de RFC
PrimaryGroupID,
RFC 2307
gidNumber
1.3.6.1.1.1.1.1
Étendu à l’aide de RFC
NFSHomeDirectory,
RFC 2307
homeDirectory
1.3.6.1.1.1.1.3
Indisponible
UserShell,
RFC 2307
loginShell
1.3.6.1.1.1.1.4
Étendu à l’aide de RFC
Change,
RFC 2307
shadowLastChange
1.3.6.1.1.1.1.5
Indisponible
Expire,
RFC 2307
shadowExpire
1.3.6.1.1.1.1.10
Indisponible
Mappages d’imprimantes (Printers)
Les tableaux suivants spécifient la manière dont le module LDAPv3 d’Utilitaire de répertoire mappe le type d’enregistrements et les attributs Open Directory Printers avec les
classes d’objets LDAP.
290
Annexe
Données de répertoire Mac OS X
Les tableaux spécifient également la manière dont le module Active Directory d’Utilitaire de répertoire mappe et génère des attributs et des catégories d’objets Active
Directory à partir d’attributs et de types d’enregistrements Open Directory.
Mappages des types d’enregistrements d’imprimantes (Printers)
Nom Open Directory,
RFC/classe
OID de nom de classe d’objets
LDAP
Module externe Active
Directory
Printers,
enregistré par Apple
apple-printer
1.3.6.1.4.1.63.1000.1.1.2.9
ObjectCategory = Print-Queue
Printers,
IETF-Draft-IPP-LDAP
printerIPP
1.3.18.0.2.6.256
Mappages des attributs d’imprimantes (Printers)
Nom Open Directory,
RFC/classe,
emploi spécial
OID de nom d’attribut LDAP
RecordName,
RFC 2256
cn
2.5.4.3
Standard RFC
RealName,
RFC 2256
Non prémappé
1.2.840.113556.1.4.300 (Microsoft)
PrinterLPRHost,
enregistré par Apple,
gestion héritée
apple-printer-lprhost
1.3.6.1.4.1.63.1000.1.1.1.9.2
Indisponible
PrinterLPRQueue,
enregistré par Apple,
gestion héritée
apple-printer-lprqueue
1.3.6.1.4.1.63.1000.1.1.1.9.3
Indisponible
PrinterType,
enregistré par Apple,
gestion héritée
apple-printer-type
1.3.6.1.4.1.63.1000.1.1.1.9.4
Indisponible
PrinterNote,
enregistré par Apple,
gestion héritée
apple-printer-note
1.3.6.1.4.1.63.1000.1.1.1.9.5
Indisponible
Location,
IETF-Draft-IPP-LDAP
Non prémappé ; pourrait être
mappé vers : printer-location
1.3.18.0.2.4.1136
1.2.840.113556.1.4.222 (Microsoft)
Comment,
RFC 2256
Non prémappé ; pourrait être
mappé vers : description
2.5.4.13
Standard RFC
PrinterMakeAndModel,
IETF-Draft-IPP-LDAP
Non prémappé ; pourrait être
mappé vers : printer-make-andmodel
1.3.18.0.2.4.1138
1.2.840.113556.1.4.229 (Microsoft)
PrinterURI,
IETF-Draft-IPP-LDAP
Non prémappé ; pourrait être
mappé vers : printer-uri
1.3.18.0.2.4.1140
Généré à partir de uNCName
Annexe
Données de répertoire Mac OS X
Module externe Active Directory
291
Nom Open Directory,
RFC/classe,
emploi spécial
OID de nom d’attribut LDAP
Module externe Active Directory
PrinterXRISupported,
IETF-Draft-IPP-LDAP
Non prémappé ; pourrait être
mappé vers : printer-xri-supported
1.3.18.0.2.4.1107
Généré à partir de portName/
uNCName
Printer1284DeviceID,
enregistré par Apple
Non prémappé ; pourrait être
mappé vers : printer-1284device-id
1.3.6.1.4.1.63.1000.1.1.1.9.6
schéma étendu Apple
Mappages de configurations automatiques de serveur
(AutoServerSetup)
Les tableaux suivants spécifient la manière dont le module LDAPv3 d’Utilitaire de répertoire mappe le type d’enregistrements et les attributs Open Directory AutoServerSetup
avec les classes d’objets LDAP.
Les tableaux spécifient également la manière dont le module Active Directory d’Utilitaire de répertoire mappe et génère des attributs et des catégories d’objets Active
Directory à partir d’attributs et de types d’enregistrements Open Directory.
Mappages des types d’enregistrements de configurations automatiques de serveur (AutoServerSetup)
Nom Open Directory,
RFC/classe
OID de nom de classe d’objets
LDAP
Module externe Active
Directory
AutoServerSetup,
enregistré par Apple
apple-serverassistant-config
1.3.6.1.4.1.63.1000.1.1.2.17
schéma étendu Apple
Mappages des attributs d’enregistrements de configurations automatiques
de serveur (AutoServerSetup)
Nom Open Directory,
RFC/classe
OID de nom d’attribut LDAP
Module externe Active
Directory
RecordName,
RFC 2256
cn
2.5.4.3
Standard RFC
XMLPlist,
enregistré par Apple
apple-xmlplist
1.3.6.1.4.1.63.1000.1.1.1.17.1
schéma étendu Apple
Mappages d’emplacements (Locations)
Les tableaux suivants spécifient la manière dont le module LDAPv3 d’Utilitaire de répertoire mappe le type d’enregistrements et les attributs Open Directory Locations avec
les classes d’objets LDAP.
292
Annexe
Données de répertoire Mac OS X
Les tableaux spécifient également la manière dont le module Active Directory d’Utilitaire de répertoire mappe et génère des attributs et des catégories d’objets Active
Directory à partir d’attributs et de types d’enregistrements Open Directory.
Mappages des types d’enregistrements d’emplacements (Locations)
Nom Open Directory,
RFC/classe
OID de nom de classe d’objets
LDAP
Module externe Active
Directory
Locations,
enregistré par Apple
apple-location
1.3.6.1.4.1.63.1000.1.1.2.18
schéma étendu Apple
Mappages des attributs d’emplacements (Locations)
Nom Open Directory,
RFC/classe
OID de nom d’attribut LDAP
Module externe Active
Directory
RecordName,
RFC 2256
cn
2.5.4.3
Standard RFC
DNSDomain,
enregistré par Apple
apple-dns-domain
1.3.6.1.4.1.63.1000.1.1.1.18.1
schéma étendu Apple
DNSNameServer,
enregistré par Apple
apple-dns-nameserver
1.3.6.1.4.1.63.1000.1.1.1.18.2
schéma étendu Apple
types d’enregistrements et attributs Open Directory standard
Pour en savoir plus sur les types d’enregistrements et les attributs standard dans les
domaines Open Directory, consultez les rubriques suivantes :
 « Attributs standard dans les enregistrements d’utilisateurs » à la page 293
 « Attributs standard dans les enregistrements de groupes » à la page 299
 « Attributs standard dans les enregistrements d’ordinateurs » à la page 300
 « Attributs standard dans les enregistrements de groupes d’ordinateurs »
à la page 301
 « Attributs standard dans les enregistrements de montages » à la page 302
 « Attributs standard dans les enregistrements de configurations » à la page 303
Pour obtenir une liste complète des types d’enregistrements et des attributs standard,
consultez le fichier suivant :
/System/Library/Frameworks/DirectoryService.framework/Headers/DirServicesConst.h
Attributs standard dans les enregistrements d’utilisateurs
Le tableau suivant décrit les attributs standard figurant dans les enregistrements d’utilisateurs Open Directory. Utilisez ces informations lorsque vous travaillez dans la sousfenêtre Inspecteur de Gestionnaire de groupe de travail ou lorsque vous mappez des
attributs d’enregistrements d’utilisateurs avec Utilitaire de répertoire.
Annexe
Données de répertoire Mac OS X
293
Important : lors du mappage des attributs d’utilisateurs Mac OS X sur un domaine de
répertoire LDAP en lecture/écriture (un domaine LDAP qui n’est pas en lecture seule),
ne mappez pas l’attribut RealName et le premier attribut RecordName sur le même
attribut LDAP.
Par exemple, ne mappez pas à la fois RealName et RecordName sur l’attribut cn. Si RealName et RecordName sont mappés sur le même attribut LDAP, des problèmes se produiront lorsque vous essaierez de modifier le nom complet ou le premier nom abrégé
dans Gestionnaire de groupe de travail.
294
Attribut d’utilisateur Mac OS X Format
Exemples de valeurs
Nom de l’entrée :
Une liste de noms associés à un
utilisateur. Le premier nom est le
nom abrégé de l’utilisateur ainsi
que le nom du dossier de départ
de ce dernier.
IMPORTANT Tous les attributs
utilisés pour l’authentification
doivent être mappés sur RecordName.
Jean
Jean D.
J. Dupont
Longueur non nulle, de 1 à 16
valeurs. Maximum 255 octets
(de 85 caractères triple octets à
255 caractères d’un octet) par
instance.
La première valeur doit être 1 à
8 octets pour les clients qui utilisent Mac OS X 10.1 ou antérieur.
Première valeur : caractères
ASCII de A à Z, a à z, 0 à 9, _,Deuxième valeur : texte romain
UTF-8
Nom réel :
Texte UTF-8
Un nom, habituellement le nom
complet de l’utilisateur ; non utilisé pour l’authentification.
Jean Dupont.
Longueur non nulle, d’un maximum de 255 octets (soit 85
caractères triple octets ou 255
caractères d’un octet).
Chaîne ASCII signée à 32 bits,
Identifiant unique :
Identifiant utilisateur unique, uti- composée de chiffres de 0 à 9
lisé pour la gestion des autorisations d’accès.
Les valeurs inférieures à 500
peuvent avoir une signification
particulière. Les valeurs inférieures à 100 sont généralement
attribuées aux comptes de système. Zéro est réservé au système.
Normalement unique par rapport aux autres utilisateurs mais
parfois en double.
Avertissement : une valeur non
entière est interprétée comme
un 0, c’est-à-dire l’identificateur
unique du compte de l’’utilisateur root.
Identifiant de groupe principal :
Association de groupe principal
d’utilisateur
Plage de 1 à 2.147.483.648
Normalement unique dans tous
les enregistrements de groupe.
Si vide, la valeur supposée est
20.
Annexe
Chaîne ASCII signée à 32 bits,
composée de chiffres de 0 à 9
Données de répertoire Mac OS X
Attribut d’utilisateur Mac OS X Format
Exemples de valeurs
Répertoire d’accueil NFS :
Chemin d’accès au dossier de
départ de l’utilisateur, dans le
système de fichiers local.
Texte UTF-8
/Network/Servers/example/
Users/K-M/Tom King
Longueur non nulle. Maximum
255 octets.
Répertoire d’accueil
Emplacement d’un dossier de
départ AFP.
Texte XML UTF-8
<home_dir>
<url>afp://server/sharept</url>
<path>usershomedir</path>
</home_dir>
Dans l’exemple ci-dessous, le
dossier de départ de Tom King
est K-M/Tom King, qui réside en
dessous du répertoire du point
de partage Utilisateurs :
<home_dir>
<url>afp://example.com/
Users</url>
<path>K-M/Tom King</path>
</home_dir>
HomeDirectoryQuota :
Quota de disque du dossier de
départ de l’utilisateur.
Texte indiquant le nombre
d’octets autorisés
Si le quota est de 10 Mo, la
valeur sera la chaîne de texte
« 1048576 ».
Attribut de courrier :
Configuration du service de
courrier d’un utilisateur.
Texte XML UTF-8
PrintServiceUserData :
Statistiques du quota d’impression d’un utilisateur.
plist XML UTF-8, valeur unique
MCXFlags :
S’il est présent, MCXSettings est
chargé ; dans le cas contraire, il
ne l’est pas. Obligatoire pour un
utilisateur géré.
plist XML UTF-8, valeur unique
Réglages MCX :
Préférences gérées d’un utilisateur.
plist XML UTF-8, valeurs multiples
.
AdminLimits :
plist XML UTF-8, valeur unique
Autorisations accordées par Gestionnaire de groupe de travail à
un utilisateur qui peut administrer le domaine de répertoire.
Mot de passe :
Mot de passe de l’utilisateur.
Annexe
Cryptage UNIX
Données de répertoire Mac OS X
295
Attribut d’utilisateur Mac OS X Format
Exemples de valeurs
Image :
Chemin d’accès à un fichier
d’image reconnu à afficher pour
l’utilisateur.
Texte UTF-8
Maximum 255 octets.
Commentaires :
Toute documentation de votre
choix.
Texte UTF-8
Jean est responsable du marketing
Maximum 32 676 octets.
Shell utilisateur :
Chemin d’accès
Emplacement du shell par
défaut pour l’envoi de commandes au serveur.
Change :
Non utilisé par Mac OS X mais
correspond à une partie du
schéma LDAP standard.
Nombre
Expire :
Non utilisé par Mac OS X mais
correspond à une partie du
schéma LDAP standard.
Nombre
Texte ASCII
Droit d’authentification :
Décrit les méthodes d’authentification de l’utilisateur, comme,
par exemple, Open Directory,
Mot de passe shadow ou Mot de
passe crypté.
Facultatif pour un utilisateur ne
possédant qu’un mot de passe
crypté.
L’absence de cet attribut signifie l’authentification héritée
(cryptée avec Gestionnaire
d’authentification, le cas
échéant).
296
Annexe
Données de répertoire Mac OS X
/bin/tcsh
/bin/sh
Aucun. Cette valeur empêche les
utilisateurs possédant des
comptes dans le domaine de
répertoire d’accéder au serveur
à distance via une ligne de commande.
Longueur non nulle.
Les valeurs décrivent les méthodes d’authentification d’utilisateur.
Peut être multivalué (par exemple ;ApplePasswordServer; et
;Kerberosv5;).
Chaque valeur a le format vers;
balise; données (où vers et données peuvent être vides).
Mot de passe crypté : ;basic;
Mot de passe Open Directory
: ;ApplePasswordServer; HexID,
clé publique du serveur IPaddress:port ;Kerberosv5;données
Kerberos
Mot de passe shadow (domaine
de répertoire local uniquement)
:
 ;ShadowHash;
 ;ShadowHash;<liste des méthodes d’authentification activées>
Attribut d’utilisateur Mac OS X Format
Exemples de valeurs
Indice d’authentification :
Texte UTF-8
Texte défini par l’utilisateur pour
être affiché à titre d’indice de
mot de passe.
Vous avez vu juste.
Maximum 255 octets.
FirstName :
Utilisé par Carnet d’adresses et
d’autres applications utilisant la
règle de recherche de contacts.
LastName :
Utilisé par Carnet d’adresses et
d’autres applications utilisant la
règle de recherche de contacts.
Adresse de courrier électronique : Toute adresse électronique
Adresse électronique à laquelle légale selon RFC 822
le courrier électronique doit être
réexpédié lorsqu’un utilisateur a
un attribut no Mail défini.
Utilisé par Carnet d’adresses,
Mail et d’autres applications utilisant la politique de recherche
de contacts.
[email protected]
PhoneNumber :
Utilisé par Carnet d’adresses et
d’autres applications utilisant
la politique de recherche de
contacts.
AddressLine1 :
Utilisé par Carnet d’adresses et
d’autres applications utilisant
la politique de recherche de
contacts.
PostalAddress :
Utilisé par Carnet d’adresses et
d’autres applications utilisant
la politique de recherche de
contacts.
PostalCode :
Utilisé par Carnet d’adresses et
d’autres applications utilisant la
politique de recherche de contacts.
OrganizationName :
Utilisé par Carnet d’adresses et
d’autres applications utilisant
la politique de recherche de
contacts.
Annexe
Données de répertoire Mac OS X
297
Données d’utilisateur utilisées par Mac OS X Server
Le tableau suivant décrit la manière dont votre serveur Mac OS X Server utilise les données des enregistrements d’utilisateurs des domaines de répertoire. Consultez ce
tableau pour savoir quels sont les attributs (ou types de données) que les services de
votre serveur s’attendent à trouver dans les enregistrements d’utilisateurs des domaines de répertoire.
Dans la colonne située le plus à gauche, « Tous les services » couvre AFP, SMB, FTP,
HTTP, NFS, WebDAV, POP, IMAP, Gestionnaire de groupe de travail, Admin Serveur
et la fenêtre d’ouverture de session de Mac OS X.
298
Composant du serveur
Attribut d’utilisateur Mac OS X Dépendance
Tous les services
RecordName
Requis pour l’authentification
Tous les services
Nom réel
Requis pour l’authentification
Tous les services
AuthenticationAuthority
Utilisé pour l’authentification
Kerberos, par serveur de mots
de passe et par mot de passe
shadow
Tous les services
Password
Utilisé pour l’authentification
élémentaire (mot de passe
crypté) ou Liaison LDAP
Tous les services
Identifiant unique
Nécessaire pour l’autorisation
(par exemple, permissions de
fichier et comptes de courrier)
Tous les services
PrimaryGroupID
Nécessaire pour l’autorisation
(par exemple, permissions de
fichier et comptes de courrier)
Service FTP
Service web
Service de fichiers Apple
Service NFS
Fenêtre d’ouverture de session
de Mac OS X
Préférences de l’application et
préférences système
Répertoire d’accueil
Répertoire d’accueil NFS
Facultatif
Service de courrier
Attribut de courrier
Obligatoire pour ouvrir une session dans le service de messagerie de votre serveur
Service de courrier
Adresse électronique
Facultatif
Annexe
Données de répertoire Mac OS X
Attributs standard dans les enregistrements de groupes
Le tableau suivant décrit les attributs standard figurant dans les enregistrements de
groupes Open Directory. Utilisez ces informations lorsque vous travaillez dans la sousfenêtre Inspecteur de Gestionnaire de groupe de travail ou lorsque vous mappez des
attributs de groupes avec Utilitaire de répertoire.
Attribut de groupe Mac OS X
Format
Exemples de valeurs
Nom de l’entrée :
Nom associé à un groupe
caractères ASCII A à Z, a à z,
0 à 9, _
Sciences
Dépt_Sciences
Prof.Sciences
Longueur non nulle, maximum
255 octets (de 85 caractères triple octets à 255 caractères d’un
octet).
Nom réel :
Habituellement le nom complet
du groupe
Texte UTF-8
Professeurs du département de
sciences
Longueur non nulle, maximum
255 octets (de 85 caractères triple octets à 255 caractères d’un
octet).
Identifiant de groupe principal :
Un identifiant unique pour le
groupe
Chaîne ASCII signée à 32 bits,
composée de chiffres de 0 à 9
Normalement unique dans tous
les enregistrements de groupe.
Membres du groupe :
Liste de noms abrégés d’enregistrements d’utilisateurs considérés comme faisant partie du
groupe
Caractères ASCII A à Z, a à z,
0 à 9, _,-
bsmith, jdoe
Peut être une liste vide (normalement pour le groupe principal
des utilisateurs).
Répertoire d’accueil
Emplacement d’un dossier de
départ AFP du groupe
Texte UTF-8 structuré
<home_dir>
<url>afp://server/sharept</url>
<path>grouphomedir</path>
</home_dir>
Dans l’exemple ci-dessous, le
dossier de départ du groupe
Sciences est K-M/Science, qui
réside en dessous du répertoire
de point de partage Groupes :
<home_dir>
<url>afp://exemple.com/Groupes</url>
<path>K-M/Science</path>
</home_dir>
Member :
Même données que pour GroupMembership mais chacune
étant utilisée par différents services de Mac OS X Server
Caractères ASCII A à Z, a à z,
0 à 9, _,-
bsmith, jdoe
Peut être une liste vide (normalement pour le groupe principal
des utilisateurs).
Annexe
Données de répertoire Mac OS X
299
Attribut de groupe Mac OS X
Format
HomeLocOwner :
Nom abrégé de l’utilisateur qui
possède le dossier de départ du
groupe
Caractères ASCII A à Z, a à z, 0 à
9, _,-
MCXFlags :
S’il est présent, MCXSettings est
chargé ; s’il est absent, MCXSettings n’est pas chargé ; requis
pour un utilisateur géré.
plist XML UTF-8, valeur unique
Réglages MCX :
Préférences d’un groupe de travail (groupe géré)
plist XML UTF-8, valeurs multiples
Exemples de valeurs
Attributs standard dans les enregistrements d’ordinateurs
Le tableau suivant décrit les attributs standard figurant dans les enregistrements d’ordinateurs Open Directory.
Les enregistrements d’ordinateurs associent l’adresse matérielle de l’interface Ethernet
principale d’un ordinateur à un nom attribué à cet ordinateur. Le nom fait partie d’un enregistrement de groupe d’ordinateurs (similaire à la notion d’utilisateur dans un groupe).
Utilisez ces informations lorsque vous travaillez dans la sous-fenêtre Inspecteur de Gestionnaire de groupe de travail ou lorsque vous mappez des attributs d’enregistrements
d’ordinateurs avec Utilitaire de répertoire.
300
Attribut d’ordinateur Mac OS X Format
Exemples de valeurs
Nom de l’entrée :
Nom associé à un ordinateur.
Texte UTF-8
iMac 1
Commentaires :
Toute documentation de votre
choix.
Texte UTF-8
EnetAddress :
La valeur de cet attribut doit
être l’adresse Ethernet (appelée
aussi adresse MAC) de l’interface Ethernet intégrée de l’ordinateur, même si l’ordinateur se
connecte au répertoire à l’aide
d’une autre interface réseau,
telle qu’AirPort.
Notation hexa, séparation par
deux-points ; les zéros initiaux
peuvent être ignorés
Annexe
Données de répertoire Mac OS X
00:05:02:b7:b5:88
Attribut d’ordinateur Mac OS X Format
Exemples de valeurs
MCXFlags :
plist XML UTF-8, valeur unique
Utilisé uniquement dans l’enregistrement d’ordinateur
« guest » (invité) ; s’il est présent, MCXSettings est chargé ;
dans le cas contraire, il ne l’est
pas ; obligatoire pour un ordinateur géré.
Réglages MCX :
Utilisé uniquement dans l’enregistrement d’ordinateur
« guest » (invité) ; préférences
d’un ordinateur géré.
plist XML UTF-8, valeurs multiples
Attributs standard dans les enregistrements de groupes d’ordinateurs
Le tableau suivant décrit les attributs standard figurant dans les enregistrements de
groupes d’ordinateurs Open Directory. Un enregistrement de groupe d’ordinateurs
identifie un groupe d’ordinateurs (très similaire à la façon dont un enregistrement
de groupe identifie un ensemble d’utilisateurs).
Utilisez ces informations lorsque vous travaillez dans la sous-fenêtre Inspecteur de Gestionnaire de groupe de travail ou lorsque vous mappez des attributs d’enregistrements
de groupes d’ordinateurs avec Utilitaire de répertoire.
Attribut de groupe d’ordinateurs Mac OS X
Format
Exemples de valeurs
Nom de l’entrée :
Nom associé à un groupe
d’ordinateurs
Texte UTF-8
Ordinateurs de laboratoire
Longueur non nulle, maximum
255 octets (de 85 caractères triple octets à 255 caractères d’un
octet).
MCXFlags
plist XML UTF-8, valeur unique
Réglages MCX :
Stocke les préférences
d’un ordinateur géré
plist XML UTF-8, valeurs multiples
Computers
Liste à valeurs multiples de
noms d’enregistrements d’ordinateurs
Groupe
Liste à valeurs multiples de
Liste des groupes dont les mem- noms abrégés de groupes
bres peuvent ouvrir une session
sur les ordinateurs de ce groupe
d’ordinateurs
Annexe
Données de répertoire Mac OS X
iMac 1, iMac 2
herbivores,omnivores
301
Attributs standard dans les enregistrements de montages
Le tableau suivant décrit les attributs standard figurant dans les enregistrements de
montages Open Directory. Utilisez ces informations lorsque vous travaillez dans la sousfenêtre Inspecteur de Gestionnaire de groupe de travail ou lorsque vous mappez des
attributs d’enregistrements de montage avec Utilitaire de répertoire.
Attributs de montages
Mac OS X
Format
hostname:/chemin d’accès sur le
serveur
indigo:/Volumes/home2
VFSLinkDir
Chemin d’accès pour le montage sur un client
Texte UTF-8
/Network/Servers
VFSType
Texte ASCII
Pour AFP :
url
Pour NFS :
nfs
VFSOpts
Texte UTF-8
Pour AFP (deux valeurs) :
net
url==afp://
;AUTH=NO%20USER%20
AUTHENT@serveur/point de partage/
Pour NFS :
net
VFSDumpFreq
VFSPassNo
302
Exemples de valeurs
Nom de l’entrée :
Texte UTF-8
Hôte et chemin d’accès au point
de partage
Annexe
Données de répertoire Mac OS X
Attributs standard dans les enregistrements de configurations
Le tableau suivant décrit les attributs standard figurant dans les enregistrements de
configuration Open Directory suivants :
 L’enregistrement mcx_cache porte toujours le nom RecordName de mcx_cache.
Il utilise aussi RealName et DataStamp pour déterminer si la mémoire cache doit
être actualisée ou si les réglages de serveur doivent être ignorés. Si vous voulez
des clients gérés, vous devez avoir un enregistrement de configuration mcx_cache.
 L’enregistrement passwordserver possède l’attribut PasswordServerLocation.
Utilisez ces informations lorsque vous travaillez dans la sous-fenêtre Inspecteur de Gestionnaire de groupe de travail ou lorsque vous mappez des attributs d’enregistrements
de configuration avec Utilitaire de répertoire.
Attributs de configurations
Mac OS X
Format
Exemples de valeurs
Nom de l’entrée :
Caractères ASCII A à Z, a à z,
Nom associé à une configuration 0 à 9, _,-,.
mcx_cache
passwordserver
Longueur non nulle, d’un maximum de 255 octets (soit 85
caractères triple octets ou 255
caractères d’un octet).
PasswordServerLocation :
Identifie l’hôte du serveur de
mots de passe associé au
domaine de répertoire
192.168.1.90
adresse IP ou nom d’hôte
Nom réel
Pour l’enregistrement de configuration mcx_cache, RealName
est un GUID.
DataStamp
Pour l’enregistrement de configuration mcx_cache, DataStamp est un GUID.
Annexe
Données de répertoire Mac OS X
303
Glossaire
Glossaire
Active Directory Service de répertoire et d’authentification de Microsoft Windows
2000 Server, Windows Server 2003 et Windows Server 2003 R2.
administrateur Utilisateur disposant d’autorisations d’administration de serveur ou
de domaine de répertoires. Les administrateurs sont toujours membres du groupe
« admin » prédéfini.
Adresse IP Adresse numérique unique qui identifie un ordinateur sur Internet.
AFP Apple Filing Protocol. Protocole client/serveur utilisé par le service de fichiers
Apple pour partager des fichiers et des services réseau. AFP exploite TCP/IP et d’autres
protocoles pour prendre en charge les communications entre les ordinateurs d’un
réseau.
attribut Élément de données nommé contenant un type d’information spécifique
et appartenant à une entrée (une fiche ou un objet) dans un domaine de répertoire.
Les données qu’un attribut contient s’appellent la valeur de l’attribut.
attribut d’autorité d’authentification Valeur qui identifie le système de validation
de mot de passe spécifié pour un utilisateur et fournit, si nécessaire, des informations
supplémentaires.
authentification Processus de vérification de l’identité d’un utilisateur, généralement
en validant son nom d’utilisateur et son mot de passe. L’authentification a lieu
généralement avant que le processus d’autorisation détermine le niveau d’accès de
l’utilisateur à une ressource. Exemple : le service de fichiers autorise l’accès total aux
dossiers et aux fichiers qu’un utilisateur authentifié possède.
autorisation Processus par lequel un service détermine s’il faut accorder à un
utilisateur l’accès à une ressource et quel est le niveau d’accès accordé à l’utilisateur.
L’autorisation se produit généralement après qu’un processus d’authentification ait
vérifié l’identité de l’utilisateur. Exemple : le service de fichiers autorise l’accès total aux
dossiers et aux fichiers qu’un utilisateur authentifié possède.
base de recherche Nom distinctif permettant d’identifier le point de départ d’une
recherche d’informations dans la hiérarchie d’entrées d’un répertoire LDAP.
305
bidouilleur Personne qui aime la programmation et qui explore des façons de
programmer de nouvelles fonctionnalités et d’étendre les possibilités d’un système
informatique. Voir aussi pirate.
BSD Initiales de « Berkeley Software Distribution » (famille de systèmes d’exploitation
développés à l’Université de Berkeley). Version de UNIX sur laquelle repose le logiciel
Mac OS X.
chemin de recherche Voir politique de recherche.
CIFS Common Internet File System. Voir SMB.
classe Voir classe d’objets.
classe d’objets Ensemble de règles qui définissent des objets semblables dans un
domaine de répertoire en spécifiant les attributs que doit posséder chaque objet,
ainsi que d’autres attributs possibles pour l’objet.
client géré Utilisateur, groupe ou ordinateur dont les autorisations d’accès et/ou
les préférences sont sous le contrôle d’un administrateur.
compte d’ordinateur Un compte d’ordinateur contient des données permettant à
Mac OS X Server d’identifier et de gérer un ordinateur particulier. Vous devez créer un
compte d’ordinateur pour chaque ordinateur que vous comptez ajouter à un groupe
d’ordinateurs.
DHCP Initiales de « Dynamic Host Configuration Protocol » (protocole de configuration
dynamique d’hôtes). Protocole utilisé pour distribuer de manière dynamique des
adresses IP à des ordinateurs clients. Chaque fois qu’un ordinateur client démarre, le
protocole recherche un serveur DHCP, puis demande une adresse IP au serveur DHCP
qu’il trouve. Le serveur recherche alors une adresse IP disponible et la transmet à
l’ordinateur client en l’accompagnant d’une « durée de bail », durée pendant laquelle
l’ordinateur client peut utiliser l’adresse.
domaine de répertoire Base de données spécialisée dans laquelle sont stockées
des informations autorisées concernant les utilisateurs et les ressources réseau ; ces
informations sont nécessaires au logiciel système et aux applications. Cette base de
données est optimisée pour gérer de nombreuses demandes d’informations et pour
rechercher et récupérer rapidement des informations. Connue également sous le nom
de nœud de répertoire ou simplement répertoire.
domaine local Domaine de répertoire accessible uniquement par l’ordinateur sur
lequel il réside.
dossier de groupe Dossier servant à organiser des documents et des applications
présentant un intérêt particulier pour les membres du groupe et permettant à ces
derniers de partager des informations.
306
Glossaire
enfant Ordinateur qui hérite des informations de configuration provenant du domaine
de répertoire partagé d’un parent.
entrée Article publié sur un blog. Les lecteurs peuvent ajouter des commentaires à
l’entrée, mais le contenu associé à celle-ci ne peut être modifié que par le propriétaire
du blog. Dans un répertoire LDAP, une entrée est une collection d’attributs (d’éléments
de données) qui porte un nom distinctif unique. Voir aussi nom distinctif.
FTP Initiales de « File Transfer Protocol » (protocole de transfert de fichiers). Protocole
permettant à des ordinateurs de transférer des fichiers sur un réseau. Les clients FTP,
utilisant tout système d’exploitation capable de prendre en charge le protocole FTP,
peuvent se connecter à un serveur de fichiers et télécharger des fichiers, en fonction
de leurs autorisations d’accès. La plupart des navigateurs Internet et un certain nombre
de graticiels permettent d’accéder aux serveurs FTP.
groupe Ensemble d’utilisateurs ayant des besoins semblables. Les groupes simplifient
l’administration de ressources partagées.
groupe principal Groupe par défaut d’un utilisateur. Le système de fichiers utilise
l’identifiant du groupe principal lorsqu’un utilisateur accède à un fichier dont il n’est
pas le possesseur.
hachage Forme brouillée, ou cryptée, d’un mot de passe ou d’un texte.
hiérarchie de domaines de répertoire Manière d’organiser des domaines de
répertoires locaux et partagés. Une hiérarchie présente une structure d’arborescence
inversée : domaine racine au sommet et domaines locaux en bas.
identifiant de groupe principal Numéro unique identifiant un groupe principal.
IP Internet Protocol. Également désigné par IPv4. Méthode utilisée conjointement
avec le protocole TCP (Transmission Control Protocol) pour envoyer des données
d’un ordinateur à un autre via un réseau local ou via Internet. Le protocole IP envoie
les paquets de données, alors que le protocole TCP se charge de leur suivi.
KDC Initiales de « Kerberos Key Distribution Center » (centre de distribution de clés
Kerberos). Serveur de confiance chargé d’émettre des tickets Kerberos.
Kerberos Système d’authentification réseau sécurisé. Kerberos utilise des tickets qui
sont émis pour un utilisateur, un service et une durée spécifiques. Après avoir été
authentifié, l’utilisateur peut accéder à d’autres services sans avoir à saisir à nouveau
son mot de passe (on parle alors de signature unique) pour les services configurés
pour accepter les tickets Kerberos. Mac OS X Server utilise Kerberos 5.
LDAP Initiales de « Lightweight Directory Access Protocol ». Protocole client-serveur
standard permettant l’accès à un domaine de répertoire.
Glossaire
307
liaison Connexion entre un ordinateur et un domaine de répertoire dans le
but d’obtenir des données d’identification, d’autorisation et d’autres données
administratives. (verbe) Désigne également le processus d’établissement d’une telle
connexion. Voir aussi liaison sécurisée.
liaison sécurisée Connexion authentifiée mutuellement entre un ordinateur et
un domaine de répertoire. L’ordinateur fournit des informations d’authentification
pour prouver son identité et le domaine de répertoire fournit des informations
d’authentification pour prouver son authenticité.
liste d’ordinateurs Ensemble d’ordinateurs recevant les réglages des préférences
gérées définis pour la liste et mis à la disposition d’un ensemble particulier
d’utilisateurs et de groupes. Un ordinateur ne peut appartenir qu’à une seule liste
d’ordinateurs. Les listes d’ordinateurs sont créées sous Mac OS X Server 10.4 ou
antérieur.
Mac OS X La dernière version du système d’exploitation d’Apple. Mac OS X allie
la fiabilité d’UNIX à la facilité d’emploi de Macintosh.
Mac OS X Server Plate-forme de serveur puissante, capable de gérer immédiatement
les clients Mac, Windows, UNIX et Linux et offrant un ensemble de services de réseau et
de groupes de travail extensible, ainsi que des outils perfectionnés de gestion à distance.
maître Open Directory Serveur fournissant un service de répertoire LDAP, un service
d’authentification Kerberos et un serveur de mots de passe Open Directory.
mot de passe Chaîne alphanumérique utilisée pour authentifier l’identité d’un
utilisateur ou pour autoriser l’accès à des fichiers ou à des services.
mot de passe crypté Type de mot de passe qui est stocké sous la forme d’un
hachage (à l’aide de l’algorithme de cryptage UNIX standard) directement dans
un enregistrement d’utilisateur.
mot de passe Open Directory Mot de passe stocké dans une base de données
sécurisée sur le serveur et qui peut être authentifié à l’aide du serveur de mots de
passe Open Directory ou de Kerberos (si Kerberos est disponible).
mot de passe shadow Mot de passe stocké dans un fichier sécurisé sur le serveur et
qui peut être authentifié à l’aide de diverses méthodes d’authentification
conventionnelles requises par les différents services de Mac OS X Server. Parmi les
méthodes d’authentification, il y a APOP, CRAM-MD5, DHX, LAN Manager, NTLMv1,
NTLMv2 et WebDAV-Digest.
308
Glossaire
multidiffusion DNS Protocole développé par Apple pour la découverte automatique
d’ordinateurs, de périphériques et de services sur les réseaux IP. Appelé « Bonjour »
(auparavant « Rendezvous ») par Apple, ce protocole, proposé comme standard
Internet, est parfois appelé ZeroConf ou multidiffusion DNS. Pour en savoir plus,
rendez-vous sur www.apple.com/fr/ ou www.zeroconf.org (en anglais). Pour savoir
comment ce protocole est utilisé sous Mac OS X Server, reportez-vous à nom d’hôte
local.
NetInfo Ancien protocole Apple permettant l’accès à un domaine de répertoire.
nœud de répertoire Voir domaine de répertoire.
nom abrégé Abréviation du nom d’un utilisateur. Mac OS X utilise le nom abrégé pour
les dossiers de départ, l’authentification et les adresses électroniques.
nom complet Forme développée du nom d’un utilisateur ou d’un groupe. Voir aussi
nom d’utilisateur.
nom d’hôte local Nom qui désigne un ordinateur sur un sous-réseau local. Il peut être
utilisé sans système DNS global pour convertir les noms en adresses IP. Il est constitué
de lettres minuscules, de nombres ou de tirets (sauf pour le dernier caractère) et se
termine par « .local » (par exemple, ordinateur-jean.local). Bien que le nom par défaut
soit dérivé du nom d’ordinateur, un utilisateur peut reprendre ce nom dans la sousfenêtre Partage des Préférences Système. Il peut aussi être aisément modifié et utilisé
dans tous les cas où un nom DNS ou un nom de domaine complet est utilisé. Il ne peut
être converti que sur le même sous-réseau que l’ordinateur qui l’utilise.
nom d’utilisateur Nom complet d’un utilisateur, parfois appelé nom réel de
l’utilisateur. Voir aussi nom abrégé.
nom distinctif Il identifie une entrée (un objet) dans un répertoire LDAP. Il est
représenté sous la forme d’une séquence d’entrées de répertoire séparées par des
virgules, commençant par l’entrée elle-même et suivie par chaque entrée qui contient
l’entrée précédente dans la séquence. Exemple : “cn=utilisateurs, dc=exemple,
dc=com.”
Open Directory Architecture de services de répertoire Apple, capable d’accéder à des
informations autorisées concernant des utilisateurs et des ressources réseau à partir
de domaines de répertoire utilisant les protocoles LDAP ou Active Directory, ou des
fichiers de configuration BSD et des services de réseau.
Open Source Terme désignant le développement coopératif de logiciels par la
communauté Internet. Le principe de base consiste à impliquer le maximum de
personnes dans l’écriture et la mise au point du code en publiant le code source
et en encourageant la formation d’une large communauté de développeurs qui
feront part de leurs modifications et améliorations.
Glossaire
309
ordinateur administrateur Ordinateur Mac OS X sur lequel vous avez installé les
applications d’administration du serveur à partir du CD Mac OS X Server Admin.
parent Ordinateur dont le domaine de répertoire partagé fournit des informations de
configuration à un autre ordinateur.
pirate Utilisateur malveillant qui tente d’accéder à un système informatique sans
y être autorisé dans le but de saboter des ordinateurs et des réseaux ou de voler
des informations. Comparer à bidouilleur.
point de partage Dossier, disque dur (ou partition de disque dur) ou disque optique
accessible via le réseau. Un point de partage constitue le point d’accès situé au premier
niveau d’un groupe d’éléments partagés. Les points de partage peuvent être partagés
à l’aide des protocoles AFP, SMB, NFS (exportation) ou FTP .
politique de recherche Liste des domaines de répertoire parmi lesquels un ordinateur
Mac OS X nécessitant des informations de configuration effectue ses recherches.
Également, ordre dans lequel les domaines sont interrogés. Parfois appelée chemin
de recherche.
possesseur Le propriétaire d’un élément peut modifier les autorisations d’accès à
l’élément. Il peut également remplacer l’entrée de groupe par n’importe quel groupe
dont il est membre. Le propriétaire dispose par défaut d’autorisations Lecture et écriture.
préférences gérées Préférences du système ou d’application contrôlées par les
administrateurs. Gestionnaire de groupe de travail permet aux administrateurs de
contrôler les réglages de certaines préférences système pour les clients gérés Mac OS X.
principal, Kerberos Nom et autres informations d’identification d’un client ou service
que Kerberos peut authentifier. Le principal d’un utilisateur est généralement constitué
du nom de l’utilisateur ou bien du nom de l’utilisateur et du royaume Kerberos. Le
principal d’un service est généralement constitué du nom du service, du nom DNS
complet du serveur et du royaume Kerberos.
protocole Ensemble de règles qui déterminent la manière dont les données sont
échangées entre deux applications.
royaume Kerberos Domaine d’authentification comprenant les utilisateurs et les
services enregistrés auprès du même serveur Kerberos. Les utilisateurs et services
enregistrés délèguent au serveur Kerberos la vérification de l’identité de chacun.
royaume WebDAV Partie d’un site web, généralement un dossier ou un répertoire,
défini pour fournir l’accès à des utilisateurs et des groupes WebDAV.
schéma Ensemble d’attributs et de types d’enregistrements ou de classes servant de
plan pour les informations d’un domaine de répertoire.
310
Glossaire
serveur autonome Serveur qui fournit des services sur un réseau, mais qui n’obtient
pas de services de répertoire auprès d’un autre serveur, ni ne fournit des services de
répertoire à d’autres ordinateurs.
serveur de mots de passe Voir serveur de mots de passe Open Directory.
serveur de mots de passe Open Directory Service d’authentification qui valide des
mots de passe à l’aide de diverses méthodes d’authentification conventionnelles
requises par les différents services de Mac OS X Server. Parmi les méthodes
d’authentification, il y a APOP, CRAM-MD5, DHX, LAN Manager, NTLMv1, NTLMv2 et
WebDAV-Digest.
services de répertoire Services fournissant au logiciel système et aux applications
un accès uniforme aux domaines de répertoire et à d’autres sources d’informations
relatives aux utilisateurs et aux ressources.
signature unique Stratégie d’authentification qui évite aux utilisateurs de devoir saisir
un nom et un mot de passe pour chaque service de réseau. Mac OS X Server utilise
Kerberos pour permettre la signature unique.
SLP DA Initiales de « Service Location Protocol Directory Agent ». Protocole qui
enregistre les services disponibles sur un réseau et permet aux utilisateurs d’y accéder
aisément. Lorsqu’un service est ajouté au réseau, il utilise le protocole SLP pour
s’enregistrer. SLP DA utilise un point de dépôt centralisé pour les services réseau
enregistrés.
SMB Protocole SMB (Server Message Block). Protocole permettant à des ordinateurs
clients d’accéder à des fichiers et à des services de réseau. Il peut être utilisé via TCP/IP,
Internet ou d’autres protocoles. Les services SMB utilisent ce protocole pour fournir
l’accès aux serveurs, aux imprimantes et à d’autres ressources réseau.
SSL Initiales de « Secure Sockets Layer » (couche sécurisée pour sockets réseau).
Protocole Internet permettant d’envoyer des informations authentifiées et chiffrées à
travers Internet. Les versions les plus récentes de SSL sont connues sous le nom de TLS
(Transport Level Security).
ticket d’octroi de tickets Ticket Kerberos spécial qui permet à un client d’obtenir des
tickets pour des services au sein du même royaume. Un client reçoit un ticket d’octroi
de tickets en prouvant son identité, par exemple en saisissant un nom et un mot de
passe valide lors de l’ouverture de session.
Glossaire
311
ticket, Kerberos Informations d’authentification temporaires qui prouvent l’identité
d’un client Kerberos à un service.
utilisateur invité Utilisateur autorisé à ouvrir une session sur un serveur sans nom
d’utilisateur et mot de passe.
WebDAV Web-based Distributed Authoring and Versioning. Environnement de
création en direct permettant à des utilisateurs clients de prendre des pages web,
de les modifier, puis de les rendre à leur site d’origine sans interruption de ce dernier.
312
Glossaire
A
accès
administrateur 85, 207
attributs 208
contrôle d’accès aux répertoires (DAC) 213
domaines Active Directory 188, 201
dossier 25
fenêtre d’ouverture de session 206
fiche 208
fichier 25
groupe 206
listes de contrôle d’accès (ACL) 44, 83, 85, 207
répliques 102
serveur 30, 206
service de répertoire 155, 156, 157
SSH 206
utilisateur 186, 205, 206, 238
utilisateurs des domaines de répertoire 25
Voir aussi LDAP; autorisations
accès en lecture seule, LDAP 180, 184
accès LDAPv2 180
accès LDAPv3 86, 104, 156, 160, 201
ACE (entrées de contrôle d’accès) 85
ACL, classe d'objets 255
Active Directory
accès 188
accès LDAP 201
activation du service 156
attribut de shell UNIX 193
authentification 199
autorisation inter-domaines 78
comptes mobiles 187, 191
configuration d’Open Directory 68
configuration du serveur 111
conflits Kerberos 80
connexions client 141
définition 26
dépannage 237, 239
désactivation du service 156
désignation du serveur préféré 197
dossiers de départ 187, 192
groupes d’administrateurs 198
identifiants d’utilisateur 194
Index
Index
identifiants de groupe 195, 196
liaison à 190, 200
modification de fiches 200
réglages avancés 155, 156, 185
rupture de la liaison avec le serveur 200
Voir aussi mappages
administrateur
autorité d’authentification 134, 135
autorité pour l’authentification 99, 101, 107
comptes 96, 198
contrôle d’accès 85, 207
Kerberos 53, 113
limites 258
mots de passe d’ 50, 129, 130, 237, 243
planification des domaines 39
politiques de recherche 39
privilèges d’ 85, 86
services de répertoire 19
administration par niveaux 85
Admin Serveur 79, 87
adresses. Voir identifiant Ethernet
adresses IP 95, 142
aide, utilisation 15
annuaires. Voir services de répertoire; domaines,
répertoire; dossiers
APOP (Authenticated POP) 59, 63
archivage du maître Open Directory 230, 231
attaque DoS (attaque par saturation) 50, 221
attaque par saturation. Voir attaque par s
attaques hors ligne 47
attribut de liste de contrôle d’accès (ACL) 275
attribut de shell UNIX 193
attributs
Active Directory 196
ajout 79, 175
authentification 258, 272
configuration 182, 270, 303
contrôle d’accès 208
emplacement (Location) 273
groupe d'ordinateurs 301
groupes 263
importation 217
imprimantes 258, 268
313
informations de contact 260
introduction 26
LDAP 173
liste de contrôle d’accès (ACL) 275
listes d’ordinateurs 269
machine 265
montage automatique 276
montages 266, 302
mots de passe 270
ordinateurs 269, 300
plist xml 270
répertoire 186
réplication 271
ressource 275
schéma (Schema) 275
service 270, 273
services de répertoire 175
shell UNIX 193
standard 293
Time-to-Live (TTL) 256
URL de service 270
utilisateurs 256, 272, 293, 298
voisinage (Neighborhood) 274
Voir aussi mappages
attributs d’emplacement (Location) 273
attributs d’imprimante (Printer) 258, 268
attributs d’ordinateur (Computer) 269, 300
attributs d’utilisateur 256, 272, 293, 298
attributs de configuration (Configuration) 270, 303
attributs de groupes 263, 299
attributs de groupes d'ordinateurs 301
attributs de liste d’ordinateurs (ComputerList) 269
attributs de machine (Machine) 265
attributs de montage (Mount) 266, 302
attributs de service (Service) 270, 273
attributs de voisinage (Neighborhood) 274
augment, classe d'objets 255
authentification
Active Directory 199
administrateur 99, 101, 107, 134, 135
attributs 258, 272
clients 54, 57
contrôle de l’ 211
définition 44
dépannage 235, 237, 238, 239, 240, 242, 243
domaines de répertoire 24, 69
en cache 46
LDAP 64, 135, 162, 181, 182
liaison 64, 135, 162
maître Open Directory 32, 115
méthodes 46, 59, 60, 62, 64, 109
par informations d'authentification 45, 54
règles de recherche 42, 150
réplication 71
SASL 12, 59
serveur 55, 83
314
Index
services de fichiers 59
utilisateur 44, 49, 51
vue d’ensemble 12, 21, 43, 121
Voir aussi Kerberos; mots de passe
authentification basée sur des informations
utilisateur
Voir aussi Kerberos
authentification CRAM-MD5 59
authentification de base. Voir mots de passe cryptés
authentification DHX 46, 59
authentification Digest-MD5 59
authentification LAN Manager 46, 59
authentification MS-CHAPv2 59, 109
authentification NTLM 46, 59, 109
authentification par informations
d'authentification 45, 54
authentification par signature unique 12, 51, 54, 55,
80
Voir aussi Kerberos
authentification par ticket 54
Voir aussi Kerberos
authentification WebDAV-Digest 59, 63
automount, classes d’objets 255
autorisation 44, 78, 83, 85, 207
Voir aussi authentification
autorisation inter-domaines 78
autorisations
accès 207
administrateur 86
administration par niveaux 85
fiche 208
utilisateur 86, 180, 184
AutoServerSetup, type d'enregistrement 292
B
basculement
configuration 107
contrôleur de domaine principal 34
contrôleur de domaine secondaire 34, 98, 106
contrôleur de domaine secondaire (BDC) 225
répartition de la charge 74
base de données
LDAP 220
serveur de mots de passe Open Directory 61, 63
base de recherche, LDAP 28, 97, 174, 240
C
cache, authentification en 46
Carnet d’adresses 42, 150, 158
certificats 78, 222
chiffrement 48, 49, 59, 186
classe d’objets d’autorité d’authentification
(authentication authority) 253
classe d’objets d’emplacement (Location) 254
classe d’objets d’imprimante (printer) 249
classe d’objets d’ordinateur (computer) 250
classe d’objets d’utilisateur préréglé (preset
user) 253
classe d’objets de conteneur (container) 247
classe d’objets de groupe préréglé (preset
group) 252
classe d’objets de liste d’ordinateurs (computer
list) 250
classe d’objets de liste d’ordinateurs préréglés
(preset computer list) 251
classe d’objets de montage (mount) 249
classe d’objets de service (Service) 254
Classe d’objets de voisinage (Neighborhood) 254
classes d’objets
ACL 255
ajout à des schémas 79
augment 255
authentication authority 253
automount 255
computer 250, 251
computer group 252
computer list 250
configuration 251, 254
container 247
group 248, 252
introduction 26
location 254
machine (auxiliaire) 249
mount 249
neighborhood 254
printer 249
resource 255
service 254
TTL 247
user 248, 253
vue d 247
Voir aussi attributs
clients, authentification 54, 57
clients, authentification des
Voir aussi ordinateurs clients; Comptes de groupe;
utilisateurs
compte root 144
comptes
administrateur 96, 198
root 144
Voir aussi comptes de groupe; comptes mobiles;
comptes d'utilisateur; Gestionnaire de
groupe de travail
comptes d'utilisateur
Voir aussi comptes de groupe; mots de passe;
utilisateurs
comptes d’utilisateur
accès 186
domaines d’annuaire 94
domaines de répertoire 66, 80
exportation 136
Index
importation 136, 217
modification 200
mots de passe 63, 237, 238
noms d’utilisateur 96
recherche 29, 30
root 144
sécurité 47
suppression 215
comptes de groupe
en tant qu’administrateurs 198
identifiant de groupe 186, 196
importation 217
mappages de GID 195
préréglages 252, 288
Voir aussi groupes
comptes mobiles
Active Directory 187, 191
LDAP 155
ouverture de session 75
politiques de mot de passe 50, 130
politiques de recherche 41
service VPN 75
computer group, classe d'objets 252
condensé, mot de passe 45, 60, 62
configuration
attributs de 303
autorisation inter-domaines 78
basculement 107
connexion 108, 110, 111, 142, 143
domaine de répertoire local 94
domaine Window 98
domaine Windows 100, 101
ensembles de répliques 72
fichiers BSD 203, 204
fichiers UNIX 21, 23, 26
Kerberos 113, 115, 116, 119
LDAP 159, 160, 163, 165, 167, 169
liaison sécurisée 176
maître Open Directory 95, 98
ordinateurs clients 140, 141, 303
outils de ligne de commande 186
planification 68
réplique Open Directory 102, 105
serveur 110, 111, 292
serveur de mots de passe Open Directory 95
services de répertoire 147, 148
vue d’ensemble 91, 93
vue d’ensemble des domaines de répertoire 66
configuration, classes d’objets 251
configuration de Windows XP 100, 101
contacts, règles de recherche 42, 150
contrôle d’accès aux répertoires. Voir DAC
contrôles d’accès aux répertoires (DAC) 213
contrôleur de domaine principal (PDC)
planification de la réplication 224
contrôleur de domaine principal. Voir PDC
315
contrôleur de domaine secondaire (BDC) 34, 98,
106, 225
contrôleur de domaine secondaire. Voir BDC
contrôleurs, BDC
Voir aussi PDC
contrôleurs, contrôleur de domaine secondaire 34,
98, 106
contrôleurs, contrôleur de domaine secondaire
(BDC) 225
conventions de nom
nom abrégé 216
nom d’utilisateur 96
nom de l’ordinateur 99, 106, 135, 176
noms longs 263, 271
coupe-feu, limitations 54
D
délai d’inactivité, connexion LDAP 179
délai d’ouverture/de fermeture, connexion
LDAP 178
délai de requête, LDAP 178
délai de tentative de reconnexion, LDAP 179
démarrage, problèmes 237
dépannage
Active Directory 237
authentification 235, 237, 238, 239, 240, 242, 243
connexions 237
réplication 235, 236
documentation 15, 17, 18
domaines, annuaire
règles de recherche 150, 152, 153, 154
Voir aussi LDAP; domaines de répertoire locaux;
Open Directory; domaine Windows
domaines, répertoire
authentification 24, 69
capacité de stockage 69
identification des serveurs 70
intégration 78
liaison de 218
NetInfo 33, 127, 138
NIS 26, 202
non Apple 31
organisation des 20, 24, 26
planification 39, 65, 66, 93
ports 83
réplication 67
schémas 27, 79, 187, 245, 246, 247
domaines de répertoire locaux
configuration 94
fiches de montage 148, 149, 150
introduction 27, 29
planification 66
politique de recherche 36, 38, 40
règle de recherche 154
types de mot de passe 44, 46
316
Index
utilisateurs Windows 33
domaines de répertoire partagés
dépannage relatif à l’ouverture de session 239
identification des serveurs 70
informations sur les utilisateurs 94
introduction 29, 30
NetInfo 33, 127, 138
planification 65, 66
politiques de recherche 36, 38
Voir aussi LDAP
domaines NetInfo 33, 127, 138
domaine Windows
Voir aussi Active Directory; SMB
configuration d’Open Directory 98, 100, 101
contrô 106
contrôleur de domaine principal 32, 98, 100, 101
contrôleur de domaine secondaire 34, 98
mots de passe 32, 46, 47, 48, 49
Domain Name System. Voir DNS
dossiers, contrôle d’accès 25
Voir aussi fichiers; dossiers de départ
dossiers de départ
Active Directory 187, 192
attributs de groupe 263
attributs user 256, 258, 262
réseau 192
utilisateur local 192
utilisateurs des domaines de répertoire 25
dossiers de départ locaux 192
dossiers de départ réseau 192
dsconfigad, outil 186
dsconfigldap, outil 186
durée de vie (TTL), classe d'objets 247
Dynamic Host Configuration Protocol. Voir DHCP
E
enregistrements
activation pour Kerberos 241
ajout à des schémas 79
capacité du domaine de répertoire 69
introduction 26
types standard 293
Voir aussi attributs; mappages
entrées, classe d’objets 26, 28
entrées de contrôle d’accès. Voir ACE
exportation d’utilisateurs 136
Voir aussi importation
F
fiches
autorisations 208
contrôle d’accès 208
importation 217
mappage vers des services de répertoire 174, 182
modification de fiches d’Active Directory 200
réglages des contrôles d’accès aux répertoires
(DAC) 213
suppression 214, 215
fichier de listes de propriétés 236
fichiers
BSD 26, 203, 204
configuration UNIX 21, 23, 26
contrôle d’accès 25
listes de propriétés 236
fichiers BSD (Berkeley System Distribution) 26, 203,
204
G
Gestionna 213
Gestionnaire d’authentification 33, 46, 137
Gestionnaire de groupe de travail
annuaires LDAP 184
fonctions 88
Inspecteur 212, 213, 214, 215
modification des données de répertoire 212
et Open Directory 20
rôle d’authentification 121
suppression de comptes d’utilisateur 215
group, classe d'objets auxiliaire 248
groupes
administration par niveaux 85
connexion à un royaume Kerberos 117
contrôle de l’accès 206
mappages 195, 280, 281, 288
recherche 29, 30
stockage d’informations 25
GUID (identifiant global unique) 217
H
historiques, Open Directory 82, 211
I
identifiant de groupe 78, 186, 195, 196
identifiant de groupe. VoirGID
identifiant Ethernet 242
identifiant global unique. VoirGUID
identifiants d’uti
image, ouverture de session utilisateur 257
importation
attributs 217
fiches 217
groupes 217
utilisateurs 136, 217
informations de contact, attributs 260
Initiales de « Berkeley Software Distribution » (famille
de systèmes d’exploitation développés à
l’Université de Berkeley). Voir BSD
Inspecteur 212, 213, 214, 215
Index
K
Kerberos
activation 129, 241
administrateur 53, 113
attributs 272
autorisation inter-domaines 78
configuration 113, 115, 116, 119
conflits entre domaines de répertoire 80
connexion 117, 119
dépannage 235, 240
DNS 95, 113, 115, 236
fonctionnalités 12, 45, 51, 53, 54, 55, 56
LDAP 79
mots de passe 51
principaux 57
processus d’authentification 57
réplication 71
royaumes 57, 119, 242
sécurité 54, 55, 230
suppression d’identités 215
utilisateurs 52, 116
L
LDAP (Lightweight Directory Access Protocol)
délais 179
réglages de connexion 179
ldapmodrdn, outil 216
ldapsearch outil 183
Leopard Server. Voir Mac OS X Server
liaison
Active Directory 200
authentification LDAP 64, 135, 162, 179
délai de tentative de reconnexion 179
serveur Open Directory 218
Voir aussi liaison sécurisée
liaison sécurisée
Active Directory 190
arrêt 169, 177
configuration 176
définition 158
options de 161
politiques 218
liste de contrôle d’accès à un service (SACL) 44, 83,
207
listes d'ordinateurs, mappages 284, 287, 288
listes de contrôle d’accès (ACL) 44, 83, 85, 207
listes de contrôle d’accès. Voir ACL
listes de contrôle d’accès à un service. Voir SACL
Locations, type d'enregistrement 292, 293
M
Mac OS X
accès LDAP en lecture seule 184
fichiers BSD 203, 204
remplissage des répertoires 184
317
Mac OS X Server
fichiers BSD 203
importation de fiches 217
liaison sécurisée 218
restauration du maître Open Directory 231
machine, classe d'objets auxiliaire 249
Mac OS X
dépannage relatif à l’ouverture de session 239
mots de passe Open Directory 45
Mac OS X Server
ajout de connexions 142
authentifications prises en charge 33, 51, 52, 60,
109
contrôleur de domaine secondaire 34
migration des mots de passe 137
mise à niveau 76, 137
problèmes de basculement 107
maître Open Directory
archivage 230, 231
authentification 32, 115
basculement 107
configuration 95, 98
contrôle de l’état 210
définition 71
dépannage 235, 236
et DNS 95, 115
introduction 27
liaison 218
mise à niveau 76
mots de passe 123
règlement de sécurité 219
et répliques 69, 72, 74, 75, 76, 95, 224, 225, 226,
229
restauration 231
mappages
Active Directory 187, 194, 195, 196
groupes 195, 280, 281, 288
imprimantes 290, 291
LDAP 160, 163, 173, 175
listes d'ordinateurs 284, 287, 288
montages 282
ordinateurs 282, 283
services de répertoire 174, 182
type d'enregistrement AutoServerSetup 292
type d'enregistrement Config 285
type d'enregistrement Locations 292, 293
type d'enregistrement People 286
utilisateurs 194, 277, 289
vue d'ensemble 245
media access control (contrôle d’accès au support).
Voir Identifiant Ethern
migration
de NetInfo vers LDAP 33, 138
mot de passe 137
mise à niveau de Mac OS X Server 76, 137
modèles, mappage LDAP 175
318
Index
modules 11, 186
modules open source 11
Voir aussi Kerberos; Open Directory
montage, automatique 25, 255, 276
montage automatique, attribut 276
montage automatique de points de partage 25
mot de passe shadow
définition 45
mots de passe
Voir aussi mots de passe cryptés; serveur de mots
de passe Open Directory; mots de passe
shadow
administrateur 50, 129, 130, 237, 243
attributs 270
compte root 144
comptes d’utilisateur 237, 238
conseils 47
création 122, 136, 137
dépannage 237, 238, 239, 242
domaine Windows 32, 46, 47, 48, 49
exportation 136
hachage 45, 60, 62
importation 136
LDAP 182
migration des 137
Open Directory 45, 46, 47, 49, 59, 107, 125, 133
politiques 43, 50, 129, 130, 259
réinitialisation 60, 124, 243
sur des répliques 71
types 44, 45, 46, 125, 127
ou signature unique 51
mots de passe cryptés
changement en 127
chiffrement 48, 49
définition 46
limites de Windows 32, 46
migration des comptes d’utilisateur 137
problèmes de sécurité 47
mots de passe Shadow
changement en 128
désactivation 62
fonctionnalités 49
limites de Windows 33, 46
méthodes d’authentification 59, 132
problèmes de sécurité 47
N
NAT
NAT (Network Address Translation) 75
NeST, outil 134
Network Address Translation. Voir NAT
Network File System. Voir NFS
Network Information Service. Voir NIS
Network Time Protocol. Voir NTP
NFS (Network File System) 148, 149, 150
NIS (Network Information Service) 26, 202
nom abrégé 216
nom complet 263, 271
Voir aussi nom abrégé; nom d’utilisateur
nom complet. Voir nom complet
nom d’ordinateur 99, 106, 135, 176
nom d’utilisateur 96
nom distinctif (DN) 28, 162
nom distinctif relatif. Voir RDN
nom NetBios 106
Nom réel 173
nom réel. Voir nom complet
NTP (network time protocol) 240
O
Open Directory
activation 94
affichage des données 212
amélioration des performances 82
configuration 68, 91, 93
configuration de DNS 95, 115
configuration de la connexion 108, 110, 111, 142
contrôle d’ 209, 210, 211
contrôle de l’état 209, 210, 211
et un contrôleur de domaine secondaire 34, 106
fonctions 20
histoire 21, 23
et Inspecteur 212, 213, 214
et Kerberos 12, 45, 80
et LDAP 11, 246, 247
maintenance 205
modification des données 212, 213, 214, 215, 216
outils d’accès 26, 205, 206, 207, 208
outils de gestion 86, 87, 88, 89
et un contrôleur de domaine principal 32, 98,
100, 101
politique de liaison 218
prise en charge des ordinateurs clients 70
réglages des options 217, 218
règlement de sécurité 219
réplication d’ 224
serveurs distants 93
service autonome 94
services SMB 31
et Gestionnaire de groupe de travail 20
utilisations 24
vue d’ensemble 11, 19
Voir aussi Active Directory; domaines, répertoire;
mappages
OpenLDAP. Voir Open Directory
Option 95, DHCP 40
option 95, DHCP 218
options de délai de reconnexion, LDAP 179
ordinateurs
connexions de répliques 104
Index
mappages 282, 283
politiques de recherche 40, 41
suppression 215
synchronisation des horloges 113
Voir aussi ordinateurs clients
ordinateurs client
points de partage 25
ordinateurs clients
basculement 107
configuration 140, 141, 147, 148
connexions 70, 139, 141, 142, 143
fiches de montage 148, 149, 150
fichiers BSD 26, 203, 204
NIS 26, 202
prise en charge d’Open Directory 70
règles de recherche 38, 150, 152, 153, 154
Voir aussi services de répertoire
ordinateurs portables, politiques de recherche 41
Voir aussi comptes mobiles
outils de ligne de commande
configuration des répertoires 186
mots de passe 130, 134
restauration de serveurs 231, 232
SSH 206
outils en ligne de commande
modification de noms abrégés 216
vue d’ensemble 89
ouverture de session
accélération 72
autorité pour la configuration Windows 99
comptes mobiles 75
contrôle d’accès 206
dépannage 239
domaines de répertoire 24, 70
image pour un utilisateur 257
instructions aux utilisateurs 98
mots de passe 46
tentatives ayant échoué 211
P
PAC (Privilege Attribute Certificate) 78
paquets, données 186
PDC (contrôleur de domaine principal)
basculement 34
configuration du serveur 110
Open Directory comme 32, 98, 100, 101
points de partage 25, 148, 149
politique de mot de passe globale 129
politiques de recherche
administrateur 39
automatiques 40, 152
définition 31, 35
LDAP 40
modification 154
niveaux 35, 36, 38
319
ordinateurs 40, 41
personnalisées 41, 153
politiques de recherche à deux niveaux 36
ports
attributs de service 273
réplication 229
serveur de domaine de répertoire 83
présentations de réseau gérées 25
preset computer, classe d'objets 251
preset computer group, classe d'objets 252
principaux, Kerberos 57
Privilege Attribute Certificate. Voir PAC
privilèges, administrateur
Voir aussi autorisations
privilèges administrateur 86
problèmes. Voir dépannage
procédures de configuration. Voir configuration
processus de démarrage. Voir démarrage
protocoles
NTP 240
SMB 31
Voir aussi DHCP; LDAP
Protocole SMB (Server Message Block). Voir SMB
pwpolicy, outil 130
R
RAID (matrice redondante de disques
indépendants) 83
RDN (nom distinctif relatif) 28
recherche
LDAP 28, 97, 173, 221, 240
utilisateurs et groupes 29, 30
recherche d’utilisateurs et de groupes 29, 30
recherche d’utilisateurs et groupes
Voir aussi recherche
Redundant Array of Independent Disks. Voir RAID
références, serveur 180
règles de recherche
authentification 42, 150
contacts 42, 150
DHCP 154
local 154
réglages avancés 150
relais 105, 226, 236
répartition de la charge 68, 74
réplication
contrôle de la 210
domaines de répertoire 67
en cascade 69, 72, 74, 105
gestion de la 224, 225, 226, 229
plusieurs bâtiments 74
ports 229
sécurité 84
serveurs subordonnés 78
Voir aussi réplique Open Directory
320
Index
réplication en cascade 69, 72, 74, 105
réplique Open Directory
et maître 225
attributs 271
authentification 71
basculement 107
configuration 102, 105
contrôle d’accès 102
et un contrôleur de domaine secondaire 34
conversion en relais 226
dépannage 235, 236
ensembles de répliques 72
hébergement 103
introduction 12, 27
et maître 69, 72, 74, 75, 76, 95, 224, 226, 229
mise à jour 82
mise hors service d’une 229
mots de passe 71, 123
NAT 75
promotion d’une 226
synchronisation d’une 225
réseau privé 59, 75, 238
réseau public 75
réseaux
configuration 108, 110, 111, 142, 143
connexions client 139, 141, 142, 143
connexions clients 70
connexions de répliques 104
connexions LDAP 108, 177, 178, 179
dépannage 237
présentations gérées 25
privés 75
publics 75
royaume Kerberos 242
resource, classe d'objets 255
ressource, attribut 275
royaumes. Voir Kerberos
S
SASL (Simple Authentication and Security Layer) 12,
59
Voir aussi serveur de mots de passe Open
Directory
schémaattributs 275
schémas, domaine de répertoire 27, 79, 187, 245,
246, 247
Voir aussi attributs; classes d’objets;
enregistrements
Secure SHell. Voir SSH
Secure Sockets Layer. Voir SSL
sécurité
certificats 78, 222
comptes d’utilisateur 47
comptes root 144
coupe-feu 54, 83
désactivatiion de méthodes d’authentification 60,
62
DHCP 154
Kerberos 54, 230
LDAP 44, 123, 171, 182, 219, 221, 222
politiques de recherche 41
pratiques d’excellence 83
réglages du règlement du serveur 219
SASL 12, 59
SSL 64, 142, 222
Voir aussi authentification; mots de passe;
autorisations
Server Assistant configuration, classe d'objets 254
Serveur de mots de passe. Voir serveur de mots de
passe Open Directory
serveur de mots de passe Open Directory
archivage 230
authentification 32, 45, 59
base de données 61, 63
configuration 95
dépannage 239
politique de mot de passe 50
réplication 71
sécurité 83
serveur pseudo-maître 78
serveurs
accès 30, 206
ajout 142
authentification 55, 83
configuration 110, 111, 292
connexions à des royaumes Kerberos 119, 242
contrôle 143
distants 93, 148, 206
hébergement de répliques 103
identification 70
liaison aux 218
modification 143
ports 83
pseudo-maître 78
références 180
règlement de sécurité 219
restauration 231, 232
rupture de la liaison avec les 200
subordonnés 78
suppression 142
Voir aussi Open Directory
serveurs distants 93, 148, 206
serveur subordonné 78
service de coupe-feu 83
service de coupe-feu IP 83
service de messagerie 25, 59, 158, 256
service de protocole SMB (Server Message Block) 31,
59
service de répertoire autonome. Voir domaines de
répertoire locaux
service DHCP (Dynamic Host Configuration Protocol)
Index
comptes mobiles 155
LDAP 40, 152, 158
option 95 40, 218
sécurité 154
service DNS (Domain Name System)
attributs 273, 274
configuration d’Open Directory 95, 115
Kerberos 95, 113, 115, 236
utilisateurs Windows 99
service LDAP (Lightweight Directory Access
Protocol)
accès direct au 152
accès en lecture seule 180
activation 156, 158
Active Directory 201
authentification 64, 135, 162, 179, 181, 182
conditions requises pour les administrateurs 99
configuration 104, 159, 160, 163, 165, 167, 169
définition 26
délais 178, 221
dépannage 237, 240
désactivation 156, 158
DHCP 40, 152, 158
emplacement de la base de données 220
Kerberos 79
Mac OS X 184
Mail 158
NetInfo, migration à partir de 33
NetInfo, migration depuis 138
Open Directory 11, 246, 247
outils de ligne de commande 186, 216
politiques de recherche 40
privilèges d’utilisateur 86, 180, 184
recherche 28, 97, 173, 221, 240
références de serveur 180
réglages avancés 156, 157
réglages de connexion 108, 177, 178, 179
réplication 71
schémas 246, 247
sécurité 44, 123, 171, 182, 219, 221, 222
structure 28
Voir aussi attributs; mappages; classes d’objets;
liaison sécurisée
services de fichiers
authentification 59
NFS 148, 149, 150
points de partage 25, 148, 149
SMB 31, 59
services de répertoire
accès 155, 156, 157
administrateurs de 19
attributs 175
avantages 19
configuration 147, 148
disponibilité de Kerberos 114
mappage de 174, 182
321
organisation des 20
problèmes de connexion 237
réglages avancés 147, 155, 156
Voir aussi Active Directory; domaines, répertoire;
Open Directory
services de répertoires
planification 39
services réseau
adresses IP 95, 142
NAT 75
service de coupe-feu IP 83
VPN 59, 75, 238
Voir aussi DHCP; DNS
Simple Authentication and Security Layer. Voir SASL
slapconfig, outil 231, 232
SSH (secure SHell host) 84, 103, 206
ssh, outil 206
SSL (Secure Sockets Layer) 64, 142, 222
synchronisation des horloges 58, 71, 113, 240
T
Time-to-Live (TTL), attribut 256
TTL, attribut. Voir durée de vie, attribut de
type d'enregistrement Config 285
type d'enregistrement de montage 282, 302
type d'enregistrement People 286
type d'enregistrement PresetComputerLists 287,
288
type d'enregistrement PresetGroups 288
type d'enregistrement PresetUsers 289
type d'enregistrement Printers 290, 291
type de fiche Config 182
type de fiche de montage 148, 149, 150
U
UID (identifiants d’utilisateur) 78, 96, 186, 194
UNIX
fichiers de configuration 21, 23
322
Index
mappage des identifiants de groupe 195
mots de passe cryptés 127
problèmes de sécurité 47
URL (Uniform Resource Locators) 270
user, classes d’objets 248
users
classes d’objets 248, 253
utilisateur préréglé, attribut 272
utilisateurs
authentification 44, 49, 51, 116
autorisation inter-domaines 78
autorisations 85, 180, 184
avantages des services de répertoire 19
contrôle de l’accès 186, 205, 206, 238
dépann 239
dépannage en matière d’authentification 238,
239, 240, 242
mappages 183, 194, 277, 289
migration des 138
ouverture de session 98, 257
stockage des préférences 25
types d'enregistrement 289
utilisations des domaines de répertoire 24, 29, 30
Windows 31, 32, 99
Voir aussi clients; dossiers de départ; comptes
d'utilisateur; Gestionnaire de groupe de
travail
utilisation des ressources 25
Utilitaire de répertoire 79, 88, 139, 147, 148
V
VPN (virtual private network) 59, 75, 238
W
Windows 2000, configuration 101
X
XML plist, attribut 270
">