▼
Scroll to page 2
of
201
Mac OS X Server Administration des services réseau Pour Leopard version 10.5 Apple Inc. © 2007 Apple Inc. Tous droits réservés. Le propriétaire ou l’utilisateur autorisé d’une copie valide du logiciel Mac OS X Server version 10.2 peut reproduire cette publication à des fins d’apprentissage de l’utilisation de ce logiciel. La présente publication ne peut être reproduite ou transmise en totalité ou en partie à des fins commerciales, telles que la vente de copies ou la prestation d’un service d’assistance payant. Tous les efforts nécessaires ont été mis en œuvre pour que les informations contenues dans ce manuel soient les plus exactes possibles. Apple n’est pas responsable des erreurs d’écriture et d’impression. Apple 1 Infinite Loop Cupertino, CA 95014-2084 408-996-1010 www.apple.com En l’absence du consentement écrit d’Apple, l’utilisation à des fins commerciales de ce logo via le clavier (Option + 1) pourra constituer un acte de contrefaçon et/ ou de concurrence déloyale. Apple, le logo Apple, AirPort, AppleScript, AppleShare, AppleTalk, Bonjour, Firewire, iCal, iTunes, Mac, Macintosh, Mac OS, QuickTime, WebObjects, Xgrid, Xsan et Xserve sont des marques d’Apple Inc. déposées aux États-Unis et dans d’autres pays. Finder est une marque d’Apple Inc. Java et tous les logos et marques dérivés de Java sont des marques ou des marques déposées de Sun Microsystems, Inc. aux États-Unis et dans d’autres pays. UNIX est une marque déposée de The Open Group. Les autres noms de sociétés et de produits mentionnés ici sont des marques de leurs détenteurs respectifs. La mention de produits tiers n’est effectuée qu’à des fins informatives et ne constitue en aucun cas une approbation ni une recommandation. Apple n’assume aucune responsabilité vis-à-vis des performances ou de l’utilisation de ces produits. F019-0941/01-09-2007 1 Table des matières Préface 11 11 11 12 13 13 15 15 15 16 À propos de ce guide Nouveautés de la version 10.5 Contenu de ce guide Utilisation du guide Utilisation de l’aide à l’écran Guides d’administration de Mac OS X Server Affichage des guides PDF à l’écran Impression des guides PDF Obtenir des mises à jour de documentation Pour obtenir des informations supplémentaires Chapitre 1 17 17 18 19 21 23 Connexion de votre réseau à Internet À propos d’Assistant réglages passerelle Exécution de l’Assistant réglages passerelle Connexion d’un réseau local câblé à Internet Connexion d’un réseau local câblé et de clients sans fil à Internet Connexion d’un réseau local sans fil à Internet Chapitre 2 27 28 29 29 29 29 30 30 31 31 31 31 31 32 33 Utilisation du service DHCP Présentation générale de la configuration Avant de configurer le service DHCP Création de sous-réseaux Assignation dynamique d’adresses IP Utilisation d’adresses IP statiques Localisation du serveur DHCP Interaction avec d’autres serveurs DHCP Utilisation de plusieurs serveurs DHCP sur un réseau Assignation d’adresses IP réservées Obtention d’informations supplémentaires sur le processus DHCP Activation du service DHCP Configuration du service DHCP Création de sous-réseaux dans le service DHCP Configuration de réglages d’historique 3 Chapitre 3 4 33 34 34 34 35 35 36 36 37 37 39 39 40 40 41 41 41 45 47 47 Démarrage du service DHCP Gestion du service DHCP Arrêt du service DHCP Modification de réglages de sous-réseau dans le service DHCP Suppression de sous-réseaux du service DHCP Désactivation temporaire de sous-réseaux Modification des durées de bail d’adresse IP d’un sous-réseau Configuration du serveur DNS d’un sous-réseau DHCP Configuration des options LDAP d’un sous-réseau Configuration des options WINS d’un sous-réseau Assignation d’adresses IP statiques à l’aide de DHCP Suppression ou modification de mappages d’adresses statiques Surveillance du service DHCP Vérification de l’état du service DHCP Affichage d’entrées d’historique DHCP Affichage de la liste des clients DHCP Configurations réseau courantes qui utilisent DHCP Configuration de DHCP pour l’utilisation d’une URL de serveur LDAP supplémentaire Service DHCP pour clients Mac OS X à l’aide de DHCP avec une adresse manuelle Autres sources d’informations 49 50 50 50 51 51 52 53 53 56 57 57 58 60 60 61 62 62 63 63 63 64 Utilisation du service DNS À propos des zones DNS Zones principales Zones secondaires Zones de redirection À propos des enregistrements de machine DNS À propos de Bonjour Avant de configurer le service DNS Configuration initiale du service DNS Activation du service DNS Mise à niveau de la configuration DNS Configuration du service DNS Configuration de réglages de zone Configuration de réglages de zone secondaire Configuration de réglages Bonjour Configuration de réglages DNS Démarrage du service DNS Gestion du service DNS Vérification de l’état du service DNS Affichage des historiques du service DNS Modification du niveau de détail de l’historique DNS Arrêt du service DNS Table des matières Chapitre 4 64 65 66 66 67 68 68 68 69 70 70 71 72 72 73 73 74 74 75 75 76 76 77 77 80 81 81 82 82 83 Activation ou désactivation des transferts entre zones Activation de la récursivité Gestion de zones DNS Ajout d’une zone principale Ajout d’une zone secondaire Ajout d’une zone de redirection Modification d’une zone Suppression d’une zone Importation d’un fichier de zone BIND Gestion d’enregistrements DNS Ajout d’un enregistrement d’alias à une zone DNS Ajout d’un enregistrement de machine à une zone DNS Ajout d’un enregistrement de service à une zone DNS Modification d’un enregistrement dans une zone DNS Suppression d’un enregistrement d’une zone DNS Sécurisation du serveur DNS Mystification du DNS Exploration de serveur Profilage du service DNS Déni de service Talonnage de service Administration du service Bonjour sur zone élargie Tâches d’administration de réseau courantes qui utilisent le service DNS Configuration du DNS pour le service de courrier Configuration d’un espace de noms derrière une passerelle NAT Répartition de la charge du réseau (permutation circulaire) Configuration d’un réseau TCP/IP privé Hébergement de plusieurs services Internet à une seule adresse IP Hébergement de plusieurs domaines sur le même serveur Autres sources d’informations 85 85 87 88 88 89 91 91 92 92 93 95 Utilisation du service de coupe-feu À propos du service de coupe-feu Pratiques élémentaires en matière de coupe-feu Démarrage du coupe-feu À propos des règles de coupe-feu Une règle de coupe-feu, qu’est-ce que c’est ? Utilisation de plages d’adresses Mécanisme et ordre des règles Adresses IP multiples Modification de règles de coupe-feu IPv6 Présentation générale de la configuration Activation du service de coupe-feu Table des matières 5 Chapitre 5 6 95 95 96 97 98 98 99 99 99 100 100 101 101 102 103 104 104 105 105 105 106 106 107 107 108 109 109 109 110 111 111 112 113 113 114 114 115 115 119 Configuration du service de coupe-feu Configuration de réglages de groupes d’adresses Configuration de réglages de services Configuration des réglages de journalisation Configuration des réglages avancés Démarrage du service de coupe-feu Gestion du service de coupe-feu Arrêt du service de coupe-feu Création d’un groupe d’adresses Modification ou suppression d’un groupe d’adresses Duplication d’un groupe d’adresses Ajout d’éléments à la liste des services Modification ou suppression d’éléments dans la liste Services Configuration de règles de coupe-feu avancées Modification ou suppression de règles de coupe-feu avancées Modification de l’ordre de règles de coupe-feu avancées Dépannage de règles de coupe-feu avancées Activation du mode furtif Coupe-feu adaptatif Réinitialisation du coupe-feu aux réglages par défaut Surveillance du service de coupe-feu Vérification de l’état du service de coupe-feu Affichage des règles de coupe-feu actives Affichage de l’historique du service de coupe-feu Affichage des paquets refusés Affichage des paquets journalisés par les règles de coupe-feu Exemples de coupe-feu pratiques Utilisation du coupe-feu avec le service NAT Blocage de l’accès web à des utilisateurs Internet Journalisation de l’accès à Internet par les utilisateurs du réseau local Blocage du courrier indésirable Autorisation d’un client à accéder à un serveur de fichiers Apple Tâches d’administration de réseau courantes qui utilisent le service de coupe-feu Lutte contre les attaques par déni de service Contrôle ou activation de l’utilisation du réseau poste à poste Contrôle ou activation de l’utilisation de jeux en réseau Prévention de la propagation de virus réseau Référence des ports TCP et UDP Autres sources d’informations 121 121 122 Utilisation du service NAT Utilisation de NAT avec d’autres services réseau Vue d’ensemble de la configuration du réseau local pour NAT Table des matières Chapitre 6 123 123 124 125 126 127 127 128 128 128 128 131 131 134 Activation du service NAT Configuration du service NAT Configuration de la redirection de port Exemples de redirection de port Test des règles de redirection de port Démarrage et arrêt du service NAT Création d’une passerelle sans NAT Surveillance du service NAT Affichage de la vue d’ensemble de l’état de NAT Tâches d’administration de réseau courantes qui utilisent le service NAT Liaison d’un réseau local à Internet par une adresse IP Configuration d’un tournoi de jeu en réseau Configuration de serveurs virtuels Autres sources d’informations 135 136 136 137 137 Utilisation du service VPN VPN et la sécurité Protocoles de transport Méthode d’authentification Utilisation du service VPN avec des utilisateurs se trouvant dans un domaine LDAP de tierce partie Avant de configurer le service VPN Configuration d’autres services réseau pour VPN Présentation générale de la configuration Activation du service VPN Configuration du service VPN Configuration des réglages L2TP Configuration des réglages PPTP Configuration de réglages d’informations sur les clients Configuration des réglages de journalisation Démarrage du service VPN Gestion du service VPN Arrêt du service VPN Configuration de définitions de routage de réseau VPN Limitation de l’accès VPN à des utilisateurs ou groupes spécifiques Limitation de l’accès au VPN à des adresses IP entrantes spécifiques Instructions de configuration supplémentaires Surveillance du service VPN Affichage de la vue d’ensemble de l’état de VPN Modification du niveau de détail des historiques du service VPN Affichage de l’historique VPN Affichage des connexions des clients VPN Tâches d’administration de réseau courantes qui utilisent le service VPN 137 138 139 139 140 140 141 142 143 143 144 144 144 146 146 148 150 150 150 151 151 152 Table des matières 7 152 154 8 154 159 Liaison d’un ordinateur de la maison à un réseau distant Accès à une ressource informatique unique se trouvant derrière le coupe-feu d’un réseau distant Liaison de deux sites de réseau distant ou plus Autres sources d’informations Chapitre 7 161 161 162 162 162 163 164 165 165 166 166 166 166 167 167 168 168 168 Utilisation du service RADIUS Avant de configurer le service RADIUS Configuration initiale du service RADIUS Activation du service RADIUS Configuration du service RADIUS Configuration de RADIUS à l’aide de l’assistant de configuration Ajout de bornes d’accès AirPort à un serveur RADIUS Configuration à distance de bornes d’accès AirPort Configuration de RADIUS de manière à ce qu’il utilise des certificats Archivage des historiques du service RADIUS Démarrage ou arrêt du service RADIUS Gestion du service RADIUS Vérification de l’état du service RADIUS Affichage d’historiques du service RADIUS Modification de l’accès au service RADIUS Suppression de bornes d’accès AirPort Modification d’un enregistrement de borne d’accès AirPort Enregistrement du fichier de connexion à Internet d’une borne d’accès AirPort Chapitre 8 171 171 172 172 173 173 Utilisation du service NTP Comme NTP fonctionne Utilisation de NTP sur votre réseau Configuration du service NTP Configuration de NTP sur des clients Autres sources d’informations Chapitre 9 175 175 176 Prise en charge d’un réseau local virtuel Configuration de l’adhésion des clients à un réseau local virtuel Autres sources d’informations Chapitre 10 177 178 178 178 178 179 179 179 Prise en charge d’IPv6 Services compatibles avec IPv6 Prise en charge des adresses IPv6 dans Admin Serveur Adresses IPv6 Notation Adresses IPv6 réservées Modèle d’adressage IPv6 Types d’adresses IPv6 Table des matières 180 180 Glossaire 183 Index 197 Création d’une passerelle d’IPv4 à IPv6 Autres sources d’informations Table des matières 9 Préface À propos de ce guide Ce guide explique comment configurer et administrer les services réseau de Mac OS X Server. Mac OS X Server 10.5 comprend plusieurs services réseau qui permettent de gérer et de maintenir votre réseau. Nouveautés de la version 10.5 Mac OS X Server 10.5 offre les améliorations majeures suivantes en matière de services réseau :  Nouvelle fonctionnalité RADIUS : Mac OS X Server 10.5 utilise RADIUS pour l’autorisation de l’accès des utilisateurs aux bornes d’accès AirPort.  Nouvel assistant de configuration des services : Mac OS X Server 10.5 comporte maintenant un assistant de configuration des services pour NAT et RADIUS.  Bonjour amélioré : Mac OS X Server 10.5 permet d’administrer Bonjour.  Coupe-feu révisé et amélioré : Mac OS X Server 10.5 utilise un coupe-feu adaptatif qui configure des règles de coupe-feu dynamiquement et qui ne requiert aucune configuration. Contenu de ce guide Ce guide comprend les chapitres suivants :  Le chapitre 1, « Connexion de votre réseau à Internet, » explique comment utiliser Assistant réglages de passerelle pour relier un réseau à Internet.  Le chapitre 2, « Utilisation du service DHCP, » explique comment configurer et utiliser DHCP pour assigner des adresses IP sur un réseau.  Le chapitre 3, « Utilisation du service DNS, » explique comment utiliser Mac OS X Server comme serveur de noms de domaine.  Le chapitre 4, « Utilisation du service de coupe-feu, » explique comment préserver la sécurité d’un réseau à l’aide d’un coupe-feu. 11  Le chapitre 5, « Utilisation du service NAT, » explique comment configurer et utiliser NAT pour connecter de nombreux ordinateurs à Internet avec une seule adresse IP publique.  Le chapitre 6, « Utilisation du service VPN, » explique comment configurer et utiliser VPN pour autoriser les utilisateurs distants à accéder à votre réseau local privé de façon sécurisée.  Le chapitre 7, « Utilisation du service RADIUS, » explique comment configurer et utiliser le service RADIUS pour autoriser les utilisateurs et les groupes Open Directory à accéder aux bornes d’accès AirPort d’un réseau.  Le chapitre 8, « Utilisation du service NTP, » explique comment faire de votre serveur un serveur d’horloge.  Le chapitre 9, « Prise en charge d’un réseau local virtuel, » parle de la prise en charge de réseaux locaux virtuels pour certaines configurations matérielles de serveur.  Le chapitre 10, « Prise en charge d’IPv6, » parle d’IPv6 et des services qui prennent en charge l’adressage IPv6. Un glossaire propose en outre une brève définition des termes utilisés dans ce guide. Remarque : étant donné qu’Apple publie souvent de nouvelles versions et mises à jour de ses logiciels, les illustrations de ce document peuvent être différentes de celles qui s’affichent à l’écran. Utilisation du guide Chaque chapitre couvre un service réseau différent. Lisez tous les chapitres qui parlent des services que vous comptez fournir à vos utilisateurs. Apprenez comment le service fonctionne, ce qu’il permet de faire, les stratégies d’utilisation, la manière de le configurer pour la première fois et de l’administrer par la suite. Jetez aussi un œil aux chapitres relatifs aux services qui ne vous sont pas familiers. Vous constaterez peut-être que certains des services que vous n’avez encore jamais utilisés peuvent vous permettre de gérer votre réseau de manière plus efficace et d’en améliorer les performances pour les utilisateurs. La plupart des chapitres se terminent par une rubrique appelée « Autres sources d’informations », qui vous indique les sites web et autres documents de référence dans lesquels figurent d’autres informations sur le service concerné. 12 Préface À propos de ce guide Utilisation de l’aide à l’écran Vous pouvez obtenir des instructions à l’écran tout en gérant Leopard Server. L’aide peut être affichée sur un serveur ou sur un ordinateur administrateur. (Un ordinateur administrateur est un ordinateur Mac OS X sur lequel est installé le logiciel d’administration de serveur Leopard Server.) Pour obtenir de l’aide dans le cas d’une configuration avancée de Leopard Server : m Ouvrez Admin Serveur ou Gestionnaire de groupe de travail, puis :  Utilisez le menu Aide pour rechercher une tâche à exécuter.  Choisissez Aide > Aide Admin Serveur ou Aide > Aide Gestionnaire de groupe de travail avant d’explorer les rubriques d’aide et d’effectuer des recherches. L’aide à l’écran contient des instructions issues de Administration du serveur et d’autres guides d’administration avancés décrits dans « Guides d’administration de Mac OS X Server ». Pour visualiser les rubriques d’aide les plus récentes concernant les serveurs : m Assurez-vous que le serveur ou l’ordinateur administrateur est connecté à Internet pendant que vous consultez l’Aide. Visualisation Aide extrait automatiquement les rubriques d’aide les plus récentes depuis Internet et les stocke en mémoire cache. Lorsque vous n’êtes pas connecté à Internet, Visualisation Aide affiche les rubriques d’aide mises en cache. Guides d’administration de Mac OS X Server Premiers contacts traite de l’installation et de la configuration des configurations standard et de groupe de travail de Mac OS X Server. Pour les configurations avancées, consultez Administration du serveur, qui regroupe la planification, l’installation, la configuration et l’administration du serveur en général. Une série de guides supplémentaires, énumérés ci-dessous, décrit la planification, la configuration, ainsi que la gestion avancée des services individuels. Vous pouvez obtenir ces guides au format PDF sur le site web de documentation de Mac OS X Server : www.apple.com/fr/server/documentation. Ce guide ... explique comment : Premiers contacts et Feuille d’opération d’installation et de configuration Installer Mac OS X Server et le configurer pour la première fois. Administration de ligne de commande Installer, configurer et gérer Mac OS X Server à l’aide de fichiers de configuration et d’outils en ligne de commande UNIX. Administration des services de fichier Partager certains volumes ou dossiers de serveur entre les clients du serveur, à l’aide des protocoles AFP, NFS, FTP et SMB. Administration du service iCal Configurer et gérer le service de calendrier partagé d’iCal. Préface À propos de ce guide 13 Ce guide ... explique comment : Administration du service iChat Configurer et gérer le service de messagerie instantanée d’iChat. Configuration de la sécurité de Mac OS X Renforcer la sécurité des ordinateurs (clients) Mac OS X, comme l’exigent les entreprises et les organismes publics. Configuration de la sécurité de Mac OS X Server Renforcer la sécurité de Mac OS X Server et de l’ordinateur sur lequel il est installé, comme l’exigent les entreprises et les organismes publics. Administration du service de messagerie Configurer et gérer les services de messagerie IMAP, POP et SMTP sur le serveur. Administration des services de réseau Installer, configurer et administrer les services DHCP, DNS, VPN, NTP, coupe-feu IP, NAT et RADIUS sur le serveur. Administration d’Open Directory Configurer et gérer les services d’annuaire et d’authentification et configurer les clients autorisés à accéder aux services d’annuaire. Administration de Podcast Producer Configurer et gérer le service Podcast Producer destiné à enregistrer, traiter et distribuer des podcasts. 14 Administration du service d’impression Héberger les imprimantes partagées et gérer les files d’attente et travaux d’impression associés. Administration de QuickTime Streaming et Broadcasting Capturer et encoder du contenu QuickTime. Configurer et gérer le service QuickTime Streaming en vue de diffuser des données multimédias en temps réel ou à la demande. Administration du serveur Mettre en place l’installation et la configuration avancées du logiciel serveur et gérer des options qui s’appliquent à plusieurs services ou à l’intégralité du serveur. Administration de Mise à jour de logiciels et d’Imagerie système Utiliser NetBoot, NetInstall et Mise à jour de logiciels pour automatiser la gestion du système d’exploitation et des autres logiciels utilisés par les ordinateurs clients. Mise à niveau et migration Utiliser des réglages de données et de services correspondant à une version antérieure de Mac OS X Server ou de Windows NT. Gestion des utilisateurs Créer et gérer des comptes utilisateur, des groupes et des ordinateurs. Configurer les préférences gérées des clients Mac OS X. Administration des technologies web Configurer et gérer des technologies web telles que les blogs, WebMail, wiki, MySQL, PHP, Ruby on Rails (RoR) et WebDAV. Informatique à haute performance et administration Xgrid Configurer et gérer des grappes de calcul de systèmes Xserve et d’ordinateurs Mac. Glossaire Mac OS X Server Savoir à quoi correspondent les termes utilisés pour les produits de serveur et les produits de stockage. Préface À propos de ce guide Affichage des guides PDF à l’écran Lorsque vous lisez la version PDF d’un guide à l’écran, vous pouvez :  Afficher les signets pour visualiser le plan du guide et cliquer sur un signet pour accéder directement à la section correspondante.  Rechercher un mot ou une phrase pour afficher une liste des endroits où ce mot ou cette phrase apparaît dans le document. Cliquez sur un de ces endroits pour afficher la page correspondante.  Cliquer sur une référence croisée pour accéder directement à la rubrique référencée. Cliquer sur un lien pour visiter le site web à partir de votre navigateur. Impression des guides PDF Si vous devez imprimer un guide, procédez comme suit pour économiser du papier et de l’encre :  Économisez de l’encre ou du toner en évitant d’imprimer la couverture.  Si vous disposez d’une imprimante couleur, économisez de l’encre en choisissant une option d’impression en niveaux de gris ou en noir et blanc dans une des sections de la zone de dialogue Imprimer.  Réduisez le volume du document imprimé et économisez du papier en imprimant plusieurs pages par feuille. Dans la zone de dialogue Imprimer, réglez Échelle sur 115 % (155 % pour Premiers contacts). Choisissez ensuite Mise en page dans le menu local sans titre. Si votre imprimante prend en charge l’impression recto verso (duplex), sélectionnez l’une des options proposées. Sinon, choisissez 2 dans le menu local Pages par feuille et, si vous le souhaitez, Simple extra fine dans le menu Bordure. (Si vous utilisez Mac OS X 10.4 ou antérieur, le réglage Échelle se trouve dans la zone de dialogue Format d’impression et les réglages relatifs à la mise en page dans la zone de dialogue Imprimer.) Il peut s’avérer utile d’agrandir les pages imprimées même si vous n’imprimez pas en recto verso, car la taille des pages PDF est inférieure à celle du papier d’imprimante standard. Dans la zone de dialogue Imprimer ou dans la zone de dialogue Format d’impression, essayez de régler Échelle sur 115 % (155 % pour Premiers contacts qui possède des pages de la taille d’un CD). Obtenir des mises à jour de documentation Apple publie régulièrement des pages d’aide révisées ainsi que de nouvelles éditions de ses guides. Certaines pages d’aide révisées sont des mises à jour des dernières éditions de ces guides.  Pour afficher les nouvelles rubriques d’aide à l’écran d’une application de serveur, assurez-vous que votre serveur ou votre ordinateur administrateur est connecté à Internet et cliquez sur le lien des dernières rubriques d’aide ou de mise à jour dans la page d’aide principale de l’application. Préface À propos de ce guide 15  Pour télécharger les guides les plus récents au format PDF, rendez-vous sur le site web de documentation sur Mac OS X Server à l’adresse : www.apple.com/fr/server/documentation/ Pour obtenir des informations supplémentaires Pour plus d’informations, consultez les ressources suivantes :  Documents Ouvrez-moi : mises à jour importantes et informations spécifiques. Recherchez-les sur les disques du serveur.  Site web de Mac OS X Server (www.apple.com/fr/server/macosx) : passerelle vers des informations détaillées sur de nombreux produits et technologies.  Site web de service et d’assistance Mac OS X Server (www.apple.com/fr/support/macosxserver) : accès à des centaines d’articles du service d’assistance d’Apple.  Site web de formation d’Apple (www.apple.com/fr/training) : cours dirigés par un professeur et autoformations pour affiner vos compétences en matière d’administration de serveur.  Groupes de discussions Apple, (discussions.apple.com) : un moyen de partager questions, connaissances et conseils avec d’autres administrateurs.  Site web des listes d’envoi Apple, (www.lists.apple.com) : abonnez-vous à des listes d’envoi afin de pouvoir communiquer par courrier électronique avec d’autres administrateurs.  Site web d’OpenLDAP (www.openldap.org) : découvrez le logiciel open source utilisé par Open Directory pour fournir le service de répertoires LDAP.  Site Web de Kerberos du MIT (web.mit.edu/kerberos/www/) : obtenez des informations élémentaires et des spécifications sur les protocoles utilisés par Open Directory pour fournir une authentification par signature unique robuste.  Site web de Berkeley DB (www.oracle.com/database/berkeley-db/) : consultez les descriptions de fonctionnalités et la documentation technique relatives à la base de données open source qu’Open Directory utilise pour stocker les données des répertoires LDAP.  RFC3377, “Lightweight Directory Access Protocol (v3): spécification technique” (www.rfc-editor.org/rfc/rfc3377.txt) : accédez à huit autres documents RFC (Request for Comment) qui contiennent des informations d’ensemble et des spécifications détaillées sur le protocole LDAPv3. 16 Préface À propos de ce guide 1 Connexion de votre réseau à Internet 1 Utilisez Assistant réglages passerelle pour vous guider dans la configuration initiale de votre serveur comme passerelle entre votre réseau privé et Internet. Assistant réglages passerelle vous guide dans la configuration de votre serveur de façon à le connecter à Internet. Les modifications ultérieures à la configuration du service se font à l’aide d’Admin Serveur. Pour obtenir des instructions sur les services réseau, consultez la section correspondante dans le présent manuel. À propos d’Assistant réglages passerelle Assistant réglages passerelle vous aide à configurer rapidement et simplement Mac OS X Server 10.5 de façon à partager votre connexion Internet avec votre réseau local. Une fois que vous avez configuré certains réglages, l’assistant peut commencer le partage de la connexion au serveur. Selon vos choix en matière de configuration, l’assistant effectue les opérations suivantes lors de la configuration du serveur :  Il assigne au serveur une adresse IP statique par interface réseau interne. L’adresse assignée est 192.168.x.1. La valeur de x est déterminée par l’ordre de l’interface réseau dans la sous-fenêtre Préférences de système de réseau. Par exemple, pour la première interface de la liste, x est égal à 0, pour la seconde interface, x est égal à 1.  Il active DHCP pour l’allocation d’adresses sur le réseau interne en supprimant les sous-réseaux DHCP existants.  Il désactive certaines adresses internes (192.168.x.x) pour l’utilisation de DHCP. Lorsque VPN n’est pas démarré, chaque interface peut allouer des adresses allant de 192.168.x.2 à 192.168.x.254.  (Facultatif) Il active VPN de façon à autoriser les clients externes autorisés à se connecter au réseau local. Lorsque VPN L2TP est activé, vous devez saisir le secret partagé (la phrase clé) que les connexions client devront utiliser. 17  Il désactive certaines adresses internes (192.168.x.x) pour l’utilisation de VPN. Si VPN est sélectionné, la moitié des adresses IP allouées dans la plage d’adresses DHCP sont réservées pour les connexions VPN. Les adresses 192.168.x.128 à 192.168.x.254 sont allouées aux connexions VPN.  Il active le coupe-feu de façon à améliorer la sécurisation du réseau interne. Des groupes d’adresses autorisant tout le trafic à partir des plages d’adresses DHCP nouvellement crées vers toute adresse de destination sont ajoutés pour chaque interface de réseau interne.  Il active la traduction des adresses réseau (en anglais « Network Address Translation » ou « NAT ») sur le réseau interne et ajoute une règle de déviation NAT au coupe-feu IP pour diriger le trafic réseau vers l’ordinateur qui convient. Cela protège aussi le réseau interne contre les connexions externes non autorisées.  Il active DNS sur le serveur, configuré de façon à mettre les recherches en cache afin d’améliorer la réponse DNS pour les clients internes. Avant de configurer ces réglages, vous pouvez passer en revue les modifications proposées avant de les utiliser et d’écraser les réglages existants. Les modifications ultérieures à la configuration du service se font à l’aide d’Admin Serveur. Pour des informations sur les services réseau, consultez la section correspondante dans le présent manuel. Si vous exécutez à nouveau Assistant réglages passerelle, il écrase les réglages manuels que vous avez faits. Exécution de l’Assistant réglages passerelle Assistant réglages passerelle se lance dans la sous-fenêtre Vue d’ensemble du service NAT d’Admin Serveur. Pour lancer Assistant réglages passerelle : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur Réglages, puis sur Services. 3 Cochez la case NAT, puis cliquez sur Enregistrer. 4 Cliquez sur le triangle situé à gauche du serveur. La liste des services apparaît. 5 Dans la liste Serveurs développée, sélectionnez NAT. 6 Cliquez sur Vue d’ensemble. 7 Cliquez sur Assistant réglages de passerelle. 18 Chapitre 1 Connexion de votre réseau à Internet 8 Suivez les instructions de l’assistant, cliquez sur Continuer après chaque page, lisez attentivement le résumé de configuration final et assurez-vous que les réglages sont corrects avant de finaliser la configuration. AVERTISSEMENT : bien que vous puissiez utiliser l’Assistant de configuration de service pour configurer des serveurs distants, vous pourriez couper votre accès au serveur distant en tant qu’administrateur par accident. Connexion d’un réseau local câblé à Internet Vous pouvez utiliser l’Assistant réglages passerelle pour connecter un réseau local câblé à Internet. Votre réseau local peut être composé d’un nombre quelconque d’ordinateurs connectés les uns aux autres par des concentrateurs et des commutateurs Ethernet, mais le réseau local doit avoir un point de contact avec Internet (la passerelle). Votre passerelle dispose d’une connexion à Internet et d’une connexion au réseau local. Tous les autres ordinateurs accèdent à Internet par la passerelle. Vous pouvez configurer votre serveur Mac OS X comme passerelle vers Internet, mais celui-ci doit disposer de deux ports Ethernet (en0 et en1). Ethernet en0 doit être connecté à Internet et en1 au réseau local. Une fois fait, les ordinateurs du réseau local :  peuvent obtenir des adresses IP et des réglages réseau configurés par DHCP ;  peuvent accéder à Internet si la passerelle est connectée à Internet ;  ne sont pas accessibles par des connexions réseau non autorisées provenant d’Internet ;  sont accessibles par Internet par les clients VPN autorisés (si VPN est configuré) ;  peuvent bénéficier de la mise en cache des recherches DNS dans la passerelle, ce qui accélère la résolution DNS. Pour connecter un réseau local câblé à Internet : 1 Branchez la connexion à Internet au port Ethernet 1 (en0). 2 Branchez la connexion à votre réseau local au port Ethernet 2 (en1). 3 Ouvrez Admin Serveur et connectez-vous au serveur. 4 Cliquez sur Réglages, puis sur Services. 5 Cochez la case NAT. 6 Cliquez sur Enregistrer. 7 Cliquez sur le triangle situé à gauche du serveur. La liste des services apparaît. 8 Dans la liste Serveurs développée, sélectionnez NAT. Chapitre 1 Connexion de votre réseau à Internet 19 9 Cliquez sur Vue d’ensemble, puis cliquez sur Assistant réglages de passerelle. 10 Cliquez sur Continuer. Si votre serveur dispose de configurations DHCP, DNS, NAT et VPN existantes, vous êtes invité à écraser ces configurations. Si vous voulez écraser les configurations existantes, cliquez sur Écraser pour continuer. 11 Dans le menu local Interface WAN vers la passerelle, sélectionnez Ethernet 1 (en0) comme interface WAN, puis cliquez sur Continuer. 12 Dans la liste des interfaces réseau, cochez la case Ethernet 2 de votre interface LAN, puis cliquez sur Continuer. Votre interface LAN est celle qui est connectée à votre réseau local. Tous les ordinateurs du réseau local partagent la connexion Internet du serveur par l’interface WAN du serveur. Si votre serveur dispose de plus d’une interface (port Ethernet 2, port Ethernet 3, etc.), sélectionnez celles que vous voulez activer. 13 (Facultatif ) Si vous voulez faire de votre serveur passerelle un point d’entrée VPN vers votre réseau local, cochez la case Activer VPN pour ce serveur. Si vous activez VPN, vous devez disposer d’un secret partagé. Un secret partagé est une phrase clé que les utilisateurs doivent fournir pour se connecter de façon sécurisée à la passerelle VPN. Il doit s’agir d’une phrase clé très sûre, pas du mot de passe d’un utilisateur ou administrateur du serveur de passerelle. Pour définir une phrase clé très sûre, utilisez Assistant mot de passe dans Préférences de comptes. Pour en savoir plus, consultez la rubrique Configuration de la sécurité de Mac OS X Server. Pour plus d’informations, consultez le chapitre 6, « Utilisation du service VPN ». 14 Cliquez sur Continuer. 15 Vérifiez et confirmez votre configuration. 16 Cliquez sur Continuer. NAT et tous les services qui en dépendent sont configurés et démarrés. 17 Cliquez sur Fermer. Options Vous pouvez affiner les réglages de cette configuration de base, mais toute configuration supplémentaire se fait dans Admin Serveur. Par exemple, vous pouvez utiliser Admin Serveur pour assigner des adresses IP à certains ordinateurs. Pour ce faire, ajoutez des mappages d’adresses statiques dans les réglages relatifs au service DHCP. Pour en savoir plus, consultez le chapitre 2, « Utilisation du service DHCP ». 20 Chapitre 1 Connexion de votre réseau à Internet Vous pouvez modifier des réglages relatifs au coupe-feu pour permettre des connexions au réseau local à partir d’Internet. Pour ce faire, modifiez les réglages relatifs au coupefeu, ouvrez les ports IP dont vous avez besoin et configurez la redirection de ports (en éditant des fichiers UNIX à la ligne de commande) pour désigner l’ordinateur du réseau local qui doit accepter le trafic entrant. Connexion d’un réseau local câblé et de clients sans fil à Internet Vous pouvez utiliser l’Assistant réglages de passerelle pour connecter un réseau local câblé et des clients sans fil à Internet. Votre réseau local peut être composé d’un nombre quelconque d’ordinateurs connectés les uns aux autres par des concentrateurs et des commutateurs Ethernet, mais le réseau local doit avoir un point de contact avec Internet (la passerelle). Votre réseau local doit aussi posséder une borne d’accès AirPort pour connecter les ordinateurs sans fil au réseau câblé. Vos clients sans fil doivent pouvoir se connecter au réseau sans fil de la borne d’accès AirPort pour être reliés au réseau local câblé. Une fois fait, les ordinateurs du réseau local et ceux connectés à la borne d’accès AirPort :  peuvent obtenir des adresses IP et des réglages réseau configurés par DHCP ;  peuvent accéder à Internet si la passerelle est connectée à Internet ;  ne sont pas accessibles par les connexions réseau non autorisées provenant de la connexion câblée vers Internet ;  sont accessibles par Internet par les clients VPN autorisés (si VPN est configuré) ;  peuvent bénéficier de la mise en cache des recherches DNS dans la passerelle, ce qui accélère la résolution DNS. Pour connecter un réseau local câblé et de clients sans fil à Internet : 1 Branchez la connexion à Internet au port Ethernet 1 (en0). 2 Branchez la connexion à votre réseau local au port Ethernet 2 (en1). 3 Connectez le port de la borne d’accès AirPort (le port WAN, s’il y en a deux) au réseau câblé. 4 À l’aide d’Utilitaire AirPort, configurez la borne d’accès de façon à ce qu’elle se connecte par Ethernet et reçoive son adresse par DHCP. Vous pouvez l’ouvrir à partir du dossier /Applications/Utilitaires/. 5 Sélectionnez votre borne d’accès, puis choisissez Configuration manuelle dans le menu Borne d’accès. 6 Saisissez le mot de passe de la borne d’accès, si nécessaire. 7 Cliquez sur Internet dans la barre d’outils, puis sur Connexion Internet. 8 Dans le menu local Se connecter via, choisissez Ethernet. Chapitre 1 Connexion de votre réseau à Internet 21 9 Dans le menu local Configurer IPv4, choisissez Utilisation de DHCP. 10 Dans le menu local Partage de connexion, choisissez Désactivé (mode pont). 11 Pour modifier des réglages relatifs à la borne d’accès, cliquez sur Mettre à jour. 12 Ouvrez Admin Serveur et connectez-vous au serveur. 13 Cliquez sur Réglages, puis sur Services. 14 Cochez la case NAT. 15 Cliquez sur Enregistrer. 16 Cliquez sur le triangle situé à gauche du serveur. La liste des services apparaît. 17 Dans la liste Serveurs développée, sélectionnez NAT. 18 Cliquez sur Vue d’ensemble, puis cliquez sur Assistant réglages de passerelle. 19 Cliquez sur Continuer. 20 Comme interface WAN (Internet), désignez Ethernet 1. 21 Comme interface LAN (partage), désignez Ethernet 2. Votre interface LAN est celle qui est connectée à votre réseau local. Tous les ordinateurs du réseau local partagent la connexion Internet du serveur par l’interface WAN du serveur. Si votre serveur dispose de plus d’une interface (port Ethernet 2, port Ethernet 3, etc.), sélectionnez celles que vous voulez activer. 22 Faites éventuellement de cette passerelle un point d’entrée VPN vers votre réseau local. Si vous activez VPN, vous devez disposer d’un secret partagé. Un secret partagé est une phrase clé que les utilisateurs doivent fournir pour se connecter de façon sécurisée à la passerelle VPN. Il doit s’agir d’une phrase clé très sûre, pas du mot de passe d’un utilisateur ou administrateur du serveur passerelle. Pour définir une phrase clé très sûre, utilisez Assistant mot de passe dans Préférences de comptes. Pour en savoir plus, consultez la rubrique Configuration de la sécurité de Mac OS X Server. Pour en savoir plus sur VPN, consultez le chapitre 6, « Utilisation du service VPN ». 23 Vérifiez et confirmez les modifications. Options Vous pouvez affiner les réglages de cette configuration de base, mais toute configuration supplémentaire se fait dans Admin Serveur. Par exemple, vous pouvez utiliser Admin Serveur pour assigner des adresses IP à certains ordinateurs. Pour ce faire, ajoutez des mappages d’adresses statiques dans l’onglet Réglages de la section DHCP. Pour en savoir plus, consultez le chapitre 2, « Utilisation du service DHCP ». 22 Chapitre 1 Connexion de votre réseau à Internet Vous pouvez modifier des réglages relatifs au coupe-feu pour permettre des connexions au réseau local à partir d’Internet. Pour ce faire, modifiez les réglages relatifs au coupefeu, ouvrez les ports IP dont vous avez besoin et configurez la réexpédition de ports dans la sous-fenêtre NAT pour désigner l’ordinateur du réseau local qui doit accepter le trafic entrant. Connexion d’un réseau local sans fil à Internet Connecter des clients sans fil à Internet par une passerelle Mac OS X Server offre les avantages suivants par rapport à l’utilisation des fonctions intégrées d’une borne d’accès AirPort :  Contrôle du coupe-feu avancé.  Allocation d’adresses IP statiques par DHCP.  Mise en cache DNS.  Connexions VPN entrantes vers le réseau local. Si vous n’avez pas besoin de ces fonctions, utilisez la borne d’accès AirPort pour connecter vos clients sans fil à Internet sans utiliser un serveur Mac OS X Server entre la borne d’accès et Internet. Pour profiter des fonctionnalités de la passerelle, utilisez la borne d’accès comme un pont entre vos clients sans fil et la passerelle. Chaque client se connecte à la borne d’accès et celle-ci envoie le trafic réseau au travers de la passerelle. Tous les clients sans fil doivent pouvoir se connecter au réseau sans fil de la borne d’accès AirPort pour être reliés à la passerelle. Une fois fait, les ordinateurs connectés à la borne d’accès AirPort :  peuvent obtenir des adresses IP et des réglages réseau configurés par DHCP ;  peuvent accéder à Internet si la passerelle est connectée à Internet ;  ne sont pas accessibles par les connexions réseau non autorisées provenant de la connexion câblée vers Internet ;  sont accessibles par Internet par les clients VPN autorisés (si VPN est configuré) ;  peuvent bénéficier de la mise en cache des recherches DNS dans la passerelle, ce qui accélère la résolution DNS. Pour connecter un réseau local câblé et de clients sans fil à Internet : 1 Branchez la connexion à Internet au port Ethernet 1 (en0). 2 Connectez le port de la borne d’accès AirPort (le port WAN, s’il y en a deux) au port Ethernet 2 (en1). 3 À l’aide d’Utilitaire AirPort, configurez la borne d’accès de façon à ce qu’elle se connecte par Ethernet et reçoive son adresse par DHCP. Vous pouvez l’ouvrir à partir du dossier /Applications/Utilitaires/. Chapitre 1 Connexion de votre réseau à Internet 23 4 Sélectionnez votre borne d’accès, puis choisissez Configuration manuelle dans le menu Borne d’accès. 5 Saisissez le mot de passe de la borne d’accès, si nécessaire. 6 Cliquez sur Internet dans la barre d’outils, puis cliquez sur Connexion Internet. 7 Dans le menu local Se connecter via, choisissez Ethernet. 8 Dans le menu local Configurer IPv4, choisissez Utilisation de DHCP. 9 Dans le menu local Partage de connexion, choisissez Désactivé (mode pont). 10 Pour modifier des réglages relatifs à la borne d’accès, cliquez sur Mettre à jour. 11 Ouvrez Admin Serveur et connectez-vous au serveur. 12 Cliquez sur Réglages, puis sur Services. 13 Cochez la case NAT. 14 Cliquez sur Enregistrer. 15 Cliquez sur le triangle situé à gauche du serveur. La liste des services apparaît. 16 Dans la liste Serveurs développée, sélectionnez NAT. 17 Cliquez sur Vue d’ensemble, puis cliquez sur Assistant réglages de passerelle. 18 Cliquez sur Continuer. 19 Comme interface WAN (Internet), désignez Ethernet intégré 1. 20 Comme interface LAN (partage), désignez Ethernet intégré 2. Votre interface LAN est celle qui est connectée à votre réseau local. Les ordinateurs du réseau local partagent la connexion Internet du serveur par l’interface WAN du serveur. Si votre serveur dispose de plus d’une interface (port Ethernet 2, port Ethernet 3, etc.), sélectionnez celles que vous voulez activer. 21 Faites éventuellement de cette passerelle un point d’entrée VPN vers votre réseau local. Si vous activez VPN, vous devez disposer d’un secret partagé. Un secret partagé est une phrase clé que les utilisateurs doivent fournir pour se connecter de façon sécurisée à la passerelle VPN. Il doit s’agir d’une phrase clé très sûre, pas du mot de passe d’un utilisateur ou administrateur du serveur passerelle. Pour définir une phrase clé très sûre, utilisez Assistant mot de passe dans Préférences de comptes. Pour en savoir plus, consultez la rubrique Configuration de la sécurité de Mac OS X Server. Pour en savoir plus sur VPN, consultez le chapitre 6, « Utilisation du service VPN ». 22 Vérifiez et confirmez les modifications. 24 Chapitre 1 Connexion de votre réseau à Internet Options Vous pouvez affiner les réglages de cette configuration de base, mais toute configuration supplémentaire se fait dans Admin Serveur. Par exemple, vous pouvez utiliser Admin Serveur pour assigner des adresses IP à certains ordinateurs. Pour ce faire, ajoutez des mappages d’adresses statiques dans l’onglet Réglages de la section DHCP. Pour en savoir plus, consultez le chapitre 2, « Utilisation du service DHCP » Vous pouvez modifier des réglages relatifs au coupe-feu pour permettre des connexions au réseau local à partir d’Internet. Pour ce faire, modifiez les réglages relatifs au coupefeu, ouvrez les ports IP dont vous avez besoin et configurez la réexpédition de ports dans la sous-fenêtre NAT pour désigner l’ordinateur du réseau local qui doit accepter le trafic entrant. Chapitre 1 Connexion de votre réseau à Internet 25 2 Utilisation du service DHCP 2 Ce chapitre décrit comment configurer et gérer le service DHCP dans Mac OS X Server. Si votre organisation possède plus de clients que d’adresses IP, vous pouvez tirer avantage de l’utilisation du service Dynamic Host Configuration Protocol (DHCP). Les adresses IP sont assignées en fonction des besoins et, quand elles ne sont plus nécessaires, peuvent être utilisées par d’autres clients. Vous pouvez utiliser une combinaison d’adresses IP statiques et dynamiques dans votre réseau. Le service DHCP vous permet d’administrer et de distribuer des adresses IP à des ordinateurs à partir de votre serveur. Lorsque vous configurez le serveur DHCP, vous assignez un bloc d’adresses IP pouvant être distribuées aux clients. Chaque fois qu’un ordinateur configuré de façon à utiliser DHCP démarre, il recherche un serveur DHCP sur le réseau. S’il trouve un serveur DHCP, l’ordinateur client lui demande une adresse IP. Le serveur DHCP cherche une adresse IP disponible et l’envoie à l’ordinateur accompagnée d’une durée de bail (période pendant laquelle l’ordinateur client est autorisé à utiliser l’adresse) et d’informations de configuration. Pour en savoir plus sur l’allocation statique et dynamique d’adresses IP, consultez la section « Avant de configurer le service DHCP » à la page 29. Les organisations peuvent tirer profit des fonctionnalités du service DHCP, par exemple la possibilité de définir les options d’ordinateurs relatives à Domain Name System (DNS) et au protocole Lightweight Directory Access Protocol (LDAP) sans devoir configurer chaque client séparément. Vous pouvez utiliser le module DHCP d’Admin Serveur pour :  configurer et administrer le service DHCP ;  créer et administrer des sous-réseaux ;  configurer des options DNS, LDAP et Windows Internet Naming Service (WINS) pour des ordinateurs clients ;  visualiser des baux d’adresses DHCP. 27 Présentation générale de la configuration Voici un aperçu des principales étapes pour configurer le service DHCP. Remarque : si vous avez utilisé l’Assistant réglages de passerelle pour configurer les ports de votre serveur quand vous avez installé Mac OS X Server, certaines informations DHCP sont déjà configurées. Suivez les étapes de cette section pour terminer la configuration du service DHCP. Vous trouverez plus d’informations sur les réglages de chaque étape dans la section « Gestion du service DHCP » à la page 34. Étape 1 : Avant de commencer Pour connaître les points à garder à l’esprit lors de la configuration du service DHCP, lisez la section « Avant de configurer le service DHCP » à la page 29. Étape 2 : Activez le service DHCP Avant de configurer le service DHCP, activez-le. Consultez la rubrique « Activation du service DHCP » à la page 31. Étape 3 : Créez des sous-réseaux Utilisez Admin Serveur pour créer un groupe d’adresses IP partagées par les ordinateurs clients de votre réseau. Créez une plage d’adresses partagées par sous-réseau. Ces adresses sont assignées par le serveur DHCP lorsqu’un client en fait la demande. Consultez la rubrique « Création de sous-réseaux dans le service DHCP » à la page 32. Étape 4 : Configurez les réglages relatifs à l’historique DHCP Vous pouvez consigner les activités et les erreurs de votre service DHCP pour vous aider à identifier les motifs d’utilisation et les problèmes liés à votre serveur. Le service DHCP enregistre les messages de diagnostic dans le fichier d’historique système. Pour éviter que ce fichier ne devienne trop volumineux, vous pouvez supprimer la plupart des messages en modifiant les réglages d’historique dans la sous-fenêtre Journalisation des réglages relatifs au service DHCP. Consultez la rubrique « Configuration de réglages d’historique » à la page 33. Étape 5 : Démarrez le service DHCP Après avoir configuré le service DHCP, démarrez-le pour le rendre disponible. Consultez la rubrique « Démarrage du service DHCP » à la page 33. 28 Chapitre 2 Utilisation du service DHCP Avant de configurer le service DHCP La présente section fournit des informations sur la manière de créer des sous-réseaux, d’assigner des adresses IP statiques et dynamiques, de localiser votre serveur sur le réseau et d’éviter des adresses IP réservées. Création de sous-réseaux Les sous-réseaux sont des regroupements d’ordinateurs d’un réseau destinés à en simplifier l’administration. Vous pouvez organiser les sous-réseaux comme vous le souhaitez. Par exemple, vous pouvez créer des sous-réseaux pour différents groupes au sein de votre organisation ou pour les différents étages de votre bâtiment. Une fois que vous avez regroupé les ordinateurs au sein de sous-réseaux, vous pouvez configurer les options de tous les ordinateurs d’un sous-réseau à la fois plutôt que de définir les options des différents ordinateurs séparément. Chaque sous-réseau a besoin d’une façon de se connecter à d’autres sous-réseaux. Un appareil nommé routeur connecte généralement les sous-réseaux entre eux. Assignation dynamique d’adresses IP Avec l’allocation dynamique d’adresses, une adresse IP est assignée pour une période de temps limitée (la durée de bail) ou jusqu’à ce que l’ordinateur n’ait plus besoin de l’adresse IP, selon ce qui se présente en premier. L’utilisation de baux courts permet au protocole DHCP de réattribuer des adresses IP sur les réseaux comportant plus d’ordinateurs que d’adresses IP. Les baux sont renouvelés si l’adresse n’est plus utilisée par un autre ordinateur. Les adresses allouées à des clients de réseaux privés virtuels (en anglais « Virtual Private Network » ou « VPN ») sont distribuées comme les adresses DHCP, mais elles ne proviennent pas de la même plage d’adresses que les adresses DHCP. Si vous prévoyez d’utiliser VPN, laissez certaines adresses non allouées par DHCP pour VPN. Pour en savoir plus sur VPN, consultez le chapitre 6, « Utilisation du service VPN, » à la page 135. Utilisation d’adresses IP statiques Les adresses IP statiques sont assignées à un ordinateur ou un périphérique, puis ne changent plus. Vous pouvez assigner des adresses IP statiques à des ordinateurs connectés en permanence à Internet, par exemple les serveurs web. Les autres périphériques qui doivent être disponibles en permanence aux utilisateurs du réseau, par exemple les imprimantes, peuvent aussi recevoir des adresses IP statiques. Les adresses IP statiques peuvent être configurées manuellement en saisissant l’adresse IP sur l’ordinateur (ou le périphérique) auquel l’adresse est assignée ou en configurant DHCP de façon à assigner la même adresse à un ordinateur ou périphérique à chaque demande. Chapitre 2 Utilisation du service DHCP 29 Les adresses IP statiques configurées manuellement permettent d’éviter d’éventuels problèmes que certains services peuvent rencontrer avec les adresses assignées par DHCP et ne sont pas pénalisées par le délai de DHCP lors de l’assignation d’une adresse. Les adresses assignées par DHCP permettent d’apporter des modifications à la configuration des adresses directement sur le serveur DHCP plutôt que sur chaque client. N’incluez pas des adresses IP statiques assignées manuellement dans les plages distribuées par DHCP. Vous pouvez configurer DHCP de façon à ce qu’il assigne toujours la même adresse à un ordinateur. Pour en savoir plus, consultez la rubrique « Assignation d’adresses IP statiques à l’aide de DHCP » à la page 39. Localisation du serveur DHCP Lorsqu’un ordinateur recherche un serveur DHCP, il diffuse un message. Si votre serveur DHCP ne se trouve pas sur le même sous-réseau que l’ordinateur, vérifiez que les routeurs qui connectent vos sous-réseaux peuvent rediriger les diffusions des clients et les réponses du serveur DHCP. Un agent de relais ou routeur capable de relayer les communications BootP sur votre réseau fera l’affaire pour DHCP. Si vous ne disposez pas d’un moyen de relayer les communications BootP, placez le serveur DHCP sur le même sous-réseau que le client. Interaction avec d’autres serveurs DHCP Il se peut qu’il y ait déjà des serveurs DHCP sur votre réseau, par exemple des bornes d’accès AirPort. Mac OS X Server peut coexister avec d’autres serveurs DHCP tant que chaque serveur DHCP utilise un groupe d’adresses IP unique. Il se peut toutefois que vous souhaitiez que votre serveur DHCP fournisse une adresse de serveur LDAP pour l’autoconfiguration des clients dans les environnements gérés. Comme les bornes d’accès AirPort ne peuvent pas fournir d’adresse de serveur LDAP, si vous voulez utiliser l’autoconfiguration, vous devez configurer les borne d’accès AirPort en mode pont Ethernet et faire fournir le service DHCP par Mac OS X Server. Si les bornes d’accès AirPort sont sur des sous-réseaux différents, vos routeurs doivent être configurés de façon à rediriger les diffusions des clients et les réponses du serveur DHCP comme décrit plus haut. Pour que les bornes d’accès AirPort disposent du service DHCP, vous devez saisir les adresses de serveur LDAP des ordinateurs manuellement. Vous ne pouvez pas utiliser l’autoconfiguration des clients. 30 Chapitre 2 Utilisation du service DHCP Utilisation de plusieurs serveurs DHCP sur un réseau Il peut y avoir plusieurs serveurs DHCP sur le même réseau. Ils doivent toutefois être configurés correctement pour éviter des interférences entre eux. Chaque serveur doit disposer de son propre groupe unique d’adresses IP à distribuer. Assignation d’adresses IP réservées Certaines adresses IP ne peuvent pas être assignées, notamment les adresses réservées pour le rebouclage et la diffusion. Votre fournisseur d’accès à Internet ne vous assignera pas ces adresses. Si vous tentez de configurer DHCP de façon à utiliser ces adresses, vous serez averti que ces adresses ne sont pas valides et serez invité à saisir des adresses valides. Obtention d’informations supplémentaires sur le processus DHCP Mac OS X Server utilise un processus démon nommé bootpd chargé de l’allocation d’adresses du service DHCP. Pour en savoir plus sur bootpd et ses options de configuration avancées, consultez la page man de bootpd. Activation du service DHCP Avant de pouvoir configurer les réglages DHCP, vous devez activer le service DHCP dans Admin Serveur. Pour activer le service DHCP : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur Réglages. 3 Cliquez sur Services. 4 Cochez la case DHCP. 5 Cliquez sur Enregistrer. Configuration du service DHCP Configurez le service DHCP en configurant les éléments suivants dans Admin Serveur :  Sous-réseau. Créez un groupe d’adresses IP partagées par des ordinateurs de votre réseau.  Niveau d’historique. Configurez le niveau d’historique des événements DHCP. Les sections qui suivent décrivent les tâches requises pour la configuration de ces réglages. La section finale indique comme démarrer le service DHCP une fois que vous avez fini. Chapitre 2 Utilisation du service DHCP 31 Création de sous-réseaux dans le service DHCP Les sous-réseaux sont des regroupements, sur un même réseau, d’ordinateurs organisés par emplacement (par exemple, selon les différents étages d’un bâtiment) ou par l’emploi des ressources (par exemple, tous les étudiants en classe de seconde). Au moins une plage d’adresses IP est assignée à chaque sous-réseau. Pour créer un sous-réseau : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle situé à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez DHCP. 4 Cliquez sur Sous-réseaux. 5 Cliquez sur le bouton Ajouter (+). 6 Saisissez un nom parlant pour le nouveau sous-réseau. 7 Saisissez une adresse IP de début et de fin pour la plage du sous-réseau. Les adresses doivent être consécutives et ne peuvent pas chevaucher d’autres plages de sous-réseau. 8 Saisissez le masque de sous-réseau de la plage d’adresses réseau. 9 Dans le menu local, sélectionnez l’interface réseau qui hébergera le service DHCP. 10 Saisissez l’adresse IP du routeur de ce sous-réseau. Si le serveur que vous configurez est le routeur du sous-réseau, saisissez l’adresse IP du réseau local de ce serveur comme adresse du routeur. 11 Définissez une durée de bail en heures, jours, semaines ou mois. 12 Si vous voulez définir des informations DNS, LDAP ou WINS pour ce sous-réseau, saisissez-les maintenant. Pour plus d’informations, consultez les sections « Configuration du serveur DNS d’un sous-réseau DHCP » à la page 36, « Configuration des options LDAP d’un sous-réseau » à la page 37 et « Configuration des options WINS d’un sous-réseau » à la page 37. 13 Cliquez sur Enregistrer. 14 Pour activer le sous-réseau, cochez la case Activer. 15 Cliquez sur Enregistrer. 32 Chapitre 2 Utilisation du service DHCP Configuration de réglages d’historique Vous pouvez choisir le niveau de détail des historiques du service DHCP :  Faible (erreurs uniquement) : indique les conditions pour lesquelles vous devez prendre une mesure immédiate (par exemple, si le serveur DHCP ne peut pas démarrer). Ce niveau correspond à la signalisation bootpd en mode silencieux avec le drapeau « -q ».  Moyen (erreurs et messages) : vous averti des conditions dans lesquelles les données sont incohérentes mais sans que cela n’empêche le serveur DHCP de fonctionner. Ce niveau correspond à la signalisation bootpd par défaut.  Élevé (tous les événements) : enregistre toutes les activités du service DHCP, y compris les fonctions de routine. Ce niveau correspond à la signalisation bootpd en mode détaillé avec le drapeau « -v ». Pour configurer le niveau de détail d’historique : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle situé à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez DHCP. 4 Cliquez sur Réglages. 5 Dans le menu local Niveau d’historique, sélectionnez l’option de journalisation souhaitée. 6 Cliquez sur Enregistrer. Démarrage du service DHCP Il faut démarrer le service DHCP pour fournir des adresses IP aux utilisateurs. Vous devez avoir créé et activé au moins un sous-réseau. Pour démarrer le service DHCP : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle situé à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez DHCP. 4 Cliquez sur le bouton Démarrer DHCP (sous la liste Serveurs). Si le service de coupe-feu est en service, un avertissement vous demandant de vérifier que tous les ports utilisés par DHCP sont ouverts s’affiche. Cliquez sur OK. Le service reste actif jusqu’à ce que vous l’arrêtiez. Il redémarre lorsque votre serveur redémarre. À partir de la ligne de commande Vous pouvez également démarrer le service DHCP à l’aide de la commande serveradmin dans Terminal. Pour plus d’informations, consultez le chapitre sur les services de fichiers du guide Administration de ligne de commande. Chapitre 2 Utilisation du service DHCP 33 Gestion du service DHCP La présente section décrit comment configurer et gérer le service DHCP sousMac OS X Server. Cela couvre le démarrage du service, la création de sous-réseaux et la configuration de réglages facultatifs, par exemple LDAP ou DNS pour un sous-réseau. Arrêt du service DHCP Lorsque vous démarrez ou arrêtez DHCP, il faut avoir créé et activé au moins un sous-réseau. Pour arrêter le service DHCP : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle situé à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez DHCP. 4 Cliquez sur le bouton Arrêter DHCP (sous la liste Serveurs). 5 Cliquez sur Arrêter. Modification de réglages de sous-réseau dans le service DHCP Utilisez Admin Serveur pour modifier des réglages de sous-réseau DHCP. Vous pouvez modifier la plage d’adresses IP, le masque de sous-réseau, l’interface réseau, le routeur et la durée de bail. Pour modifier des réglages de sous-réseau : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle situé à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez DHCP. 4 Cliquez sur Sous-réseaux. 5 Sélectionnez un sous-réseau. 6 Apportez les modifications souhaitées. Ces modifications peuvent être l’ajout d’informations DNS, LDAP ou WINS. Vous pouvez également redéfinir des plages d’adresses ou rediriger l’interface réseau qui répond aux demandes DHCP. 7 Cliquez sur Enregistrer. Si DHCP est en service, vous êtes invité à redémarrer DHCP pour que vos modifications soient prises en compte. À défaut, vos modifications ne seront prises en compte que lors du redémarrage de DHCP. 34 Chapitre 2 Utilisation du service DHCP Suppression de sous-réseaux du service DHCP Vous pouvez supprimer des sous-réseaux et des plages d’adresses IP de sous-réseau afin qu’elles ne soient plus distribuées aux ordinateurs. Pour supprimer des sous-réseaux ou des plages d’adresses : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle situé à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez DHCP. 4 Cliquez sur Sous-réseaux. 5 Sélectionnez un sous-réseau. 6 Cliquez sur le bouton Supprimer (–). 7 Cliquez sur Enregistrer. Si DHCP est en service, vous êtes invité à redémarrer DHCP pour que vos modifications soient prises en compte. À défaut, vos modifications ne seront prises en compte que lors du prochain redémarrage de DHCP. Désactivation temporaire de sous-réseaux Vous pouvez désactiver temporairement un sous-réseau sans perdre ses réglages. Aucune adresse IP de la plage du sous-réseau n’est alors distribuée à aucun ordinateur sur l’interface sélectionnée jusqu’à ce que vous réactiviez le sous-réseau. Pour désactiver un sous-réseau : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle situé à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez DHCP. 4 Cliquez sur Sous-réseaux. 5 Décochez la case Activer en regard du sous-réseau que vous voulez désactiver. 6 Cliquez sur Enregistrer. Si DHCP est en service, vous êtes invité à redémarrer DHCP pour que vos modifications soient prises en compte. À défaut, vos modifications ne seront prises en compte que lors du prochain redémarrage de DHCP. Chapitre 2 Utilisation du service DHCP 35 Modification des durées de bail d’adresse IP d’un sous-réseau Vous pouvez modifier la durée pendant laquelle les ordinateurs peuvent disposer des adresses IP sur un sous-réseau. Pour modifier la durée de bail d’un sous-réseau : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle situé à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez DHCP. 4 Cliquez sur Sous-réseaux. 5 Sélectionnez un sous-réseau. 6 Dans le menu local Durée de bail, sélectionnez un laps de temps (heures, jours, semaines ou mois). 7 Dans le champ Durée de bail, saisissez un nombre. 8 Cliquez sur Enregistrer. Si DHCP est en service, vous êtes invité à redémarrer DHCP pour que vos modifications soient prises en compte. À défaut, vos modifications ne seront prises en compte que lors du prochain redémarrage de DHCP. Configuration du serveur DNS d’un sous-réseau DHCP Vous pouvez spécifier les serveurs DNS et le nom de domaine par défaut qu’un sous-réseau doit utiliser. Le service DHCP fourni ces informations aux ordinateurs du sous-réseau. Pour définir les options DNS d’un sous-réseau : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle situé à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez DHCP. 4 Cliquez sur Sous-réseaux. 5 Sélectionnez un sous-réseau. 6 Cliquez sur DNS. 7 Saisissez l’adresse IP des serveurs de noms principal et secondaire que les clients DHCP doivent utiliser. 8 Saisissez le domaine par défaut du sous-réseau. 9 Cliquez sur Enregistrer. Si DHCP est en service, vous êtes invité à redémarrer DHCP pour que vos modifications soient prises en compte. À défaut, vos modifications ne seront prises en compte que lors du prochain redémarrage de DHCP. 36 Chapitre 2 Utilisation du service DHCP Configuration des options LDAP d’un sous-réseau Vous pouvez utiliser DHCP pour fournir automatiquement à vos clients des informations sur le serveur LDAP plutôt que de configurer manuellement les informations LDAP sur chaque client. L’ordre dans lequel les serveurs LDAP apparaissent dans la liste détermine l’ordre de recherche dans la politique de recherche Open Directory automatique. Si vous utilisez ce serveur Mac OS X Server comme maître LDAP, les informations de configuration nécessaires sont proposées par défaut dans les options LDAP. Si votre serveur maître LDAP est un autre ordinateur, vous devez connaître le nom de domaine ou l’adresse IP de la base de données LDAP que vous souhaitez utiliser ainsi que la base de recherche LDAP. Pour définir les options LDAP d’un sous-réseau : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle situé à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez DHCP. 4 Cliquez sur Sous-réseaux. 5 Sélectionnez un sous-réseau. 6 Cliquez sur LDAP. 7 Saisissez le nom de domaine ou l’adresse IP du serveur LDAP de ce sous-réseau. 8 Saisissez la base de recherche pour les recherches LDAP. 9 Si vous utilisez un port non standard, saisissez le numéro du port LDAP. 10 Si nécessaire, sélectionnez LDAP via SSL. Utilisez cette option pour sécuriser les communications LDAP. 11 Cliquez sur Enregistrer. Si DHCP est en service, vous êtes invité à redémarrer DHCP pour que vos modifications soient prises en compte. À défaut, vos modifications ne seront prises en compte que lors du prochain redémarrage de DHCP. Configuration des options WINS d’un sous-réseau Vous pouvez donner plus d’informations aux ordinateurs sous Windows d’un sousréseau en ajoutant des réglages propres à Windows aux données de configuration réseau fournies par DHCP. Ces réglages propres à Windows permettent aux clients Windows de parcourir leur voisinage réseau. Vous devez connaître le nom de domaine ou l’adresse IP des serveurs Windows Internet Naming Service/NetBIOS Name Server (WINS/NBNS) principal et secondaire (il s’agit généralement de l’adresse IP du serveur DHCP) ainsi que le type de nœud NetBIOS sur TCP/IP (NBT). Chapitre 2 Utilisation du service DHCP 37 Types de nœud possibles :  Hybride (nœud-h) : consulte le serveur WINS puis diffuse.  Homologue (nœud-p) : consulte le serveur WINS pour la résolution du nom.  Diffusion (nœud-b) : diffuse pour la résolution du nom (le plus fréquemment utilisé).  Mélangé (nœud-m) : diffuse pour la résolution du nom puis consulte le serveur WINS. Le serveur NetBIOS Datagram Distribution (NBDD) utilise NBNS pour router les datagrammes vers les ordinateurs qui se trouvent sur un autre sous-réseau. L’identifiant d’étendue NetBIOS isole la communication NetBIOS sur un réseau. L’identifiant d’étendue NetBIOS est ajouté à la fin du nom NetBIOS de l’ordinateur. Tous les ordinateurs qui portent le même identifiant d’étendue NetBIOS peuvent communiquer. Le serveur NBDD et l’identifiant d’étendue NetBIOS ne sont généralement pas utilisés, mais il se peut que vous deviez les utiliser si la configuration de vos clients Windows et l’infrastructure réseau Windows l’exigent. Pour définir des options WINS pour un sous-réseau : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle situé à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez DHCP. 4 Cliquez sur Sous-réseaux. 5 Sélectionnez un sous-réseau. 6 Cliquez sur WINS. 7 Saisissez le nom de domaine ou l’adresse IP des serveurs WINS/NBNS principal et secondaire de ce sous-réseau. 8 Saisissez le nom de domaine ou l’adresse IP du serveur NBDD pour ce sous-réseau. 9 Dans le menu local, sélectionnez le type de nœud NBT. 10 Saisissez l’identifiant d’étendue NetBIOS. 11 Cliquez sur Enregistrer. Si DHCP est en service, vous êtes invité à redémarrer DHCP pour que vos modifications soient prises en compte. À défaut, vos modifications ne seront prises en compte que lors du prochain redémarrage de DHCP. 38 Chapitre 2 Utilisation du service DHCP Assignation d’adresses IP statiques à l’aide de DHCP Vous pouvez assigner la même adresse aux mêmes ordinateurs. Cela aide à simplifier la configuration lors de l’utilisation de DHCP et vous permet de disposer de serveurs ou de services statiques. Pour qu’un ordinateur conserve la même adresse IP, vous devez connaître l’adresse Ethernet de l’ordinateur (on parle aussi d’adresse MAC or d’adresse matérielle). Chaque interface réseau a sa propre adresse Ethernet. Si un ordinateur est connecté à un réseau câblé et à un réseau sans fil, il utilise une adresse Ethernet différente pour chacune des connexions réseau. Pour assigner des adresses IP statiques : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle situé à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez DHCP. 4 Cliquez sur Cartes statiques. 5 Cliquez sur Ajouter un ordinateur. 6 Saisissez le nom de l’ordinateur. 7 Dans la liste Interfaces réseau, cliquez sur la colonne pour saisir les informations suivantes : Adresse MAC de l’ordinateur qui a besoin d’une adresse statique. Adresse IP que vous voulez assigner à l’ordinateur. 8 Si votre ordinateur dispose d’autres interfaces réseau qui nécessitent une adresse IP statique, cliquez sur le bouton Ajouter (+) et saisissez l’adresse IP que vous voulez assigner à chacune des interfaces. 9 Cliquez sur OK. 10 Cliquez sur Enregistrer. Si DHCP est en service, vous êtes invité à redémarrer DHCP pour que vos modifications soient prises en compte. À défaut, vos modifications ne seront prises en compte que lors du prochain redémarrage de DHCP. Suppression ou modification de mappages d’adresses statiques Vous pouvez modifier les mappages statiques ou les supprimer si nécessaire. Pour modifier le mappage d’adresses statique : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle situé à gauche du serveur. La liste des services apparaît. Chapitre 2 Utilisation du service DHCP 39 3 Dans la liste Serveurs développée, sélectionnez DHCP. 4 Cliquez sur Cartes statiques. 5 Sélectionnez le mappage à modifier ou supprimer. 6 Cliquez sur le bouton Modifier ou Supprimer. Si vous modifiez le mappage, apportez les modifications souhaitées, puis cliquez sur OK. 7 Cliquez sur Enregistrer. Si DHCP tourne, vous êtes invité à redémarrer DHCP pour que vos modifications soient prises en compte. À défaut, vos modifications ne seront prises en compte que lors du prochain redémarrage de DHCP. Surveillance du service DHCP Vous pouvez utiliser les méthodes suivantes pour surveiller et dépanner le service DHCP :  Surveiller les ordinateurs qui utilisent le service en affichant la liste des clients.  Surveiller les fichiers d’historique générés par le service.  Utiliser les historiques du service pour résoudre des problèmes de réseau. Les sections qui suivent décrivent ces aspects du service DHCP. Vérification de l’état du service DHCP La vue d’ensemble de l’état affiche le résumé suivant du service DHCP.  Si le service est en cours d’exécution.  Le nombre de clients dont il dispose.  Quand le service a été démarré.  Le nombre d’adresses IP qui sont assignées de façon statique à partir de vos sous-réseaux.  Quand la base de données client a été mise à jour pour la dernière fois. Pour afficher l’état du service DHCP : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle situé à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez DHCP. 4 Cliquez sur Vue d’ensemble pour savoir si le service est en cours d’exécution, quand il a été démarré, le nombre de clients connectés et quand la base de données a été mise à jour pour la dernière fois. 40 Chapitre 2 Utilisation du service DHCP Affichage d’entrées d’historique DHCP Si vous avez activé la journalisation pour le service DHCP, vous pouvez consulter l’historique système à la recherche d’erreurs DHCP. L’historique présenté correspond au contenu du fichier system.log filtré pour bootpd. Utilisez le champ Filtre pour rechercher des entrées particulières. Pour afficher des entrées d’historique DHCP : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle situé à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez DHCP. 4 Cliquez sur Historique. 5 Pour rechercher des entrées, utilisez le champ Filtrer (dans l’angle supérieur droit). Affichage de la liste des clients DHCP La fenêtre Clients DHCP affiche les informations suivantes sur chaque client :  L’adresse IP assignée au client.  Le nombre de jours de durée de bail restants (ou le nombre d’heures et minutes, s’il reste moins de 24 heures).....  L’identifiant du client DHCP (il est généralement identique à l’adresse matérielle).  Le nom de l’ordinateur.  L’adresse matérielle. Pour afficher la liste des clients DHCP : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle situé à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez DHCP. 4 Cliquez sur Clients. Pour trier la liste selon différents critères, cliquez sur un en-tête de colonne. Configurations réseau courantes qui utilisent DHCP La section qui suit contient des exemples de configurations DHCP pour différents usages de réseau. Il y a, par exemple, une configuration pour un groupe de travail, une configuration pour un laboratoire d’étudiants et une configuration pour un café. Lorsque vous configurez un réseau privé, vous choisissez des adresses IP dans les blocs d’adresses IP réservées par l’Internet Assigned Numbers Authority (IANA) destinées aux intranets privés : Chapitre 2 Utilisation du service DHCP 41  10.0.0.0–10.255.255.255 (préfixe 10/8)  172.16.0.0–172.31.255.255 (préfixe 172.16/12)  192.168.0.0–192.168.255.255 (préfixe 192.168/16) Attribution via DHCP d’adresses IP à des ordinateurs derrière une passerelle NAT Vous pouvez utiliser DHCP pour attribuer des adresses IP à des ordinateurs qui se trouvent derrière une passerelle Network Address Translation (NAT). Bien que cela ne soit pas strictement nécessaire (car NAT peut être utilisé avec des adresses IP statiques au lieu de DHCP), cela permet une configuration aisée des ordinateurs. Pour en savoir plus, consultez la rubrique « Liaison d’un réseau local à Internet par une adresse IP » à la page 128. Configuration pour un groupe de travail Imaginez un groupe de travail possédant son propre groupe d’adresses DHCP. Il peut y avoir une imprimante connectée à un réseau IP, un serveur de fichiers et un serveur Open Directory (sur le réseau ou pas) pour la gestion des utilisateurs. Pour utiliser DHCP dans cette configuration, vous devez disposer des éléments suivants :  Coupe-feu configuré et opérationnel qui permet les connexions LDAP et d’imprimante (impression IP). Pour en savoir plus, consultez le chapitre 4, « Utilisation du service de coupe-feu ».  Serveur Open Directory ou LDAP configuré et opérationnel sur lequel des utilisateurs sont définis. Pour plus d’informations, consultez les sections Administration d’Open Directory et Gestion des utilisateurs. Dans cet exemple, la configuration de DHCP implique le mappage d’adresses IP statiques et des réglages clients réseaux supplémentaires. Exemple de configuration:  Pour une imprimante devant recevoir une adresse IP statique, assurez-vous que la plage d’adresses DHCP allouées ne contient pas l’adresse IP réellement statique de l’imprimante. Si l’imprimante peut être configurée de façon à accepter une adresse par DHCP, ne vous inquiétez pas pour un éventuel chevauchement. Pour en savoir plus, consultez la rubrique « Utilisation d’adresses IP statiques » à la page 29.  Pour un serveur de fichiers devant toujours recevoir la même adresse, utilisez le mappage IP statique de Mac OS X Server pour toujours assigner la même adresse IP à son adresse Ethernet. Pour en savoir plus, consultez la rubrique « Assignation d’adresses IP statiques à l’aide de DHCP » à la page 39.  Concernant la configuration DHCP, définissez les options LDAP des clients DHCP. Cela donne automatiquement aux ordinateurs les informations de répertoire dont ils ont besoin. 42 Chapitre 2 Utilisation du service DHCP Pour en savoir plus, consultez la rubrique « Configuration des options LDAP d’un sous-réseau » à la page 37.  Pour la configuration des clients sur des ordinateurs clients Mac OS X, assurez-vous que la méthode de configuration IPv4 dans la sous-fenêtre Réseau des Préférences Système est définie sur DHCP. Cette configuration permet aux ordinateurs d’être gérés par un serveur LDAP ou Open Directory en obtenant leurs informations de configuration réseau par DHCP. Ils peuvent avoir accès par une adresse IP réellement statique ou par des adresses IP assignées en permanence sur le même réseau. Cela permet également de centraliser la configuration de tous les ordinateurs. Configuration d’un laboratoire d’étudiants L’exemple de configuration d’un laboratoire d’étudiants est très semblable à l’exemple de configuration d’un groupe de travail, si ce n’est que NetBoot y est en outre ajouté comme service supplémentaire utilisant DHCP. Outre le fait que DHCP permet de centraliser la configuration réseau, NetBoot standardise les environnements de démarrage en démarrant chaque ordinateur à partir d’une image disque se trouvant sur un serveur NetBoot central. Cette configuration est identique à l’exemple de configuration d’un groupe de travail, à quelques exceptions près, à savoir :  Il peut exister des ressources à adresse statique. Cela dépend de la composition du laboratoire. Vous pouvez disposer d’une imprimante ou d’un serveur de fichiers de classe, mais si vous utilisez un chariot mobile qui se déplace de classe en classe, vous n’emporterez pas un serveur et une imprimante dans chaque classe.  NetBoot doit être activé et configuré ainsi que les réglages de coupe-feu nécessaires à sa prise en charge. Tout client sur le réseau peut être configuré de façon à démarrer à partir du serveur NetBoot. De nouveaux ordinateurs peuvent être déployés en sélectionnant l’image NetBoot comme disque de démarrage pour l’ordinateur. Aucune autre configuration n’est nécessaire et vous pouvez facilement affecter une autre fonction à un ordinateur sans avoir à en modifier le disque dur. Avec cette configuration, les ordinateurs du réseau peuvent être gérés par un serveur LDAP ou Open Directory en obtenant leurs informations de configuration réseau par DHCP. De plus, l’environnement informatique de tous les ordinateurs est configuré de façon centralisée. De nouveaux ordinateurs peuvent être ajoutés ou remplacés très facilement. Chapitre 2 Utilisation du service DHCP 43 Configuration d’un café La configuration d’un café est un exemple de configuration avec environnement d’adressage dynamique, une configuration qui ne requiert pas de gestion des utilisateurs et qui ne fournit aucun service à l’exception des services d’accès web, d’accès DNS et autre. Cet exemple se caractérise par un grand nombre d’utilisateurs mobiles qui arrivent, se connectent à Internet, puis repartent. Cette configuration peut facilement être utilisée dans des situations similaires, par exemple un réseau sans fil dans une école supérieure ou un bureau câblé mis à la disposition des consultants de passage dans une entreprise. AVERTISSEMENT : si vous hébergez temporairement des utilisateurs non authentifiés, assurez-vous que les informations sensibles de votre réseau local sont protégées derrière un coupe-feu ou se trouvent sur un autre réseau. Pour utiliser DHCP dans cette configuration, vous devez disposer d’un coupe-feu opérationnel configuré uniquement pour le trafic sortant d’accès web et les recherches sortantes DNS. Il se peut que vous deviez placer ce réseau derrière votre coupe-feu et vous assurer que le trafic réseau des adresses IP allouées par DHCP est contrôlé et surveillé de façon stricte. Pour en savoir plus, consultez le chapitre 4, « Utilisation du service de coupe-feu » Dans cet exemple, vous pourriez configurer le service DHCP de la façon suivante :  Activez la configuration automatique du réseau. Configurez les clients DHCP de façon à ce qu’ils reçoivent la configuration réseau par DHCP.  Ne configurez pas d’options dont les clients ne doivent pas bénéficier. Ne donnez pas aux clients DHCP plus d’informations sur votre organisation que nécessaire à l’aide de LDAP. Il est possible de configurer les clients Windows de façon à ce qu’ils aient plus d’options réseau. Pour en savoir plus, consultez la rubrique « Configuration des options WINS d’un sousréseau » à la page 37.  Limitez l’utilisation des ressources. Avoir un grand nombre d’utilisateurs sur un sous-réseau peut consommer beaucoup de bande passante. Réduisez donc le nombre de clients DHCP pouvant se connecter simultanément en limitant le nombre d’adresses pouvant être allouées. Pour en savoir plus, consultez la rubrique « Création de sous-réseaux dans le service DHCP » à la page 32.  Gardez une rotation des adresses élevée. Définissez des durées de bail sur les adresses aussi courtes que possible. De la sorte, les adresses peuvent être réallouées rapidement lors des allers et venues des utilisateurs. 44 Chapitre 2 Utilisation du service DHCP Pour en savoir plus, consultez la rubrique « Création de sous-réseaux dans le service DHCP » à la page 32.  Surveillez votre trafic. Gardez un œil attentif sur les connexions et les clients DHCP, la journalisation de paquets de règles de coupe-feu ou les autres outils de surveillance. Les points d’accès ouverts constituent un danger s’ils ne sont pas bien gardés. Configuration de DHCP pour l’utilisation d’une URL de serveur LDAP supplémentaire Le module DHCP de l’application Admin Serveur ne permet aux administrateurs de spécifier qu’une seule URL de serveur LDAP par sous-réseau. Si vous voulez spécifier plusieurs URL de serveur LDAP, vous pouvez modifier le fichier /etc/bootpd.plist ou utiliser l’outil de ligne de commande serveradmin (dans la fenêtre Terminal). Modification du fichier /etc/bootpd.plist pour l’ajout de plusieurs URL de serveur LDAP Une fois que vous avez créé un sous-réseau à l’aide de DHCP dans Admin Serveur et spécifié une URL de serveur LDAP, vous pouvez consulter et modifier les réglages en modifiant le fichier /etc/bootpd.plist : 1 Ouvrez le fichier /etc/bootpd.plist dans un éditeur de texte. 2 Localisez la balise <string> au sein de la balise <array> de la clé dhcp_ldap_url. <key>dhcp_ldap_url</key> <array> <string>ldap://serveur.exemple.com/dc=serveur,dc=exemple,dc=com</string> </array> 3 Ajoutez une URL de serveur LDAP en insérant une balise <string> sous la balise <string> existante et en saisissant votre URL de serveur LDAP entre la balise d’ouverture <string> et la balise de fermeture </string>. <key>dhcp_ldap_url</key> <array> <string>ldap://serveur.exemple.com/dc=serveur,dc=exemple,dc=com</string> <string>ldap://serveur2.exemple.com/dc=serveur2,dc=exemple,dc=com</string> </array> 4 Enregistrez le fichier bootpd.plist et fermez l’éditeur. 5 Si DHCP est en cours d’exécution, redémarrez le service DHCP afin qu’il puisse charger la nouvelle configuration. Dans Terminal, saisissez : $ sudo serveradmin stop DHCP $ sudo serveradmin start DHCP Utilisation de serveradmin avec plusieurs URL de serveur LDAP Une fois que vous avez créé un sous-réseau à l’aide de DHCP dans Admin Serveur et spécifié une URL de serveur LDAP, vous pouvez consulter et modifier les réglages à l’aide de serveradmin. Procédez comme suit. Chapitre 2 Utilisation du service DHCP 45 1 Vérifiez tous les réglages de sous-réseau DHCP dans Terminal en saisissant : $ sudo serveradmin settings dhcp:subnets Exemples de résultats (extrait) : ... dhcp:subnets:_array_id:498D8E6D-88A8-4048-8B3C14D96F317447:dhcp_ldap_url:_array_index:0 = "http://ldapxxx:123/ basename1" ... 2 Préparez un fichier contenant les commandes serveradmin destinées à ajouter une seconde URL de serveur LDAP. Comme les différents éléments de la matrice dhcp_ldap_url ne sont pas accessibles individuellement, vous ne pouvez pas utiliser la commande create/delete de serveradmin. Exemple de contenu de fichier : dhcp:subnets:_array_id:498D8E6D-88A8-4048-8B3C14D96F317447:dhcp_ldap_url:_array_index:0 = "http://ldapxxx:123/ basename1" dhcp:subnets:_array_id:498D8E6D-88A8-4048-8B3C14D96F317447:dhcp_ldap_url:_array_index:1 = "http://ldapyyy:234/ basename2" Remarque : les index de la matrice commencent à 0. L’ancienne entrée d’URL doit être présente même si vous ne faites qu’en ajouter une seconde. Les entrées doivent être dans le bon ordre. 3 Utilisez l’outil serveradmin pour appliquer les réglages provenant du fichier en saisissant : $ sudo serveradmin settings < nomdefichier Exemple de résultats (les réglages sont confirmés) : dhcp:subnets:_array_id:498D8E6D-88A8-4048-8B3C14D96F317447:dhcp_ldap_url:_array_index:0 = "http://ldapxxx:123/ basename1" dhcp:subnets:_array_id:498D8E6D-88A8-4048-8B3C14D96F317447:dhcp_ldap_url:_array_index:1 = "http://ldapyyy:234/ basename2" 4 Si DHCP tourne, redémarrez le service DHCP afin qu’il puisse charger la nouvelle configuration en saisissant : $ sudo serveradmin stop DHCP $ sudo serveradmin start DHCP 46 Chapitre 2 Utilisation du service DHCP Service DHCP pour clients Mac OS X à l’aide de DHCP avec une adresse manuelle La section DHCP d’Admin Serveur permet d’activer ou de désactiver chaque plage d’adresses de sous-réseau. Lorsque le sous-réseau est activé, le serveur DHCP alloue des adresses dans sa plage et distribue d’autres informations sur le réseau aux clients qui sont définis sur « Via DHCP ». Lorsque le sous-réseau est désactivé, le serveur DHCP n’alloue pas d’adresses pour le groupe de plages d’adresses de sous-réseau, mais il distribue d’autres informations sur le réseau (par exemple, les adresses des serveurs DNS et LDAP) aux clients qui sont définis sur « Utilisation de DHCP avec une adresse manuelle » (mappages statiques), tant que l’adresse du client se trouve dans la plage du sous-réseau. Activer et désactiver le sous-réseau désactive l’allocation automatique d’adresses pour la plage d’adresses mais pas les réponses du serveur DHCP aux clients dont l’adresse se trouve dans la plage du sous-réseau. Autres sources d’informations Les documents RFC (Request for Comments) offrent des vues d’ensemble de protocoles ou de services particuliers et expliquent le comportement normal du protocole. Si vous êtes un administrateur de serveur débutant, certaines des informations générales qui figurent dans les documents RFC vous seront certainement utiles. En revanche, si vous êtes un administrateur de serveur confirmé, vous trouverez des détails techniques concernant un protocole particulier dans le document RFC correspondant. Vous pouvez rechercher les documents RFC par leur numéro à l’adresse www.ietf.org/rfc.html (en anglais). Pour obtenir des détails sur DHCP, consultez le document RFC 2131. Pour en savoir plus sur des options de configuration avancées, consultez la page man de bootpd. Chapitre 2 Utilisation du service DHCP 47 3 Utilisation du service DNS 3 Le présent chapitre décrit comment configurer, sécuriser et gérer le service DNS sur votre réseau. Lorsque vos clients veulent se connecter à une ressource réseau, par exemple un serveur web ou un serveur de fichiers, ils l’identifient généralement par son nom de domaine (par exemple, www.exemple.com) plutôt que par son adresse IP (par exemple, 192.168.12.12). Le système Domain Name System (DNS) est une base de données distribuée qui met en correspondance des adresses IP et des noms de domaine pour que vos clients puissent trouver les ressources par leur nom plutôt que par leur adresse IP. Un serveur DNS maintient la liste des noms de domaine et des adresses IP associées à chaque nom de domaine. Lorsqu’un ordinateur a besoin de connaître l’adresse IP correspondant à un nom, il envoie un message au serveur DNS, également appelé serveur de noms. Le serveur de noms cherche l’adresse IP et la renvoie à l’ordinateur. Si le serveur de noms ne trouve pas l’adresse IP en local, il envoie des messages à d’autres serveurs de noms sur Internet pour l’obtenir. La configuration et la maintenance d’un serveur DNS sont une tâche complexe. C’est la raison pour laquelle de nombreux administrateurs confient le service DNS à leur fournisseur d’accès à Internet (FAI). Dans ce cas, il suffit de saisir l’adresse IP du serveur de noms fournie par votre FAI dans les préférences réseau. Si votre FAI ne gère pas les requêtes DNS relatives à votre réseau et au moins une des affirmations suivantes est vraie, vous devez configurer votre propre service DNS :  Vous ne pouvez pas utiliser le DNS de votre FAI ni d’aucune autre source.  Vous prévoyez d’apporter des modifications fréquentes à l’espace de noms et préférez le gérer vous-même.  Votre réseau dispose d’un serveur de messagerie et vous éprouvez des difficultés à le coordonner avec le FAI qui gère votre domaine.  Vous avez des craintes en matière de sécurité parce que les noms et les adresses des ordinateurs de votre réseau sont accessibles par une organisation externe (votre FAI). 49 Mac OS X Server utilise Berkeley Internet Name Domain (BIND) 9.2.2 pour son implémentation des protocoles DNS. BIND est une implémentation « open-source » et est utilisée par la plupart des serveurs de noms sur Internet. À propos des zones DNS Les zones sont l’unité organisationnelle de base du système DNS. Les zones contiennent des enregistrements et sont définies d’après la manière dont elles acquièrent ces enregistrements et la manière dont elles répondent aux requêtes DNS. Il existe trois zones de base :  Principale  Secondaire  Redirection Il existe d’autres types de zones, mais elles ne sont pas décrites ici. Zones principales Une zone principale possède la copie principale des enregistrements de la zone et fournit des réponses faisant autorité aux requêtes de recherche. Zones secondaires Une zone secondaire est une copie d’une zone principale et est stockée sur un serveur de noms secondaire. Elle a les caractéristiques suivantes :  Chaque zone secondaire possède la liste des serveurs principaux qu’elle contacte pour des mises à jour des enregistrements dans la zone principale. Les zones secondaires doivent être configurées de façon à demander la copie des données de la zone principale.  Les zones secondaires utilisent des transferts entre zones pour obtenir des copies des données de zone principale.  Les serveurs de noms secondaires peuvent répondre aux requêtes de recherche comme c’est le cas des serveurs principaux. En utilisant plusieurs zones secondaires reliées à une zone principale, vous pouvez distribuer la charge que représentent les requêtes DNS sur plusieurs ordinateurs et vous assurer que les demandes de recherche obtiennent une réponse lorsque le serveur de noms principal est éteint. Les zones secondaires ont également un intervalle d’actualisation. Cet intervalle détermine la fréquence à laquelle la zone secondaire recherche d’éventuelles modifications auprès de la zone principale. Vous pouvez modifier l’intervalle d’actualisation de la zone dans le fichier de configuration de BIND. Pour en savoir plus, consultez la documentation de BIND. 50 Chapitre 3 Utilisation du service DNS Zones de redirection Une zone de redirection dirige les requêtes de recherche adressées à cette zone à d’autres serveurs DNS. Les zones de redirection ne font pas de transferts entre zones. Les serveurs de zone de redirection sont souvent utilisés pour fournir des services DNS à un réseau privé situé derrière un coupe-feu. Dans ce cas, le serveur DNS doit avoir accès à Internet et un serveur DNS situé devant le coupe-feu. Les zones de redirection mettent également en cache les réponses aux requêtes qu’elles transmettent. Cela peut améliorer les performances des recherches pour les clients qui utilisent la zone de redirection. Admin Serveur ne prend pas en charge la création et la modification d’une zone de redirection. Pour créer une zone de redirection, vous devez configurer BIND manuellement à l’aide de la ligne de commande. Pour obtenir plus de détails, consultez la documentation de BIND. À propos des enregistrements de machine DNS Chaque zone contient un certain nombre d’enregistrements. Ces enregistrements sont nécessaires quand un ordinateur traduit un nom de domaine (par exemple, www.exemple.com) en numéro IP. Les navigateurs web, les clients de courrier électronique et les autres applications réseau utilisent ces enregistrements de zone pour contacter le serveur qui convient. Les enregistrements de zone principale sont consultés par d’autres sur Internet afin que ces derniers puissent se connecter à vos services réseau. Plusieurs types d’enregistrements DNS sont disponibles pour la configuration par Admin Serveur :  Adresse (A) : stocke l’adresse IP associée au nom de domaine.  Nom canonique (CNAME) : stocke un alias en relation avec le vrai nom du serveur. Par exemple, mail.apple.com pourrait être l’alias d’un ordinateur portant le vrai nom canonique MailSrv473.apple.com.  Échangeur de courrier (MX) : stocke le nom de domaine de l’ordinateur utilisé pour le courrier électronique dans une zone.  Serveur de noms (NS) : stocke le serveur de noms faisant autorité pour une zone.  Pointeur (PTR) : stocke le nom de domaine d’une adresse IP (recherche inversée).  Texte (TXT) : stocke la chaîne de texte en réponse aux requêtes DNS.  Service (SRV) : stocke des informations sur les services qu’un ordinateur fournit.  Infos sur le matériel (HINFO) : stocke des informations sur le matériel et les logiciels d’un ordinateur. Chapitre 3 Utilisation du service DNS 51 Mac OS X Server simplifie la création de ces enregistrements en mettant l’accent sur l’ordinateur ajouté à la zone plutôt que sur les enregistrements proprement dits. Lorsque vous ajoutez un enregistrement d’ordinateur à une zone, Mac OS X Server crée les enregistrements de zone qui se traduisent en une adresse d’ordinateur. Grâce à ce modèle, vous pouvez vous concentrer sur ce que vos ordinateurs font dans votre domaine plutôt que sur les types d’enregistrement qui s’appliquent à ses fonctions. Si vous devez avoir accès à d’autres types d’enregistrements, vous devez modifier les fichiers de configuration BIND manuellement. Pour obtenir plus de détails, consultez la documentation de BIND. À propos de Bonjour Avec Bonjour, vous pouvez partager pratiquement tout, y compris des fichiers, des données multimédia, des imprimantes et d’autres périphériques, de façon innovante et simple. Il simplifie les activités réseau traditionnelles telles que le partage de fichiers et l’impression en permettant de découvrir les serveurs de fichiers et les imprimantes réseau compatibles avec Bonjour de façon dynamique. Bonjour commence par simplifier le processus intrinsèquement complexe qu’est la configuration des périphériques d’un réseau. Pour communiquer avec d’autres périphériques par IP, un périphérique a besoin d’informations spéciales telles qu’une adresse IP, un masque de sous-réseau, une adresse DNS, un nom DNS et des chemins de recherche préconfigurés. Comprendre ces détails énigmatiques et procéder ensuite à la configuration peut s’avérer compliqué pour un utilisateur lambda. Lorsqu’un nouvel ordinateur ou périphérique est ajouté à un réseau par autoconfiguration, comme un serveur DHCP, Bonjour configure le périphérique à l’aide d’une technique appelée l’adressage lien-local (si un serveur DHCP est disponible, Bonjour utilise l’adresse IP assignée). Avec l’adressage lien-local, l’ordinateur sélectionne une adresse IP au hasard parmi la plage d’adresses réservées par l’Internet Assigned Numbers Authority (IANA) pour l’adressage lien-local et s’assigne cette adresse. Ces adresses se trouvent dans la plage 169.254.xxx.xxx. Le périphérique envoie ensuite un message par le réseau pour déterminer si un autre périphérique utilise cette adresse. Si l’adresse est utilisée, le périphérique sélectionne des adresses au hasard jusqu’à ce qu’il en trouve une qui soit disponible. Une fois que le périphérique s’est assigné une adresse IP, il peut envoyer et recevoir du trafic IP sur le réseau. 52 Chapitre 3 Utilisation du service DNS Avant de configurer le service DNS La présente section contient des informations qu’il faut prendre en compte avant de configurer le système DNS sur votre réseau. Comme les problèmes liés à l’administration du système DNS sont complexes et nombreux, ne configurez pas le service DNS sur votre réseau si vous n’êtes pas un administrateur DNS expérimenté. Le livre DNS and BIND, 5th edition (en anglais) de Paul Albitz et Cricket Liu (O’Reilly and Associates, 2006) est une bonne source d’informations sur le système DNS. Remarque : Apple peut vous aider à trouver un consultant réseau capable d’implémenter le service DNS. Vous pouvez contacter Services professionnels Apple et Apple Consultants Network sur le web à l’adresse www.apple.com/fr/services ou consultants.apple.com. Pensez à créer un alias de courrier électronique, comme « hostmaster », qui reçoit le courrier et le remet à la personne qui gère le serveur DNS sur votre site. Cela permet aux utilisateurs et aux autres administrateurs DNS de vous contacter au sujet de problèmes liés au DNS. Vous devez configurer au moins un serveur de noms principal et un serveur de noms secondaire. De la sorte, si le serveur de noms principal s’éteint, le serveur de noms secondaire peut prendre le relais. Un serveur secondaire obtient ses informations du serveur principal en copiant périodiquement toutes les informations de domaine du serveur principal. Une fois qu’un serveur de noms a reçu la paire nom/adresse d’un hôte situé dans un autre domaine (en dehors du domaine qu’il sert), les informations sont mises en cache, ce qui permet de stocker les adresses IP des noms résolus récemment pour une utilisation ultérieure. Les informations DNS sont généralement mises en cache sur votre serveur de noms pour une période déterminée que l’on nomme la durée de vie (en anglais « Time-to-Live value » ou « TTL value »). Lorsque la durée de vie d’une paire nom de domaine/adresse IP a expiré, l’entrée est supprimée de la mémoire cache du serveur de noms et votre serveur demande les informations dont il a besoin. Configuration initiale du service DNS Si vous utilisez un serveur de noms DNS externe et que vous avez saisi son adresse IP dans l’Assistant réglages de passerelle, vous ne devez rien faire d’autre. Si vous configurez votre propre serveur DNS, suivez les étapes de la présente section. Étape 1 : Enregistrez votre nom de domaine L’enregistrement des noms de domaine est gérée par l’IANA. L’enregistrement IANA permet de s’assurer que les noms de domaine sont uniques sur Internet (pour en savoir plus, consultez le site web www.iana.org). Chapitre 3 Utilisation du service DNS 53 Si vous n’enregistrez pas votre nom de domaine, votre réseau ne peut pas communiquer sur Internet. Une fois que vous avez enregistré un nom de domaine, vous pouvez créer des sousdomaines si vous configurez un serveur DNS sur votre réseau pour gérer les noms et les adresses IP des sous-domaines. Par exemple, si vous enregistrez le nom de domaine exemple.com, vous pourriez créer des sous-domaines tels que hote1.exemple.com, mail.exemple.com ou www.exemple.com. Un serveur dans un sous-domaine pourrait être nommé principal.www.exemple.com ou sauvegarde.www.exemple.com. Le serveur DNS d’exemple.com gère les informations relatives à ses sous-domaines comme les noms des hôtes (ordinateurs), les adresses IP statiques, les alias et les échangeurs de courrier. Si votre FAI gère votre service DNS, vous devez l’informer des modifications que vous apportez à votre nom de domaine, y compris aux sous-domaines ajoutés. La plage des adresses IP utilisées avec un domaine doit être clairement définie avant la configuration. Ces adresses doivent être utilisées exclusivement pour un seul domaine, jamais par un autre domaine ou sous-domaine. Coordonnez la plage d’adresses avec votre administrateur réseau ou FAI. Étape 2 : Apprenez et planifiez Si vous découvrez le DNS, apprenez et essayez de comprendre les concepts, les outils et les fonctionnalités DNS de Mac OS X Server et de BIND. Reportez-vous à la section « Autres sources d’informations » à la page 83. Une fois que vous êtes prêt, planifiez votre service DNS. Posez-vous les questions suivantes :  Avez-vous besoin d’un serveur DNS local ? Est-ce que votre FAI fournit le service DNS ? Pouvez-vous plutôt utiliser des noms DNS de multidiffusion ?  De combien de serveurs avez-vous besoin ? De combien de serveurs supplémentaires avez-vous besoin à des fins de sauvegarde DNS ? Par exemple, devez-vous désigner un deuxième voire un troisième ordinateur pour la sauvegarde du service DNS ?  Quelle est votre stratégie en matière de sécurité pour lutter contre l’utilisation non autorisée ?  À quelle fréquence devez-vous programmer des inspections ou des tests périodiques des enregistrements DNS pour vérifier l’intégrité des données ?  Combien de services ou périphériques (par exemple, sites web intranet ou imprimantes réseau) ont besoin d’un nom ? 54 Chapitre 3 Utilisation du service DNS Il y a deux façons de configurer le service DNS sous Mac OS X Server :  Utilisez la rubrique Admin Serveur. Cette méthode est recommandée. Pour obtenir des instructions, consultez la rubrique « Configuration du service DNS » à la page 57.  Modifiez le fichier de configuration BIND. BIND est l’ensemble de programmes utilisés par Mac OS X Server qui implémente le système DNS. L’un de ces programmes est name daemon ou named. Pour installer et configurer BIND, vous devez modifier le fichier de configuration et le fichier de zone. Le fichier de configuration est /etc/named.conf. Le nom du fichier de zone s’inspire du nom de la zone. Par exemple, le fichier de zone exemple.com est /var/named/exemple.com.zone. Si vous modifiez le fichier named.conf pour configurer BIND, ne modifiez pas les réglages inet de l’instruction de contrôle. Si vous le faites, Admin Serveur ne pourra pas extraire d’informations d’état sur le DNS. Les réglages inet ressemblent à ceci : controls { inet 127.0.0.1 port 54 allow {any;} keys { "rndc-key"; }; }; Important : dans Mac OS X Server 10.5, les fichiers de configuration et de zone utilisés par Admin Serveur ont changé. Si vous modifiez le fichier named.conf et des fichiers de zone manuellement dans Terminal, les informations sont utilisées par le DNS. Les informations n’apparaissent toutefois pas dans la sous-fenêtre Zones DNS d’Admin Serveur. En outre, les modifications apportées dans Admin Serveur ne sont pas répercutées sur le fichier named.conf. Étape 3 : Activez le service DNS Avant de configurer le service DNS, activez le service DNS. Consultez la rubrique « Activation du service DNS » à la page 56. Étape 4 : Créez une zone DNS et ajoutez des enregistrements de machine Utilisez Admin Serveur pour configurer les zones DNS. Consultez la rubrique « Configuration de réglages de zone » à la page 58. Après avoir ajouté une zone principale, Admin Serveur crée un enregistrement de serveur de noms portant le même nom que la source d’autorité (SOA). Pour chaque zone que vous créez, Mac OS X Server crée une zone de recherche inversée. Les zones de recherche inversée traduisent les adresses IP en noms de domaine (à l’inverse, les recherches normales traduisent des noms de domaine en adresses IP). Utilisez Admin Serveur pour ajouter des enregistrements à votre zone. Créez un enregistrement d’adresse pour chaque ordinateur ou périphérique (par exemple, pour chaque imprimante ou serveur de fichiers) qui possède une adresse IP statique et a besoin d’un nom. Différents enregistrements de zone DNS sont créés à partir des entrées de machine DNS. Chapitre 3 Utilisation du service DNS 55 Étape 5 : Configurez des zones secondaires Si nécessaire, utilisez Admin Serveur pour configurer des zones secondaires. Consultez la rubrique « Configuration de réglages de zone secondaire » à la page 60. Étape 6 : Configurez Bonjour Utilisez Admin Serveur pour configurer les réglages de Bonjour. Consultez la rubrique « Configuration de réglages Bonjour » à la page 60. Étape 7 : Configurez la journalisation Utilisez Admin Serveur pour spécifier les informations que le service DNS doit journaliser et l’emplacement du fichier d’historique. Consultez la rubrique « Modification du niveau de détail de l’historique DNS » à la page 63. Étape 8 : (Facultatif) Configurez un enregistrement d’échange de courrier (MX) Si vous fournissez le service de courrier par Internet, configurez un enregistrement MX pour votre serveur. Consultez la rubrique « Configuration du DNS pour le service de courrier » à la page 77. Étape 9 : Configurez votre coupe-feu Configurez votre coupe-feu pour vous assurer que votre service DNS est protégé contre les attaques et accessible par vos clients. Consultez le chapitre 4, « Utilisation du service de coupe-feu ». Étape 10 : Démarrez le service DNS Mac OS X Server comporte une interface simple pour le démarrage et l’arrêt du service DNS. Consultez la rubrique « Démarrage du service DNS » à la page 62. Activation du service DNS Avant de configurer des réglages DNS, activez le service DNS dans Admin Serveur. Pour activer le service DNS : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur Réglages. 3 Cliquez sur Services. 4 Cochez la case DNS. 5 Cliquez sur Enregistrer. 56 Chapitre 3 Utilisation du service DNS Mise à niveau de la configuration DNS Mac OS X Server 10.5 a été modifié de façon à gérer les entrées DNS de manière plus efficace. Pour bénéficier de ces modifications, les enregistrements DNS crées dans les versions antérieures de Mac OS X Server doivent être mis à niveau. Une fois que vous avez effectué la mise à niveau à Mac OS X Server 10.5 et activé le DNS dans Admin Serveur, la sous-fenêtre de mise à niveau apparaît la première fois que vous cliquez sur DNS. (La sous-fenêtre de mise à niveau n’apparaît que si vous avez effectué la mise à niveau vers Mac OS X Server 10.5. Elle n’apparaît pas si Mac OS X Server 10.5 a été installé directement.) La sous-fenêtre de mise à niveau comporte deux options :  « Ne pas mettre à niveau » : si vous choisissez de ne pas effectuer la mise à niveau de votre configuration, vous ne pouvez pas utiliser Admin Serveur pour configurer le DNS automatiquement. Vous pouvez configurer les fichiers manuellement en utilisant le fichier /etc/named.conf pour la configuration du DNS et le fichier /var/named pour la configuration des zones.  « Mise à niveau de » : l’option de mise à niveau convertit les enregistrements de fichier DNS puis donne accès aux sous-fenêtres DNS d’Admin Serveur. Lors de la mise à niveau, des fichiers de sauvegarde sont crées. Si les fichiers doivent être restaurés, cela peut être fait manuellement. Les fichiers de sauvegarde sont enregistrés dans les mêmes dossiers que les fichiers originaux. Configuration du service DNS Configurez le service DNS en configurant les trois groupes de réglages suivants dans Admin Serveur :  Zones. Permet de configurer une zone principale et des ordinateurs qui figurent dans la zone et de configurer une copie de la zone principale stockée sur un serveur de noms secondaire. Définit également des informations qui déterminent si vous autorisez les transferts entre zones.  Bonjour. Permet de configurer la navigation Bonjour automatique.  Réglages. Permet de configurer et de gérer les historiques relatifs au service DNS et de définir la récursivité du service DNS. Les sections suivantes décrivent comment définir ces réglages. La section finale explique comme démarrer le service DNS une fois que vous avez fini. Chapitre 3 Utilisation du service DNS 57 Configuration de réglages de zone Utilisez Admin Serveur sur le contrôleur de grappe de serveurs pour créer un fichier de zone DNS local et y ajouter des enregistrements pour mettre en correspondance des nœuds de grappe de serveurs avec les adresses IP correspondantes. Le service Open Directory sur le contrôleur de grappe de serveurs a besoin de ces informations pour activer la configuration de serveur automatique. Important : dans Mac OS X Server 10.5, les fichiers de configuration et de zone utilisés par Admin Serveur ont changé. Si vous modifiez le fichier named.conf et des fichiers de zone manuellement dans Terminal, les informations sont utilisées par le DNS. Les informations n’apparaissent toutefois pas dans la sous-fenêtre Zones DNS d’Admin Serveur. De plus, les modifications apportées dans Admin Serveur ne sont pas répercutées sur le fichier named.conf.Il est recommandé d’utiliser Admin Serveur. Pour configurer des réglages de zone du service DNS : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle situé à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez DNS. 4 Cliquez sur Zones. 5 Cliquez sur Ajouter une zone, puis choisissez « Ajouter une zone principale (maître) ». 6 Sélectionnez la nouvelle zone. 7 Dans le champ Noms dans la zone principale, saisissez le nom de la zone. Il s’agit du nom de domaine complet du serveur principal. 8 Saisissez l’adresse de courrier électronique de l’administrateur de la zone. 9 Sélectionnez « Autorise le transfert entre zones » pour autoriser les zones secondaires à obtenir des copies des données de zone principale. 10 Ajoutez des serveurs de noms à cette zone en cliquant sur le bouton Ajouter (+) et en saisissant le nom dans le champ Serveurs de noms. 11 Ajoutez des échangeurs de courrier à cette zone en cliquant sur le bouton Ajouter (+) et en saisissant le nom dans le champ échangeurs de courrier. Le contenu de ce champ sert de base à l’enregistrement MX de l’ordinateur. 12 Spécifiez un numéro d’ordre de serveur de messagerie dans le champ Priorité. Les serveurs de messagerie source essayent de distribuer en priorité le courrier aux serveurs ayant les numéros les plus bas. Pour plus d’informations, consultez la rubrique « Configuration du DNS pour le service de courrier » à la page 77. 13 Cliquez sur Expiration et saisissez le nombre d’heures pour chaque réglage. 58 Chapitre 3 Utilisation du service DNS Saisissez la durée de validité de la zone. Il s’agit de la durée de vie de la zone (sa valeur TTL). Celle-ci détermine pendant combien de temps les informations reçues en réponse aux requêtes peuvent être conservées en cache dans les systèmes DNS distants avant d’envoyer une nouvelle requête au serveur faisant autorité. Saisissez l’intervalle de temps entre les actualisations des zones secondaires à partir de la zone principale. Saisissez l’intervalle de temps entre chaque nouvelle tentative en cas d’échec de la zone secondaire. Saisissez combien de temps après l’actualisation les données de zone expirent. 14 Cliquez sur Ajouter un enregistrement, puis choisissez « Ajouter un alias (CNAME) ». Pour afficher la liste des enregistrements d’une zone, cliquez sur le triangle à gauche de la zone. 15 Sélectionnez newAlias sous la zone principale, puis saisissez les informations sur l’alias. Dans le champ Nom de l’alias, saisissez le nom correspondant. Le contenu de ce champ sert de base aux enregistrements CNAME de l’ordinateur. Les enregistrements pointeurs de recherche inversée de l’ordinateur sont créés automatiquement. Le nom de domaine complet de l’ordinateur apparaît sous le nom de l’alias. Ajoutez autant d’alias que vous voulez. 16 Cliquez sur Ajouter un enregistrement, puis choisissez « Ajouter une machine (A) ». 17 Sélectionnez newMachine sous la zone principale, puis saisissez les informations suivantes sur la machine. Dans le champ Nom de machine, saisissez le nom d’hôte de l’ordinateur. Le contenu de ce champ sert de base à l’enregistrement A de l’ordinateur. Les enregistrements pointeurs de recherche inversée de l’ordinateur sont créés automatiquement. Cliquez sur le bouton Ajouter (+), puis saisissez l’adresse IP de l’ordinateur. Saisissez toutes les informations sur le matériel et les logiciels de l’ordinateur dans les zones de texte correspondantes. Il s’agit des bases pour l’enregistrement HINFO de l’ordinateur. Saisissez des commentaires sur l’ordinateur dans la zone de texte Commentaire. Le contenu de ce champ sert de base à l’enregistrement TXT de l’ordinateur. Vous pouvez stocker pratiquement toute chaîne de texte dans la zone des commentaires (jusqu’à 255 caractères ASCII). Vous pouvez notamment décrire l’emplacement physique de l’ordinateur (par exemple, « Serveur de l’étage, armoire B »), le propriétaire de l’ordinateur (par exemple, « Ordinateur de Jean ») ou écrire toute autre information sur l’ordinateur. 18 Cliquez sur Ajouter un enregistrement, puis choisissez « Ajouter un service (SRV) ». 19 Sous la zone principale, sélectionnez Homepage, puis saisissez les informations sur le service. 20 Cliquez sur Enregistrer. Chapitre 3 Utilisation du service DNS 59 Configuration de réglages de zone secondaire Une zone secondaire est une copie d’une zone principale stockée sur un serveur de noms secondaire. Chaque zone secondaire maintient la liste des serveurs principaux qu’elle contacte pour des mises à jour des enregistrements dans la zone principale. Les zones secondaires doivent être configurées pour demander la copie des données de la zone principale. Les zones secondaires utilisent des transferts de zone pour obtenir des copies des données de zone principale. Les serveurs de noms secondaires peuvent répondre aux requêtes de recherche comme les serveurs principaux. Pour ajouter une zone secondaire : 1 Assurez-vous que le serveur principal est configuré correctement et que les transferts entre zones sûrs sont activés sur le serveur principal, puis ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle situé à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez DNS. 4 Cliquez sur Zones. 5 Cliquez sur Ajouter une zone, puis choisissez « Ajouter une zone secondaire (esclave) ». 6 Sélectionnez la nouvelle zone. 7 Dans le champ Noms dans la zone secondaire, saisissez le nom de la zone. Le nom de la zone est identique à celui de la zone principale définie sur le serveur de noms principal. 8 Sous la liste Adresses de la zone principale, cliquez sur le bouton Ajouter (+). 9 Saisissez les adresses IP de chaque serveur principal dans la zone secondaire. 10 Cliquez sur Enregistrer. Configuration de réglages Bonjour Avec Bonjour, vous pouvez facilement connecter un ordinateur ou tout autre périphérique électronique à un réseau Ethernet câblé ou sans fil ou créer des réseaux instantanés comportant plusieurs périphériques sans configuration réseau supplémentaire. Pour configurer des réglages Bonjour du service DNS : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle situé à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez DNS. 4 Cliquez sur Bonjour. 60 Chapitre 3 Utilisation du service DNS 5 Pour activer la recherche Bonjour en zone élargie, cochez « Activer l’accès automatique aux clients via Bonjour pour le domaine », puis saisissez l’adresse du réseau. Toutes les zones principales fournissent ce domaine aux clients pour la recherche Bonjour. 6 Cliquez sur Enregistrer. Configuration de réglages DNS Utilisez la sous-fenêtre Réglages de DNS pour définir le niveau de détail de l’historique du service DNS. Vous avez le choix entre un historique très détaillé à des fins de débogage et un historique moins détaillé qui ne contient que les avertissements critiques. Définissez des requêtes récursives auxquelles le serveur DNS répond entièrement (ou donne une erreur). Sans réponde à la requête, celle-ci est réexpédiée aux adresses IP que vous avez ajoutées dans la liste Adresses IP du réexpéditeur. Pour configurer des réglages DNS : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle situé à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez DNS. 4 Cliquez sur Réglages. 5 Dans le menu local Niveau de détail de l’historique, sélectionnez le niveau de détail souhaité :  Sélectionnez Critique pour ne consigner que les erreurs critiques comme les erreurs matérielles.  Sélectionnez Erreur pour consigner toutes les erreurs à l’exception des messages d’avertissement.  Sélectionnez Avertissement pour consigner tous les avertissements et toutes les erreurs.  Sélectionnez Note pour ne consigner que les messages, les avertissements et les erreurs les plus importants.  Sélectionnez Information pour consigner la plupart des messages.  Sélectionnez Déboguer pour consigner tous les messages. L’emplacement de l’historique est /Bibliothèque/Logs/. 6 Sous la liste « Accepter les requêtes récursives sur les réseaux suivants », cliquez sur le bouton Ajouter (+) pour ajouter les réseaux à partir desquels les requêtes récursives sont acceptées, puis saisissez l’adresse des réseaux dans la liste. 7 Sous la liste « Adresses IP du réexpéditeur », cliquez sur le bouton Ajouter (+) pour ajouter les réseaux auxquels les requêtes non autorisées sont réexpédiées, puis saisissez l’adresse des réseaux dans la liste. 8 Cliquez sur Enregistrer. Chapitre 3 Utilisation du service DNS 61 Démarrage du service DNS Utilisez Admin Serveur pour démarrer le service DNS. N’oubliez pas de redémarrer le service DNS lorsque vous apportez des modifications au service DNS dans Admin Serveur. Pour démarrer le service DNS : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle situé à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez DNS. 4 Cliquez sur Démarrer DNS (sous la liste Serveurs). Le démarrage du service peut prendre quelques secondes. Gestion du service DNS Cette section décrit les tâches courantes que vous aurez probablement à effectuer une fois le service DNS configuré sur votre serveur. Vous trouverez les informations relatives à la configuration initiale à la rubrique « Configuration du service DNS » à la page 57. Les fonctionnalités plus avancées nécessitent la configuration de BIND à l’aide de la ligne de commande et ne font pas l’objet du présent manuel. Vous pouvez surveiller l’état du DNS pour :  résoudre des problèmes de résolution de noms ;  vérifier la fréquence d’utilisation du service DNS ;  rechercher d’éventuelles utilisations non autorisées voire malveillantes du service DNS. La présente section décrit les tâches de surveillance courantes suivantes relatives au service DNS.  « Vérification de l’état du service DNS » à la page 63.  « Affichage des historiques du service DNS » à la page 63.  « Modification du niveau de détail de l’historique DNS » à la page 63.  « Arrêt du service DNS » à la page 64.  « Activation ou désactivation des transferts entre zones » à la page 64.  « Activation de la récursivité » à la page 65. 62 Chapitre 3 Utilisation du service DNS Vérification de l’état du service DNS Vous pouvez utiliser Admin Serveur pour vérifier l’état du service DNS. Pour vérifier l’état du service DNS : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle situé à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez DNS. 4 Cliquez sur Vue d’ensemble pour vérifier si le service est en service, quand il a été démarré et le nombre de zones allouées. 5 Cliquez sur Historique pour examiner l’historique du service. Utilisez le champ Filtre au-dessus de l’historique pour rechercher des entrées spécifiques. Affichage des historiques du service DNS Le service DNS crée des entrées pour les messages d’erreur et d’alerte dans l’historique système. Le fichier d’historique s’appelle named.log. Vous pouvez filtrer le contenu de l’historique afin de restreindre le nombre d’entrées affichées et accéder plus facilement à celles qui vous intéressent. Pour afficher les historiques, procédez de la manière suivante : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle situé à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez DNS. 4 Cliquez sur Historique et utilisez le champ Filtre au-dessus de l’historique pour rechercher des entrées spécifiques. Modification du niveau de détail de l’historique DNS Vous pouvez modifier le niveau de détail de l’historique du service DNS. Vous avez le choix entre un historique très détaillé à des fins de débogage et un historique moins détaillé qui ne contient que les avertissements critiques. Pour modifier le niveau de détail de l’historique : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle situé à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez DNS. 4 Cliquez sur Réglages. Chapitre 3 Utilisation du service DNS 63 5 Dans le menu local Niveau d’historique, sélectionnez le niveau de détail souhaité comme suit :  Sélectionnez Critique pour ne consigner que les erreurs critiques comme les erreurs matérielles.  Sélectionnez Erreur pour consigner toutes les erreurs à l’exception des messages d’avertissement.  Sélectionnez Avertissement pour consigner tous les avertissements et toutes les erreurs.  Sélectionnez Note pour ne consigner que les messages, les avertissements et les erreurs les plus importants.  Sélectionnez Information pour consigner la plupart des messages.  Sélectionnez Déboguer pour consigner tous les messages. 6 Cliquez sur Enregistrer. Arrêt du service DNS Utilisez Admin Serveur pour arrêter le service DNS. Pour arrêter le service DNS : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle situé à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez DNS. 4 Cliquez sur Arrêter DNS (sous la liste Serveurs). 5 Cliquez sur Arrêter. L’arrêt du service peut prendre quelques secondes. Activation ou désactivation des transferts entre zones Dans le DNS, les données de zone sont répliquées sur les différents serveurs DNS faisant autorité à l’aide de transferts entre zones. Les serveurs DNS secondaires utilisent les transferts entre zones pour obtenir leurs données auprès des serveurs DNS principaux. Vous devez donc activer les transferts entre zones si vous voulez utiliser des serveurs DNS secondaires. Pour activer ou désactiver les transferts entre zones : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle situé à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez DNS. 4 Cliquez sur Zones. 64 Chapitre 3 Utilisation du service DNS 5 Sélectionnez la zone principale que vous voulez modifier. 6 Cliquez sur Général. 7 Cochez ou décochez « Autorise le transfert entre zones » pour autoriser les zones secondaires à obtenir des copies des données de zone principale. 8 Cliquez sur Enregistrer. Activation de la récursivité La récursivité traduit entièrement les noms de domaine en adresses IP. Les applications dépendent du serveur DNS pour réaliser cette opération. Les autres serveurs DNS qui interrogent vos serveurs DNS n’ont pas besoin de réaliser la récursivité. Pour empêcher les utilisateurs malveillants de modifier les enregistrements de la zone principale (opération que l’on nomme l’empoisonnement du cache) et pour empêcher l’utilisation du serveur sans autorisation pour le service DNS, vous pouvez restreindre la récursivité. Toutefois, si vous restreignez la récursivité sur votre réseau privé, vos utilisateurs ne pourront pas utiliser votre service DNS pour rechercher des noms en dehors de vos zones. Ne désactivez la récursivité que si :  aucun client n’utilise le serveur DNS pour la résolution de noms ;  aucun serveur ne l’utilise pour la redirection. Pour activer la récursivité : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle situé à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez DNS. 4 Cliquez sur Réglages. 5 Cliquez sur le bouton Ajouter (+) sous la liste « Accepter les requêtes récursives sur les réseaux suivants ». 6 Saisissez les adresses IP des serveurs desquels le DNS doit accepter des requêtes récursives. Vous pouvez également saisir des plages d’adresse IP. 7 Cliquez sur Enregistrer. Si vous activez la récursivité, n’oubliez pas de la désactiver pour les adresses IP externes mais de l’activer pour les adresses IP de réseau local en modifiant le fichier named.conf de BIND. Toutes les modifications que vous apportez au fichier named.conf n’apparaissent toutefois pas dans la section DNS d’Admin Serveur. Vous pouvez désactiver entièrement la récursivité en supprimant toutes les entrées de la liste des réseaux. Pour en savoir plus sur BIND, consultez www.isc.org/sw/bind. Chapitre 3 Utilisation du service DNS 65 Gestion de zones DNS Les zones DNS se gèrent à l’aide d’Admin Serveur. Les sections suivantes décrivent comment gérer et modifier des zones DNS.  « Ajout d’une zone principale » à la page 66  « Ajout d’une zone secondaire » à la page 67  « Ajout d’une zone de redirection » à la page 68  « Modification d’une zone » à la page 68  « Suppression d’une zone » à la page 68 Ajout d’une zone principale Utilisez Admin Serveur pour ajouter une zone principale à votre serveur DNS. Pour ajouter une zone principale : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle situé à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez DNS. 4 Cliquez sur Zones. 5 Cliquez sur Ajouter une zone, puis choisissez « Ajouter une zone principale (maître) ». 6 Sélectionnez la nouvelle zone. 7 Dans le champ Noms dans la zone principale, saisissez le nom de la zone. Il s’agit du nom de domaine complet du serveur principal. 8 Saisissez l’adresse de courrier électronique de l’administrateur de la zone. 9 Sélectionnez « Autorise le transfert entre zones » pour autoriser les zones secondaires à obtenir des copies des données de zone principale. 10 Ajoutez des serveurs de noms à cette zone en cliquant sur le bouton Ajouter (+) et en saisissant le nom dans le champ Serveurs de noms. 11 Ajoutez des échangeurs de courrier à cette zone en cliquant sur le bouton Ajouter (+) et en saisissant le nom dans le champ échangeurs de courrier. Le contenu de ce champ sert de base à l’enregistrement MX de l’ordinateur. 12 Dans le champ Priorité, spécifiez le numéro d’ordre d’un serveur de messagerie. Les serveurs de messagerie source essayent de distribuer en priorité le courrier aux serveurs ayant les numéros les plus bas. Pour plus d’informations, consultez la rubrique « Configuration du DNS pour le service de courrier » à la page 77. 66 Chapitre 3 Utilisation du service DNS 13 Cliquez sur Expiration et saisissez le nombre d’heures pour chaque réglage. Saisissez la durée de validité de la zone. Il s’agit de la durée de vie de la zone (sa valeur TTL). Celle-ci détermine pendant combien de temps les informations reçues en réponse aux requêtes peuvent être conservées en cache dans les systèmes DNS distants avant d’envoyer une nouvelle requête au serveur faisant autorité. Saisissez l’intervalle de temps entre les actualisations des zones secondaires à partir de la zone principale. Saisissez l’intervalle de temps entre chaque nouvelle tentative en cas d’échec de la zone secondaire. Saisissez au bout de combien de temps après l’actualisation les données de zone expirent. 14 Cliquez sur Enregistrer. Ajout d’une zone secondaire Utilisez Admin Serveur pour ajouter une zone secondaire à votre serveur DNS. Effectuez les étapes suivantes sur le serveur secondaire. Avant d’effectuer ces étapes, vérifiez que le serveur principal est configuré correctement et que les transferts entre zones sont activés sur le serveur principal. Pour ajouter une zone secondaire : 1 Sur le serveur secondaire, ouvrez Admin Serveur et connectez-vous au serveur principal. 2 Cliquez sur le triangle situé à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez DNS. 4 Cliquez sur Zones. 5 Cliquez sur Ajouter une zone, puis sur « Ajouter une zone secondaire (esclave) ». 6 Sélectionnez la nouvelle zone. 7 Dans le champ Noms dans la zone secondaire, saisissez le nom de la zone. Le nom de la zone est identique à celui de la zone principale définie sur le serveur de noms principal. 8 Sous la liste d’adresses Zone principale, cliquez sur le bouton Ajouter (+). 9 Saisissez les adresses IP de chaque serveur principal dans la zone secondaire. 10 Cliquez sur Enregistrer. Chapitre 3 Utilisation du service DNS 67 Ajout d’une zone de redirection Une zone de redirection dirige toutes les requêtes de recherche vers d’autres serveurs DNS. La zone de redirection met également en cache les requêtes de recherche antérieures pour améliorer la vitesse. Utilisez Admin Serveur pour ajouter une zone de redirection à votre serveur DNS. Pour ajouter une zone de redirection : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle situé à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez DNS. 4 Cliquez sur Réglages. 5 Sous la liste Adresses IP du réexpéditeur, cliquez sur le bouton Ajouter (+). 6 Saisissez les adresses IP des serveurs maîtres de la zone de redirection. Une zone de redirection dirige toutes les requêtes de recherche vers d’autres serveurs DNS. La zone de redirection met également en cache les requêtes de recherche antérieures pour améliorer la vitesse. 7 Cliquez sur Enregistrer. Modification d’une zone Utilisez Admin Serveur pour modifier des réglages de zone. Il se peut que vous deviez modifier l’adresse électronique de l’administrateur ou le nom de domaine d’une zone. Pour modifier une zone : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle situé à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez DNS. 4 Cliquez sur Zones. 5 Sélectionnez la zone que vous voulez modifier. 6 Modifiez les informations sur la zone comme vous le souhaitez. 7 Cliquez sur Enregistrer. Suppression d’une zone Lorsque vous supprimez une zone, tous les enregistrements associés sont également supprimés. Pour supprimer une zone : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 68 Chapitre 3 Utilisation du service DNS 2 Cliquez sur le triangle situé à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez DNS. 4 Cliquez sur Zones. 5 Sélectionnez la zone que vous voulez supprimer. 6 Cliquez sur Supprimer sous la liste Zones. 7 Cliquez sur Enregistrer. Importation d’un fichier de zone BIND Il se peut que vous disposiez déjà d’un fichier de zone BIND provenant d’un serveur DNS d’une autre plate-forme. Si c’est le cas, plutôt que de saisir les informations dans Admin Serveur manuellement, vous pouvez utiliser le fichier de zone BIND directement dans Mac OS X Server. L’utilisation d’un fichier de zone nécessite :  des autorisations d’accès root au fichier de configuration BIND (/etc/named.conf ) ;  le répertoire de la zone de travail (/var/named/) ;  des connaissances élémentaires de BIND et de l’application Terminal. À défaut, utilisez les outils DNS d’Admin Serveur. Important : dans Mac OS X Server 10.5, les fichiers de configuration et de zone utilisés par Admin Serveur ont changé. Si vous modifiez le fichier named.conf et des fichiers de zone manuellement dans Terminal, les informations sont utilisées par le DNS. Les informations n’apparaissent toutefois pas dans la sous-fenêtre Zones DNS d’Admin Serveur. De plus, les modifications apportées dans Admin Serveur ne sont pas répercutées sur le fichier named.conf.Il est recommandé d’utiliser Admin Serveur. Pour importer un fichier de zone : 1 Ajoutez la directive de zone au fichier de configuration BIND, /etc/named.conf. Vous devez disposer de privilèges root pour modifier le fichier named.conf. Par exemple, pour la zone xyz.com décrite dans le fichier de zone db.xyz.com dans le dossier de zone de travail /var/named/, la directive de zone pourrait ressembler à ceci : zone "xyz.com" IN { type master; file "db.xyz.com"; var/named/db.xyz.com allow-update { none; }; // Zone de recherche avant pour xyz.com // Il s’agit d’une zone principale // Les infos sur la zone sont stockées dans / }; 2 Confirmez que le fichier de zone doit être ajouté au dossier de zone de travail /var/named/. 3 Redémarrez le service DNS à l’aide d’Admin Serveur. Chapitre 3 Utilisation du service DNS 69 Gestion d’enregistrements DNS Chaque zone contient un certain nombre d’enregistrements qui sont nécessaires lorsqu’un ordinateur client traduit un nom de domaine (par exemple, www.exemple.com) en numéro IP. Les navigateurs web, les clients de courrier électronique et les autres applications réseau utilisent les enregistrements d’une zone pour contacter le serveur qui convient. Les sections suivantes décrivent comment ajouter, modifier et supprimer des enregistrements DNS.  « Ajout d’un enregistrement d’alias à une zone DNS » à la page 70.  « Ajout d’un enregistrement de machine à une zone DNS » à la page 71.  « Ajout d’un enregistrement de service à une zone DNS » à la page 72.  « Modification d’un enregistrement dans une zone DNS » à la page 72.  « Suppression d’un enregistrement d’une zone DNS » à la page 73. Ajout d’un enregistrement d’alias à une zone DNS Vous devez ajouter des enregistrements pour chaque ordinateur dont la zone principale DNS est responsable. N’ajoutez pas d’enregistrements pour les ordinateurs que cette zone ne contrôle pas. Un enregistrement d’alias, ou enregistrement de nom canonique (CNAME), est utilisé pour créer des alias qui pointent vers d’autres noms. Si vous voulez que cet ordinateur ait plus d’un nom, ajoutez des enregistrements d’alias à la zone. Pour ajouter un enregistrement d’alias DNS : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle situé à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez DNS. 4 Cliquez sur Zones. 5 Sélectionnez la zone à laquelle l’enregistrement doit être ajouté. 6 Cliquez sur Ajouter un enregistrement, puis choisissez Ajouter un alias (CNAME). Cela ajoute l’enregistrement d’alias à la zone. 7 Sélectionnez newAlias sous la zone, puis saisissez les informations sur l’alias. Dans le champ Nom de l’alias, saisissez le nom de l’alias. Le contenu de ce champ sert de base aux enregistrements CNAME de l’ordinateur. Les enregistrements pointeurs de recherche inversée de l’ordinateur sont créés automatiquement. Pour utiliser le nom de domaine complet de l’ordinateur, cochez la case Intégralement qualifié. 70 Chapitre 3 Utilisation du service DNS 8 Cliquez sur Enregistrer. Ajoutez autant d’alias que vous le souhaitez en ajoutant d’autres enregistrements d’alias. Ajout d’un enregistrement de machine à une zone DNS Vous devez ajouter des enregistrements pour chaque ordinateur dont la zone principale DNS est responsable. N’ajoutez pas d’enregistrements pour les ordinateurs que cette zone ne contrôle pas. Un enregistrement de machine, ou enregistrement d’adresse (A), est utilisé pour associer un nom de domaine à une adresse IP. C’est pourquoi il ne peut y avoir qu’une seule machine par adresse IP car les adresses IP doivent être uniques au sein d’une zone. Pour ajouter un enregistrement de machine DNS : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle situé à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez DNS. 4 Cliquez sur Zones. 5 Sélectionnez la zone à laquelle l’enregistrement doit être ajouté. 6 Cliquez sur Ajouter un enregistrement, puis choisissez « Ajouter une machine (A) ». Cela ajoute l’enregistrement de machine à la zone. 7 Sélectionnez newMachine sous la zone, puis saisissez les informations suivantes sur la machine. Dans le champ Nom de machine, saisissez le nom d’hôte de l’ordinateur. Le contenu de ce champ sert de base à l’enregistrement A de l’ordinateur. Les enregistrements pointeurs de recherche inversée de l’ordinateur sont créés automatiquement. Cliquez sur le bouton Ajouter (+), puis saisissez l’adresse IP de l’ordinateur. Saisissez toutes les informations sur le matériel et les logiciels de l’ordinateur dans les zones de texte correspondantes. Il s’agit des bases pour l’enregistrement HINFO de l’ordinateur. Saisissez des commentaires sur l’ordinateur dans la zone de texte Commentaire. Le contenu de ce champ sert de base à l’enregistrement TXT de l’ordinateur. Vous pouvez stocker jusqu’à 255 caractères ASCII dans la zone des commentaires. Vous pouvez décrire l’emplacement physique de l’ordinateur (par exemple, « Serveur de l’étage, armoire B »), le propriétaire de l’ordinateur (par exemple, « Ordinateur de Jean ») ou écrire toute autre information sur l’ordinateur. 8 Cliquez sur Enregistrer. Chapitre 3 Utilisation du service DNS 71 Ajout d’un enregistrement de service à une zone DNS Vous devez ajouter des enregistrements pour chaque ordinateur dont la zone principale DNS est responsable. N’ajoutez pas d’enregistrements pour les ordinateurs que cette zone ne contrôle pas. Les enregistrements de service (SRV) sont utilisés pour définir l’hôte et le port cible sur lequel le service DNS travaillera. Pour ajouter un enregistrement de service DNS : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle situé à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez DNS. 4 Cliquez sur Zones. 5 Sélectionnez la zone à laquelle l’enregistrement doit être ajouté. 6 Cliquez sur Ajouter un enregistrement, puis choisissez Ajouter un service (SRV). Cela ajoute l’enregistrement de service à la zone. 7 Sous la zone, sélectionnez Homepage, puis saisissez les informations sur le service. 8 Cliquez sur Enregistrer. Modification d’un enregistrement dans une zone DNS Chaque fois que vous modifiez l’espace de noms du domaine, vous devez mettre à jour les enregistrements DNS. Les mises à niveau du matériel ou l’ajout à un nom de domaine peuvent aussi nécessiter la mise à jour des enregistrements DNS. Vous pouvez dupliquer un enregistrement puis le modifier pour aller plus vite lors de la configuration. Pour modifier un enregistrement : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle situé à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez DNS. 4 Cliquez sur Zones. 5 Cliquez sur le triangle à gauche de la zone qui contient l’enregistrement d’ordinateur à modifier. La liste des enregistrements apparaît. 6 Sélectionnez l’enregistrement à modifier et apportez les modifications souhaitées aux champs sous la liste. 7 Cliquez sur Enregistrer. 72 Chapitre 3 Utilisation du service DNS Suppression d’un enregistrement d’une zone DNS Lorsqu’un ordinateur n’est plus associé à un nom de domaine ou à une adresse utilisable, supprimez les enregistrements associés. Pour supprimer un enregistrement : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle situé à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez DNS. 4 Cliquez sur Zones. 5 Cliquez sur le triangle à gauche de la zone qui contient l’enregistrement d’ordinateur à supprimer. La liste des enregistrements apparaît. 6 Sélectionnez l’enregistrement à supprimer et cliquez sur Supprimer sous la liste. 7 Cliquez sur Enregistrer. Sécurisation du serveur DNS Les serveurs DNS sont souvent la cible d’utilisateurs d’ordinateurs malveillants (pirates). Les serveurs DNS sont la cible de plusieurs types d’attaques. En prenant des précautions supplémentaires, vous pouvez éviter des problèmes et les temps d’arrêt associés aux pirates. Plusieurs types d’attaques contre la sécurité sont associés au service DNS :      La mystification du DNS. La prospection de serveur (en anglais « server mining »). Le profilage du service DNS (en anglais « profiling »). Le déni de service (en anglais « denial of service » ou « DoS »). Le talonnage de service (en anglais « piggybacking »). Chapitre 3 Utilisation du service DNS 73 Mystification du DNS La mystification du DNS consiste à ajouter de fausses données dans le cache du serveur DNS. Cela permet aux pirates :  de rediriger les véritables requêtes de nom de domaine vers des adresses IP alternatives. Par exemple, un enregistrement A falsifié relatif à une banque pourrait pointer le navigateur d’un utilisateur d’ordinateur vers une autre adresse IP contrôlée par le pirate. Un faux double du site web d’origine pourrait y pousser les utilisateurs à donner leurs numéros de compte et mots de passe au pirate. De plus, un enregistrement de courrier électronique falsifié pourrait permettre à un pirate d’intercepter les courriers envoyés à un à partir d’un domaine. Si le pirate réexpédie ensuite ce courrier au bon serveur de messagerie après avoir copié le courrier, personne ne pourrait s’en apercevoir.  d’empêcher la résolution correcte des noms de domaine et l’accès à Internet. Ce sont les attaques de mystification du DNS les plus bénignes. Elles font juste croire qu’un serveur DNS ne fonctionne par correctement. La manière la plus efficace de se protéger de ces attaques est la vigilance. Cela couvre la mise à jour régulière des logiciels et l’analyse régulière des enregistrements DNS. En cas de découverte d’exploits sur la version courante de BIND, des corrections sont apportées et une mise à jour Security Update est publiée pour Mac OS X Server. Appliquez tous ces correctifs de sécurité. Des analyses régulières de vos enregistrements DNS peuvent aussi aider à prévenir de telles attaques. Exploration de serveur L’exploration de serveur consiste à obtenir une copie d’une zone principale complète en demandant un transfert de zone. Dans ce cas, un pirate prétend être une zone secondaire à une autre zone principale et demande une copie de tous les enregistrements de la zone principale. Avec une copie de votre zone principale, le pirate peut savoir quels types de services un domaine fournit et les adresses IP des serveurs qui les fournissent. Il peut alors tenter des attaques spécifiques sur ces services. Il s’agit d’une reconnaissance avant une autre attaque. Pour se défendre contre une attaque de ce type, spécifiez quelles adresses IP sont autorisées à demander des transferts entre zones (vos serveurs de zone secondaire) et interdisez-le à tous les autres. Les transferts entre zones se font par TCP sur le port 53. Pour limiter les transferts entre zones, bloquez toutes les demandes de transfert de zone sauf celles qui proviennent de vos serveurs DNS secondaires. 74 Chapitre 3 Utilisation du service DNS Pour spécifier des adresses IP de transfert entre zones : 1 Créez un filtre de coupe-feu qui n’autorise que les adresses IP derrière votre coupe-feu à accéder au port TCP 53. 2 Suivez les instructions de la section « Configuration de règles de coupe-feu avancées » dans le chapitre 4, « Utilisation du service de coupe-feu, » en utilisant les réglages suivants :      Paquet : Autoriser Port : 53 Protocole :TCP IP source : l’adresse IP de votre serveur DNS secondaire IP de destination : l’adresse IP de votre serveur DNS principal Profilage du service DNS Une autre technique de reconnaissance fréquemment utilisée par les utilisateurs malveillants consiste à profiler votre service DNS. Un pirate fait d’abord une demande de version BIND. Le serveur répond en indiquant quelle version de BIND est en service. Le pirate compare ensuite la réponse à des exploits et vulnérabilités connus dans cette version de BIND. Pour se défendre contre ce type d’attaque, configurez BIND de façon à ce qu’il réponde autre chose que ce qu’il est. Pour modifier la réponse donnée lorsqu’on demande la version de BIND : 1 Ouvrez un éditeur de texte de ligne de commande (par exemple vi, emacs ou pico). 2 Ouvrez le fichier named.conf en modification. 3 Aux crochets d’options du fichier de configuration, ajoutez ce qui suit : version "[votre texte, par exemple, « c’est notre affaire ! »]"; 4 Enregistrez named.conf. Déni de service Ce type d’attaque est fréquent et aisé. Un pirate envoie tellement de demandes de service et de requêtes qu’un serveur utilise toute sa puissance de traitement et toute sa bande passante réseau pour tenter de répondre. Le pirate empêche donc l’utilisation légitime du service en le surchargeant. Il est difficile d’empêcher ce type d’attaque avant qu’elle ne commence. Une surveillance constante de la charge de travail du service DNS et du serveur permet à un administrateur de détecter l’attaque tôt et de réduire ses effets néfastes. La manière la plus simple de se prémunir contre ce type d’attaque consiste à bloquer l’adresse IP incriminée à l’aide de votre coupe-feu. Consultez la rubrique « Configuration de règles de coupe-feu avancées » à la page 102. Malheureusement, cela signifie que l’attaque est déjà en cours et que le serveur répond aux requêtes du pirate et consigne les activités. Chapitre 3 Utilisation du service DNS 75 Talonnage de service Ce type d’attaque n’est pas tant réalisée par des intrus malveillants que par des utilisateurs d’Internet communs qui apprennent l’astuce d’autres utilisateurs. S’ils trouvent que le temps de réponse du DNS de leur propre FAI est trop long, ils configurent leur ordinateur de façon à ce qu’il interroge un autre serveur DNS que les serveurs DNS de leur FAI. Dans les faits, cela se traduit par un nombre plus élevé d’utilisateurs qui accèdent au serveur DNS qu’initialement prévu. Vous pouvez vous protéger contre ce type d’attaque en limitant ou désactivant la récursivité DNS. Si vous prévoyez de fournir le service DNS aux utilisateurs de votre propre réseau local, ils ont besoin de la récursivité pour résoudre des noms de domaine, mais ne fournissez pas ce service aux utilisateurs d’Internet. Pour empêcher entièrement la récursivité, consultez « Activation de la récursivité » à la page 65. Le juste milieu le plus fréquent consiste à autoriser la récursivité pour les requêtes provenant d’adresses IP qui figurent dans votre propre plage mais d’interdire la récursivité aux adresses externes. BIND vous permet de spécifier cela dans son fichier de configuration, named.conf. Modifiez votre fichier named.conf de façon à ce qu’il contienne ce qui suit : options { ... allow-recursion{ 127.0.0.0/8; [votre propre plage d’adresses IP, par exemple 192.168.1.0/27]; }; }; Pour en savoir plus, consultez la documentation de BIND. Administration du service Bonjour sur zone élargie Si votre ordinateur ou périphérique prend en charge Bonjour, il va automatiquement diffuser et découvrir les services fournis par les autres ordinateurs ou périphériques qui utilisent Bonjour. Vous pouvez mettre en réseau rapidement et simplement des ordinateurs et des périphériques qui prennent en charge Bonjour. La recherche Bonjour peut être gérée et sécurisée à l’aide d’Admin Serveur. Vous pouvez gérer la recherche Bonjour en désignant un domaine Bonjour pour tous les ordinateurs et périphériques qui utilisent Bonjour. Lorsque vous activez cette fonctionnalité, toutes les zones principales fournissent le domaine de recherche Bonjour désigné aux ordinateurs clients afin qu’ils puissent rechercher les services Bonjour. 76 Chapitre 3 Utilisation du service DNS Pour activer la recherche Bonjour : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle situé à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez DNS. 4 Cliquez sur Bonjour. 5 Cochez la case « Activer l’accès automatique aux clients via Bonjour pour le domaine » et saisissez un nom de domaine pour la recherche Bonjour (par exemple, bonjour.societe.com). 6 Cliquez sur Enregistrer. Tâches d’administration de réseau courantes qui utilisent le service DNS Les sections qui suivent illustrent des tâches d’administration de réseau courantes qui nécessitent le service DNS. Configuration du DNS pour le service de courrier Pour fournir le service de courrier sur votre réseau, vous devez configurer le DNS de façon à ce que le courrier entrant soit envoyé au bon hôte de courrier sur votre réseau. Lorsque vous configurez le service de courrier, vous définissez une série d’hôtes, appelés échangeurs de courrier ou hôtes MX (« Mail Exchanger »), chacun possédant un niveau de priorité déterminé. L’hôte possédant la priorité la plus élevée reçoit d’abord le courrier. Si cet hôte est indisponible, l’hôte possédant la priorité suivante reçoit le courrier, et ainsi de suite. Imaginons que le nom d’hôte du serveur de messagerie soit fiable dans le domaine exemple.com. Sans enregistrement MX, les adresses électroniques des utilisateurs contiendraient le nom de l’ordinateur faisant office de serveur de messagerie, comme ceci : [email protected] Pour modifier le serveur de messagerie ou rediriger le courrier, vous devez prévenir les expéditeurs potentiels que vos utilisateurs ont une nouvelle adresse ou vous pouvez créer un enregistrement MX pour chaque domaine que vous voulez faire gérer par votre serveur de messagerie et diriger le courrier vers le ordinateur qui convient. Lorsque vous configurez un enregistrement MX, ajoutez la liste des ordinateurs potentiels qui peuvent recevoir du courrier pour un domaine. De la sorte, si le serveur est occupé ou éteint, le courrier est envoyé à un autre ordinateur. Chapitre 3 Utilisation du service DNS 77 Chaque ordinateur qui figure sur la liste se voit assigner un numéro d’ordre (sa priorité). Celui qui porte le plus petit numéro est essayé en premier. Si cet ordinateur n’est pas disponible, le système consulte l’ordinateur qui possède le numéro inférieur suivant, et ainsi de suite. Lorsqu’un ordinateur reçoit le courrier, il le conserve et l’envoie au serveur de messagerie principal une fois que ce dernier est à nouveau disponible, puis le serveur de messagerie principal distribue le courrier. Voici un exemple d’enregistrement MX contenant trois ordinateurs pouvant recevoir du courrier pour le domaine exemple.com : exemple.com 10 fiable.exemple.com 20 secours.exemple.com 30 dernier-recours.exemple.com Les enregistrements MX sont également utilisés pour le courrier sortant. Lorsque votre serveur de courrier envoie du courrier, il consulte l’enregistrement MX pour voir si la destination est locale ou sur Internet, puis le processus décrit ci-avant se répète en sens inverse. Si le serveur principal à la destination n’est pas disponible, votre serveur de messagerie essaye chaque serveur qui figure dans la liste d’enregistrement MX de la destination jusqu’à ce qu’il en trouve un qui accepte le courrier. La configuration du DNS pour le service de courrier implique la création d’enregistrement MX dans le DNS pour vos serveurs de messagerie. Si votre FAI fournit le service DNS, contactez-le afin qu’il puisse activer vos enregistrement MX. Suivez les étapes cidessous uniquement si vous fournissez votre propre service DNS. Il se peut que vous souhaitiez configurer plusieurs serveurs à des fins de redondance. Si c’est le cas, créez un enregistrement MX par serveur auxiliaire. Pour activer des enregistrements MX de votre serveur de courrier : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle situé à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez DNS. 4 Cliquez sur Zones. 5 Sélectionnez la zone à laquelle l’enregistrement doit être ajouté. 6 Cliquez sur le triangle situé à gauche de la zone. La liste des enregistrements apparaît. 78 Chapitre 3 Utilisation du service DNS 7 Cliquez sur Ajouter un enregistrement, puis choisissez « Ajouter une machine (A) ». Cela ajoute un enregistrement de machine à la zone. 8 Dans le champ Nom de machine, saisissez le nom d’hôte de l’ordinateur. Si vous voulez utiliser le nom de domaine complet de l’ordinateur, cochez la case Intégralement qualifié et saisissez le nom de domaine complet de l’ordinateur. Le contenu de ce champ sert de base à l’enregistrement A de l’ordinateur. Les enregistrements pointeurs de recherche inversée de l’ordinateur sont créés automatiquement. 9 Cliquez sur le bouton Ajouter (+) et saisissez l’adresses IP de l’ordinateur. 10 Dans les zones de texte correspondantes, saisissez des informations sur le matériel et les logiciels de l’ordinateur. 11 Dans la zone de texte Commentaire, saisissez des commentaires sur l’ordinateur. Le contenu de ce champ sert de base à l’enregistrement TXT de l’ordinateur. Vous pouvez stocker jusqu’à 255 caractères ASCII dans la zone des commentaires. Vous pouvez décrire l’emplacement physique de l’ordinateur (par exemple, « Serveur de l’étage, armoire B »), le propriétaire de l’ordinateur (par exemple, « Ordinateur de Jean ») ou écrire toute autre information sur l’ordinateur. 12 Cliquez sur Enregistrer. 13 Pour ajouter d’autres noms pour cet ordinateur, cliquez sur Ajouter un enregistrement puis choisissez Ajouter un alias (CNAME). Ajoutez autant d’alias que vous voulez pour votre serveur. 14 Dans le champ Nom de l’alias, saisissez le nom alternatif de votre ordinateur. Si vous voulez utiliser le nom de domaine complet de l’alias, cochez la case Intégralement qualifié et saisissez le nom de domaine complet. Le contenu de ce champ sert de base aux enregistrements CNAME de l’ordinateur. Les enregistrements pointeurs de recherche inversée de l’ordinateur sont créés automatiquement. 15 Dans le champ Destination, saisissez le nom de l’ordinateur pour lequel vous créez l’alias. Si vous voulez utiliser le nom de domaine complet de la destination, cochez la case Intégralement qualifié et saisissez le nom de domaine complet. 16 Cliquez sur Enregistrer. 17 Dans la liste Serveurs développée, sélectionnez Courrier. 18 Cliquez sur Réglages, puis sur Avancé. 19 Cliquez sur Hébergement. 20 Cliquez sur le bouton Ajouter (+). 21 Dans le champ Alias d’hôte local, saisissez le nom de l’alias que vous venez de créer. 22 Cliquez sur OK, puis sur Enregistrer. Chapitre 3 Utilisation du service DNS 79 23 Répétez les étapes 7 à 22 pour chaque serveur de courrier. 24 Cliquez sur Enregistrer. Configuration d’un espace de noms derrière une passerelle NAT Si vous vous trouvez derrière une passerelle de traduction d’adresses réseau (en anglais « Network Address Translation » ou « NAT »), vous disposez d’un jeu d’adresses IP spécial qui ne sont utilisables qu’au sein de l’environnement NAT. Si vous deviez assigner un nom de domaine à ces adresses au-delà de la passerelle NAT, aucun nom de domaine ne serait traduit vers le bon ordinateur. Pour en savoir plus sur NAT, consultez le chapitre 5, « Utilisation du service NAT, » à la page 121. Vous pouvez toutefois exécuter un service DNS derrière la passerelle en assignant des noms d’hôte aux adresses IP NAT. De la sorte, si vous vous trouvez derrière la passerelle NAT, vous pouvez saisir des noms de domaine au lieu des adresses IP pour accéder aux serveurs, aux services et aux stations de travail. Votre serveur DNS devrait aussi disposer d’une zone de redirection pour envoyer des requêtes DNS au-delà de la passerelle NAT pour permettre la résolution de noms en dehors de la zone de routage couverte. Les réglages réseau de vos clients doivent mentionner le serveur DNS situé derrière la passerelle NAT. Le processus de configuration de l’un de ces réseaux est identique à celui d’un réseau privé. Pour en savoir plus, consultez la rubrique « Liaison d’un réseau local à Internet par une adresse IP » à la page 128. Si vous configurez un espace de noms derrière la passerelle, les noms saisis par les utilisateurs qui se trouvent au-delà de la passerelle NAT ne seront pas traduits dans les adresses qui y sont assignées. Configurez les enregistrements DNS en dehors de la zone couverte par NAT de façon à ce qu’ils pointent vers la passerelle NAT et utilisent la redirection de port NAT pour accéder aux ordinateurs qui se trouvent derrière la passerelle NAT. Pour en savoir plus, consultez la rubrique « Configuration de la redirection de port » à la page 124. La fonctionnalité DNS multidiffusion de Mac OS X vous permet d’utiliser, sur votre sousréseau local, des noms d’hôte possédant le suffixe .local sans devoir activer le DNS. Tout service ou périphérique qui prend en charge Multicast DNS permet l’utilisation d’un espace de noms défini par l’utilisateur sur votre sous-réseau local sans devoir installer ni configurer le DNS. 80 Chapitre 3 Utilisation du service DNS Répartition de la charge du réseau (permutation circulaire) BIND permet une répartition de la charge simple en utilisant une méthode de permutation d’adresses connue sous le nom de permutation circulaire. Il vous suffit de configurer un ensemble d’adresses IP pour plusieurs hôtes fournissant le même contenu par écriture miroir et BIND utilise ces adresses l’une à la suite de l’autre lorsqu’il répond à des requêtes. La permutation circulaire ne surveille pas la charge des serveurs ni la puissance de traitement. Elle utilise seulement l’une à la suite de l’autre une série d’adresses pour un nom d’hôte donné. La permutation circulaire s’active en ajoutant des entrées d’adresse IP à un nom d’hôte donné. Par exemple, imaginons que vous souhaitiez distribuer le trafic serveur web entre trois serveurs de votre réseau qui fournissent tous le même contenu par écriture miroir. Ces serveurs possèdent les adresses IP 192.168.12.12, 192.168.12.13 et 192.168.12.14. Vous devriez ajouter trois enregistrements de machine avec trois adresses IP différentes, mais le même nom de domaine. Lorsque le service DNS détecte plusieurs entrées pour le même hôte, son comportement par défaut consiste à répondre aux requêtes en les envoyant aux adresses de cette liste l’une à la suite de l’autre. La première requête reçoit les adresses dans l’ordre A, B, C. La requête suivante reçoit l’ordre B, C, A, puis C, A, B, et ainsi de suite. Pour diminuer les effets de la mise en cache locale, vous pouvez réduire la durée de vie de la zone à une durée de vie assez courte. Configuration d’un réseau TCP/IP privé Si votre réseau local dispose d’une connexion à Internet, configurez votre serveur et vos ordinateurs avec des adresses IP et d’autres informations propres à Internet. Vous obtiendrez ces adresses IP auprès de votre FAI. S’il n’est pas prévu de connecter votre réseau local à Internet et que vous souhaitez utiliser TCP/IP pour transmettre des informations sur votre réseau, vous pouvez configurer un réseau TCP/IP privé. Lorsque vous configurez un réseau privé, vous devez choisir des adresses IP dans les blocs d’adresses IP réservées par l’IANA pour les intranets privés :  10.0.0.0–10.255.255.255 (préfixe 10/8)  172.16.0.0–172.31.255.255 (préfixe 172.16/12)  172.16.0.0–172.31.255.255 (préfixe 192.168/16) Important : si vous pensez devoir vous connecter à Internet à l’avenir, inscrivez-vous dans un registre Internet et utilisez les adresses IP fournies par le registre lors de la configuration de votre réseau privé. Sinon, lorsque vous vous connecterez à Internet, tous les ordinateurs de votre réseau devront être reconfigurés. Chapitre 3 Utilisation du service DNS 81 Si vous configurez un réseau TCP/IP privé, vous pouvez également fournir le service DNS. Si vous configurez TCP/IP et le DNS sur votre réseau local, vos utilisateurs pourront accéder facilement à des services de fichier, web, de courrier et autres sur votre réseau. Hébergement de plusieurs services Internet à une seule adresse IP Il est possible de faire fournir tous les services Internet (par exemple, le service de courrier ou web) par un seul et même serveur. Ces services peuvent tous fonctionner sur un seul ordinateur à une seule adresse IP. Vous pouvez avoir plusieurs noms d’hôte dans la même zone pour un seul serveur. Par exemple, le nom de domaine www.exemple.com peut être traduit dans la même adresse IP que ftp.exemple.com ou mail.exemple.com. Ce domaine semble correspondre à plusieurs serveurs à toute personne qui accède à ces services, mais il s’agit en réalité d’un seul et même serveur à une seule et même adresse IP. La configuration d’enregistrements DNS pour ce service est facile : il suffit d’ajouter des alias à l’enregistrement de machine DNS. La configuration de noms DNS pour ces services n’active ou ne configure pas les services. Elle fournit simplement des noms faciles à retenir pour tous les services offerts. Cela peut simplifier l’installation et la configuration du logiciel client de chaque service. Par exemple, pour chaque service que vous voulez montrer, vous :  Créez mail.exemple.com pour la saisie dans les clients de courrier. N’oubliez pas de cocher la case Serveur de courrier dans la sous-fenêtre Machine.  Créez www.exemple.com pour la saisie dans les navigateurs web.  Créez afp.exemple.com pour le partage Apple File Sharing dans le Finder.  Créez ftp.exemple.com pour la saisie dans les clients FTP. Au fur et à mesure que vos besoins grandiront, vous pouvez toujours ajouter des ordinateurs au réseau pour prendre en charge ces services. Il vous suffira de supprimer l’alias de l’enregistrement DNS de la machine et de créer un enregistrement pour la nouvelle machine sans devoir modifier les réglages de vos client. Hébergement de plusieurs domaines sur le même serveur Vous pouvez faire fournir tous les services Internet (par exemple, le service de courrier ou web) pour différents noms de domaine par un seul et même serveur. Par exemple, vous pouvez faire en sorte que le nom de domaine www.exemple.com soit traduit dans la même adresse IP que www.serveur.org. Ce domaine semble correspondre à plusieurs serveurs à toute personne qui accède à ces domaines, mais il s’agit en réalité d’un seul et même serveur à une seule et même adresse IP. La configuration d’enregistrements DNS pour ce service est facile : il suffit d’ajouter une zone DNS puis d’y ajouter vos noms d’hôte et informations sur le serveur. 82 Chapitre 3 Utilisation du service DNS La configuration des noms DNS de ces services n’active ni ne configure le service pour ces noms de domaine. Cette configuration est utilisée avec l’hébergement de domaines virtuel dans les services de courrier et web. Autres sources d’informations Pour en savoir plus sur DNS et BIND Consultez les sections suivantes :  DNS and BIND, 5th edition, par Paul Albitz et Cricket Liu (O’Reilly and Associates, 2006)  Le site web de l’International Software Consortium : www.isc.org et www.isc.org/sw/bind  Le répertoire de ressources DNS Resources Directory : www.dns.net/dnsrd Documents RFC Les documents RFC (Request for Comments) offrent des vues d’ensemble de protocoles ou de services particuliers et expliquent le comportement normal du protocole. Si vous êtes un administrateur de serveur débutant, certaines des informations générales qui figurent dans les documents RFC vous seront certainement utiles. En revanche, si vous êtes un administrateur de serveur confirmé, vous trouverez des détails techniques concernant un protocole particulier dans le document RFC correspondant. Vous pouvez rechercher les documents RFC par leur numéro à l’adresse www.ietf.org/rfc.html.  A, PTR, CNAME, MX (pour en savoir plus, consultez RFC 1035).  AAAA (pour en savoir plus, consultez RFC 1886). Chapitre 3 Utilisation du service DNS 83 4 Utilisation du service de coupe-feu 4 Ce chapitre décrit comment configurer et gérer le service de coupe-feu dans Mac OS X Server. Le service de coupe-feu est le logiciel qui protège les applications réseau qui tournent sur votre ordinateur Mac OS X Server. Activer le service de coupe-feu, c’est comme construire un mur pour limiter l’accès à votre réseau. Le service de coupe-feu analyse les paquets IP entrants et les rejette ou les accepte sur la base de règles que vous utilisez pour configurer le service de coupe-feu. Vous pouvez restreindre l’accès à tout service IP exécuté par le serveur ou personnaliser des règles pour les clients entrants ou pour une plage d’adresses IP client. À propos du service de coupe-feu Le service de coupe-feu se configure à l’aide d’Admin Serveur. Vous pouvez également configurer certains réglages en éditant manuellement des fichiers de configuration. 85 L’illustration ci-dessous montre un exemple de processus de coupe-feu. Existe-t-il une règle pour le port 80 ? Oui L’ordinateur avec l’adresse IP 10.221.41.33 tente de se connecter au serveur via Internet (port 80). Le serveur commence à rechercher les règles. Existe-t-il une règle contenant l’adresse IP 10.221.41.33 ? Non Localisez la règle Tout port avec la plage la plus spécifique comprenant l’adresse 10.221.41.33. Oui Que précise la règle ? Refuser Autoriser La connexion est réalisée. La connexion est refusée. Les services, tels que les services web et FTP, sont identifiés sur le serveur par un numéro de port TCP (Transmission Control Protocol) ou UDP (User Datagram Protocol). Lorsqu’un ordinateur tente de se connecter à un service, le service de coupe-feu analyse la liste des règles afin de retrouver le numéro de port correspondant. Lorsqu’un paquet arrive à une interface réseau et que le coupe-feu est activé, le paquet est comparé à chaque règle, en commençant par celle portant le numéro le plus petit numéro (la plus haute priorité). Lorsqu’une règle s’applique au paquet, l’action spécifiée dans la règle (comme autoriser ou refuser) est exécutée. Ensuite, selon l’action, d’autres règles peuvent être appliquées. Les règles que vous définissez sont appliquées aux paquets TCP et UDP. Vous pouvez en outre définir des règles destinées à restreindre les protocoles Internet Control Message Protocol (ICMP) ou Internet Group Management Protocol (IGMP) en créant des règles avancées. Important : la première fois que vous démarrez le service de coupe-feu, seuls les ports essentiels à l’administration à distance du serveur sont ouverts, notamment le shell sécurisé (22) et quelques autres. D’autres ports sont ouverts de manière dynamique pour autoriser des réponses spécifiques à des requêtes lancées par le serveur. Pour autoriser l’accès à distance à d’autres services sur votre ordinateur, ouvrez d’autres ports à l’aide de la section Services de la sous-fenêtre Réglages. 86 Chapitre 4 Utilisation du service de coupe-feu Si vous prévoyez de partager des données par Internet et ne disposez pas d’un routeur ou coupe-feu dédié pour protéger vos données contre les accès non autorisés, vous devez utiliser le service de coupe-feu. Ce service convient bien aux petites et moyennes entreprises, aux écoles et aux petits bureaux ou aux bureaux à domicile. Les organisations plus importantes disposant d’un coupe-feu peuvent utiliser le service de coupe-feu pour exercer plus de contrôle sur leurs serveurs. Par exemple, les groupes de travail d’une grande entreprise ou les écoles d’un groupement d’écoles peuvent utiliser le service de coupe-feu pour contrôler l’accès à leurs propres serveurs. Le service de coupe-feu procède également à l’inspection dynamique des paquets, ce qui détermine si un paquet entrant est une réponse légitime à une requête sortante ou fait partie d’une session en cours. Cela autorise les paquets qui, autrement, seraient refusés. Pratiques élémentaires en matière de coupe-feu Par défaut, Mac OS X Server utilise un modèle simple pour réaliser un coupe-feu sécurisé et pratique. Si un coupe-feu est trop restrictif, le réseau qui se trouve derrière lui peut être trop isolé. À l’inverse, si un coupe-feu est trop laxiste, il ne sécurise pas les ressources qui se trouvent derrière lui. Adhérer aux aspects suivants du modèle élémentaire donne un maximum de flexibilité et d’utilité avec un minimum de risque involontaire :  Autoriser les activités IP essentielles. Les activités IP essentielles couvrent les activités réseau nécessaires pour utiliser IP et fonctionner dans un environnement IP. Ces activités couvrent des opérations comme bouclage et sont exprimées sous la forme de règles de haute priorité (portant de petits numéros) que vous pouvez consulter dans la sous-fenêtre Avancé des réglages du service de coupe-feu. Ces règles sont configurées pour vous.  Autoriser des activités spécifiques à un service. On entend par activités spécifiques à un service les paquets réseau destinés à des ports service spécifiques, comme le service web ou le service de courrier. En autorisant le trafic à accéder à des ports sur lesquels des services déterminés sont configurés, vous autorisez l’accès au travers du coupe-feu service par service. Ces services sont exprimés sous la forme de règles de priorité moyenne et correspondent aux cases à cocher de la sous-fenêtre Service des réglages de coupe-feu. Vous devez apporter ces modifications sur la base de vos propres réglages et groupes d’adresses.  Refuser les paquets qui ne sont pas déjà autorisés. Il s’agit de l’attrape-tout final. Si un paquet ou du trafic destiné à un port n’est pas sollicité, le paquet ou trafic est éliminé et n’est pas autorisé à atteindre sa destination. Cela est exprimé sous la forme de règles de basse priorité (portant un grand numéro) que vous pouvez consulter dans la sous-fenêtre Avancé des réglages du service de coupefeu. Un jeu de règles de refus de base destinées au coupe-feu est créé par défaut. Chapitre 4 Utilisation du service de coupe-feu 87 Démarrage du coupe-feu Bien que le coupe-feu soit traité comme un service par Admin Serveur, il n’est pas implémenté sous la forme d’un processus exécuté comme les autres services. Il s’agit simplement d’un jeu de comportements au sein du noyau, contrôlé par les outils ipfw et sysctl. Pour démarrer et arrêter le coupe-feu, Admin Serveur définit un interrupteur à l’aide de l’outil sysctl. Lors du démarrage de l’ordinateur, un élément de démarrage nommé IPFilter recherche le drapeau IPFILTER dans le fichier /etc/hostconfig. Si le drapeau est définit, l’outil sysctl est utilisé pour activer le coupe-feu comme suit : $ sysctl -w net.inet.ip.fw.enable=1 À défaut, il désactive le coupe-feu comme suit : $ sysctl -w net.inet.ip.fw.enable=0 Les règles chargées dans le coupe-feu sont conservées, quel que soit ce réglage. Elles sont ignorées lorsque le coupe-feu est désactivé. Comme la plupart des éléments de démarrage, l’élément de démarrage IPFilter s’ouvre dans un ordre prédéterminé et uniquement après que certains éléments de démarrage prérequis aient démarré. Dans Mac OS X Server, la fenêtre d’ouverture de session est présentée alors que des éléments de démarrage peuvent toujours être en cours de démarrage. C’est pourquoi il est possible d’ouvrir une session avant que le coupe-feu n’ait activé ses réglages configurés. L’élément de démarrage qui configure le coupe-feu devrait, en principe, avoir terminé quelques minutes après le démarrage du système. À propos des règles de coupe-feu Lorsque vous démarrez le service de coupe-feu, la configuration par défaut refuse l’accès aux paquets entrants provenant d’ordinateurs distants, à l’exception de ceux qui entrent par les ports destinés à la configuration à distance. Cela donne un niveau de sécurité élevé. Des règles à état sont également en place afin que les réponses aux requêtes sortantes émises par votre ordinateur soit également autorisées. Vous pouvez ensuite ajouter des règles IP pour autoriser l’accès au serveur aux clients qui demandent l’accès à des services. Pour apprendre comment les règles IP fonctionnent, lisez la section suivante. Pour apprendre comment créer des règles IP, consultez « Gestion du service de coupe-feu » à la page 99. 88 Chapitre 4 Utilisation du service de coupe-feu Une règle de coupe-feu, qu’est-ce que c’est ? Une règle de coupe-feu, c’est un ensemble de caractéristiques de paquet IP couplé à une action à exécuter pour chaque paquet qui répond aux caractéristiques. Parmi ces caractéristiques, il peut y avoir le protocole, l’adresse source ou de destination, le port source ou de destination ou l’interface réseau. Les adresses peuvent être exprimées sous la forme d’une adresse IP unique ou d’une plage d’adresses. Un port de service peut être exprimé sous la forme d’une valeur unique, d’une liste de valeurs ou d’une plage de valeurs. L’adresse IP et le masque de sous-réseau ensemble déterminent la plage d’adresses IP à laquelle la règle s’applique et peuvent être définis de manière à s’appliquer à toutes les adresses. Adresse IP Les adresses IP sont composées de quatre segments de valeurs comprises entre 0 et 255 (la plage d’un nombre de 8 bits) séparés par des points (par exemple, 192.168.12.12). Les segments d’une adresses IP vont du plus général ou plus particulier. Par exemple, le premier segment peut être commun à tous les ordinateurs d’une entreprise alors que le dernier segment peut n’appartenir qu’à un seul ordinateur se trouvant à un certain étage d’un certain bâtiment. Masque de sous-réseau Le masque de sous-réseau indique les segments de l’adresse IP spécifié qui peuvent varier sur un réseau et dans quelle mesure. Le masque de sous-réseau est exprimé dans la notation Classless InterDomain Routing (CIDR). Il est composé de l’adresse IP suivie par un barre oblique (/) et d’un nombre compris entre 1 et 32 appelé le préfixe IP. Le préfixe IP identifie le nombre de bits significatifs utilisé pour identifier un réseau. Par exemple, 192.168.2.1/16 signifie que les 16 premiers bits (les deux premiers groupes de chiffres séparés par un point) sont utilisés pour représenter le réseau (de sorte que toutes les machines du réseau commencent par 192.168) et que les 16 bits restants (les deux derniers nombres séparés par des points) sont utilisés pour identifier les hôtes. Chaque machine possède un groupe de nombres final unique. Les masques de sous-réseau peuvent être exprimés dans une autre notation, en l’occurrence, l’adresse IP suivie par un deux-points (:) et par le masque de réseau. Le masque de réseau est un groupe de 4 nombres compris entre 0 et 255 et séparés par des points équivalents à la barre oblique dans la notation CIDR. Chapitre 4 Utilisation du service de coupe-feu 89 Les adresses avec des masques de sous-réseau dans la notation CIDR correspondent à des masque de sous-réseau de notation d’adresse. 90 CIDR Correspond au masque de réseau Nombre d’adresses dans la plage /1 128.0.0.0 4.29x109 /2 192.0.0.0 2.14x109 /3 224.0.0.0 1.07x109 /4 240.0.0.0 5.36x108 /5 248.0.0.0 1.34x108 /6 252.0.0.0 6.71x107 /7 254.0.0.0 3.35x107 /8 255.0.0.0 1.67x107 /9 255.128.0.0 8.38x106 /10 255.192.0.0 4.19x106 /11 255.224.0.0 2.09x106 /12 255.240.0.0 1.04x106 /13 255.248.0.0 5.24x105 /14 255.252.0.0 2.62x105 /15 255.254.0.0 1.31x105 /16 255.255.0.0 65536 /17 255.255.128.0 32768 /18 255.255.192.0 16384 /19 255.255.224.0 8192 /20 255.255.240.0 4096 /21 255.255.248.0 2048 /22 255.255.252.0 1024 /23 255.255.254.0 512 /24 255.255.255.0 256 /25 255.255.255.128 128 /26 255.255.255.192 64 /27 255.255.255.224 32 /28 255.255.255.240 16 /29 255.255.255.248 8 /30 255.255.255.252 4 /31 255.255.255.254 2 /32 255.255.255.255 1 Chapitre 4 Utilisation du service de coupe-feu Utilisation de plages d’adresses Lorsque vous créez un groupe d’adresses à l’aide d’Admin Serveur, vous saisissez une adresse IP et un masque de sous-réseau. Les trois types de notations d’adresses autorisés sont :  Un adresse unique : 192.168.2.1  Une plage exprimée dans la notation CIDR : 192.168.2.1/24  Une plage exprimée dans la notation de masque de réseau : 192.168.2.1:255.255.255.0 Admin Serveur affiche la plage d’adresses qui en résulte. Vous pouvez modifier la plage en modifiant le masque de sous-réseau. Lorsque vous indiquez une plage de valeurs potentielles pour un segment d’une adresse, ce segment est appelé un caractère de remplacement. Le tableau qui suit contient des exemples de plages d’adresses créées à des fins spécifiques. Objectif Exemple Adresse IP Saisissez ceci dans le champ pour l’adresse Plage d’adresses affectée Créer une règle qui spécifie une adresse IP unique. 10.221.41.33 10.221.41.33 ou 10.221.41.33/32 10.221.41.33 (adresse unique) Créer une règle qui laisse le quatrième segment comme caractère de remplacement. 10.221.41.33 10.221.41.33/24 10.221.41.0 à 10.221.41.255 Créer une règle qui laisse une par- 10.221.41.33 tie du troisième segment et tout le quatrième segment comme caractère de remplacement. 10.221.41.33/22 10.221.40.0 à 10.221.43.255 Créer une règle qui s’applique à toutes les adresses entrantes. Sélectionnez « Quelconque » Toutes les adresses IP Mécanisme et ordre des règles Les règles de la sous-fenêtre Service de Réglages de coupe-feu fonctionnent avec les règles illustrées dans la sous-fenêtre Avancé. Généralement, les règles générales de la sous-fenêtre Avancé bloquent l’accès à tous les ports. Il s’agit de règles de basse priorité (portant des numéros élevés) qui sont appliquées après les règles de la sous-fenêtre Services. Les règles créées dans la sous-fenêtre Services donnent accès à des services spécifiques et sont de plus haute priorité. Elles l’emportent sur celles créées dans la sous-fenêtre Avancé. Si vous créez plusieurs règles dans la sous-fenêtre Avancé, l’ordre des règles est déterminé par le numéro de règle. Ce numéro correspond à l’ordre de la règle dans la sousfenêtre Avancé. Chapitre 4 Utilisation du service de coupe-feu 91 Les règles peuvent être réorganisées en les faisant glisser dans la liste de la sous-fenêtre Avancé de Réglages de coupe-feu. Pour la plupart des utilisations normales, ouvrir l’accès à des services déterminés dans la sous-fenêtre Avancé suffit. Si nécessaire, vous pouvez ajouter des règles à l’aide de la sous-fenêtre Avancé. Adresses IP multiples Un serveur peut prendre en charge plusieurs adresses IP multiconnectées, mais le service de coupe-feu applique un ensemble de règles à toutes les adresses IP de serveur. Si vous créez plusieurs adresses IP alias, les règles que vous créez s’appliquent à toutes ces adresses IP. Modification de règles de coupe-feu IPv6 Lorsque vous configurez et utilisez le service de coupe-feu dans Server Admin, par défaut, ipfw et ip6fw sont démarrés. Tout le trafic IPv6 à l’exception du trafic local est toutefois bloqué. Vous pouvez ignorer les règles IPv6 en utilisant l’outil ip6fw, mais vos règles seront écrasées après le redémarrage du service de coupe-feu ou du serveur. Vous pouvez contrôler la manière dont le coupe-feu dans Server Admin gère le coupefeu IPv6 avec les deux clés suivantes dans le fichier /etc/ipfilter/ip_address_groups.plist : <key>IPv6Mode</key> <string>DenyAllExceptLocal</string> <key>IPv6Control</key> <true/> La clé IPv6Mode vous permet de contrôler quelles règles IPv6 doivent être appliquées. Il existe trois réglages possibles pour la chaîne IPv6Mode :  DenyAllExceptLocal  DenyAll  NoRules Par défaut, la chaîne de la clé IPv6Mode est réglée sur DenyAllExceptLocal. Ce réglage s’applique aux règles suivantes, ce qui refuse tout trafic IPv6 mais autorise le trafic sur le réseau local : add 1 allow udp from any to any 626 add 1000 allow all from any to any via lo0 add 1100 allow all from any to ff02::/16 65000 deny ipv6 from any to any Si vous réglez la chaîne IPv6Mode sur DenyAll, seule la règle suivante est appliquée, ce qui bloque tout le trafic IPv6. 65000 deny ipv6 from any to any 92 Chapitre 4 Utilisation du service de coupe-feu Si vous réglez la chaîne IPv6Mode sur NoRules, aucune règle n’est créée pour IPv6. Si votre réseau est entièrement en IPv6, il se peut que vous vouliez utiliser cette règle et utiliser l’outil ip6fw pour créer des règles de redéfinition pour IPv6 et créer un script qui applique à nouveau les règles au redémarrage du service de coupe-feu ou du serveur. La clé IPv6Control vous permet de définir une valeur booléenne qui détermine si ip6fw démarre ou s’arrête lorsque ipfw démarre ou s’arrête. Si cette valeur est réglée sur vrai, ip6fw démarre et s’arrête quand ipfw démarre ou s’arrête. Si cette valeur est réglée sur faux, seul ipfw démarre ou s’arrête. Par défaut, la valeur est réglée sur vrai. Présentation générale de la configuration Une fois que vous avez décidé des types de règles à configurer, suivez les étapes ci-dessous pour configurer le service de coupe-feu. Si vous avez besoin d’aide pour effectuer ces étapes, consultez « Configuration du service de coupe-feu » à la page 95 et d’autres rubriques citées dans les étapes. Étape 1 : Apprenez et planifiez Si vous êtes un nouveau venu dans l’utilisation du service de coupe-feu, apprenez et comprenez les concepts liés au coupe-feu, les outils et les fonctionnalités de Mac OS X Server et de BIND. Pour en savoir plus, consultez la rubrique « À propos des règles de coupe-feu » à la page 88. Déterminez ensuite à quels services vous voulez donner accès. Pour les services de courrier, web et FTP il faut généralement donner un accès aux ordinateurs qui se trouvent sur Internet. Les services de fichiers et d’impression peuvent plus probablement être restreints à votre sous-réseau local. Une fois que vous avez décidé des services à protéger à l’aide du service de coupe-feu, déterminez les adresses IP auxquelles vous voulez donner accès à votre serveur et les adresses IP auxquelles vous voulez refuser l’accès à votre serveur. Configurez ensuite les règles nécessaires. Étape 2 : Activez le service de coupe-feu Dans Admin Serveur, sélectionnez Coupe-feu puis cliquez sur Démarrer le coupe-feu. Par défaut, cela bloque tous les ports entrants à l’exception de ceux utilisés pour configurer le serveur à distance. Si vous configurez le serveur localement, désactivez immédiatement l’accès depuis l’extérieur. Important : si vous ajoutez ou modifiez une règle après avoir démarré le service de coupe-feu, la nouvelle règle a un effet sur les connexions déjà établies avec le serveur. Par exemple, si vous refusez l’accès à votre serveur FTP après avoir démarré le service de coupe-feu, les ordinateurs connectés à votre serveur FTP seront déconnectés. Chapitre 4 Utilisation du service de coupe-feu 93 Étape 3 : Configurez les réglages relatifs aux groupes d’adresses du coupe-feu Créez le groupe d’adresses IP auquel les règles de coupe-feu s’appliqueront. Par défaut, un groupe d’adresses IP est créé pour toutes les adresses IP entrantes. Les règles appliquées à ce groupe affectent l’ensemble du trafic réseau entrant. Consultez la rubrique « Configuration de réglages de groupes d’adresses » à la page 95. Étape 4 : Configurez les réglages relatifs au service de coupe-feu Activez des règles de service pour chaque groupe d’adresses. Dans la sous-fenêtre Services, vous pouvez activer des règles sur la base de groupes d’adresses comme numéros IP de destination. Consultez la rubrique « Configuration de réglages de services » à la page 96. Étape 5 : Configurez les réglages relatifs à la journalisation du coupe-feu Utilisez les réglages de journalisation pour activer la journalisation des événements du service de coupe-feu. Vous pouvez également définir les types et le nombre de paquets à journaliser. Consultez la rubrique « Configuration des réglages de journalisation » à la page 97. Étape 6 : Configurez les réglages avancés du coupe-feu Configurez les règles de coupe-feu avancées qui sont utilisées pour configurer plus avant tous les autres services, renforcer la sécurité de votre réseau et affiner le trafic réseau au travers du coupe-feu. Consultez la rubrique « Configuration de règles de coupe-feu avancées » à la page 102. Par défaut, tout le trafic UDP est bloqué, à l’exception du trafic en réponse à une requête sortante. Appliquez des règles aux ports UDP avec parcimonie, si vous en appliquez, car refuser certaines réponses UDP pourrait empêcher le fonctionnement normal du réseau. Si vous configurez des règles pour les ports UDP, ne cochez pas la case « Journaliser tous les paquets acceptés » dans la sous-fenêtre Réglages de journalisation du coupefeu, dans Admin Serveur. Comme UDP est un protocole sans connexion, tout paquet adressé à un port UDP est journalisé si vous cochez cette case. Pour apprendre comment les règles IP fonctionnent, lisez « À propos des règles de coupefeu » à la page 88. Étape 7 : Activez le service de coupe-feu Le service de coupe-feu s’active dans Admin Serveur. Consultez la rubrique « Démarrage du service de coupe-feu » à la page 98. Important : si vous ajoutez ou modifiez une règle après avoir démarré le service de coupe-feu, la nouvelle règle affecte les connexions déjà établies avec le serveur. Par exemple, si vous refusez tout accès à votre serveur FTP après avoir démarré le service de coupe-feu, les ordinateurs connectés à votre serveur FTP seront déconnectés. 94 Chapitre 4 Utilisation du service de coupe-feu Activation du service de coupe-feu Avant de pouvoir configurer les réglages de coupe-feu, vous devez activer le service de coupe-feu dans Admin Serveur. Pour activer le service de coupe-feu : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur Réglages. 3 Cliquez sur Services. 4 Cochez la case Coupe-feu. 5 Cliquez sur Enregistrer. Configuration du service de coupe-feu L’on configure le service de coupe-feu en configurant les réglages suivants dans la sousfenêtre Réglages du service de coupe-feu dans Server Admin.  Groupes d’adresses : permet de configurer les groupes d’adresses IP auxquelles les règles de coupe-feu s’appliquent.  Services : permet de spécifier quels services sont autorisés à envoyer et recevoir des informations au travers du coupe-feu.  Journalisation : permet d’activer la journalisation des événements du service de coupe-feu et de définir le type et le nombre de paquets à journaliser.  Avancée : (facultatif ) permet de configurer des règles avancées et de définir l’ordre des règles. Les sections qui suivent décrivent les tâches requises pour la configuration de ces réglages. La section finale montre comment démarrer le service de coupe-feu une fois que vous l’avez configuré. Configuration de réglages de groupes d’adresses Vous pouvez définir des groupes d’adresses IP pour vos règles de coupe-feu. Vous pouvez ensuite utiliser ces groupes pour organiser et cibler les règles. Le groupe d’adresses Quelconque couvre toutes les adresses. Deux autres groupes d’adresses IP sont présents par défaut. Ils sont destinés à l’ensemble de la plage de réseau 10 d’adresses privées et à l’ensemble de la plage réseau 192.168 d’adresses privées. Les adresses peuvent être affichées sous la forme d’adresses individuelles (192.168.2.2), d’adresses IP et masque de sous-réseau en notation CIDR (192.168.2.0/24) ou d’adresses IP et masque de sous-réseau en notation de masque de réseau (192.168.2.0:255.255.255.0). Chapitre 4 Utilisation du service de coupe-feu 95 Pour configurer des réglages de groupe d’adresses 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle situé à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez Coupe-feu. 4 Cliquez sur Réglages, puis sur Groupes d’adresses. 5 Sous la sous-fenêtre Groupe d’adresses, cliquez sur le bouton Ajouter (+). 6 Dans le champ Nom du groupe, saisissez le nom du groupe. 7 Saisissez les adresses et le masque de sous-réseau auxquels vous voulez appliquer les règles. Utilisez les boutons Ajouter (+) et Supprimer (–). Pour indiquer une adresse IP, utilisez la valeur « Quelconque ». 8 Cliquez sur OK. 9 Cliquez sur Enregistrer. Configuration de réglages de services Par défaut, le service de coupe-feu autorise toutes les connexions UDP et bloque les connexions TCP entrantes sur les ports qui ne sont pas essentiels pour l’administration à distance du serveur. De plus, par défaut, des règles à état qui autorisent des réponses spécifiques à des requêtes sortantes sont en place. Avant d’activer le service de coupe-feu, assurez-vous que vous avez défini des règles autorisant l’accès à partir d’adresses IP de votre choix. À défaut, personne ne pourra accéder à votre serveur. Vous pouvez autoriser facilement les services standard à passer au travers du coupe-feu sans configuration avancée ni complète. Parmi les services Standard, il existe les services suivants :  Accès SSH  Service web  Service de fichiers Apple  Service de fichiers Windows  Service FTP  Partage d’imprimantes  DNS/Multicast DNS  ICMP Echo Reply (pings entrants)  IGMP  VPN PPTP  VPN L2TP 96 Chapitre 4 Utilisation du service de coupe-feu  Diffusion en continu de données QTSS  Partage de musique iTunes Important : si vous ajoutez ou modifiez une règle après avoir démarré le service de coupe-feu, la nouvelle règle a un effet sur les connexions déjà établies avec le serveur. Par exemple, si vous refusez tout accès à votre serveur FTP après avoir démarré le service de coupe-feu, les ordinateurs connectés à votre serveur FTP seront déconnectés. Pour configurer les services coupe-feu standard : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle situé à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez Coupe-feu. 4 Cliquez sur Réglages, puis sur Services. 5 Dans le menu local Modifier les services pour, sélectionnez un groupe d’adresses. 6 Pour le groupe d’adresses, choisissez d’autoriser tout le trafic provenant de n’importe quel port ou de n’autoriser que le trafic sur les ports spécifiés. 7 Pour chaque service que le groupe d’adresses doit utiliser, sélectionnez Autoriser. Si vous ne voyez pas le service dont vous avez besoin, ajoutez un port et une description à la liste des services. Pour créer une règle personnalisée, consultez « Configuration des réglages avancés » à la page 98. 8 Cliquez sur Enregistrer. Configuration des réglages de journalisation Vous pouvez sélectionner les types de paquets à journaliser. Vous pouvez ne journaliser que les paquets auxquels l’accès est refusé, que les paquets auxquels l’accès est autorisé ou les deux. Chaque option de journalisation peut générer de nombreuses entrées d’historique mais il est possible de limiter le volume. Vous pouvez :  Ne journaliser que les paquets autorisés ou les paquets refusés, plutôt que tous les paquets.  Ne journaliser les paquets que le temps qu’il faut.  Utiliser la sous-fenêtre Réglages de journalisation pour limiter le nombre total de paquets.  Ajouter une règle de comptage dans la sous-fenêtre Réglages avancés pour enregistrer le nombre de paquets qui répondent aux caractéristiques que vous voulez mesurer. Chapitre 4 Utilisation du service de coupe-feu 97 Pour configurer des historiques du coupe-feu : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle situé à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez Coupe-feu. 4 Cliquez sur Réglages, puis sur Journalisation. 5 Cochez la case Activer la journalisation et choisissez de journaliser les paquets autorisés, les paquets refusés ou un nombre déterminé de paquets. 6 Cliquez sur Enregistrer. Configuration des réglages avancés Utilisez la sous-fenêtre Réglages avancés d’Admin Serveur pour configurer des règles spécifiques au service de coupe-feu. Il s’agit d’une étape de configuration facultative pour le service de coupe-feu. Pour en savoir plus, consultez la rubrique « Configuration de règles de coupe-feu avancées » à la page 102. Démarrage du service de coupe-feu Par défaut, le service de coupe-feu bloque les connexions TCP entrantes et refuse les paquets UDP, à l’exception de ceux reçus en réponse à des requêtes sortantes du serveur. Avant d’activer le service de coupe-feu, assurez-vous que vous avez défini des règles autorisant l’accès à partir d’adresses IP de votre choix. À défaut, personne ne pourra accéder à votre serveur. Si vous ajoutez ou modifiez une règle après avoir démarré le service de coupe-feu, la nouvelle règle a un effet sur les connexions déjà établies avec le serveur. Par exemple, si vous refusez tout accès à votre serveur FTP après avoir démarré le service de coupe-feu, les ordinateurs connectés à votre serveur FTP seront déconnectés. Pour démarrer le service de coupe-feu : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle situé à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez Coupe-feu. 4 Cliquez sur le bouton Démarrer le coupe-feu sous la liste Serveurs. 98 Chapitre 4 Utilisation du service de coupe-feu Gestion du service de coupe-feu Une fois que vous avez configuré le service de coupe-feu, vous pouvez utiliser Admin Serveur pour la gestion quotidienne. Arrêt du service de coupe-feu L’on utilise Admin Serveur pour arrêter le service de coupe-feu. Pour arrêter le service de coupe-feu : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle situé à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez Coupe-feu. 4 Cliquez sur Arrêter le coupe-feu. Création d’un groupe d’adresses Utilisez Admin Serveur pour créer des groupes d’adresses pour le service de coupe-feu. Pour créer un groupe d’adresses : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle situé à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez Coupe-feu. 4 Cliquez sur Réglages, puis sur Groupes d’adresses. 5 Sous la liste Groupes d’adresses IP, cliquez sur le bouton Ajouter (+). 6 Dans le champ Nom du groupe, saisissez le nom du groupe. 7 Saisissez les adresses et le masque de sous-réseau auxquels vous voulez appliquer les règles. Utilisez les boutons Ajouter (+) et Supprimer (–). Pour indiquer une adresse IP, utilisez la valeur « Quelconque ». 8 Cliquez sur OK. 9 Cliquez sur Enregistrer. Chapitre 4 Utilisation du service de coupe-feu 99 Modification ou suppression d’un groupe d’adresses Vous pouvez modifier des groupes d’adresses pour modifier la plage d’adresses IP affectées. Le groupe d’adresses par défaut couvre toutes les adresses. Vous pouvez supprimer des groupes d’adresses de la liste des règles du coupe-feu. Les règles associées à ces adresses sont également supprimées. Les adresses peuvent être affichées sous la forme d’adresses individuelles (192.168.2.2), d’adresses IP et masque de réseau en notation CIDR (192.168.2.0/24) ou d’adresses IP et masque de réseau en notation de masque de réseau (192.168.2.0:255.255.255.0). Pour modifier ou supprimer un groupe d’adresses : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle situé à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez Coupe-feu. 4 Cliquez sur Réglages, puis sur Groupes d’adresses. 5 Dans la liste Groupes d’adresses IP, sélectionnez le nom du groupe. 6 Faites votre choix parmi les suivants : Pour modifier un groupe d’adresses IP, cliquez sur le bouton Modifier (/) sous la liste. Pour supprimer un groupe d’adresses IP, cliquez sur le bouton Supprimer (–) sous la liste. 7 Modifiez le nom du groupe ou les adresses comme vous le souhaitez, puis cliquez sur OK. 8 Cliquez sur Enregistrer. Duplication d’un groupe d’adresses Vous pouvez dupliquer des groupes d’adresses de la liste des règles du coupe-feu. Cela peut accélérer la configuration de groupes d’adresses similaires. Pour dupliquer un groupe d’adresses : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle situé à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez Coupe-feu. 4 Cliquez sur Réglages, puis sur Groupes d’adresses. 5 Dans la liste Groupes d’adresses IP, sélectionnez le nom du groupe. 6 Sous la liste Groupes d’adresses IP, cliquez sur le bouton Dupliquer. 100 Chapitre 4 Utilisation du service de coupe-feu Ajout d’éléments à la liste des services Vous pouvez ajouter des ports personnalisés à la liste Services. Cela vous permet d’ouvrir des ports spécifiques à vos groupes d’adresses sans devoir créer de règle IP avancée. Pour ajouter des éléments à la liste Services : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle situé à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez Coupe-feu. 4 Cliquez sur Réglages, puis sur Services. 5 Sous la liste Services, cliquez sur le bouton Ajouter (+). 6 Saisissez le nom de la règle pour le service. 7 Saisissez un port unique (par exemple, 22) ou une plage de ports (par exemple, 650-750). 8 Sélectionnez un protocole. Si vous voulez utiliser un autre protocole que TCP ou UDP, utilisez les réglages Avancés pour créer une règle personnalisée. 9 Cliquez sur OK. 10 Cliquez sur Enregistrer. Modification ou suppression d’éléments dans la liste Services Vous pouvez modifier ou supprimer des ports dans la liste Services. Cela vous permet de personnaliser les choix en matières de services pour une configuration plus aisée. Pour modifier la liste des services : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle situé à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez Coupe-feu. 4 Cliquez sur Réglages, puis sur Services. 5 Sélectionnez le service à modifier, puis procédez comme suit : Pour modifier la liste des services, cliquez sur le bouton Modifier (/) sous la liste des services. Pour modifier la liste des services, cliquez sur le bouton Supprimer (–) sous la liste des services. 6 Modifiez le nom, le port ou le protocole comme vous le souhaitez, puis cliquez sur OK. 7 Cliquez sur Enregistrer. Chapitre 4 Utilisation du service de coupe-feu 101 Configuration de règles de coupe-feu avancées Utilisez la sous-fenêtre Réglages avancés d’Admin Serveur pour configurer des règles spécifiques au service de coupe-feu. Les règles de coupe-feu contiennent des adresses IP source et de destination avec des masques de sous-réseau. Elles spécifient également ce qu’il faut faire avec le trafic réseau entrant. Vous pouvez appliquer une règle à toutes les adresses IP, à une adresse IP spécifique ou à une plage d’adresses IP. Les adresses peuvent être affichées sous la forme d’adresses individuelles (192.168.2.2), d’adresses IP et masque de sous-réseau en notation CIDR (192.168.2.0/24) ou d’adresses IP et masque de sous-réseau en notation de masque de réseau (192.168.2.0:255.255.255.0). Pour configurer une règle de coupe-feu avancée : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle situé à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez Coupe-feu. 4 Cliquez sur Réglages, puis sur Avancé. 5 Cliquez sur le bouton Ajouter (+). Vous pouvez également sélectionner une règle similaire à celle que vous voulez créer, cliquez sur Dupliquer, puis sur Modifier. 6 Dans le menu local Action, indiquez si cette règle autorise ou refuse l’accès. Si vous choisissez Autre, saisissez l’action souhaitée (par exemple, Historique). 7 Dans le menu local Protocole, choisissez un protocole. Si vous choisissez Autre, saisissez le protocole souhaité (par exemple, icmp, esp, ipencap). 8 Dans le menu local Service, choisissez un service. Pour sélectionner un port de service non standard, sélectionnez Autre. 9 Si vous le souhaitez, choisissez de journaliser tous les paquets qui répondent à la règle. 10 Comme source du trafic filtré, sélectionnez un groupe d’adresses dans le menu local Adresse. Si vous ne voulez pas utiliser un groupe d’adresses, saisissez la plage d’adresses IP source (en notation CIDR) que vous voulez filtrer. Si vous voulez appliquer la règle à toutes les adresses, sélectionnez « Quelconque » dans le menu local. 11 Si vous avez sélectionné un port de service non standard, saisissez le numéro du port source. 12 Comme destination du trafic filtré, sélectionnez un groupe d’adresses dans le menu local Source. 102 Chapitre 4 Utilisation du service de coupe-feu Si vous ne voulez pas utiliser un groupe d’adresses, saisissez la plage d’adresses IP de destination (en notation CIDR). Si vous voulez appliquer la règle à toutes les adresses, sélectionnez « Quelconque » dans le menu local. 13 Si vous avez sélectionné un port de service non standard, saisissez le numéro du port de destination. 14 Dans le menu local de l’interface à laquelle cette règle s’appliquera, sélectionnez Entrée ou Sortie. « Entrée » fait référence aux paquets envoyés au serveur. « Sortie » fait référence aux paquets envoyés par le serveur. 15 Si vous sélectionnez Autre, saisissez le nom de l’interface (en0, en1, fw1, etc.). 16 Cliquez sur OK. 17 Cliquez sur Enregistrer pour appliquer la règle immédiatement. Modification ou suppression de règles de coupe-feu avancées Vous pouvez modifier ou supprimer des règles de coupe-feu avancées. Si vous pensez que vous allez encore utiliser une règle et souhaitez simplement la désactiver, vous pouvez désélectionner la règle plutôt que la supprimer. Si vous modifiez une règle après avoir activé le service de coupe-feu, vos modifications ont un effet sur les connexions déjà établies avec le serveur. Par exemple, si des ordinateurs sont connectés à votre serveur web et que vous modifiez la règle de manière à refuser tout accès au serveur, les ordinateurs connectés sont déconnectés. Pour modifier une règle de coupe-feu avancée : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle situé à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez Coupe-feu. 4 Cliquez sur Réglages, puis sur Avancé. 5 Sélectionnez la règle à modifier, puis procédez comme suit : Pour modifier la liste des services, cliquez sur le bouton Modifier (/) sous la liste des services. Pour supprimer une règle, cliquez sur le bouton Supprimer (–) sous la liste des services. 6 Modifiez la règle comme vous le souhaitez, puis cliquez sur OK. 7 Cliquez sur Enregistrer. Chapitre 4 Utilisation du service de coupe-feu 103 Modification de l’ordre de règles de coupe-feu avancées Le niveau de priorité d’une règle de coupe-feu avancée est déterminé par son ordre dans la liste Règles avancées. L’ordre des règles par défaut qui sont verrouillées ne peut pas être modifié dans la liste. Pour modifier l’ordre des règles : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle situé à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez Coupe-feu. 4 Cliquez sur Réglages, puis sur Avancé. 5 Faites glisser les règles pour les réorganiser dans l’ordre souhaité. 6 Cliquez sur Enregistrer. Dépannage de règles de coupe-feu avancées Les réglages de configuration de coupe-feu avancés acceptent toute entrée, en partant du principe que vous configurez la règle correctement. Les éventuelles erreurs ne sont détectées qu’une fois que les règles sont enregistrées et qu’Admin Serveur applique toutes les règles à l’aide de la commande ipfw. Ensuite, la première règle comportant une erreur de syntaxe provoque l’arrêt de l’opération et l’ajout d’un message d’erreur à l’historique. Ce message d’erreur n’indique pas quelle règle n’est pas valide, mais toutes les règles valides avant la règle non valide sont chargées dans le coupe-feu. La section qui suit décrit comment vous pouvez déterminer quelle règle n’est pas valide. Pour déterminer quelle règle n’est pas valide : 1 Lisez le message d’erreur dans l’historique. 2 Attendez quelques minutes qu’Admin Serveur affiche les règles actives dans la sousfenêtre Vue d’ensemble du coupe-feu. 3 Comparez la liste de règles actives de la sous-fenêtre Vue d’ensemble du coupe-feu avec la liste de règles de la section Réglages. 4 Examinez le contenu du fichier /etc/ipfilter/ipfw.conf.apple pour voir quelles règles Admin Serveur a essayé de charger dans le coupe-feu. La première règle du fichier qui ne figure pas dans la sous-fenêtre Vue d’ensemble du coupe-feu est probablement celle qui n’est pas valide. Il peut toutefois y avoir d’autres règles non valides après celle-là. 5 Si la règle correspond à une règle de la sous-fenêtre Réglages avancés, désactivez-la ou corrigez-la. 104 Chapitre 4 Utilisation du service de coupe-feu Les règles désactivées apparaissent dans le fichier /etc/ipfilter/ipfw.conf.apple précédées par un caractère de commentaire afin qu’elles ne soient pas traitées par l’outil ipfw. Activation du mode furtif Vous pouvez cacher l’existence de votre coupe-feu en n’envoyant pas de notification d’échec de connexion lorsqu’une connexion est bloquée par le coupe-feu. On appelle cela le mode furtif. Ce dernier permet de cacher efficacement les ports fermés de votre serveur. Par exemple, si un intrus tente de se connecter à votre serveur, même si le port est bloqué, l’intrus sait qu’il y a un serveur et pourra essayer d’autres méthodes d’intrusion. Si le mode furtif est activé, plutôt que d’être rejeté, le pirate ne recevra pas de notification qu’une tentative de connexion a eu lieu. Pour activer le mode furtif : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle situé à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez Coupe-feu. 4 Cliquez sur Réglages, puis sur Avancé. 5 Sélectionnez Activer pour TCP, Activer pour UDP ou les deux, selon vos besoins. 6 Cliquez sur Enregistrer. Coupe-feu adaptatif Mac OS X 10.5 utilise un coupe-feu adaptatif qui génère une règle de coupe-feu de manière dynamique si un utilisateur échoue 10 fois de suite à ouvrir une session. La règle ainsi générée bloque l’ordinateur de l’utilisateur pendant 15 minutes, ce qui empêche l’utilisateur de tenter d’ouvrir une session. Le coupe-feu adaptatif vous aide à empêcher que votre ordinateur ne soit attaqué par des utilisateurs non autorisés. Le coupe-feu adaptatif ne nécessite aucune configuration et est actif dès que vous activez votre coupe-feu. Réinitialisation du coupe-feu aux réglages par défaut Il se peut qu’un serveur devienne injoignable pour l’administration à distance à cause d’une erreur de configuration du coupe-feu. Dans ce cas, vous devez remettre le coupefeu dans son état par défaut afin qu’Admin Serveur puisse y accéder. Cette procédure de récupération nécessite l’utilisation de l’interface de ligne de commande et doit être effectuée par un administrateur ayant un accès physique au serveur. Pour restaurer les réglages par défaut du coupe-feu : 1 Déconnectez le serveur de l’Internet externe. Chapitre 4 Utilisation du service de coupe-feu 105 2 Redémarrez le serveur en mode utilisateur unique en maintenant les touches Commande + S enfoncées lors du démarrage. 3 Supprimez ou renommez le fichier de groupes d’adresses /etc/ipfilter/ip_address_groups.conf. 4 Supprimez ou renommez le fichier de configuration ipfw /etc/ipfilter/ipfw.conf. 5 Forcez la suppression définitive des règles de coupe-feu en saisissant ce qui suit dans le Terminal : $ ipfw -f flush 6 Modifiez le fichier /etc/hostconfig et réglez IPFILTER=-YES-. 7 Terminez la séquence de démarrage dans la fenêtre d’ouverture de session en saisissant exit: L’ordinateur démarre avec les règles de coupe-feu par défaut et le coupe-feu activé. Utilisez ensuite Admin Serveur pour affiner la configuration du coupe-feu. 8 Ouvrez une session à l’aide du compte d’administrateur local de votre serveur pour confirmer que la configuration par défaut du coupe-feu est restaurée. 9 Reconnectez votre hôte à Internet. Surveillance du service de coupe-feu Les coupe-feu sont la première ligne de défense d’un réseau contre les utilisateurs d’ordinateur malveillants (pirates). Pour maintenir la sécurité de vos ordinateurs et des informations de vos utilisateurs, vous devez surveiller l’activité du coupe-feu et identifier les menaces potentielles. La présente section explique comment journaliser et surveiller l’activité de votre coupe-feu. Vérification de l’état du service de coupe-feu Utilisez Admin Serveur pour vérifier l’état du service de coupe-feu. Pour vérifier l’état du service de coupe-feu : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle situé à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez Coupe-feu. 4 Cliquez sur Vue d’ensemble pour savoir si le service tourne, le nombre de règles statiques et dynamiques configurées, le nombre de paquets qui correspondent aux règles et le nombre d’octets dans les paquets correspondant aux règles traitées par le coupe-feu. 5 Cliquez sur Historique pour examiner l’historique du service de coupe-feu. 6 Pour afficher la liste des règles de coupe-feu actives, cliquez sur Règles actives. Cette liste contient le numéro de priorité de chaque règle, le nombre de paquets correspondants, le nombre d’octets dans les paquets correspondants et une description de la règle. 106 Chapitre 4 Utilisation du service de coupe-feu Affichage des règles de coupe-feu actives Utilisez Admin Serveur pour afficher un résumé des règles de coupe-feu actives. La sous-fenêtre Règles actives affiche le nombre de paquets et d’octets associés à chaque règle. Lorsqu’une modification est apportée à la configuration du coupe-feu à l’aide d’Admin Serveur, les anciennes règles de coupe-feu sont supprimées définitivement, de nouvelles règles sont générées et enregistrées dans un Fichier et la commande ipfw est invoquée pour charger les règles dans le service. Pendant l’opération de suppression, le nombre de paquets et le nombre d’octets associés à chaque règle sont effacés. La sous-fenêtre Règles actives fournit un instantané de l’état du coupe-feu. Dans cette sousfenêtre, il se peut que des règles dynamiques soient affichées avec des règles statiques. Les règles dynamiques apparaissent et disparaissent d’une seconde à l’autre en réponse à l’activité du réseau. Elles résultent de règles possédant une clause de conservation de l’état (règles à état). La sous-fenêtre Règles actives indique le numéro de règle de la règle à état qui a été déclenchée pour créer la règle dynamique. Pour afficher les règles de coupe-feu actives : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle situé à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez Coupe-feu. 4 Cliquez sur Règles actives. La liste des règles apparaît avec une description de chaque règle au format du code ipfw, la priorité, le nombre de paquets et le nombre total d’octets traités. Affichage de l’historique du service de coupe-feu Chaque règle que vous configurez dans Admin Serveur correspond à une ou plusieurs règles dans le logiciel de coupe-feu sous-jacent. Les entrées d’historique indiquent quand la règle a été appliquée, l’adresse IP du client et du serveur et d’autres informations. L’affichage de l’historique indique le contenu du fichier /var/log/ipfw.log. Vous pouvez affiner l’affichage à l’aide du champ de filtrage du texte. Pour afficher l’historique du service de coupe-feu : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle situé à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez Coupe-feu. Chapitre 4 Utilisation du service de coupe-feu 107 4 Cliquez sur Historique. Pour rechercher des entrées spécifiques, utilisez le champ Filtre au-dessus de l’historique. Voici quelques exemples d’entrées de l’historique du coupe-feu et comment il faut ,les comprendre. Exemple d’historique 1 Dec 12 13:08:16 ballch5 mach_kernel: ipfw: 65000 Unreach TCP 10.221.41.33:2190 192.168.12.12:80 in via en0 Cette entrée indique que le service de coupe-feu a utilisé la règle 65000 pour refuser (« unreach ») l’accès au serveur 192.168.12.12 au client distant à l’adresse 10.221.41.33:2190 sur le port web 80 par le port Ethernet 0. Exemple d’historique 2 Dec 12 13:20:15 mayalu6 mach_kernel: ipfw: 100 Accept TCP 10.221.41.33:721 192.168.12.12:515 in via en0 Cette entrée indique que le service de coupe-feu a utilisé la règle 100 pour autoriser l’accès au serveur 192.168.12.12 au client distant à l’adresse 10.221.41.33:721 sur le port d’impression LPR 515 par le port Ethernet 0. Exemple d’historique 3 Dec 12 13:33:15 smithy2 mach_kernel: ipfw: 10 Accept TCP 192.168.12.12:49152 192.168.12.12:660 out via lo0 Cette entrée indique que la règle de détournement Network Address Translation (NAT) a été appliquée à un paquet sortant. Dans ce cas, il détourne la règle vers le port de service 660, le port que le démon NAT utilise. Affichage des paquets refusés L’affichage des paquets refusés peut vous aider à identifier des problèmes et à dépanner le service de coupe-feu. Pour afficher les paquets refusés : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle situé à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez Coupe-feu. 4 Cliquez sur Réglages, puis sur Journalisation. 5 Assurez-vous que la case « Journaliser tous les paquets refusés » est cochée. 6 Pour afficher les entrées d’historique, cliquez sur Historique. 7 Dans le champ de filtrage du texte, saisissez le terme « unreach. » 108 Chapitre 4 Utilisation du service de coupe-feu Affichage des paquets journalisés par les règles de coupe-feu L’affichage des paquets filtrés par les règles de coupe-feu peut vous aider à identifier des problèmes et à dépanner le service de coupe-feu. Pour afficher les paquets filtrés : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle situé à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez Coupe-feu. 4 Cliquez sur Réglages, puis sur Journalisation. 5 Assurez-vous que la case « Journaliser tous les paquets acceptes » est cochée. Si vous n’avez pas activé la journalisation pour une règle déterminée, consultez « Modification ou suppression de règles de coupe-feu avancées » à la page 103. 6 Pour afficher les entrées d’historique, cliquez sur Historique. 7 Dans le champ de filtrage du texte, saisissez le terme « Accept ». Exemples de coupe-feu pratiques Les règles de coupe-feu que vous définissez fonctionnent ensemble pour sécuriser votre réseau. Les exemples qui suivent montrent comment utiliser des règles pour atteindre certains objectifs spécifiques. Utilisation du coupe-feu avec le service NAT Le service NAT doit être activé sur le coupe-feu. L’activation du service NAT crée une règle de détournement dans la configuration du coupe-feu. Bien qu’Admin Serveur autorise l’activation et la désactivation séparée du service NAT et du service de coupe-feu, le service NAT ne peut fonctionner que si le service NAT et le service de coupe-feu sont tous deux activés. Une composante essentielle du service NAT est la règle de détournement de paquets utilisée dans le coupe-feu. La règle de coupe-feu que vous définissez indique au coupe-feu comment router le trafic réseau venant du réseau qui se trouve derrière la passerelle NAT. Lorsque vous avez un réseau local derrière une passerelle NAT, vous devez créer ou connaître le groupe d’adresses qui correspond au réseau local. Pour des informations détaillées sur la configuration d’un réseau local NAT, consultez la section « Liaison d’un réseau local à Internet par une adresse IP » à la page 128. Chapitre 4 Utilisation du service de coupe-feu 109 Blocage de l’accès web à des utilisateurs Internet La présente section décrit comment vous pouvez autoriser des utilisateurs de votre sous-réseau à accéder au service web de votre serveur et refuser l’accès au public général d’Internet. Dans cet exemple, le réseau local a une plage d’adresses IP de 10.0.1.1 à 10.0.1.254, tandis que le service web du serveur se trouve à l’adresse 10.0.2.1 sur le port en2 du serveur. Pour bloquer l’accès au web avec une règle avancée : 1 Dans Admin Serveur, créez un groupe d’adresses nommé « Réseau local » avec la plage d’adresses10.0.1.1/24. Celle-ci couvre toutes les adresses de la plage de sous-réseau 10.0.1.x. Pour en savoir plus, consultez la rubrique « Création d’un groupe d’adresses » à la page 99. 2 Créez une règle avancée avec les réglages suivants :  Action : Autoriser  Protocole : TCP  Service : Web  Groupe d’adresses source : LAN  Adresse de destination : Autre 10.0.2.1  Interface : en2 Pour en savoir plus, consultez la rubrique « Configuration de règles de coupe-feu avancées » à la page 102. Pour bloquer l’accès au web à l’aide de règles standard : 1 Dans Admin Serveur, créez un groupe d’adresses nommé « Serveur web » avec la plage d’adresses 10.0.2.1. Pour en savoir plus, consultez la rubrique « Création d’un groupe d’adresses » à la page 99. 2 Cliquez sur Réglages, puis sur Services. 3 Dans le menu local Modifier les services pour, sélectionnez le groupe d’adresses « Serveur web ». 4 Cochez la case « Autoriser uniquement le trafic de « Serveur web » vers ces ports ». 5 Cochez la case HTTP - service Web. 6 Cliquez sur Enregistrer. 110 Chapitre 4 Utilisation du service de coupe-feu Journalisation de l’accès à Internet par les utilisateurs du réseau local La présente section décrit comment vous pouvez autoriser les utilisateurs de votre réseau local à accéder au service web d’un autre serveur et journaliser leurs tentatives d’accès au public général d’Internet. Dans cet exemple, le réseau local a une plage d’adresses IP privées de 10.0.1.1 à 10.0.1.254. Pour journaliser l’accès à Internet par les utilisateurs du réseau local : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle situé à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez Coupe-feu. 4 Cliquez sur Réglages, puis sur Services. 5 Dans le menu local Modifier les services pour, sélectionnez le groupe d’adresses « Quelconque ». 6 Autorisez le trafic pour le groupe « Serveur web » sur le port désigné pour les services web. 7 Cochez la case Autoriser le service web. 8 Cliquez sur Enregistrer. 9 Cliquez sur Consignation. 10 Cochez la case Activer la journalisation. 11 Cochez la case « Journaliser tous les paquets acceptés ». Les historiques sont visibles dans la sous-fenêtre Historique. Blocage du courrier indésirable La présente section décrit comment rejeter le courrier envoyé par un expéditeur de courrier indésirable possédant l’adresse IP 17.128.100.0 (par exemple) et accepter tous les autres messages électroniques. Important : pour bloquer le courrier électronique SMTP entrant, configurez des plages d’adresses spécifiques dans les règles que vous créez. Par exemple, si vous définissez une règle refusant le courrier provenant de toutes les adresses sur le port 25, vous empêchez la distribution du courrier à vos utilisateurs. Pour empêcher la distribution de courrier indésirable à vos utilisateurs : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle situé à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez Coupe-feu. 4 Cliquez sur Réglages, puis sur Services. Chapitre 4 Utilisation du service de coupe-feu 111 5 Dans le menu local « Modifier les services pour », sélectionnez le groupe d’adresses « Quelconque ». 6 Cochez la case « Autoriser uniquement le trafic de « Quelconque » vers ces ports ». 7 Cochez la case « SMTP de courrier standard » dans la liste des ports. 8 Sélectionnez Groupes d’adresses. 9 Pour créer une plage d’adresses, cliquez sur le bouton Ajouter (+) et saisissez le nom du groupe d’adresses dans le champ Nom du groupe. 10 Pour indiquer l’adresse de l’expéditeur de courrier indésirable, saisissez 17.128.100.0 dans la liste « Adresses dans le groupe » en cliquant sur le bouton Ajouter (+) en en saisissant l’adresse. 11 Cliquez sur OK. 12 Cliquez sur Services. 13 Dans le menu local « Modifier les services pour », sélectionnez le groupe d’adresses que vous venez de créer. 14 Cochez la case « Autoriser uniquement le trafic de « nom_du_nouveau_groupe_d’adresses » vers ces ports. 15 Pour désactiver le transfert de courrier, décochez la case « SMTP de courrier standard » dans la liste des ports. 16 Cliquez sur Enregistrer. Autorisation d’un client à accéder à un serveur de fichiers Apple La présente section décrit comment autoriser un client possédant l’adresse IP 10.221.41.33 (par exemple) à accéder à un serveur de fichiers Apple. Pour autoriser un client à accéder à un serveur de fichiers Apple : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle situé à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez Coupe-feu. 4 Cliquez sur Réglages, puis sur Services. 5 Dans le menu local « Modifier les services pour », sélectionnez « Quelconque ». 6 Dans la sous-fenêtre du service, décochez la case « Service de fichiers Apple ». 7 Sélectionnez Groupes d’adresses. 8 Pour créer une plage d’adresses, cliquez sur le bouton Ajouter (+). 9 Attribuez un nom au groupe d’adresses. 10 Pour indiquer l’adresse du client, saisissez 10.221.41.33 dans le champ pour la plage d’adresses. 112 Chapitre 4 Utilisation du service de coupe-feu 11 Cliquez sur OK. 12 Cliquez sur Services. 13 Sélectionnez le groupe d’adresses que vous venez de créer. 14 Pour activer l’accès aux fichiers, cochez la case « Service de fichiers Apple » dans la sous-fenêtre du service. 15 Cliquez sur Enregistrer. Tâches d’administration de réseau courantes qui utilisent le service de coupe-feu Votre coupe-feu constitue la première ligne de défense contre les personnes non autorisées sur le réseau, les utilisateurs malveillants et les attaques de virus réseau qui peuvent nuire à vos données et profiter de vos ressources réseau. La présente section décrit des utilisations courantes du service de coupe-feu dans l’administration d’un réseau. Lutte contre les attaques par déni de service Lorsque le serveur reçoit une demande de connexion TCP d’un client qui s’est vu refuser l’accès, par défaut, le serveur envoie une réponse refusant la connexion. Cela permet d’éviter que le client éconduit ne renvoie sans arrêt de nouvelles demandes. Un utilisateur malveillant peut toutefois générer une séries de demandes de connexion TCP à partir d’une adresse IP refusée et forcer le serveur à continuer à répondre, bloquant ainsi d’autres utilisateurs tentant de se connecter au serveur. C’est un des types d’attaques par déni de service existants. Important : les attaques par déni de service sont rares, ne procédez donc à ces réglages que si vous pensez que votre serveur pourrait être soumis à une telle attaque. Si vous refusez les réponses d’écho ICMP, les services qui utilisent le ping pour localiser les services réseau ne peuvent pas détecter votre serveur. Pour empêcher les attaques par déni de service par ping : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle situé à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez Coupe-feu. 4 Cliquez sur Réglages, puis sur Services. 5 Sélectionnez le groupe d’adresses « Quelconque ». 6 Décochez la case « Réponse d’écho ICMP (ping) ». 7 Cliquez sur Enregistrer. Chapitre 4 Utilisation du service de coupe-feu 113 Contrôle ou activation de l’utilisation du réseau poste à poste Il arrive que les administrateurs réseau doivent contrôler l’utilisation des applications de partage de fichiers poste à poste (P2P). Ces applications peuvent utiliser beaucoup de bande passante et des ressources réseau de manière inadéquate ou disproportionnée. Le partage de fichiers P2P peut également présenter un risque en matière de sécurité ou de propriété intellectuelle pour une entreprise. Vous pouvez empêcher la mise en réseau P2P en bloquant le trafic entrant et sortant sur le port utilisé par l’application P2P. Vous devez déterminer le port utilisé par chacun des réseaux P2P en question. Par défaut, le coupe-feu de Mac OS X Server bloque tous les ports qui ne sont pas expressément ouverts. Vous pouvez limiter l’utilisation du réseau P2P aux adresses IP qui se trouvent derrière le coupe-feu. Pour ce faire, ouvrez le port P2P sur votre interface LAN mais continuez à bloquer le port sur l’interface connectée à Internet (l’interface WAN). Pour apprendre à créer une règle de coupe-feu, consultez « Configuration de règles de coupe-feu avancées » à la page 102. Contrôle ou activation de l’utilisation de jeux en réseau Il arrive que les administrateurs réseau doivent contrôler l’utilisation de jeux en réseau. Les jeux peuvent utiliser beaucoup de bande passante réseau et de manière inadéquate ou disproportionnée. Vous pouvez empêcher les jeux en réseau en bloquant le trafic entrant et sortant sur le port utilisé par le jeu. Vous devez déterminer le port utilisé par chacun des jeux en réseau en question. Par défaut, le coupe-feu de Mac OS X Server bloque tous les ports qui ne sont pas expressément ouverts. Vous pouvez limiter l’utilisation des jeux en réseau aux adresses IP qui se trouvent derrière le coupe-feu. Pour ce faire, ouvrez le port correspondant sur votre interface LAN mais continuez à bloquer le port sur l’interface connectée à Internet (l’interface WAN). Certains jeux nécessitent une connexion à un service de jeu pour fonctionner. Cela ne fonctionnera pas. Pour apprendre à créer une règle de coupe-feu, consultez « Configuration de règles de coupe-feu avancées » à la page 102. Vous pouvez ouvrir le coupe-feu à certains jeux et autoriser certains jeux en réseau à se connecter à d’autres joueurs et services de jeu au-delà du coupe-feu. Pour ce faire, ouvrez le port correspondant sur vos interfaces LAN et WAN. Certains jeux nécessitent que plus d’un port soit ouvert. Pour obtenir plus de détails sur la mise en réseau, consultez la documentation du jeu. Pour apprendre à créer une règle de coupe-feu, consultez « Configuration de règles de coupe-feu avancées » à la page 102. 114 Chapitre 4 Utilisation du service de coupe-feu Prévention de la propagation de virus réseau Un virus peut se propager rapidement sur votre réseau et infecter vos ordinateurs. Par exemple, si un ordinateur de votre réseau est infecté par un virus, cet ordinateur pourrait propager le virus à l’ensemble de votre réseau. Une des portes d’entrée que les virus utilisent pour se propager sur un réseau, c’est le courrier électronique. Vous pouvez empêcher la propagation des virus par le courrier électronique en analysant le courrier électronique avec clamav et en mettant à jour vos définitions de virus. Vous pouvez empêcher d’autres voies de propagation en n’utilisant que les services dont vous avez besoin, en utilisant une bonne topologie de réseau et en utilisant de bons mots de passe. La méthode la plus importante consiste à garder les ordinateurs de votre réseau à jour. Votre ordinateur doit être configuré pour rechercher les mises à jour une ou deux fois par semaine. Pour en savoir plus sur la prévention des virus réseau, consultez Configuration de la sécurité de Mac OS X Server. Référence des ports TCP et UDP Les tableaux qui suivent montrent les numéros de port TCP et UDP les plus fréquemment utilisés par les ordinateurs sous Mac OS X et Mac OS X Server. Vous pouvez utiliser ces ports quand vous configurez des règles d’accès. Pour accéder aux documents RFC référencés dans ces tableaux, consultez www.faqs.org/rfcs. Port TCP Utilisé pour 7 echo RFC 792 20 Données FTP RFC 959 21 Contrôle FTP RFC 959 22 Shell sécurisé (SSH) Configuration des répliques Open Directory 23 Telnet RFC 854 25 SMTP (courrier électronique) RFC 821 53 DNS RFC 1034 79 Finger RFC 1288 80 HTTP (web) RFC 2068 88 Centre de distribution de clés Kerberos 5 RFC 1510 106 Serveur de mots de passe Open Directory (avec le port 3659) 110 POP3 (courrier électronique) Chapitre 4 Utilisation du service de coupe-feu Référence RFC 1081 115 116 Port TCP Utilisé pour 111 Remote Procedure Call (RPC) Référence RFC 1057 113 AUTH RFC 931 115 sftp 119 NNTP (actualités) RFC 977 123 Synchronisation de serveur d’horloge de réseau (NTP) RFC 1305 137 Noms Windows 138 Navigateur Windows 139 Service de fichiers et d’impression Windows (SMB/CIFS) RFC 100 143 IMAP (accès au courrier électronique) RFC 2060 201-208 AppleTalk 311 Protocole SSL pour Admin Serveur, administration web à distance IP AppleShare, Contrôle de serveur, Admin Serveur (servermgrd), Gestionnaire de groupe de travail (DirectoryService) 389 LDAP (répertoire) 407 Timbuktu 427 SLP (emplacement des services) 443 SSL (HTTPS) 445 Microsoft Domain Server 497 Dantz Retrospect 514 shell, syslog 515 LPR (désynchronisation de l’impression) 532 netnews 548 AFP (Apple File Service) 554 Real-Time Streaming Protocol (QTSS) 591 Accès au web FileMaker 600–1023 Services basés sur RPC de Mac OS X (par exemple, NetInfo) 625 Format de répertoire distant 626 Administration IMAP (service de courrier Mac OS X et courrier électronique AppleShare IP 6.x) 631 IPP (partage d’imprimantes) 636 LDAPSSL 660 Réglages de serveur, Server Manager 687 Utilisateurs et groupes partagés AppleShare IP, Contrôle de serveur, Admin Serveur (servermgrd) 749 Administration de Kerberos et changepw à l’aide de l’outil de ligne de commande kadmind Chapitre 4 Utilisation du service de coupe-feu RFC 2251 RFC 1179 RFC 2326 Port TCP Utilisé pour 985 Port statique NetInfo 993 IMAP sur SSL (courrier) 995 POP3 sur SSL (courrier) 1085 WebObjects 1099, 8043 RMI à distance et accès RMI/IIOP à JBoss 1220 QTSS Admin 1694 Basculement IP 1723 VPN PPTP 2049 NFS 2399 Couche d’accès aux données FileMaker 3004 iSync 3031 Liaison de programmes, AppleEvents à distance 3283 Apple Remote Desktop 2.0 3306 MySQL 3632 Compilateur distribué XCode 3659 Serveur de mots de passe Open Directory (avec le port 106) 3689 Partage de musique iTunes 4111 XGrid 5003 Liaison de noms et transport FileMaker 5100 Partage de caméras, d’appareils photo et de scanneurs 5190 iChat et transfert de fichiers iChat 5222 Serveur iChat 5223 Serveur iChat SSL 5269 Serveur iChat, de serveur à serveur 5298 iChat, sous-réseau local 5432 Base de données Apple Remote Desktop 2.0 5900 VNC Apple Remote Desktop 2.0 7070 Real-Time Streaming Protocol (QTSS) 7777 Serveur iChat , proxy de transfert de fichiers 8000–8999 Service web 8000-8001 Diffusion en continu de MP3 QTSS 8005 Extinction à distance Tomcat 8043, 1099 RMI à distance et accès RMI/IIOP à JBoss 8080, 8443, 9006 Tomcat autonome et JBoss Chapitre 4 Utilisation du service de coupe-feu Référence RFC 2637 117 118 Port TCP Utilisé pour 8080 Alternative pour le service web (valeur par défaut d’Apache 2) 9007 Accès à distance du serveur web au port AIP 16080 Service web avec redirection du cache des performances 42000-42999 Flux radio iTunes Port UDP Utilisé pour 7 echo 53 DNS 67 Serveur DHCP (BootP), serveur NetBoot 68 Client DHCP 69 Trivial File Transfer Protocol (TFTP) 111 Remote Procedure Call (RPC) 123 Network Time Protocol 137 Windows Name Service (WINS) 138 Service de datagrammes de Windows (NETBIOS) 161 Protocole SNMP (Simple Network Management Protocol) 192 Administration AirPort 427 SLP (emplacement des services) 497 Retrospect 500 VPN ISAKMP/IKE 513 who 514 Syslog 554 Real-Time Streaming Protocol (QTSS) 600–1023 Services basés sur RPC de Mac OS X (par exemple, NetInfo) 626 Prise en charge du numéro de série 985 NetInfo (lorsqu’un domaine partagé est créé à l’aide de NetInfo Domain Setup) 1701 VPN L2TP 3283 Apple Remote Desktop 1.2 5353 Multicast DNS (mDNSResponder) 2049 Service NFS (Network File System) 3031 Liaison de programmes 3283 Apple Network Assistant, Apple Remote Desktop 4500 IKE NAT Traversal 5060 Lancement d’iChat Chapitre 4 Utilisation du service de coupe-feu Référence Référence RFC 1305 Port UDP Utilisé pour 5297, 5678 iChat local 5353 Multicast DNS (mDNSResponder) 6970 -6999 Diffusion en continu QTSS RTP 7070 Alternative Real-Time Streaming Protocol (QTSS) 16384-16403 RTP et RTCP audio/vidéo iChat Référence Autres sources d’informations Pour en savoir plus sur l’accès et l’implémentation de fonctionnalités de ipfw, l’outil qui contrôle le service de coupe-feu, consultez la page man de ipfw. Les documents RFC (Request for Comments) offrent des vues d’ensemble de protocoles ou de services particuliers et expliquent le comportement normal du protocole. Si vous êtes un administrateur de serveur débutant, certaines des informations générales qui figurent dans les documents RFC vous seront certainement utiles. En revanche, si vous êtes un administrateur de serveur confirmé, vous trouverez tous les détails techniques concernant un protocole particulier dans le document RFC correspondant. La section RFC du site web suivant contient plusieurs numéros RFC pour divers protocoles : www.ietf.org/rfc.html (en anglais). L’Internet Assigned Number Authority (IANA) maintient la liste des ports les plus connus et des ports TCP et UDP qui ont été assignés par l’organisation à différents protocoles. Vous trouverez cette liste à l’adresse : www.iana.org/assignments/port-numbers (en anglais). De plus, des adresses de multidiffusion importantes sont documentées dans le document RFC Assigned Numbers le plus récent à ce jour, à savoir RFC 1700. Chapitre 4 Utilisation du service de coupe-feu 119 5 Utilisation du service NAT 5 Ce chapitre décrit comment configurer et gérer le service NAT dans Mac OS X Server. Network Address Translation (NAT) est un protocole que l’on utilise pour donner à plusieurs ordinateurs l’accès à Internet en n’utilisant qu’une seule adresse IP publique ou externe assignée. NAT vous permet de créer un réseau privé qui accède à Internet par un routeur ou une passerelle NAT. On appelle parfois le protocole NAT IP le masquage d’adresses IP. Le routeur NAT reçoit tout le trafic provenant de votre réseau privé et mémorise les adresses interne qui ont émis des requêtes. Lorsque le routeur NAT reçoit une réponse à une requête, il la redirige à l’ordinateur d’origine. Le trafic venant d’Internet n’atteint pas les ordinateurs qui se trouvent derrière le routeur NAT sauf si la redirection de port est activée. Utilisation de NAT avec d’autres services réseau L’activation de NAT sous Mac OS X Server nécessite souvent un contrôle détaillé sur DHCP, c’est pourquoi DHCP est configuré séparément dans Admin Serveur. Pour en savoir plus sur DHCP, consultez le chapitre 2, « Utilisation du service DHCP, » à la page 27. L’activation du service NAT crée aussi une règle de détournement dans la configuration du coupe-feu. Admin Serveur permet d’activer et de désactiver le service NAT et le service de coupe-feu séparément. Toutefois, pour que le service NAT fonctionne, le service NAT et le service de coupe-feu doivent être activés. Cela est dû au fait que la règle de détournement de paquets est une part essentielle de NAT. Cette règle est ajoutée au coupe-feu lors de l’activation du service NAT, mais le service de coupe-feu doit être activé pour la règle de détournement de paquets ou pour toute autre règle de coupe-feu, pour obtenir un quelconque effet. 121 Vue d’ensemble de la configuration du réseau local pour NAT Pour configurer un segment de réseau comme réseau local NAT, vous devez exécuter plusieurs étapes. Chacune de ces étapes est nécessaire pour créer un réseau privé fonctionnant derrière une passerelle NAT. Vous trouverez un exemple détaillé de la configuration dans la section « Liaison d’un réseau local à Internet par une adresse IP » à la page 128. Vous pouvez également configurer NAT à l’aide de l’Assistant réglages de passerelle, qui configure chacun de ces services et démarre le service NAT. Pour en savoir plus, consultez la rubrique « À propos d’Assistant réglages passerelle » à la page 17. La section qui suit donne une vue d’ensemble du processus de configuration. Étape 1 : Choisissez votre passerelle NAT et les fonctions d’interface Vous devez localiser la passerelle NAT sur un ordinateur Mac OS X Server possédant au moins deux interfaces réseau : une pour se connecter à Internet (la port WAN) et une pour se connecter à votre segment de réseau privé (le port LAN). Étape 2 : Spécifiez la manière dont les clients du réseau local NAT doivent recevoir leur adresse IP Vous pouvez assigner votre propre adresse IP statique choisie dans les plages destinées aux réseaux locaux privés ou utiliser la fonctionnalité DHCP de Mac OS X Server pour assigner des adresses à votre place. Étape 3 : Configurez les réseaux de la passerelle Assignez votre adresse IP publique au port WAN et l’adresse de votre passerelle interne au port LAN. Étape 4 : Activez le service NAT Pour pouvoir configurer le service NAT, vous devez d’abord l’activer. Consultez la rubrique « Activation du service NAT » à la page 123. Étape 5 : Configurez les réglages relatifs à NAT Utilisez les réglages NAT pour configurer l’interface réseau. Consultez la rubrique « Configuration du service NAT » à la page 123. Étape 6 : Configurez les réglages relatifs à la redirection de port Utilisez l’application Terminal pour rediriger le trafic entrant adressé à votre réseau NAT vers une adresse IP spécifique derrière la passerelle NAT. Consultez la rubrique « Configuration de la redirection de port » à la page 124. Étape 7 : Démarrez le service NAT Après avoir configuré le service NAT, démarrez-le pour le rendre disponible. Consultez la rubrique « Démarrage et arrêt du service NAT » à la page 127. 122 Chapitre 5 Utilisation du service NAT Étape 8 : Démarrez le service de coupe-feu Pour que le service NAT fonctionne, vous devez activer le service NAT et le service de coupe-feu. Consultez la rubrique « Arrêt du service de coupe-feu » à la page 99. Étape 9 : (Conditionnel) Configurez et démarrez le service DHCP Si les adresses des clients vont être assignées dynamiquement, configurez le service DHCP et démarrez-le maintenant. Voir le chapitre 2, « Utilisation du service DHCP. » Activation du service NAT Pour pouvoir configurer les réglages NAT, vous devez activer le service NAT dans Admin Serveur. Pour activer le service NAT : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur Réglages. 3 Cliquez sur Services. 4 Cochez la case NAT. 5 Cliquez sur Enregistrer. Configuration du service NAT Utilisez Admin Serveur pour indiquer quelle interface réseau est connectée à Internet ou à tout autre réseau externe. Il ne faut pas confondre la configuration du service NAT et la configuration d’un segment de réseau comme réseau local NAT. Pour configurer le service NAT : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle situé à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez NAT. 4 Cliquez sur Réglages. 5 Cochez la case « Transfert d’adresses IP et traduction d’adresse réseau (NAT) ». 6 Dans le menu local « Interface réseau externe », choisissez l’interface réseau qui est connectée à Internet ou au réseau externe. 7 Cliquez sur Enregistrer. Chapitre 5 Utilisation du service NAT 123 Configuration de la redirection de port Vous pouvez diriger le trafic adressé à votre réseau NAT vers une adresse IP derrière la passerelle NAT. Cela s’appelle la redirection de port. La redirection de port vous permet de configurer, sur le réseau interne, des ordinateurs qui gèrent les connexions entrantes sans exposer les autres ordinateurs aux connexions extérieures. Par exemple, vous pouvez configurer un serveur web derrière le service NAT et rediriger les demandes de connexion TCP entrantes adressées au port 80 vers le serveur web désigné. Vous ne pouvez pas rediriger le même port vers plusieurs ordinateurs, mais vous pouvez rediriger plusieurs ports vers un ordinateur. L’activation de la redirection de port requiert l’utilisation de l’application Terminal et un accès comme administrateur à des privilèges root par sudo. Vous devez également créer un fichier plist. Le contenu du fichier plist sert à générer le fichier /etc/nat/natd.conf.apple, qui est transmis au démon NAT lors du démarrage de ce dernier. Ne modifiez pas le fichier /etc/nat/natd.conf.apple directement. Si vous utilisez un éditeur de fichier plist plutôt qu’un éditeur de texte de ligne de commande, adaptez la procédure suivante en conséquence. Pour rediriger le trafic adressé à un port : 1 Si le fichier /etc/nat/natd.plist n’existe pas, faites une copie du fichier plist par défaut du démon NAT. $ sudo cp /etc/nat/natd.plist.default /etc/nat/natd.plist 2 À l’aide d’un éditeur de Terminal, ajoutez le bloc de texte XML suivant au fichier /etc/ nat/natd.plist devant les deux lignes à la fin du fichier (</dict> et </plist>), en remplaçant le texte en italique par vos propres réglages : <key>redirect_port</key> <array> <dict> <key>proto</key> <string>tcp ou udp</string> <key>targetIP</key> <string>ip_du_LAN</string> <key>targetPortRange</key> <string>plage_d’adresses_ip</string> <key>aliasIP</key> <string>ip_du_WAN</string> <key>aliasPortRange</key> <string>plage_d’adresses_ip_du_WAN</string> </dict> </array> 124 Chapitre 5 Utilisation du service NAT 3 Enregistrez les modifications de votre fichier. 4 Dans le Terminal, tapez la commande suivante : $ sudo systemstarter stop nat $ sudo systemstarter start nat 5 Vérifiez que vos modifications sont conservées en examinant le fichier /etc/nat/ natd.conf.apple. Les modifications apportées, à l’exception des commentaires et des réglages qu’Admin Serveur peut modifier, sont utilisés par les outils de configuration du serveur (Admin Serveur, Assistant réglages de passerelle et serveradmin). 6 Configurez le service NAT dans Admin Serveur comme vous le souhaitez. Pour en savoir plus, consultez la rubrique « Configuration du service NAT » à la page 123. 7 Cliquez sur Enregistrer. 8 Démarrez le service NAT. Exemples de redirection de port Vous pouvez rediriger un ou plusieurs ports vers une adresse IP. Les ports WAN ne doivent pas être identiques aux ports LAN, mais ils doivent correspondre. Par exemple, si vous redirigez 10 ports consécutifs WAN, vous devez les rediriger vers 10 ports consécutifs LAN, mais il ne doit pas nécessairement s’agir des 10 mêmes ports. Redirection d’un port unique Cet exemple montre le réglage permettant de rediriger les connexions au port TCP 80 (service web) sur l’adresse WAN 17.128.128.128 vers le port TCP 80 (service web) sur l’adresse LAN privée 192.168.1.1. Le bloc de texte à ajouter au fichier /etc/nat/natd.plist est : <key>redirect_port</key> <array> <dict> <key>proto</key> <string>tcp</string> <key>targetIP</key> <string>192.168.1.1</string> <key>targetPortRange</key> <string>80</string> <key>aliasIP</key> <string>17.128.128.128</string> <key>aliasPortRange</key> <string>80</string> </dict> </array> Chapitre 5 Utilisation du service NAT 125 Redirection de plusieurs ports Cet exemple montre le réglage permettant de rediriger les connexions aux ports TCP et UDP 600-1023 (NetInfo, plage complète) sur l’adresse WAN 17.128.128.128 vers les ports correspondants sur l’adresse LAN privée 192.168.1.1. Le bloc de texte à ajouter au fichier /etc/nat/natd.plist est : <key>redirect_port</key> <array> <dict> <key>proto</key> <string>tcp</string> <key>targetIP</key> <string>192.168.1.1</string> <key>targetPortRange</key> <string>600-1023</string> <key>aliasIP</key> <string>17.128.128.128</string> <key>aliasPortRange</key> <string>600-1023</string> </dict> </array> <array> <dict> <key>proto</key> <string>udp</string> <key>targetIP</key> <string>192.168.1.1</string> <key>targetPortRange</key> <string>600-1023</string> <key>aliasIP</key> <string>17.128.128.128</string> <key>aliasPortRange</key> <string>60-1023</string> </dict> </array> Test des règles de redirection de port Une fois que vous avez configuré vos règles de redirection de port, vous pouvez les tester en accédant au service à partir de l’adresse IP publique de votre routeur NAT. Si vous pouvez accéder aux services, c’est que vous avez configuré et testé correctement votre règle de redirection de port. Par exemple, si un site web est hébergé sur un ordinateur possédant l’adresse IP privée 192.168.1.10 et que votre routeur NAT possède l’adresse IP publique 219.156.13.13 et une règle de redirection de port qui rediriger le port 80 vers l’adresse IP 192.168.1.10, vous accédez au site web en tapant l’adresse IP publique (http://219.156.13.13) dans votre navigateur web. 126 Chapitre 5 Utilisation du service NAT Si vos règles de redirection de port sont correctes, vous serez redirigé vers l’ordinateur qui héberge le site web (192.168.1.10). Démarrage et arrêt du service NAT Utilisez Admin Serveur pour démarrer et arrêter le service NAT sur votre interface réseau par défaut. Le démarrage du service NAT ne démarre pas DHCP sur l’interface NAT, vous devez donc gérer l’adressage LAN séparément. Il ne faut pas confondre le démarrage du service NAT et la configuration d’un segment de réseau comme réseau local NAT. Pour que le service NAT fonctionne, vous devez activer le service NAT et le service de coupefeu. Pour plus d’informations, reportez-vous à la section « Arrêt du service de coupe-feu » à la page 99. Pour démarrer le service NAT : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle situé à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez NAT. 4 Cliquez sur le bouton Démarrer le coupe-feu sous la liste Serveurs. Lorsque le service est activé, le bouton Arrêter NAT n’est pas disponible. Création d’une passerelle sans NAT Vous pouvez utiliser un ordinateur comme passerelle entre différents segments de réseau sans traduire les adresses IP de la plage publique vers la plage privée. Cela s’appelle la redirection d’adresses IP. Mac OS X Server prend en charge la redirection d’adresses IP, qui peut être configurée à l’aide d’Admin Serveur. Plusieurs configuration réseau peuvent utiliser une passerelle sans NAT. Par exemple, un serveur peut traduire des adresses IP privées en adresses publiques à l’aide de NAT, mais votre passerelle Mac OS X Server peut router les informations entre plusieurs sous-réseaux d’adresses privées. Il est également possible de placer un coupe-feu entre des segments de réseau dans votre propre réseau local. Toute situation dans laquelle vous voulez router du trafic réseau au travers du serveur sans masquer les adresses IP est une situation qui nécessite la redirection d’adresses IP. Les étapes requises pour la création d’une passerelle pour la redirection d’adresses sont les mêmes que celles pour la création d’un réseau local NAT. Cela signifie que les ports réseau doivent être configurés correctement et que le service de coupe-feu doit être activé. Chapitre 5 Utilisation du service NAT 127 Pour configurer une passerelle sans le service NAT : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle situé à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez NAT. 4 Cliquez sur Réglages. 5 Cochez la case « Transfert d’adresses IP uniquement ». 6 Cliquez sur Enregistrer. Surveillance du service NAT Vous pouvez être amené à surveiller votre service NAT à des fins de dépannage et de sécurité. La présente section décrit comment accéder à la vue d’ensemble de l’état de NAT et comment surveiller l’activité de détournement de NAT. Affichage de la vue d’ensemble de l’état de NAT La vue d’ensemble de l’état de NAT vous permet de vérifier si le service est actif et combien de liens de protocole sont actifs. Pour afficher la vue d’ensemble : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle situé à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez NAT. 4 Cliquez sur Vue d’ensemble pour vérifier que le service est actif, quand il a démarré et le nombre de liens TCP, UDP et ICMP. Tâches d’administration de réseau courantes qui utilisent le service NAT Les sections qui suivent illustrent des tâches d’administration de réseau courantes qui utilisent le service NAT. Liaison d’un réseau local à Internet par une adresse IP Pour lier un réseau local, vous devez disposer d’un ordinateur Mac OS X Server équipé de deux interfaces réseau : une pour se connecter à Internet et une pour se connecter à votre réseau privé. Les étapes ci-dessous utilisent la configuration suivante à titre d’exemple :  Noms et fonctions de l’interface Ethernet : Ethernet intégré (connecté à Internet), logement Ethernet PCI 1 (connecté au réseau interne). 128 Chapitre 5 Utilisation du service NAT  Adresse IP publique ou Internet : 17.254.0.3 (à titre d’exemple uniquement, votre numéro IP est fourni par votre FAI).  Adresse IP DNS publique ou Internet : 17.254.1.6 (à titre d’exemple uniquement, votre numéro IP est fourni par votre FAI).  Plage d’adresses IP et masque de réseau du réseau privé : 192.168.0.2–192.168.0.254 (également exprimé sous la forme 192.168.0.0/24 ou 192.168.0.0:255.255.255.0).  Adresse IP du réseau privé du serveur : 192.168.0.1.  Réglages relatifs aux adresses IP des clients du réseau local : configurez IPv4 à l’aide de DHCP. Ce dernier réglage n’est pas obligatoire car NAT peut être utilisé avec des adresses IP statiques plutôt qu’avec DHCP. La configuration de ce réglage rend toutefois la configuration des ordinateurs plus facile. Pour configurer votre réseau local NAT : 1 Sur le serveur passerelle, ouvrez la sous-fenêtre Réseau des Préférences Système. 2 Dans l’écran Réseau actif, vérifiez que l’interface « Ethernet intégré » se trouve tout en haut de la liste des interfaces. Si ce n’est pas le cas, faites-la glisser vers le haut de la liste. Cela définit la passerelle par défaut dans la table de routage. L’interface du haut de la liste est toujours configurée pour Internet ou le WAN. 3 Vérifiez que l’adresse IP et les réglages d’« Ethernet intégré » correspondent bien aux réglages de l’adresse publique que vous avez reçue de votre FAI. Dans notre exemple, il s’agit des réglages suivants :  Adresse IP : 17.254.0.3  Masque de réseau : 255.255.252.0  DNS : 17.254.1.6 4 Vérifiez que l’adresse IP et les réglages de « Logement Ethernet PCI 1 » correspondent bien aux réglages de votre adresse locale. Dans notre exemple, il s’agit des réglages suivants :  Adresse IP : 192.168.0.1  Masque de réseau : 255.255.255.0  DNS : 17.254.1.6 5 Si nécessaire, cliquez sur Appliquer. 6 Ouvrez Admin Serveur et connectez-vous au serveur. 7 Cliquez sur le triangle situé à gauche du serveur. La liste des services apparaît. 8 Dans la liste Serveurs développée, sélectionnez DHCP. Chapitre 5 Utilisation du service NAT 129 9 Cliquez sur Sous-réseaux et créez un sous-réseau pour le réseau local interne avec les paramètres de configuration suivants :  Nom du sous-réseau : <ce que vous voulez>  Adresse IP de début : 192.168.0.2  Adresse IP de fin : 192.168.0.254  Masque de sous-réseau : 255.255.255.0  Interface réseau : en1  Routeur : 192.168.0.1  Durée de bail : <ce que vous voulez>  DNS : 17.254.1.6 Pour des informations détaillées sur la configuration de DHCP, consultez la section « Création de sous-réseaux » à la page 29. 10 Pour démarrer le service DHCP, cliquez sur le bouton Démarrer DHCP sous la liste Serveurs. 11 Dans Admin Serveur, dans la liste Serveurs développée, sélectionnez NAT. 12 Configurez NAT à l’aide du réglage suivant : Interface réseau externe :en0 13 Si nécessaire, cliquez sur Enregistrer. 14 Pour démarrer le service NAT, cliquez sur le bouton Démarrer NAT sous la liste Serveurs. 15 Dans Admin Serveur, dans la liste Serveurs développée, sélectionnez Coupe-feu. 16 Créez des règles de coupe-feu pour autoriser l’accès à et depuis votre réseau privé. Par exemple, créez un groupe d’adresses IP nommé « Réseau local privé » pour les adresses 192.168.0.0/16. Pour en savoir plus, consultez la rubrique « Création d’un groupe d’adresses » à la page 99. 17 Pour démarrer le service de coupe-feu, cliquez sur le bouton Démarrer Coupe-feu sous la liste Serveurs. 18 Démarrez tous les services auxquels vous voulez que le réseau local privé accède (web, SSH, partage de fichiers, etc.) à l’aide du groupe « Réseau local privé ». Pour en savoir plus, consultez la rubrique « Configuration de réglages de services » à la page 96. 19 Démarrez tous les services auxquels vous voulez qu’Internet accède (web, SSH, partage de fichiers, etc.) à l’aide du groupe « Quelconque ». Pour en savoir plus, consultez la rubrique « Configuration de réglages de services » à la page 96. 20 Cliquez sur Enregistrer. 130 Chapitre 5 Utilisation du service NAT Configuration d’un tournoi de jeu en réseau Certains jeux compatibles avec Internet permettent à plusieurs joueurs de se connecter en ligne via un réseau local. Cela s’appelle un tournoi de jeu en réseau. La configuration d’un tournoi de jeu en réseau est essentiellement identique au processus décrit dans « Liaison d’un réseau local à Internet par une adresse IP » à la page 128. Considérations spéciales :  N’ouvrez que les ports nécessaires pour jouer au jeu compatible avec Internet.  Si le jeu n’est joué qu’à l’intérieur du réseau local, n’ouvrez pas les ports du jeu sur le coupe-feu.  Si des ordinateurs vont et viennent sur le réseau local, utilisez DHCP pour la configuration des adresses des clients. Configuration de serveurs virtuels Un serveur virtuel est un serveur passerelle qui envoie des services derrière un NAT vers de véritables serveurs sur chaque port. Imaginons que vous disposez d’une passerelle NAT nommée domaine.exemple.com portant l’adresse 17.100.0.1 configurée pour rediriger le trafic web (port 80) vers l’adresse 10.0.0.5 (port 80) derrière le coupe-feu et qui envoie les requêtes de paquets pour le trafic ssh (port 22) vers l’adresse 10.0.0.15 (port 22). Dans cet exemple, la passerelle NAT ne sert pas réellement le contenu web (le serveur à l’adresse 10.0.0.5) mais le serveur qui se trouve à l’adresse 10.0.0.5 n’est pas visible par les clients qui naviguent sur le site web. Vu d’Internet, vous n’avez qu’un seul serveur, mais vu de derrière la passerelle NAT, vous en avez autant que vous le souhaitez. Vous pouvez utiliser cette configuration pour la répartition de la charge ou comme schéma organisationnel pour la topographie du réseau. Les serveurs virtuels vous permettent également de rerouter facilement du trafic réseau vers d’autres ordinateurs du réseau local en reconfigurant simplement la passerelle. Les serveurs virtuels requièrent la configuration de trois services :  NAT : le service NAT doit être configuré avec la redirection de port du port virtuel souhaité.  DNS : l’enregistrement DNS du serveur doit accepter quelques alias de services communs et les traduire tous vers la même adresse IP.  Coupe-feu : le coupe-feu doit autoriser le trafic sur certains ports particuliers pour avoir accès au réseau local NAT. Chapitre 5 Utilisation du service NAT 131 Dans cet exemple, vous configurez une passerelle NAT et routez deux noms de domaine et des services vers différents ordinateurs se trouvant derrière le coupe-feu de la passerelle. Nous utilisons la configuration suivante :  Noms et fonctions de l’interface Ethernet : Ethernet intégré (connecté à Internet), logement Ethernet PCI 1 (connecté au réseau interne).  Adresse IP publique ou Internet : 17.100.0.1 (à titre d’exemple uniquement, votre numéro IP et vos informations de masque de réseau seront fournies par votre FAI).  Plage d’adresses IP et masque de réseau du réseau privé : 192.168.0.0–192.168.0.255 (également exprimé sous la forme 192.168.0.0/24 ou 192.168.0.0:255.255.255.0).  Adresse IP du réseau privé du serveur passerelle : 192.168.0.1.  Adresse IP du réseau privé du serveur web : 192.168.0.2.  Adresse IP du réseau privé du serveur de courrier : 192.168.0.3.  Réglages relatifs aux adresses IP des serveurs web et de courrier : configurez IPv4 à l’aide de DHCP. Ce dernier réglage n’est pas obligatoire car NAT peut être utilisé avec des adresses IP statiques plutôt qu’avec DHCP. La configuration de ce réglage rend toutefois la configuration des ordinateurs plus facile. Pour configurer des serveurs virtuels : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle situé à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez DHCP. 4 Cliquez sur Sous-réseaux et créez un groupe d’adresses pour le réseau local interne avec les paramètres de configuration suivants :          Nom du sous-réseau : <ce que vous voulez> Adresse IP de début : 192.168.0.2 Adresse IP de fin : 192.168.0.254 Masque de sous-réseau : 255.255.255.0 Interface réseau : en1 Routeur : 192.168.0.1 Durée de bail : <ce que vous voulez> DNS : <fourni par le FAI> Mappage statique (web) : <adresse Ethernet du serveur web> mise en correspondance avec l’adresse 192.168.0.2  Mappage statique (courrier) : <adresse Ethernet du serveur web> mise en correspondance avec l’adresse 192.168.0.3 Pour plus d’informations, consultez les sections « Création de sous-réseaux » à la page 29 et « Assignation d’adresses IP statiques à l’aide de DHCP » à la page 39. 132 Chapitre 5 Utilisation du service NAT 5 Pour démarrer le service DHCP, cliquez sur le bouton Démarrer DHCP sous la liste Serveurs. 6 Dans Admin Serveur, dans la liste Serveurs développée, sélectionnez NAT. 7 Configurez NAT à l’aide du réglage suivant :  Interface du réseau externe : en0  Redirection de port : port TCP 80 (web) vers l’adresse 192.168.0.2  Redirection de port : port TCP 25 (web) vers l’adresse 192.168.0.3 8 Cliquez sur Enregistrer. 9 Pour démarrer le service NAT, cliquez sur le bouton Démarrer NAT sous la liste Serveurs. 10 Dans Admin Serveur, dans la liste Serveurs développée, sélectionnez Coupe-feu. 11 Créez des règles de coupe-feu pour autoriser l’accès à votre réseau privé. Pour en savoir plus, consultez la rubrique « Création d’un groupe d’adresses » à la page 99. 12 Activez les deux services auxquels vous voulez qu’Internet accède (web et courrier SMTP) à l’aide du groupe « Quelconque ». Pour en savoir plus, consultez la rubrique « Configuration de réglages de services » à la page 96. 13 Cliquez sur Enregistrer. 14 Pour démarrer le service de coupe-feu, cliquez sur le bouton Démarrer Coupe-feu sous la liste Serveurs. 15 Contactez votre fournisseur DNS (généralement votre FAI) pour ajouter deux alias à l’enregistrement DNS de votre serveur passerelle. Demandez un enregistrement A du nom de www.exemple.com vers l’adresse IP 17.100.0.1. Demandez un enregistrement MX du nom de mail.exemple.com vers la même adresse IP. Ces enregistrements s’ajoutent aux enregistrements A et CNAME existants pour votre domaine. Tout le trafic web vers www.exemple.com est maintenant redirigé vers le serveur interne à l’adresse 192.168.0.2 et le trafic de courrier entrant envoyé à mail.exemple.com est remis au serveur interne à l’adresse 192.168.0.3. Si vous voulez modifier les serveurs qui se trouvent derrière le NAT (par exemple, pour procéder à une mise à niveau matérielle), il suffit de remplacer l’adresse IP statique DHCP par les adresses Ethernet des nouveaux serveurs. Assignez simplement aux nouveaux serveurs les adresses IP internes existantes désignées pour le web et le courrier et la passerelle redirigera le trafic vers les nouveaux serveurs sans interruption. Chapitre 5 Utilisation du service NAT 133 Autres sources d’informations Pour en savoir plus sur natd Le processus démon qui contrôle le service NAT est natd. Pour obtenir des informations sur la manière d’accéder aux fonctionnalités de natd et les implémenter, consultez la page man de natd. Documents RFC Les documents RFC (Request for Comments) offrent des vues d’ensemble de protocoles ou de services particuliers et présentent de manière détaillée le comportement normal de chaque protocole. Si vous êtes un administrateur de serveur débutant, certaines des informations générales qui figurent dans les documents RFC vous seront certainement utiles. En revanche, si vous êtes un administrateur de serveur confirmé, vous trouverez tous les détails techniques concernant un protocole particulier dans le document RFC correspondant. Vous pouvez rechercher les documents RFC par leur numéro à l’adresse www.ietf.org/rfc.html. Pour les descriptions de NAT, consultez :  RFC 1631  RFC 3022 134 Chapitre 5 Utilisation du service NAT 6 Utilisation du service VPN 6 Ce chapitre décrit comment configurer et gérer le service VPN dans Mac OS X Server En créant un réseau privé virtuel (en anglais « Virtual Private Network » ou « VPN ») sur votre serveur, vous pouvez donner aux utilisateurs un moyen plus sûr de communiquer à distance avec des ordinateurs de votre réseau. Le présent chapitre décrit la méthode d’authentification et les protocoles de transport VPN et explique comment configurer, gérer et surveiller le service VPN. Il ne contient pas d’informations sur la configuration de clients VPN pour l’utilisation de votre serveur VPN. Un VPN est composé de deux ordinateurs ou réseaux (nœuds) ou plus connectés par un lien privé de données chiffrées. Ce lien simule une connexion locale, comme si l’ordinateur distant était attaché au réseau local. Les VPN connectent de manière sécurisée les utilisateurs qui travaillent à distance (par exemple, à la maison) au réseau local par une connexion semblable à une connexion Internet. Du point de vue de l’utilisateur, la connexion VPN apparaît comme un lien privé dédié. La technologie VPN permet aussi de connecter par Internet une organisation à des filiales tout en maintenant des communications sécurisées. La connexion VPN par Internet agit alors comme un lien de réseau étendu (WAN) entre les différents sites. Les VPN offrent plusieurs avantages aux organisations dont les ressources informatiques sont réparties sur plusieurs sites. Par exemple, les utilisateurs ou nœuds à distance utilisent les ressources réseau de leur fournisseur d’accès à Internet (FAI) plutôt qu’un lien câblé direct au site principal. Les VPN permettent aux utilisateurs mobiles, dont l’identité à été vérifiée, d’accéder à des ressources informatiques privées (à des serveurs de fichiers, etc.) à l’aide de n’importe quelle connexion à Internet. Les VPN permettent aussi de relier plusieurs réseaux locaux entre eux sur de grandes distances en utilisant l’infrastructure Internet existante. 135 VPN et la sécurité Les VPN améliorent la sécurité en exigeant une authentification forte de l’identité et le chiffrement du transport des données entre les différents nœuds à des fins de confidentialité et de dépendance des données. La section qui suit contient des informations sur les différentes méthodes de transport et d’authentification prises en charge. Protocoles de transport Il existe deux protocoles de transport chiffré : le protocole Layer Two Tunneling Protocol, Secure Internet Protocol (L2TP/IPSec) et le protocole Point–to–Point Tunneling Protocol (PPTP). Vous pouvez activer l’un ou l’autre de ces protocoles, ou les deux. Chacun a ses propres avantages et conditions requises. L2TP/IPSec L2TP/IPSec utilise le chiffrement IPSec fort pour faire transiter les données entre les différents nœuds réseau par un tunnel. Il repose sur le protocole L2F de Cisco. IPSec requiert des certificats de sécurité (auto-signés ou signés par une autorité de certificat comme Verisign) ou un secret partagé prédéfini entre les nœuds qui se connectent. Le secret partagé doit être saisi sur le serveur et le client. Le secret partagé n’est pas un mot de passe pour l’authentification et ne génère pas de clés de chiffrement pour établir des tunnels sécurisés entre les nœuds. Il s’agit d’un jeton que les systèmes de gestion de clés utilisent pour se faire mutuellement confiance. L2TP est le protocole VPN préféré sous Mac OS X Server parce qu’il possède un chiffrement de transport de qualité supérieure et parce qu’il peut être authentifié à l’aide de Kerberos. PPTP PPTP est un protocole VPN standard très utilisé sous Windows. PPTP offre un bon chiffrement (en cas d’utilisation de mots de passe forts) et prend en charge un certain nombre de schémas d’authentification. Il utilise le mot de passe fourni par l’utilisateur pour produire une clé de chiffrement. Par défaut, PPTP prend en charge le chiffrement 128 bits (fort). PPTP prend également en charge le chiffrement de sécurité 40 bits (faible). PPTP est nécessaire si vous avez des clients Windows sous des versions de Windows antérieures à XP ou si vous avez des clients Mac OS X 10.2.x ou antérieur. 136 Chapitre 6 Utilisation du service VPN Méthode d’authentification Le VPN L2TP de Mac OS X Server utilise Kerberos 5 ou le protocole Challenge Handshake Authentication Protocol version 2 (MS-CHAPv2) de Microsoft pour l’authentification. Le VPN L2TP de Mac OS X Server n’utilise que MS-CHAPv2 pour l’authentification. Kerberos est un protocole d’authentification sécurisé qui utilise un serveur Kerberos Key Distribution Server comme tierce partie de confiance pour authentifier un client auprès d’un serveur. La méthode d’authentification MS-CHAPv2 encode les mots de passe lorsqu’ils sont envoyés sur le réseau et les stocke sur le serveur sous forme brouillée. Cette méthode offre un bon niveau de sécurité lors des transmissions réseau. Il s’agit également du schéma d’authentification standard de Windows pour les VPN. Le VPN PPTP de Mac OS X Server peut également utiliser d’autres méthodes d’authentification. Chaque méthode a ses propres avantages et conditions requises. Ces autres méthodes d’authentification pour PPTP ne sont pas disponibles dans Admin Serveur. Si vous voulez utiliser un schéma d’authentification alternatif (par exemple, pour utiliser l’authentification SecurID de RSA Security), vous devez éditer le fichier de configuration VPN manuellement. Le fichier de configuration se trouve dans /Bibliothèque/ Preferences/SystemConfiguration/com.apple.RemoteAccessServers.plist Pour en savoir plus, consultez la rubrique « Utilisation de l’authentification SecurID avec un serveur VPN » à la page 149. Utilisation du service VPN avec des utilisateurs se trouvant dans un domaine LDAP de tierce partie Pour utiliser le service VPN pour des utilisateurs se trouvant dans un domaine LDAP de tierce partie (un domaine Active Directory ou Linux OpenLDAP), vous devez pouvoir utiliser l’authentification Kerberos. Si vous devez utiliser MSCHAPv2 pour authentifier des utilisateurs, vous ne pouvez pas proposer le service VPN aux utilisateurs qui se trouvent dans un domaine LDAP de tierce partie. Avant de configurer le service VPN Avant de configurer le service VPN, déterminez quel protocole de transport vous allez utiliser. Le tableau ci-dessous indique quels protocoles sont pris en charge par les différentes plateformes. Si vous avez Vous pouvez utiliser L2TP/IPSec Vous pouvez utiliser PPTP des clients Mac OS X 10.5 et 10.4.x X X des clients Mac OS X 10.3.x X X des clients Mac OS X 10.2.x Chapitre 6 Utilisation du service VPN X 137 Si vous avez Vous pouvez utiliser L2TP/IPSec Vous pouvez utiliser PPTP des clients Windows X (si Windows XP) X des clients Linux ou Unix X X Si vous utilisez L2TP, vous devez posséder un certificat de sécurité (émis par une autorité de certificat ou auto-signé) ou un secret partagé prédéfini entre les nœuds qui se connectent. Si vous utilisez un secret partagé, ce dernier doit également être sécurisé (compter au moins 8 caractères alphanumériques, y compris des signes de ponctuation mais sans espaces ; de préférence 12 ou plus) et être gardé secret par les utilisateurs. Si vous utilisez PPTP, assurez-vous que tous vos clients prennent en charge les connexions PPTP 128 bits pour une sécurité de transport maximale. N’utiliser que la sécurité de transport 40 bits représente un risque sérieux pour la sécurité. Configuration d’autres services réseau pour VPN L’activation de VPN sous Mac OS X Server nécessite un contrôle détaillé de DHCP. DHCP se configure séparément dans Admin Serveur. Les adresses IP assignées aux clients VPN ne peuvent pas chevaucher les adresses assignées aux clients DHCP locaux. Pour en savoir plus sur DHCP, consultez le chapitre 2, « Utilisation du service DHCP, » à la page 27. Pour pouvoir activer VPN, il faut également configurer le service de coupe-feu. Les réglages de coupe-feu doivent permettre le passage du trafic réseau d’adresses IP externes au travers du coupe-feu vers le réseau local. Les réglages de coupe-feu peuvent être aussi ouverts ou fermés que vous le souhaitez. Par exemple, si vos clients VPN utilisent une grande plage d’adresses IP (si vous avez de nombreux utilisateurs qui se connectent par différents FAI), il se peut que vous deviez ouvrir le groupe d’adresses de coupe-feu « Quelconque » aux connexions VPN. Si vous voulez restreindre l’accès à une petite plage d’adresses IP, y compris à des adresses statiques, vous pouvez créer un groupe d’adresses qui reflète la plus petite plage et n’autoriser que le trafic VPN provenant de cette liste. Vous devez également ouvrir les ports de coupe-feu associés au type de VPN que vous utilisez (L2TP ou PPTP). De plus, un VPN utilisant L2TP doit autoriser le trafic des clients VPN sur le port UDP 4500 (IKE NAT Traversal) si vous utilisez une passerelle NAT. Il se peut que votre configuration réseau nécessite également l’ouverture d’autres ports. 138 Chapitre 6 Utilisation du service VPN Présentation générale de la configuration Voici une vue d’ensemble des étapes requises pour configurer le service d’impression: Étape 1 : Avant de commencer Pour connaître les informations à garder à l’esprit lors de la configuration du service VPN, lisez « Avant de configurer le service VPN » à la page 137 et « Configuration d’autres services réseau pour VPN » à la page 138. Étape 2 : Activez le service VPN Pour pouvoir configurer le service VPN, vous devez d’abord l’activer. Consultez la rubrique « Activation du service VPN » à la page 139. Étape 3 : Configurez des réglages VPN L2TP Utilisez Admin Serveur pour activer L2TP sur IPSec, définir la plage d’allocation des adresses IP et définir le secret partagé ou le certificat de sécurité. Consultez la rubrique « Configuration des réglages L2TP » à la page 140. Étape 4 : Configurez des réglages VPN PPTP Utilisez Admin Serveur pour activer PPTP, pour spécifier la longueur des clés de chiffrement et pour spécifier la plage d’allocation des adresses IP. Consultez la rubrique « Configuration des réglages PPTP » à la page 141. Étape 5 : Configurez les réglages de journalisation VPN Utilisez les réglages de journalisation pour activer la journalisation VPN détaillée. Consultez la rubrique « Configuration des réglages de journalisation » à la page 143. Étape 6 : Configurez des réglages d’informations sur les clients VPN Utilisez Admin Serveur pour configurer des réglages réseau pour les clients VPN. Consultez la rubrique « Configuration de réglages d’informations sur les clients » à la page 142. Activation du service VPN Pour configurer le service VPN, vous devez d’abord activer le service VPN dans Admin Serveur. Pour activer le service VPN : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur Réglages, puis sur Services. 3 Cochez la case VPN. 4 Cliquez sur Enregistrer. Chapitre 6 Utilisation du service VPN 139 Configuration du service VPN Il y a deux groupes de réglages relatifs au service VPN dans Admin Serveur :  Connexions. Affiche des informations sur les utilisateurs qui sont connectés à l’aide de VPN.  Réglages. Configure et gère les connexions du service VPN L2TP et PPTP. Les sections suivantes décrivent comment définir ces réglages. La section finale explique comment démarrer le service VPN une fois que vous avez configuré VPN. Configuration des réglages L2TP Utilisez Admin Serveur pour désigner L2TP comme protocole de transport. Si vous activez ce protocole, vous devez également configurer les réglages de connexion. Vous devez définir un secret partagé IPSec (si vous n’utilisez pas de certificat de sécurité signé), la plage d’allocation d’adresses IP à donner à vos clients ainsi que le groupe qui va utiliser le service VPN (si nécessaire). Si vous utilisez L2TP et PPTP, chaque protocole doit posséder sa propre plage d’adresses et celle-ci ne doit pas chevaucher d’autres plages. Lorsque vous configurez VPN, assurez-vous que le coupe-feu autorise le trafic VPN sur les ports requis avec les réglages suivants :  Pour le groupe d’adresses « Quelconque », activez GRE, ESP, VPN L2TP (port 1701) et VPN ISAKMP/IKE (port 500).  Pour le groupe d’adresses « 192.168-net », autorisez tout le trafic. Pour en savoir plus, consultez la rubrique « Configuration de réglages de services » à la page 96. Pour configurer des réglages L2TP : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle situé à gauche du serveur. La liste des serveurs apparaît. 3 Dans la liste Serveurs développée, sélectionnez VPN. 4 Cliquez sur Réglages, puis sur L2TP. 5 Cochez la case « Activer L2TP via IPsec ». 6 Dans le champ « Adresse IP de début », saisissez l’adresse IP de début de la plage d’allocation VPN. Elle ne peut pas chevaucher la plage d’allocation DHCP, donc saisissez 192.168.0.128. 7 Dans le champ « Adresse IP de fin », saisissez l’adresse IP de fin de la plage d’allocation VPN. Elle ne peut pas chevaucher la plage d’allocation DHCP, donc saisissez 192.168.0.255. 140 Chapitre 6 Utilisation du service VPN 8 (Facultatif ) Vous pouvez répartir la charge VPN en cochant la case Activer la répartition de la charge et en saisissant une adresse IP dans le champ Adresse IP de la grappe. 9 Sélectionnez un type d’authentification PPP. Si vous optez pour Service de répertoire et que votre ordinateur est lié à un serveur d’authentification Kerberos, dans le menu local Authentification, sélectionnez Kerberos. À défaut, sélectionnez MS-CHAPv2. Si vous optez pour RADIUS, saisissez les informations suivantes : Adresse IP primaire : saisissez l’adresse IP du serveur RADIUS principal. Secret partagé : saisissez le secret partagé du serveur RADIUS principal. Adresse IP secondaire : saisissez l’adresse IP du serveur RADIUS secondaire. Secret partagé : saisissez le secret partagé du serveur RADIUS secondaire. 10 Saisissez le secret partagé ou sélectionnez le certificat à utiliser dans la section Authentification IPSec. Le secret partagé est un mot de passe commun qui authentifie les membres de la grappe. IPSec utilise le secret partagé comme une clé prépartagée pour établir des tunnels sécurisés entre les nœuds de la grappe. 11 Cliquez sur Enregistrer. Configuration des réglages PPTP Utilisez Admin Serveur pour désigner PPTP comme protocole de transport. Si vous activez ce protocole, vous devez également configurer des réglages de connexion. Vous devez définir la longueur de la clé de chiffrement (40 bits ou 128 bits), la plage d’allocation d’adresses IP à donner à vos clients et le groupe qui va utiliser le service VPN (si nécessaire). Si vous utilisez L2TP et PPTP, chaque protocole doit posséder sa propre plage d’adresses et celle-ci ne doit pas chevaucher d’autres plages. Lorsque vous configurez VPN, assurez-vous que le coupe-feu autorise le trafic VPN sur les ports requis avec les réglages suivants :  Pour le groupe d’adresses « Quelconque », activez GRE, ESP, VPN L2TP (port 1701) et IKE (port 500).  Pour le groupe d’adresses « 192.168-net », autorisez tout le trafic. Pour en savoir plus, consultez la rubrique « Configuration de réglages de services » à la page 96. Chapitre 6 Utilisation du service VPN 141 Pour configurer des réglages PPTP : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle situé à gauche du serveur. La liste des serveurs apparaît. 3 Dans la liste Serveurs développée, sélectionnez VPN. 4 Cliquez sur Réglages, puis sur PPTP. 5 Cochez la case Activer PPTP. 6 Si nécessaire, cochez la case « Autoriser les clés de cryptage 40 bits, outre celles de 128 bits » pour autoriser à l’accès au VPN par clé chiffrée de 40 bits et de 128 bits. AVERTISSEMENT : les clés de chiffrement 40 bits sont bien moins sûres mais peuvent s’avérer nécessaires pour certaines applications de client VPN. 7 Dans le champ « Adresse IP de début », saisissez l’adresse IP de début de la plage d’allocation VPN. Elle ne peut pas chevaucher la plage d’allocation DHCP, donc saisissez 192.168.0.128. 8 Dans le champ « Adresse IP de fin », saisissez l’adresse IP de fin de la plage d’allocation VPN. Elle ne peut pas chevaucher la plage d’allocation DHCP, donc saisissez 192.168.0.255. 9 Sélectionnez un type d’authentification PPP. Si vous optez pour Service de répertoire et que votre ordinateur est lié à un serveur d’authentification Kerberos, dans le menu local Authentification, sélectionnez Kerberos. À défaut, sélectionnez MS-CHAPv2. Si vous optez pour RADIUS, saisissez les informations suivantes : Adresse IP primaire : saisissez l’adresse IP du serveur RADIUS principal. Secret partagé : saisissez le secret partagé du serveur RADIUS principal. Adresse IP secondaire : saisissez l’adresse IP du serveur RADIUS secondaire. Secret partagé : saisissez le secret partagé du serveur RADIUS secondaire. 10 Cliquez sur Enregistrer. Configuration de réglages d’informations sur les clients Lorsqu’un utilisateur se connecte à votre serveur par un VPN, cet utilisateur reçoit une adresse IP dans la plage allouée. Cette plage n’est pas servie par un serveur DHCP, vous devez donc configurer le masque de réseau, l’adresse DNS et des domaines de recherche. Pour configurer des réglages d’informations sur les clients : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle situé à gauche du serveur. 142 Chapitre 6 Utilisation du service VPN La liste des serveurs apparaît. 3 Dans la liste Serveurs développée, sélectionnez VPN. 4 Cliquez sur Réglages, puis sur Informations sur les clients. 5 Saisissez l’adresse IP du serveur DNS. Ajoutez l’adresse IP interne de l’ordinateur passerelle (généralement 192.168.x.1). 6 Saisissez les domaines de recherche souhaités. 7 Cliquez sur Enregistrer. Configuration des réglages de journalisation Vous avez le choix entre deux niveaux de détail pour les historiques du service VPN.  Historiques non détaillés : décrivent les conditions pour lesquelles vous devez prendre une mesure immédiate (par exemple, si le service VPN ne peut pas démarrer).  Historiques détaillés : enregistrent toutes les activités du service VPN, y compris les fonctions de routine. Par défaut, ce sont les historiques non détaillés qui sont activés. Pour régler le niveau de détail de la journalisation sur Historiques détaillés : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle situé à gauche du serveur. La liste des serveurs apparaît. 3 Dans la liste Serveurs développée, sélectionnez VPN. 4 Cliquez sur Réglages, puis sur Journalisation. 5 Cochez la case Historiques détaillés pour activer la journalisation détaillée. 6 Cliquez sur Enregistrer. Démarrage du service VPN Utilisez Admin Serveur pour démarrer le service VPN. Pour démarrer le service VPN : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle situé à gauche du serveur. La liste des serveurs apparaît. 3 Dans la liste Serveurs développée, sélectionnez VPN. 4 Cliquez sur le bouton Démarrer VPN sous la liste Serveurs. Cliquez sur Réglages, puis sur L2TP ou PPTP et vérifiez que la case « Activer L2TP via IPsec » ou « Activer PPTP » est cochée. Chapitre 6 Utilisation du service VPN 143 Gestion du service VPN La présente section décrit les tâches associées à la gestion du service VPN. Ces dernières couvrent le démarrage, l’arrêt et la configuration du service. Arrêt du service VPN Utilisez Admin Serveur pour arrêter le service VPN. Pour arrêter le service VPN : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle situé à gauche du serveur. La liste des serveurs apparaît. 3 Dans la liste Serveurs développée, sélectionnez VPN. 4 Cliquez sur le bouton Arrêter VPN sous la liste Serveurs. Configuration de définitions de routage de réseau VPN En utilisant des définitions de routage de réseau, vous pouvez choisir de router les données provenant des clients VPN vers un groupe d’adresses au travers du tunnel VPN (qui est privé) ou par la connexion du FAI de l’utilisateur du VPN (qui est publique). Par exemple, vous pouvez router tout le trafic des clients VPN adressé à la plage d’adresses IP du réseau local par le tunnel sécurisé vers le réseau, mais router le trafic adressé à toutes les autres adresses par la connexion Internet normale non sécurisée de l’utilisateur. Cela vous permet de mieux contrôler ce qui transite par le tunnel VPN. Remarques importantes sur les définitions de routage VPN  Si vous n’ajoutez aucune définition de routage, le trafic est routé par la connexion VPN par défaut.  Si vous ajoutez des définitions de routage, la connexion VPN n’est plus définie comme la route par défaut et le trafic destiné aux adresses qui ne sont pas spécifiquement déclarées comme une route privée ne transiteront pas par la connexion VPN.  Les recherches DNS transitent par la connexion VPN, quelles que soient les routes définies.  L’ordre des définitions n’a pas d’importance. Les définitions appliquent uniquement la description qui correspond le mieux au paquet routé. Exemple Imaginons que les adresses IP de votre réseau local soient des adresses en 17.x.x.x. Si vous n’ajoutez pas de définitions de routage, le trafic réseau de chaque client VPN (comme les demandes d’URL des navigateurs web, les tâches d’impression des files d’attente des imprimantes LPR et la navigation sur les serveurs de fichiers) est routé de l’ordinateur client par le tunnel VPN vers le réseau 17.x.x.x. 144 Chapitre 6 Utilisation du service VPN Vous décidez de ne plus gérer le trafic vers des sites web ou des serveurs de fichiers qui ne sont pas situés sur votre réseau. Vous pouvez spécifier quel trafic doit être adressé au réseau 17.x.x.x et quel trafic doit transiter par la connexion Internet normale de l’ordinateur client. Pour limiter le trafic que le tunnel VPN gère, saisissez une définition de routage désignant le trafic adressé au réseau 17.x.x.x comme étant privé, ce qui l’envoie au travers du tunnel VPN. Dans la table de définitions de routage, vous devez saisir 17.0.0.0 255.0.0.0 Private. Tout le trafic vers le réseau local est maintenant envoyé par la connexion VPN et, par défaut, le trafic adressé à toutes les autres adresses qui ne figurent pas dans la table des définitions de routage est envoyé par la connexion Internet non chiffrée de l’ordinateur client. Vous décidez ensuite que certaines adresses IP de la plage 17.x.x.x ne doivent pas être accessibles par la connexion VPN. Vous voulez que ce trafic transite par la connexion Internet de l’ordinateur client plutôt que par le tunnel VPN. Il se peut que les adresses soient devant le coupe-feu et pas accessibles à partir du réseau 17.x.x.x. Par exemple, si vous voulez utiliser les adresses de la plage 17.100.100.x, vous devez ajouter un nouvelle définition de routage comme suit : 17.100.100.0 255.255.255.0 Public. Comme la définition d’adresse est plus spécifique que 17.x.x.x, cette règle l’emporte sur la règle générale plus large et le trafic adressé à n’importe quelle adresse de la plage 17.100.100.x est envoyé par la connexion Internet de l’ordinateur client. En bref, si vous ajoutez des routes, toutes les routes que vous désignez comme privées passent par la connexion VPN, alors que celles que vous déclarez publiques ne passent pas par la connexion VPN. Toutes les autres routes non spécifiées ne passent pas non plus par la connexion VPN. Pour définir des définitions de routage : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle situé à gauche du serveur. La liste des serveurs apparaît. 3 Dans la liste Serveurs développée, sélectionnez VPN. 4 Cliquez sur Réglages, puis sur Informations sur les clients. 5 Cliquez sur le bouton Ajouter (+). 6 Saisissez une plage d’adresses de destination pour les paquets à router en spécifiant : Une adresse de base (par exemple, 192.168.0.0). Un masque de réseau (par exemple, 255.255.0.0). 7 Dans le menu local Type, sélectionnez la destination du routage. Privé route le trafic client au travers du tunnel VPN. Chapitre 6 Utilisation du service VPN 145 Publique utilise l’interface normale sans tunnel. 8 Cliquez sur OK. 9 Cliquez sur Enregistrer. Limitation de l’accès VPN à des utilisateurs ou groupes spécifiques Par défaut, tous les utilisateurs du serveur ou du répertoire maître ont accès au VPN lorsqu’il est activé. Vous pouvez limiter l’accès au VPN à des utilisateurs spécifiques pour des raisons de sécurité ou pour simplifier l’administration. Vous pouvez limiter l’accès au VPN en utilisant la fonctionnalité des listes de contrôle d’accès (en anglais « Access Control Lists » ou « ACL ») de Mac OS X Server. Les listes de contrôle d’accès, ou listes ACL, permettent de donner l’accès à des services à des utilisateurs ou groupes sur une base individuelle. Vous pouvez, par exemple, utiliser une liste ACL pour autoriser un utilisateur à accéder à un serveur de fichiers ou à un shell d’ouverture de session spécifique tout en refusant l’accès à tous les autres utilisateurs du serveur. Pour limiter l’accès au VPN à l’aide de listes ACL : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur Réglages, puis sur Accès. 3 Cliquez sur Services. 4 Cochez la case « Pour les services sélectionnés ». 5 Dans la liste d’accès aux services, sélectionnez VPN. 6 Sélectionnez « Autoriser les utilisateurs et groupes ci-dessous ». 7 Pour afficher le tiroir des utilisateurs ou des groupes, cliquez sur le bouton Ajouter (+). 8 Faites glisser des utilisateurs ou des groupes dans la liste d’accès. 9 Cliquez sur Enregistrer. Limitation de l’accès au VPN à des adresses IP entrantes spécifiques Par défaut, le service de coupe-feu bloque les connexions VPN entrantes, mais vous pouvez donner un accès au VPN limité à certaines adresses IP pour des raisons de sécurité ou pour simplifier l’administration. Vous pouvez limiter l’accès au VPN en utilisant le service de coupe-feu de Mac OS X Server. Lors de la configuration du coupe-feu pour L2TP et PPTP, vous devez configurer GRE, ESP et IKE de manière à autoriser l’accès au VPN au travers du coupe-feu. Pour limiter l’accès au VPN en fonction de l’adresse IP : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle situé à gauche du serveur. La liste des services apparaît. 146 Chapitre 6 Utilisation du service VPN 3 Dans la liste Serveurs développée, sélectionnez Coupe-feu. 4 Cliquez sur Réglages. 5 Sélectionnez Avancé, puis cliquez sur le bouton Ajouter (+). 6 Dans le menu local Action, choisissez Autoriser. 7 Dans le menu local Protocole, choisissez une option. Si vous utilisez L2TP pour l’accès au VPN, choisissez UDP. Si vous utilisez PPTP pour l’accès au VPN, choisissez TCP. 8 Dans le menu local Service, choisissez VPN L2TP ou VPN PPTP. Le port de destination correspondant est ajouté au champ Port. 9 (Facultatif ) Cochez la case « Journaliser tous les paquets correspondant à cette règle ». 10 Dans le menu local Adresse de la section Source, choisissez Autre et saisissez la plage d’adresses IP source (en notation CIDR) à laquelle vous voulez donner l’accès au VPN. Vous pouvez également spécifier un port dans le champ Port de la section Source. Les ordinateurs qui possèdent une adresse IP dans la plage d’adresses IP que vous avez spécifiée dans le champ pour l’adresse IP source qui communiquent sur le port source que vous avez spécifié peuvent se connecter au service VPN. 11 Dans le menu local Adresse de destination, choisissez le groupe d’adresses qui contient le serveur VPN (comme destination du trafic filtré). Si vous ne voulez pas utiliser un groupe d’adresses, saisissez la plage d’adresses IP de destination (en notation CIDR). 12 Dans le menu local Interface à laquelle cette règle s’applique, choisissez Entrée. Entrée fait référence aux paquets qui arrivent au serveur. 13 Cliquez sur OK. 14 Cliquez sur le bouton Ajouter (+). 15 Dans le menu local Action, choisissez Autoriser. 16 Dans le menu local Protocole, choisissez un protocole ou Autre. Si vous ajoutez GRE ou ESP, choisissez Autre et saisissez « Quelconque » dans le champ. Si vous ajoutez VPN ISAKMP/IKE, choisissez UDP. 17 Dans le menu local Service, choisissez un service. Si vous ajoutez GRE, choisissez « GRE - protocole Generic Routing Encapsulation ». Si vous ajoutez ESP, choisissez « ESP - protocole Encapsulating Security Payload ». Si vous ajoutez VPN ISAKMP/IKE, choisissez « VPN ISAKMP/IKE. » Le port de destination 500 est ajouté au champ Port. 18 Dans le menu local Adresse de la section Source, choisissez « Quelconque ». Chapitre 6 Utilisation du service VPN 147 19 Dans le champ Port de la section Source, saisissez « Quelconque ». 20 Dans le menu local Adresse de la section Destination, choisissez « Quelconque ». 21 Dans le champ Port de la section Destination, saisissez un numéro de port. Si vous ajoutez VPN ISAKMP/IKE, saisissez 500 si ce port n’est pas affiché. 22 Dans le menu local Interface, choisissez « Autre » et saisissez « Quelconque » dans le champ Autre de la section Interface. 23 Cliquez sur OK. 24 Répétez les étapes 14 à 23 pour GRE, ESP et VPN ISAKMP/IKE. 25 Cliquez sur Enregistrer pour appliquer le filtre immédiatement. Instructions de configuration supplémentaires La section qui suit décrit des procédures de scénarios facultatifs. Elles requièrent l’intégration à un service de répertoire existant ou à des services d’authentification de tierce partie. Activation de l’accès VPN PPTP pour les utilisateurs d’un domaine LDAP Dans Mac OS X 10.5, vous pouvez utiliser un outil de ligne de commande pour activer les connexions VPN PPTP pour les utilisateurs d’un domaine LDAP. Cela résout une situation dans laquelle les utilisateurs peuvent établir, à l’aide de PPTP, une connexion VPN à un serveur Mac OS X Server qui, une fois établie, n’est pas utilisée par le trafic réseau. Cette situation affecte Mac OS X Server 10.3, 10.4 et 10.5. Pour activer l’accès VPN PPTP pour les utilisateurs d’un domaine LDAP 1 Exécutez l’outil /usr/sbin/vpnaddkeyagentuser en tant que root avec le nœud LDAP (le répertoire dans lequel les utilisateurs se trouvent) comme argument. Par exemple, si le serveur sur lequel tourne le service VPN est le maître LDAP, saisissez la commande suivante dans Terminal : $ sudo /usr/sbin/vpnaddkeyagentuser /LDAPv3/127.0.0.1 Si le serveur sur lequel tourne le service VPN n’est pas un maître LDAP et que le répertoire LDAP se trouve sur un autre ordinateur, utilisez l’adresse IP du serveur LDAP dans la commande. Par exemple, si l’adresse du serveur LDAP est 17.221.67.87, saisissez la commande suivante dans Terminal : $ sudo /usr/sbin/vpnaddkeyagentuser /LDAPv3/17.221.67.87 2 Lorsque le système vous y invite, saisissez le nom d’utilisateur et le mot de passe. Si le serveur VPN est le maître LDAP, saisissez le nom et le mot de passe de l’administrateur du serveur. 148 Chapitre 6 Utilisation du service VPN Si le répertoire LDAP se trouve sur un autre serveur, saisissez le nom et le mot de passe de l’administrateur du serveur qui héberge le répertoire LDAP (ou le nom et le mot de passe de l’administrateur utilisé pour ajouter des utilisateurs au répertoire LDAP dans Gestionnaire de groupe de travail). L’outil ajoute un utilisateur au répertoire LDAP et configure des éléments de configuration dans le serveur VPN afin qu’il puisse prendre en charge PPTP. 3 Dans la sous-fenêtre Réglages du service VPN d’Admin Serveur, configurez PPTP. 4 Démarrez le service VPN. Utilisation de l’authentification SecurID avec un serveur VPN RSA Security fournit une authentification forte. Il utilise des jetons matériels et logiciels pour vérifier l’identité des utilisateurs. L’authentification SecurID est disponible pour les transports L2TP et PPTP. Pour connaître les détails et les offres des différents produits, visitez www.rsasecurity.com. Le service VPN prend en charge l’authentification SecurID mais celle-ci ne peut pas être configurée dans Admin Serveur. Si vous optez pour cet outil d’authentification, vous devez modifier la configuration VPN manuellement. Configurez SecurID : 1 À partir de votre serveur SecurID, copiez le fichier sdconf.rec dans un nouveau dossier de votre serveur Mac OS X Server nommé /var/ace. Il existe plusieurs façons de le faire. En voici une : a b c d e f g h i Ouvrez Terminal (/Applications/Utilitaires/). Saisissez sudo mkdir /var/ace. Saisissez votre mot de passe d’administrateur. Dans le Dock, cliquez sur Finder. Dans le menu Aller, choisissez Aller > Aller au dossier. Saisissez : /var/ace. Cliquez sur Aller. À partir de votre serveur SecurID, copiez le fichier sdconf.rec dans le dossier « ace ». Si une zone de dialogue annonce que le dossier « ace » ne peut pas être modifié, cliquez sur Authentification pour autoriser la copie. 2 Activez l’authentification SecurID EAP sur votre service VPN pour les protocoles avec lesquelles vous voulez l’utiliser. Pour l’utiliser avec PPTP, saisissez les deux commandes suivantes dans Terminal (sur deux lignes séparées) : # sudo serveradmin settings vpn:Servers:com.apple.ppp.pptp:PPP:AuthenticatorEAPPlugins:_array_index: 0 = "EAP-RSA" Chapitre 6 Utilisation du service VPN 149 # sudo serveradmin settings vpn:Servers:com.apple.ppp.pptp:PPP:AuthenticatorProtocol:_array_index:0 = "EAP" Pour l’utiliser avec L2TP, saisissez les deux commandes suivantes dans Terminal (sur deux lignes séparées) : # sudo serveradmin settings vpn:Servers:com.apple.ppp.l2tp:PPP:AuthenticatorEAPPlugins:_array_index: 0 = "EAP-RSA" # sudo serveradmin settings vpn:Servers:com.apple.ppp.l2tp:PPP:AuthenticatorProtocol:_array_index:0 = "EAP" 3 Complétez les tâches de configuration du service VPN restantes à l’aide d’Admin Serveur. Surveillance du service VPN La présente section décrit les tâches associées à la surveillance d’un service VPN actif. Cela couvre l’accès aux rapports d’état d’accès, la définition d’options de journalisation, l’affichage d’historiques et la surveillance de connexions. Affichage de la vue d’ensemble de l’état de VPN La vue d’ensemble de VPN vous permet d’accéder rapidement à un rapport sur l’état des service VPN activés. Ce rapport indique le nombre de clients L2TP et PPTP connectés, la méthode d’authentification sélectionnée et quand le service a démarré. Pour afficher la vue d’ensemble : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle situé à gauche du serveur. La liste des serveurs apparaît. 3 Dans la liste Serveurs développée, sélectionnez VPN. 4 Cliquez sur Vue d’ensemble. Modification du niveau de détail des historiques du service VPN Vous avez le choix entre deux niveaux de détail pour les historiques du service VPN.  Non détaillé : ces historiques ne décrivent que les conditions pour lesquelles vous devez prendre une mesure immédiate (par exemple, si le service VPN ne peut pas démarrer).  Détaillé : ces historiques enregistrent toutes les activités du service VPN, y compris les fonctions de routine. Par défaut, ce sont les historiques non détaillés qui sont activés. Pour changer le niveau de détail des historiques VPN en Détaillé : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle situé à gauche du serveur. La liste des serveurs apparaît. 3 Dans la liste Serveurs développée, sélectionnez VPN. 150 Chapitre 6 Utilisation du service VPN 4 Cliquez sur Réglages, puis sur Journalisation. 5 Cochez la case Historiques détaillés pour activer la journalisation détaillée. 6 Cliquez sur Enregistrer. Affichage de l’historique VPN Surveiller les historiques VPN vous aide à vous assurer que votre VPN fonctionne correctement. Les historiques VPN peuvent vous aider à résoudre des problèmes. La vue de l’historique montre le contenu du fichier /var/log/ppp/vpnd.log. Vous pouvez filtrer les enregistrements de l’historique à l’aide du champ de filtrage de texte de la sousfenêtre Historique de VPN. Pour afficher l’historique : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle situé à gauche du serveur. La liste des serveurs apparaît. 3 Dans la liste Serveurs développée, sélectionnez VPN. 4 Cliquez sur Historique. Affichage des connexions des clients VPN Vous pouvez surveiller les connexions des clients VPN pour maintenir un accès sécurisé au VPN. En affichant l’écran des connexions client, vous pouvez voir :  Les utilisateurs connectés  L’adresse IP à partir de laquelle les utilisateurs sont connectés  L’adresse IP que votre réseau a assigné aux utilisateurs  Le type et la durée des connexions Vous pouvez trier la liste en cliquant sur les en-têtes de colonne. Pour afficher les connexions client : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle situé à gauche du serveur. La liste des serveurs apparaît. 3 Dans la liste Serveurs développée, sélectionnez VPN. 4 Cliquez sur Connexions. Chapitre 6 Utilisation du service VPN 151 Tâches d’administration de réseau courantes qui utilisent le service VPN Les sections qui suivent décrivent des tâches d’administration de réseau courantes qui utilisent le service VPN. Liaison d’un ordinateur de la maison à un réseau distant Vous pouvez utiliser VPN pour lier un ordinateur à un réseau distant en donnant accès au réseau distant comme si l’ordinateur était connecté physiquement au réseau local. Voici un exemple de configuration dans laquelle un ordinateur est lié à un réseau distant :  Authentification des utilisateurs : l’utilisateur peut s’authentifier à l’aide d’un nom et d’un mot de passe.  Type de VPN souhaité : L2TP  Secret partagé : prDwkj49fd!254  Adresse IP Internet ou publique de la passerelle VPN : passerelle.exemple.com  Plage d’adresses IP et masque de réseau du réseau privé : 192.168.0.0–192.168.0.255 (également exprimée sous la forme 192.168.0.0/24 ou 192.168.0.0:255.255.255.0)  Adresses de début et de fin DHCP : 192.168.0.3–192.168.0.127  Adresse IP DNS du réseau privé : 192.168.0.2 Le résultat de cette configuration est un client VPN qui peut se connecter à un réseau local distant à l’aide de L2TP avec des droits d’accès complets. Étape 1 : Configurez VPN 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle situé à gauche du serveur. La liste des serveurs apparaît. 3 Dans la liste Serveurs développée, sélectionnez VPN. 4 Cliquez sur Réglages, puis sur L2TP. 5 Activez L2TP via IPsec. 6 Dans le champ « Adresse IP de début », saisissez l’adresse IP de début de la plage d’allocation VPN. Elle ne peut pas chevaucher la plage d’allocation DHCP, donc saisissez 192.168.0.128. 7 Dans le champ « Adresse IP de fin », saisissez l’adresse IP de fin de la plage d’allocation VPN. Elle ne peut pas chevaucher la plage d’allocation DHCP, donc saisissez 192.168.0.255. 8 Dans la section Authentification IPSec, saisissez le secret partagé (prDwkj49fd!254). Le secret partagé est un mot de passe commun qui authentifie les membres de la grappe. IPSec utilise le secret partagé comme une clé prépartagée pour établir des tunnels sécurisés entre les nœuds de la grappe. 152 Chapitre 6 Utilisation du service VPN 9 Cliquez sur Enregistrer. 10 Cliquez sur Informations sur les clients. 11 Saisissez l’adresse IP du serveur DNS du réseau local interne (192.168.0.2). 12 Laissez les définitions de routage vides. Tout le trafic provenant du client va transiter par le tunnel VPN. 13 Cliquez sur Enregistrer. 14 Cliquez sur Démarrer VPN sous la liste Serveurs. Étape 2 : Configurez le coupe-feu 1 Créez un groupe d’adresses pour la plage d’allocation VPN. Pour en savoir plus, consultez la rubrique « Création d’un groupe d’adresses » à la page 99. 2 Ouvrez le coupe-feu aux connexions VPN externes en activant les connexions L2TP dans le groupe d’adresses « Quelconque ». Pour en savoir plus, consultez la rubrique « Configuration de réglages de services » à la page 96. 3 Configurez le coupe-feu pour le groupe d’adresses VPN en autorisant ou refusant des ports et des services comme vous le souhaitez. 4 Enregistrez vos modifications. 5 Démarrez ou redémarrez le coupe-feu. Étape 3 : Configurez le client L’exemple qui suit illustre un client Mac OS X utilisant les préférences Réseau. 1 Ouvrez Préférences Système, puis cliquez sur Réseau. 2 Cliquez sur le bouton Ajouter (+) dans le bas de la liste des services des connexions réseau, puis choisissez VPN dans le menu local Interface. 3 Dans le menu local Type de VPN, choisissez « L2TP via IPSec ». 4 Saisissez le nom d’un service VPN dans le champ Nom du service, puis cliquez sur Créer. 5 Saisissez le nom DNS ou l’adresse IP dans le champ Adresse du serveur. Adresse du serveur : passerelle.exemple.com Nom du compte : <le nom abrégé de l’utilisateur> 6 Cliquez sur Réglages d’authentification et saisissez les informations de configuration suivantes : Authentification des utilisateurs : utilisez Mot de passe <le mot de passe de l’utilisateur> Authentication des machines : utilisez Secret partagé <prDwkj49fd!254> 7 Cliquez sur OK. L’utilisateur peut maintenant se connecter. Chapitre 6 Utilisation du service VPN 153 Accès à une ressource informatique unique se trouvant derrière le coupe-feu d’un réseau distant Il faut distinguer l’accès à une ressource informatique se trouvant derrière un coupe-feu de l’autorisation d’un ordinateur client à devenir un nœud sur le réseau distant. Dans l’exemple précédent, l’ordinateur de l’utilisateur VPN devient un participant à part entière du réseau local distant. Dans le présent scénario, la ressource à laquelle l’on souhaite accéder est un serveur de fichiers unique, l’ordinateur de l’utilisateur VPN n’ayant pas d’autre contact avec le réseau local distant. Ce scénario assume des informations qui figurent à la section « Liaison d’un ordinateur de la maison à un réseau distant » à la page 152 et nécessite en outre celles-ci :  Adresse IP du serveur de fichiers : 192.168.0.15  Type du serveur de fichiers : partage de fichiers Apple Dans ce scénario, la procédure est similaire à celle utilisée dans la section « Liaison d’un ordinateur de la maison à un réseau distant » à la page 152, avec les exceptions suivantes :  À l’étape 1, point 12, ne laissez pas les définitions de routage vides.  Créez une route privée avec le numéro IP du serveur de fichiers (192.168.0.15 / 255.255.255.255).  À l’étape 2, point 3, configurez le coupe-feu de manière à ce qu’il n’accepte que les connexions sous le protocole Partage de fichiers Apple et le DNS provenant du groupe d’adresses VPN. Les utilisateurs VPN qui ont ouvert une session au travers de la passerelle VPN peuvent accéder au serveur de fichiers tandis qu’aucun autre trafic réseau ne peut transiter par la passerelle chiffrée. Liaison de deux sites de réseau distant ou plus Vous pouvez utiliser un VPN pour relier un ordinateur à un réseau principal ou pour relier plusieurs réseaux entre eux. Lorsque deux réseaux sont reliés par VPN, ils peuvent communiquer comme s’ils étaient connectés physiquement. Chacun des sites doit disposer de sa propre connexion à Internet mais les données privées sont transmises d’un site à l’autre sous une forme chiffrée. Ce type de lien est utile pour connecter des bureaux décentralisés au réseau local du site principal d’une organisation. 154 Chapitre 6 Utilisation du service VPN À propos de l’outil d’administration VPN de site à site Relier plusieurs réseaux locaux distants à un réseau local principal nécessite l’utilisation d’un utilitaire de ligne de commande sous Mac OS X Server nommé s2svpnadmin (« site-to-site VPN admin » en anglais). L’utilisation de s2svpnadmin nécessite l’utilisation de (et une certaine familiarité avec) Terminal, tandis que l’administrateur doit avoir accès à des privilèges de root par sudo. Pour en savoir plus sur s2svpnadmin, consultez la page man de s2svpnadmin. Relier plusieurs réseaux locaux distants à un réseau local principal peut nécessiter la création d’un certificat de sécurité. L’outil s2svpnadmin peut créer des liens à l’aide de l’authentification par secret partagé (les deux sites ont un mot de passe dans leurs fichiers de configuration) ou à l’aide de l’authentification par certificat. Pour utiliser l’authentification par certificat, vous devez créer le certificat avant d’exécuter s2svpnadmin. Les connexions VPN de site à site ne peuvent être établies qu’à l’aide de connexions VPN L2TP/IPSec. Vous ne pouvez pas lier deux sites à l’aide de PPTP avec ces instructions. Le présent exemple utilise les réglages suivants :  Type de VPN souhaité : L2TP  Authentification : à l’aide d’un secret partagé  Secret partagé : prDwkj49fd!254  Adresse IP Internet ou publique de la passerelle réseau principale du VPN (« Site ) : A.B.C.D  Adresse IP Internet ou publique de la passerelle réseau distante du VPN (« Site 2 ») : W.X.Y.Z  Adresse IP privée du site 1 : 192.168.0.1  Adresse IP privée du site 2 : 192.168.20.1  Plage d’adresses IP du réseau privé et masque de réseau du site 1 : 192.168.0.0– 192.168.0.255 (également exprimée sous la forme 192.168.0.0/16 ou 192.168.0.0:255.255.0.0)  Plage d’adresses IP du réseau privé et masque de réseau du site 2 : 192.168.20.0– 192.168.20.255 (également exprimée sous la forme 192.168.20.0/24 ou 192.168.0.0:255.255.0.0)  Adresse IP du DNS de l’organisation : 192.168.0.2 Le résultat de cette configuration est un réseau local distant auxiliaire connecté à un réseau local principal par L2TP. Étape 1 : Exécutez s2svpnadmin sur les passerelles des deux sites 1 Ouvrez Terminal et démarrez s2svpnadmin en saisissant : $ sudo s2svpnadmin 2 Saisissez le nombre adéquat pour « Configurer un nouveau serveur de site à site ». 3 Saisissez le nom de la configuration (les espaces ne sont pas autorisés). Chapitre 6 Utilisation du service VPN 155 Dans notre exemple, vous pouvez saisir « site_1 » sur la passerelle du site 1, etc. 4 Saisissez l’adresse IP publique de la passerelle. Dans notre exemple, saisissez A.B.C.D sur la passerelle du site 1 et W.X.Y.Z sur la passerelle du site 2. 5 Saisissez l’adresse IP publique de l’autre site. Dans notre exemple, saisissez W.X.Y.Z sur la passerelle du site 2 et A.B.C.D sur la passerelle du site 1. 6 Saisissez « s » pour l’authentification par secret partagé, puis saisissez le secret partagé : (« prDwkj49fd!254 »). Si vous utilisez l’authentification par certificat, saisissez « c » puis sélectionnez le certificat installé que vous voulez utiliser. 7 Saisissez au moins une politique d’adressage pour la configuration. 8 Saisissez l’adresse réseau du sous-réseau local (par exemple, 192.168.0.0 pour le site 1, 192.168.20.0 pour le site 2). 9 Pour la plage d’adresses, saisissez les bits de préfixe en notation CIDR. Dans notre exemple, la notation CIDR de la plage de sous-réseau est 192.168.2.0/24 pour le site 1, vous devriez donc saisir 24. 10 Saisissez l’adresse réseau du sous-réseau distant (par exemple, 192.168.20.0 pour le site 1, 192.168.0.0 pour le site 2). 11 Pour la plage d’adresses, saisissez les bits de préfixe en notation CIDR. Dans notre exemple, la notation CIDR de la plage de sous-réseau est 192.168.2.0/24 pour le site 1, vous devriez donc saisir 24. 12 Si vous voulez définir d’autres politiques, faites-le maintenant. À défaut, appuyez sur Retour. Si vous deviez connecter un plus grand nombre de sites ou que vous aviez une configuration d’adresses plus complexe (ne liant que certaines parties de votre réseau local principal au réseau local distant), vous devriez créer d’autres politiques pour cette configuration maintenant. Répétez les étapes relatives à la politique 7 à 12 pour les nouvelles politiques. 13 Appuyez sur « y » pour activer la configuration de site. Vous pouvez vérifier vos réglages en affichant les détails de la configuration du serveur et en saisissant le nom de la configuration (dans notre exemple, « site_1 »). 14 Quittez s2svpnadmin. 156 Chapitre 6 Utilisation du service VPN Étape 2 : Configurez le coupe-feu sur les passerelles des deux sites 1 Créez un groupe d’adresses ne contenant que l’adresse IP publique du serveur pour chaque serveur. Dans notre exemple, nommez le premier groupe Site 1 et saisissez l’adresse IP publique du serveur. Nommez ensuite le second groupe Site 2 et saisissez l’adresse IP publique de l’autre serveur. Pour en savoir plus, consultez la rubrique « Création d’un groupe d’adresses » à la page 99. 2 Ouvrez le coupe-feu aux connexions VPN externes en activant les connexions L2TP (port 1701) et IKE NAT Traversal (port 4500) dans le groupe d’adresses « Quelconque ». Pour en savoir plus, consultez la rubrique « Configuration de réglages de services » à la page 96. 3 Créez les règles de filtrage IP avancées suivantes sur la passerelle des deux sites : Règle de filtrage 1 Réglage Action : Autoriser Protocole : UDP Adresse source : Site 1 Adresse de destination : Site 2 Interface : Autre, saisissez « isakmp » Règle de filtrage 2 Réglage Action : Autoriser Protocole : UDP Adresse source : Site 2 Adresse de destination : Site 1 Interface : Autre, saisissez « isakmp » Règle de filtrage 3 Réglage Action : Autoriser Protocole : Autre, saisissez « esp » Adresse source : Site 1 Adresse de destination : Site 2 Règle de filtrage 4 Réglage Action : Autoriser Protocole : Autre, saisissez « esp » Adresse source : Site 2 Adresse de destination : Site 1 Chapitre 6 Utilisation du service VPN 157 Règle de filtrage 5 Réglage Action : Autoriser Protocole : Autre, saisissez « ipencap » Adresse source : Site 1 Adresse de destination : Site 2 Règle de filtrage 6 Réglage Action : Autoriser Protocole : Autre, saisissez « ipencap » Adresse source : Site 2 Adresse de destination : Site 1 Règle de filtrage 7 Réglage Action : Autoriser Protocole : Autre, saisissez « gre » Adresse source : Site 1 Adresse de destination : Site 2 Règle de filtrage 8 Réglage Action : Autoriser Protocole : Autre, saisissez « gre » Adresse source : Site 2 Adresse de destination : Site 1 Pour en savoir plus sur la création de règles avancées, consultez la section « Configuration de règles de coupe-feu avancées » à la page 102. Ces règles autorisent le passage du trafic chiffré aux deux hôtes. 4 Enregistrez vos modifications. 5 Démarrez ou redémarrez le coupe-feu, si nécessaire. Étape 3 : Démarrez le service VPN sur la passerelle des deux sites 1 Pour les deux passerelles VPN, ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle situé à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez VPN. Si vous avez utilisé s2svpnadmin correctement, le bouton Démarrer doit être activé et prêt à l’emploi. 4 Cliquez sur Démarrer VPN. 158 Chapitre 6 Utilisation du service VPN Vous devriez pouvoir accéder à un ordinateur se trouvant sur le réseau local distant à partir du réseau local. Pour vérifier le lien, utilisez ping ou tout autre moyen. Autres sources d’informations Pour en savoir plus sur L2TP/IPSec Le groupe de travail Internet Engineering Task Force (IETF) travaille sur des normes formelles pour l’authentification des utilisateurs par L2TP/IPsec. Pour en savoir plus, consultez www.ietf.org/ids.by.wg/ipsec.html (en anglais). Documents RFC Les documents RFC (Request for Comments) offrent des vues d’ensemble de protocoles ou de services particuliers et présentent de manière détaillée le comportement normal de chaque protocole. Si vous êtes un administrateur de serveur débutant, certaines des informations générales qui figurent dans les documents RFC vous seront certainement utiles. En revanche, si vous êtes un administrateur de serveur confirmé, vous trouverez tous les détails techniques concernant un protocole particulier dans le document RFC correspondant. Vous pouvez rechercher les documents RFC par leur numéro à l’adresse www.ietf.org/rfc.html.  Pour une description de L2TP, consultez RFC 2661.  Pour une description de PPTP, consultez RFC 2637.  Pour Kerberos 5, consultez RFC 1510. Chapitre 6 Utilisation du service VPN 159 7 Utilisation du service RADIUS 7 En configurant un serveur RADIUS avec Open Directory, vous pouvez sécuriser votre environnement sans fil contre les utilisateurs non autorisés. Les réseaux sans fil donnent aux entreprises plus de flexibilité en matière de réseaux en connectant les utilisateurs d’ordinateurs portables au réseau avec une couverture parfaite et en leur donnant la liberté de se déplacer dans l’entreprise tout en restant connectés au réseau. Le présent chapitre décrit comment configurer et utiliser le service destiné aux utilisateurs qui se connectent au réseau par des appels entrants avec authentification à distance « Remote Authentication Dial In User Service » ou « RADIUS » pour maintenir la sécurité de votre réseau sans fil et vous assurer qu’il n’est utilisé que par des utilisateurs autorisés. RADIUS est utilisé pour autoriser les utilisateurs et groupes Open Directory à accéder à des bornes d’accès AirPort sur un réseau. En configurant RADIUS et Open Directory, vous pouvez contrôler l’accès à votre réseau sans fil. RADIUS collabore avec Open Directory et le Serveur de mot de passe pour donner aux utilisateurs autorisés l’accès au réseau via une borne d’accès AirPort. Lorsqu’un utilisateur tente d’accéder à une borne d’accès AirPort, AirPort communique avec le serveur RADIUS en utilisant le protocole Extensible Authentication Protocol (EAP) pour authentifier et autoriser l’utilisateur. Les utilisateurs se voient donner accès au réseau si leurs informations d’authentification d’utilisateur sont valides et s’ils sont autorisés à utiliser la borne d’accès AirPort. Si un utilisateur n’est pas autorisé, il ne peut pas accéder au réseau via la borne d’accès AirPort. Avant de configurer le service RADIUS La présente section contient des informations qu’il faut prendre en compte avant de configurer le service RADIUS sur votre réseau. 161 Configuration initiale du service RADIUS Si vous configurez votre propre serveur RADIUS, suivez les étapes de la présente section. Étape 1 : Activez le service RADIUS Avant de configurer le service RADIUS, activez-le. Consultez la rubrique « Activation du service RADIUS » à la page 162. Étape 2 : Ajoutez des bornes d’accès AirPort à un serveur RADIUS Déterminez quelles bornes d’accès AirPort vous voulez ajouter au serveur RADIUS. Consultez la rubrique « Ajout de bornes d’accès AirPort à un serveur RADIUS » à la page 164. Étape 3 : Configurez la borne d’accès AirPort à distance Utilisez Admin Serveur pour configurer les bornes d’accès AirPort. Consultez la rubrique « Configuration à distance de bornes d’accès AirPort » à la page 165. Étape 4 : Configurez RADIUS de manière à ce qu’il utilise des certificats Utilisez Admin Serveur pour configurer RADIUS de manière à ce qu’il utilise des certificats pour accorder sa confiance aux bornes d’accès. Consultez la rubrique « Configuration à distance de bornes d’accès AirPort » à la page 165. Étape 5 : Démarrez le service RADIUS Pour démarrer le service RADIUS, consultez « Démarrage ou arrêt du service RADIUS » à la page 166. Activation du service RADIUS Pour pouvoir configurer les réglages du service RADIUS, vous devez l’activer dans Admin Serveur. Pour activer le service RADIUS : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur Réglages, puis sur Services. 3 Cochez la case RADIUS. 4 Cliquez sur Enregistrer. Configuration du service RADIUS La présente section décrit comment ajouter des bornes d’accès AirPort à votre serveur RADIUS, configurer des bornes d’accès AirPort à distance et configurer RADIUS de manière à ce qu’il utilise des certificats pour accorder sa confiance aux bornes d’accès AirPort. Les sections suivantes décrivent comment définir ces réglages. La section finale indique comme démarrer le service RADIUS une fois que vous avez fini. 162 Chapitre 7 Utilisation du service RADIUS Configuration de RADIUS à l’aide de l’assistant de configuration Mac OS X Server 10.5 comporte un assistant de configuration pour le service RADIUS. L’assistant de configuration vous guide dans le processus de configuration de RADIUS et démarre RADIUS. Pour configurer RADIUS à l’aide de l’assistant de configuration : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle situé à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez RADIUS. 4 Cliquez sur Vue d’ensemble. 5 Cliquez sur Configurer le service Radius. 6 Dans la sous-fenêtre « Certificat du serveur Radius », sélectionnez l’une des options suivantes : Si vous sélectionnez « choisir un certificat existant », sélectionnez le certificat que vous voulez utiliser dans le menu contextuel, puis cliquez sur Continuer. Si vous voulez créer un certificat auto-signé, sélectionnez « créer un certificat autosigné », puis cliquez sur Continuer. a Saisissez les informations relatives à l’identité. Le nom usuel est le nom de domaine complet du serveur qui utilise les services pour lesquels SSL est activé. b Saisissez les dates de validité de début et de fin. c Sélectionnez une taille pour la clé privée (la taille par défaut est 1024 bits). d Saisissez une phrase clé pour la clé privée, puis cliquez sur Enregistrer. Cette phrase clé devrait être plus sûre qu’un simple mot de passe. Vous devriez utiliser au moins 20 caractères, y compris un mélange de majuscules et de minuscules, des nombres et des signes de ponctuation. Ne répétez pas des caractères et n’utilisez pas de mots qui figurent dans le dictionnaire. e Cliquez sur Continuer. Un message expliquant les certificats auto-signés apparaît. f Cliquez sur Continuer. 7 Dans la liste Bornes d’accès disponibles, sélectionnez la borne d’accès souhaitée, puis cliquez sur Ajouter. Si la borne d’accès a un mot de passe, saisissez-le dans le champ Mot de passe de la borne, puis cliquez sur Ajouter. Si vous voulez supprimer une borne d’accès de la liste Bornes d’accès sélectionnées, sélectionnez-la, puis cliquez sur Supprimer. Chapitre 7 Utilisation du service RADIUS 163 8 Cliquez sur Continuer. 9 Dans la sous-fenêtre Utilisateurs autorisés de RADIUS, vous pouvez restreindre l’accès des utilisateurs. Si vous cochez la case « Autoriser tous les utilisateurs », tous les utilisateurs auront accès aux bornes d’accès sélectionnées. Si vous cochez la case « Restreindre l’accès aux membres du groupe », seuls les utilisateurs d’un groupe peuvent accéder aux bornes d’accès sélectionnées. 10 Cliquez sur Continuer. 11 Dans la sous-fenêtre de confirmation des réglages de RADIUS, assurez-vous que vos réglages sont corrects. Vous pouvez également imprimer ou enregistrer vos réglages de configuration RADIUS. 12 Cliquez sur Confirmer. Ajout de bornes d’accès AirPort à un serveur RADIUS Utilisez la sous-fenêtre Réglages de RADIUS dans Admin Serveur pour ajouter des bornes d’accès AirPort qui vont utiliser le service RADIUS. Vous pouvez ajouter jusqu’à 64 bornes d’accès à RADIUS. Pour ajouter des bornes d’accès AirPort à un serveur RADIUS : 1 Sur l’ordinateur de gestion, ouvrez Admin Serveur. 2 Cliquez sur le triangle situé à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez RADIUS. 4 Cliquez sur Bornes d’accès. 5 Sous la liste Bornes d’accès AirPort, cliquez sur Ajouter. 6 Saisissez les informations suivantes sur la borne d’accès AirPort : Nom : spécifiez le nom de la borne d’accès AirPort. Type : spécifiez le modèle de la borne d’accès AirPort. Adresse IP : spécifiez l’adresse IP de la borne d’accès AirPort. Secret partagé et Vérifier : le secret partagé n’est pas un mot de passe pour l’authentification et ne génère pas de clés de chiffrement pour établir des tunnels entre les nœuds. Il s’agit d’un jeton que les systèmes de gestion de clés utilisent pour se faire mutuellement confiance. Le secret partagé doit être saisi sur le serveur et le client. 7 Cliquez sur Ajouter. 164 Chapitre 7 Utilisation du service RADIUS Configuration à distance de bornes d’accès AirPort Vous pouvez configurer à distance des bornes d’accès AirPort de manière à ce qu’elles utilisent un serveur RADIUS dans Admin Serveur. Pour configurer à distance des bornes d’accès AirPort de manière à ce qu’elles utilisent un serveur RADIUS : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle situé à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez RADIUS. 4 Cliquez sur Bornes d’accès. 5 Sélectionnez la borne d’accès AirPort dans la liste Bornes d’accès AirPort, puis cliquez sur Modifier. Si vous êtes invité à saisir un mot de passe, tapez le mot de passe de l’administrateur de la borne d’accès. 6 Cliquez sur OK. Configuration de RADIUS de manière à ce qu’il utilise des certificats Vous pouvez utiliser Admin Serveur pour configurer RADIUS de manière à ce qu’il utilise des certificats personnalisés. L’utilisation de certificats améliore la sécurité et la gérabilité des bornes d’accès AirPort. Pour utiliser un certificat personnalisé : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle situé à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez RADIUS. 4 Cliquez sur Réglages. 5 Dans le menu contextuel Certificat RADIUS, sélectionnez un certificat. Si vous disposez d’un certificat personnalisé, choisissez Configuration personnalisée dans le menu contextuel Certificat et saisissez le chemin d’accès au fichier du certificat, au fichier de la clé privée et au fichier de l’autorité de certificat. Si la clé privée est chiffrée, saisissez la phrase clé de la clé privée, puis cliquez sur OK. Si vous ne disposez pas d’un certificat et souhaitez en créer un, cliquez sur Gérer les certificats. Pour en savoir plus sur la création de certificats, consultez la section Administration du serveur. 6 Cliquez sur Enregistrer. Chapitre 7 Utilisation du service RADIUS 165 Archivage des historiques du service RADIUS Le service RADIUS crée des entrées pour les messages d’erreur et d’alerte dans l’historique système. Vous pouvez archiver ces entrées d’historique à l’aide d’Admin Serveur. Pour archiver des historiques : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle situé à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez RADIUS. 4 Cliquez sur Réglages. 5 Cochez la case « Archiver les fichiers d’historiques de rayon pour les derniers __ jours », puis saisissez le nombre de jours à archiver. 6 Cliquez sur Enregistrer. Démarrage ou arrêt du service RADIUS Utilisez Admin Serveur pour démarrer ou arrêter le service RADIUS. Lorsque vous arrêtez le service, assurez-vous qu’aucun utilisateur n’est connecté aux bornes d’accès AirPort que votre serveur RADIUS gère. Pour démarrer ou arrêter le service RADIUS : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle situé à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez RADIUS. 4 Cliquez sur Démarrer RADIUS ou Arrêter RADIUS sous la liste Serveurs. L’arrêt ou le démarrage du service peut prendre quelques secondes. Gestion du service RADIUS La présente section décrit les tâches courantes que vous pouvez effectuer une fois que le service RADIUS est configuré sur votre serveur. Vérification de l’état du service RADIUS Vous pouvez utiliser Admin Serveur pour vérifier l’état du service RADIUS. Pour vérifier l’état du service RADIUS : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle situé à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez RADIUS. 166 Chapitre 7 Utilisation du service RADIUS 4 Cliquez sur Vue d’ensemble pour vérifier si le service est en service, le nombre de bornes d’accès clientes et quand il a démarré. Affichage d’historiques du service RADIUS Le service RADIUS crée des entrées pour les messages d’erreur et d’alerte dans l’historique système. Vous pouvez filtrer le contenu de l’historique afin de restreindre le nombre d’entrées affichées et accéder plus facilement à celles qui vous intéressent. Pour afficher les historiques, procédez de la manière suivante : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle situé à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez RADIUS. 4 Cliquez sur Historiques. 5 Sélectionnez l’historique à afficher (radiusconfig ou radiusd). Pour rechercher des entrées spécifiques, utilisez le champ Filtre au-dessous de l’historique. Modification de l’accès au service RADIUS Vous pouvez restreindre l’accès au service RADIUS en créant un groupe d’utilisateurs et en ajoutant ce groupe à la liste de contrôle d’accès de service (SACL) de RADIUS. Pour modifier l’accès au service RADIUS : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle situé à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez RADIUS. 4 Cliquez sur Réglages, puis cliquez sur « Modifier les utilisateurs autorisés ». 5 Sélectionnez « Pour les services sélectionnés », puis RADIUS. 6 Sélectionnez « Autoriser les utilisateurs et groupes ci-dessous ». 7 Cliquez sur le bouton Ajouter (+). 8 Dans la liste Utilisateurs et groupes, faites glisser des utilisateurs ou des groupes d’utilisateurs dans la liste « Autoriser les utilisateurs et groupes ci-dessous ». Si vous voulez supprimer des utilisateurs de la liste « Autoriser les utilisateurs et groupes ci-dessous », sélectionnez les utilisateurs ou groupes d’utilisateurs, puis cliquez sur le bouton Supprimer ( - ). Seuls les utilisateurs qui figurent dans la liste peuvent utiliser le service RADIUS. Chapitre 7 Utilisation du service RADIUS 167 Suppression de bornes d’accès AirPort Vous pouvez utiliser Admin Serveur pour supprimer des bornes d’accès AirPort du serveur RADIUS. Lorsque vous supprimez des bornes d’accès AirPort, assurez-vous que les bornes sont déconnectées du réseau. À défaut, des utilisateurs non autorisés pourraient avoir accès à votre réseau. Pour supprimer des bornes d’accès AirPort : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle situé à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez RADIUS. 4 Cliquez sur Bornes d’accès. 5 Dans la liste Borne d’accès AirPort, sélectionnez la borne d’accès à supprimer, puis cliquez sur Supprimer. 6 Confirmez que vous voulez supprimer la borne d’accès en cliquant de nouveau sur Supprimer. Modification d’un enregistrement de borne d’accès AirPort Vous pouvez utilisateur Admin Serveur pour modifier un enregistrement de borne d’accès AirPort de votre serveur RADIUS. Pour modifier un enregistrement de borne d’accès AirPort : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle situé à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez RADIUS. 4 Cliquez sur Bornes d’accès. 5 Dans la liste Borne d’accès AirPort, sélectionnez la borne d’accès à modifier, puis cliquez sur Modifier. 6 Modifiez les informations sur la borne d’accès, puis cliquez sur Enregistrer. Enregistrement du fichier de connexion à Internet d’une borne d’accès AirPort Vous pouvez utiliser Admin Serveur pour enregistrer le fichier de connexion à Internet d’une borne d’accès AirPort. Pour enregistrer le fichier de connexion à Internet d’une borne d’accès AirPort : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 168 Chapitre 7 Utilisation du service RADIUS 2 Cliquez sur le triangle situé à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez RADIUS. 4 Cliquez sur Bornes d’accès. 5 Dans la liste Borne d’accès AirPort, sélectionnez la borne d’accès. 6 Cliquez sur « Enregistrer le fichier de connexion à Internet ». 7 Dans le champ Enregistrer sous, saisissez le nom du fichier. 8 Dans le menu contextuel Emplacement, sélectionnez l’emplacement où vous voulez enregistrer le fichier. 9 Dans le champ Nom de réseau sans fil (SSID), saisissez le nom du réseau sans fil. 10 Cliquez sur Enregistrer. Chapitre 7 Utilisation du service RADIUS 169 8 Utilisation du service NTP 8 Il est primordial d’utiliser le service NTP pour synchroniser les horloges pour éviter la confusion que peuvent provoquer les horodatages désynchronisés. Un horodatage correct est important des systèmes de partage de fichiers aux services de facturation. Il se peut toutefois que les horloges des ordinateurs d’un réseau affichent des heures très différentes. Le protocole Network Time Protocol (NTP) est utilisé pour synchroniser les horloges d’ordinateurs connectés en réseau avec une horloge de référence. NTP vous aide à vous assurer que tous les ordinateurs d’un réseau sont réglés sur la même heure. Lorsqu’un réseau isolé (ou même un seul ordinateur) est désynchronisé, les services qui utilisent les estampilles temporelles (comme le service de courrier ou le service web avec les cookies datés) envoient des estampilles temporelles fausses et désynchronisées aux autres ordinateurs sur Internet. Par exemple, un message électronique pourrait arriver des minutes voire des années avant son envoi (d’après l’estampille temporelle) et une réponse à ce message pourrait parvenir à destination avant l’envoi de l’original ! Comme NTP fonctionne NTP utilise le temps universel coordonné (en anglais « Universal Time Coordinated » ou « UTC ») comme temps de référence. Le temps universel coordonné est calculé à partir d’une résonance atomique, c’est pourquoi l’on appelle souvent les horloges synchronisées sur le temps universel coordonné des « horloges atomiques ». Sur Internet, les serveurs NTP faisant autorité (on les appelle des serveurs Stratum 1) gèrent l’heure courante du temps universel coordonné. D’autres serveurs subordonnés (on les appelle les serveurs Stratum 2 et 3) interrogent régulièrement les serveurs Stratum 1 et estiment le temps qu’ont pris l’envoi et la réception de la requête. Ils corrigent ensuite le résultat de la requête avec ces estimations pour régler l’heure des serveurs Stratum 2 ou 3. Ces estimations sont correctes à la nanoseconde près. 171 Votre réseau local peut, à son tour, interroger des serveurs Stratum 3 pour connaître l’heure exacte. Un ordinateur client NTP de votre réseau va alors chercher l’heure de référence en temps universel coordonné et la convertit à l’aide de son propre réglage de fuseau horaire dans l’heure locale, puis règle son horloge interne en conséquence. Utilisation de NTP sur votre réseau Mac OS X Server peut agir comme client NTP pour recevoir l’heure faisant autorité de la part d’un serveur d’horloge Internet et comme serveur d’horloge faisant autorité dans un réseau. Vos clients locaux peuvent interroger votre serveur pour régler leur horloge. Si vous configurez votre serveur de manière à ce qu’il réponde aux requêtes en matière d’heure, configurez-le également de manière à ce qu’il interroge un serveur d’horloge faisant autorité sur Internet. Configuration du service NTP Si vous activez le service NTP sur votre réseau, assurez-vous que le serveur NTP que vous désignez peut accéder à un serveur d’horloge faisant autorité plus élevé dans la hiérarchie. Apple met un serveur d’horloge Stratum 2 à la disposition de ses clients à l’adresse time.apple.com. Assurez-vous que votre coupe-feu autorise les requêtes NTP vers un serveur d’horloge faisant autorité sur le port UDP 123 et les requêtes entrantes provenant des clients locaux sur le même port. Pour en savoir plus, consultez le chapitre 4, « Utilisation du service de coupe-feu ». Pour configurer le service NTP : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur Réglages, puis sur Date et heure. 3 Assurez-vous que votre serveur est configuré de manière à régler la date et l’heure automatiquement. 4 Dans le menu contextuel, sélectionnez le serveur que vous voulez utiliser comme serveur d’horloge. 5 Cliquez sur Général. 6 Cochez la case « Serveur d’horloge de réseau (NTP) ». 7 Cliquez sur Enregistrer. 172 Chapitre 8 Utilisation du service NTP Configuration de NTP sur des clients Si vous disposez d’un serveur d’horloge local, vous pouvez configurer vos clients de manière à ce qu’ils interrogent votre propre serveur d’horloge lorsqu’ils ont besoin de la date et l’heure réseau. Par défaut, les clients peuvent interroger le serveur d’horloge d’Apple. Utilisez les instructions qui suivent pour configurer vos clients de manière à ce qu’ils interrogent votre propre serveur d’horloge. Pour configurer NTP sur des clients : 1 Ouvrez Préférences Système. 2 Cliquez sur Date et heure. 3 Cochez la case Régler automatiquement. 4 Sélectionnez et supprimez le texte qui figure dans le champ plutôt que d’utiliser le menu contextuel. 5 Saisissez le nom d’hôte de votre serveur d’horloge. Le nom d’hôte peut être soit un nom de domaine (comme heure.exemple.com) soit une adresse IP. 6 Fermez les Préférences Système. Autres sources d’informations Le groupe de travail, la documentation et la foire aux questions relatifs à NTP se trouvent à l’adresse www.ntp.org. La liste des serveurs NTP accessibles publiquement et leurs politiques d’utilisation se trouvent à l’adresse support.ntp.org/bin/view/Servers/WebHome. Documents RFC Les documents RFC (Request for Comments) offrent des vues d’ensemble de protocoles ou de services particuliers et présentent de manière détaillée le comportement normal de chaque protocole. Si vous êtes un administrateur de serveur débutant, certaines des informations générales qui figurent dans les documents RFC vous seront certainement utiles. En revanche, si vous êtes un administrateur de serveur confirmé, vous trouverez tous les détails techniques concernant un protocole particulier dans le document RFC correspondant. Vous pouvez rechercher les documents RFC par leur numéro à l’adresse www.ietf.org/rfc.html. La spécification officielle de NTP version 3 est RFC 1305. Chapitre 8 Utilisation du service NTP 173 9 Prise en charge d’un réseau local virtuel 9 L’utilisation d’un réseau local virtuel (en anglais « Virtual Local Area Network » ou « VLAN ») permet d’empêcher les retards et la perte de données dans les environnements dans lesquels le trafic réseau est extrêmement important. Les réseaux locaux virtuels permettent à plusieurs ordinateurs se trouvant sur différents réseaux locaux physiques de communiquer entre eux comme s’ils se trouvaient sur le même réseau local. Cette solution présente comme avantages une utilisation plus efficace de la bande passante réseau et une meilleure sécurité, car le trafic de diffusion ou de multidiffusion n’est envoyé qu’aux ordinateurs situés sur le segment de réseau commun. Mac OS X Server prend en charge les réseaux locaux virtuels 802.1q sur les ports Ethernet et les cartes Gigabit Ethernet PCI secondaires disponibles ou intégrées aux serveurs Xserve. La prise en charge des réseaux locaux virtuels par le Xserve G5 est conforme à la norme standard IEEE 802.1q. Configuration de l’adhésion des clients à un réseau local virtuel Pour configurer et gérer des réseaux locaux virtuels, utilisez la zone VLAN de la sousfenêtre Réseau de Préférences Système. Assurez-vous que les ports utilisés par les appareils qui ne sont pas dans les réseaux locaux virtuels (c’est-à-dire non compatibles avec la norme 802.1q) sont configurés pour transmettre des cadres non balisés. Si un appareil Ethernet non compatible reçoit un cadre balisé, il n’est pas en mesure de comprendre la balise du réseau local virtuel et ignore le cadre. Remarque : la zone VLAN de la sous-fenêtre Réseau n’est visible que si votre matériel, comme les systèmes Xserve G5, prennent en charge cette fonctionnalité. 175 Pour configurer un réseau local virtuel : 1 Ouvrez une session sur votre serveur en tant qu’administrateur. 2 Ouvrez la sous-fenêtre Réseau des Préférences Système. 3 Cliquez sur le menu contextuel Action et sélectionnez « Gérer les interfaces virtuelles ». 4 Cliquez sur le bouton Ajouter (+) et sélectionnez Nouveau réseau VLAN. 5 Dans le champ Nom du réseau VLAN, saisissez le nom du réseau VLAN. 6 Dans le champ Balise, saisissez une balise (un nombre entre 1 et 4094). Cette balise de réseau VLAN détermine l’identifiant du réseau VLAN (VID). Chaque réseau logique possède un identifiant du réseau VLAN unique. Les interfaces configurées avec le même identifiant de réseau VLAN se trouvent sur le même réseau virtuel. 7 Sélectionnez l’interface. 8 Cliquez sur Créer. 9 Cliquez sur Terminé. Autres sources d’informations Pour en savoir plus sur les réseaux locaux virtuels sur Internet Visitez www.ieee.org. La norme VLAN est définie par l’IEEE. Document de référence Un document de référence fournit une vue d’ensemble d’un protocole et contient des détails sur la manière dont le protocole doit se comporter. Si vous êtes un administrateur de serveur débutant, certaines des informations générales qui figurent dans un document de référence vous seront certainement utiles. En revanche, si vous êtes un administrateur de serveur confirmé, vous trouverez tous les détails techniques concernant un protocole particulier dans son document de référence. Le document de référence est disponible à l’adresse standards.ieee.org/getieee802/download/802.1Q-1998.pdf (en anglais). 176 Chapitre 9 Prise en charge d’un réseau local virtuel 10 Prise en charge d’IPv6 10 Internet Protocol Version 6 (IPv6) est le protocole Internet nouvelle génération conçu pour remplacer le protocole Internet actuel. Le protocole Internet actuel, IP version 4 (IPv4 ou juste IP), commence à peiner pour suivre la croissance et la popularité d’Internet. Les principaux problèmes d’IPv4 sont les suivants :  Adressage IP limité : les adresses IPv4 utilisent 32 bits, ce qui signifient qu’il n’y a que 4.300.000.000 d’adresses réseau.  Charge de plus en plus lourde en matière de routage et de configuration : les coûts, la mémoire et le temps nécessaires pour router des informations IPv4 augmente rapidement comme de plus en plus d’ordinateurs se connectent à Internet à un débit de plus en plus élevé.  Communication de bout en bout qui est systématiquement mise en échec : ce problème est en réalité une conséquence du problème d’adressage d’IPv4. Lorsque le nombre d’ordinateurs a augmenté et la pénurie d’adresses est devenue plus sévère, un autre service d’adressage et de routage a été développé : Network Address Translation (NAT). NAT s’interpose entre deux extrémités réseau. Cela contrarie un certain nombre de services réseau et est limitatif. IPv6 corrige certains de ces problèmes et aide à en éviter d’autres. Il améliore l’autoconfiguration du routage et du réseau, augmente le nombre d’adresses réseau à plus de 3x1038 et rend l’utilisation de NAT superflue. IPv6 devrait remplacer graduellement IPv4 pendant une période de transition de plusieurs années au cours de laquelle les deux protocoles devraient coexister. Le présent chapitre énumère les services compatibles avec IPv6 utilisés par Mac OS X Server, donne des instructions permettant d’utiliser les adresses IPv6 dans ces services et explique les différents types d’adresses IPv6 et leur notation. 177 Services compatibles avec IPv6 Les services suivants, dans Mac OS X Server, prennent en charge l’adressage IPv6 :  DNS (BIND)  coupe-feu  courrier (POP/IMAP/SMTP)  Windows (SMB/CIFS)  web (Apache 2) Un certain nombre d’outils en ligne de commande installés avec Mac OS X Server prennent en charge IPv6 (par exemple, ping6 et traceroute6). Prise en charge des adresses IPv6 dans Admin Serveur Les services ci-avant prennent en charge les adresses IPv6, mais pas dans Admin Serveur. Les adresses IPv6 ne fonctionnent pas si vous les saisissez dans les champs pour les adresses IP de Admin Serveur. Les adresses IPv6 de ces services peuvent être configurées à l’aide d’outils en ligne de commande et en éditant des fichiers de configuration. Adresses IPv6 Les adresses IPv6 sont différentes des adresses IPv4. Il existe des différences concernant la notation des adresses, les adresses réservées, le modèle d’adresses et les types d’adresses. Notation Les adresses IPv4 font 4 octets de long et sont exprimées sous la forme de décimales. Les adresses IPv6, par contre, font 16 octets de long et peuvent être exprimées de différentes manières. Les adresses IPv6 sont généralement écrites sous la forme suivante : xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx L’adresse est subdivisée en paires d’octets séparées par des deux-points. Chaque octet est représenté sous la forme d’une paire de nombres hexadécimaux. L’adresse suivante est au format IPv6 : E3C5:0000:0000:0000:0000:4AC8:C0A8:6420 Elle peut être abrégée comme suit : E3C5:0:0:0:0:4AC8:C0A8:6420 178 Chapitre 10 Prise en charge d’IPv6 Les adresses IPv6 contiennent souvent des octets de valeur zéro, une notation abrégée est donc disponible. Dans la notation abrégée, les valeurs zéro de la représentation de texte sont supprimées et les deux-points sont écrits les uns à côté des autres, comme ceci : E3C5::4AC8:C0A8:6420 Comme beaucoup d’adresses IPv6 sont des extensions d’adresses IPv4, les 4 derniers octets d’une adresse IPv6 (les 2 dernières paires d’octets) peuvent être écrits dans la notation IPv4. Dans cette notation mixte, l’exemple ci-avant peut être exprimé comme suit : E3C5::4AC8:192.168.100.32 Adresses IPv6 réservées IPv6 réserve deux adresses que les nœuds réseau ne peuvent pas utiliser pour la communication : 0:0:0:0:0:0:0:0 (adresse non spécifiée, interne au protocole) 0:0:0:0:0:0:0:1 (adresse de bouclage, comme 127.0.0.1 dans IPv4) Modèle d’adressage IPv6 Les adresses IPv6 sont assignées à des interfaces (par exemple, à votre carte Ethernet) et non à des nœuds (par exemple, votre ordinateur). Une même interface peut recevoir plusieurs adresses IPv6. Une même adresse IPv6 peut en outre être assignée à plusieurs interfaces pour répartir la charge. Les routeurs n’ont pas besoin d’une adresse IPv6, il n’est donc pas nécessaire de configurer les routeurs pour les monodiffusions de point à point. IPv6 n’utilise pas les classes d’adresses IPv4. Types d’adresses IPv6 IPv6 prend en charge les types d’adresses IP suivants :  Monodiffusion (communication de un à un)  Multidiffusion (communication de un à plusieurs)  Diffusion à la cantonade IPv6 ne prend pas en charge la simple diffusion. La multidiffusion est préférée pour les diffusions réseau. Pour le reste, la monodiffusion et la multidiffusion d’IPv6 sont identiques à celles d’IPv4. Les adresses de multidiffusion d’IPv6 commencent par « FF » (255). La diffusion à la cantonade est une variante de la multidiffusion. La multidiffusion délivre les messages à tous les nœuds du groupe de multidiffusion. Par contre, la diffusion à la cantonade ne délivre les messages qu’à un seul nœud du groupe de multidiffusion. Chapitre 10 Prise en charge d’IPv6 179 Création d’une passerelle d’IPv4 à IPv6 Mac OS X Server comporte une passerelle d’IPv4 à IPv6 qui permet le déploiement de services serveur utilisant IPv4 dans les réseaux IPv6 en vue de faciliter la transition d’un système à l’autre. Vous pouvez configurer la passerelle d’IPv4 à IPv6 en configurant « 6 à 4 » dans les préférences Réseau de votre serveur. Important : vous devez disposer d’une adresse IPv4 publique (une adresse IP fournie par votre FAI) et vous ne pouvez pas vous trouver derrière une passerelle ou NAT. Pour configurer une passerelle « 6 à 4 » : 1 Ouvrez les Préférences Système et cliquez sur Réseau. 2 Sous la liste Interfaces, cliquez sur le bouton Ajouter (+). 3 Dans le menu contextuel Interface, choisissez « 6 à 4 ». 4 Dans le champ Nom du service, saisissez un nom de service unique, puis cliquez sur Créer. 5 Si vous disposez d’une adresse relais, choisissez Manuellement dans le menu contextuel Configuration, puis saisissez-la. À défaut, laissez le menu contextuel Configuration réglé sur Automatiquement. 6 Cliquez sur Appliquer. Autres sources d’informations Le site web du groupe de travail d’IPv6 est www.ipv6.org. Un groupe de passionnés d’IPv6 tient à jour la liste des applications qui prennent en charge IPv6 à l’adresse www.ipv6forum.com. Documents RFC Les documents RFC (Request for Comments) offrent des vues d’ensemble de protocoles ou de services particuliers et présentent de manière détaillée le comportement normal de chaque protocole. Si vous êtes un administrateur de serveur débutant, certaines des informations générales qui figurent dans les documents RFC vous seront certainement utiles. En revanche, si vous êtes un administrateur de serveur confirmé, vous trouverez tous les détails techniques concernant un protocole particulier dans le document RFC correspondant. Vous pouvez rechercher les documents RFC par leur numéro à l’adresse www.ietf.org/rfc.html. 180 Chapitre 10 Prise en charge d’IPv6 Il existe plus de 29 documents RFC liés à IPv6. Vous trouverez la liste à l’adresse www.ipv6.org/specs.html. Sous la liste « Accepter les requêtes récursives sur les réseaux suivants », cliquez sur le bouton Ajouter (+) pour ajouter des réseaux à partir desquels les requêtes récursives sont acceptées, puis saisissez l’adresse du réseau dans la liste. Sous la liste « Adresses IP du réexpéditeur », cliquez sur le bouton Ajouter (+) pour ajouter les réseaux auxquels les requêtes non autorisées doivent être envoyées, puis saisissez l’adresse du réseau dans la liste. Chapitre 10 Prise en charge d’IPv6 181 Glossaire Glossaire ACL Liste de contrôle d’accès. Liste maintenue par un système et définissant les autorisations dont disposent des utilisateurs et des groupes pour accéder aux ressources du système. administrateur de liste Administrateur d’une liste d’envoi. Les administrateurs de liste peuvent ajouter des abonnés à une liste d’envoi ou en supprimer et désigner d’autres administrateurs de liste. Ils ne sont pas nécessairement administrateurs de l’ordinateur local ou du domaine. adresse Nombre ou tout autre identifiant permettant d’identifier de façon unique un ordinateur sur un réseau, un bloc de données stockées sur un disque ou un emplacement dans la mémoire d’un ordinateur. Voir aussi adresse IP et adresse MAC. Adresse IP Adresse numérique unique qui identifie un ordinateur sur Internet. adresse IP dynamique Adresse IP attribuée pour une durée limitée ou jusqu’à ce que l’ordinateur client n’en ait plus besoin. adresse IP statique Adresse IP attribuée une seule fois à un ordinateur ou à un périphérique et qui ne change jamais. adresse MAC Adresse « Media Access Control » (contrôle d’accès au support). Adresse matérielle identifiant de façon unique chaque nœud d’un réseau. Dans le cas de périphériques AirPort, l’adresse MAC est appelée identifiant AirPort. attaque par déni de service Voir attaque par DoS. attaque par DoS Attaque par déni de service. Attaque Internet utilisant des milliers de pings réseau pour empêcher l’utilisation légitime d’un serveur. autorisations Réglages déterminant le type d’accès dont les utilisateurs bénéficient pour partager des éléments dans un système de fichiers. Vous pouvez attribuer quatre types d’autorisation pour un point de partage, un dossier ou un fichier : Lecture et écriture, Lecture seule, Écriture seule et Aucun accès. Voir aussi privilèges. 183 autorité de certificat Autorité émettant et gérant des certificats numériques, afin d’assurer la transmission sécurisée des données à travers un réseau public. Voir aussi certificat, infrastructure de clé publique. bidouilleur Personne qui apprécie la programmation et explore les différentes manières de programmer de nouvelles fonctionnalités et d’augmenter les capacités d’un système informatique. Voir aussi pirate. bit Unité d’information unique de valeur égale à 0 ou 1. caractère Synonyme d’octet. caractère générique Plage de valeurs possibles pour tout segment d’une adresse IP. carte d’interface réseau Voir carte réseau. certificat Parfois appelé « certificat d’identité » ou « certificat de clé publique ». Fichier de format spécifique (Mac OS X Server utilise le format X.509) contenant la clé publique d’une paire de clés publique et privée, les informations d’identification de l’utilisateur, par exemple son nom et ses coordonnées, ainsi que la signature numérique émise par une Autorité de certificat ou l’utilisateur de la clé. CHAP Protocole Challenge Handshake Authentication Protocol. Protocole d’authentification courant. Voir aussi MS-CHAP. chemin de recherche Voir politique de recherche. chiffrement Processus de codification de données destiné à les rendre illisibles sans la connaissance d’un algorithme particulier. Généralement utilisé dans le cadre de communications secrètes ou confidentielles. Voir aussi déchiffrement. contrôle d’accès Méthode consistant à contrôler quels ordinateurs peuvent accéder à un réseau ou à des services réseau. coupe-feu Logiciel chargé de protéger les applications réseau exécutées sur votre serveur. Le service de coupe-feu IP, partie intégrante du logiciel Mac OS X Server, analyse les paquets IP entrants et accepte ou refuse ces paquets en s’appuyant sur un ensemble de filtres que vous créez. démon nfsd Processus de serveur NFS qui s’exécute de manière continue en arrièreplan et qui traite les requêtes de protocole NFS et de montage émises par des clients. nfsd peut avoir plusieurs segments. Plus le nombre d’unités d’exécution de serveur NFS est élevé, plus le nombre d’accès simultanés est élevé. 184 Glossaire DHCP Initiales de « Dynamic Host Configuration Protocol » (protocole de configuration dynamique d’hôtes). Protocole utilisé pour distribuer de manière dynamique des adresses IP à des ordinateurs clients. Chaque fois qu’un ordinateur client démarre, le protocole recherche un serveur DHCP, puis demande une adresse IP au serveur DHCP qu’il trouve. Le serveur recherche alors une adresse IP disponible et la transmet à l’ordinateur client en l’accompagnant d’une « durée de bail », durée pendant laquelle l’ordinateur client peut utiliser l’adresse. diffusion Dans un réseau, transmission d’un message ou de données pouvant être lues par tout client du réseau. La diffusion peut être réalisée en monodiffusion (envoi d’un message à un ordinateur spécifique) ou en multidiffusion (envoi d’un message à un sous-ensemble d’ordinateurs). Dans QuickTime Streaming Server, processus de transmission d’une copie de flux de données sur l’ensemble d’un réseau. DNS Domain Name System. Base de données distribuée qui fait correspondre des adresses IP à des noms de domaines. Un serveur DNS, appelé également serveur de noms, conserve la liste des noms et des adresses IP associées à chaque nom. Domain Name System Voir DNS. domaine DNS Nom unique d’un ordinateur, utilisé dans le système DNS (Domain Name System) pour convertir les adresses IP et les noms. Également appelé nom de domaine. domaine local Domaine de répertoire accessible uniquement par l’ordinateur sur lequel il réside. durée de bail DHCP Voir période de bail. Dynamic Host Configuration Protocol Voir DHCP. EAP Extensible Authentication Protocol. Protocole d’authentification qui prend en charge plusieurs méthodes d’authentification. enregistrement d’échange de courrier Voir enregistrement MX. enregistrement MX Enregistrement d’échange de courrier. Entrée d’un tableau DNS qui spécifie l’ordinateur qui gère le courrier pour un domaine Internet. Lorsqu’un serveur de messagerie doit distribuer du courrier à un domaine Internet, il demande l’enregistrement MX du domaine concerné. Le serveur envoie le message à l’ordinateur spécifié dans l’enregistrement MX. enregistrement pointeur Voir enregistrement PTR. enregistrement PTR Enregistrement pointeur. Type d’enregistrement DNS qui traduit les adresses IP (IPv4) en noms de domaine. Utilisé dans les recherches inversées DNS. Glossaire 185 enregistrement TXT Enregistrement de texte. Type d’enregistrement DNS qui stocke la chaîne de texte à envoyer comme réponse aux requêtes DNS. équilibrage de la charge Processus qui consiste à répartir sur plusieurs services les demandes de services réseau effectuées par les ordinateurs clients, afin d’optimiser les performances. étendue Groupe de services. Une étendue peut consister en un regroupement d’ordinateurs logique (tous les ordinateurs utilisés par le service de production par exemple) ou physique (tous les ordinateurs situés au premier étage par exemple). Vous pouvez utiliser une partie ou la totalité de votre réseau pour définir une étendue. Ethernet Technologie de mise en réseau locale avec laquelle les données sont transmises sous forme d’unités appelées paquets à l’aide de protocoles tels que TCP/IP. FAI Fournisseur d’accès à Internet. Entreprise qui vend un accès à Internet et qui fournit généralement un service d’hébergement web pour des applications de commerce électronique, ainsi que des services de messagerie. filtre Méthode de contrôle de l’accès à un serveur. Un filtre se compose d’une adresse IP et d’un masque de sous-réseau et, parfois, d’un numéro de port et d’un type d’accès. L’adresse IP et le masque de sous-réseau déterminent la plage d’adresses IP auquel le filtre s’applique. fournisseur d’accès à Internet Voir FAI. FTP Initiales de « File Transfer Protocol » (protocole de transfert de fichiers). Protocole permettant à des ordinateurs de transférer des fichiers sur un réseau. Les clients FTP, utilisant tout système d’exploitation capable de prendre en charge le protocole FTP, peuvent se connecter à un serveur de fichiers et télécharger des fichiers, en fonction de leurs autorisations d’accès. La plupart des navigateurs Internet et un certain nombre de graticiels permettent d’accéder aux serveurs FTP. gigaoctet Voir Go. Go Gigaoctet. 1 073 741 824 (230) octets. Groupe de travail Ensemble d’utilisateurs pour lesquels vous êtes chargé de définir les préférences et les privilèges d’accès en tant que groupe. Toutes les préférences que vous définissez pour un groupe sont stockées dans le compte du groupe. HTTP Hypertext Transfer Protocol. Protocole client/serveur pour le web. Le protocole HTTP permet aux navigateurs web d’accéder à un serveur web et de demander des documents hypermédias créés avec du code HTML. Hypertext Transfer Protocol Voir HTTP. 186 Glossaire IANA Initiales de « Internet Assigned Numbers Authority » (autorité d’attribution des numéros sur Internet). Organisation responsable de l’allocation des adresses IP, de l’attribution des paramètres de protocole et de la gestion des noms de domaine. ICMP Initiales de « Internet Control Message Protocol ». Protocole de messages de contrôle et de rapports d’erreurs utilisé entre serveurs hôtes et passerelles. Par exemple, certaines applications Internet exploitent le protocole ICMP pour envoyer un paquet en aller-retour entre deux hôtes pour déterminer les durées d’aller-retour et détecter ainsi des problèmes éventuels sur le réseau. identifiant Ethernet Voir adresse MAC. IEEE Initiales de « Institute of Electrical and Electronics Engineers, Inc. », un organisme dédié à la promotion de normes dans les domaines de l’informatique et de l’ingénierie électrique. IGMP Initiales de « Internet Group Management Protocol ». Protocole Internet utilisé par les hôtes et les routeurs pour envoyer des paquets à des listes d’hôtes cherchant à participer à un processus appelé multidiffusion. QTSS (QuickTime Streaming Server) exploite l’adressage par multidiffusion, tout comme le protocole SLP (Service Location Protocol). interface de ligne de commande Manière d’interagir avec l’ordinateur (par exemple, pour exécuter des programmes ou modifier des autorisations de système de fichiers) en saisissant des commandes de texte à une invite de shell. Voir aussi shell ; invite de shell. interface réseau Connexion matérielle de votre ordinateur à un réseau. Les connexions Ethernet, les cartes AirPort et les connexions FireWire en sont des exemples. Internet Ensemble de réseaux d’ordinateurs interconnectés qui communiquent à travers un protocole commun (TCP/IP). Internet est le système public de réseaux d’ordinateurs interconnectés le plus étendu au monde. Internet Assigned Numbers Authority Voir IANA. Internet Control Message Protocol Voir ICMP. Internet Group Management Protocol Voir IGMP. Internet Message Access Protocol Voir IMAP. Internet Protocol Voir IP. invite du shell Caractère qui apparaît au début d’une ligne dans une interface de ligne de commande et qui indique que l’on peut saisir une commande. Glossaire 187 IP Internet Protocol. Également désigné par IPv4. Méthode utilisée conjointement avec le protocole TCP (Transmission Control Protocol) pour envoyer des données d’un ordinateur à un autre via un réseau local ou via Internet. Le protocole IP envoie les paquets de données, alors que le protocole TCP se charge de leur suivi. IPSec Ajout de sécurité au protocole IP. Protocole chargé de la sécurité dans les transmissions de données pour les connexions L2TP VPN. IPSec agit au niveau de la couche réseau, assurant la protection et l’authentification des paquets IP entre les nœuds IPSec participants. IPv4 Voir IP. IPv6 Initiales de « Internet Protocol version 6 ». Protocole de communication de nouvelle génération destiné à remplacer le protocole IP (également appelé IPv4). IPv6 autorise un plus grand nombre d’adresses réseau et peut réduire les charges de routage à travers Internet. Ko Kilo-octet. 1 024 (210) octets. L2TP Initiales de « Layer Two Tunnelling Protocol ». Protocole de transport réseau utilisé pour les connexions VPN. Il s’agit avant tout d’une combinaison des protocoles L2F de Cisco et PPTP. Comme L2TP n’est pas un protocole de chiffrement, il utilise le complément IPSec pour le chiffrement des paquets. LAN Initiales de « Local Area Network » (réseau local). Réseau maintenu au sein d’un établissement, contrairement à un WAN (réseau étendu) qui relie des établissements géographiquement distincts. LDAP Initiales de « Lightweight Directory Access Protocol ». Protocole client-serveur standard permettant l’accès à un domaine de répertoire. Lightweight Directory Access Protocol Voir LDAP. ligne de commande Texte que vous tapez après une invite de shell lorsque vous utilisez une interface de ligne de commande. liste de contrôle d’accès Voir ACL. Mac OS X La dernière version du système d’exploitation d’Apple. Mac OS X allie la fiabilité d’UNIX à la facilité d’emploi de Macintosh. Mac OS X Server Plate-forme de serveur puissante, capable de gérer immédiatement les clients Mac, Windows, UNIX et Linux et offrant un ensemble de services de réseau et de groupes de travail extensible, ainsi que des outils perfectionnés de gestion à distance. masque de sous-réseau Nombre utilisé dans la mise en réseau IP pour indiquer la partie d’une adresse IP correspondant au numéro du réseau. 188 Glossaire Media Access Control Voir adresse MAC. mégaoctet Voir Mo. Microsoft Challenge Handshake Authentication Protocol Voir MS-CHAP. monodiffusion Transmission de données vers un destinataire ou client unique. Si un film est diffusé en monodiffusion à un utilisateur employant RSTP, celui-ci peut parcourir librement un film à la demande. Monodiffusion manuelle Méthode de transmission en direct d’un flux de données vers un client QuickTime Player unique ou vers un ordinateur qui exécute QTSS. Un fichier SDP est généralement créé par l’application de diffusion et doit ensuite être envoyé manuellement au spectateur ou au serveur d’enchaînement. mot de passe Chaîne alphanumérique utilisée pour authentifier l’identité d’un utilisateur ou pour autoriser l’accès à des fichiers ou à des services. MS-CHAP Initiales de « Microsoft Challenge Handshake Authentication Protocol » (protocole d’authentification par interrogation-réponse développé par Microsoft). Méthode d’authentification standard sous Windows pour les réseaux VPN. Cette méthode d’authentification encode les mots de passe envoyés sur le réseau et les stocke sous forme brouillée sur le serveur. Elle offre un bon niveau de sécurité lors des transmissions sur réseau. MS-CHAP est une version propriétaire de CHAP. multi-adressage Capacité à gérer plusieurs connexions réseau. Lorsque plusieurs connexions sont disponibles, Mac OS X sélectionne la meilleure connexion en fonction de l’ordre indiqué dans les préférences réseau. multidiffusion La transmission simultanée d’un message à un sous-ensemble d’ordinateurs sur un réseau. Voir aussi diffusion, monodiffusion. Dans Enchaînement QuickTime, mode efficace d’enchaînement, de type 1 à n. Les utilisateurs peuvent se joindre à une multidiffusion ou la quitter, mais ils ne peuvent pas interagir avec elle. multidiffusion DNS Protocole développé par Apple pour la découverte automatique d’ordinateurs, de périphériques et de services sur les réseaux IP. Appelé « Bonjour » (auparavant « Rendezvous ») par Apple, ce protocole, proposé comme standard Internet, est parfois appelé ZeroConf ou multidiffusion DNS. Pour en savoir plus, rendez-vous sur www.apple.com/fr/ ou www.zeroconf.org (en anglais). Pour savoir comment ce protocole est utilisé sous Mac OS X Server, reportez-vous à nom d’hôte local. NAT Initiales de « Network Address Translation » (conversion d’adresses réseau). Méthode de connexion de plusieurs ordinateurs à Internet (ou à tout autre réseau IP) à l’aide d’une seule adresse IP. NAT convertit les adresses IP que vous attribuez aux ordinateurs de votre réseau interne privé en une seule adresse IP valide pour les communications Internet. Glossaire 189 NetInfo Ancien protocole Apple permettant l’accès à un domaine de répertoire. Network Address Translation Voir NAT. NFS Network File System. Protocole client/serveur utilisant le protocole IP (Internet Protocol) pour permettre aux utilisateurs distants d’accéder à des fichiers comme s’ils se trouvaient sur leur disque. NFS peut exporter des volumes partagés vers des ordinateurs en se basant sur l’adresse IP ; il prend par ailleurs en charge l’authentification par signature unique avec Kerberos. nœud Emplacement destiné au traitement. Un nœud peut être un ordinateur ou un autre périphérique tel qu’une imprimante. Chaque nœud possède une adresse réseau unique. Dans Xsan, un nœud correspond à tout ordinateur connecté à un réseau de stockage. nom canonique Nom « réel » d’un serveur, si vous lui avez attribué un « surnom » ou un alias. Le serveur mail.apple.com, par exemple, peut avoir comme nom canonique MailSrv473.apple.com. nom d’hôte Nom unique d’un ordinateur, autrefois appelé nom d’hôte UNIX. nom d’hôte local Nom qui désigne un ordinateur sur un sous-réseau local. Il peut être utilisé sans système DNS global pour convertir les noms en adresses IP. Il est constitué de lettres minuscules, de nombres ou de tirets (sauf pour le dernier caractère) et se termine par « .local » (par exemple, ordinateur-jean.local). Bien que le nom par défaut soit dérivé du nom d’ordinateur, un utilisateur peut reprendre ce nom dans la sousfenêtre Partage des Préférences Système. Il peut aussi être aisément modifié et utilisé dans tous les cas où un nom DNS ou un nom de domaine complet est utilisé. Il ne peut être converti que sur le même sous-réseau que l’ordinateur qui l’utilise. nom d’utilisateur Nom complet d’un utilisateur, parfois appelé nom réel de l’utilisateur. nom de domaine Voir nom DNS. nom de l’ordinateur Nom par défaut utilisé pour l’enregistrement auprès des services SLP et SMB. L’explorateur réseau du Finder utilise SLP pour rechercher les ordinateurs qui rendent publics leurs services de partage de fichiers personnel et de partage de fichiers Windows. Il peut être réglé de façon à établir un pont entre les sous-réseaux en fonction des réglages de routeur réseau. Lorsque vous activez le partage de fichiers personnels, c’est le nom d’ordinateur que les utilisateurs voient dans la zone de dialogue « Se connecter au serveur » dans le Finder. Ce nom correspond au départ à « Ordinateur de <premier utilisateur créé> » (par exemple, « Ordinateur de Jean »), mais il peut être modifié à loisir. Le nom d’ordinateur est utilisé pour parcourir les serveurs de fichiers du réseau, les files d’attente d’impression, la détection Bluetooth®, les clients Apple Remote Desktop et toute autre ressource réseau identifiant des ordinateurs par leur nom d’ordinateur plutôt que par leur adresse réseau. Ce nom sert également de base pour le nom d’hôte local par défaut. 190 Glossaire nom DNS Nom unique d’un ordinateur, utilisé dans le système DNS (Domain Name System) pour convertir les adresses IP et les noms. Également appelé nom de domaine. NTP Initiales de « Network Time Protocol » (protocole d’horloge réseau). Protocole réseau utilisé pour synchroniser les horloges d’ordinateurs connectés à un réseau avec une horloge de référence donnée. Ce protocole permet de s’assurer que tous les ordinateurs d’un réseau affichent tous la même heure. octet Unité basique de mesure des données équivalant à huit bits (ou chiffres binaires). Open Directory Architecture de services de répertoire Apple, capable d’accéder à des informations autorisées concernant des utilisateurs et des ressources réseau à partir de domaines de répertoire utilisant les protocoles LDAP ou Active Directory, ou des fichiers de configuration BSD et des services de réseau. Open Source Terme désignant le développement coopératif de logiciels par la communauté Internet. Le principe de base consiste à impliquer le maximum de personnes dans l’écriture et la mise au point du code en publiant le code source et en encourageant la formation d’une large communauté de développeurs qui feront part de leurs modifications et améliorations. paquet Unité de données constituée d’un en-tête, d’informations, d’un élément de détection d’erreurs et d’enregistrements complémentaires. QTSS utilise des paquets TCP, UDP et IP pour communiquer avec les clients. passerelle Nœud réseau faisant l’interface entre deux réseaux. Le terme fait souvent référence à un ordinateur assurant le lien entre un réseau local privé et un réseau WAN public, que ce soit avec ou sans NAT (Network Address Translation). Un routeur est un type particulier de passerelle qui relie des segments de réseau associés. période de bail Durée limitée pendant laquelle des adresses IP sont attribuées. L’utilisation de périodes courtes permet au protocole DHCP de réattribuer des adresses IP sur les réseaux comportant plus d’ordinateurs que d’adresses IP disponibles. pirate Utilisateur malveillant qui tente d’accéder sans autorisation à un système informatique, afin de perturber le fonctionnement d’ordinateurs et de réseaux ou bien de voler des informations. Comparer à pirate. Point to Point Tunneling Protocol Voir PPTP. politique de mot de passe Ensemble de règles déterminant la composition et la validité du mot de passe d’un utilisateur. Glossaire 191 politique de recherche Liste des domaines de répertoire parmi lesquels un ordinateur Mac OS X nécessitant des informations de configuration effectue ses recherches. Également, ordre dans lequel les domaines sont interrogés. Parfois appelée chemin de recherche. pont Appareil de mise en réseau d’ordinateurs qui connecte deux types de supports de mise en réseau, par exemple sans fil et Ethernet. Un pont agit comme une passerelle en transmettant du trafic réseau directement au support de destination sans le router ni le modifier d’aucune manière. Les deux côtés du pont réseau doivent posséder le même sous-réseau d’adresses IP. Un pont permet des relier de petits segments de réseau connexes de manière simple. port Sorte d’emplacement de messagerie virtuel. Un serveur utilise des numéros de port pour déterminer quelle application doit recevoir les paquets de données. Les coupe-feu utilisent des numéros de port pour déterminer si les paquets de données sont autorisés à transiter par un réseau local. Le terme « port » fait généralement référence à un port TCP ou UDP. pourriel Message électronique commercial non sollicité. Voir spam. PPTP Initiales de « Point to Point Tunneling Protocol ». Protocole de transport réseau utilisé pour les connexions VPN. Il constitue le protocole VPN standard sous Windows et utilise le mot de passe de l’utilisateur pour produire une clé de chiffrement. privilèges Droit d’accéder à des zones restreintes d’un système ou d’effectuer certaines tâches (telles que les tâches de gestion) du système. protocole Ensemble de règles qui déterminent la manière dont les données sont échangées entre deux applications. protocole Challenge Handshake Authentication Protocol Voir CHAP. QTSS QuickTime Streaming Server. Technologie permettant de diffuser des données en temps réel sur Internet. QuickTime Streaming Server (QTSS) Voir QTSS. récursivité Processus de conversion complète des noms de domaine en adresses IP. Une requête DNS non récursive permet la référence à d’autres serveurs DNS pour convertir l’adresse. En règle générale, les applications des utilisateurs dépendent du serveur DNS pour effectuer cette fonction, mais les autres serveurs DNS n’ont pas à effectuer de requête récursive. 192 Glossaire relais Dans QuickTime Streaming Server, un relais reçoit un flux entrant, puis le redirige vers un ou plusieurs serveurs d’enchaînement. Les relais peuvent réduire l’utilisation de la bande passante Internet et sont utiles pour les diffusions vers de nombreux spectateurs se trouvant dans différents emplacements. En termes de courrier Internet, un relais est un serveur de messagerie SMTP qui envoie le courrier entrant à un autre serveur SMTP, mais pas à sa destination finale. relais ouvert Serveur qui reçoit et réexpédie automatiquement le courrier vers un autre serveur. Les expéditeurs de courrier indésirable exploitent les serveurs relais ouverts afin d’éviter que leurs propres serveurs de messagerie ne figurent sur les listes noires référençant les sources de courrier indésirable. réseau local Voir LAN. secret partagé Valeur définie à chaque nœud d’une connexion VPN L2TP et servant de base de clé de chiffrement pour négocier les connexions d’authentification et de transport des données. Secure Sockets Layer Voir SSL. serveur Ordinateur fournissant des services (service de fichiers, service de courrier électronique ou service web, par exemple) à d’autres ordinateurs ou périphériques de réseau. serveur d’horloge Serveur réseau sur lequel les autres ordinateurs d’un réseau synchronisent leur horloge afin que tous les ordinateurs soient réglés sur la même heure. Voir aussi NTP. serveur de noms Serveur d’un réseau qui tient à jour une liste des noms de domaines et des adresses IP associées à chaque nom. Voir aussi DNS, WINS. serveur proxy Serveur placé entre une application cliente, telle qu’un navigateur web, et un serveur réel. Le serveur proxy intercepte toutes les requêtes envoyées au serveur réel pour vérifier s’il peut y répondre lui-même. Si ce n’est pas le cas, il transmet la requête au serveur réel. services de répertoire Services fournissant au logiciel système et aux applications un accès uniforme aux domaines de répertoire et à d’autres sources d’informations relatives aux utilisateurs et aux ressources. shell Programme exécutant d’autres programmes. Vous pouvez utiliser un shell pour communiquer avec l’ordinateur en tapant des commandes à l’invite du shell. Voir aussi interface de ligne de commande. Glossaire 193 SLP DA Initiales de « Service Location Protocol Directory Agent ». Protocole qui enregistre les services disponibles sur un réseau et permet aux utilisateurs d’y accéder aisément. Lorsqu’un service est ajouté au réseau, il utilise le protocole SLP pour s’enregistrer. SLP DA utilise un point de dépôt centralisé pour les services réseau enregistrés. SMTP Initiales de « Simple Mail Transfer Protocol » (protocole simple de transfert de courrier). Protocole servant à envoyer et à transférer du courrier électronique. Sa capacité à mettre les messages entrants en file d’attente est limitée. SMTP n’est ]] donc généralement utilisé que pour envoyer des messages, tandis que le protocole POP ou IMAP est utilisé pour recevoir des messages. sous-domaine Parfois appelé nom d’hôte. Partie du nom de domaine d’un ordinateur sur Internet. N’inclut pas l’indicateur de domaine ou de domaine de premier niveau (par exemple .com, .net, .fr, .be). Le nom de domaine « www.exemple.com » est constitué du sous-domaine « www », du domaine « exemple » et du domaine de premier niveau « com ». sous-réseau Regroupement, sur un même réseau, d’ordinateurs clients organisés par emplacement (par exemple, selon les différents étages d’un bâtiment) ou par emploi des ressources (par exemple, tous les étudiants en classe de seconde). L’utilisation des sous-réseaux simplifie l’administration du réseau global. Voir aussi sous-réseau IP. sous-réseau IP Partie d’un réseau IP, éventuellement un segment de réseau physiquement indépendant, partageant une adresse réseau avec d’autres parties du réseau et identifiée par un numéro de sous-réseau. spam Courrier non sollicité, indésirable. SSL Initiales de « Secure Sockets Layer » (couche sécurisée pour sockets réseau). Protocole Internet permettant d’envoyer des informations authentifiées et chiffrées à travers Internet. Les versions les plus récentes de SSL sont connues sous le nom de TLS (Transport Level Security). Stratum 1 Serveur Network Time Protocol (NTP) faisant autorité sur l’ensemble d’Internet qui gère l’heure en temps universel coordonné (UTC) courante. D’autres serveurs Stratum sont disponibles (2, 3, etc.). Chacun reçoit l’heure exacte d’un serveur Stratum portant un numéro moins élevé. TCP Initiales de « Transmission Control Protocol » (protocole de contrôle des transmissions). Méthode utilisée conjointement avec le protocole IP (Internet Protocol) pour envoyer des données, sous la forme d’unités de message, d’un ordinateur à un autre à travers Internet. Le protocole IP gère la livraison effective des données, tandis que le protocole TCP assure le suivi des unités de données (chaque message est divisé en unités, appelées « paquets », qui permettent leur acheminement efficace sur Internet). 194 Glossaire temps universel coordonné Voir UTC. texte clair Texte n’ayant pas été chiffré. texte en clair Données non chiffrées. time-to-live Voir TTL. transfert de zone Méthode selon laquelle les données d’une zone sont répliquées (copiées) sur des serveurs DNS d’autorité. Les serveurs DNS esclaves demandent des transferts de zone à leurs serveurs maîtres afin d’en acquérir les données. Transmission Control Protocol Voir TCP. TTL Time-to-live. Durée spécifiée pendant laquelle les informations DNS sont stockées dans la mémoire cache. Lorsqu’une paire nom de domaine/adresse IP se trouve en mémoire cache depuis plus longtemps que la durée TTL spécifiée, l’entrée est supprimée du cache du serveur de noms (mais pas du serveur DNS principal). type d’enregistrement Catégorie particulière d’enregistrements, faisant référence, par exemple, à des utilisateurs, des ordinateurs et des montages. Un domaine de répertoire peut contenir un nombre différent d’enregistrements pour chaque type d’enregistrements. UDP User Datagram Protocol. Méthode de communication qui utilise le protocole IP pour envoyer une unité de données (appelée datagramme) d’un ordinateur à un autre sur un réseau. Les applications réseau qui n’ont que de très petites unités de données à échanger peuvent utiliser le protocole UDP au lieu du TCP. User Datagram Protocol Voir UDP. UTC Initiales de « Universal Time Coordinated » (temps universel coordonné). Temps de référence normalisé. Le temps universel coordonné est calculé par résonance atomique, c’est pourquoi l’on appelle souvent les horloges synchronisées sur le temps universel coordonné des « horloges atomiques ». Virtual Private Network Voir VPN. VPN virtual Private Network. Réseau utilisant le chiffrement et d’autres technologies pour assurer des communications sécurisées à travers un réseau public, généralement Internet. Les VPN sont de façon générale moins chers que les réseaux privés réels à lignes privées, mais ils reposent sur l’utilisation du même système de chiffrement aux deux extrémités. Le chiffrement peut être assuré par un logiciel de coupe-feu ou par des routeurs. Glossaire 195 WAN Initiales de « Wide Area Network » (réseau étendu). Réseau maintenu au sein d’établissements géographiquement distincts, contrairement à un réseau LAN (réseau local) qui est limité à un établissement. Votre interface WAN correspond généralement à celle qui est connectée à Internet. Windows Internet Naming Service Voir WINS. WINS Initiales de « Windows Internet Naming Service » (service de noms Internet pour Windows). Service de résolution de noms utilisé par les ordinateurs Windows pour faire correspondre le nom des clients aux adresses IP. Un serveur WINS peut se trouver sur un réseau local ou à l’extérieur sur Internet. WLAN Initiales de « Wireless Local Area Network » (réseau local sans fil). zone de réexpédition Zone DNS ne conservant aucune donnée et chargée de réexpédier les requêtes DNS vers une autre zone. zone maîtresse Enregistrements de la zone DNS conservés par un serveur DNS principal. Une zone maîtresse est répliquée par des transferts de zone à des zones esclaves sur des serveurs DNS secondaires. 196 Glossaire A accès LDAP 37, 45, 148 listes de contrôle d’accès (ACL) 146 service de coupe-feu 110, 112 service web 110 utilisateurs sans fil 161 VPN 146, 154 administration VPN de site à site 155 Admin Serveur 34, 45, 55, 137 adressage lien-local 52 adresse MAC 39 adresses. Voir adresses IP adresses IP assignation 31 et Bonjour 52 BootP 30 caractère de remplacement 91 client 47 composants 89 configuration de DHCP 36, 39 contrôle de l’accès pour VPN 146 et le service de coupe-feu 89, 91 durées de bail 29, 36 dynamiques 27, 29 groupes 95, 99, 100 et partage Internet 80, 82 multiples 92 et NAT 80, 128 permutation circulaire 81 plages 91 protocole IPv6 177, 178 et la récursivité 65 redirection de port 124 réseaux TCP/IP 81 service DNS 49, 54, 75 statiques 27, 29, 39 et VPN 29, 138 adresses IP dynamiques 27, 29 adresses IP statiques 27, 29, 39 aide, utilisation 12, 13 alias courrier électronique 53 Index Index enregistrement de zone 70 alias de courrier électronique, configuration du DNS 53 Assistant réglages de passerelle 17 attaque par déni de service 75, 113 attaque par déni de service. Voir attaque DoS attribut de durée de vie (Time-to-Live ou TTL) 53 attribut durée de vie (TTL) 81 attribut TTL. Voir attribut de durée de vie (Time-toLive) authentification EAP 161 Kerberos 136, 137 SecurID 149 VPN 136 Voir aussi RADIUS authentification MS-CHAPv2 137 B BIND (Berkeley Internet Name Domain) 50, 51, 55, 69, 75 BootP (protocole Bootstrap) 30 bootpd démon 31 Bootstrap, protocole. Voir BootP borne d’accès AirPort connexion Internet 21 et RADIUS 161, 162, 164, 168 C caractère de remplacement dans les adresses IP 91 certificats 136, 138, 155, 165 chiffrement, protocoles VPN 136 clients adresses IP pour 47 anciens systèmes d’exploitation 136 configuration du service NTP 173 connexions de la maison au réseau 152 liste des clients DHCP 41 sans fil 23, 168 VPN 138, 142, 151, 153 Voir aussi utilisateurs CNAME (nom canonique) 51 comptes mobiles 135 197 configuration clients NTP 172 groupes de travail 42 modifications apportées aux fichiers de configuration Mac OS X Server 55 modifications apportées aux fichiers Mac OS X Server 58 NAT 80, 122, 123, 125, 126, 129, 130 RADIUS 161, 165 service de coupe-feu 93, 95, 96, 102, 103, 104, 132 VPN 138, 139, 140, 141, 144, 148 Voir aussi DHCP; DNS configuration pour un café-restaurant 44 configuration pour un laboratoire d’étudiants 43 connexions VPN de la maison au réseau 152 coupe-feu 105, 146, 154, 157 Voir aussi service de coupe-feu coupe-feu adaptatif 105 courrier non sollicité. Voir filtrage du courrier indésirable D définitions de routage VPN 144 dépannage, règles du service de coupe-feu 104 détection des messages indésirables 111 détection des virus 115 documentation 13, 15 domaines de répertoire LDAP 37, 45, 137, 148 Domain Name System. Voir DNS dscl, outil 45 durées de bail, DHCP 29, 36 Dynamic Host Configuration Protocol. Voir DHCP E EAP (Extensible Authentication Protocol) 161 échangeur de courrier. Voir MX enregistrement, nom de domaine 53 enregistrement de service (SRV). Voir enregistrement SRV enregistrement des noms de domaine 53 enregistrement HINFO (Infos sur le matériel) 51 enregistrement pointeur. Voir enregistrement PTR enregistrement PTR (enregistrement pointeur) 51 enregistrements, gestion d’enregistrements de zone 70, 72, 73 enregistrements de machine 51, 71 enregistrement SRV (service) 51, 72 enregistrement TXT 51 Ethernet, connexions de réseaux locaux virtuels 175 exploration de serveur 74 Extensible Authentication Protocol. Voir EAP F FAI (fournisseur d’accès à Internet) 49, 54, 135 198 Index fichiers de secret partagé 22, 24, 136, 138, 155 fichiers partagés. Voir partage de fichiers fichiers plist 124 filtres d’adresse IP 109 Fournisseur d’accès à Internet. Voir FAI G groupes, accès au VPN 146 groupes de travail, configuration pour 42 H heure, synchronisation 171, 172 historiques DHCP 33, 41 DNS 61, 63 RADIUS 167 service de coupe-feu 97, 107, 111 VPN 143, 150 I IANA (Internet Assigned Numbers Authority) 53 identifiant d’étendue NetBios 38 identifiant Ethernet 39 importation de fichiers de zone 69 inspection dynamique de paquets 87 Internet Assigned Numbers Authority (IANA). Voir IANA Internet Protocol. Voir adresses IP intranets 41 ipfw, outil 88, 106 IPSec (sécurité IP) 136, 139, 140, 155 J jeux 114, 131 K Kerberos 136, 137 L L2TP/IPSec (Layer Two Tunneling Protocol, Secure Internet Protocol) 136, 138, 140, 155 Layer Two Tunneling Protocol, Secure Internet Protocol (L2TP/IPSec). Voir L2TP/IPSec LDAP (Lightweight Directory Access Protocol) 37, 45, 137, 148 listes de contrôle d’accès (ACL) 146 M Mac OS X Server modifications apportées aux fichiers de configuration 55, 58 masquage d’adresses IP. Voir NAT masque de sous-réseau 89 messages d’erreur. Voir dépannage méthode de permutation circulaire d’adresses IP 81 mise à niveau de la configuration DNS 57 mode furtif du service de coupe-feu 105 mots de passe, VPN 136 MX (mail exchanger) 77 mystification du DNS 74 N NAT (Network Address Translation) arrêt 127 configuration 80, 122, 123, 125, 126, 129, 130 configuration d’un espace de noms 80 configuration d’un serveur virtuel 131 configuration pour les jeux 131 et le service de coupe-feu 109, 121 démarrage 123, 127 et DHCP 42 introduction 121 et le protocole IPv6 177 liaison au réseau local 128 outils en ligne de commande 133 partage Internet 18 passerelle sans NAT 127 surveillance 128 vérification de l’état 128 natd, démon 134 navigateurs, réseau 52, 60, 76 NBNS (NetBios Name Server) 37 Network Address Translation. Voir NAT nom canonique (CNAME). Voir CNAME notation CIDR (Classless InterDomain Routing) 89 NTP (Network Time Protocol) 171, 172 O Open Directory 58, 161 ordinateurs portables 135 outils antivirus. Voir détection de virus outils en ligne de commande Admin Serveur 33, 45 BootP 30 dscl 45 NAT 133 prise en charge d’IPv6 178 sudo 124 sysctl 88 transfert d’adresses IP 87 VPN de site à site 155 P paquets refusés 108 partage de fichiers P2P (poste à poste). Voir P2P 114 partage Internet Assistant réglages de passerelle 17 clients sans fil AirPort 21, 23, 168 connexion à réseau local câblé 21 connexion d’un réseau local câblé 80 Index connexion WLAN 23, 24 contrôle de l’accès 110 et IPv6 177 méthode de l’adresse IP unique 82 et NAT 121 plusieurs domaines 82 passerelles, mise en réseau 21, 23, 127 Voir aussi NAT Point-to-Point Tunneling Protocol (PPTP). Voir PPTP ports réseau local NAT 122, 123 réseau local virtuel 175 service de coupe-feu 86 VPN 139, 140 pourriel (message électronique commercial non sollicité). Voir filtrage du courr PPTP (Point-to-Point Tunneling Protocol) 136, 138, 141, 148, 155 problèmes. Voir dépannage profilage du service DNS 75 protocole IPv6 177, 178 protocoles BootP 30 EAP 161 IPv6 177, 178 LDAP 37, 45, 137, 148 NTP 171, 172 SMTP 111 TCP 86, 96, 113 UDP 86, 94 VPN 136, 137, 140, 141, 148, 155 Voir aussi DHCP R RADIUS (Remote Authentication Dial-In User Service) arrêt 166 borne d’accès AirPort 162, 164, 168 démarrage 162, 166 historiques 167 introduction 161 vérification de l’état 166 vue d’ensemble de la configuration 162 récursivité DNS 61, 65, 76 redirection de port 124, 125, 126 Remote Authentication Dial-In User Service (RADIUS). Voir RADIUS répartition de la charge 81 répertoires. Voirdomaines, annuaire réseau étendu. consultez WAN réseau local virtuel. Voir VLAN réseau privé 41, 81 Voir aussi VPN réseaux distants 155, 165 réseaux locaux 135, 155, 175 Voir aussi NAT 199 réseaux locaux. Voir réseaux locaux RSA Security 149 S s2svpnadmin, outil 155 sauvegardes pour la mise à niveau du DNS 57 SecurID, authentification 149 sécurité Bonjour 76 DNS 73, 75 IPSec 136, 139, 140, 155 RADIUS 165 réseau local virtuel 175 VPN 136, 138, 155 Voir aussi accès; authentification; service de coupe-feu serveradmin outil 34, 45 serveur d’horloge 172 Voir aussi NTP serveur de fichiers Apple 112 serveur de mots de passe Open Directory 161 serveur de noms 51, 53 Voir aussi DNS serveur NBDD (NetBios Datagram Distribution) 38 serveurs et DNS 30, 36 emplacement 31 NBDD 38 NBNS 38 plusieurs serveurs DHCP 31 réinitialisation 105 sécurisation DNS 73 sécurisation du DNS 75 serveur d’horloge 172 serveur de fichiers Apple 112 serveur de noms 51, 53 virtuels 131, 132 serveurs Stratum 171 serveurs virtuels, passerelle NAT 131, 132 service AFP (Apple Filing Protocol). Voir AFP service de coupe-feu affichage des règles actives 106, 107 arrêt 99 blocage du courrier indésirable 111 configuration d’un serveur virtuel 132 configuration de règles avancées 102, 103, 104 contrôle de l’accès 110, 112 contrôle de l’utilisation de jeux 114 coupe-feu adaptatif 105 démarrage 88, 93, 95, 98 dépannage de règles 104 groupes d’adresses 95, 99, 100 historique 111 historiques 97, 107 introduction 85, 86 200 Index lutte contre les virus 115 mode furtif 105 et NAT 109, 121 paquets filtrés 109 paquets refusés 108 partage de fichiers P2P 114 partage Internet 17 ports 115 prévention des attaques par déni de service 113 réglages de services 96, 101 réinitialisation du serveur 105 vérification de l’état 106 et VPN 138 vue d’ensemble de la configuration 93, 95 vue d’ensemble des règles 88, 91, 93 service de courrier 53, 77, 78 service de messagerie 111, 115 service de navigation Bonjour 52, 60, 76 service DHCP (Dynamic Host Configuration Protocol) adresses IP 36, 39 arrêt 34 configuration 28, 29, 30, 31, 32 démarrage 31, 33 durées de bail 29, 36 emplacement des serveurs 31 exemples de configurations 41, 42, 43, 44 historiques 33, 41 introduction 27, 29 liste des clients 41 mappages d’adresses statiques 39 et NAT 42 options LDAP 37, 45 options WINS 37 partage Internet 17 réglage du serveur DNS 36 sous-réseaux 32, 34, 35, 36, 47 vérification de l’état 40 et VPN 138 service DNS (Domain Name System) adresses IP 49, 54, 75 alias de courrier électronique 53 arrêt 64 BIND 50, 51, 55, 69, 75 et Bonjour 52, 60, 76 configuration d’un serveur virtuel 131 démarrage 56, 62 enregistrements de machine 51, 71 hébergement de plusieurs domaines 82 hébergement de plusieurs services 82 historiques 61, 63 introduction 49 options du sous-réseau DHCP 36 partage Internet 18 passerelle NAT 80 récursivité 61, 65, 76 réglages 61 répartition de la charge 81 réseau TCP/IP privé 81 sauvegardes pour la mise à niveau 57 sécurisation du serveur 73, 75 service de courrier 77, 78 vérification de l’état 63 vue d’ensemble de la configuration 53 Voir aussi zones DNS service IPFilter. Voir service coupe-feu service NetBoot 43 service sans fil. Voir borne d’accès AirPort; RADIUS services d’annuaire, Open Directory 58, 161 services réseau, introduction 11 service web, contrôle de l’accès 110 SMTP (Simple Mail Transfer Protocol) 111 sous-domaines 54 sous-réseaux création 32 désactivation 35, 47 DHCP 32, 34, 35, 47 et emplacement des serveurs 31 options LDAP 37 réglages de durée de bail 36 suppression 35 WINS 37 spam. Voir filtrage du courrier indésirable sudo outil 124 synchronisation de l’heure 171, 172 sysctl, outil 88 T talonnage de service 76 TCP (Transmission Control Protocol) 86, 96, 113 TCP/IP et les réseaux privés 81 temps universel coordonné 171 temps universel coordonné. Voir UTC transfert d’adresses IP 87 Transmission Control Protocol. Voir TCP U UDP (User Datagram Protocol) 86, 94 User Datagram Protocol, protocole. Voir UDP utilisateurs accès au VPN 146 accès sans fil 161 mobiles 135 Voir aussi clients; RADIUS V VLAN (Virtual Local Area Network) 175 VPN (Virtual Private Network) arrêt 144 assignation d’adresses IP 29, 138 authentification 136, 138 clients 138, 142, 151, 153 configurations supplémentaires 148 connexions 22, 24, 150, 152 contrôle de l’accès 146, 154 définitions de routage 144 démarrage 139, 143 historiques 143, 150 introduction 135 et LDAP 137, 148 partage Internet 17 protocoles pris en charge par plate-forme 138 réglages L2TP 140 réglages PPTP 141 sécurité 136, 138, 155 site à site 155 vérification de l’état 150 vue d’ensemble de la configuration 139 W WAN (réseau étendu) 135 WINS (Windows Internet Naming Service) 37 WLAN (wireless local area network) 23, 24 www.dns.net/dnsrd 83 X Xserve G5 175 Z zone de redirection DNS 51, 68 zone principale DNS 50, 58, 66, 74 zones DNS activation des transferts 64 ajout 66, 67, 68 configuration 58, 60 désactivation des transferts 64 enregistrement d’alias 70 enregistrements de machine 51, 71 fichier de zone BIND 69 introduction 50 modification 68 redirection 51, 68 sécurité 73 suppression 68 zone secondaire DNS 50, 60, 67 virtual private network. Voir VPN Index 201