Apple Mac OS X Server 10.5 Leopard Manuel du propriétaire

Mac OS X Server
Administration des services réseau
Pour Leopard version 10.5
 Apple Inc.
© 2007 Apple Inc. Tous droits réservés.
Le propriétaire ou l’utilisateur autorisé d’une copie
valide du logiciel Mac OS X Server version 10.2 peut
reproduire cette publication à des fins d’apprentissage
de l’utilisation de ce logiciel. La présente publication ne
peut être reproduite ou transmise en totalité ou en partie à des fins commerciales, telles que la vente de copies
ou la prestation d’un service d’assistance payant.
Tous les efforts nécessaires ont été mis en œuvre pour
que les informations contenues dans ce manuel soient
les plus exactes possibles. Apple n’est pas responsable
des erreurs d’écriture et d’impression.
Apple
1 Infinite Loop
Cupertino, CA 95014-2084
408-996-1010
www.apple.com
En l’absence du consentement écrit d’Apple, l’utilisation
à des fins commerciales de ce logo via le clavier (Option
+ 1) pourra constituer un acte de contrefaçon et/ ou de
concurrence déloyale.
Apple, le logo Apple, AirPort, AppleScript, AppleShare,
AppleTalk, Bonjour, Firewire, iCal, iTunes, Mac, Macintosh, Mac OS, QuickTime, WebObjects, Xgrid, Xsan et
Xserve sont des marques d’Apple Inc. déposées aux
États-Unis et dans d’autres pays.
Finder est une marque d’Apple Inc.
Java et tous les logos et marques dérivés de Java sont
des marques ou des marques déposées de Sun Microsystems, Inc. aux États-Unis et dans d’autres pays.
UNIX est une marque déposée de The Open Group.
Les autres noms de sociétés et de produits mentionnés
ici sont des marques de leurs détenteurs respectifs. La
mention de produits tiers n’est effectuée qu’à des fins
informatives et ne constitue en aucun cas une approbation ni une recommandation. Apple n’assume aucune
responsabilité vis-à-vis des performances ou de l’utilisation de ces produits.
F019-0941/01-09-2007
1
Table des matières
Préface
11
11
11
12
13
13
15
15
15
16
À propos de ce guide
Nouveautés de la version 10.5
Contenu de ce guide
Utilisation du guide
Utilisation de l’aide à l’écran
Guides d’administration de Mac OS X Server
Affichage des guides PDF à l’écran
Impression des guides PDF
Obtenir des mises à jour de documentation
Pour obtenir des informations supplémentaires
Chapitre 1
17
17
18
19
21
23
Connexion de votre réseau à Internet
À propos d’Assistant réglages passerelle
Exécution de l’Assistant réglages passerelle
Connexion d’un réseau local câblé à Internet
Connexion d’un réseau local câblé et de clients sans fil à Internet
Connexion d’un réseau local sans fil à Internet
Chapitre 2
27
28
29
29
29
29
30
30
31
31
31
31
31
32
33
Utilisation du service DHCP
Présentation générale de la configuration
Avant de configurer le service DHCP
Création de sous-réseaux
Assignation dynamique d’adresses IP
Utilisation d’adresses IP statiques
Localisation du serveur DHCP
Interaction avec d’autres serveurs DHCP
Utilisation de plusieurs serveurs DHCP sur un réseau
Assignation d’adresses IP réservées
Obtention d’informations supplémentaires sur le processus DHCP
Activation du service DHCP
Configuration du service DHCP
Création de sous-réseaux dans le service DHCP
Configuration de réglages d’historique
3
Chapitre 3
4
33
34
34
34
35
35
36
36
37
37
39
39
40
40
41
41
41
45
47
47
Démarrage du service DHCP
Gestion du service DHCP
Arrêt du service DHCP
Modification de réglages de sous-réseau dans le service DHCP
Suppression de sous-réseaux du service DHCP
Désactivation temporaire de sous-réseaux
Modification des durées de bail d’adresse IP d’un sous-réseau
Configuration du serveur DNS d’un sous-réseau DHCP
Configuration des options LDAP d’un sous-réseau
Configuration des options WINS d’un sous-réseau
Assignation d’adresses IP statiques à l’aide de DHCP
Suppression ou modification de mappages d’adresses statiques
Surveillance du service DHCP
Vérification de l’état du service DHCP
Affichage d’entrées d’historique DHCP
Affichage de la liste des clients DHCP
Configurations réseau courantes qui utilisent DHCP
Configuration de DHCP pour l’utilisation d’une URL de serveur LDAP supplémentaire
Service DHCP pour clients Mac OS X à l’aide de DHCP avec une adresse manuelle
Autres sources d’informations
49
50
50
50
51
51
52
53
53
56
57
57
58
60
60
61
62
62
63
63
63
64
Utilisation du service DNS
À propos des zones DNS
Zones principales
Zones secondaires
Zones de redirection
À propos des enregistrements de machine DNS
À propos de Bonjour
Avant de configurer le service DNS
Configuration initiale du service DNS
Activation du service DNS
Mise à niveau de la configuration DNS
Configuration du service DNS
Configuration de réglages de zone
Configuration de réglages de zone secondaire
Configuration de réglages Bonjour
Configuration de réglages DNS
Démarrage du service DNS
Gestion du service DNS
Vérification de l’état du service DNS
Affichage des historiques du service DNS
Modification du niveau de détail de l’historique DNS
Arrêt du service DNS
Table des matières
Chapitre 4
64
65
66
66
67
68
68
68
69
70
70
71
72
72
73
73
74
74
75
75
76
76
77
77
80
81
81
82
82
83
Activation ou désactivation des transferts entre zones
Activation de la récursivité
Gestion de zones DNS
Ajout d’une zone principale
Ajout d’une zone secondaire
Ajout d’une zone de redirection
Modification d’une zone
Suppression d’une zone
Importation d’un fichier de zone BIND
Gestion d’enregistrements DNS
Ajout d’un enregistrement d’alias à une zone DNS
Ajout d’un enregistrement de machine à une zone DNS
Ajout d’un enregistrement de service à une zone DNS
Modification d’un enregistrement dans une zone DNS
Suppression d’un enregistrement d’une zone DNS
Sécurisation du serveur DNS
Mystification du DNS
Exploration de serveur
Profilage du service DNS
Déni de service
Talonnage de service
Administration du service Bonjour sur zone élargie
Tâches d’administration de réseau courantes qui utilisent le service DNS
Configuration du DNS pour le service de courrier
Configuration d’un espace de noms derrière une passerelle NAT
Répartition de la charge du réseau (permutation circulaire)
Configuration d’un réseau TCP/IP privé
Hébergement de plusieurs services Internet à une seule adresse IP
Hébergement de plusieurs domaines sur le même serveur
Autres sources d’informations
85
85
87
88
88
89
91
91
92
92
93
95
Utilisation du service de coupe-feu
À propos du service de coupe-feu
Pratiques élémentaires en matière de coupe-feu
Démarrage du coupe-feu
À propos des règles de coupe-feu
Une règle de coupe-feu, qu’est-ce que c’est ?
Utilisation de plages d’adresses
Mécanisme et ordre des règles
Adresses IP multiples
Modification de règles de coupe-feu IPv6
Présentation générale de la configuration
Activation du service de coupe-feu
Table des matières
5
Chapitre 5
6
95
95
96
97
98
98
99
99
99
100
100
101
101
102
103
104
104
105
105
105
106
106
107
107
108
109
109
109
110
111
111
112
113
113
114
114
115
115
119
Configuration du service de coupe-feu
Configuration de réglages de groupes d’adresses
Configuration de réglages de services
Configuration des réglages de journalisation
Configuration des réglages avancés
Démarrage du service de coupe-feu
Gestion du service de coupe-feu
Arrêt du service de coupe-feu
Création d’un groupe d’adresses
Modification ou suppression d’un groupe d’adresses
Duplication d’un groupe d’adresses
Ajout d’éléments à la liste des services
Modification ou suppression d’éléments dans la liste Services
Configuration de règles de coupe-feu avancées
Modification ou suppression de règles de coupe-feu avancées
Modification de l’ordre de règles de coupe-feu avancées
Dépannage de règles de coupe-feu avancées
Activation du mode furtif
Coupe-feu adaptatif
Réinitialisation du coupe-feu aux réglages par défaut
Surveillance du service de coupe-feu
Vérification de l’état du service de coupe-feu
Affichage des règles de coupe-feu actives
Affichage de l’historique du service de coupe-feu
Affichage des paquets refusés
Affichage des paquets journalisés par les règles de coupe-feu
Exemples de coupe-feu pratiques
Utilisation du coupe-feu avec le service NAT
Blocage de l’accès web à des utilisateurs Internet
Journalisation de l’accès à Internet par les utilisateurs du réseau local
Blocage du courrier indésirable
Autorisation d’un client à accéder à un serveur de fichiers Apple
Tâches d’administration de réseau courantes qui utilisent le service de coupe-feu
Lutte contre les attaques par déni de service
Contrôle ou activation de l’utilisation du réseau poste à poste
Contrôle ou activation de l’utilisation de jeux en réseau
Prévention de la propagation de virus réseau
Référence des ports TCP et UDP
Autres sources d’informations
121
121
122
Utilisation du service NAT
Utilisation de NAT avec d’autres services réseau
Vue d’ensemble de la configuration du réseau local pour NAT
Table des matières
Chapitre 6
123
123
124
125
126
127
127
128
128
128
128
131
131
134
Activation du service NAT
Configuration du service NAT
Configuration de la redirection de port
Exemples de redirection de port
Test des règles de redirection de port
Démarrage et arrêt du service NAT
Création d’une passerelle sans NAT
Surveillance du service NAT
Affichage de la vue d’ensemble de l’état de NAT
Tâches d’administration de réseau courantes qui utilisent le service NAT
Liaison d’un réseau local à Internet par une adresse IP
Configuration d’un tournoi de jeu en réseau
Configuration de serveurs virtuels
Autres sources d’informations
135
136
136
137
137
Utilisation du service VPN
VPN et la sécurité
Protocoles de transport
Méthode d’authentification
Utilisation du service VPN avec des utilisateurs se trouvant dans un domaine LDAP
de tierce partie
Avant de configurer le service VPN
Configuration d’autres services réseau pour VPN
Présentation générale de la configuration
Activation du service VPN
Configuration du service VPN
Configuration des réglages L2TP
Configuration des réglages PPTP
Configuration de réglages d’informations sur les clients
Configuration des réglages de journalisation
Démarrage du service VPN
Gestion du service VPN
Arrêt du service VPN
Configuration de définitions de routage de réseau VPN
Limitation de l’accès VPN à des utilisateurs ou groupes spécifiques
Limitation de l’accès au VPN à des adresses IP entrantes spécifiques
Instructions de configuration supplémentaires
Surveillance du service VPN
Affichage de la vue d’ensemble de l’état de VPN
Modification du niveau de détail des historiques du service VPN
Affichage de l’historique VPN
Affichage des connexions des clients VPN
Tâches d’administration de réseau courantes qui utilisent le service VPN
137
138
139
139
140
140
141
142
143
143
144
144
144
146
146
148
150
150
150
151
151
152
Table des matières
7
152
154
8
154
159
Liaison d’un ordinateur de la maison à un réseau distant
Accès à une ressource informatique unique se trouvant derrière le coupe-feu d’un
réseau distant
Liaison de deux sites de réseau distant ou plus
Autres sources d’informations
Chapitre 7
161
161
162
162
162
163
164
165
165
166
166
166
166
167
167
168
168
168
Utilisation du service RADIUS
Avant de configurer le service RADIUS
Configuration initiale du service RADIUS
Activation du service RADIUS
Configuration du service RADIUS
Configuration de RADIUS à l’aide de l’assistant de configuration
Ajout de bornes d’accès AirPort à un serveur RADIUS
Configuration à distance de bornes d’accès AirPort
Configuration de RADIUS de manière à ce qu’il utilise des certificats
Archivage des historiques du service RADIUS
Démarrage ou arrêt du service RADIUS
Gestion du service RADIUS
Vérification de l’état du service RADIUS
Affichage d’historiques du service RADIUS
Modification de l’accès au service RADIUS
Suppression de bornes d’accès AirPort
Modification d’un enregistrement de borne d’accès AirPort
Enregistrement du fichier de connexion à Internet d’une borne d’accès AirPort
Chapitre 8
171
171
172
172
173
173
Utilisation du service NTP
Comme NTP fonctionne
Utilisation de NTP sur votre réseau
Configuration du service NTP
Configuration de NTP sur des clients
Autres sources d’informations
Chapitre 9
175
175
176
Prise en charge d’un réseau local virtuel
Configuration de l’adhésion des clients à un réseau local virtuel
Autres sources d’informations
Chapitre 10
177
178
178
178
178
179
179
179
Prise en charge d’IPv6
Services compatibles avec IPv6
Prise en charge des adresses IPv6 dans Admin Serveur
Adresses IPv6
Notation
Adresses IPv6 réservées
Modèle d’adressage IPv6
Types d’adresses IPv6
Table des matières
180
180
Glossaire
183
Index
197
Création d’une passerelle d’IPv4 à IPv6
Autres sources d’informations
Table des matières
9
Préface
À propos de ce guide
Ce guide explique comment configurer et administrer
les services réseau de Mac OS X Server.
Mac OS X Server 10.5 comprend plusieurs services réseau qui permettent de gérer et
de maintenir votre réseau.
Nouveautés de la version 10.5
Mac OS X Server 10.5 offre les améliorations majeures suivantes en matière de services
réseau :
 Nouvelle fonctionnalité RADIUS : Mac OS X Server 10.5 utilise RADIUS pour l’autorisation de l’accès des utilisateurs aux bornes d’accès AirPort.
 Nouvel assistant de configuration des services : Mac OS X Server 10.5 comporte
maintenant un assistant de configuration des services pour NAT et RADIUS.
 Bonjour amélioré : Mac OS X Server 10.5 permet d’administrer Bonjour.
 Coupe-feu révisé et amélioré : Mac OS X Server 10.5 utilise un coupe-feu adaptatif
qui configure des règles de coupe-feu dynamiquement et qui ne requiert aucune
configuration.
Contenu de ce guide
Ce guide comprend les chapitres suivants :
 Le chapitre 1, « Connexion de votre réseau à Internet, » explique comment utiliser
Assistant réglages de passerelle pour relier un réseau à Internet.
 Le chapitre 2, « Utilisation du service DHCP, » explique comment configurer et utiliser DHCP pour assigner des adresses IP sur un réseau.
 Le chapitre 3, « Utilisation du service DNS, » explique comment utiliser Mac OS X
Server comme serveur de noms de domaine.
 Le chapitre 4, « Utilisation du service de coupe-feu, » explique comment préserver
la sécurité d’un réseau à l’aide d’un coupe-feu.
11
 Le chapitre 5, « Utilisation du service NAT, » explique comment configurer et utiliser
NAT pour connecter de nombreux ordinateurs à Internet avec une seule adresse IP
publique.
 Le chapitre 6, « Utilisation du service VPN, » explique comment configurer et utiliser
VPN pour autoriser les utilisateurs distants à accéder à votre réseau local privé de
façon sécurisée.
 Le chapitre 7, « Utilisation du service RADIUS, » explique comment configurer et utiliser le service RADIUS pour autoriser les utilisateurs et les groupes Open Directory
à accéder aux bornes d’accès AirPort d’un réseau.
 Le chapitre 8, « Utilisation du service NTP, » explique comment faire de votre serveur
un serveur d’horloge.
 Le chapitre 9, « Prise en charge d’un réseau local virtuel, » parle de la prise en charge
de réseaux locaux virtuels pour certaines configurations matérielles de serveur.
 Le chapitre 10, « Prise en charge d’IPv6, » parle d’IPv6 et des services qui prennent
en charge l’adressage IPv6.
Un glossaire propose en outre une brève définition des termes utilisés dans ce guide.
Remarque : étant donné qu’Apple publie souvent de nouvelles versions et mises à jour
de ses logiciels, les illustrations de ce document peuvent être différentes de celles qui
s’affichent à l’écran.
Utilisation du guide
Chaque chapitre couvre un service réseau différent. Lisez tous les chapitres qui parlent
des services que vous comptez fournir à vos utilisateurs. Apprenez comment le service
fonctionne, ce qu’il permet de faire, les stratégies d’utilisation, la manière de le configurer pour la première fois et de l’administrer par la suite.
Jetez aussi un œil aux chapitres relatifs aux services qui ne vous sont pas familiers. Vous
constaterez peut-être que certains des services que vous n’avez encore jamais utilisés
peuvent vous permettre de gérer votre réseau de manière plus efficace et d’en améliorer les performances pour les utilisateurs.
La plupart des chapitres se terminent par une rubrique appelée « Autres sources
d’informations », qui vous indique les sites web et autres documents de référence
dans lesquels figurent d’autres informations sur le service concerné.
12
Préface À propos de ce guide
Utilisation de l’aide à l’écran
Vous pouvez obtenir des instructions à l’écran tout en gérant Leopard Server. L’aide
peut être affichée sur un serveur ou sur un ordinateur administrateur. (Un ordinateur
administrateur est un ordinateur Mac OS X sur lequel est installé le logiciel d’administration de serveur Leopard Server.)
Pour obtenir de l’aide dans le cas d’une configuration avancée de Leopard Server :
m Ouvrez Admin Serveur ou Gestionnaire de groupe de travail, puis :
 Utilisez le menu Aide pour rechercher une tâche à exécuter.
 Choisissez Aide > Aide Admin Serveur ou Aide > Aide Gestionnaire de groupe de travail
avant d’explorer les rubriques d’aide et d’effectuer des recherches.
L’aide à l’écran contient des instructions issues de Administration du serveur et d’autres guides d’administration avancés décrits dans « Guides d’administration de Mac OS X Server ».
Pour visualiser les rubriques d’aide les plus récentes concernant les serveurs :
m Assurez-vous que le serveur ou l’ordinateur administrateur est connecté à Internet
pendant que vous consultez l’Aide.
Visualisation Aide extrait automatiquement les rubriques d’aide les plus récentes
depuis Internet et les stocke en mémoire cache. Lorsque vous n’êtes pas connecté
à Internet, Visualisation Aide affiche les rubriques d’aide mises en cache.
Guides d’administration de Mac OS X Server
Premiers contacts traite de l’installation et de la configuration des configurations standard et de groupe de travail de Mac OS X Server. Pour les configurations avancées,
consultez Administration du serveur, qui regroupe la planification, l’installation, la configuration et l’administration du serveur en général. Une série de guides supplémentaires, énumérés ci-dessous, décrit la planification, la configuration, ainsi que la gestion
avancée des services individuels. Vous pouvez obtenir ces guides au format PDF sur
le site web de documentation de Mac OS X Server :
www.apple.com/fr/server/documentation.
Ce guide ...
explique comment :
Premiers contacts et
Feuille d’opération d’installation
et de configuration
Installer Mac OS X Server et le configurer pour la première fois.
Administration de ligne
de commande
Installer, configurer et gérer Mac OS X Server à l’aide de fichiers
de configuration et d’outils en ligne de commande UNIX.
Administration des services
de fichier
Partager certains volumes ou dossiers de serveur entre les clients
du serveur, à l’aide des protocoles AFP, NFS, FTP et SMB.
Administration du service iCal
Configurer et gérer le service de calendrier partagé d’iCal.
Préface À propos de ce guide
13
Ce guide ...
explique comment :
Administration du service iChat
Configurer et gérer le service de messagerie instantanée d’iChat.
Configuration de la sécurité
de Mac OS X
Renforcer la sécurité des ordinateurs (clients) Mac OS X, comme
l’exigent les entreprises et les organismes publics.
Configuration de la sécurité
de Mac OS X Server
Renforcer la sécurité de Mac OS X Server et de l’ordinateur sur lequel
il est installé, comme l’exigent les entreprises et les organismes publics.
Administration du service
de messagerie
Configurer et gérer les services de messagerie IMAP, POP et SMTP
sur le serveur.
Administration des services
de réseau
Installer, configurer et administrer les services DHCP, DNS, VPN, NTP,
coupe-feu IP, NAT et RADIUS sur le serveur.
Administration d’Open Directory
Configurer et gérer les services d’annuaire et d’authentification
et configurer les clients autorisés à accéder aux services d’annuaire.
Administration de Podcast Producer Configurer et gérer le service Podcast Producer destiné à enregistrer, traiter et distribuer des podcasts.
14
Administration du service
d’impression
Héberger les imprimantes partagées et gérer les files d’attente
et travaux d’impression associés.
Administration de QuickTime
Streaming et Broadcasting
Capturer et encoder du contenu QuickTime. Configurer et gérer
le service QuickTime Streaming en vue de diffuser des données
multimédias en temps réel ou à la demande.
Administration du serveur
Mettre en place l’installation et la configuration avancées du logiciel serveur et gérer des options qui s’appliquent à plusieurs services ou à l’intégralité du serveur.
Administration de Mise à jour
de logiciels et d’Imagerie système
Utiliser NetBoot, NetInstall et Mise à jour de logiciels pour automatiser la gestion du système d’exploitation et des autres logiciels
utilisés par les ordinateurs clients.
Mise à niveau et migration
Utiliser des réglages de données et de services correspondant
à une version antérieure de Mac OS X Server ou de Windows NT.
Gestion des utilisateurs
Créer et gérer des comptes utilisateur, des groupes et des ordinateurs. Configurer les préférences gérées des clients Mac OS X.
Administration des
technologies web
Configurer et gérer des technologies web telles que les blogs,
WebMail, wiki, MySQL, PHP, Ruby on Rails (RoR) et WebDAV.
Informatique à haute performance et administration Xgrid
Configurer et gérer des grappes de calcul de systèmes Xserve
et d’ordinateurs Mac.
Glossaire Mac OS X Server
Savoir à quoi correspondent les termes utilisés pour les produits
de serveur et les produits de stockage.
Préface À propos de ce guide
Affichage des guides PDF à l’écran
Lorsque vous lisez la version PDF d’un guide à l’écran, vous pouvez :
 Afficher les signets pour visualiser le plan du guide et cliquer sur un signet pour
accéder directement à la section correspondante.
 Rechercher un mot ou une phrase pour afficher une liste des endroits où ce mot ou
cette phrase apparaît dans le document. Cliquez sur un de ces endroits pour afficher
la page correspondante.
 Cliquer sur une référence croisée pour accéder directement à la rubrique référencée.
Cliquer sur un lien pour visiter le site web à partir de votre navigateur.
Impression des guides PDF
Si vous devez imprimer un guide, procédez comme suit pour économiser du papier
et de l’encre :
 Économisez de l’encre ou du toner en évitant d’imprimer la couverture.
 Si vous disposez d’une imprimante couleur, économisez de l’encre en choisissant
une option d’impression en niveaux de gris ou en noir et blanc dans une des sections
de la zone de dialogue Imprimer.
 Réduisez le volume du document imprimé et économisez du papier en imprimant
plusieurs pages par feuille. Dans la zone de dialogue Imprimer, réglez Échelle sur 115 %
(155 % pour Premiers contacts). Choisissez ensuite Mise en page dans le menu local sans
titre. Si votre imprimante prend en charge l’impression recto verso (duplex), sélectionnez
l’une des options proposées. Sinon, choisissez 2 dans le menu local Pages par feuille et,
si vous le souhaitez, Simple extra fine dans le menu Bordure. (Si vous utilisez Mac OS X
10.4 ou antérieur, le réglage Échelle se trouve dans la zone de dialogue Format d’impression et les réglages relatifs à la mise en page dans la zone de dialogue Imprimer.)
Il peut s’avérer utile d’agrandir les pages imprimées même si vous n’imprimez pas en
recto verso, car la taille des pages PDF est inférieure à celle du papier d’imprimante standard. Dans la zone de dialogue Imprimer ou dans la zone de dialogue Format d’impression, essayez de régler Échelle sur 115 % (155 % pour Premiers contacts qui possède des
pages de la taille d’un CD).
Obtenir des mises à jour de documentation
Apple publie régulièrement des pages d’aide révisées ainsi que de nouvelles éditions
de ses guides. Certaines pages d’aide révisées sont des mises à jour des dernières éditions de ces guides.
 Pour afficher les nouvelles rubriques d’aide à l’écran d’une application de serveur,
assurez-vous que votre serveur ou votre ordinateur administrateur est connecté à
Internet et cliquez sur le lien des dernières rubriques d’aide ou de mise à jour dans
la page d’aide principale de l’application.
Préface À propos de ce guide
15
 Pour télécharger les guides les plus récents au format PDF, rendez-vous sur le site
web de documentation sur Mac OS X Server à l’adresse :
www.apple.com/fr/server/documentation/
Pour obtenir des informations supplémentaires
Pour plus d’informations, consultez les ressources suivantes :
 Documents Ouvrez-moi : mises à jour importantes et informations spécifiques.
Recherchez-les sur les disques du serveur.
 Site web de Mac OS X Server (www.apple.com/fr/server/macosx) : passerelle vers
des informations détaillées sur de nombreux produits et technologies.
 Site web de service et d’assistance Mac OS X Server
(www.apple.com/fr/support/macosxserver) : accès à des centaines d’articles
du service d’assistance d’Apple.
 Site web de formation d’Apple (www.apple.com/fr/training) : cours dirigés par un professeur
et autoformations pour affiner vos compétences en matière d’administration de serveur.
 Groupes de discussions Apple, (discussions.apple.com) : un moyen de partager
questions, connaissances et conseils avec d’autres administrateurs.
 Site web des listes d’envoi Apple, (www.lists.apple.com) : abonnez-vous à des listes d’envoi
afin de pouvoir communiquer par courrier électronique avec d’autres administrateurs.
 Site web d’OpenLDAP (www.openldap.org) : découvrez le logiciel open source utilisé
par Open Directory pour fournir le service de répertoires LDAP.
 Site Web de Kerberos du MIT (web.mit.edu/kerberos/www/) : obtenez des informations élémentaires et des spécifications sur les protocoles utilisés par Open
Directory pour fournir une authentification par signature unique robuste.
 Site web de Berkeley DB (www.oracle.com/database/berkeley-db/) : consultez les
descriptions de fonctionnalités et la documentation technique relatives à la base
de données open source qu’Open Directory utilise pour stocker les données des
répertoires LDAP.
 RFC3377, “Lightweight Directory Access Protocol (v3): spécification technique”
(www.rfc-editor.org/rfc/rfc3377.txt) : accédez à huit autres documents RFC (Request
for Comment) qui contiennent des informations d’ensemble et des spécifications
détaillées sur le protocole LDAPv3.
16
Préface À propos de ce guide
1
Connexion de votre réseau
à Internet
1
Utilisez Assistant réglages passerelle pour vous guider dans
la configuration initiale de votre serveur comme passerelle
entre votre réseau privé et Internet.
Assistant réglages passerelle vous guide dans la configuration de votre serveur de
façon à le connecter à Internet. Les modifications ultérieures à la configuration du
service se font à l’aide d’Admin Serveur. Pour obtenir des instructions sur les services
réseau, consultez la section correspondante dans le présent manuel.
À propos d’Assistant réglages passerelle
Assistant réglages passerelle vous aide à configurer rapidement et simplement
Mac OS X Server 10.5 de façon à partager votre connexion Internet avec votre réseau
local. Une fois que vous avez configuré certains réglages, l’assistant peut commencer
le partage de la connexion au serveur.
Selon vos choix en matière de configuration, l’assistant effectue les opérations suivantes
lors de la configuration du serveur :
 Il assigne au serveur une adresse IP statique par interface réseau interne.
L’adresse assignée est 192.168.x.1. La valeur de x est déterminée par l’ordre de l’interface réseau dans la sous-fenêtre Préférences de système de réseau. Par exemple, pour
la première interface de la liste, x est égal à 0, pour la seconde interface, x est égal à 1.
 Il active DHCP pour l’allocation d’adresses sur le réseau interne en supprimant
les sous-réseaux DHCP existants.
 Il désactive certaines adresses internes (192.168.x.x) pour l’utilisation de DHCP.
Lorsque VPN n’est pas démarré, chaque interface peut allouer des adresses allant
de 192.168.x.2 à 192.168.x.254.
 (Facultatif) Il active VPN de façon à autoriser les clients externes autorisés à se connecter
au réseau local.
Lorsque VPN L2TP est activé, vous devez saisir le secret partagé (la phrase clé)
que les connexions client devront utiliser.
17
 Il désactive certaines adresses internes (192.168.x.x) pour l’utilisation de VPN.
Si VPN est sélectionné, la moitié des adresses IP allouées dans la plage d’adresses
DHCP sont réservées pour les connexions VPN. Les adresses 192.168.x.128 à
192.168.x.254 sont allouées aux connexions VPN.
 Il active le coupe-feu de façon à améliorer la sécurisation du réseau interne.
Des groupes d’adresses autorisant tout le trafic à partir des plages d’adresses DHCP
nouvellement crées vers toute adresse de destination sont ajoutés pour chaque
interface de réseau interne.
 Il active la traduction des adresses réseau (en anglais « Network Address Translation »
ou « NAT ») sur le réseau interne et ajoute une règle de déviation NAT au coupe-feu
IP pour diriger le trafic réseau vers l’ordinateur qui convient. Cela protège aussi
le réseau interne contre les connexions externes non autorisées.
 Il active DNS sur le serveur, configuré de façon à mettre les recherches en cache afin
d’améliorer la réponse DNS pour les clients internes.
Avant de configurer ces réglages, vous pouvez passer en revue les modifications proposées
avant de les utiliser et d’écraser les réglages existants.
Les modifications ultérieures à la configuration du service se font à l’aide d’Admin Serveur.
Pour des informations sur les services réseau, consultez la section correspondante dans
le présent manuel.
Si vous exécutez à nouveau Assistant réglages passerelle, il écrase les réglages manuels
que vous avez faits.
Exécution de l’Assistant réglages passerelle
Assistant réglages passerelle se lance dans la sous-fenêtre Vue d’ensemble du service
NAT d’Admin Serveur.
Pour lancer Assistant réglages passerelle :
1 Ouvrez Admin Serveur et connectez-vous au serveur.
2 Cliquez sur Réglages, puis sur Services.
3 Cochez la case NAT, puis cliquez sur Enregistrer.
4 Cliquez sur le triangle situé à gauche du serveur.
La liste des services apparaît.
5 Dans la liste Serveurs développée, sélectionnez NAT.
6 Cliquez sur Vue d’ensemble.
7 Cliquez sur Assistant réglages de passerelle.
18
Chapitre 1 Connexion de votre réseau à Internet
8 Suivez les instructions de l’assistant, cliquez sur Continuer après chaque page, lisez
attentivement le résumé de configuration final et assurez-vous que les réglages sont
corrects avant de finaliser la configuration.
AVERTISSEMENT : bien que vous puissiez utiliser l’Assistant de configuration de service
pour configurer des serveurs distants, vous pourriez couper votre accès au serveur
distant en tant qu’administrateur par accident.
Connexion d’un réseau local câblé à Internet
Vous pouvez utiliser l’Assistant réglages passerelle pour connecter un réseau local câblé
à Internet. Votre réseau local peut être composé d’un nombre quelconque d’ordinateurs
connectés les uns aux autres par des concentrateurs et des commutateurs Ethernet,
mais le réseau local doit avoir un point de contact avec Internet (la passerelle).
Votre passerelle dispose d’une connexion à Internet et d’une connexion au réseau local.
Tous les autres ordinateurs accèdent à Internet par la passerelle. Vous pouvez configurer votre serveur Mac OS X comme passerelle vers Internet, mais celui-ci doit disposer
de deux ports Ethernet (en0 et en1). Ethernet en0 doit être connecté à Internet et en1
au réseau local.
Une fois fait, les ordinateurs du réseau local :
 peuvent obtenir des adresses IP et des réglages réseau configurés par DHCP ;
 peuvent accéder à Internet si la passerelle est connectée à Internet ;
 ne sont pas accessibles par des connexions réseau non autorisées provenant
d’Internet ;
 sont accessibles par Internet par les clients VPN autorisés (si VPN est configuré) ;
 peuvent bénéficier de la mise en cache des recherches DNS dans la passerelle,
ce qui accélère la résolution DNS.
Pour connecter un réseau local câblé à Internet :
1 Branchez la connexion à Internet au port Ethernet 1 (en0).
2 Branchez la connexion à votre réseau local au port Ethernet 2 (en1).
3 Ouvrez Admin Serveur et connectez-vous au serveur.
4 Cliquez sur Réglages, puis sur Services.
5 Cochez la case NAT.
6 Cliquez sur Enregistrer.
7 Cliquez sur le triangle situé à gauche du serveur.
La liste des services apparaît.
8 Dans la liste Serveurs développée, sélectionnez NAT.
Chapitre 1 Connexion de votre réseau à Internet
19
9 Cliquez sur Vue d’ensemble, puis cliquez sur Assistant réglages de passerelle.
10 Cliquez sur Continuer.
Si votre serveur dispose de configurations DHCP, DNS, NAT et VPN existantes, vous êtes
invité à écraser ces configurations. Si vous voulez écraser les configurations existantes,
cliquez sur Écraser pour continuer.
11 Dans le menu local Interface WAN vers la passerelle, sélectionnez Ethernet 1 (en0)
comme interface WAN, puis cliquez sur Continuer.
12 Dans la liste des interfaces réseau, cochez la case Ethernet 2 de votre interface LAN,
puis cliquez sur Continuer.
Votre interface LAN est celle qui est connectée à votre réseau local. Tous les ordinateurs
du réseau local partagent la connexion Internet du serveur par l’interface WAN du serveur.
Si votre serveur dispose de plus d’une interface (port Ethernet 2, port Ethernet 3, etc.),
sélectionnez celles que vous voulez activer.
13 (Facultatif ) Si vous voulez faire de votre serveur passerelle un point d’entrée VPN vers
votre réseau local, cochez la case Activer VPN pour ce serveur.
Si vous activez VPN, vous devez disposer d’un secret partagé. Un secret partagé est une
phrase clé que les utilisateurs doivent fournir pour se connecter de façon sécurisée à la
passerelle VPN. Il doit s’agir d’une phrase clé très sûre, pas du mot de passe d’un utilisateur ou administrateur du serveur de passerelle.
Pour définir une phrase clé très sûre, utilisez Assistant mot de passe dans Préférences
de comptes. Pour en savoir plus, consultez la rubrique Configuration de la sécurité de
Mac OS X Server.
Pour plus d’informations, consultez le chapitre 6, « Utilisation du service VPN ».
14 Cliquez sur Continuer.
15 Vérifiez et confirmez votre configuration.
16 Cliquez sur Continuer.
NAT et tous les services qui en dépendent sont configurés et démarrés.
17 Cliquez sur Fermer.
Options
Vous pouvez affiner les réglages de cette configuration de base, mais toute configuration
supplémentaire se fait dans Admin Serveur.
Par exemple, vous pouvez utiliser Admin Serveur pour assigner des adresses IP
à certains ordinateurs. Pour ce faire, ajoutez des mappages d’adresses statiques
dans les réglages relatifs au service DHCP. Pour en savoir plus, consultez le chapitre 2,
« Utilisation du service DHCP ».
20
Chapitre 1 Connexion de votre réseau à Internet
Vous pouvez modifier des réglages relatifs au coupe-feu pour permettre des connexions
au réseau local à partir d’Internet. Pour ce faire, modifiez les réglages relatifs au coupefeu, ouvrez les ports IP dont vous avez besoin et configurez la redirection de ports (en
éditant des fichiers UNIX à la ligne de commande) pour désigner l’ordinateur du réseau
local qui doit accepter le trafic entrant.
Connexion d’un réseau local câblé et de clients sans fil
à Internet
Vous pouvez utiliser l’Assistant réglages de passerelle pour connecter un réseau local
câblé et des clients sans fil à Internet. Votre réseau local peut être composé d’un nombre
quelconque d’ordinateurs connectés les uns aux autres par des concentrateurs et des
commutateurs Ethernet, mais le réseau local doit avoir un point de contact avec Internet
(la passerelle).
Votre réseau local doit aussi posséder une borne d’accès AirPort pour connecter
les ordinateurs sans fil au réseau câblé. Vos clients sans fil doivent pouvoir se connecter
au réseau sans fil de la borne d’accès AirPort pour être reliés au réseau local câblé.
Une fois fait, les ordinateurs du réseau local et ceux connectés à la borne d’accès AirPort :
 peuvent obtenir des adresses IP et des réglages réseau configurés par DHCP ;
 peuvent accéder à Internet si la passerelle est connectée à Internet ;
 ne sont pas accessibles par les connexions réseau non autorisées provenant
de la connexion câblée vers Internet ;
 sont accessibles par Internet par les clients VPN autorisés (si VPN est configuré) ;
 peuvent bénéficier de la mise en cache des recherches DNS dans la passerelle,
ce qui accélère la résolution DNS.
Pour connecter un réseau local câblé et de clients sans fil à Internet :
1 Branchez la connexion à Internet au port Ethernet 1 (en0).
2 Branchez la connexion à votre réseau local au port Ethernet 2 (en1).
3 Connectez le port de la borne d’accès AirPort (le port WAN, s’il y en a deux) au réseau câblé.
4 À l’aide d’Utilitaire AirPort, configurez la borne d’accès de façon à ce qu’elle se connecte
par Ethernet et reçoive son adresse par DHCP.
Vous pouvez l’ouvrir à partir du dossier /Applications/Utilitaires/.
5 Sélectionnez votre borne d’accès, puis choisissez Configuration manuelle dans le menu
Borne d’accès.
6 Saisissez le mot de passe de la borne d’accès, si nécessaire.
7 Cliquez sur Internet dans la barre d’outils, puis sur Connexion Internet.
8 Dans le menu local Se connecter via, choisissez Ethernet.
Chapitre 1 Connexion de votre réseau à Internet
21
9 Dans le menu local Configurer IPv4, choisissez Utilisation de DHCP.
10 Dans le menu local Partage de connexion, choisissez Désactivé (mode pont).
11 Pour modifier des réglages relatifs à la borne d’accès, cliquez sur Mettre à jour.
12 Ouvrez Admin Serveur et connectez-vous au serveur.
13 Cliquez sur Réglages, puis sur Services.
14 Cochez la case NAT.
15 Cliquez sur Enregistrer.
16 Cliquez sur le triangle situé à gauche du serveur.
La liste des services apparaît.
17 Dans la liste Serveurs développée, sélectionnez NAT.
18 Cliquez sur Vue d’ensemble, puis cliquez sur Assistant réglages de passerelle.
19 Cliquez sur Continuer.
20 Comme interface WAN (Internet), désignez Ethernet 1.
21 Comme interface LAN (partage), désignez Ethernet 2.
Votre interface LAN est celle qui est connectée à votre réseau local. Tous les ordinateurs
du réseau local partagent la connexion Internet du serveur par l’interface WAN du serveur.
Si votre serveur dispose de plus d’une interface (port Ethernet 2, port Ethernet 3, etc.),
sélectionnez celles que vous voulez activer.
22 Faites éventuellement de cette passerelle un point d’entrée VPN vers votre réseau local.
Si vous activez VPN, vous devez disposer d’un secret partagé. Un secret partagé est une
phrase clé que les utilisateurs doivent fournir pour se connecter de façon sécurisée à la
passerelle VPN. Il doit s’agir d’une phrase clé très sûre, pas du mot de passe d’un utilisateur ou administrateur du serveur passerelle.
Pour définir une phrase clé très sûre, utilisez Assistant mot de passe dans Préférences
de comptes. Pour en savoir plus, consultez la rubrique Configuration de la sécurité de
Mac OS X Server.
Pour en savoir plus sur VPN, consultez le chapitre 6, « Utilisation du service VPN ».
23 Vérifiez et confirmez les modifications.
Options
Vous pouvez affiner les réglages de cette configuration de base, mais toute configuration supplémentaire se fait dans Admin Serveur.
Par exemple, vous pouvez utiliser Admin Serveur pour assigner des adresses IP
à certains ordinateurs. Pour ce faire, ajoutez des mappages d’adresses statiques dans
l’onglet Réglages de la section DHCP. Pour en savoir plus, consultez le chapitre 2,
« Utilisation du service DHCP ».
22
Chapitre 1 Connexion de votre réseau à Internet
Vous pouvez modifier des réglages relatifs au coupe-feu pour permettre des connexions
au réseau local à partir d’Internet. Pour ce faire, modifiez les réglages relatifs au coupefeu, ouvrez les ports IP dont vous avez besoin et configurez la réexpédition de ports
dans la sous-fenêtre NAT pour désigner l’ordinateur du réseau local qui doit accepter
le trafic entrant.
Connexion d’un réseau local sans fil à Internet
Connecter des clients sans fil à Internet par une passerelle Mac OS X Server offre
les avantages suivants par rapport à l’utilisation des fonctions intégrées d’une borne
d’accès AirPort :
 Contrôle du coupe-feu avancé.
 Allocation d’adresses IP statiques par DHCP.
 Mise en cache DNS.
 Connexions VPN entrantes vers le réseau local.
Si vous n’avez pas besoin de ces fonctions, utilisez la borne d’accès AirPort pour connecter
vos clients sans fil à Internet sans utiliser un serveur Mac OS X Server entre la borne d’accès
et Internet.
Pour profiter des fonctionnalités de la passerelle, utilisez la borne d’accès comme
un pont entre vos clients sans fil et la passerelle. Chaque client se connecte à la borne
d’accès et celle-ci envoie le trafic réseau au travers de la passerelle.
Tous les clients sans fil doivent pouvoir se connecter au réseau sans fil de la borne
d’accès AirPort pour être reliés à la passerelle.
Une fois fait, les ordinateurs connectés à la borne d’accès AirPort :
 peuvent obtenir des adresses IP et des réglages réseau configurés par DHCP ;
 peuvent accéder à Internet si la passerelle est connectée à Internet ;
 ne sont pas accessibles par les connexions réseau non autorisées provenant
de la connexion câblée vers Internet ;
 sont accessibles par Internet par les clients VPN autorisés (si VPN est configuré) ;
 peuvent bénéficier de la mise en cache des recherches DNS dans la passerelle,
ce qui accélère la résolution DNS.
Pour connecter un réseau local câblé et de clients sans fil à Internet :
1 Branchez la connexion à Internet au port Ethernet 1 (en0).
2 Connectez le port de la borne d’accès AirPort (le port WAN, s’il y en a deux) au port
Ethernet 2 (en1).
3 À l’aide d’Utilitaire AirPort, configurez la borne d’accès de façon à ce qu’elle se connecte
par Ethernet et reçoive son adresse par DHCP.
Vous pouvez l’ouvrir à partir du dossier /Applications/Utilitaires/.
Chapitre 1 Connexion de votre réseau à Internet
23
4 Sélectionnez votre borne d’accès, puis choisissez Configuration manuelle dans
le menu Borne d’accès.
5 Saisissez le mot de passe de la borne d’accès, si nécessaire.
6 Cliquez sur Internet dans la barre d’outils, puis cliquez sur Connexion Internet.
7 Dans le menu local Se connecter via, choisissez Ethernet.
8 Dans le menu local Configurer IPv4, choisissez Utilisation de DHCP.
9 Dans le menu local Partage de connexion, choisissez Désactivé (mode pont).
10 Pour modifier des réglages relatifs à la borne d’accès, cliquez sur Mettre à jour.
11 Ouvrez Admin Serveur et connectez-vous au serveur.
12 Cliquez sur Réglages, puis sur Services.
13 Cochez la case NAT.
14 Cliquez sur Enregistrer.
15 Cliquez sur le triangle situé à gauche du serveur.
La liste des services apparaît.
16 Dans la liste Serveurs développée, sélectionnez NAT.
17 Cliquez sur Vue d’ensemble, puis cliquez sur Assistant réglages de passerelle.
18 Cliquez sur Continuer.
19 Comme interface WAN (Internet), désignez Ethernet intégré 1.
20 Comme interface LAN (partage), désignez Ethernet intégré 2.
Votre interface LAN est celle qui est connectée à votre réseau local. Les ordinateurs du
réseau local partagent la connexion Internet du serveur par l’interface WAN du serveur.
Si votre serveur dispose de plus d’une interface (port Ethernet 2, port Ethernet 3, etc.),
sélectionnez celles que vous voulez activer.
21 Faites éventuellement de cette passerelle un point d’entrée VPN vers votre réseau local.
Si vous activez VPN, vous devez disposer d’un secret partagé. Un secret partagé est une
phrase clé que les utilisateurs doivent fournir pour se connecter de façon sécurisée à la
passerelle VPN. Il doit s’agir d’une phrase clé très sûre, pas du mot de passe d’un utilisateur ou administrateur du serveur passerelle.
Pour définir une phrase clé très sûre, utilisez Assistant mot de passe dans Préférences
de comptes. Pour en savoir plus, consultez la rubrique Configuration de la sécurité de
Mac OS X Server.
Pour en savoir plus sur VPN, consultez le chapitre 6, « Utilisation du service VPN ».
22 Vérifiez et confirmez les modifications.
24
Chapitre 1 Connexion de votre réseau à Internet
Options
Vous pouvez affiner les réglages de cette configuration de base, mais toute configuration supplémentaire se fait dans Admin Serveur.
Par exemple, vous pouvez utiliser Admin Serveur pour assigner des adresses IP
à certains ordinateurs. Pour ce faire, ajoutez des mappages d’adresses statiques
dans l’onglet Réglages de la section DHCP. Pour en savoir plus, consultez le chapitre 2,
« Utilisation du service DHCP »
Vous pouvez modifier des réglages relatifs au coupe-feu pour permettre des connexions
au réseau local à partir d’Internet. Pour ce faire, modifiez les réglages relatifs au coupefeu, ouvrez les ports IP dont vous avez besoin et configurez la réexpédition de ports
dans la sous-fenêtre NAT pour désigner l’ordinateur du réseau local qui doit accepter
le trafic entrant.
Chapitre 1 Connexion de votre réseau à Internet
25
2
Utilisation du service DHCP
2
Ce chapitre décrit comment configurer et gérer le service
DHCP dans Mac OS X Server.
Si votre organisation possède plus de clients que d’adresses IP, vous pouvez tirer avantage de l’utilisation du service Dynamic Host Configuration Protocol (DHCP). Les adresses IP sont assignées en fonction des besoins et, quand elles ne sont plus nécessaires,
peuvent être utilisées par d’autres clients. Vous pouvez utiliser une combinaison
d’adresses IP statiques et dynamiques dans votre réseau.
Le service DHCP vous permet d’administrer et de distribuer des adresses IP à des
ordinateurs à partir de votre serveur. Lorsque vous configurez le serveur DHCP,
vous assignez un bloc d’adresses IP pouvant être distribuées aux clients.
Chaque fois qu’un ordinateur configuré de façon à utiliser DHCP démarre, il recherche
un serveur DHCP sur le réseau. S’il trouve un serveur DHCP, l’ordinateur client lui demande
une adresse IP. Le serveur DHCP cherche une adresse IP disponible et l’envoie à l’ordinateur accompagnée d’une durée de bail (période pendant laquelle l’ordinateur client est
autorisé à utiliser l’adresse) et d’informations de configuration.
Pour en savoir plus sur l’allocation statique et dynamique d’adresses IP, consultez la section
« Avant de configurer le service DHCP » à la page 29.
Les organisations peuvent tirer profit des fonctionnalités du service DHCP, par exemple
la possibilité de définir les options d’ordinateurs relatives à Domain Name System (DNS)
et au protocole Lightweight Directory Access Protocol (LDAP) sans devoir configurer
chaque client séparément.
Vous pouvez utiliser le module DHCP d’Admin Serveur pour :
 configurer et administrer le service DHCP ;
 créer et administrer des sous-réseaux ;
 configurer des options DNS, LDAP et Windows Internet Naming Service (WINS)
pour des ordinateurs clients ;
 visualiser des baux d’adresses DHCP.
27
Présentation générale de la configuration
Voici un aperçu des principales étapes pour configurer le service DHCP.
Remarque : si vous avez utilisé l’Assistant réglages de passerelle pour configurer les
ports de votre serveur quand vous avez installé Mac OS X Server, certaines informations DHCP sont déjà configurées. Suivez les étapes de cette section pour terminer
la configuration du service DHCP. Vous trouverez plus d’informations sur les réglages
de chaque étape dans la section « Gestion du service DHCP » à la page 34.
Étape 1 : Avant de commencer
Pour connaître les points à garder à l’esprit lors de la configuration du service DHCP,
lisez la section « Avant de configurer le service DHCP » à la page 29.
Étape 2 : Activez le service DHCP
Avant de configurer le service DHCP, activez-le. Consultez la rubrique « Activation du service
DHCP » à la page 31.
Étape 3 : Créez des sous-réseaux
Utilisez Admin Serveur pour créer un groupe d’adresses IP partagées par les ordinateurs clients de votre réseau. Créez une plage d’adresses partagées par sous-réseau.
Ces adresses sont assignées par le serveur DHCP lorsqu’un client en fait la demande.
Consultez la rubrique « Création de sous-réseaux dans le service DHCP » à la page 32.
Étape 4 : Configurez les réglages relatifs à l’historique DHCP
Vous pouvez consigner les activités et les erreurs de votre service DHCP pour vous
aider à identifier les motifs d’utilisation et les problèmes liés à votre serveur.
Le service DHCP enregistre les messages de diagnostic dans le fichier d’historique système. Pour éviter que ce fichier ne devienne trop volumineux, vous pouvez supprimer
la plupart des messages en modifiant les réglages d’historique dans la sous-fenêtre Journalisation des réglages relatifs au service DHCP. Consultez la rubrique « Configuration
de réglages d’historique » à la page 33.
Étape 5 : Démarrez le service DHCP
Après avoir configuré le service DHCP, démarrez-le pour le rendre disponible. Consultez
la rubrique « Démarrage du service DHCP » à la page 33.
28
Chapitre 2 Utilisation du service DHCP
Avant de configurer le service DHCP
La présente section fournit des informations sur la manière de créer des sous-réseaux,
d’assigner des adresses IP statiques et dynamiques, de localiser votre serveur sur le réseau
et d’éviter des adresses IP réservées.
Création de sous-réseaux
Les sous-réseaux sont des regroupements d’ordinateurs d’un réseau destinés à en simplifier l’administration. Vous pouvez organiser les sous-réseaux comme vous le souhaitez. Par exemple, vous pouvez créer des sous-réseaux pour différents groupes au sein
de votre organisation ou pour les différents étages de votre bâtiment.
Une fois que vous avez regroupé les ordinateurs au sein de sous-réseaux, vous pouvez
configurer les options de tous les ordinateurs d’un sous-réseau à la fois plutôt que de
définir les options des différents ordinateurs séparément.
Chaque sous-réseau a besoin d’une façon de se connecter à d’autres sous-réseaux.
Un appareil nommé routeur connecte généralement les sous-réseaux entre eux.
Assignation dynamique d’adresses IP
Avec l’allocation dynamique d’adresses, une adresse IP est assignée pour une période
de temps limitée (la durée de bail) ou jusqu’à ce que l’ordinateur n’ait plus besoin de
l’adresse IP, selon ce qui se présente en premier.
L’utilisation de baux courts permet au protocole DHCP de réattribuer des adresses IP
sur les réseaux comportant plus d’ordinateurs que d’adresses IP. Les baux sont renouvelés si l’adresse n’est plus utilisée par un autre ordinateur.
Les adresses allouées à des clients de réseaux privés virtuels (en anglais « Virtual Private
Network » ou « VPN ») sont distribuées comme les adresses DHCP, mais elles ne proviennent pas de la même plage d’adresses que les adresses DHCP. Si vous prévoyez d’utiliser
VPN, laissez certaines adresses non allouées par DHCP pour VPN. Pour en savoir plus sur
VPN, consultez le chapitre 6, « Utilisation du service VPN, » à la page 135.
Utilisation d’adresses IP statiques
Les adresses IP statiques sont assignées à un ordinateur ou un périphérique, puis ne
changent plus. Vous pouvez assigner des adresses IP statiques à des ordinateurs connectés en permanence à Internet, par exemple les serveurs web. Les autres périphériques
qui doivent être disponibles en permanence aux utilisateurs du réseau, par exemple les
imprimantes, peuvent aussi recevoir des adresses IP statiques.
Les adresses IP statiques peuvent être configurées manuellement en saisissant l’adresse IP
sur l’ordinateur (ou le périphérique) auquel l’adresse est assignée ou en configurant DHCP
de façon à assigner la même adresse à un ordinateur ou périphérique à chaque demande.
Chapitre 2 Utilisation du service DHCP
29
Les adresses IP statiques configurées manuellement permettent d’éviter d’éventuels
problèmes que certains services peuvent rencontrer avec les adresses assignées par
DHCP et ne sont pas pénalisées par le délai de DHCP lors de l’assignation d’une adresse.
Les adresses assignées par DHCP permettent d’apporter des modifications à la configuration des adresses directement sur le serveur DHCP plutôt que sur chaque client.
N’incluez pas des adresses IP statiques assignées manuellement dans les plages distribuées par DHCP.
Vous pouvez configurer DHCP de façon à ce qu’il assigne toujours la même adresse
à un ordinateur. Pour en savoir plus, consultez la rubrique « Assignation d’adresses IP
statiques à l’aide de DHCP » à la page 39.
Localisation du serveur DHCP
Lorsqu’un ordinateur recherche un serveur DHCP, il diffuse un message. Si votre serveur DHCP ne se trouve pas sur le même sous-réseau que l’ordinateur, vérifiez que les
routeurs qui connectent vos sous-réseaux peuvent rediriger les diffusions des clients
et les réponses du serveur DHCP.
Un agent de relais ou routeur capable de relayer les communications BootP sur votre
réseau fera l’affaire pour DHCP. Si vous ne disposez pas d’un moyen de relayer les
communications BootP, placez le serveur DHCP sur le même sous-réseau que le client.
Interaction avec d’autres serveurs DHCP
Il se peut qu’il y ait déjà des serveurs DHCP sur votre réseau, par exemple des bornes
d’accès AirPort.
Mac OS X Server peut coexister avec d’autres serveurs DHCP tant que chaque serveur
DHCP utilise un groupe d’adresses IP unique. Il se peut toutefois que vous souhaitiez
que votre serveur DHCP fournisse une adresse de serveur LDAP pour l’autoconfiguration des clients dans les environnements gérés.
Comme les bornes d’accès AirPort ne peuvent pas fournir d’adresse de serveur LDAP, si
vous voulez utiliser l’autoconfiguration, vous devez configurer les borne d’accès AirPort
en mode pont Ethernet et faire fournir le service DHCP par Mac OS X Server.
Si les bornes d’accès AirPort sont sur des sous-réseaux différents, vos routeurs doivent
être configurés de façon à rediriger les diffusions des clients et les réponses du serveur
DHCP comme décrit plus haut.
Pour que les bornes d’accès AirPort disposent du service DHCP, vous devez saisir les
adresses de serveur LDAP des ordinateurs manuellement. Vous ne pouvez pas utiliser
l’autoconfiguration des clients.
30
Chapitre 2 Utilisation du service DHCP
Utilisation de plusieurs serveurs DHCP sur un réseau
Il peut y avoir plusieurs serveurs DHCP sur le même réseau. Ils doivent toutefois être
configurés correctement pour éviter des interférences entre eux. Chaque serveur doit
disposer de son propre groupe unique d’adresses IP à distribuer.
Assignation d’adresses IP réservées
Certaines adresses IP ne peuvent pas être assignées, notamment les adresses réservées
pour le rebouclage et la diffusion. Votre fournisseur d’accès à Internet ne vous assignera
pas ces adresses. Si vous tentez de configurer DHCP de façon à utiliser ces adresses, vous
serez averti que ces adresses ne sont pas valides et serez invité à saisir des adresses valides.
Obtention d’informations supplémentaires sur le processus DHCP
Mac OS X Server utilise un processus démon nommé bootpd chargé de l’allocation
d’adresses du service DHCP. Pour en savoir plus sur bootpd et ses options de configuration avancées, consultez la page man de bootpd.
Activation du service DHCP
Avant de pouvoir configurer les réglages DHCP, vous devez activer le service DHCP
dans Admin Serveur.
Pour activer le service DHCP :
1 Ouvrez Admin Serveur et connectez-vous au serveur.
2 Cliquez sur Réglages.
3 Cliquez sur Services.
4 Cochez la case DHCP.
5 Cliquez sur Enregistrer.
Configuration du service DHCP
Configurez le service DHCP en configurant les éléments suivants dans Admin Serveur :
 Sous-réseau. Créez un groupe d’adresses IP partagées par des ordinateurs
de votre réseau.
 Niveau d’historique. Configurez le niveau d’historique des événements DHCP.
Les sections qui suivent décrivent les tâches requises pour la configuration de ces réglages. La section finale indique comme démarrer le service DHCP une fois que vous avez fini.
Chapitre 2 Utilisation du service DHCP
31
Création de sous-réseaux dans le service DHCP
Les sous-réseaux sont des regroupements, sur un même réseau, d’ordinateurs organisés
par emplacement (par exemple, selon les différents étages d’un bâtiment) ou par l’emploi
des ressources (par exemple, tous les étudiants en classe de seconde). Au moins une
plage d’adresses IP est assignée à chaque sous-réseau.
Pour créer un sous-réseau :
1 Ouvrez Admin Serveur et connectez-vous au serveur.
2 Cliquez sur le triangle situé à gauche du serveur.
La liste des services apparaît.
3 Dans la liste Serveurs développée, sélectionnez DHCP.
4 Cliquez sur Sous-réseaux.
5 Cliquez sur le bouton Ajouter (+).
6 Saisissez un nom parlant pour le nouveau sous-réseau.
7 Saisissez une adresse IP de début et de fin pour la plage du sous-réseau.
Les adresses doivent être consécutives et ne peuvent pas chevaucher d’autres plages
de sous-réseau.
8 Saisissez le masque de sous-réseau de la plage d’adresses réseau.
9 Dans le menu local, sélectionnez l’interface réseau qui hébergera le service DHCP.
10 Saisissez l’adresse IP du routeur de ce sous-réseau.
Si le serveur que vous configurez est le routeur du sous-réseau, saisissez l’adresse IP
du réseau local de ce serveur comme adresse du routeur.
11 Définissez une durée de bail en heures, jours, semaines ou mois.
12 Si vous voulez définir des informations DNS, LDAP ou WINS pour ce sous-réseau, saisissez-les maintenant.
Pour plus d’informations, consultez les sections « Configuration du serveur DNS d’un
sous-réseau DHCP » à la page 36, « Configuration des options LDAP d’un sous-réseau »
à la page 37 et « Configuration des options WINS d’un sous-réseau » à la page 37.
13 Cliquez sur Enregistrer.
14 Pour activer le sous-réseau, cochez la case Activer.
15 Cliquez sur Enregistrer.
32
Chapitre 2 Utilisation du service DHCP
Configuration de réglages d’historique
Vous pouvez choisir le niveau de détail des historiques du service DHCP :
 Faible (erreurs uniquement) : indique les conditions pour lesquelles vous devez prendre
une mesure immédiate (par exemple, si le serveur DHCP ne peut pas démarrer).
Ce niveau correspond à la signalisation bootpd en mode silencieux avec le drapeau « -q ».
 Moyen (erreurs et messages) : vous averti des conditions dans lesquelles les données
sont incohérentes mais sans que cela n’empêche le serveur DHCP de fonctionner.
Ce niveau correspond à la signalisation bootpd par défaut.
 Élevé (tous les événements) : enregistre toutes les activités du service DHCP, y compris les fonctions de routine. Ce niveau correspond à la signalisation bootpd en mode
détaillé avec le drapeau « -v ».
Pour configurer le niveau de détail d’historique :
1 Ouvrez Admin Serveur et connectez-vous au serveur.
2 Cliquez sur le triangle situé à gauche du serveur.
La liste des services apparaît.
3 Dans la liste Serveurs développée, sélectionnez DHCP.
4 Cliquez sur Réglages.
5 Dans le menu local Niveau d’historique, sélectionnez l’option de journalisation souhaitée.
6 Cliquez sur Enregistrer.
Démarrage du service DHCP
Il faut démarrer le service DHCP pour fournir des adresses IP aux utilisateurs. Vous devez
avoir créé et activé au moins un sous-réseau.
Pour démarrer le service DHCP :
1 Ouvrez Admin Serveur et connectez-vous au serveur.
2 Cliquez sur le triangle situé à gauche du serveur.
La liste des services apparaît.
3 Dans la liste Serveurs développée, sélectionnez DHCP.
4 Cliquez sur le bouton Démarrer DHCP (sous la liste Serveurs).
Si le service de coupe-feu est en service, un avertissement vous demandant de vérifier
que tous les ports utilisés par DHCP sont ouverts s’affiche. Cliquez sur OK.
Le service reste actif jusqu’à ce que vous l’arrêtiez. Il redémarre lorsque votre serveur
redémarre.
À partir de la ligne de commande
Vous pouvez également démarrer le service DHCP à l’aide de la commande serveradmin
dans Terminal. Pour plus d’informations, consultez le chapitre sur les services de fichiers
du guide Administration de ligne de commande.
Chapitre 2 Utilisation du service DHCP
33
Gestion du service DHCP
La présente section décrit comment configurer et gérer le service DHCP sousMac OS X
Server. Cela couvre le démarrage du service, la création de sous-réseaux et la configuration de réglages facultatifs, par exemple LDAP ou DNS pour un sous-réseau.
Arrêt du service DHCP
Lorsque vous démarrez ou arrêtez DHCP, il faut avoir créé et activé au moins un sous-réseau.
Pour arrêter le service DHCP :
1 Ouvrez Admin Serveur et connectez-vous au serveur.
2 Cliquez sur le triangle situé à gauche du serveur.
La liste des services apparaît.
3 Dans la liste Serveurs développée, sélectionnez DHCP.
4 Cliquez sur le bouton Arrêter DHCP (sous la liste Serveurs).
5 Cliquez sur Arrêter.
Modification de réglages de sous-réseau dans le service DHCP
Utilisez Admin Serveur pour modifier des réglages de sous-réseau DHCP. Vous pouvez
modifier la plage d’adresses IP, le masque de sous-réseau, l’interface réseau, le routeur
et la durée de bail.
Pour modifier des réglages de sous-réseau :
1 Ouvrez Admin Serveur et connectez-vous au serveur.
2 Cliquez sur le triangle situé à gauche du serveur.
La liste des services apparaît.
3 Dans la liste Serveurs développée, sélectionnez DHCP.
4 Cliquez sur Sous-réseaux.
5 Sélectionnez un sous-réseau.
6 Apportez les modifications souhaitées.
Ces modifications peuvent être l’ajout d’informations DNS, LDAP ou WINS. Vous pouvez
également redéfinir des plages d’adresses ou rediriger l’interface réseau qui répond aux
demandes DHCP.
7 Cliquez sur Enregistrer.
Si DHCP est en service, vous êtes invité à redémarrer DHCP pour que vos modifications
soient prises en compte. À défaut, vos modifications ne seront prises en compte que
lors du redémarrage de DHCP.
34
Chapitre 2 Utilisation du service DHCP
Suppression de sous-réseaux du service DHCP
Vous pouvez supprimer des sous-réseaux et des plages d’adresses IP de sous-réseau
afin qu’elles ne soient plus distribuées aux ordinateurs.
Pour supprimer des sous-réseaux ou des plages d’adresses :
1 Ouvrez Admin Serveur et connectez-vous au serveur.
2 Cliquez sur le triangle situé à gauche du serveur.
La liste des services apparaît.
3 Dans la liste Serveurs développée, sélectionnez DHCP.
4 Cliquez sur Sous-réseaux.
5 Sélectionnez un sous-réseau.
6 Cliquez sur le bouton Supprimer (–).
7 Cliquez sur Enregistrer.
Si DHCP est en service, vous êtes invité à redémarrer DHCP pour que vos modifications
soient prises en compte. À défaut, vos modifications ne seront prises en compte que
lors du prochain redémarrage de DHCP.
Désactivation temporaire de sous-réseaux
Vous pouvez désactiver temporairement un sous-réseau sans perdre ses réglages. Aucune
adresse IP de la plage du sous-réseau n’est alors distribuée à aucun ordinateur sur l’interface sélectionnée jusqu’à ce que vous réactiviez le sous-réseau.
Pour désactiver un sous-réseau :
1 Ouvrez Admin Serveur et connectez-vous au serveur.
2 Cliquez sur le triangle situé à gauche du serveur.
La liste des services apparaît.
3 Dans la liste Serveurs développée, sélectionnez DHCP.
4 Cliquez sur Sous-réseaux.
5 Décochez la case Activer en regard du sous-réseau que vous voulez désactiver.
6 Cliquez sur Enregistrer.
Si DHCP est en service, vous êtes invité à redémarrer DHCP pour que vos modifications
soient prises en compte. À défaut, vos modifications ne seront prises en compte que
lors du prochain redémarrage de DHCP.
Chapitre 2 Utilisation du service DHCP
35
Modification des durées de bail d’adresse IP d’un sous-réseau
Vous pouvez modifier la durée pendant laquelle les ordinateurs peuvent disposer
des adresses IP sur un sous-réseau.
Pour modifier la durée de bail d’un sous-réseau :
1 Ouvrez Admin Serveur et connectez-vous au serveur.
2 Cliquez sur le triangle situé à gauche du serveur.
La liste des services apparaît.
3 Dans la liste Serveurs développée, sélectionnez DHCP.
4 Cliquez sur Sous-réseaux.
5 Sélectionnez un sous-réseau.
6 Dans le menu local Durée de bail, sélectionnez un laps de temps (heures, jours, semaines
ou mois).
7 Dans le champ Durée de bail, saisissez un nombre.
8 Cliquez sur Enregistrer.
Si DHCP est en service, vous êtes invité à redémarrer DHCP pour que vos modifications
soient prises en compte. À défaut, vos modifications ne seront prises en compte que
lors du prochain redémarrage de DHCP.
Configuration du serveur DNS d’un sous-réseau DHCP
Vous pouvez spécifier les serveurs DNS et le nom de domaine par défaut qu’un sous-réseau
doit utiliser. Le service DHCP fourni ces informations aux ordinateurs du sous-réseau.
Pour définir les options DNS d’un sous-réseau :
1 Ouvrez Admin Serveur et connectez-vous au serveur.
2 Cliquez sur le triangle situé à gauche du serveur.
La liste des services apparaît.
3 Dans la liste Serveurs développée, sélectionnez DHCP.
4 Cliquez sur Sous-réseaux.
5 Sélectionnez un sous-réseau.
6 Cliquez sur DNS.
7 Saisissez l’adresse IP des serveurs de noms principal et secondaire que les clients DHCP
doivent utiliser.
8 Saisissez le domaine par défaut du sous-réseau.
9 Cliquez sur Enregistrer.
Si DHCP est en service, vous êtes invité à redémarrer DHCP pour que vos modifications
soient prises en compte. À défaut, vos modifications ne seront prises en compte que
lors du prochain redémarrage de DHCP.
36
Chapitre 2 Utilisation du service DHCP
Configuration des options LDAP d’un sous-réseau
Vous pouvez utiliser DHCP pour fournir automatiquement à vos clients des informations sur le serveur LDAP plutôt que de configurer manuellement les informations LDAP
sur chaque client. L’ordre dans lequel les serveurs LDAP apparaissent dans la liste détermine l’ordre de recherche dans la politique de recherche Open Directory automatique.
Si vous utilisez ce serveur Mac OS X Server comme maître LDAP, les informations de
configuration nécessaires sont proposées par défaut dans les options LDAP. Si votre serveur maître LDAP est un autre ordinateur, vous devez connaître le nom de domaine ou
l’adresse IP de la base de données LDAP que vous souhaitez utiliser ainsi que la base de
recherche LDAP.
Pour définir les options LDAP d’un sous-réseau :
1 Ouvrez Admin Serveur et connectez-vous au serveur.
2 Cliquez sur le triangle situé à gauche du serveur.
La liste des services apparaît.
3 Dans la liste Serveurs développée, sélectionnez DHCP.
4 Cliquez sur Sous-réseaux.
5 Sélectionnez un sous-réseau.
6 Cliquez sur LDAP.
7 Saisissez le nom de domaine ou l’adresse IP du serveur LDAP de ce sous-réseau.
8 Saisissez la base de recherche pour les recherches LDAP.
9 Si vous utilisez un port non standard, saisissez le numéro du port LDAP.
10 Si nécessaire, sélectionnez LDAP via SSL.
Utilisez cette option pour sécuriser les communications LDAP.
11 Cliquez sur Enregistrer.
Si DHCP est en service, vous êtes invité à redémarrer DHCP pour que vos modifications
soient prises en compte. À défaut, vos modifications ne seront prises en compte que
lors du prochain redémarrage de DHCP.
Configuration des options WINS d’un sous-réseau
Vous pouvez donner plus d’informations aux ordinateurs sous Windows d’un sousréseau en ajoutant des réglages propres à Windows aux données de configuration
réseau fournies par DHCP. Ces réglages propres à Windows permettent aux clients
Windows de parcourir leur voisinage réseau.
Vous devez connaître le nom de domaine ou l’adresse IP des serveurs Windows Internet Naming Service/NetBIOS Name Server (WINS/NBNS) principal et secondaire (il s’agit
généralement de l’adresse IP du serveur DHCP) ainsi que le type de nœud NetBIOS sur
TCP/IP (NBT).
Chapitre 2 Utilisation du service DHCP
37
Types de nœud possibles :
 Hybride (nœud-h) : consulte le serveur WINS puis diffuse.
 Homologue (nœud-p) : consulte le serveur WINS pour la résolution du nom.
 Diffusion (nœud-b) : diffuse pour la résolution du nom (le plus fréquemment utilisé).
 Mélangé (nœud-m) : diffuse pour la résolution du nom puis consulte le serveur WINS.
Le serveur NetBIOS Datagram Distribution (NBDD) utilise NBNS pour router les datagrammes vers les ordinateurs qui se trouvent sur un autre sous-réseau.
L’identifiant d’étendue NetBIOS isole la communication NetBIOS sur un réseau. L’identifiant
d’étendue NetBIOS est ajouté à la fin du nom NetBIOS de l’ordinateur. Tous les ordinateurs
qui portent le même identifiant d’étendue NetBIOS peuvent communiquer.
Le serveur NBDD et l’identifiant d’étendue NetBIOS ne sont généralement pas utilisés,
mais il se peut que vous deviez les utiliser si la configuration de vos clients Windows
et l’infrastructure réseau Windows l’exigent.
Pour définir des options WINS pour un sous-réseau :
1 Ouvrez Admin Serveur et connectez-vous au serveur.
2 Cliquez sur le triangle situé à gauche du serveur.
La liste des services apparaît.
3 Dans la liste Serveurs développée, sélectionnez DHCP.
4 Cliquez sur Sous-réseaux.
5 Sélectionnez un sous-réseau.
6 Cliquez sur WINS.
7 Saisissez le nom de domaine ou l’adresse IP des serveurs WINS/NBNS principal
et secondaire de ce sous-réseau.
8 Saisissez le nom de domaine ou l’adresse IP du serveur NBDD pour ce sous-réseau.
9 Dans le menu local, sélectionnez le type de nœud NBT.
10 Saisissez l’identifiant d’étendue NetBIOS.
11 Cliquez sur Enregistrer.
Si DHCP est en service, vous êtes invité à redémarrer DHCP pour que vos modifications
soient prises en compte. À défaut, vos modifications ne seront prises en compte que
lors du prochain redémarrage de DHCP.
38
Chapitre 2 Utilisation du service DHCP
Assignation d’adresses IP statiques à l’aide de DHCP
Vous pouvez assigner la même adresse aux mêmes ordinateurs. Cela aide à simplifier
la configuration lors de l’utilisation de DHCP et vous permet de disposer de serveurs
ou de services statiques.
Pour qu’un ordinateur conserve la même adresse IP, vous devez connaître l’adresse
Ethernet de l’ordinateur (on parle aussi d’adresse MAC or d’adresse matérielle).
Chaque interface réseau a sa propre adresse Ethernet.
Si un ordinateur est connecté à un réseau câblé et à un réseau sans fil, il utilise
une adresse Ethernet différente pour chacune des connexions réseau.
Pour assigner des adresses IP statiques :
1 Ouvrez Admin Serveur et connectez-vous au serveur.
2 Cliquez sur le triangle situé à gauche du serveur.
La liste des services apparaît.
3 Dans la liste Serveurs développée, sélectionnez DHCP.
4 Cliquez sur Cartes statiques.
5 Cliquez sur Ajouter un ordinateur.
6 Saisissez le nom de l’ordinateur.
7 Dans la liste Interfaces réseau, cliquez sur la colonne pour saisir les informations suivantes :
Adresse MAC de l’ordinateur qui a besoin d’une adresse statique.
Adresse IP que vous voulez assigner à l’ordinateur.
8 Si votre ordinateur dispose d’autres interfaces réseau qui nécessitent une adresse IP
statique, cliquez sur le bouton Ajouter (+) et saisissez l’adresse IP que vous voulez
assigner à chacune des interfaces.
9 Cliquez sur OK.
10 Cliquez sur Enregistrer.
Si DHCP est en service, vous êtes invité à redémarrer DHCP pour que vos modifications
soient prises en compte. À défaut, vos modifications ne seront prises en compte que
lors du prochain redémarrage de DHCP.
Suppression ou modification de mappages d’adresses statiques
Vous pouvez modifier les mappages statiques ou les supprimer si nécessaire.
Pour modifier le mappage d’adresses statique :
1 Ouvrez Admin Serveur et connectez-vous au serveur.
2 Cliquez sur le triangle situé à gauche du serveur.
La liste des services apparaît.
Chapitre 2 Utilisation du service DHCP
39
3 Dans la liste Serveurs développée, sélectionnez DHCP.
4 Cliquez sur Cartes statiques.
5 Sélectionnez le mappage à modifier ou supprimer.
6 Cliquez sur le bouton Modifier ou Supprimer.
Si vous modifiez le mappage, apportez les modifications souhaitées, puis cliquez sur OK.
7 Cliquez sur Enregistrer.
Si DHCP tourne, vous êtes invité à redémarrer DHCP pour que vos modifications soient
prises en compte. À défaut, vos modifications ne seront prises en compte que lors du
prochain redémarrage de DHCP.
Surveillance du service DHCP
Vous pouvez utiliser les méthodes suivantes pour surveiller et dépanner le service DHCP :
 Surveiller les ordinateurs qui utilisent le service en affichant la liste des clients.
 Surveiller les fichiers d’historique générés par le service.
 Utiliser les historiques du service pour résoudre des problèmes de réseau.
Les sections qui suivent décrivent ces aspects du service DHCP.
Vérification de l’état du service DHCP
La vue d’ensemble de l’état affiche le résumé suivant du service DHCP.
 Si le service est en cours d’exécution.
 Le nombre de clients dont il dispose.
 Quand le service a été démarré.
 Le nombre d’adresses IP qui sont assignées de façon statique à partir de vos sous-réseaux.
 Quand la base de données client a été mise à jour pour la dernière fois.
Pour afficher l’état du service DHCP :
1 Ouvrez Admin Serveur et connectez-vous au serveur.
2 Cliquez sur le triangle situé à gauche du serveur.
La liste des services apparaît.
3 Dans la liste Serveurs développée, sélectionnez DHCP.
4 Cliquez sur Vue d’ensemble pour savoir si le service est en cours d’exécution, quand
il a été démarré, le nombre de clients connectés et quand la base de données a été
mise à jour pour la dernière fois.
40
Chapitre 2 Utilisation du service DHCP
Affichage d’entrées d’historique DHCP
Si vous avez activé la journalisation pour le service DHCP, vous pouvez consulter
l’historique système à la recherche d’erreurs DHCP.
L’historique présenté correspond au contenu du fichier system.log filtré pour bootpd.
Utilisez le champ Filtre pour rechercher des entrées particulières.
Pour afficher des entrées d’historique DHCP :
1 Ouvrez Admin Serveur et connectez-vous au serveur.
2 Cliquez sur le triangle situé à gauche du serveur.
La liste des services apparaît.
3 Dans la liste Serveurs développée, sélectionnez DHCP.
4 Cliquez sur Historique.
5 Pour rechercher des entrées, utilisez le champ Filtrer (dans l’angle supérieur droit).
Affichage de la liste des clients DHCP
La fenêtre Clients DHCP affiche les informations suivantes sur chaque client :
 L’adresse IP assignée au client.
 Le nombre de jours de durée de bail restants (ou le nombre d’heures et minutes,
s’il reste moins de 24 heures).....
 L’identifiant du client DHCP (il est généralement identique à l’adresse matérielle).
 Le nom de l’ordinateur.
 L’adresse matérielle.
Pour afficher la liste des clients DHCP :
1 Ouvrez Admin Serveur et connectez-vous au serveur.
2 Cliquez sur le triangle situé à gauche du serveur.
La liste des services apparaît.
3 Dans la liste Serveurs développée, sélectionnez DHCP.
4 Cliquez sur Clients.
Pour trier la liste selon différents critères, cliquez sur un en-tête de colonne.
Configurations réseau courantes qui utilisent DHCP
La section qui suit contient des exemples de configurations DHCP pour différents
usages de réseau. Il y a, par exemple, une configuration pour un groupe de travail,
une configuration pour un laboratoire d’étudiants et une configuration pour un café.
Lorsque vous configurez un réseau privé, vous choisissez des adresses IP dans les blocs
d’adresses IP réservées par l’Internet Assigned Numbers Authority (IANA) destinées aux
intranets privés :
Chapitre 2 Utilisation du service DHCP
41
 10.0.0.0–10.255.255.255 (préfixe 10/8)
 172.16.0.0–172.31.255.255 (préfixe 172.16/12)
 192.168.0.0–192.168.255.255 (préfixe 192.168/16)
Attribution via DHCP d’adresses IP à des ordinateurs derrière une passerelle NAT
Vous pouvez utiliser DHCP pour attribuer des adresses IP à des ordinateurs qui se trouvent derrière une passerelle Network Address Translation (NAT).
Bien que cela ne soit pas strictement nécessaire (car NAT peut être utilisé avec des adresses IP statiques au lieu de DHCP), cela permet une configuration aisée des ordinateurs.
Pour en savoir plus, consultez la rubrique « Liaison d’un réseau local à Internet par
une adresse IP » à la page 128.
Configuration pour un groupe de travail
Imaginez un groupe de travail possédant son propre groupe d’adresses DHCP. Il peut
y avoir une imprimante connectée à un réseau IP, un serveur de fichiers et un serveur
Open Directory (sur le réseau ou pas) pour la gestion des utilisateurs.
Pour utiliser DHCP dans cette configuration, vous devez disposer des éléments suivants :
 Coupe-feu configuré et opérationnel qui permet les connexions LDAP et d’imprimante (impression IP).
Pour en savoir plus, consultez le chapitre 4, « Utilisation du service de coupe-feu ».
 Serveur Open Directory ou LDAP configuré et opérationnel sur lequel des utilisateurs sont définis.
Pour plus d’informations, consultez les sections Administration d’Open Directory
et Gestion des utilisateurs.
Dans cet exemple, la configuration de DHCP implique le mappage d’adresses IP
statiques et des réglages clients réseaux supplémentaires. Exemple de configuration:
 Pour une imprimante devant recevoir une adresse IP statique, assurez-vous que la
plage d’adresses DHCP allouées ne contient pas l’adresse IP réellement statique de
l’imprimante. Si l’imprimante peut être configurée de façon à accepter une adresse
par DHCP, ne vous inquiétez pas pour un éventuel chevauchement.
Pour en savoir plus, consultez la rubrique « Utilisation d’adresses IP statiques » à la page 29.
 Pour un serveur de fichiers devant toujours recevoir la même adresse, utilisez le mappage IP statique de Mac OS X Server pour toujours assigner la même adresse IP à son
adresse Ethernet.
Pour en savoir plus, consultez la rubrique « Assignation d’adresses IP statiques à l’aide
de DHCP » à la page 39.
 Concernant la configuration DHCP, définissez les options LDAP des clients DHCP. Cela
donne automatiquement aux ordinateurs les informations de répertoire dont ils ont
besoin.
42
Chapitre 2 Utilisation du service DHCP
Pour en savoir plus, consultez la rubrique « Configuration des options LDAP d’un
sous-réseau » à la page 37.
 Pour la configuration des clients sur des ordinateurs clients Mac OS X, assurez-vous
que la méthode de configuration IPv4 dans la sous-fenêtre Réseau des Préférences
Système est définie sur DHCP.
Cette configuration permet aux ordinateurs d’être gérés par un serveur LDAP ou Open
Directory en obtenant leurs informations de configuration réseau par DHCP. Ils peuvent
avoir accès par une adresse IP réellement statique ou par des adresses IP assignées en
permanence sur le même réseau. Cela permet également de centraliser la configuration
de tous les ordinateurs.
Configuration d’un laboratoire d’étudiants
L’exemple de configuration d’un laboratoire d’étudiants est très semblable à l’exemple
de configuration d’un groupe de travail, si ce n’est que NetBoot y est en outre ajouté
comme service supplémentaire utilisant DHCP.
Outre le fait que DHCP permet de centraliser la configuration réseau, NetBoot standardise les environnements de démarrage en démarrant chaque ordinateur à partir d’une
image disque se trouvant sur un serveur NetBoot central.
Cette configuration est identique à l’exemple de configuration d’un groupe de travail,
à quelques exceptions près, à savoir :
 Il peut exister des ressources à adresse statique.
Cela dépend de la composition du laboratoire. Vous pouvez disposer d’une imprimante ou d’un serveur de fichiers de classe, mais si vous utilisez un chariot mobile
qui se déplace de classe en classe, vous n’emporterez pas un serveur et une imprimante dans chaque classe.
 NetBoot doit être activé et configuré ainsi que les réglages de coupe-feu nécessaires
à sa prise en charge.
Tout client sur le réseau peut être configuré de façon à démarrer à partir du serveur
NetBoot. De nouveaux ordinateurs peuvent être déployés en sélectionnant l’image
NetBoot comme disque de démarrage pour l’ordinateur. Aucune autre configuration
n’est nécessaire et vous pouvez facilement affecter une autre fonction à un ordinateur sans avoir à en modifier le disque dur.
Avec cette configuration, les ordinateurs du réseau peuvent être gérés par un serveur LDAP
ou Open Directory en obtenant leurs informations de configuration réseau par DHCP.
De plus, l’environnement informatique de tous les ordinateurs est configuré de façon
centralisée. De nouveaux ordinateurs peuvent être ajoutés ou remplacés très facilement.
Chapitre 2 Utilisation du service DHCP
43
Configuration d’un café
La configuration d’un café est un exemple de configuration avec environnement d’adressage dynamique, une configuration qui ne requiert pas de gestion des utilisateurs et qui
ne fournit aucun service à l’exception des services d’accès web, d’accès DNS et autre.
Cet exemple se caractérise par un grand nombre d’utilisateurs mobiles qui arrivent,
se connectent à Internet, puis repartent.
Cette configuration peut facilement être utilisée dans des situations similaires, par
exemple un réseau sans fil dans une école supérieure ou un bureau câblé mis à
la disposition des consultants de passage dans une entreprise.
AVERTISSEMENT : si vous hébergez temporairement des utilisateurs non authentifiés,
assurez-vous que les informations sensibles de votre réseau local sont protégées
derrière un coupe-feu ou se trouvent sur un autre réseau.
Pour utiliser DHCP dans cette configuration, vous devez disposer d’un coupe-feu opérationnel configuré uniquement pour le trafic sortant d’accès web et les recherches sortantes DNS. Il se peut que vous deviez placer ce réseau derrière votre coupe-feu et vous
assurer que le trafic réseau des adresses IP allouées par DHCP est contrôlé et surveillé
de façon stricte.
Pour en savoir plus, consultez le chapitre 4, « Utilisation du service de coupe-feu »
Dans cet exemple, vous pourriez configurer le service DHCP de la façon suivante :
 Activez la configuration automatique du réseau. Configurez les clients DHCP
de façon à ce qu’ils reçoivent la configuration réseau par DHCP.
 Ne configurez pas d’options dont les clients ne doivent pas bénéficier. Ne donnez
pas aux clients DHCP plus d’informations sur votre organisation que nécessaire à
l’aide de LDAP. Il est possible de configurer les clients Windows de façon à ce qu’ils
aient plus d’options réseau.
Pour en savoir plus, consultez la rubrique « Configuration des options WINS d’un sousréseau » à la page 37.
 Limitez l’utilisation des ressources. Avoir un grand nombre d’utilisateurs sur
un sous-réseau peut consommer beaucoup de bande passante. Réduisez donc
le nombre de clients DHCP pouvant se connecter simultanément en limitant le
nombre d’adresses pouvant être allouées.
Pour en savoir plus, consultez la rubrique « Création de sous-réseaux dans le service
DHCP » à la page 32.
 Gardez une rotation des adresses élevée. Définissez des durées de bail sur les adresses aussi courtes que possible. De la sorte, les adresses peuvent être réallouées rapidement lors des allers et venues des utilisateurs.
44
Chapitre 2 Utilisation du service DHCP
Pour en savoir plus, consultez la rubrique « Création de sous-réseaux dans le service
DHCP » à la page 32.
 Surveillez votre trafic. Gardez un œil attentif sur les connexions et les clients DHCP,
la journalisation de paquets de règles de coupe-feu ou les autres outils de surveillance.
Les points d’accès ouverts constituent un danger s’ils ne sont pas bien gardés.
Configuration de DHCP pour l’utilisation d’une URL de serveur LDAP
supplémentaire
Le module DHCP de l’application Admin Serveur ne permet aux administrateurs de
spécifier qu’une seule URL de serveur LDAP par sous-réseau. Si vous voulez spécifier
plusieurs URL de serveur LDAP, vous pouvez modifier le fichier /etc/bootpd.plist ou
utiliser l’outil de ligne de commande serveradmin (dans la fenêtre Terminal).
Modification du fichier /etc/bootpd.plist pour l’ajout de plusieurs URL de serveur LDAP
Une fois que vous avez créé un sous-réseau à l’aide de DHCP dans Admin Serveur
et spécifié une URL de serveur LDAP, vous pouvez consulter et modifier les réglages
en modifiant le fichier /etc/bootpd.plist :
1 Ouvrez le fichier /etc/bootpd.plist dans un éditeur de texte.
2 Localisez la balise <string> au sein de la balise <array> de la clé dhcp_ldap_url.
<key>dhcp_ldap_url</key>
<array>
<string>ldap://serveur.exemple.com/dc=serveur,dc=exemple,dc=com</string>
</array>
3 Ajoutez une URL de serveur LDAP en insérant une balise <string> sous la balise <string>
existante et en saisissant votre URL de serveur LDAP entre la balise d’ouverture <string>
et la balise de fermeture </string>.
<key>dhcp_ldap_url</key>
<array>
<string>ldap://serveur.exemple.com/dc=serveur,dc=exemple,dc=com</string>
<string>ldap://serveur2.exemple.com/dc=serveur2,dc=exemple,dc=com</string>
</array>
4 Enregistrez le fichier bootpd.plist et fermez l’éditeur.
5 Si DHCP est en cours d’exécution, redémarrez le service DHCP afin qu’il puisse charger
la nouvelle configuration.
Dans Terminal, saisissez :
$ sudo serveradmin stop DHCP
$ sudo serveradmin start DHCP
Utilisation de serveradmin avec plusieurs URL de serveur LDAP
Une fois que vous avez créé un sous-réseau à l’aide de DHCP dans Admin Serveur
et spécifié une URL de serveur LDAP, vous pouvez consulter et modifier les réglages
à l’aide de serveradmin. Procédez comme suit.
Chapitre 2 Utilisation du service DHCP
45
1 Vérifiez tous les réglages de sous-réseau DHCP dans Terminal en saisissant :
$ sudo serveradmin settings dhcp:subnets
Exemples de résultats (extrait) :
...
dhcp:subnets:_array_id:498D8E6D-88A8-4048-8B3C14D96F317447:dhcp_ldap_url:_array_index:0 = "http://ldapxxx:123/
basename1"
...
2 Préparez un fichier contenant les commandes serveradmin destinées à ajouter une
seconde URL de serveur LDAP.
Comme les différents éléments de la matrice dhcp_ldap_url ne sont pas accessibles individuellement, vous ne pouvez pas utiliser la commande create/delete de serveradmin.
Exemple de contenu de fichier :
dhcp:subnets:_array_id:498D8E6D-88A8-4048-8B3C14D96F317447:dhcp_ldap_url:_array_index:0 = "http://ldapxxx:123/
basename1"
dhcp:subnets:_array_id:498D8E6D-88A8-4048-8B3C14D96F317447:dhcp_ldap_url:_array_index:1 = "http://ldapyyy:234/
basename2"
Remarque : les index de la matrice commencent à 0. L’ancienne entrée d’URL doit
être présente même si vous ne faites qu’en ajouter une seconde. Les entrées doivent
être dans le bon ordre.
3 Utilisez l’outil serveradmin pour appliquer les réglages provenant du fichier en saisissant :
$ sudo serveradmin settings < nomdefichier
Exemple de résultats (les réglages sont confirmés) :
dhcp:subnets:_array_id:498D8E6D-88A8-4048-8B3C14D96F317447:dhcp_ldap_url:_array_index:0 = "http://ldapxxx:123/
basename1"
dhcp:subnets:_array_id:498D8E6D-88A8-4048-8B3C14D96F317447:dhcp_ldap_url:_array_index:1 = "http://ldapyyy:234/
basename2"
4 Si DHCP tourne, redémarrez le service DHCP afin qu’il puisse charger la nouvelle configuration en saisissant :
$ sudo serveradmin stop DHCP
$ sudo serveradmin start DHCP
46
Chapitre 2 Utilisation du service DHCP
Service DHCP pour clients Mac OS X à l’aide de DHCP avec une
adresse manuelle
La section DHCP d’Admin Serveur permet d’activer ou de désactiver chaque plage
d’adresses de sous-réseau. Lorsque le sous-réseau est activé, le serveur DHCP alloue
des adresses dans sa plage et distribue d’autres informations sur le réseau aux clients
qui sont définis sur « Via DHCP ».
Lorsque le sous-réseau est désactivé, le serveur DHCP n’alloue pas d’adresses pour
le groupe de plages d’adresses de sous-réseau, mais il distribue d’autres informations
sur le réseau (par exemple, les adresses des serveurs DNS et LDAP) aux clients qui sont
définis sur « Utilisation de DHCP avec une adresse manuelle » (mappages statiques),
tant que l’adresse du client se trouve dans la plage du sous-réseau.
Activer et désactiver le sous-réseau désactive l’allocation automatique d’adresses pour
la plage d’adresses mais pas les réponses du serveur DHCP aux clients dont l’adresse
se trouve dans la plage du sous-réseau.
Autres sources d’informations
Les documents RFC (Request for Comments) offrent des vues d’ensemble de protocoles
ou de services particuliers et expliquent le comportement normal du protocole.
Si vous êtes un administrateur de serveur débutant, certaines des informations générales
qui figurent dans les documents RFC vous seront certainement utiles.
En revanche, si vous êtes un administrateur de serveur confirmé, vous trouverez des
détails techniques concernant un protocole particulier dans le document RFC correspondant. Vous pouvez rechercher les documents RFC par leur numéro à l’adresse
www.ietf.org/rfc.html (en anglais).
Pour obtenir des détails sur DHCP, consultez le document RFC 2131.
Pour en savoir plus sur des options de configuration avancées, consultez la page man
de bootpd.
Chapitre 2 Utilisation du service DHCP
47
3
Utilisation du service DNS
3
Le présent chapitre décrit comment configurer, sécuriser
et gérer le service DNS sur votre réseau.
Lorsque vos clients veulent se connecter à une ressource réseau, par exemple un serveur
web ou un serveur de fichiers, ils l’identifient généralement par son nom de domaine (par
exemple, www.exemple.com) plutôt que par son adresse IP (par exemple, 192.168.12.12).
Le système Domain Name System (DNS) est une base de données distribuée qui met
en correspondance des adresses IP et des noms de domaine pour que vos clients puissent trouver les ressources par leur nom plutôt que par leur adresse IP.
Un serveur DNS maintient la liste des noms de domaine et des adresses IP associées
à chaque nom de domaine. Lorsqu’un ordinateur a besoin de connaître l’adresse IP
correspondant à un nom, il envoie un message au serveur DNS, également appelé
serveur de noms.
Le serveur de noms cherche l’adresse IP et la renvoie à l’ordinateur. Si le serveur de
noms ne trouve pas l’adresse IP en local, il envoie des messages à d’autres serveurs
de noms sur Internet pour l’obtenir.
La configuration et la maintenance d’un serveur DNS sont une tâche complexe. C’est
la raison pour laquelle de nombreux administrateurs confient le service DNS à leur fournisseur d’accès à Internet (FAI). Dans ce cas, il suffit de saisir l’adresse IP du serveur de
noms fournie par votre FAI dans les préférences réseau.
Si votre FAI ne gère pas les requêtes DNS relatives à votre réseau et au moins une
des affirmations suivantes est vraie, vous devez configurer votre propre service DNS :
 Vous ne pouvez pas utiliser le DNS de votre FAI ni d’aucune autre source.
 Vous prévoyez d’apporter des modifications fréquentes à l’espace de noms et préférez le gérer vous-même.
 Votre réseau dispose d’un serveur de messagerie et vous éprouvez des difficultés
à le coordonner avec le FAI qui gère votre domaine.
 Vous avez des craintes en matière de sécurité parce que les noms et les adresses des
ordinateurs de votre réseau sont accessibles par une organisation externe (votre FAI).
49
Mac OS X Server utilise Berkeley Internet Name Domain (BIND) 9.2.2 pour son implémentation des protocoles DNS. BIND est une implémentation « open-source » et est
utilisée par la plupart des serveurs de noms sur Internet.
À propos des zones DNS
Les zones sont l’unité organisationnelle de base du système DNS. Les zones contiennent des enregistrements et sont définies d’après la manière dont elles acquièrent
ces enregistrements et la manière dont elles répondent aux requêtes DNS.
Il existe trois zones de base :
 Principale
 Secondaire
 Redirection
Il existe d’autres types de zones, mais elles ne sont pas décrites ici.
Zones principales
Une zone principale possède la copie principale des enregistrements de la zone
et fournit des réponses faisant autorité aux requêtes de recherche.
Zones secondaires
Une zone secondaire est une copie d’une zone principale et est stockée sur un serveur
de noms secondaire. Elle a les caractéristiques suivantes :
 Chaque zone secondaire possède la liste des serveurs principaux qu’elle contacte pour
des mises à jour des enregistrements dans la zone principale. Les zones secondaires doivent être configurées de façon à demander la copie des données de la zone principale.
 Les zones secondaires utilisent des transferts entre zones pour obtenir des copies
des données de zone principale.
 Les serveurs de noms secondaires peuvent répondre aux requêtes de recherche
comme c’est le cas des serveurs principaux.
En utilisant plusieurs zones secondaires reliées à une zone principale, vous pouvez distribuer la charge que représentent les requêtes DNS sur plusieurs ordinateurs et vous
assurer que les demandes de recherche obtiennent une réponse lorsque le serveur
de noms principal est éteint.
Les zones secondaires ont également un intervalle d’actualisation. Cet intervalle détermine la fréquence à laquelle la zone secondaire recherche d’éventuelles modifications
auprès de la zone principale. Vous pouvez modifier l’intervalle d’actualisation de la zone
dans le fichier de configuration de BIND. Pour en savoir plus, consultez la documentation de BIND.
50
Chapitre 3 Utilisation du service DNS
Zones de redirection
Une zone de redirection dirige les requêtes de recherche adressées à cette zone à
d’autres serveurs DNS. Les zones de redirection ne font pas de transferts entre zones.
Les serveurs de zone de redirection sont souvent utilisés pour fournir des services DNS
à un réseau privé situé derrière un coupe-feu. Dans ce cas, le serveur DNS doit avoir
accès à Internet et un serveur DNS situé devant le coupe-feu.
Les zones de redirection mettent également en cache les réponses aux requêtes
qu’elles transmettent. Cela peut améliorer les performances des recherches pour
les clients qui utilisent la zone de redirection.
Admin Serveur ne prend pas en charge la création et la modification d’une zone de redirection. Pour créer une zone de redirection, vous devez configurer BIND manuellement à l’aide
de la ligne de commande. Pour obtenir plus de détails, consultez la documentation de BIND.
À propos des enregistrements de machine DNS
Chaque zone contient un certain nombre d’enregistrements. Ces enregistrements
sont nécessaires quand un ordinateur traduit un nom de domaine (par exemple,
www.exemple.com) en numéro IP. Les navigateurs web, les clients de courrier électronique et les autres applications réseau utilisent ces enregistrements de zone pour contacter le serveur qui convient.
Les enregistrements de zone principale sont consultés par d’autres sur Internet afin
que ces derniers puissent se connecter à vos services réseau.
Plusieurs types d’enregistrements DNS sont disponibles pour la configuration par
Admin Serveur :
 Adresse (A) : stocke l’adresse IP associée au nom de domaine.
 Nom canonique (CNAME) : stocke un alias en relation avec le vrai nom du serveur.
Par exemple, mail.apple.com pourrait être l’alias d’un ordinateur portant le vrai nom
canonique MailSrv473.apple.com.
 Échangeur de courrier (MX) : stocke le nom de domaine de l’ordinateur utilisé pour
le courrier électronique dans une zone.
 Serveur de noms (NS) : stocke le serveur de noms faisant autorité pour une zone.
 Pointeur (PTR) : stocke le nom de domaine d’une adresse IP (recherche inversée).
 Texte (TXT) : stocke la chaîne de texte en réponse aux requêtes DNS.
 Service (SRV) : stocke des informations sur les services qu’un ordinateur fournit.
 Infos sur le matériel (HINFO) : stocke des informations sur le matériel et les logiciels
d’un ordinateur.
Chapitre 3 Utilisation du service DNS
51
Mac OS X Server simplifie la création de ces enregistrements en mettant l’accent sur
l’ordinateur ajouté à la zone plutôt que sur les enregistrements proprement dits. Lorsque vous ajoutez un enregistrement d’ordinateur à une zone, Mac OS X Server crée
les enregistrements de zone qui se traduisent en une adresse d’ordinateur. Grâce à
ce modèle, vous pouvez vous concentrer sur ce que vos ordinateurs font dans votre
domaine plutôt que sur les types d’enregistrement qui s’appliquent à ses fonctions.
Si vous devez avoir accès à d’autres types d’enregistrements, vous devez modifier les
fichiers de configuration BIND manuellement. Pour obtenir plus de détails, consultez
la documentation de BIND.
À propos de Bonjour
Avec Bonjour, vous pouvez partager pratiquement tout, y compris des fichiers, des
données multimédia, des imprimantes et d’autres périphériques, de façon innovante
et simple. Il simplifie les activités réseau traditionnelles telles que le partage de fichiers
et l’impression en permettant de découvrir les serveurs de fichiers et les imprimantes
réseau compatibles avec Bonjour de façon dynamique.
Bonjour commence par simplifier le processus intrinsèquement complexe qu’est la
configuration des périphériques d’un réseau. Pour communiquer avec d’autres périphériques par IP, un périphérique a besoin d’informations spéciales telles qu’une adresse IP,
un masque de sous-réseau, une adresse DNS, un nom DNS et des chemins de recherche préconfigurés. Comprendre ces détails énigmatiques et procéder ensuite à la configuration peut s’avérer compliqué pour un utilisateur lambda.
Lorsqu’un nouvel ordinateur ou périphérique est ajouté à un réseau par autoconfiguration, comme un serveur DHCP, Bonjour configure le périphérique à l’aide d’une technique appelée l’adressage lien-local (si un serveur DHCP est disponible, Bonjour utilise
l’adresse IP assignée).
Avec l’adressage lien-local, l’ordinateur sélectionne une adresse IP au hasard parmi
la plage d’adresses réservées par l’Internet Assigned Numbers Authority (IANA) pour
l’adressage lien-local et s’assigne cette adresse. Ces adresses se trouvent dans la plage
169.254.xxx.xxx.
Le périphérique envoie ensuite un message par le réseau pour déterminer si un autre
périphérique utilise cette adresse. Si l’adresse est utilisée, le périphérique sélectionne des
adresses au hasard jusqu’à ce qu’il en trouve une qui soit disponible. Une fois que le périphérique s’est assigné une adresse IP, il peut envoyer et recevoir du trafic IP sur le réseau.
52
Chapitre 3 Utilisation du service DNS
Avant de configurer le service DNS
La présente section contient des informations qu’il faut prendre en compte avant de
configurer le système DNS sur votre réseau. Comme les problèmes liés à l’administration du système DNS sont complexes et nombreux, ne configurez pas le service DNS
sur votre réseau si vous n’êtes pas un administrateur DNS expérimenté.
Le livre DNS and BIND, 5th edition (en anglais) de Paul Albitz et Cricket Liu (O’Reilly and
Associates, 2006) est une bonne source d’informations sur le système DNS.
Remarque : Apple peut vous aider à trouver un consultant réseau capable d’implémenter
le service DNS. Vous pouvez contacter Services professionnels Apple et Apple Consultants
Network sur le web à l’adresse www.apple.com/fr/services ou consultants.apple.com.
Pensez à créer un alias de courrier électronique, comme « hostmaster », qui reçoit le
courrier et le remet à la personne qui gère le serveur DNS sur votre site. Cela permet
aux utilisateurs et aux autres administrateurs DNS de vous contacter au sujet de problèmes liés au DNS.
Vous devez configurer au moins un serveur de noms principal et un serveur de noms
secondaire. De la sorte, si le serveur de noms principal s’éteint, le serveur de noms
secondaire peut prendre le relais. Un serveur secondaire obtient ses informations
du serveur principal en copiant périodiquement toutes les informations de domaine
du serveur principal.
Une fois qu’un serveur de noms a reçu la paire nom/adresse d’un hôte situé dans un
autre domaine (en dehors du domaine qu’il sert), les informations sont mises en cache,
ce qui permet de stocker les adresses IP des noms résolus récemment pour une utilisation ultérieure.
Les informations DNS sont généralement mises en cache sur votre serveur de noms
pour une période déterminée que l’on nomme la durée de vie (en anglais « Time-to-Live
value » ou « TTL value »). Lorsque la durée de vie d’une paire nom de domaine/adresse
IP a expiré, l’entrée est supprimée de la mémoire cache du serveur de noms et votre
serveur demande les informations dont il a besoin.
Configuration initiale du service DNS
Si vous utilisez un serveur de noms DNS externe et que vous avez saisi son adresse IP
dans l’Assistant réglages de passerelle, vous ne devez rien faire d’autre.
Si vous configurez votre propre serveur DNS, suivez les étapes de la présente section.
Étape 1 : Enregistrez votre nom de domaine
L’enregistrement des noms de domaine est gérée par l’IANA. L’enregistrement IANA
permet de s’assurer que les noms de domaine sont uniques sur Internet (pour en savoir
plus, consultez le site web www.iana.org).
Chapitre 3 Utilisation du service DNS
53
Si vous n’enregistrez pas votre nom de domaine, votre réseau ne peut pas communiquer sur Internet.
Une fois que vous avez enregistré un nom de domaine, vous pouvez créer des sousdomaines si vous configurez un serveur DNS sur votre réseau pour gérer les noms et
les adresses IP des sous-domaines.
Par exemple, si vous enregistrez le nom de domaine exemple.com, vous pourriez créer
des sous-domaines tels que hote1.exemple.com, mail.exemple.com ou www.exemple.com.
Un serveur dans un sous-domaine pourrait être nommé principal.www.exemple.com ou
sauvegarde.www.exemple.com.
Le serveur DNS d’exemple.com gère les informations relatives à ses sous-domaines
comme les noms des hôtes (ordinateurs), les adresses IP statiques, les alias et les échangeurs de courrier.
Si votre FAI gère votre service DNS, vous devez l’informer des modifications que vous
apportez à votre nom de domaine, y compris aux sous-domaines ajoutés.
La plage des adresses IP utilisées avec un domaine doit être clairement définie avant
la configuration. Ces adresses doivent être utilisées exclusivement pour un seul domaine,
jamais par un autre domaine ou sous-domaine. Coordonnez la plage d’adresses avec
votre administrateur réseau ou FAI.
Étape 2 : Apprenez et planifiez
Si vous découvrez le DNS, apprenez et essayez de comprendre les concepts, les outils
et les fonctionnalités DNS de Mac OS X Server et de BIND. Reportez-vous à la section
« Autres sources d’informations » à la page 83.
Une fois que vous êtes prêt, planifiez votre service DNS. Posez-vous les questions suivantes :
 Avez-vous besoin d’un serveur DNS local ? Est-ce que votre FAI fournit le service
DNS ? Pouvez-vous plutôt utiliser des noms DNS de multidiffusion ?
 De combien de serveurs avez-vous besoin ? De combien de serveurs supplémentaires
avez-vous besoin à des fins de sauvegarde DNS ? Par exemple, devez-vous désigner
un deuxième voire un troisième ordinateur pour la sauvegarde du service DNS ?
 Quelle est votre stratégie en matière de sécurité pour lutter contre l’utilisation non
autorisée ?
 À quelle fréquence devez-vous programmer des inspections ou des tests périodiques des enregistrements DNS pour vérifier l’intégrité des données ?
 Combien de services ou périphériques (par exemple, sites web intranet ou imprimantes réseau) ont besoin d’un nom ?
54
Chapitre 3 Utilisation du service DNS
Il y a deux façons de configurer le service DNS sous Mac OS X Server :
 Utilisez la rubrique Admin Serveur. Cette méthode est recommandée. Pour obtenir
des instructions, consultez la rubrique « Configuration du service DNS » à la page 57.
 Modifiez le fichier de configuration BIND. BIND est l’ensemble de programmes utilisés
par Mac OS X Server qui implémente le système DNS. L’un de ces programmes est name
daemon ou named. Pour installer et configurer BIND, vous devez modifier le fichier
de configuration et le fichier de zone. Le fichier de configuration est /etc/named.conf.
Le nom du fichier de zone s’inspire du nom de la zone. Par exemple, le fichier
de zone exemple.com est /var/named/exemple.com.zone.
Si vous modifiez le fichier named.conf pour configurer BIND, ne modifiez pas
les réglages inet de l’instruction de contrôle. Si vous le faites, Admin Serveur
ne pourra pas extraire d’informations d’état sur le DNS.
Les réglages inet ressemblent à ceci :
controls {
inet 127.0.0.1 port 54 allow {any;}
keys { "rndc-key"; };
};
Important : dans Mac OS X Server 10.5, les fichiers de configuration et de zone utilisés
par Admin Serveur ont changé. Si vous modifiez le fichier named.conf et des fichiers
de zone manuellement dans Terminal, les informations sont utilisées par le DNS. Les
informations n’apparaissent toutefois pas dans la sous-fenêtre Zones DNS d’Admin
Serveur. En outre, les modifications apportées dans Admin Serveur ne sont pas répercutées sur le fichier named.conf.
Étape 3 : Activez le service DNS
Avant de configurer le service DNS, activez le service DNS. Consultez la rubrique
« Activation du service DNS » à la page 56.
Étape 4 : Créez une zone DNS et ajoutez des enregistrements de machine
Utilisez Admin Serveur pour configurer les zones DNS. Consultez la rubrique
« Configuration de réglages de zone » à la page 58. Après avoir ajouté une zone principale, Admin Serveur crée un enregistrement de serveur de noms portant le même nom
que la source d’autorité (SOA).
Pour chaque zone que vous créez, Mac OS X Server crée une zone de recherche inversée.
Les zones de recherche inversée traduisent les adresses IP en noms de domaine (à l’inverse,
les recherches normales traduisent des noms de domaine en adresses IP).
Utilisez Admin Serveur pour ajouter des enregistrements à votre zone. Créez un enregistrement d’adresse pour chaque ordinateur ou périphérique (par exemple, pour chaque imprimante ou serveur de fichiers) qui possède une adresse IP statique et a besoin d’un nom.
Différents enregistrements de zone DNS sont créés à partir des entrées de machine DNS.
Chapitre 3 Utilisation du service DNS
55
Étape 5 : Configurez des zones secondaires
Si nécessaire, utilisez Admin Serveur pour configurer des zones secondaires. Consultez
la rubrique « Configuration de réglages de zone secondaire » à la page 60.
Étape 6 : Configurez Bonjour
Utilisez Admin Serveur pour configurer les réglages de Bonjour. Consultez la rubrique
« Configuration de réglages Bonjour » à la page 60.
Étape 7 : Configurez la journalisation
Utilisez Admin Serveur pour spécifier les informations que le service DNS doit journaliser et l’emplacement du fichier d’historique. Consultez la rubrique « Modification
du niveau de détail de l’historique DNS » à la page 63.
Étape 8 : (Facultatif) Configurez un enregistrement d’échange de courrier (MX)
Si vous fournissez le service de courrier par Internet, configurez un enregistrement
MX pour votre serveur. Consultez la rubrique « Configuration du DNS pour le service
de courrier » à la page 77.
Étape 9 : Configurez votre coupe-feu
Configurez votre coupe-feu pour vous assurer que votre service DNS est protégé contre
les attaques et accessible par vos clients. Consultez le chapitre 4, « Utilisation du service
de coupe-feu ».
Étape 10 : Démarrez le service DNS
Mac OS X Server comporte une interface simple pour le démarrage et l’arrêt du service
DNS. Consultez la rubrique « Démarrage du service DNS » à la page 62.
Activation du service DNS
Avant de configurer des réglages DNS, activez le service DNS dans Admin Serveur.
Pour activer le service DNS :
1 Ouvrez Admin Serveur et connectez-vous au serveur.
2 Cliquez sur Réglages.
3 Cliquez sur Services.
4 Cochez la case DNS.
5 Cliquez sur Enregistrer.
56
Chapitre 3 Utilisation du service DNS
Mise à niveau de la configuration DNS
Mac OS X Server 10.5 a été modifié de façon à gérer les entrées DNS de manière plus
efficace. Pour bénéficier de ces modifications, les enregistrements DNS crées dans
les versions antérieures de Mac OS X Server doivent être mis à niveau.
Une fois que vous avez effectué la mise à niveau à Mac OS X Server 10.5 et activé le DNS
dans Admin Serveur, la sous-fenêtre de mise à niveau apparaît la première fois que vous
cliquez sur DNS. (La sous-fenêtre de mise à niveau n’apparaît que si vous avez effectué
la mise à niveau vers Mac OS X Server 10.5. Elle n’apparaît pas si Mac OS X Server 10.5
a été installé directement.)
La sous-fenêtre de mise à niveau comporte deux options :
 « Ne pas mettre à niveau » : si vous choisissez de ne pas effectuer la mise à niveau
de votre configuration, vous ne pouvez pas utiliser Admin Serveur pour configurer
le DNS automatiquement. Vous pouvez configurer les fichiers manuellement en utilisant le fichier /etc/named.conf pour la configuration du DNS et le fichier /var/named
pour la configuration des zones.
 « Mise à niveau de » : l’option de mise à niveau convertit les enregistrements
de fichier DNS puis donne accès aux sous-fenêtres DNS d’Admin Serveur.
Lors de la mise à niveau, des fichiers de sauvegarde sont crées. Si les fichiers doivent
être restaurés, cela peut être fait manuellement. Les fichiers de sauvegarde sont enregistrés dans les mêmes dossiers que les fichiers originaux.
Configuration du service DNS
Configurez le service DNS en configurant les trois groupes de réglages suivants dans
Admin Serveur :
 Zones. Permet de configurer une zone principale et des ordinateurs qui figurent dans
la zone et de configurer une copie de la zone principale stockée sur un serveur de noms
secondaire. Définit également des informations qui déterminent si vous autorisez
les transferts entre zones.
 Bonjour. Permet de configurer la navigation Bonjour automatique.
 Réglages. Permet de configurer et de gérer les historiques relatifs au service DNS
et de définir la récursivité du service DNS.
Les sections suivantes décrivent comment définir ces réglages. La section finale explique comme démarrer le service DNS une fois que vous avez fini.
Chapitre 3 Utilisation du service DNS
57
Configuration de réglages de zone
Utilisez Admin Serveur sur le contrôleur de grappe de serveurs pour créer un fichier
de zone DNS local et y ajouter des enregistrements pour mettre en correspondance
des nœuds de grappe de serveurs avec les adresses IP correspondantes. Le service
Open Directory sur le contrôleur de grappe de serveurs a besoin de ces informations
pour activer la configuration de serveur automatique.
Important : dans Mac OS X Server 10.5, les fichiers de configuration et de zone utilisés
par Admin Serveur ont changé. Si vous modifiez le fichier named.conf et des fichiers
de zone manuellement dans Terminal, les informations sont utilisées par le DNS. Les
informations n’apparaissent toutefois pas dans la sous-fenêtre Zones DNS d’Admin Serveur. De plus, les modifications apportées dans Admin Serveur ne sont pas répercutées
sur le fichier named.conf.Il est recommandé d’utiliser Admin Serveur.
Pour configurer des réglages de zone du service DNS :
1 Ouvrez Admin Serveur et connectez-vous au serveur.
2 Cliquez sur le triangle situé à gauche du serveur.
La liste des services apparaît.
3 Dans la liste Serveurs développée, sélectionnez DNS.
4 Cliquez sur Zones.
5 Cliquez sur Ajouter une zone, puis choisissez « Ajouter une zone principale (maître) ».
6 Sélectionnez la nouvelle zone.
7 Dans le champ Noms dans la zone principale, saisissez le nom de la zone.
Il s’agit du nom de domaine complet du serveur principal.
8 Saisissez l’adresse de courrier électronique de l’administrateur de la zone.
9 Sélectionnez « Autorise le transfert entre zones » pour autoriser les zones secondaires
à obtenir des copies des données de zone principale.
10 Ajoutez des serveurs de noms à cette zone en cliquant sur le bouton Ajouter (+)
et en saisissant le nom dans le champ Serveurs de noms.
11 Ajoutez des échangeurs de courrier à cette zone en cliquant sur le bouton Ajouter (+)
et en saisissant le nom dans le champ échangeurs de courrier.
Le contenu de ce champ sert de base à l’enregistrement MX de l’ordinateur.
12 Spécifiez un numéro d’ordre de serveur de messagerie dans le champ Priorité.
Les serveurs de messagerie source essayent de distribuer en priorité le courrier aux
serveurs ayant les numéros les plus bas. Pour plus d’informations, consultez la rubrique
« Configuration du DNS pour le service de courrier » à la page 77.
13 Cliquez sur Expiration et saisissez le nombre d’heures pour chaque réglage.
58
Chapitre 3 Utilisation du service DNS
Saisissez la durée de validité de la zone. Il s’agit de la durée de vie de la zone (sa valeur
TTL). Celle-ci détermine pendant combien de temps les informations reçues en réponse
aux requêtes peuvent être conservées en cache dans les systèmes DNS distants avant
d’envoyer une nouvelle requête au serveur faisant autorité.
Saisissez l’intervalle de temps entre les actualisations des zones secondaires à partir
de la zone principale.
Saisissez l’intervalle de temps entre chaque nouvelle tentative en cas d’échec
de la zone secondaire.
Saisissez combien de temps après l’actualisation les données de zone expirent.
14 Cliquez sur Ajouter un enregistrement, puis choisissez « Ajouter un alias (CNAME) ».
Pour afficher la liste des enregistrements d’une zone, cliquez sur le triangle à gauche
de la zone.
15 Sélectionnez newAlias sous la zone principale, puis saisissez les informations sur l’alias.
Dans le champ Nom de l’alias, saisissez le nom correspondant. Le contenu de ce champ
sert de base aux enregistrements CNAME de l’ordinateur. Les enregistrements pointeurs
de recherche inversée de l’ordinateur sont créés automatiquement.
Le nom de domaine complet de l’ordinateur apparaît sous le nom de l’alias.
Ajoutez autant d’alias que vous voulez.
16 Cliquez sur Ajouter un enregistrement, puis choisissez « Ajouter une machine (A) ».
17 Sélectionnez newMachine sous la zone principale, puis saisissez les informations
suivantes sur la machine.
Dans le champ Nom de machine, saisissez le nom d’hôte de l’ordinateur. Le contenu
de ce champ sert de base à l’enregistrement A de l’ordinateur. Les enregistrements
pointeurs de recherche inversée de l’ordinateur sont créés automatiquement.
Cliquez sur le bouton Ajouter (+), puis saisissez l’adresse IP de l’ordinateur.
Saisissez toutes les informations sur le matériel et les logiciels de l’ordinateur dans
les zones de texte correspondantes. Il s’agit des bases pour l’enregistrement HINFO
de l’ordinateur.
Saisissez des commentaires sur l’ordinateur dans la zone de texte Commentaire.
Le contenu de ce champ sert de base à l’enregistrement TXT de l’ordinateur. Vous pouvez stocker pratiquement toute chaîne de texte dans la zone des commentaires (jusqu’à
255 caractères ASCII). Vous pouvez notamment décrire l’emplacement physique de l’ordinateur (par exemple, « Serveur de l’étage, armoire B »), le propriétaire de l’ordinateur
(par exemple, « Ordinateur de Jean ») ou écrire toute autre information sur l’ordinateur.
18 Cliquez sur Ajouter un enregistrement, puis choisissez « Ajouter un service (SRV) ».
19 Sous la zone principale, sélectionnez Homepage, puis saisissez les informations sur le service.
20 Cliquez sur Enregistrer.
Chapitre 3 Utilisation du service DNS
59
Configuration de réglages de zone secondaire
Une zone secondaire est une copie d’une zone principale stockée sur un serveur de
noms secondaire. Chaque zone secondaire maintient la liste des serveurs principaux
qu’elle contacte pour des mises à jour des enregistrements dans la zone principale.
Les zones secondaires doivent être configurées pour demander la copie des données
de la zone principale. Les zones secondaires utilisent des transferts de zone pour obtenir des copies des données de zone principale.
Les serveurs de noms secondaires peuvent répondre aux requêtes de recherche
comme les serveurs principaux.
Pour ajouter une zone secondaire :
1 Assurez-vous que le serveur principal est configuré correctement et que les transferts
entre zones sûrs sont activés sur le serveur principal, puis ouvrez Admin Serveur et
connectez-vous au serveur.
2 Cliquez sur le triangle situé à gauche du serveur.
La liste des services apparaît.
3 Dans la liste Serveurs développée, sélectionnez DNS.
4 Cliquez sur Zones.
5 Cliquez sur Ajouter une zone, puis choisissez « Ajouter une zone secondaire (esclave) ».
6 Sélectionnez la nouvelle zone.
7 Dans le champ Noms dans la zone secondaire, saisissez le nom de la zone.
Le nom de la zone est identique à celui de la zone principale définie sur le serveur
de noms principal.
8 Sous la liste Adresses de la zone principale, cliquez sur le bouton Ajouter (+).
9 Saisissez les adresses IP de chaque serveur principal dans la zone secondaire.
10 Cliquez sur Enregistrer.
Configuration de réglages Bonjour
Avec Bonjour, vous pouvez facilement connecter un ordinateur ou tout autre périphérique électronique à un réseau Ethernet câblé ou sans fil ou créer des réseaux instantanés
comportant plusieurs périphériques sans configuration réseau supplémentaire.
Pour configurer des réglages Bonjour du service DNS :
1 Ouvrez Admin Serveur et connectez-vous au serveur.
2 Cliquez sur le triangle situé à gauche du serveur.
La liste des services apparaît.
3 Dans la liste Serveurs développée, sélectionnez DNS.
4 Cliquez sur Bonjour.
60
Chapitre 3 Utilisation du service DNS
5 Pour activer la recherche Bonjour en zone élargie, cochez « Activer l’accès automatique
aux clients via Bonjour pour le domaine », puis saisissez l’adresse du réseau.
Toutes les zones principales fournissent ce domaine aux clients pour la recherche Bonjour.
6 Cliquez sur Enregistrer.
Configuration de réglages DNS
Utilisez la sous-fenêtre Réglages de DNS pour définir le niveau de détail de l’historique
du service DNS. Vous avez le choix entre un historique très détaillé à des fins de débogage et un historique moins détaillé qui ne contient que les avertissements critiques.
Définissez des requêtes récursives auxquelles le serveur DNS répond entièrement (ou
donne une erreur). Sans réponde à la requête, celle-ci est réexpédiée aux adresses IP
que vous avez ajoutées dans la liste Adresses IP du réexpéditeur.
Pour configurer des réglages DNS :
1 Ouvrez Admin Serveur et connectez-vous au serveur.
2 Cliquez sur le triangle situé à gauche du serveur.
La liste des services apparaît.
3 Dans la liste Serveurs développée, sélectionnez DNS.
4 Cliquez sur Réglages.
5 Dans le menu local Niveau de détail de l’historique, sélectionnez le niveau de détail
souhaité :
 Sélectionnez Critique pour ne consigner que les erreurs critiques comme les erreurs
matérielles.
 Sélectionnez Erreur pour consigner toutes les erreurs à l’exception des messages
d’avertissement.
 Sélectionnez Avertissement pour consigner tous les avertissements et toutes les erreurs.
 Sélectionnez Note pour ne consigner que les messages, les avertissements et
les erreurs les plus importants.
 Sélectionnez Information pour consigner la plupart des messages.
 Sélectionnez Déboguer pour consigner tous les messages.
L’emplacement de l’historique est /Bibliothèque/Logs/.
6 Sous la liste « Accepter les requêtes récursives sur les réseaux suivants », cliquez sur
le bouton Ajouter (+) pour ajouter les réseaux à partir desquels les requêtes récursives
sont acceptées, puis saisissez l’adresse des réseaux dans la liste.
7 Sous la liste « Adresses IP du réexpéditeur », cliquez sur le bouton Ajouter (+) pour ajouter les réseaux auxquels les requêtes non autorisées sont réexpédiées, puis saisissez
l’adresse des réseaux dans la liste.
8 Cliquez sur Enregistrer.
Chapitre 3 Utilisation du service DNS
61
Démarrage du service DNS
Utilisez Admin Serveur pour démarrer le service DNS.
N’oubliez pas de redémarrer le service DNS lorsque vous apportez des modifications
au service DNS dans Admin Serveur.
Pour démarrer le service DNS :
1 Ouvrez Admin Serveur et connectez-vous au serveur.
2 Cliquez sur le triangle situé à gauche du serveur.
La liste des services apparaît.
3 Dans la liste Serveurs développée, sélectionnez DNS.
4 Cliquez sur Démarrer DNS (sous la liste Serveurs).
Le démarrage du service peut prendre quelques secondes.
Gestion du service DNS
Cette section décrit les tâches courantes que vous aurez probablement à effectuer une
fois le service DNS configuré sur votre serveur. Vous trouverez les informations relatives
à la configuration initiale à la rubrique « Configuration du service DNS » à la page 57.
Les fonctionnalités plus avancées nécessitent la configuration de BIND à l’aide de la ligne
de commande et ne font pas l’objet du présent manuel.
Vous pouvez surveiller l’état du DNS pour :
 résoudre des problèmes de résolution de noms ;
 vérifier la fréquence d’utilisation du service DNS ;
 rechercher d’éventuelles utilisations non autorisées voire malveillantes du service DNS.
La présente section décrit les tâches de surveillance courantes suivantes relatives
au service DNS.
 « Vérification de l’état du service DNS » à la page 63.
 « Affichage des historiques du service DNS » à la page 63.
 « Modification du niveau de détail de l’historique DNS » à la page 63.
 « Arrêt du service DNS » à la page 64.
 « Activation ou désactivation des transferts entre zones » à la page 64.
 « Activation de la récursivité » à la page 65.
62
Chapitre 3 Utilisation du service DNS
Vérification de l’état du service DNS
Vous pouvez utiliser Admin Serveur pour vérifier l’état du service DNS.
Pour vérifier l’état du service DNS :
1 Ouvrez Admin Serveur et connectez-vous au serveur.
2 Cliquez sur le triangle situé à gauche du serveur.
La liste des services apparaît.
3 Dans la liste Serveurs développée, sélectionnez DNS.
4 Cliquez sur Vue d’ensemble pour vérifier si le service est en service, quand il a été
démarré et le nombre de zones allouées.
5 Cliquez sur Historique pour examiner l’historique du service.
Utilisez le champ Filtre au-dessus de l’historique pour rechercher des entrées spécifiques.
Affichage des historiques du service DNS
Le service DNS crée des entrées pour les messages d’erreur et d’alerte dans l’historique
système. Le fichier d’historique s’appelle named.log. Vous pouvez filtrer le contenu de
l’historique afin de restreindre le nombre d’entrées affichées et accéder plus facilement
à celles qui vous intéressent.
Pour afficher les historiques, procédez de la manière suivante :
1 Ouvrez Admin Serveur et connectez-vous au serveur.
2 Cliquez sur le triangle situé à gauche du serveur.
La liste des services apparaît.
3 Dans la liste Serveurs développée, sélectionnez DNS.
4 Cliquez sur Historique et utilisez le champ Filtre au-dessus de l’historique pour rechercher des entrées spécifiques.
Modification du niveau de détail de l’historique DNS
Vous pouvez modifier le niveau de détail de l’historique du service DNS. Vous avez le
choix entre un historique très détaillé à des fins de débogage et un historique moins
détaillé qui ne contient que les avertissements critiques.
Pour modifier le niveau de détail de l’historique :
1 Ouvrez Admin Serveur et connectez-vous au serveur.
2 Cliquez sur le triangle situé à gauche du serveur.
La liste des services apparaît.
3 Dans la liste Serveurs développée, sélectionnez DNS.
4 Cliquez sur Réglages.
Chapitre 3 Utilisation du service DNS
63
5 Dans le menu local Niveau d’historique, sélectionnez le niveau de détail souhaité
comme suit :
 Sélectionnez Critique pour ne consigner que les erreurs critiques comme les erreurs
matérielles.
 Sélectionnez Erreur pour consigner toutes les erreurs à l’exception des messages
d’avertissement.
 Sélectionnez Avertissement pour consigner tous les avertissements et toutes
les erreurs.
 Sélectionnez Note pour ne consigner que les messages, les avertissements et
les erreurs les plus importants.
 Sélectionnez Information pour consigner la plupart des messages.
 Sélectionnez Déboguer pour consigner tous les messages.
6 Cliquez sur Enregistrer.
Arrêt du service DNS
Utilisez Admin Serveur pour arrêter le service DNS.
Pour arrêter le service DNS :
1 Ouvrez Admin Serveur et connectez-vous au serveur.
2 Cliquez sur le triangle situé à gauche du serveur.
La liste des services apparaît.
3 Dans la liste Serveurs développée, sélectionnez DNS.
4 Cliquez sur Arrêter DNS (sous la liste Serveurs).
5 Cliquez sur Arrêter.
L’arrêt du service peut prendre quelques secondes.
Activation ou désactivation des transferts entre zones
Dans le DNS, les données de zone sont répliquées sur les différents serveurs DNS faisant autorité à l’aide de transferts entre zones. Les serveurs DNS secondaires utilisent
les transferts entre zones pour obtenir leurs données auprès des serveurs DNS principaux. Vous devez donc activer les transferts entre zones si vous voulez utiliser des serveurs DNS secondaires.
Pour activer ou désactiver les transferts entre zones :
1 Ouvrez Admin Serveur et connectez-vous au serveur.
2 Cliquez sur le triangle situé à gauche du serveur.
La liste des services apparaît.
3 Dans la liste Serveurs développée, sélectionnez DNS.
4 Cliquez sur Zones.
64
Chapitre 3 Utilisation du service DNS
5 Sélectionnez la zone principale que vous voulez modifier.
6 Cliquez sur Général.
7 Cochez ou décochez « Autorise le transfert entre zones » pour autoriser les zones
secondaires à obtenir des copies des données de zone principale.
8 Cliquez sur Enregistrer.
Activation de la récursivité
La récursivité traduit entièrement les noms de domaine en adresses IP. Les applications
dépendent du serveur DNS pour réaliser cette opération. Les autres serveurs DNS qui
interrogent vos serveurs DNS n’ont pas besoin de réaliser la récursivité.
Pour empêcher les utilisateurs malveillants de modifier les enregistrements de la zone
principale (opération que l’on nomme l’empoisonnement du cache) et pour empêcher
l’utilisation du serveur sans autorisation pour le service DNS, vous pouvez restreindre
la récursivité. Toutefois, si vous restreignez la récursivité sur votre réseau privé, vos utilisateurs ne pourront pas utiliser votre service DNS pour rechercher des noms en dehors
de vos zones.
Ne désactivez la récursivité que si :
 aucun client n’utilise le serveur DNS pour la résolution de noms ;
 aucun serveur ne l’utilise pour la redirection.
Pour activer la récursivité :
1 Ouvrez Admin Serveur et connectez-vous au serveur.
2 Cliquez sur le triangle situé à gauche du serveur.
La liste des services apparaît.
3 Dans la liste Serveurs développée, sélectionnez DNS.
4 Cliquez sur Réglages.
5 Cliquez sur le bouton Ajouter (+) sous la liste « Accepter les requêtes récursives sur
les réseaux suivants ».
6 Saisissez les adresses IP des serveurs desquels le DNS doit accepter des requêtes récursives.
Vous pouvez également saisir des plages d’adresse IP.
7 Cliquez sur Enregistrer.
Si vous activez la récursivité, n’oubliez pas de la désactiver pour les adresses IP externes
mais de l’activer pour les adresses IP de réseau local en modifiant le fichier named.conf
de BIND. Toutes les modifications que vous apportez au fichier named.conf n’apparaissent
toutefois pas dans la section DNS d’Admin Serveur. Vous pouvez désactiver entièrement
la récursivité en supprimant toutes les entrées de la liste des réseaux. Pour en savoir plus
sur BIND, consultez www.isc.org/sw/bind.
Chapitre 3 Utilisation du service DNS
65
Gestion de zones DNS
Les zones DNS se gèrent à l’aide d’Admin Serveur. Les sections suivantes décrivent
comment gérer et modifier des zones DNS.
 « Ajout d’une zone principale » à la page 66
 « Ajout d’une zone secondaire » à la page 67
 « Ajout d’une zone de redirection » à la page 68
 « Modification d’une zone » à la page 68
 « Suppression d’une zone » à la page 68
Ajout d’une zone principale
Utilisez Admin Serveur pour ajouter une zone principale à votre serveur DNS.
Pour ajouter une zone principale :
1 Ouvrez Admin Serveur et connectez-vous au serveur.
2 Cliquez sur le triangle situé à gauche du serveur.
La liste des services apparaît.
3 Dans la liste Serveurs développée, sélectionnez DNS.
4 Cliquez sur Zones.
5 Cliquez sur Ajouter une zone, puis choisissez « Ajouter une zone principale (maître) ».
6 Sélectionnez la nouvelle zone.
7 Dans le champ Noms dans la zone principale, saisissez le nom de la zone.
Il s’agit du nom de domaine complet du serveur principal.
8 Saisissez l’adresse de courrier électronique de l’administrateur de la zone.
9 Sélectionnez « Autorise le transfert entre zones » pour autoriser les zones secondaires
à obtenir des copies des données de zone principale.
10 Ajoutez des serveurs de noms à cette zone en cliquant sur le bouton Ajouter (+)
et en saisissant le nom dans le champ Serveurs de noms.
11 Ajoutez des échangeurs de courrier à cette zone en cliquant sur le bouton Ajouter (+)
et en saisissant le nom dans le champ échangeurs de courrier.
Le contenu de ce champ sert de base à l’enregistrement MX de l’ordinateur.
12 Dans le champ Priorité, spécifiez le numéro d’ordre d’un serveur de messagerie.
Les serveurs de messagerie source essayent de distribuer en priorité le courrier aux
serveurs ayant les numéros les plus bas. Pour plus d’informations, consultez la rubrique
« Configuration du DNS pour le service de courrier » à la page 77.
66
Chapitre 3 Utilisation du service DNS
13 Cliquez sur Expiration et saisissez le nombre d’heures pour chaque réglage.
Saisissez la durée de validité de la zone. Il s’agit de la durée de vie de la zone (sa valeur
TTL). Celle-ci détermine pendant combien de temps les informations reçues en réponse
aux requêtes peuvent être conservées en cache dans les systèmes DNS distants avant
d’envoyer une nouvelle requête au serveur faisant autorité.
Saisissez l’intervalle de temps entre les actualisations des zones secondaires à partir
de la zone principale.
Saisissez l’intervalle de temps entre chaque nouvelle tentative en cas d’échec de la zone
secondaire.
Saisissez au bout de combien de temps après l’actualisation les données de zone expirent.
14 Cliquez sur Enregistrer.
Ajout d’une zone secondaire
Utilisez Admin Serveur pour ajouter une zone secondaire à votre serveur DNS.
Effectuez les étapes suivantes sur le serveur secondaire. Avant d’effectuer ces étapes,
vérifiez que le serveur principal est configuré correctement et que les transferts entre
zones sont activés sur le serveur principal.
Pour ajouter une zone secondaire :
1 Sur le serveur secondaire, ouvrez Admin Serveur et connectez-vous au serveur principal.
2 Cliquez sur le triangle situé à gauche du serveur.
La liste des services apparaît.
3 Dans la liste Serveurs développée, sélectionnez DNS.
4 Cliquez sur Zones.
5 Cliquez sur Ajouter une zone, puis sur « Ajouter une zone secondaire (esclave) ».
6 Sélectionnez la nouvelle zone.
7 Dans le champ Noms dans la zone secondaire, saisissez le nom de la zone.
Le nom de la zone est identique à celui de la zone principale définie sur le serveur
de noms principal.
8 Sous la liste d’adresses Zone principale, cliquez sur le bouton Ajouter (+).
9 Saisissez les adresses IP de chaque serveur principal dans la zone secondaire.
10 Cliquez sur Enregistrer.
Chapitre 3 Utilisation du service DNS
67
Ajout d’une zone de redirection
Une zone de redirection dirige toutes les requêtes de recherche vers d’autres serveurs
DNS. La zone de redirection met également en cache les requêtes de recherche antérieures pour améliorer la vitesse.
Utilisez Admin Serveur pour ajouter une zone de redirection à votre serveur DNS.
Pour ajouter une zone de redirection :
1 Ouvrez Admin Serveur et connectez-vous au serveur.
2 Cliquez sur le triangle situé à gauche du serveur.
La liste des services apparaît.
3 Dans la liste Serveurs développée, sélectionnez DNS.
4 Cliquez sur Réglages.
5 Sous la liste Adresses IP du réexpéditeur, cliquez sur le bouton Ajouter (+).
6 Saisissez les adresses IP des serveurs maîtres de la zone de redirection.
Une zone de redirection dirige toutes les requêtes de recherche vers d’autres serveurs
DNS. La zone de redirection met également en cache les requêtes de recherche antérieures pour améliorer la vitesse.
7 Cliquez sur Enregistrer.
Modification d’une zone
Utilisez Admin Serveur pour modifier des réglages de zone. Il se peut que vous deviez
modifier l’adresse électronique de l’administrateur ou le nom de domaine d’une zone.
Pour modifier une zone :
1 Ouvrez Admin Serveur et connectez-vous au serveur.
2 Cliquez sur le triangle situé à gauche du serveur.
La liste des services apparaît.
3 Dans la liste Serveurs développée, sélectionnez DNS.
4 Cliquez sur Zones.
5 Sélectionnez la zone que vous voulez modifier.
6 Modifiez les informations sur la zone comme vous le souhaitez.
7 Cliquez sur Enregistrer.
Suppression d’une zone
Lorsque vous supprimez une zone, tous les enregistrements associés sont également
supprimés.
Pour supprimer une zone :
1 Ouvrez Admin Serveur et connectez-vous au serveur.
68
Chapitre 3 Utilisation du service DNS
2 Cliquez sur le triangle situé à gauche du serveur.
La liste des services apparaît.
3 Dans la liste Serveurs développée, sélectionnez DNS.
4 Cliquez sur Zones.
5 Sélectionnez la zone que vous voulez supprimer.
6 Cliquez sur Supprimer sous la liste Zones.
7 Cliquez sur Enregistrer.
Importation d’un fichier de zone BIND
Il se peut que vous disposiez déjà d’un fichier de zone BIND provenant d’un serveur
DNS d’une autre plate-forme. Si c’est le cas, plutôt que de saisir les informations dans
Admin Serveur manuellement, vous pouvez utiliser le fichier de zone BIND directement dans Mac OS X Server.
L’utilisation d’un fichier de zone nécessite :
 des autorisations d’accès root au fichier de configuration BIND (/etc/named.conf ) ;
 le répertoire de la zone de travail (/var/named/) ;
 des connaissances élémentaires de BIND et de l’application Terminal.
À défaut, utilisez les outils DNS d’Admin Serveur.
Important : dans Mac OS X Server 10.5, les fichiers de configuration et de zone utilisés
par Admin Serveur ont changé. Si vous modifiez le fichier named.conf et des fichiers de
zone manuellement dans Terminal, les informations sont utilisées par le DNS. Les informations n’apparaissent toutefois pas dans la sous-fenêtre Zones DNS d’Admin Serveur.
De plus, les modifications apportées dans Admin Serveur ne sont pas répercutées sur
le fichier named.conf.Il est recommandé d’utiliser Admin Serveur.
Pour importer un fichier de zone :
1 Ajoutez la directive de zone au fichier de configuration BIND, /etc/named.conf.
Vous devez disposer de privilèges root pour modifier le fichier named.conf.
Par exemple, pour la zone xyz.com décrite dans le fichier de zone db.xyz.com dans le
dossier de zone de travail /var/named/, la directive de zone pourrait ressembler à ceci :
zone "xyz.com" IN {
type master;
file "db.xyz.com";
var/named/db.xyz.com
allow-update { none;
};
// Zone de recherche avant pour xyz.com
// Il s’agit d’une zone principale
// Les infos sur la zone sont stockées dans /
};
2 Confirmez que le fichier de zone doit être ajouté au dossier de zone de travail /var/named/.
3 Redémarrez le service DNS à l’aide d’Admin Serveur.
Chapitre 3 Utilisation du service DNS
69
Gestion d’enregistrements DNS
Chaque zone contient un certain nombre d’enregistrements qui sont nécessaires lorsqu’un
ordinateur client traduit un nom de domaine (par exemple, www.exemple.com) en numéro IP.
Les navigateurs web, les clients de courrier électronique et les autres applications
réseau utilisent les enregistrements d’une zone pour contacter le serveur qui convient.
Les sections suivantes décrivent comment ajouter, modifier et supprimer des enregistrements DNS.
 « Ajout d’un enregistrement d’alias à une zone DNS » à la page 70.
 « Ajout d’un enregistrement de machine à une zone DNS » à la page 71.
 « Ajout d’un enregistrement de service à une zone DNS » à la page 72.
 « Modification d’un enregistrement dans une zone DNS » à la page 72.
 « Suppression d’un enregistrement d’une zone DNS » à la page 73.
Ajout d’un enregistrement d’alias à une zone DNS
Vous devez ajouter des enregistrements pour chaque ordinateur dont la zone principale DNS est responsable. N’ajoutez pas d’enregistrements pour les ordinateurs que
cette zone ne contrôle pas.
Un enregistrement d’alias, ou enregistrement de nom canonique (CNAME), est utilisé
pour créer des alias qui pointent vers d’autres noms. Si vous voulez que cet ordinateur
ait plus d’un nom, ajoutez des enregistrements d’alias à la zone.
Pour ajouter un enregistrement d’alias DNS :
1 Ouvrez Admin Serveur et connectez-vous au serveur.
2 Cliquez sur le triangle situé à gauche du serveur.
La liste des services apparaît.
3 Dans la liste Serveurs développée, sélectionnez DNS.
4 Cliquez sur Zones.
5 Sélectionnez la zone à laquelle l’enregistrement doit être ajouté.
6 Cliquez sur Ajouter un enregistrement, puis choisissez Ajouter un alias (CNAME).
Cela ajoute l’enregistrement d’alias à la zone.
7 Sélectionnez newAlias sous la zone, puis saisissez les informations sur l’alias.
Dans le champ Nom de l’alias, saisissez le nom de l’alias. Le contenu de ce champ sert
de base aux enregistrements CNAME de l’ordinateur. Les enregistrements pointeurs
de recherche inversée de l’ordinateur sont créés automatiquement.
Pour utiliser le nom de domaine complet de l’ordinateur, cochez la case Intégralement
qualifié.
70
Chapitre 3 Utilisation du service DNS
8 Cliquez sur Enregistrer.
Ajoutez autant d’alias que vous le souhaitez en ajoutant d’autres enregistrements d’alias.
Ajout d’un enregistrement de machine à une zone DNS
Vous devez ajouter des enregistrements pour chaque ordinateur dont la zone principale DNS est responsable. N’ajoutez pas d’enregistrements pour les ordinateurs que
cette zone ne contrôle pas.
Un enregistrement de machine, ou enregistrement d’adresse (A), est utilisé pour associer un nom de domaine à une adresse IP. C’est pourquoi il ne peut y avoir qu’une seule
machine par adresse IP car les adresses IP doivent être uniques au sein d’une zone.
Pour ajouter un enregistrement de machine DNS :
1 Ouvrez Admin Serveur et connectez-vous au serveur.
2 Cliquez sur le triangle situé à gauche du serveur.
La liste des services apparaît.
3 Dans la liste Serveurs développée, sélectionnez DNS.
4 Cliquez sur Zones.
5 Sélectionnez la zone à laquelle l’enregistrement doit être ajouté.
6 Cliquez sur Ajouter un enregistrement, puis choisissez « Ajouter une machine (A) ».
Cela ajoute l’enregistrement de machine à la zone.
7 Sélectionnez newMachine sous la zone, puis saisissez les informations suivantes sur
la machine.
Dans le champ Nom de machine, saisissez le nom d’hôte de l’ordinateur. Le contenu
de ce champ sert de base à l’enregistrement A de l’ordinateur. Les enregistrements
pointeurs de recherche inversée de l’ordinateur sont créés automatiquement.
Cliquez sur le bouton Ajouter (+), puis saisissez l’adresse IP de l’ordinateur.
Saisissez toutes les informations sur le matériel et les logiciels de l’ordinateur dans
les zones de texte correspondantes. Il s’agit des bases pour l’enregistrement HINFO
de l’ordinateur.
Saisissez des commentaires sur l’ordinateur dans la zone de texte Commentaire.
Le contenu de ce champ sert de base à l’enregistrement TXT de l’ordinateur.
Vous pouvez stocker jusqu’à 255 caractères ASCII dans la zone des commentaires. Vous
pouvez décrire l’emplacement physique de l’ordinateur (par exemple, « Serveur de l’étage,
armoire B »), le propriétaire de l’ordinateur (par exemple, « Ordinateur de Jean ») ou écrire
toute autre information sur l’ordinateur.
8 Cliquez sur Enregistrer.
Chapitre 3 Utilisation du service DNS
71
Ajout d’un enregistrement de service à une zone DNS
Vous devez ajouter des enregistrements pour chaque ordinateur dont la zone principale DNS est responsable. N’ajoutez pas d’enregistrements pour les ordinateurs que
cette zone ne contrôle pas.
Les enregistrements de service (SRV) sont utilisés pour définir l’hôte et le port cible
sur lequel le service DNS travaillera.
Pour ajouter un enregistrement de service DNS :
1 Ouvrez Admin Serveur et connectez-vous au serveur.
2 Cliquez sur le triangle situé à gauche du serveur.
La liste des services apparaît.
3 Dans la liste Serveurs développée, sélectionnez DNS.
4 Cliquez sur Zones.
5 Sélectionnez la zone à laquelle l’enregistrement doit être ajouté.
6 Cliquez sur Ajouter un enregistrement, puis choisissez Ajouter un service (SRV).
Cela ajoute l’enregistrement de service à la zone.
7 Sous la zone, sélectionnez Homepage, puis saisissez les informations sur le service.
8 Cliquez sur Enregistrer.
Modification d’un enregistrement dans une zone DNS
Chaque fois que vous modifiez l’espace de noms du domaine, vous devez mettre
à jour les enregistrements DNS. Les mises à niveau du matériel ou l’ajout à un nom
de domaine peuvent aussi nécessiter la mise à jour des enregistrements DNS.
Vous pouvez dupliquer un enregistrement puis le modifier pour aller plus vite lors
de la configuration.
Pour modifier un enregistrement :
1 Ouvrez Admin Serveur et connectez-vous au serveur.
2 Cliquez sur le triangle situé à gauche du serveur.
La liste des services apparaît.
3 Dans la liste Serveurs développée, sélectionnez DNS.
4 Cliquez sur Zones.
5 Cliquez sur le triangle à gauche de la zone qui contient l’enregistrement d’ordinateur
à modifier.
La liste des enregistrements apparaît.
6 Sélectionnez l’enregistrement à modifier et apportez les modifications souhaitées aux
champs sous la liste.
7 Cliquez sur Enregistrer.
72
Chapitre 3 Utilisation du service DNS
Suppression d’un enregistrement d’une zone DNS
Lorsqu’un ordinateur n’est plus associé à un nom de domaine ou à une adresse utilisable, supprimez les enregistrements associés.
Pour supprimer un enregistrement :
1 Ouvrez Admin Serveur et connectez-vous au serveur.
2 Cliquez sur le triangle situé à gauche du serveur.
La liste des services apparaît.
3 Dans la liste Serveurs développée, sélectionnez DNS.
4 Cliquez sur Zones.
5 Cliquez sur le triangle à gauche de la zone qui contient l’enregistrement d’ordinateur
à supprimer.
La liste des enregistrements apparaît.
6 Sélectionnez l’enregistrement à supprimer et cliquez sur Supprimer sous la liste.
7 Cliquez sur Enregistrer.
Sécurisation du serveur DNS
Les serveurs DNS sont souvent la cible d’utilisateurs d’ordinateurs malveillants (pirates).
Les serveurs DNS sont la cible de plusieurs types d’attaques. En prenant des précautions supplémentaires, vous pouvez éviter des problèmes et les temps d’arrêt associés
aux pirates.
Plusieurs types d’attaques contre la sécurité sont associés au service DNS :
Â
Â
Â
Â
Â
La mystification du DNS.
La prospection de serveur (en anglais « server mining »).
Le profilage du service DNS (en anglais « profiling »).
Le déni de service (en anglais « denial of service » ou « DoS »).
Le talonnage de service (en anglais « piggybacking »).
Chapitre 3 Utilisation du service DNS
73
Mystification du DNS
La mystification du DNS consiste à ajouter de fausses données dans le cache du
serveur DNS. Cela permet aux pirates :
 de rediriger les véritables requêtes de nom de domaine vers des adresses IP alternatives.
Par exemple, un enregistrement A falsifié relatif à une banque pourrait pointer le navigateur d’un utilisateur d’ordinateur vers une autre adresse IP contrôlée par le pirate.
Un faux double du site web d’origine pourrait y pousser les utilisateurs à donner leurs
numéros de compte et mots de passe au pirate.
De plus, un enregistrement de courrier électronique falsifié pourrait permettre à un
pirate d’intercepter les courriers envoyés à un à partir d’un domaine. Si le pirate réexpédie ensuite ce courrier au bon serveur de messagerie après avoir copié le courrier,
personne ne pourrait s’en apercevoir.
 d’empêcher la résolution correcte des noms de domaine et l’accès à Internet.
Ce sont les attaques de mystification du DNS les plus bénignes. Elles font juste croire
qu’un serveur DNS ne fonctionne par correctement.
La manière la plus efficace de se protéger de ces attaques est la vigilance. Cela couvre
la mise à jour régulière des logiciels et l’analyse régulière des enregistrements DNS.
En cas de découverte d’exploits sur la version courante de BIND, des corrections sont
apportées et une mise à jour Security Update est publiée pour Mac OS X Server. Appliquez tous ces correctifs de sécurité. Des analyses régulières de vos enregistrements
DNS peuvent aussi aider à prévenir de telles attaques.
Exploration de serveur
L’exploration de serveur consiste à obtenir une copie d’une zone principale complète
en demandant un transfert de zone. Dans ce cas, un pirate prétend être une zone
secondaire à une autre zone principale et demande une copie de tous les enregistrements de la zone principale.
Avec une copie de votre zone principale, le pirate peut savoir quels types de services
un domaine fournit et les adresses IP des serveurs qui les fournissent. Il peut alors tenter des attaques spécifiques sur ces services. Il s’agit d’une reconnaissance avant une
autre attaque.
Pour se défendre contre une attaque de ce type, spécifiez quelles adresses IP sont autorisées à demander des transferts entre zones (vos serveurs de zone secondaire) et interdisez-le à tous les autres.
Les transferts entre zones se font par TCP sur le port 53. Pour limiter les transferts entre
zones, bloquez toutes les demandes de transfert de zone sauf celles qui proviennent
de vos serveurs DNS secondaires.
74
Chapitre 3 Utilisation du service DNS
Pour spécifier des adresses IP de transfert entre zones :
1 Créez un filtre de coupe-feu qui n’autorise que les adresses IP derrière votre coupe-feu
à accéder au port TCP 53.
2 Suivez les instructions de la section « Configuration de règles de coupe-feu avancées »
dans le chapitre 4, « Utilisation du service de coupe-feu, » en utilisant les réglages suivants :
Â
Â
Â
Â
Â
Paquet : Autoriser
Port : 53
Protocole :TCP
IP source : l’adresse IP de votre serveur DNS secondaire
IP de destination : l’adresse IP de votre serveur DNS principal
Profilage du service DNS
Une autre technique de reconnaissance fréquemment utilisée par les utilisateurs malveillants consiste à profiler votre service DNS. Un pirate fait d’abord une demande de
version BIND. Le serveur répond en indiquant quelle version de BIND est en service.
Le pirate compare ensuite la réponse à des exploits et vulnérabilités connus dans cette
version de BIND.
Pour se défendre contre ce type d’attaque, configurez BIND de façon à ce qu’il réponde
autre chose que ce qu’il est.
Pour modifier la réponse donnée lorsqu’on demande la version de BIND :
1 Ouvrez un éditeur de texte de ligne de commande (par exemple vi, emacs ou pico).
2 Ouvrez le fichier named.conf en modification.
3 Aux crochets d’options du fichier de configuration, ajoutez ce qui suit :
version
"[votre texte, par exemple, « c’est notre affaire ! »]";
4 Enregistrez named.conf.
Déni de service
Ce type d’attaque est fréquent et aisé. Un pirate envoie tellement de demandes de
service et de requêtes qu’un serveur utilise toute sa puissance de traitement et toute
sa bande passante réseau pour tenter de répondre. Le pirate empêche donc l’utilisation légitime du service en le surchargeant.
Il est difficile d’empêcher ce type d’attaque avant qu’elle ne commence. Une surveillance
constante de la charge de travail du service DNS et du serveur permet à un administrateur de détecter l’attaque tôt et de réduire ses effets néfastes.
La manière la plus simple de se prémunir contre ce type d’attaque consiste à bloquer
l’adresse IP incriminée à l’aide de votre coupe-feu. Consultez la rubrique « Configuration de
règles de coupe-feu avancées » à la page 102. Malheureusement, cela signifie que l’attaque
est déjà en cours et que le serveur répond aux requêtes du pirate et consigne les activités.
Chapitre 3 Utilisation du service DNS
75
Talonnage de service
Ce type d’attaque n’est pas tant réalisée par des intrus malveillants que par des utilisateurs d’Internet communs qui apprennent l’astuce d’autres utilisateurs. S’ils trouvent
que le temps de réponse du DNS de leur propre FAI est trop long, ils configurent leur
ordinateur de façon à ce qu’il interroge un autre serveur DNS que les serveurs DNS
de leur FAI. Dans les faits, cela se traduit par un nombre plus élevé d’utilisateurs qui
accèdent au serveur DNS qu’initialement prévu.
Vous pouvez vous protéger contre ce type d’attaque en limitant ou désactivant la récursivité DNS. Si vous prévoyez de fournir le service DNS aux utilisateurs de votre propre
réseau local, ils ont besoin de la récursivité pour résoudre des noms de domaine, mais
ne fournissez pas ce service aux utilisateurs d’Internet.
Pour empêcher entièrement la récursivité, consultez « Activation de la récursivité »
à la page 65.
Le juste milieu le plus fréquent consiste à autoriser la récursivité pour les requêtes provenant d’adresses IP qui figurent dans votre propre plage mais d’interdire la récursivité
aux adresses externes.
BIND vous permet de spécifier cela dans son fichier de configuration, named.conf.
Modifiez votre fichier named.conf de façon à ce qu’il contienne ce qui suit :
options {
...
allow-recursion{
127.0.0.0/8;
[votre propre plage d’adresses IP, par exemple 192.168.1.0/27];
};
};
Pour en savoir plus, consultez la documentation de BIND.
Administration du service Bonjour sur zone élargie
Si votre ordinateur ou périphérique prend en charge Bonjour, il va automatiquement
diffuser et découvrir les services fournis par les autres ordinateurs ou périphériques qui
utilisent Bonjour. Vous pouvez mettre en réseau rapidement et simplement des ordinateurs et des périphériques qui prennent en charge Bonjour.
La recherche Bonjour peut être gérée et sécurisée à l’aide d’Admin Serveur. Vous pouvez gérer la recherche Bonjour en désignant un domaine Bonjour pour tous les ordinateurs et périphériques qui utilisent Bonjour. Lorsque vous activez cette fonctionnalité,
toutes les zones principales fournissent le domaine de recherche Bonjour désigné aux
ordinateurs clients afin qu’ils puissent rechercher les services Bonjour.
76
Chapitre 3 Utilisation du service DNS
Pour activer la recherche Bonjour :
1 Ouvrez Admin Serveur et connectez-vous au serveur.
2 Cliquez sur le triangle situé à gauche du serveur.
La liste des services apparaît.
3 Dans la liste Serveurs développée, sélectionnez DNS.
4 Cliquez sur Bonjour.
5 Cochez la case « Activer l’accès automatique aux clients via Bonjour pour le domaine » et
saisissez un nom de domaine pour la recherche Bonjour (par exemple, bonjour.societe.com).
6 Cliquez sur Enregistrer.
Tâches d’administration de réseau courantes qui utilisent
le service DNS
Les sections qui suivent illustrent des tâches d’administration de réseau courantes
qui nécessitent le service DNS.
Configuration du DNS pour le service de courrier
Pour fournir le service de courrier sur votre réseau, vous devez configurer le DNS de
façon à ce que le courrier entrant soit envoyé au bon hôte de courrier sur votre réseau.
Lorsque vous configurez le service de courrier, vous définissez une série d’hôtes, appelés échangeurs de courrier ou hôtes MX (« Mail Exchanger »), chacun possédant un niveau
de priorité déterminé. L’hôte possédant la priorité la plus élevée reçoit d’abord le courrier. Si cet hôte est indisponible, l’hôte possédant la priorité suivante reçoit le courrier,
et ainsi de suite.
Imaginons que le nom d’hôte du serveur de messagerie soit fiable dans le domaine exemple.com. Sans enregistrement MX, les adresses électroniques des utilisateurs contiendraient
le nom de l’ordinateur faisant office de serveur de messagerie, comme ceci :
[email protected]
Pour modifier le serveur de messagerie ou rediriger le courrier, vous devez prévenir
les expéditeurs potentiels que vos utilisateurs ont une nouvelle adresse ou vous pouvez créer un enregistrement MX pour chaque domaine que vous voulez faire gérer
par votre serveur de messagerie et diriger le courrier vers le ordinateur qui convient.
Lorsque vous configurez un enregistrement MX, ajoutez la liste des ordinateurs potentiels qui peuvent recevoir du courrier pour un domaine. De la sorte, si le serveur est
occupé ou éteint, le courrier est envoyé à un autre ordinateur.
Chapitre 3 Utilisation du service DNS
77
Chaque ordinateur qui figure sur la liste se voit assigner un numéro d’ordre (sa priorité). Celui qui porte le plus petit numéro est essayé en premier. Si cet ordinateur n’est
pas disponible, le système consulte l’ordinateur qui possède le numéro inférieur suivant, et ainsi de suite.
Lorsqu’un ordinateur reçoit le courrier, il le conserve et l’envoie au serveur de messagerie principal une fois que ce dernier est à nouveau disponible, puis le serveur de messagerie principal distribue le courrier.
Voici un exemple d’enregistrement MX contenant trois ordinateurs pouvant recevoir
du courrier pour le domaine exemple.com :
exemple.com
10 fiable.exemple.com
20 secours.exemple.com
30 dernier-recours.exemple.com
Les enregistrements MX sont également utilisés pour le courrier sortant. Lorsque votre serveur de courrier envoie du courrier, il consulte l’enregistrement MX pour voir si la destination est locale ou sur Internet, puis le processus décrit ci-avant se répète en sens inverse.
Si le serveur principal à la destination n’est pas disponible, votre serveur de messagerie
essaye chaque serveur qui figure dans la liste d’enregistrement MX de la destination
jusqu’à ce qu’il en trouve un qui accepte le courrier.
La configuration du DNS pour le service de courrier implique la création d’enregistrement MX dans le DNS pour vos serveurs de messagerie. Si votre FAI fournit le service
DNS, contactez-le afin qu’il puisse activer vos enregistrement MX. Suivez les étapes cidessous uniquement si vous fournissez votre propre service DNS.
Il se peut que vous souhaitiez configurer plusieurs serveurs à des fins de redondance.
Si c’est le cas, créez un enregistrement MX par serveur auxiliaire.
Pour activer des enregistrements MX de votre serveur de courrier :
1 Ouvrez Admin Serveur et connectez-vous au serveur.
2 Cliquez sur le triangle situé à gauche du serveur.
La liste des services apparaît.
3 Dans la liste Serveurs développée, sélectionnez DNS.
4 Cliquez sur Zones.
5 Sélectionnez la zone à laquelle l’enregistrement doit être ajouté.
6 Cliquez sur le triangle situé à gauche de la zone.
La liste des enregistrements apparaît.
78
Chapitre 3 Utilisation du service DNS
7 Cliquez sur Ajouter un enregistrement, puis choisissez « Ajouter une machine (A) ».
Cela ajoute un enregistrement de machine à la zone.
8 Dans le champ Nom de machine, saisissez le nom d’hôte de l’ordinateur.
Si vous voulez utiliser le nom de domaine complet de l’ordinateur, cochez la case Intégralement qualifié et saisissez le nom de domaine complet de l’ordinateur.
Le contenu de ce champ sert de base à l’enregistrement A de l’ordinateur. Les enregistrements pointeurs de recherche inversée de l’ordinateur sont créés automatiquement.
9 Cliquez sur le bouton Ajouter (+) et saisissez l’adresses IP de l’ordinateur.
10 Dans les zones de texte correspondantes, saisissez des informations sur le matériel
et les logiciels de l’ordinateur.
11 Dans la zone de texte Commentaire, saisissez des commentaires sur l’ordinateur.
Le contenu de ce champ sert de base à l’enregistrement TXT de l’ordinateur.
Vous pouvez stocker jusqu’à 255 caractères ASCII dans la zone des commentaires. Vous
pouvez décrire l’emplacement physique de l’ordinateur (par exemple, « Serveur de l’étage,
armoire B »), le propriétaire de l’ordinateur (par exemple, « Ordinateur de Jean ») ou écrire
toute autre information sur l’ordinateur.
12 Cliquez sur Enregistrer.
13 Pour ajouter d’autres noms pour cet ordinateur, cliquez sur Ajouter un enregistrement
puis choisissez Ajouter un alias (CNAME).
Ajoutez autant d’alias que vous voulez pour votre serveur.
14 Dans le champ Nom de l’alias, saisissez le nom alternatif de votre ordinateur.
Si vous voulez utiliser le nom de domaine complet de l’alias, cochez la case Intégralement qualifié et saisissez le nom de domaine complet.
Le contenu de ce champ sert de base aux enregistrements CNAME de l’ordinateur. Les enregistrements pointeurs de recherche inversée de l’ordinateur sont créés automatiquement.
15 Dans le champ Destination, saisissez le nom de l’ordinateur pour lequel vous créez l’alias.
Si vous voulez utiliser le nom de domaine complet de la destination, cochez la case
Intégralement qualifié et saisissez le nom de domaine complet.
16 Cliquez sur Enregistrer.
17 Dans la liste Serveurs développée, sélectionnez Courrier.
18 Cliquez sur Réglages, puis sur Avancé.
19 Cliquez sur Hébergement.
20 Cliquez sur le bouton Ajouter (+).
21 Dans le champ Alias d’hôte local, saisissez le nom de l’alias que vous venez de créer.
22 Cliquez sur OK, puis sur Enregistrer.
Chapitre 3 Utilisation du service DNS
79
23 Répétez les étapes 7 à 22 pour chaque serveur de courrier.
24 Cliquez sur Enregistrer.
Configuration d’un espace de noms derrière une passerelle NAT
Si vous vous trouvez derrière une passerelle de traduction d’adresses réseau (en anglais
« Network Address Translation » ou « NAT »), vous disposez d’un jeu d’adresses IP spécial
qui ne sont utilisables qu’au sein de l’environnement NAT. Si vous deviez assigner un nom
de domaine à ces adresses au-delà de la passerelle NAT, aucun nom de domaine ne serait
traduit vers le bon ordinateur. Pour en savoir plus sur NAT, consultez le chapitre 5,
« Utilisation du service NAT, » à la page 121.
Vous pouvez toutefois exécuter un service DNS derrière la passerelle en assignant des
noms d’hôte aux adresses IP NAT. De la sorte, si vous vous trouvez derrière la passerelle
NAT, vous pouvez saisir des noms de domaine au lieu des adresses IP pour accéder aux
serveurs, aux services et aux stations de travail.
Votre serveur DNS devrait aussi disposer d’une zone de redirection pour envoyer
des requêtes DNS au-delà de la passerelle NAT pour permettre la résolution de
noms en dehors de la zone de routage couverte.
Les réglages réseau de vos clients doivent mentionner le serveur DNS situé derrière
la passerelle NAT. Le processus de configuration de l’un de ces réseaux est identique
à celui d’un réseau privé. Pour en savoir plus, consultez la rubrique « Liaison d’un réseau
local à Internet par une adresse IP » à la page 128.
Si vous configurez un espace de noms derrière la passerelle, les noms saisis par les utilisateurs qui se trouvent au-delà de la passerelle NAT ne seront pas traduits dans les adresses
qui y sont assignées. Configurez les enregistrements DNS en dehors de la zone couverte
par NAT de façon à ce qu’ils pointent vers la passerelle NAT et utilisent la redirection de
port NAT pour accéder aux ordinateurs qui se trouvent derrière la passerelle NAT. Pour en
savoir plus, consultez la rubrique « Configuration de la redirection de port » à la page 124.
La fonctionnalité DNS multidiffusion de Mac OS X vous permet d’utiliser, sur votre sousréseau local, des noms d’hôte possédant le suffixe .local sans devoir activer le DNS. Tout
service ou périphérique qui prend en charge Multicast DNS permet l’utilisation d’un
espace de noms défini par l’utilisateur sur votre sous-réseau local sans devoir installer
ni configurer le DNS.
80
Chapitre 3 Utilisation du service DNS
Répartition de la charge du réseau (permutation circulaire)
BIND permet une répartition de la charge simple en utilisant une méthode de permutation d’adresses connue sous le nom de permutation circulaire. Il vous suffit de configurer
un ensemble d’adresses IP pour plusieurs hôtes fournissant le même contenu par écriture
miroir et BIND utilise ces adresses l’une à la suite de l’autre lorsqu’il répond à des requêtes.
La permutation circulaire ne surveille pas la charge des serveurs ni la puissance de traitement. Elle utilise seulement l’une à la suite de l’autre une série d’adresses pour un nom
d’hôte donné.
La permutation circulaire s’active en ajoutant des entrées d’adresse IP à un nom d’hôte
donné. Par exemple, imaginons que vous souhaitiez distribuer le trafic serveur web
entre trois serveurs de votre réseau qui fournissent tous le même contenu par écriture
miroir. Ces serveurs possèdent les adresses IP 192.168.12.12, 192.168.12.13 et 192.168.12.14.
Vous devriez ajouter trois enregistrements de machine avec trois adresses IP différentes, mais le même nom de domaine.
Lorsque le service DNS détecte plusieurs entrées pour le même hôte, son comportement
par défaut consiste à répondre aux requêtes en les envoyant aux adresses de cette liste
l’une à la suite de l’autre. La première requête reçoit les adresses dans l’ordre A, B, C.
La requête suivante reçoit l’ordre B, C, A, puis C, A, B, et ainsi de suite.
Pour diminuer les effets de la mise en cache locale, vous pouvez réduire la durée de vie
de la zone à une durée de vie assez courte.
Configuration d’un réseau TCP/IP privé
Si votre réseau local dispose d’une connexion à Internet, configurez votre serveur et
vos ordinateurs avec des adresses IP et d’autres informations propres à Internet. Vous
obtiendrez ces adresses IP auprès de votre FAI.
S’il n’est pas prévu de connecter votre réseau local à Internet et que vous souhaitez utiliser TCP/IP pour transmettre des informations sur votre réseau, vous pouvez configurer
un réseau TCP/IP privé. Lorsque vous configurez un réseau privé, vous devez choisir des
adresses IP dans les blocs d’adresses IP réservées par l’IANA pour les intranets privés :
 10.0.0.0–10.255.255.255 (préfixe 10/8)
 172.16.0.0–172.31.255.255 (préfixe 172.16/12)
 172.16.0.0–172.31.255.255 (préfixe 192.168/16)
Important : si vous pensez devoir vous connecter à Internet à l’avenir, inscrivez-vous
dans un registre Internet et utilisez les adresses IP fournies par le registre lors de la configuration de votre réseau privé. Sinon, lorsque vous vous connecterez à Internet, tous
les ordinateurs de votre réseau devront être reconfigurés.
Chapitre 3 Utilisation du service DNS
81
Si vous configurez un réseau TCP/IP privé, vous pouvez également fournir le service
DNS. Si vous configurez TCP/IP et le DNS sur votre réseau local, vos utilisateurs pourront
accéder facilement à des services de fichier, web, de courrier et autres sur votre réseau.
Hébergement de plusieurs services Internet à une seule adresse IP
Il est possible de faire fournir tous les services Internet (par exemple, le service de courrier ou web) par un seul et même serveur. Ces services peuvent tous fonctionner sur
un seul ordinateur à une seule adresse IP.
Vous pouvez avoir plusieurs noms d’hôte dans la même zone pour un seul serveur.
Par exemple, le nom de domaine www.exemple.com peut être traduit dans la même
adresse IP que ftp.exemple.com ou mail.exemple.com. Ce domaine semble correspondre à plusieurs serveurs à toute personne qui accède à ces services, mais il s’agit en réalité d’un seul et même serveur à une seule et même adresse IP.
La configuration d’enregistrements DNS pour ce service est facile : il suffit d’ajouter des
alias à l’enregistrement de machine DNS. La configuration de noms DNS pour ces services n’active ou ne configure pas les services. Elle fournit simplement des noms faciles
à retenir pour tous les services offerts. Cela peut simplifier l’installation et la configuration du logiciel client de chaque service.
Par exemple, pour chaque service que vous voulez montrer, vous :
 Créez mail.exemple.com pour la saisie dans les clients de courrier.
N’oubliez pas de cocher la case Serveur de courrier dans la sous-fenêtre Machine.
 Créez www.exemple.com pour la saisie dans les navigateurs web.
 Créez afp.exemple.com pour le partage Apple File Sharing dans le Finder.
 Créez ftp.exemple.com pour la saisie dans les clients FTP.
Au fur et à mesure que vos besoins grandiront, vous pouvez toujours ajouter des ordinateurs au réseau pour prendre en charge ces services. Il vous suffira de supprimer l’alias
de l’enregistrement DNS de la machine et de créer un enregistrement pour la nouvelle
machine sans devoir modifier les réglages de vos client.
Hébergement de plusieurs domaines sur le même serveur
Vous pouvez faire fournir tous les services Internet (par exemple, le service de courrier
ou web) pour différents noms de domaine par un seul et même serveur. Par exemple,
vous pouvez faire en sorte que le nom de domaine www.exemple.com soit traduit dans
la même adresse IP que www.serveur.org. Ce domaine semble correspondre à plusieurs
serveurs à toute personne qui accède à ces domaines, mais il s’agit en réalité d’un seul
et même serveur à une seule et même adresse IP.
La configuration d’enregistrements DNS pour ce service est facile : il suffit d’ajouter
une zone DNS puis d’y ajouter vos noms d’hôte et informations sur le serveur.
82
Chapitre 3 Utilisation du service DNS
La configuration des noms DNS de ces services n’active ni ne configure le service pour
ces noms de domaine. Cette configuration est utilisée avec l’hébergement de domaines virtuel dans les services de courrier et web.
Autres sources d’informations
Pour en savoir plus sur DNS et BIND
Consultez les sections suivantes :
 DNS and BIND, 5th edition, par Paul Albitz et Cricket Liu (O’Reilly and Associates, 2006)
 Le site web de l’International Software Consortium :
www.isc.org et www.isc.org/sw/bind
 Le répertoire de ressources DNS Resources Directory :
www.dns.net/dnsrd
Documents RFC
Les documents RFC (Request for Comments) offrent des vues d’ensemble de protocoles ou de services particuliers et expliquent le comportement normal du protocole.
Si vous êtes un administrateur de serveur débutant, certaines des informations générales qui figurent dans les documents RFC vous seront certainement utiles.
En revanche, si vous êtes un administrateur de serveur confirmé, vous trouverez des détails
techniques concernant un protocole particulier dans le document RFC correspondant.
Vous pouvez rechercher les documents RFC par leur numéro à l’adresse
www.ietf.org/rfc.html.
 A, PTR, CNAME, MX (pour en savoir plus, consultez RFC 1035).
 AAAA (pour en savoir plus, consultez RFC 1886).
Chapitre 3 Utilisation du service DNS
83
4
Utilisation du service de coupe-feu
4
Ce chapitre décrit comment configurer et gérer le service
de coupe-feu dans Mac OS X Server.
Le service de coupe-feu est le logiciel qui protège les applications réseau qui tournent
sur votre ordinateur Mac OS X Server.
Activer le service de coupe-feu, c’est comme construire un mur pour limiter l’accès à
votre réseau. Le service de coupe-feu analyse les paquets IP entrants et les rejette ou
les accepte sur la base de règles que vous utilisez pour configurer le service de coupe-feu.
Vous pouvez restreindre l’accès à tout service IP exécuté par le serveur ou personnaliser des règles pour les clients entrants ou pour une plage d’adresses IP client.
À propos du service de coupe-feu
Le service de coupe-feu se configure à l’aide d’Admin Serveur. Vous pouvez également
configurer certains réglages en éditant manuellement des fichiers de configuration.
85
L’illustration ci-dessous montre un exemple de processus de coupe-feu.
Existe-t-il une
règle pour
le port 80 ?
Oui
L’ordinateur avec l’adresse
IP 10.221.41.33 tente de se
connecter au serveur via
Internet (port 80).
Le serveur commence
à rechercher les règles.
Existe-t-il une
règle contenant
l’adresse IP
10.221.41.33 ?
Non
Localisez la règle
Tout port avec
la plage la
plus spécifique
comprenant
l’adresse
10.221.41.33.
Oui
Que précise
la règle ?
Refuser
Autoriser
La connexion
est réalisée.
La connexion
est refusée.
Les services, tels que les services web et FTP, sont identifiés sur le serveur par un numéro
de port TCP (Transmission Control Protocol) ou UDP (User Datagram Protocol). Lorsqu’un
ordinateur tente de se connecter à un service, le service de coupe-feu analyse la liste des
règles afin de retrouver le numéro de port correspondant.
Lorsqu’un paquet arrive à une interface réseau et que le coupe-feu est activé, le paquet
est comparé à chaque règle, en commençant par celle portant le numéro le plus petit
numéro (la plus haute priorité). Lorsqu’une règle s’applique au paquet, l’action spécifiée
dans la règle (comme autoriser ou refuser) est exécutée. Ensuite, selon l’action, d’autres
règles peuvent être appliquées.
Les règles que vous définissez sont appliquées aux paquets TCP et UDP. Vous pouvez en
outre définir des règles destinées à restreindre les protocoles Internet Control Message Protocol (ICMP) ou Internet Group Management Protocol (IGMP) en créant des règles avancées.
Important : la première fois que vous démarrez le service de coupe-feu, seuls les ports
essentiels à l’administration à distance du serveur sont ouverts, notamment le shell sécurisé (22) et quelques autres. D’autres ports sont ouverts de manière dynamique pour autoriser des réponses spécifiques à des requêtes lancées par le serveur. Pour autoriser l’accès
à distance à d’autres services sur votre ordinateur, ouvrez d’autres ports à l’aide de la section Services de la sous-fenêtre Réglages.
86
Chapitre 4 Utilisation du service de coupe-feu
Si vous prévoyez de partager des données par Internet et ne disposez pas d’un routeur
ou coupe-feu dédié pour protéger vos données contre les accès non autorisés, vous devez
utiliser le service de coupe-feu. Ce service convient bien aux petites et moyennes entreprises, aux écoles et aux petits bureaux ou aux bureaux à domicile.
Les organisations plus importantes disposant d’un coupe-feu peuvent utiliser le service
de coupe-feu pour exercer plus de contrôle sur leurs serveurs. Par exemple, les groupes
de travail d’une grande entreprise ou les écoles d’un groupement d’écoles peuvent utiliser le service de coupe-feu pour contrôler l’accès à leurs propres serveurs.
Le service de coupe-feu procède également à l’inspection dynamique des paquets, ce qui
détermine si un paquet entrant est une réponse légitime à une requête sortante ou fait
partie d’une session en cours. Cela autorise les paquets qui, autrement, seraient refusés.
Pratiques élémentaires en matière de coupe-feu
Par défaut, Mac OS X Server utilise un modèle simple pour réaliser un coupe-feu sécurisé
et pratique. Si un coupe-feu est trop restrictif, le réseau qui se trouve derrière lui peut être
trop isolé. À l’inverse, si un coupe-feu est trop laxiste, il ne sécurise pas les ressources qui
se trouvent derrière lui.
Adhérer aux aspects suivants du modèle élémentaire donne un maximum de flexibilité
et d’utilité avec un minimum de risque involontaire :
 Autoriser les activités IP essentielles.
Les activités IP essentielles couvrent les activités réseau nécessaires pour utiliser IP
et fonctionner dans un environnement IP. Ces activités couvrent des opérations comme
bouclage et sont exprimées sous la forme de règles de haute priorité (portant de petits
numéros) que vous pouvez consulter dans la sous-fenêtre Avancé des réglages du service de coupe-feu. Ces règles sont configurées pour vous.
 Autoriser des activités spécifiques à un service.
On entend par activités spécifiques à un service les paquets réseau destinés à des
ports service spécifiques, comme le service web ou le service de courrier. En autorisant le trafic à accéder à des ports sur lesquels des services déterminés sont configurés, vous autorisez l’accès au travers du coupe-feu service par service.
Ces services sont exprimés sous la forme de règles de priorité moyenne et correspondent aux cases à cocher de la sous-fenêtre Service des réglages de coupe-feu. Vous devez
apporter ces modifications sur la base de vos propres réglages et groupes d’adresses.
 Refuser les paquets qui ne sont pas déjà autorisés.
Il s’agit de l’attrape-tout final. Si un paquet ou du trafic destiné à un port n’est pas sollicité, le paquet ou trafic est éliminé et n’est pas autorisé à atteindre sa destination. Cela
est exprimé sous la forme de règles de basse priorité (portant un grand numéro) que
vous pouvez consulter dans la sous-fenêtre Avancé des réglages du service de coupefeu. Un jeu de règles de refus de base destinées au coupe-feu est créé par défaut.
Chapitre 4 Utilisation du service de coupe-feu
87
Démarrage du coupe-feu
Bien que le coupe-feu soit traité comme un service par Admin Serveur, il n’est pas
implémenté sous la forme d’un processus exécuté comme les autres services. Il s’agit
simplement d’un jeu de comportements au sein du noyau, contrôlé par les outils ipfw
et sysctl. Pour démarrer et arrêter le coupe-feu, Admin Serveur définit un interrupteur
à l’aide de l’outil sysctl.
Lors du démarrage de l’ordinateur, un élément de démarrage nommé IPFilter recherche le drapeau IPFILTER dans le fichier /etc/hostconfig. Si le drapeau est définit, l’outil
sysctl est utilisé pour activer le coupe-feu comme suit :
$ sysctl -w net.inet.ip.fw.enable=1
À défaut, il désactive le coupe-feu comme suit :
$ sysctl -w net.inet.ip.fw.enable=0
Les règles chargées dans le coupe-feu sont conservées, quel que soit ce réglage. Elles
sont ignorées lorsque le coupe-feu est désactivé.
Comme la plupart des éléments de démarrage, l’élément de démarrage IPFilter s’ouvre
dans un ordre prédéterminé et uniquement après que certains éléments de démarrage
prérequis aient démarré. Dans Mac OS X Server, la fenêtre d’ouverture de session est présentée alors que des éléments de démarrage peuvent toujours être en cours de démarrage. C’est pourquoi il est possible d’ouvrir une session avant que le coupe-feu n’ait activé
ses réglages configurés.
L’élément de démarrage qui configure le coupe-feu devrait, en principe, avoir terminé
quelques minutes après le démarrage du système.
À propos des règles de coupe-feu
Lorsque vous démarrez le service de coupe-feu, la configuration par défaut refuse
l’accès aux paquets entrants provenant d’ordinateurs distants, à l’exception de ceux
qui entrent par les ports destinés à la configuration à distance. Cela donne un niveau
de sécurité élevé. Des règles à état sont également en place afin que les réponses aux
requêtes sortantes émises par votre ordinateur soit également autorisées.
Vous pouvez ensuite ajouter des règles IP pour autoriser l’accès au serveur aux clients
qui demandent l’accès à des services. Pour apprendre comment les règles IP fonctionnent, lisez la section suivante. Pour apprendre comment créer des règles IP, consultez
« Gestion du service de coupe-feu » à la page 99.
88
Chapitre 4 Utilisation du service de coupe-feu
Une règle de coupe-feu, qu’est-ce que c’est ?
Une règle de coupe-feu, c’est un ensemble de caractéristiques de paquet IP couplé à
une action à exécuter pour chaque paquet qui répond aux caractéristiques. Parmi ces
caractéristiques, il peut y avoir le protocole, l’adresse source ou de destination, le port
source ou de destination ou l’interface réseau.
Les adresses peuvent être exprimées sous la forme d’une adresse IP unique ou d’une
plage d’adresses.
Un port de service peut être exprimé sous la forme d’une valeur unique, d’une liste
de valeurs ou d’une plage de valeurs.
L’adresse IP et le masque de sous-réseau ensemble déterminent la plage d’adresses IP
à laquelle la règle s’applique et peuvent être définis de manière à s’appliquer à toutes
les adresses.
Adresse IP
Les adresses IP sont composées de quatre segments de valeurs comprises entre 0 et
255 (la plage d’un nombre de 8 bits) séparés par des points (par exemple, 192.168.12.12).
Les segments d’une adresses IP vont du plus général ou plus particulier. Par exemple,
le premier segment peut être commun à tous les ordinateurs d’une entreprise alors
que le dernier segment peut n’appartenir qu’à un seul ordinateur se trouvant à un
certain étage d’un certain bâtiment.
Masque de sous-réseau
Le masque de sous-réseau indique les segments de l’adresse IP spécifié qui peuvent
varier sur un réseau et dans quelle mesure. Le masque de sous-réseau est exprimé
dans la notation Classless InterDomain Routing (CIDR). Il est composé de l’adresse IP
suivie par un barre oblique (/) et d’un nombre compris entre 1 et 32 appelé le préfixe IP.
Le préfixe IP identifie le nombre de bits significatifs utilisé pour identifier un réseau.
Par exemple, 192.168.2.1/16 signifie que les 16 premiers bits (les deux premiers groupes
de chiffres séparés par un point) sont utilisés pour représenter le réseau (de sorte que
toutes les machines du réseau commencent par 192.168) et que les 16 bits restants (les
deux derniers nombres séparés par des points) sont utilisés pour identifier les hôtes.
Chaque machine possède un groupe de nombres final unique.
Les masques de sous-réseau peuvent être exprimés dans une autre notation, en l’occurrence, l’adresse IP suivie par un deux-points (:) et par le masque de réseau. Le masque
de réseau est un groupe de 4 nombres compris entre 0 et 255 et séparés par des points
équivalents à la barre oblique dans la notation CIDR.
Chapitre 4 Utilisation du service de coupe-feu
89
Les adresses avec des masques de sous-réseau dans la notation CIDR correspondent à
des masque de sous-réseau de notation d’adresse.
90
CIDR
Correspond au masque
de réseau
Nombre d’adresses
dans la plage
/1
128.0.0.0
4.29x109
/2
192.0.0.0
2.14x109
/3
224.0.0.0
1.07x109
/4
240.0.0.0
5.36x108
/5
248.0.0.0
1.34x108
/6
252.0.0.0
6.71x107
/7
254.0.0.0
3.35x107
/8
255.0.0.0
1.67x107
/9
255.128.0.0
8.38x106
/10
255.192.0.0
4.19x106
/11
255.224.0.0
2.09x106
/12
255.240.0.0
1.04x106
/13
255.248.0.0
5.24x105
/14
255.252.0.0
2.62x105
/15
255.254.0.0
1.31x105
/16
255.255.0.0
65536
/17
255.255.128.0
32768
/18
255.255.192.0
16384
/19
255.255.224.0
8192
/20
255.255.240.0
4096
/21
255.255.248.0
2048
/22
255.255.252.0
1024
/23
255.255.254.0
512
/24
255.255.255.0
256
/25
255.255.255.128
128
/26
255.255.255.192
64
/27
255.255.255.224
32
/28
255.255.255.240
16
/29
255.255.255.248
8
/30
255.255.255.252
4
/31
255.255.255.254
2
/32
255.255.255.255
1
Chapitre 4 Utilisation du service de coupe-feu
Utilisation de plages d’adresses
Lorsque vous créez un groupe d’adresses à l’aide d’Admin Serveur, vous saisissez une
adresse IP et un masque de sous-réseau. Les trois types de notations d’adresses autorisés sont :
 Un adresse unique : 192.168.2.1
 Une plage exprimée dans la notation CIDR : 192.168.2.1/24
 Une plage exprimée dans la notation de masque de réseau : 192.168.2.1:255.255.255.0
Admin Serveur affiche la plage d’adresses qui en résulte. Vous pouvez modifier la plage
en modifiant le masque de sous-réseau.
Lorsque vous indiquez une plage de valeurs potentielles pour un segment d’une
adresse, ce segment est appelé un caractère de remplacement. Le tableau qui suit
contient des exemples de plages d’adresses créées à des fins spécifiques.
Objectif
Exemple
Adresse IP
Saisissez ceci dans
le champ pour
l’adresse
Plage d’adresses
affectée
Créer une règle qui spécifie
une adresse IP unique.
10.221.41.33
10.221.41.33 ou
10.221.41.33/32
10.221.41.33
(adresse unique)
Créer une règle qui laisse le
quatrième segment comme
caractère de remplacement.
10.221.41.33
10.221.41.33/24
10.221.41.0 à
10.221.41.255
Créer une règle qui laisse une par- 10.221.41.33
tie du troisième segment et tout
le quatrième segment comme
caractère de remplacement.
10.221.41.33/22
10.221.40.0 à
10.221.43.255
Créer une règle qui s’applique
à toutes les adresses entrantes.
Sélectionnez
« Quelconque »
Toutes les adresses IP
Mécanisme et ordre des règles
Les règles de la sous-fenêtre Service de Réglages de coupe-feu fonctionnent avec
les règles illustrées dans la sous-fenêtre Avancé.
Généralement, les règles générales de la sous-fenêtre Avancé bloquent l’accès à tous
les ports. Il s’agit de règles de basse priorité (portant des numéros élevés) qui sont
appliquées après les règles de la sous-fenêtre Services.
Les règles créées dans la sous-fenêtre Services donnent accès à des services spécifiques et
sont de plus haute priorité. Elles l’emportent sur celles créées dans la sous-fenêtre Avancé.
Si vous créez plusieurs règles dans la sous-fenêtre Avancé, l’ordre des règles est déterminé par le numéro de règle. Ce numéro correspond à l’ordre de la règle dans la sousfenêtre Avancé.
Chapitre 4 Utilisation du service de coupe-feu
91
Les règles peuvent être réorganisées en les faisant glisser dans la liste de la sous-fenêtre Avancé de Réglages de coupe-feu.
Pour la plupart des utilisations normales, ouvrir l’accès à des services déterminés dans
la sous-fenêtre Avancé suffit. Si nécessaire, vous pouvez ajouter des règles à l’aide de
la sous-fenêtre Avancé.
Adresses IP multiples
Un serveur peut prendre en charge plusieurs adresses IP multiconnectées, mais le service de coupe-feu applique un ensemble de règles à toutes les adresses IP de serveur.
Si vous créez plusieurs adresses IP alias, les règles que vous créez s’appliquent à toutes
ces adresses IP.
Modification de règles de coupe-feu IPv6
Lorsque vous configurez et utilisez le service de coupe-feu dans Server Admin, par
défaut, ipfw et ip6fw sont démarrés. Tout le trafic IPv6 à l’exception du trafic local
est toutefois bloqué.
Vous pouvez ignorer les règles IPv6 en utilisant l’outil ip6fw, mais vos règles seront
écrasées après le redémarrage du service de coupe-feu ou du serveur.
Vous pouvez contrôler la manière dont le coupe-feu dans Server Admin gère le coupefeu IPv6 avec les deux clés suivantes dans le fichier /etc/ipfilter/ip_address_groups.plist :
<key>IPv6Mode</key>
<string>DenyAllExceptLocal</string>
<key>IPv6Control</key>
<true/>
La clé IPv6Mode vous permet de contrôler quelles règles IPv6 doivent être appliquées.
Il existe trois réglages possibles pour la chaîne IPv6Mode :
 DenyAllExceptLocal
 DenyAll
 NoRules
Par défaut, la chaîne de la clé IPv6Mode est réglée sur DenyAllExceptLocal. Ce réglage
s’applique aux règles suivantes, ce qui refuse tout trafic IPv6 mais autorise le trafic sur
le réseau local :
add 1 allow udp from any to any 626
add 1000 allow all from any to any via lo0
add 1100 allow all from any to ff02::/16
65000 deny ipv6 from any to any
Si vous réglez la chaîne IPv6Mode sur DenyAll, seule la règle suivante est appliquée,
ce qui bloque tout le trafic IPv6.
65000 deny ipv6 from any to any
92
Chapitre 4 Utilisation du service de coupe-feu
Si vous réglez la chaîne IPv6Mode sur NoRules, aucune règle n’est créée pour IPv6.
Si votre réseau est entièrement en IPv6, il se peut que vous vouliez utiliser cette règle
et utiliser l’outil ip6fw pour créer des règles de redéfinition pour IPv6 et créer un script
qui applique à nouveau les règles au redémarrage du service de coupe-feu ou du serveur.
La clé IPv6Control vous permet de définir une valeur booléenne qui détermine si ip6fw
démarre ou s’arrête lorsque ipfw démarre ou s’arrête. Si cette valeur est réglée sur vrai,
ip6fw démarre et s’arrête quand ipfw démarre ou s’arrête. Si cette valeur est réglée sur
faux, seul ipfw démarre ou s’arrête. Par défaut, la valeur est réglée sur vrai.
Présentation générale de la configuration
Une fois que vous avez décidé des types de règles à configurer, suivez les étapes ci-dessous
pour configurer le service de coupe-feu. Si vous avez besoin d’aide pour effectuer ces étapes, consultez « Configuration du service de coupe-feu » à la page 95 et d’autres rubriques
citées dans les étapes.
Étape 1 : Apprenez et planifiez
Si vous êtes un nouveau venu dans l’utilisation du service de coupe-feu, apprenez et
comprenez les concepts liés au coupe-feu, les outils et les fonctionnalités de Mac OS X
Server et de BIND. Pour en savoir plus, consultez la rubrique « À propos des règles de
coupe-feu » à la page 88.
Déterminez ensuite à quels services vous voulez donner accès. Pour les services de
courrier, web et FTP il faut généralement donner un accès aux ordinateurs qui se trouvent sur Internet. Les services de fichiers et d’impression peuvent plus probablement
être restreints à votre sous-réseau local.
Une fois que vous avez décidé des services à protéger à l’aide du service de coupe-feu,
déterminez les adresses IP auxquelles vous voulez donner accès à votre serveur et les
adresses IP auxquelles vous voulez refuser l’accès à votre serveur. Configurez ensuite
les règles nécessaires.
Étape 2 : Activez le service de coupe-feu
Dans Admin Serveur, sélectionnez Coupe-feu puis cliquez sur Démarrer le coupe-feu.
Par défaut, cela bloque tous les ports entrants à l’exception de ceux utilisés pour configurer le serveur à distance. Si vous configurez le serveur localement, désactivez immédiatement l’accès depuis l’extérieur.
Important : si vous ajoutez ou modifiez une règle après avoir démarré le service de
coupe-feu, la nouvelle règle a un effet sur les connexions déjà établies avec le serveur.
Par exemple, si vous refusez l’accès à votre serveur FTP après avoir démarré le service
de coupe-feu, les ordinateurs connectés à votre serveur FTP seront déconnectés.
Chapitre 4 Utilisation du service de coupe-feu
93
Étape 3 : Configurez les réglages relatifs aux groupes d’adresses du coupe-feu
Créez le groupe d’adresses IP auquel les règles de coupe-feu s’appliqueront. Par défaut,
un groupe d’adresses IP est créé pour toutes les adresses IP entrantes. Les règles appliquées à ce groupe affectent l’ensemble du trafic réseau entrant. Consultez la rubrique
« Configuration de réglages de groupes d’adresses » à la page 95.
Étape 4 : Configurez les réglages relatifs au service de coupe-feu
Activez des règles de service pour chaque groupe d’adresses. Dans la sous-fenêtre Services, vous pouvez activer des règles sur la base de groupes d’adresses comme numéros IP
de destination. Consultez la rubrique « Configuration de réglages de services » à la page 96.
Étape 5 : Configurez les réglages relatifs à la journalisation du coupe-feu
Utilisez les réglages de journalisation pour activer la journalisation des événements du service de coupe-feu. Vous pouvez également définir les types et le nombre de paquets à journaliser. Consultez la rubrique « Configuration des réglages de journalisation » à la page 97.
Étape 6 : Configurez les réglages avancés du coupe-feu
Configurez les règles de coupe-feu avancées qui sont utilisées pour configurer plus
avant tous les autres services, renforcer la sécurité de votre réseau et affiner le trafic
réseau au travers du coupe-feu. Consultez la rubrique « Configuration de règles de
coupe-feu avancées » à la page 102.
Par défaut, tout le trafic UDP est bloqué, à l’exception du trafic en réponse à une
requête sortante. Appliquez des règles aux ports UDP avec parcimonie, si vous en
appliquez, car refuser certaines réponses UDP pourrait empêcher le fonctionnement
normal du réseau.
Si vous configurez des règles pour les ports UDP, ne cochez pas la case « Journaliser
tous les paquets acceptés » dans la sous-fenêtre Réglages de journalisation du coupefeu, dans Admin Serveur. Comme UDP est un protocole sans connexion, tout paquet
adressé à un port UDP est journalisé si vous cochez cette case.
Pour apprendre comment les règles IP fonctionnent, lisez « À propos des règles de coupefeu » à la page 88.
Étape 7 : Activez le service de coupe-feu
Le service de coupe-feu s’active dans Admin Serveur. Consultez la rubrique « Démarrage
du service de coupe-feu » à la page 98.
Important : si vous ajoutez ou modifiez une règle après avoir démarré le service
de coupe-feu, la nouvelle règle affecte les connexions déjà établies avec le serveur.
Par exemple, si vous refusez tout accès à votre serveur FTP après avoir démarré le service de coupe-feu, les ordinateurs connectés à votre serveur FTP seront déconnectés.
94
Chapitre 4 Utilisation du service de coupe-feu
Activation du service de coupe-feu
Avant de pouvoir configurer les réglages de coupe-feu, vous devez activer le service
de coupe-feu dans Admin Serveur.
Pour activer le service de coupe-feu :
1 Ouvrez Admin Serveur et connectez-vous au serveur.
2 Cliquez sur Réglages.
3 Cliquez sur Services.
4 Cochez la case Coupe-feu.
5 Cliquez sur Enregistrer.
Configuration du service de coupe-feu
L’on configure le service de coupe-feu en configurant les réglages suivants dans la sousfenêtre Réglages du service de coupe-feu dans Server Admin.
 Groupes d’adresses : permet de configurer les groupes d’adresses IP auxquelles
les règles de coupe-feu s’appliquent.
 Services : permet de spécifier quels services sont autorisés à envoyer et recevoir
des informations au travers du coupe-feu.
 Journalisation : permet d’activer la journalisation des événements du service
de coupe-feu et de définir le type et le nombre de paquets à journaliser.
 Avancée : (facultatif ) permet de configurer des règles avancées et de définir l’ordre
des règles.
Les sections qui suivent décrivent les tâches requises pour la configuration de ces
réglages. La section finale montre comment démarrer le service de coupe-feu une
fois que vous l’avez configuré.
Configuration de réglages de groupes d’adresses
Vous pouvez définir des groupes d’adresses IP pour vos règles de coupe-feu. Vous
pouvez ensuite utiliser ces groupes pour organiser et cibler les règles.
Le groupe d’adresses Quelconque couvre toutes les adresses. Deux autres groupes
d’adresses IP sont présents par défaut. Ils sont destinés à l’ensemble de la plage de réseau
10 d’adresses privées et à l’ensemble de la plage réseau 192.168 d’adresses privées.
Les adresses peuvent être affichées sous la forme d’adresses individuelles (192.168.2.2),
d’adresses IP et masque de sous-réseau en notation CIDR (192.168.2.0/24) ou d’adresses
IP et masque de sous-réseau en notation de masque de réseau
(192.168.2.0:255.255.255.0).
Chapitre 4 Utilisation du service de coupe-feu
95
Pour configurer des réglages de groupe d’adresses
1 Ouvrez Admin Serveur et connectez-vous au serveur.
2 Cliquez sur le triangle situé à gauche du serveur.
La liste des services apparaît.
3 Dans la liste Serveurs développée, sélectionnez Coupe-feu.
4 Cliquez sur Réglages, puis sur Groupes d’adresses.
5 Sous la sous-fenêtre Groupe d’adresses, cliquez sur le bouton Ajouter (+).
6 Dans le champ Nom du groupe, saisissez le nom du groupe.
7 Saisissez les adresses et le masque de sous-réseau auxquels vous voulez appliquer les règles.
Utilisez les boutons Ajouter (+) et Supprimer (–).
Pour indiquer une adresse IP, utilisez la valeur « Quelconque ».
8 Cliquez sur OK.
9 Cliquez sur Enregistrer.
Configuration de réglages de services
Par défaut, le service de coupe-feu autorise toutes les connexions UDP et bloque les
connexions TCP entrantes sur les ports qui ne sont pas essentiels pour l’administration
à distance du serveur. De plus, par défaut, des règles à état qui autorisent des réponses
spécifiques à des requêtes sortantes sont en place.
Avant d’activer le service de coupe-feu, assurez-vous que vous avez défini des règles
autorisant l’accès à partir d’adresses IP de votre choix. À défaut, personne ne pourra
accéder à votre serveur.
Vous pouvez autoriser facilement les services standard à passer au travers du coupe-feu
sans configuration avancée ni complète. Parmi les services Standard, il existe les services suivants :
 Accès SSH
 Service web
 Service de fichiers Apple
 Service de fichiers Windows
 Service FTP
 Partage d’imprimantes
 DNS/Multicast DNS
 ICMP Echo Reply (pings entrants)
 IGMP
 VPN PPTP
 VPN L2TP
96
Chapitre 4 Utilisation du service de coupe-feu
 Diffusion en continu de données QTSS
 Partage de musique iTunes
Important : si vous ajoutez ou modifiez une règle après avoir démarré le service de
coupe-feu, la nouvelle règle a un effet sur les connexions déjà établies avec le serveur.
Par exemple, si vous refusez tout accès à votre serveur FTP après avoir démarré le service de coupe-feu, les ordinateurs connectés à votre serveur FTP seront déconnectés.
Pour configurer les services coupe-feu standard :
1 Ouvrez Admin Serveur et connectez-vous au serveur.
2 Cliquez sur le triangle situé à gauche du serveur.
La liste des services apparaît.
3 Dans la liste Serveurs développée, sélectionnez Coupe-feu.
4 Cliquez sur Réglages, puis sur Services.
5 Dans le menu local Modifier les services pour, sélectionnez un groupe d’adresses.
6 Pour le groupe d’adresses, choisissez d’autoriser tout le trafic provenant de n’importe
quel port ou de n’autoriser que le trafic sur les ports spécifiés.
7 Pour chaque service que le groupe d’adresses doit utiliser, sélectionnez Autoriser.
Si vous ne voyez pas le service dont vous avez besoin, ajoutez un port et une description à la liste des services.
Pour créer une règle personnalisée, consultez « Configuration des réglages avancés »
à la page 98.
8 Cliquez sur Enregistrer.
Configuration des réglages de journalisation
Vous pouvez sélectionner les types de paquets à journaliser. Vous pouvez ne journaliser que les paquets auxquels l’accès est refusé, que les paquets auxquels l’accès est
autorisé ou les deux.
Chaque option de journalisation peut générer de nombreuses entrées d’historique
mais il est possible de limiter le volume. Vous pouvez :
 Ne journaliser que les paquets autorisés ou les paquets refusés, plutôt que tous
les paquets.
 Ne journaliser les paquets que le temps qu’il faut.
 Utiliser la sous-fenêtre Réglages de journalisation pour limiter le nombre total de paquets.
 Ajouter une règle de comptage dans la sous-fenêtre Réglages avancés pour enregistrer
le nombre de paquets qui répondent aux caractéristiques que vous voulez mesurer.
Chapitre 4 Utilisation du service de coupe-feu
97
Pour configurer des historiques du coupe-feu :
1 Ouvrez Admin Serveur et connectez-vous au serveur.
2 Cliquez sur le triangle situé à gauche du serveur.
La liste des services apparaît.
3 Dans la liste Serveurs développée, sélectionnez Coupe-feu.
4 Cliquez sur Réglages, puis sur Journalisation.
5 Cochez la case Activer la journalisation et choisissez de journaliser les paquets autorisés, les paquets refusés ou un nombre déterminé de paquets.
6 Cliquez sur Enregistrer.
Configuration des réglages avancés
Utilisez la sous-fenêtre Réglages avancés d’Admin Serveur pour configurer des règles
spécifiques au service de coupe-feu. Il s’agit d’une étape de configuration facultative
pour le service de coupe-feu.
Pour en savoir plus, consultez la rubrique « Configuration de règles de coupe-feu
avancées » à la page 102.
Démarrage du service de coupe-feu
Par défaut, le service de coupe-feu bloque les connexions TCP entrantes et refuse les
paquets UDP, à l’exception de ceux reçus en réponse à des requêtes sortantes du serveur.
Avant d’activer le service de coupe-feu, assurez-vous que vous avez défini des règles
autorisant l’accès à partir d’adresses IP de votre choix. À défaut, personne ne pourra
accéder à votre serveur.
Si vous ajoutez ou modifiez une règle après avoir démarré le service de coupe-feu, la nouvelle règle a un effet sur les connexions déjà établies avec le serveur. Par exemple, si vous
refusez tout accès à votre serveur FTP après avoir démarré le service de coupe-feu, les ordinateurs connectés à votre serveur FTP seront déconnectés.
Pour démarrer le service de coupe-feu :
1 Ouvrez Admin Serveur et connectez-vous au serveur.
2 Cliquez sur le triangle situé à gauche du serveur.
La liste des services apparaît.
3 Dans la liste Serveurs développée, sélectionnez Coupe-feu.
4 Cliquez sur le bouton Démarrer le coupe-feu sous la liste Serveurs.
98
Chapitre 4 Utilisation du service de coupe-feu
Gestion du service de coupe-feu
Une fois que vous avez configuré le service de coupe-feu, vous pouvez utiliser Admin
Serveur pour la gestion quotidienne.
Arrêt du service de coupe-feu
L’on utilise Admin Serveur pour arrêter le service de coupe-feu.
Pour arrêter le service de coupe-feu :
1 Ouvrez Admin Serveur et connectez-vous au serveur.
2 Cliquez sur le triangle situé à gauche du serveur.
La liste des services apparaît.
3 Dans la liste Serveurs développée, sélectionnez Coupe-feu.
4 Cliquez sur Arrêter le coupe-feu.
Création d’un groupe d’adresses
Utilisez Admin Serveur pour créer des groupes d’adresses pour le service de coupe-feu.
Pour créer un groupe d’adresses :
1 Ouvrez Admin Serveur et connectez-vous au serveur.
2 Cliquez sur le triangle situé à gauche du serveur.
La liste des services apparaît.
3 Dans la liste Serveurs développée, sélectionnez Coupe-feu.
4 Cliquez sur Réglages, puis sur Groupes d’adresses.
5 Sous la liste Groupes d’adresses IP, cliquez sur le bouton Ajouter (+).
6 Dans le champ Nom du groupe, saisissez le nom du groupe.
7 Saisissez les adresses et le masque de sous-réseau auxquels vous voulez appliquer les règles.
Utilisez les boutons Ajouter (+) et Supprimer (–).
Pour indiquer une adresse IP, utilisez la valeur « Quelconque ».
8 Cliquez sur OK.
9 Cliquez sur Enregistrer.
Chapitre 4 Utilisation du service de coupe-feu
99
Modification ou suppression d’un groupe d’adresses
Vous pouvez modifier des groupes d’adresses pour modifier la plage d’adresses IP
affectées. Le groupe d’adresses par défaut couvre toutes les adresses. Vous pouvez supprimer des groupes d’adresses de la liste des règles du coupe-feu. Les règles associées
à ces adresses sont également supprimées.
Les adresses peuvent être affichées sous la forme d’adresses individuelles (192.168.2.2),
d’adresses IP et masque de réseau en notation CIDR (192.168.2.0/24) ou d’adresses IP
et masque de réseau en notation de masque de réseau (192.168.2.0:255.255.255.0).
Pour modifier ou supprimer un groupe d’adresses :
1 Ouvrez Admin Serveur et connectez-vous au serveur.
2 Cliquez sur le triangle situé à gauche du serveur.
La liste des services apparaît.
3 Dans la liste Serveurs développée, sélectionnez Coupe-feu.
4 Cliquez sur Réglages, puis sur Groupes d’adresses.
5 Dans la liste Groupes d’adresses IP, sélectionnez le nom du groupe.
6 Faites votre choix parmi les suivants :
Pour modifier un groupe d’adresses IP, cliquez sur le bouton Modifier (/) sous la liste.
Pour supprimer un groupe d’adresses IP, cliquez sur le bouton Supprimer (–) sous la liste.
7 Modifiez le nom du groupe ou les adresses comme vous le souhaitez, puis cliquez sur OK.
8 Cliquez sur Enregistrer.
Duplication d’un groupe d’adresses
Vous pouvez dupliquer des groupes d’adresses de la liste des règles du coupe-feu.
Cela peut accélérer la configuration de groupes d’adresses similaires.
Pour dupliquer un groupe d’adresses :
1 Ouvrez Admin Serveur et connectez-vous au serveur.
2 Cliquez sur le triangle situé à gauche du serveur.
La liste des services apparaît.
3 Dans la liste Serveurs développée, sélectionnez Coupe-feu.
4 Cliquez sur Réglages, puis sur Groupes d’adresses.
5 Dans la liste Groupes d’adresses IP, sélectionnez le nom du groupe.
6 Sous la liste Groupes d’adresses IP, cliquez sur le bouton Dupliquer.
100
Chapitre 4 Utilisation du service de coupe-feu
Ajout d’éléments à la liste des services
Vous pouvez ajouter des ports personnalisés à la liste Services. Cela vous permet d’ouvrir
des ports spécifiques à vos groupes d’adresses sans devoir créer de règle IP avancée.
Pour ajouter des éléments à la liste Services :
1 Ouvrez Admin Serveur et connectez-vous au serveur.
2 Cliquez sur le triangle situé à gauche du serveur.
La liste des services apparaît.
3 Dans la liste Serveurs développée, sélectionnez Coupe-feu.
4 Cliquez sur Réglages, puis sur Services.
5 Sous la liste Services, cliquez sur le bouton Ajouter (+).
6 Saisissez le nom de la règle pour le service.
7 Saisissez un port unique (par exemple, 22) ou une plage de ports (par exemple, 650-750).
8 Sélectionnez un protocole.
Si vous voulez utiliser un autre protocole que TCP ou UDP, utilisez les réglages Avancés
pour créer une règle personnalisée.
9 Cliquez sur OK.
10 Cliquez sur Enregistrer.
Modification ou suppression d’éléments dans la liste Services
Vous pouvez modifier ou supprimer des ports dans la liste Services. Cela vous permet
de personnaliser les choix en matières de services pour une configuration plus aisée.
Pour modifier la liste des services :
1 Ouvrez Admin Serveur et connectez-vous au serveur.
2 Cliquez sur le triangle situé à gauche du serveur.
La liste des services apparaît.
3 Dans la liste Serveurs développée, sélectionnez Coupe-feu.
4 Cliquez sur Réglages, puis sur Services.
5 Sélectionnez le service à modifier, puis procédez comme suit :
Pour modifier la liste des services, cliquez sur le bouton Modifier (/) sous la liste des services.
Pour modifier la liste des services, cliquez sur le bouton Supprimer (–) sous la liste des
services.
6 Modifiez le nom, le port ou le protocole comme vous le souhaitez, puis cliquez sur OK.
7 Cliquez sur Enregistrer.
Chapitre 4 Utilisation du service de coupe-feu
101
Configuration de règles de coupe-feu avancées
Utilisez la sous-fenêtre Réglages avancés d’Admin Serveur pour configurer des règles
spécifiques au service de coupe-feu. Les règles de coupe-feu contiennent des adresses
IP source et de destination avec des masques de sous-réseau. Elles spécifient également ce qu’il faut faire avec le trafic réseau entrant. Vous pouvez appliquer une règle
à toutes les adresses IP, à une adresse IP spécifique ou à une plage d’adresses IP.
Les adresses peuvent être affichées sous la forme d’adresses individuelles (192.168.2.2),
d’adresses IP et masque de sous-réseau en notation CIDR (192.168.2.0/24) ou d’adresses
IP et masque de sous-réseau en notation de masque de réseau (192.168.2.0:255.255.255.0).
Pour configurer une règle de coupe-feu avancée :
1 Ouvrez Admin Serveur et connectez-vous au serveur.
2 Cliquez sur le triangle situé à gauche du serveur.
La liste des services apparaît.
3 Dans la liste Serveurs développée, sélectionnez Coupe-feu.
4 Cliquez sur Réglages, puis sur Avancé.
5 Cliquez sur le bouton Ajouter (+).
Vous pouvez également sélectionner une règle similaire à celle que vous voulez créer,
cliquez sur Dupliquer, puis sur Modifier.
6 Dans le menu local Action, indiquez si cette règle autorise ou refuse l’accès.
Si vous choisissez Autre, saisissez l’action souhaitée (par exemple, Historique).
7 Dans le menu local Protocole, choisissez un protocole.
Si vous choisissez Autre, saisissez le protocole souhaité (par exemple, icmp, esp, ipencap).
8 Dans le menu local Service, choisissez un service.
Pour sélectionner un port de service non standard, sélectionnez Autre.
9 Si vous le souhaitez, choisissez de journaliser tous les paquets qui répondent à la règle.
10 Comme source du trafic filtré, sélectionnez un groupe d’adresses dans le menu local
Adresse.
Si vous ne voulez pas utiliser un groupe d’adresses, saisissez la plage d’adresses IP
source (en notation CIDR) que vous voulez filtrer.
Si vous voulez appliquer la règle à toutes les adresses, sélectionnez « Quelconque »
dans le menu local.
11 Si vous avez sélectionné un port de service non standard, saisissez le numéro
du port source.
12 Comme destination du trafic filtré, sélectionnez un groupe d’adresses dans le menu
local Source.
102
Chapitre 4 Utilisation du service de coupe-feu
Si vous ne voulez pas utiliser un groupe d’adresses, saisissez la plage d’adresses IP
de destination (en notation CIDR).
Si vous voulez appliquer la règle à toutes les adresses, sélectionnez « Quelconque »
dans le menu local.
13 Si vous avez sélectionné un port de service non standard, saisissez le numéro du port
de destination.
14 Dans le menu local de l’interface à laquelle cette règle s’appliquera, sélectionnez Entrée
ou Sortie.
« Entrée » fait référence aux paquets envoyés au serveur.
« Sortie » fait référence aux paquets envoyés par le serveur.
15 Si vous sélectionnez Autre, saisissez le nom de l’interface (en0, en1, fw1, etc.).
16 Cliquez sur OK.
17 Cliquez sur Enregistrer pour appliquer la règle immédiatement.
Modification ou suppression de règles de coupe-feu avancées
Vous pouvez modifier ou supprimer des règles de coupe-feu avancées. Si vous pensez
que vous allez encore utiliser une règle et souhaitez simplement la désactiver, vous
pouvez désélectionner la règle plutôt que la supprimer.
Si vous modifiez une règle après avoir activé le service de coupe-feu, vos modifications
ont un effet sur les connexions déjà établies avec le serveur. Par exemple, si des ordinateurs sont connectés à votre serveur web et que vous modifiez la règle de manière à
refuser tout accès au serveur, les ordinateurs connectés sont déconnectés.
Pour modifier une règle de coupe-feu avancée :
1 Ouvrez Admin Serveur et connectez-vous au serveur.
2 Cliquez sur le triangle situé à gauche du serveur.
La liste des services apparaît.
3 Dans la liste Serveurs développée, sélectionnez Coupe-feu.
4 Cliquez sur Réglages, puis sur Avancé.
5 Sélectionnez la règle à modifier, puis procédez comme suit :
Pour modifier la liste des services, cliquez sur le bouton Modifier (/) sous la liste des services.
Pour supprimer une règle, cliquez sur le bouton Supprimer (–) sous la liste des services.
6 Modifiez la règle comme vous le souhaitez, puis cliquez sur OK.
7 Cliquez sur Enregistrer.
Chapitre 4 Utilisation du service de coupe-feu
103
Modification de l’ordre de règles de coupe-feu avancées
Le niveau de priorité d’une règle de coupe-feu avancée est déterminé par son ordre
dans la liste Règles avancées. L’ordre des règles par défaut qui sont verrouillées ne peut
pas être modifié dans la liste.
Pour modifier l’ordre des règles :
1 Ouvrez Admin Serveur et connectez-vous au serveur.
2 Cliquez sur le triangle situé à gauche du serveur.
La liste des services apparaît.
3 Dans la liste Serveurs développée, sélectionnez Coupe-feu.
4 Cliquez sur Réglages, puis sur Avancé.
5 Faites glisser les règles pour les réorganiser dans l’ordre souhaité.
6 Cliquez sur Enregistrer.
Dépannage de règles de coupe-feu avancées
Les réglages de configuration de coupe-feu avancés acceptent toute entrée, en partant
du principe que vous configurez la règle correctement.
Les éventuelles erreurs ne sont détectées qu’une fois que les règles sont enregistrées
et qu’Admin Serveur applique toutes les règles à l’aide de la commande ipfw. Ensuite,
la première règle comportant une erreur de syntaxe provoque l’arrêt de l’opération
et l’ajout d’un message d’erreur à l’historique.
Ce message d’erreur n’indique pas quelle règle n’est pas valide, mais toutes les règles
valides avant la règle non valide sont chargées dans le coupe-feu.
La section qui suit décrit comment vous pouvez déterminer quelle règle n’est pas valide.
Pour déterminer quelle règle n’est pas valide :
1 Lisez le message d’erreur dans l’historique.
2 Attendez quelques minutes qu’Admin Serveur affiche les règles actives dans la sousfenêtre Vue d’ensemble du coupe-feu.
3 Comparez la liste de règles actives de la sous-fenêtre Vue d’ensemble du coupe-feu
avec la liste de règles de la section Réglages.
4 Examinez le contenu du fichier /etc/ipfilter/ipfw.conf.apple pour voir quelles règles
Admin Serveur a essayé de charger dans le coupe-feu.
La première règle du fichier qui ne figure pas dans la sous-fenêtre Vue d’ensemble du
coupe-feu est probablement celle qui n’est pas valide. Il peut toutefois y avoir d’autres
règles non valides après celle-là.
5 Si la règle correspond à une règle de la sous-fenêtre Réglages avancés, désactivez-la
ou corrigez-la.
104
Chapitre 4 Utilisation du service de coupe-feu
Les règles désactivées apparaissent dans le fichier /etc/ipfilter/ipfw.conf.apple précédées par un caractère de commentaire afin qu’elles ne soient pas traitées par l’outil ipfw.
Activation du mode furtif
Vous pouvez cacher l’existence de votre coupe-feu en n’envoyant pas de notification
d’échec de connexion lorsqu’une connexion est bloquée par le coupe-feu. On appelle cela
le mode furtif. Ce dernier permet de cacher efficacement les ports fermés de votre serveur.
Par exemple, si un intrus tente de se connecter à votre serveur, même si le port est bloqué, l’intrus sait qu’il y a un serveur et pourra essayer d’autres méthodes d’intrusion.
Si le mode furtif est activé, plutôt que d’être rejeté, le pirate ne recevra pas de notification qu’une tentative de connexion a eu lieu.
Pour activer le mode furtif :
1 Ouvrez Admin Serveur et connectez-vous au serveur.
2 Cliquez sur le triangle situé à gauche du serveur.
La liste des services apparaît.
3 Dans la liste Serveurs développée, sélectionnez Coupe-feu.
4 Cliquez sur Réglages, puis sur Avancé.
5 Sélectionnez Activer pour TCP, Activer pour UDP ou les deux, selon vos besoins.
6 Cliquez sur Enregistrer.
Coupe-feu adaptatif
Mac OS X 10.5 utilise un coupe-feu adaptatif qui génère une règle de coupe-feu de manière
dynamique si un utilisateur échoue 10 fois de suite à ouvrir une session. La règle ainsi générée bloque l’ordinateur de l’utilisateur pendant 15 minutes, ce qui empêche l’utilisateur
de tenter d’ouvrir une session.
Le coupe-feu adaptatif vous aide à empêcher que votre ordinateur ne soit attaqué par
des utilisateurs non autorisés. Le coupe-feu adaptatif ne nécessite aucune configuration et est actif dès que vous activez votre coupe-feu.
Réinitialisation du coupe-feu aux réglages par défaut
Il se peut qu’un serveur devienne injoignable pour l’administration à distance à cause
d’une erreur de configuration du coupe-feu. Dans ce cas, vous devez remettre le coupefeu dans son état par défaut afin qu’Admin Serveur puisse y accéder.
Cette procédure de récupération nécessite l’utilisation de l’interface de ligne de commande et doit être effectuée par un administrateur ayant un accès physique au serveur.
Pour restaurer les réglages par défaut du coupe-feu :
1 Déconnectez le serveur de l’Internet externe.
Chapitre 4 Utilisation du service de coupe-feu
105
2 Redémarrez le serveur en mode utilisateur unique en maintenant les touches
Commande + S enfoncées lors du démarrage.
3 Supprimez ou renommez le fichier de groupes d’adresses /etc/ipfilter/ip_address_groups.conf.
4 Supprimez ou renommez le fichier de configuration ipfw /etc/ipfilter/ipfw.conf.
5 Forcez la suppression définitive des règles de coupe-feu en saisissant ce qui suit dans
le Terminal :
$ ipfw -f flush
6 Modifiez le fichier /etc/hostconfig et réglez IPFILTER=-YES-.
7 Terminez la séquence de démarrage dans la fenêtre d’ouverture de session en saisissant exit:
L’ordinateur démarre avec les règles de coupe-feu par défaut et le coupe-feu activé.
Utilisez ensuite Admin Serveur pour affiner la configuration du coupe-feu.
8 Ouvrez une session à l’aide du compte d’administrateur local de votre serveur pour
confirmer que la configuration par défaut du coupe-feu est restaurée.
9 Reconnectez votre hôte à Internet.
Surveillance du service de coupe-feu
Les coupe-feu sont la première ligne de défense d’un réseau contre les utilisateurs
d’ordinateur malveillants (pirates). Pour maintenir la sécurité de vos ordinateurs et des
informations de vos utilisateurs, vous devez surveiller l’activité du coupe-feu et identifier les menaces potentielles. La présente section explique comment journaliser et surveiller l’activité de votre coupe-feu.
Vérification de l’état du service de coupe-feu
Utilisez Admin Serveur pour vérifier l’état du service de coupe-feu.
Pour vérifier l’état du service de coupe-feu :
1 Ouvrez Admin Serveur et connectez-vous au serveur.
2 Cliquez sur le triangle situé à gauche du serveur.
La liste des services apparaît.
3 Dans la liste Serveurs développée, sélectionnez Coupe-feu.
4 Cliquez sur Vue d’ensemble pour savoir si le service tourne, le nombre de règles statiques
et dynamiques configurées, le nombre de paquets qui correspondent aux règles et le
nombre d’octets dans les paquets correspondant aux règles traitées par le coupe-feu.
5 Cliquez sur Historique pour examiner l’historique du service de coupe-feu.
6 Pour afficher la liste des règles de coupe-feu actives, cliquez sur Règles actives.
Cette liste contient le numéro de priorité de chaque règle, le nombre de paquets correspondants, le nombre d’octets dans les paquets correspondants et une description de la règle.
106
Chapitre 4 Utilisation du service de coupe-feu
Affichage des règles de coupe-feu actives
Utilisez Admin Serveur pour afficher un résumé des règles de coupe-feu actives.
La sous-fenêtre Règles actives affiche le nombre de paquets et d’octets associés
à chaque règle.
Lorsqu’une modification est apportée à la configuration du coupe-feu à l’aide d’Admin
Serveur, les anciennes règles de coupe-feu sont supprimées définitivement, de nouvelles règles sont générées et enregistrées dans un Fichier et la commande ipfw est invoquée pour charger les règles dans le service.
Pendant l’opération de suppression, le nombre de paquets et le nombre d’octets associés à chaque règle sont effacés.
La sous-fenêtre Règles actives fournit un instantané de l’état du coupe-feu. Dans cette sousfenêtre, il se peut que des règles dynamiques soient affichées avec des règles statiques.
Les règles dynamiques apparaissent et disparaissent d’une seconde à l’autre en réponse
à l’activité du réseau. Elles résultent de règles possédant une clause de conservation de
l’état (règles à état). La sous-fenêtre Règles actives indique le numéro de règle de la règle
à état qui a été déclenchée pour créer la règle dynamique.
Pour afficher les règles de coupe-feu actives :
1 Ouvrez Admin Serveur et connectez-vous au serveur.
2 Cliquez sur le triangle situé à gauche du serveur.
La liste des services apparaît.
3 Dans la liste Serveurs développée, sélectionnez Coupe-feu.
4 Cliquez sur Règles actives.
La liste des règles apparaît avec une description de chaque règle au format du code
ipfw, la priorité, le nombre de paquets et le nombre total d’octets traités.
Affichage de l’historique du service de coupe-feu
Chaque règle que vous configurez dans Admin Serveur correspond à une ou plusieurs
règles dans le logiciel de coupe-feu sous-jacent. Les entrées d’historique indiquent quand
la règle a été appliquée, l’adresse IP du client et du serveur et d’autres informations.
L’affichage de l’historique indique le contenu du fichier /var/log/ipfw.log. Vous pouvez
affiner l’affichage à l’aide du champ de filtrage du texte.
Pour afficher l’historique du service de coupe-feu :
1 Ouvrez Admin Serveur et connectez-vous au serveur.
2 Cliquez sur le triangle situé à gauche du serveur.
La liste des services apparaît.
3 Dans la liste Serveurs développée, sélectionnez Coupe-feu.
Chapitre 4 Utilisation du service de coupe-feu
107
4 Cliquez sur Historique.
Pour rechercher des entrées spécifiques, utilisez le champ Filtre au-dessus de l’historique.
Voici quelques exemples d’entrées de l’historique du coupe-feu et comment il faut
,les comprendre.
Exemple d’historique 1
Dec 12 13:08:16 ballch5 mach_kernel: ipfw: 65000 Unreach TCP
10.221.41.33:2190 192.168.12.12:80 in via en0
Cette entrée indique que le service de coupe-feu a utilisé la règle 65000 pour refuser
(« unreach ») l’accès au serveur 192.168.12.12 au client distant à l’adresse 10.221.41.33:2190
sur le port web 80 par le port Ethernet 0.
Exemple d’historique 2
Dec 12 13:20:15 mayalu6 mach_kernel: ipfw: 100 Accept TCP 10.221.41.33:721
192.168.12.12:515 in via en0
Cette entrée indique que le service de coupe-feu a utilisé la règle 100 pour autoriser
l’accès au serveur 192.168.12.12 au client distant à l’adresse 10.221.41.33:721 sur le port
d’impression LPR 515 par le port Ethernet 0.
Exemple d’historique 3
Dec 12 13:33:15 smithy2 mach_kernel: ipfw: 10 Accept TCP
192.168.12.12:49152 192.168.12.12:660 out via lo0
Cette entrée indique que la règle de détournement Network Address Translation (NAT)
a été appliquée à un paquet sortant. Dans ce cas, il détourne la règle vers le port de
service 660, le port que le démon NAT utilise.
Affichage des paquets refusés
L’affichage des paquets refusés peut vous aider à identifier des problèmes et à dépanner le service de coupe-feu.
Pour afficher les paquets refusés :
1 Ouvrez Admin Serveur et connectez-vous au serveur.
2 Cliquez sur le triangle situé à gauche du serveur.
La liste des services apparaît.
3 Dans la liste Serveurs développée, sélectionnez Coupe-feu.
4 Cliquez sur Réglages, puis sur Journalisation.
5 Assurez-vous que la case « Journaliser tous les paquets refusés » est cochée.
6 Pour afficher les entrées d’historique, cliquez sur Historique.
7 Dans le champ de filtrage du texte, saisissez le terme « unreach. »
108
Chapitre 4 Utilisation du service de coupe-feu
Affichage des paquets journalisés par les règles de coupe-feu
L’affichage des paquets filtrés par les règles de coupe-feu peut vous aider à identifier
des problèmes et à dépanner le service de coupe-feu.
Pour afficher les paquets filtrés :
1 Ouvrez Admin Serveur et connectez-vous au serveur.
2 Cliquez sur le triangle situé à gauche du serveur.
La liste des services apparaît.
3 Dans la liste Serveurs développée, sélectionnez Coupe-feu.
4 Cliquez sur Réglages, puis sur Journalisation.
5 Assurez-vous que la case « Journaliser tous les paquets acceptes » est cochée.
Si vous n’avez pas activé la journalisation pour une règle déterminée, consultez
« Modification ou suppression de règles de coupe-feu avancées » à la page 103.
6 Pour afficher les entrées d’historique, cliquez sur Historique.
7 Dans le champ de filtrage du texte, saisissez le terme « Accept ».
Exemples de coupe-feu pratiques
Les règles de coupe-feu que vous définissez fonctionnent ensemble pour sécuriser
votre réseau. Les exemples qui suivent montrent comment utiliser des règles pour
atteindre certains objectifs spécifiques.
Utilisation du coupe-feu avec le service NAT
Le service NAT doit être activé sur le coupe-feu. L’activation du service NAT crée une
règle de détournement dans la configuration du coupe-feu.
Bien qu’Admin Serveur autorise l’activation et la désactivation séparée du service NAT
et du service de coupe-feu, le service NAT ne peut fonctionner que si le service NAT et
le service de coupe-feu sont tous deux activés. Une composante essentielle du service
NAT est la règle de détournement de paquets utilisée dans le coupe-feu.
La règle de coupe-feu que vous définissez indique au coupe-feu comment router le trafic réseau venant du réseau qui se trouve derrière la passerelle NAT. Lorsque vous avez
un réseau local derrière une passerelle NAT, vous devez créer ou connaître le groupe
d’adresses qui correspond au réseau local.
Pour des informations détaillées sur la configuration d’un réseau local NAT, consultez
la section « Liaison d’un réseau local à Internet par une adresse IP » à la page 128.
Chapitre 4 Utilisation du service de coupe-feu
109
Blocage de l’accès web à des utilisateurs Internet
La présente section décrit comment vous pouvez autoriser des utilisateurs de votre
sous-réseau à accéder au service web de votre serveur et refuser l’accès au public
général d’Internet.
Dans cet exemple, le réseau local a une plage d’adresses IP de 10.0.1.1 à 10.0.1.254, tandis
que le service web du serveur se trouve à l’adresse 10.0.2.1 sur le port en2 du serveur.
Pour bloquer l’accès au web avec une règle avancée :
1 Dans Admin Serveur, créez un groupe d’adresses nommé « Réseau local » avec la plage
d’adresses10.0.1.1/24.
Celle-ci couvre toutes les adresses de la plage de sous-réseau 10.0.1.x.
Pour en savoir plus, consultez la rubrique « Création d’un groupe d’adresses » à la page 99.
2 Créez une règle avancée avec les réglages suivants :
 Action : Autoriser
 Protocole : TCP
 Service : Web
 Groupe d’adresses source : LAN
 Adresse de destination : Autre 10.0.2.1
 Interface : en2
Pour en savoir plus, consultez la rubrique « Configuration de règles de coupe-feu
avancées » à la page 102.
Pour bloquer l’accès au web à l’aide de règles standard :
1 Dans Admin Serveur, créez un groupe d’adresses nommé « Serveur web » avec la plage
d’adresses 10.0.2.1.
Pour en savoir plus, consultez la rubrique « Création d’un groupe d’adresses » à la page 99.
2 Cliquez sur Réglages, puis sur Services.
3 Dans le menu local Modifier les services pour, sélectionnez le groupe d’adresses
« Serveur web ».
4 Cochez la case « Autoriser uniquement le trafic de « Serveur web » vers ces ports ».
5 Cochez la case HTTP - service Web.
6 Cliquez sur Enregistrer.
110
Chapitre 4 Utilisation du service de coupe-feu
Journalisation de l’accès à Internet par les utilisateurs du réseau local
La présente section décrit comment vous pouvez autoriser les utilisateurs de votre
réseau local à accéder au service web d’un autre serveur et journaliser leurs tentatives
d’accès au public général d’Internet.
Dans cet exemple, le réseau local a une plage d’adresses IP privées de 10.0.1.1 à 10.0.1.254.
Pour journaliser l’accès à Internet par les utilisateurs du réseau local :
1 Ouvrez Admin Serveur et connectez-vous au serveur.
2 Cliquez sur le triangle situé à gauche du serveur.
La liste des services apparaît.
3 Dans la liste Serveurs développée, sélectionnez Coupe-feu.
4 Cliquez sur Réglages, puis sur Services.
5 Dans le menu local Modifier les services pour, sélectionnez le groupe d’adresses
« Quelconque ».
6 Autorisez le trafic pour le groupe « Serveur web » sur le port désigné pour les services web.
7 Cochez la case Autoriser le service web.
8 Cliquez sur Enregistrer.
9 Cliquez sur Consignation.
10 Cochez la case Activer la journalisation.
11 Cochez la case « Journaliser tous les paquets acceptés ».
Les historiques sont visibles dans la sous-fenêtre Historique.
Blocage du courrier indésirable
La présente section décrit comment rejeter le courrier envoyé par un expéditeur de
courrier indésirable possédant l’adresse IP 17.128.100.0 (par exemple) et accepter tous
les autres messages électroniques.
Important : pour bloquer le courrier électronique SMTP entrant, configurez des plages
d’adresses spécifiques dans les règles que vous créez. Par exemple, si vous définissez
une règle refusant le courrier provenant de toutes les adresses sur le port 25, vous
empêchez la distribution du courrier à vos utilisateurs.
Pour empêcher la distribution de courrier indésirable à vos utilisateurs :
1 Ouvrez Admin Serveur et connectez-vous au serveur.
2 Cliquez sur le triangle situé à gauche du serveur.
La liste des services apparaît.
3 Dans la liste Serveurs développée, sélectionnez Coupe-feu.
4 Cliquez sur Réglages, puis sur Services.
Chapitre 4 Utilisation du service de coupe-feu
111
5 Dans le menu local « Modifier les services pour », sélectionnez le groupe d’adresses
« Quelconque ».
6 Cochez la case « Autoriser uniquement le trafic de « Quelconque » vers ces ports ».
7 Cochez la case « SMTP de courrier standard » dans la liste des ports.
8 Sélectionnez Groupes d’adresses.
9 Pour créer une plage d’adresses, cliquez sur le bouton Ajouter (+) et saisissez le nom
du groupe d’adresses dans le champ Nom du groupe.
10 Pour indiquer l’adresse de l’expéditeur de courrier indésirable, saisissez 17.128.100.0 dans
la liste « Adresses dans le groupe » en cliquant sur le bouton Ajouter (+) en en saisissant l’adresse.
11 Cliquez sur OK.
12 Cliquez sur Services.
13 Dans le menu local « Modifier les services pour », sélectionnez le groupe d’adresses
que vous venez de créer.
14 Cochez la case « Autoriser uniquement le trafic de « nom_du_nouveau_groupe_d’adresses »
vers ces ports.
15 Pour désactiver le transfert de courrier, décochez la case « SMTP de courrier standard »
dans la liste des ports.
16 Cliquez sur Enregistrer.
Autorisation d’un client à accéder à un serveur de fichiers Apple
La présente section décrit comment autoriser un client possédant l’adresse IP
10.221.41.33 (par exemple) à accéder à un serveur de fichiers Apple.
Pour autoriser un client à accéder à un serveur de fichiers Apple :
1 Ouvrez Admin Serveur et connectez-vous au serveur.
2 Cliquez sur le triangle situé à gauche du serveur.
La liste des services apparaît.
3 Dans la liste Serveurs développée, sélectionnez Coupe-feu.
4 Cliquez sur Réglages, puis sur Services.
5 Dans le menu local « Modifier les services pour », sélectionnez « Quelconque ».
6 Dans la sous-fenêtre du service, décochez la case « Service de fichiers Apple ».
7 Sélectionnez Groupes d’adresses.
8 Pour créer une plage d’adresses, cliquez sur le bouton Ajouter (+).
9 Attribuez un nom au groupe d’adresses.
10 Pour indiquer l’adresse du client, saisissez 10.221.41.33 dans le champ pour la plage
d’adresses.
112
Chapitre 4 Utilisation du service de coupe-feu
11 Cliquez sur OK.
12 Cliquez sur Services.
13 Sélectionnez le groupe d’adresses que vous venez de créer.
14 Pour activer l’accès aux fichiers, cochez la case « Service de fichiers Apple » dans
la sous-fenêtre du service.
15 Cliquez sur Enregistrer.
Tâches d’administration de réseau courantes qui utilisent
le service de coupe-feu
Votre coupe-feu constitue la première ligne de défense contre les personnes non autorisées sur le réseau, les utilisateurs malveillants et les attaques de virus réseau qui peuvent
nuire à vos données et profiter de vos ressources réseau. La présente section décrit
des utilisations courantes du service de coupe-feu dans l’administration d’un réseau.
Lutte contre les attaques par déni de service
Lorsque le serveur reçoit une demande de connexion TCP d’un client qui s’est vu refuser l’accès, par défaut, le serveur envoie une réponse refusant la connexion. Cela permet d’éviter que le client éconduit ne renvoie sans arrêt de nouvelles demandes.
Un utilisateur malveillant peut toutefois générer une séries de demandes de connexion
TCP à partir d’une adresse IP refusée et forcer le serveur à continuer à répondre, bloquant
ainsi d’autres utilisateurs tentant de se connecter au serveur. C’est un des types d’attaques
par déni de service existants.
Important : les attaques par déni de service sont rares, ne procédez donc à ces réglages que si vous pensez que votre serveur pourrait être soumis à une telle attaque.
Si vous refusez les réponses d’écho ICMP, les services qui utilisent le ping pour
localiser les services réseau ne peuvent pas détecter votre serveur.
Pour empêcher les attaques par déni de service par ping :
1 Ouvrez Admin Serveur et connectez-vous au serveur.
2 Cliquez sur le triangle situé à gauche du serveur.
La liste des services apparaît.
3 Dans la liste Serveurs développée, sélectionnez Coupe-feu.
4 Cliquez sur Réglages, puis sur Services.
5 Sélectionnez le groupe d’adresses « Quelconque ».
6 Décochez la case « Réponse d’écho ICMP (ping) ».
7 Cliquez sur Enregistrer.
Chapitre 4 Utilisation du service de coupe-feu
113
Contrôle ou activation de l’utilisation du réseau poste à poste
Il arrive que les administrateurs réseau doivent contrôler l’utilisation des applications
de partage de fichiers poste à poste (P2P). Ces applications peuvent utiliser beaucoup
de bande passante et des ressources réseau de manière inadéquate ou disproportionnée. Le partage de fichiers P2P peut également présenter un risque en matière de sécurité ou de propriété intellectuelle pour une entreprise.
Vous pouvez empêcher la mise en réseau P2P en bloquant le trafic entrant et sortant
sur le port utilisé par l’application P2P. Vous devez déterminer le port utilisé par chacun
des réseaux P2P en question. Par défaut, le coupe-feu de Mac OS X Server bloque tous
les ports qui ne sont pas expressément ouverts.
Vous pouvez limiter l’utilisation du réseau P2P aux adresses IP qui se trouvent derrière
le coupe-feu. Pour ce faire, ouvrez le port P2P sur votre interface LAN mais continuez
à bloquer le port sur l’interface connectée à Internet (l’interface WAN). Pour apprendre
à créer une règle de coupe-feu, consultez « Configuration de règles de coupe-feu
avancées » à la page 102.
Contrôle ou activation de l’utilisation de jeux en réseau
Il arrive que les administrateurs réseau doivent contrôler l’utilisation de jeux en réseau.
Les jeux peuvent utiliser beaucoup de bande passante réseau et de manière inadéquate
ou disproportionnée.
Vous pouvez empêcher les jeux en réseau en bloquant le trafic entrant et sortant sur
le port utilisé par le jeu. Vous devez déterminer le port utilisé par chacun des jeux en
réseau en question. Par défaut, le coupe-feu de Mac OS X Server bloque tous les ports
qui ne sont pas expressément ouverts.
Vous pouvez limiter l’utilisation des jeux en réseau aux adresses IP qui se trouvent derrière le coupe-feu. Pour ce faire, ouvrez le port correspondant sur votre interface LAN
mais continuez à bloquer le port sur l’interface connectée à Internet (l’interface WAN).
Certains jeux nécessitent une connexion à un service de jeu pour fonctionner. Cela ne
fonctionnera pas. Pour apprendre à créer une règle de coupe-feu, consultez
« Configuration de règles de coupe-feu avancées » à la page 102.
Vous pouvez ouvrir le coupe-feu à certains jeux et autoriser certains jeux en réseau
à se connecter à d’autres joueurs et services de jeu au-delà du coupe-feu. Pour ce faire,
ouvrez le port correspondant sur vos interfaces LAN et WAN. Certains jeux nécessitent
que plus d’un port soit ouvert. Pour obtenir plus de détails sur la mise en réseau, consultez la documentation du jeu. Pour apprendre à créer une règle de coupe-feu, consultez
« Configuration de règles de coupe-feu avancées » à la page 102.
114
Chapitre 4 Utilisation du service de coupe-feu
Prévention de la propagation de virus réseau
Un virus peut se propager rapidement sur votre réseau et infecter vos ordinateurs.
Par exemple, si un ordinateur de votre réseau est infecté par un virus, cet ordinateur
pourrait propager le virus à l’ensemble de votre réseau.
Une des portes d’entrée que les virus utilisent pour se propager sur un réseau, c’est
le courrier électronique. Vous pouvez empêcher la propagation des virus par le courrier électronique en analysant le courrier électronique avec clamav et en mettant à jour
vos définitions de virus.
Vous pouvez empêcher d’autres voies de propagation en n’utilisant que les services
dont vous avez besoin, en utilisant une bonne topologie de réseau et en utilisant de
bons mots de passe.
La méthode la plus importante consiste à garder les ordinateurs de votre réseau à jour.
Votre ordinateur doit être configuré pour rechercher les mises à jour une ou deux fois
par semaine.
Pour en savoir plus sur la prévention des virus réseau, consultez Configuration de la sécurité
de Mac OS X Server.
Référence des ports TCP et UDP
Les tableaux qui suivent montrent les numéros de port TCP et UDP les plus fréquemment utilisés par les ordinateurs sous Mac OS X et Mac OS X Server. Vous pouvez utiliser ces ports quand vous configurez des règles d’accès. Pour accéder aux documents
RFC référencés dans ces tableaux, consultez www.faqs.org/rfcs.
Port TCP
Utilisé pour
7
echo
RFC 792
20
Données FTP
RFC 959
21
Contrôle FTP
RFC 959
22
Shell sécurisé (SSH)
Configuration des répliques Open Directory
23
Telnet
RFC 854
25
SMTP (courrier électronique)
RFC 821
53
DNS
RFC 1034
79
Finger
RFC 1288
80
HTTP (web)
RFC 2068
88
Centre de distribution de clés Kerberos 5
RFC 1510
106
Serveur de mots de passe Open Directory (avec
le port 3659)
110
POP3 (courrier électronique)
Chapitre 4 Utilisation du service de coupe-feu
Référence
RFC 1081
115
116
Port TCP
Utilisé pour
111
Remote Procedure Call (RPC)
Référence
RFC 1057
113
AUTH
RFC 931
115
sftp
119
NNTP (actualités)
RFC 977
123
Synchronisation de serveur d’horloge de réseau (NTP)
RFC 1305
137
Noms Windows
138
Navigateur Windows
139
Service de fichiers et d’impression Windows (SMB/CIFS)
RFC 100
143
IMAP (accès au courrier électronique)
RFC 2060
201-208
AppleTalk
311
Protocole SSL pour Admin Serveur, administration
web à distance IP AppleShare, Contrôle de serveur,
Admin Serveur (servermgrd), Gestionnaire de groupe
de travail (DirectoryService)
389
LDAP (répertoire)
407
Timbuktu
427
SLP (emplacement des services)
443
SSL (HTTPS)
445
Microsoft Domain Server
497
Dantz Retrospect
514
shell, syslog
515
LPR (désynchronisation de l’impression)
532
netnews
548
AFP (Apple File Service)
554
Real-Time Streaming Protocol (QTSS)
591
Accès au web FileMaker
600–1023
Services basés sur RPC de Mac OS X (par exemple,
NetInfo)
625
Format de répertoire distant
626
Administration IMAP (service de courrier Mac OS X
et courrier électronique AppleShare IP 6.x)
631
IPP (partage d’imprimantes)
636
LDAPSSL
660
Réglages de serveur, Server Manager
687
Utilisateurs et groupes partagés AppleShare IP,
Contrôle de serveur, Admin Serveur (servermgrd)
749
Administration de Kerberos et changepw à l’aide
de l’outil de ligne de commande kadmind
Chapitre 4 Utilisation du service de coupe-feu
RFC 2251
RFC 1179
RFC 2326
Port TCP
Utilisé pour
985
Port statique NetInfo
993
IMAP sur SSL (courrier)
995
POP3 sur SSL (courrier)
1085
WebObjects
1099, 8043
RMI à distance et accès RMI/IIOP à JBoss
1220
QTSS Admin
1694
Basculement IP
1723
VPN PPTP
2049
NFS
2399
Couche d’accès aux données FileMaker
3004
iSync
3031
Liaison de programmes, AppleEvents à distance
3283
Apple Remote Desktop 2.0
3306
MySQL
3632
Compilateur distribué XCode
3659
Serveur de mots de passe Open Directory (avec
le port 106)
3689
Partage de musique iTunes
4111
XGrid
5003
Liaison de noms et transport FileMaker
5100
Partage de caméras, d’appareils photo et de scanneurs
5190
iChat et transfert de fichiers iChat
5222
Serveur iChat
5223
Serveur iChat SSL
5269
Serveur iChat, de serveur à serveur
5298
iChat, sous-réseau local
5432
Base de données Apple Remote Desktop 2.0
5900
VNC Apple Remote Desktop 2.0
7070
Real-Time Streaming Protocol (QTSS)
7777
Serveur iChat , proxy de transfert de fichiers
8000–8999
Service web
8000-8001
Diffusion en continu de MP3 QTSS
8005
Extinction à distance Tomcat
8043, 1099
RMI à distance et accès RMI/IIOP à JBoss
8080, 8443, 9006
Tomcat autonome et JBoss
Chapitre 4 Utilisation du service de coupe-feu
Référence
RFC 2637
117
118
Port TCP
Utilisé pour
8080
Alternative pour le service web (valeur par défaut
d’Apache 2)
9007
Accès à distance du serveur web au port AIP
16080
Service web avec redirection du cache des performances
42000-42999
Flux radio iTunes
Port UDP
Utilisé pour
7
echo
53
DNS
67
Serveur DHCP (BootP), serveur NetBoot
68
Client DHCP
69
Trivial File Transfer Protocol (TFTP)
111
Remote Procedure Call (RPC)
123
Network Time Protocol
137
Windows Name Service (WINS)
138
Service de datagrammes de Windows (NETBIOS)
161
Protocole SNMP (Simple Network Management Protocol)
192
Administration AirPort
427
SLP (emplacement des services)
497
Retrospect
500
VPN ISAKMP/IKE
513
who
514
Syslog
554
Real-Time Streaming Protocol (QTSS)
600–1023
Services basés sur RPC de Mac OS X (par exemple,
NetInfo)
626
Prise en charge du numéro de série
985
NetInfo (lorsqu’un domaine partagé est créé à l’aide
de NetInfo Domain Setup)
1701
VPN L2TP
3283
Apple Remote Desktop 1.2
5353
Multicast DNS (mDNSResponder)
2049
Service NFS (Network File System)
3031
Liaison de programmes
3283
Apple Network Assistant, Apple Remote Desktop
4500
IKE NAT Traversal
5060
Lancement d’iChat
Chapitre 4 Utilisation du service de coupe-feu
Référence
Référence
RFC 1305
Port UDP
Utilisé pour
5297, 5678
iChat local
5353
Multicast DNS (mDNSResponder)
6970 -6999
Diffusion en continu QTSS RTP
7070
Alternative Real-Time Streaming Protocol (QTSS)
16384-16403
RTP et RTCP audio/vidéo iChat
Référence
Autres sources d’informations
Pour en savoir plus sur l’accès et l’implémentation de fonctionnalités de ipfw, l’outil
qui contrôle le service de coupe-feu, consultez la page man de ipfw.
Les documents RFC (Request for Comments) offrent des vues d’ensemble de protocoles ou de services particuliers et expliquent le comportement normal du protocole.
Si vous êtes un administrateur de serveur débutant, certaines des informations générales
qui figurent dans les documents RFC vous seront certainement utiles.
En revanche, si vous êtes un administrateur de serveur confirmé, vous trouverez
tous les détails techniques concernant un protocole particulier dans le document
RFC correspondant.
La section RFC du site web suivant contient plusieurs numéros RFC pour divers
protocoles : www.ietf.org/rfc.html (en anglais).
L’Internet Assigned Number Authority (IANA) maintient la liste des ports les plus connus
et des ports TCP et UDP qui ont été assignés par l’organisation à différents protocoles. Vous
trouverez cette liste à l’adresse : www.iana.org/assignments/port-numbers (en anglais).
De plus, des adresses de multidiffusion importantes sont documentées dans
le document RFC Assigned Numbers le plus récent à ce jour, à savoir RFC 1700.
Chapitre 4 Utilisation du service de coupe-feu
119
5
Utilisation du service NAT
5
Ce chapitre décrit comment configurer et gérer le service NAT
dans Mac OS X Server.
Network Address Translation (NAT) est un protocole que l’on utilise pour donner à plusieurs
ordinateurs l’accès à Internet en n’utilisant qu’une seule adresse IP publique ou externe
assignée. NAT vous permet de créer un réseau privé qui accède à Internet par un routeur
ou une passerelle NAT. On appelle parfois le protocole NAT IP le masquage d’adresses IP.
Le routeur NAT reçoit tout le trafic provenant de votre réseau privé et mémorise les adresses interne qui ont émis des requêtes. Lorsque le routeur NAT reçoit une réponse à une
requête, il la redirige à l’ordinateur d’origine. Le trafic venant d’Internet n’atteint pas les
ordinateurs qui se trouvent derrière le routeur NAT sauf si la redirection de port est activée.
Utilisation de NAT avec d’autres services réseau
L’activation de NAT sous Mac OS X Server nécessite souvent un contrôle détaillé sur
DHCP, c’est pourquoi DHCP est configuré séparément dans Admin Serveur. Pour en
savoir plus sur DHCP, consultez le chapitre 2, « Utilisation du service DHCP, » à la page 27.
L’activation du service NAT crée aussi une règle de détournement dans la configuration du coupe-feu. Admin Serveur permet d’activer et de désactiver le service NAT
et le service de coupe-feu séparément. Toutefois, pour que le service NAT fonctionne,
le service NAT et le service de coupe-feu doivent être activés. Cela est dû au fait que
la règle de détournement de paquets est une part essentielle de NAT. Cette règle est
ajoutée au coupe-feu lors de l’activation du service NAT, mais le service de coupe-feu
doit être activé pour la règle de détournement de paquets ou pour toute autre règle
de coupe-feu, pour obtenir un quelconque effet.
121
Vue d’ensemble de la configuration du réseau local pour NAT
Pour configurer un segment de réseau comme réseau local NAT, vous devez exécuter plusieurs étapes. Chacune de ces étapes est nécessaire pour créer un réseau privé fonctionnant derrière une passerelle NAT. Vous trouverez un exemple détaillé de la configuration
dans la section « Liaison d’un réseau local à Internet par une adresse IP » à la page 128.
Vous pouvez également configurer NAT à l’aide de l’Assistant réglages de passerelle,
qui configure chacun de ces services et démarre le service NAT. Pour en savoir plus,
consultez la rubrique « À propos d’Assistant réglages passerelle » à la page 17.
La section qui suit donne une vue d’ensemble du processus de configuration.
Étape 1 : Choisissez votre passerelle NAT et les fonctions d’interface
Vous devez localiser la passerelle NAT sur un ordinateur Mac OS X Server possédant
au moins deux interfaces réseau : une pour se connecter à Internet (la port WAN)
et une pour se connecter à votre segment de réseau privé (le port LAN).
Étape 2 : Spécifiez la manière dont les clients du réseau local NAT doivent recevoir
leur adresse IP
Vous pouvez assigner votre propre adresse IP statique choisie dans les plages destinées aux réseaux locaux privés ou utiliser la fonctionnalité DHCP de Mac OS X Server
pour assigner des adresses à votre place.
Étape 3 : Configurez les réseaux de la passerelle
Assignez votre adresse IP publique au port WAN et l’adresse de votre passerelle interne
au port LAN.
Étape 4 : Activez le service NAT
Pour pouvoir configurer le service NAT, vous devez d’abord l’activer. Consultez
la rubrique « Activation du service NAT » à la page 123.
Étape 5 : Configurez les réglages relatifs à NAT
Utilisez les réglages NAT pour configurer l’interface réseau. Consultez la rubrique
« Configuration du service NAT » à la page 123.
Étape 6 : Configurez les réglages relatifs à la redirection de port
Utilisez l’application Terminal pour rediriger le trafic entrant adressé à votre réseau
NAT vers une adresse IP spécifique derrière la passerelle NAT. Consultez la rubrique
« Configuration de la redirection de port » à la page 124.
Étape 7 : Démarrez le service NAT
Après avoir configuré le service NAT, démarrez-le pour le rendre disponible. Consultez
la rubrique « Démarrage et arrêt du service NAT » à la page 127.
122
Chapitre 5 Utilisation du service NAT
Étape 8 : Démarrez le service de coupe-feu
Pour que le service NAT fonctionne, vous devez activer le service NAT et le service
de coupe-feu. Consultez la rubrique « Arrêt du service de coupe-feu » à la page 99.
Étape 9 : (Conditionnel) Configurez et démarrez le service DHCP
Si les adresses des clients vont être assignées dynamiquement, configurez le service
DHCP et démarrez-le maintenant. Voir le chapitre 2, « Utilisation du service DHCP. »
Activation du service NAT
Pour pouvoir configurer les réglages NAT, vous devez activer le service NAT dans
Admin Serveur.
Pour activer le service NAT :
1 Ouvrez Admin Serveur et connectez-vous au serveur.
2 Cliquez sur Réglages.
3 Cliquez sur Services.
4 Cochez la case NAT.
5 Cliquez sur Enregistrer.
Configuration du service NAT
Utilisez Admin Serveur pour indiquer quelle interface réseau est connectée à Internet
ou à tout autre réseau externe.
Il ne faut pas confondre la configuration du service NAT et la configuration d’un segment
de réseau comme réseau local NAT.
Pour configurer le service NAT :
1 Ouvrez Admin Serveur et connectez-vous au serveur.
2 Cliquez sur le triangle situé à gauche du serveur.
La liste des services apparaît.
3 Dans la liste Serveurs développée, sélectionnez NAT.
4 Cliquez sur Réglages.
5 Cochez la case « Transfert d’adresses IP et traduction d’adresse réseau (NAT) ».
6 Dans le menu local « Interface réseau externe », choisissez l’interface réseau qui
est connectée à Internet ou au réseau externe.
7 Cliquez sur Enregistrer.
Chapitre 5 Utilisation du service NAT
123
Configuration de la redirection de port
Vous pouvez diriger le trafic adressé à votre réseau NAT vers une adresse IP derrière
la passerelle NAT. Cela s’appelle la redirection de port.
La redirection de port vous permet de configurer, sur le réseau interne, des ordinateurs
qui gèrent les connexions entrantes sans exposer les autres ordinateurs aux connexions
extérieures. Par exemple, vous pouvez configurer un serveur web derrière le service NAT
et rediriger les demandes de connexion TCP entrantes adressées au port 80 vers le serveur web désigné.
Vous ne pouvez pas rediriger le même port vers plusieurs ordinateurs, mais vous pouvez rediriger plusieurs ports vers un ordinateur.
L’activation de la redirection de port requiert l’utilisation de l’application Terminal
et un accès comme administrateur à des privilèges root par sudo.
Vous devez également créer un fichier plist. Le contenu du fichier plist sert à générer
le fichier /etc/nat/natd.conf.apple, qui est transmis au démon NAT lors du démarrage
de ce dernier.
Ne modifiez pas le fichier /etc/nat/natd.conf.apple directement. Si vous utilisez un
éditeur de fichier plist plutôt qu’un éditeur de texte de ligne de commande, adaptez
la procédure suivante en conséquence.
Pour rediriger le trafic adressé à un port :
1 Si le fichier /etc/nat/natd.plist n’existe pas, faites une copie du fichier plist par défaut
du démon NAT.
$ sudo cp /etc/nat/natd.plist.default /etc/nat/natd.plist
2 À l’aide d’un éditeur de Terminal, ajoutez le bloc de texte XML suivant au fichier /etc/
nat/natd.plist devant les deux lignes à la fin du fichier (</dict> et </plist>), en remplaçant le texte en italique par vos propres réglages :
<key>redirect_port</key>
<array>
<dict>
<key>proto</key>
<string>tcp ou udp</string>
<key>targetIP</key>
<string>ip_du_LAN</string>
<key>targetPortRange</key>
<string>plage_d’adresses_ip</string>
<key>aliasIP</key>
<string>ip_du_WAN</string>
<key>aliasPortRange</key>
<string>plage_d’adresses_ip_du_WAN</string>
</dict>
</array>
124
Chapitre 5 Utilisation du service NAT
3 Enregistrez les modifications de votre fichier.
4 Dans le Terminal, tapez la commande suivante :
$ sudo systemstarter stop nat
$ sudo systemstarter start nat
5 Vérifiez que vos modifications sont conservées en examinant le fichier /etc/nat/
natd.conf.apple.
Les modifications apportées, à l’exception des commentaires et des réglages qu’Admin
Serveur peut modifier, sont utilisés par les outils de configuration du serveur (Admin
Serveur, Assistant réglages de passerelle et serveradmin).
6 Configurez le service NAT dans Admin Serveur comme vous le souhaitez.
Pour en savoir plus, consultez la rubrique « Configuration du service NAT » à la page 123.
7 Cliquez sur Enregistrer.
8 Démarrez le service NAT.
Exemples de redirection de port
Vous pouvez rediriger un ou plusieurs ports vers une adresse IP. Les ports WAN ne doivent pas être identiques aux ports LAN, mais ils doivent correspondre.
Par exemple, si vous redirigez 10 ports consécutifs WAN, vous devez les rediriger vers
10 ports consécutifs LAN, mais il ne doit pas nécessairement s’agir des 10 mêmes ports.
Redirection d’un port unique
Cet exemple montre le réglage permettant de rediriger les connexions au port TCP 80
(service web) sur l’adresse WAN 17.128.128.128 vers le port TCP 80 (service web) sur
l’adresse LAN privée 192.168.1.1.
Le bloc de texte à ajouter au fichier /etc/nat/natd.plist est :
<key>redirect_port</key>
<array>
<dict>
<key>proto</key>
<string>tcp</string>
<key>targetIP</key>
<string>192.168.1.1</string>
<key>targetPortRange</key>
<string>80</string>
<key>aliasIP</key>
<string>17.128.128.128</string>
<key>aliasPortRange</key>
<string>80</string>
</dict>
</array>
Chapitre 5 Utilisation du service NAT
125
Redirection de plusieurs ports
Cet exemple montre le réglage permettant de rediriger les connexions aux ports
TCP et UDP 600-1023 (NetInfo, plage complète) sur l’adresse WAN 17.128.128.128 vers
les ports correspondants sur l’adresse LAN privée 192.168.1.1.
Le bloc de texte à ajouter au fichier /etc/nat/natd.plist est :
<key>redirect_port</key>
<array>
<dict>
<key>proto</key>
<string>tcp</string>
<key>targetIP</key>
<string>192.168.1.1</string>
<key>targetPortRange</key>
<string>600-1023</string>
<key>aliasIP</key>
<string>17.128.128.128</string>
<key>aliasPortRange</key>
<string>600-1023</string>
</dict>
</array>
<array>
<dict>
<key>proto</key>
<string>udp</string>
<key>targetIP</key>
<string>192.168.1.1</string>
<key>targetPortRange</key>
<string>600-1023</string>
<key>aliasIP</key>
<string>17.128.128.128</string>
<key>aliasPortRange</key>
<string>60-1023</string>
</dict>
</array>
Test des règles de redirection de port
Une fois que vous avez configuré vos règles de redirection de port, vous pouvez
les tester en accédant au service à partir de l’adresse IP publique de votre routeur NAT.
Si vous pouvez accéder aux services, c’est que vous avez configuré et testé correctement votre règle de redirection de port.
Par exemple, si un site web est hébergé sur un ordinateur possédant l’adresse IP privée
192.168.1.10 et que votre routeur NAT possède l’adresse IP publique 219.156.13.13 et une
règle de redirection de port qui rediriger le port 80 vers l’adresse IP 192.168.1.10, vous
accédez au site web en tapant l’adresse IP publique (http://219.156.13.13) dans votre
navigateur web.
126
Chapitre 5 Utilisation du service NAT
Si vos règles de redirection de port sont correctes, vous serez redirigé vers l’ordinateur
qui héberge le site web (192.168.1.10).
Démarrage et arrêt du service NAT
Utilisez Admin Serveur pour démarrer et arrêter le service NAT sur votre interface
réseau par défaut. Le démarrage du service NAT ne démarre pas DHCP sur l’interface
NAT, vous devez donc gérer l’adressage LAN séparément.
Il ne faut pas confondre le démarrage du service NAT et la configuration d’un segment
de réseau comme réseau local NAT.
Pour que le service NAT fonctionne, vous devez activer le service NAT et le service de coupefeu. Pour plus d’informations, reportez-vous à la section « Arrêt du service de coupe-feu »
à la page 99.
Pour démarrer le service NAT :
1 Ouvrez Admin Serveur et connectez-vous au serveur.
2 Cliquez sur le triangle situé à gauche du serveur.
La liste des services apparaît.
3 Dans la liste Serveurs développée, sélectionnez NAT.
4 Cliquez sur le bouton Démarrer le coupe-feu sous la liste Serveurs.
Lorsque le service est activé, le bouton Arrêter NAT n’est pas disponible.
Création d’une passerelle sans NAT
Vous pouvez utiliser un ordinateur comme passerelle entre différents segments de réseau
sans traduire les adresses IP de la plage publique vers la plage privée. Cela s’appelle la redirection d’adresses IP. Mac OS X Server prend en charge la redirection d’adresses IP, qui peut
être configurée à l’aide d’Admin Serveur.
Plusieurs configuration réseau peuvent utiliser une passerelle sans NAT. Par exemple,
un serveur peut traduire des adresses IP privées en adresses publiques à l’aide de NAT,
mais votre passerelle Mac OS X Server peut router les informations entre plusieurs
sous-réseaux d’adresses privées. Il est également possible de placer un coupe-feu
entre des segments de réseau dans votre propre réseau local.
Toute situation dans laquelle vous voulez router du trafic réseau au travers du serveur
sans masquer les adresses IP est une situation qui nécessite la redirection d’adresses IP.
Les étapes requises pour la création d’une passerelle pour la redirection d’adresses sont les
mêmes que celles pour la création d’un réseau local NAT. Cela signifie que les ports réseau
doivent être configurés correctement et que le service de coupe-feu doit être activé.
Chapitre 5 Utilisation du service NAT
127
Pour configurer une passerelle sans le service NAT :
1 Ouvrez Admin Serveur et connectez-vous au serveur.
2 Cliquez sur le triangle situé à gauche du serveur.
La liste des services apparaît.
3 Dans la liste Serveurs développée, sélectionnez NAT.
4 Cliquez sur Réglages.
5 Cochez la case « Transfert d’adresses IP uniquement ».
6 Cliquez sur Enregistrer.
Surveillance du service NAT
Vous pouvez être amené à surveiller votre service NAT à des fins de dépannage
et de sécurité. La présente section décrit comment accéder à la vue d’ensemble
de l’état de NAT et comment surveiller l’activité de détournement de NAT.
Affichage de la vue d’ensemble de l’état de NAT
La vue d’ensemble de l’état de NAT vous permet de vérifier si le service est actif
et combien de liens de protocole sont actifs.
Pour afficher la vue d’ensemble :
1 Ouvrez Admin Serveur et connectez-vous au serveur.
2 Cliquez sur le triangle situé à gauche du serveur.
La liste des services apparaît.
3 Dans la liste Serveurs développée, sélectionnez NAT.
4 Cliquez sur Vue d’ensemble pour vérifier que le service est actif, quand il a démarré
et le nombre de liens TCP, UDP et ICMP.
Tâches d’administration de réseau courantes qui utilisent
le service NAT
Les sections qui suivent illustrent des tâches d’administration de réseau courantes
qui utilisent le service NAT.
Liaison d’un réseau local à Internet par une adresse IP
Pour lier un réseau local, vous devez disposer d’un ordinateur Mac OS X Server équipé
de deux interfaces réseau : une pour se connecter à Internet et une pour se connecter
à votre réseau privé. Les étapes ci-dessous utilisent la configuration suivante à titre
d’exemple :
 Noms et fonctions de l’interface Ethernet : Ethernet intégré (connecté à Internet),
logement Ethernet PCI 1 (connecté au réseau interne).
128
Chapitre 5 Utilisation du service NAT
 Adresse IP publique ou Internet : 17.254.0.3 (à titre d’exemple uniquement, votre
numéro IP est fourni par votre FAI).
 Adresse IP DNS publique ou Internet : 17.254.1.6 (à titre d’exemple uniquement,
votre numéro IP est fourni par votre FAI).
 Plage d’adresses IP et masque de réseau du réseau privé : 192.168.0.2–192.168.0.254
(également exprimé sous la forme 192.168.0.0/24 ou 192.168.0.0:255.255.255.0).
 Adresse IP du réseau privé du serveur : 192.168.0.1.
 Réglages relatifs aux adresses IP des clients du réseau local : configurez IPv4 à l’aide
de DHCP.
Ce dernier réglage n’est pas obligatoire car NAT peut être utilisé avec des adresses IP
statiques plutôt qu’avec DHCP. La configuration de ce réglage rend toutefois la configuration des ordinateurs plus facile.
Pour configurer votre réseau local NAT :
1 Sur le serveur passerelle, ouvrez la sous-fenêtre Réseau des Préférences Système.
2 Dans l’écran Réseau actif, vérifiez que l’interface « Ethernet intégré » se trouve tout en
haut de la liste des interfaces. Si ce n’est pas le cas, faites-la glisser vers le haut de la liste.
Cela définit la passerelle par défaut dans la table de routage. L’interface du haut de
la liste est toujours configurée pour Internet ou le WAN.
3 Vérifiez que l’adresse IP et les réglages d’« Ethernet intégré » correspondent bien
aux réglages de l’adresse publique que vous avez reçue de votre FAI.
Dans notre exemple, il s’agit des réglages suivants :
 Adresse IP : 17.254.0.3
 Masque de réseau : 255.255.252.0
 DNS : 17.254.1.6
4 Vérifiez que l’adresse IP et les réglages de « Logement Ethernet PCI 1 » correspondent
bien aux réglages de votre adresse locale.
Dans notre exemple, il s’agit des réglages suivants :
 Adresse IP : 192.168.0.1
 Masque de réseau : 255.255.255.0
 DNS : 17.254.1.6
5 Si nécessaire, cliquez sur Appliquer.
6 Ouvrez Admin Serveur et connectez-vous au serveur.
7 Cliquez sur le triangle situé à gauche du serveur.
La liste des services apparaît.
8 Dans la liste Serveurs développée, sélectionnez DHCP.
Chapitre 5 Utilisation du service NAT
129
9 Cliquez sur Sous-réseaux et créez un sous-réseau pour le réseau local interne avec
les paramètres de configuration suivants :
 Nom du sous-réseau : <ce que vous voulez>
 Adresse IP de début : 192.168.0.2
 Adresse IP de fin : 192.168.0.254
 Masque de sous-réseau : 255.255.255.0
 Interface réseau : en1
 Routeur : 192.168.0.1
 Durée de bail : <ce que vous voulez>
 DNS : 17.254.1.6
Pour des informations détaillées sur la configuration de DHCP, consultez la section
« Création de sous-réseaux » à la page 29.
10 Pour démarrer le service DHCP, cliquez sur le bouton Démarrer DHCP sous la liste Serveurs.
11 Dans Admin Serveur, dans la liste Serveurs développée, sélectionnez NAT.
12 Configurez NAT à l’aide du réglage suivant :
Interface réseau externe :en0
13 Si nécessaire, cliquez sur Enregistrer.
14 Pour démarrer le service NAT, cliquez sur le bouton Démarrer NAT sous la liste Serveurs.
15 Dans Admin Serveur, dans la liste Serveurs développée, sélectionnez Coupe-feu.
16 Créez des règles de coupe-feu pour autoriser l’accès à et depuis votre réseau privé.
Par exemple, créez un groupe d’adresses IP nommé « Réseau local privé » pour les
adresses 192.168.0.0/16.
Pour en savoir plus, consultez la rubrique « Création d’un groupe d’adresses » à la page 99.
17 Pour démarrer le service de coupe-feu, cliquez sur le bouton Démarrer Coupe-feu sous
la liste Serveurs.
18 Démarrez tous les services auxquels vous voulez que le réseau local privé accède (web,
SSH, partage de fichiers, etc.) à l’aide du groupe « Réseau local privé ».
Pour en savoir plus, consultez la rubrique « Configuration de réglages de services »
à la page 96.
19 Démarrez tous les services auxquels vous voulez qu’Internet accède (web, SSH, partage
de fichiers, etc.) à l’aide du groupe « Quelconque ».
Pour en savoir plus, consultez la rubrique « Configuration de réglages de services » à
la page 96.
20 Cliquez sur Enregistrer.
130
Chapitre 5 Utilisation du service NAT
Configuration d’un tournoi de jeu en réseau
Certains jeux compatibles avec Internet permettent à plusieurs joueurs de se connecter en ligne via un réseau local. Cela s’appelle un tournoi de jeu en réseau. La configuration d’un tournoi de jeu en réseau est essentiellement identique au processus décrit
dans « Liaison d’un réseau local à Internet par une adresse IP » à la page 128.
Considérations spéciales :
 N’ouvrez que les ports nécessaires pour jouer au jeu compatible avec Internet.
 Si le jeu n’est joué qu’à l’intérieur du réseau local, n’ouvrez pas les ports du jeu sur
le coupe-feu.
 Si des ordinateurs vont et viennent sur le réseau local, utilisez DHCP pour la configuration des adresses des clients.
Configuration de serveurs virtuels
Un serveur virtuel est un serveur passerelle qui envoie des services derrière un NAT vers
de véritables serveurs sur chaque port.
Imaginons que vous disposez d’une passerelle NAT nommée domaine.exemple.com
portant l’adresse 17.100.0.1 configurée pour rediriger le trafic web (port 80) vers
l’adresse 10.0.0.5 (port 80) derrière le coupe-feu et qui envoie les requêtes de paquets
pour le trafic ssh (port 22) vers l’adresse 10.0.0.15 (port 22).
Dans cet exemple, la passerelle NAT ne sert pas réellement le contenu web (le serveur
à l’adresse 10.0.0.5) mais le serveur qui se trouve à l’adresse 10.0.0.5 n’est pas visible par
les clients qui naviguent sur le site web.
Vu d’Internet, vous n’avez qu’un seul serveur, mais vu de derrière la passerelle NAT, vous en
avez autant que vous le souhaitez. Vous pouvez utiliser cette configuration pour la répartition de la charge ou comme schéma organisationnel pour la topographie du réseau.
Les serveurs virtuels vous permettent également de rerouter facilement du trafic réseau
vers d’autres ordinateurs du réseau local en reconfigurant simplement la passerelle.
Les serveurs virtuels requièrent la configuration de trois services :
 NAT : le service NAT doit être configuré avec la redirection de port du port virtuel
souhaité.
 DNS : l’enregistrement DNS du serveur doit accepter quelques alias de services
communs et les traduire tous vers la même adresse IP.
 Coupe-feu : le coupe-feu doit autoriser le trafic sur certains ports particuliers pour
avoir accès au réseau local NAT.
Chapitre 5 Utilisation du service NAT
131
Dans cet exemple, vous configurez une passerelle NAT et routez deux noms de domaine
et des services vers différents ordinateurs se trouvant derrière le coupe-feu de la passerelle. Nous utilisons la configuration suivante :
 Noms et fonctions de l’interface Ethernet : Ethernet intégré (connecté à Internet),
logement Ethernet PCI 1 (connecté au réseau interne).
 Adresse IP publique ou Internet : 17.100.0.1 (à titre d’exemple uniquement, votre
numéro IP et vos informations de masque de réseau seront fournies par votre FAI).
 Plage d’adresses IP et masque de réseau du réseau privé : 192.168.0.0–192.168.0.255
(également exprimé sous la forme 192.168.0.0/24 ou 192.168.0.0:255.255.255.0).
 Adresse IP du réseau privé du serveur passerelle : 192.168.0.1.
 Adresse IP du réseau privé du serveur web : 192.168.0.2.
 Adresse IP du réseau privé du serveur de courrier : 192.168.0.3.
 Réglages relatifs aux adresses IP des serveurs web et de courrier : configurez IPv4
à l’aide de DHCP.
Ce dernier réglage n’est pas obligatoire car NAT peut être utilisé avec des adresses IP
statiques plutôt qu’avec DHCP. La configuration de ce réglage rend toutefois la configuration des ordinateurs plus facile.
Pour configurer des serveurs virtuels :
1 Ouvrez Admin Serveur et connectez-vous au serveur.
2 Cliquez sur le triangle situé à gauche du serveur.
La liste des services apparaît.
3 Dans la liste Serveurs développée, sélectionnez DHCP.
4 Cliquez sur Sous-réseaux et créez un groupe d’adresses pour le réseau local interne
avec les paramètres de configuration suivants :
Â
Â
Â
Â
Â
Â
Â
Â
Â
Nom du sous-réseau : <ce que vous voulez>
Adresse IP de début : 192.168.0.2
Adresse IP de fin : 192.168.0.254
Masque de sous-réseau : 255.255.255.0
Interface réseau : en1
Routeur : 192.168.0.1
Durée de bail : <ce que vous voulez>
DNS : <fourni par le FAI>
Mappage statique (web) : <adresse Ethernet du serveur web> mise en correspondance avec l’adresse 192.168.0.2
 Mappage statique (courrier) : <adresse Ethernet du serveur web> mise en correspondance avec l’adresse 192.168.0.3
Pour plus d’informations, consultez les sections « Création de sous-réseaux » à la page 29
et « Assignation d’adresses IP statiques à l’aide de DHCP » à la page 39.
132
Chapitre 5 Utilisation du service NAT
5 Pour démarrer le service DHCP, cliquez sur le bouton Démarrer DHCP sous la liste Serveurs.
6 Dans Admin Serveur, dans la liste Serveurs développée, sélectionnez NAT.
7 Configurez NAT à l’aide du réglage suivant :
 Interface du réseau externe : en0
 Redirection de port : port TCP 80 (web) vers l’adresse 192.168.0.2
 Redirection de port : port TCP 25 (web) vers l’adresse 192.168.0.3
8 Cliquez sur Enregistrer.
9 Pour démarrer le service NAT, cliquez sur le bouton Démarrer NAT sous la liste Serveurs.
10 Dans Admin Serveur, dans la liste Serveurs développée, sélectionnez Coupe-feu.
11 Créez des règles de coupe-feu pour autoriser l’accès à votre réseau privé.
Pour en savoir plus, consultez la rubrique « Création d’un groupe d’adresses » à la page 99.
12 Activez les deux services auxquels vous voulez qu’Internet accède (web et courrier
SMTP) à l’aide du groupe « Quelconque ».
Pour en savoir plus, consultez la rubrique « Configuration de réglages de services »
à la page 96.
13 Cliquez sur Enregistrer.
14 Pour démarrer le service de coupe-feu, cliquez sur le bouton Démarrer Coupe-feu
sous la liste Serveurs.
15 Contactez votre fournisseur DNS (généralement votre FAI) pour ajouter deux alias
à l’enregistrement DNS de votre serveur passerelle.
Demandez un enregistrement A du nom de www.exemple.com vers l’adresse IP 17.100.0.1.
Demandez un enregistrement MX du nom de mail.exemple.com vers la même adresse IP.
Ces enregistrements s’ajoutent aux enregistrements A et CNAME existants pour votre
domaine.
Tout le trafic web vers www.exemple.com est maintenant redirigé vers le serveur
interne à l’adresse 192.168.0.2 et le trafic de courrier entrant envoyé
à mail.exemple.com est remis au serveur interne à l’adresse 192.168.0.3.
Si vous voulez modifier les serveurs qui se trouvent derrière le NAT (par exemple, pour
procéder à une mise à niveau matérielle), il suffit de remplacer l’adresse IP statique
DHCP par les adresses Ethernet des nouveaux serveurs. Assignez simplement aux nouveaux serveurs les adresses IP internes existantes désignées pour le web et le courrier
et la passerelle redirigera le trafic vers les nouveaux serveurs sans interruption.
Chapitre 5 Utilisation du service NAT
133
Autres sources d’informations
Pour en savoir plus sur natd
Le processus démon qui contrôle le service NAT est natd. Pour obtenir des informations sur la manière d’accéder aux fonctionnalités de natd et les implémenter, consultez la page man de natd.
Documents RFC
Les documents RFC (Request for Comments) offrent des vues d’ensemble de protocoles
ou de services particuliers et présentent de manière détaillée le comportement normal
de chaque protocole.
Si vous êtes un administrateur de serveur débutant, certaines des informations générales qui figurent dans les documents RFC vous seront certainement utiles.
En revanche, si vous êtes un administrateur de serveur confirmé, vous trouverez tous
les détails techniques concernant un protocole particulier dans le document RFC
correspondant.
Vous pouvez rechercher les documents RFC par leur numéro à l’adresse
www.ietf.org/rfc.html.
Pour les descriptions de NAT, consultez :
 RFC 1631
 RFC 3022
134
Chapitre 5 Utilisation du service NAT
6
Utilisation du service VPN
6
Ce chapitre décrit comment configurer et gérer le service VPN
dans Mac OS X Server
En créant un réseau privé virtuel (en anglais « Virtual Private Network » ou « VPN »)
sur votre serveur, vous pouvez donner aux utilisateurs un moyen plus sûr de communiquer à distance avec des ordinateurs de votre réseau.
Le présent chapitre décrit la méthode d’authentification et les protocoles de transport
VPN et explique comment configurer, gérer et surveiller le service VPN. Il ne contient pas
d’informations sur la configuration de clients VPN pour l’utilisation de votre serveur VPN.
Un VPN est composé de deux ordinateurs ou réseaux (nœuds) ou plus connectés par
un lien privé de données chiffrées. Ce lien simule une connexion locale, comme si
l’ordinateur distant était attaché au réseau local.
Les VPN connectent de manière sécurisée les utilisateurs qui travaillent à distance (par
exemple, à la maison) au réseau local par une connexion semblable à une connexion
Internet. Du point de vue de l’utilisateur, la connexion VPN apparaît comme un lien
privé dédié.
La technologie VPN permet aussi de connecter par Internet une organisation à des filiales tout en maintenant des communications sécurisées. La connexion VPN par Internet
agit alors comme un lien de réseau étendu (WAN) entre les différents sites.
Les VPN offrent plusieurs avantages aux organisations dont les ressources informatiques sont réparties sur plusieurs sites. Par exemple, les utilisateurs ou nœuds à distance utilisent les ressources réseau de leur fournisseur d’accès à Internet (FAI) plutôt
qu’un lien câblé direct au site principal.
Les VPN permettent aux utilisateurs mobiles, dont l’identité à été vérifiée, d’accéder à
des ressources informatiques privées (à des serveurs de fichiers, etc.) à l’aide de n’importe
quelle connexion à Internet. Les VPN permettent aussi de relier plusieurs réseaux locaux
entre eux sur de grandes distances en utilisant l’infrastructure Internet existante.
135
VPN et la sécurité
Les VPN améliorent la sécurité en exigeant une authentification forte de l’identité et
le chiffrement du transport des données entre les différents nœuds à des fins de confidentialité et de dépendance des données. La section qui suit contient des informations
sur les différentes méthodes de transport et d’authentification prises en charge.
Protocoles de transport
Il existe deux protocoles de transport chiffré : le protocole Layer Two Tunneling Protocol, Secure Internet Protocol (L2TP/IPSec) et le protocole Point–to–Point Tunneling Protocol (PPTP). Vous pouvez activer l’un ou l’autre de ces protocoles, ou les deux. Chacun
a ses propres avantages et conditions requises.
L2TP/IPSec
L2TP/IPSec utilise le chiffrement IPSec fort pour faire transiter les données entre les
différents nœuds réseau par un tunnel. Il repose sur le protocole L2F de Cisco.
IPSec requiert des certificats de sécurité (auto-signés ou signés par une autorité de certificat comme Verisign) ou un secret partagé prédéfini entre les nœuds qui se connectent.
Le secret partagé doit être saisi sur le serveur et le client.
Le secret partagé n’est pas un mot de passe pour l’authentification et ne génère pas
de clés de chiffrement pour établir des tunnels sécurisés entre les nœuds. Il s’agit d’un
jeton que les systèmes de gestion de clés utilisent pour se faire mutuellement confiance.
L2TP est le protocole VPN préféré sous Mac OS X Server parce qu’il possède un chiffrement
de transport de qualité supérieure et parce qu’il peut être authentifié à l’aide de Kerberos.
PPTP
PPTP est un protocole VPN standard très utilisé sous Windows. PPTP offre un bon chiffrement (en cas d’utilisation de mots de passe forts) et prend en charge un certain
nombre de schémas d’authentification. Il utilise le mot de passe fourni par l’utilisateur
pour produire une clé de chiffrement.
Par défaut, PPTP prend en charge le chiffrement 128 bits (fort). PPTP prend également
en charge le chiffrement de sécurité 40 bits (faible).
PPTP est nécessaire si vous avez des clients Windows sous des versions de Windows
antérieures à XP ou si vous avez des clients Mac OS X 10.2.x ou antérieur.
136
Chapitre 6 Utilisation du service VPN
Méthode d’authentification
Le VPN L2TP de Mac OS X Server utilise Kerberos 5 ou le protocole Challenge Handshake Authentication Protocol version 2 (MS-CHAPv2) de Microsoft pour l’authentification. Le VPN L2TP de Mac OS X Server n’utilise que MS-CHAPv2 pour l’authentification.
Kerberos est un protocole d’authentification sécurisé qui utilise un serveur Kerberos
Key Distribution Server comme tierce partie de confiance pour authentifier un client
auprès d’un serveur.
La méthode d’authentification MS-CHAPv2 encode les mots de passe lorsqu’ils sont
envoyés sur le réseau et les stocke sur le serveur sous forme brouillée. Cette méthode
offre un bon niveau de sécurité lors des transmissions réseau. Il s’agit également du
schéma d’authentification standard de Windows pour les VPN.
Le VPN PPTP de Mac OS X Server peut également utiliser d’autres méthodes d’authentification. Chaque méthode a ses propres avantages et conditions requises. Ces autres
méthodes d’authentification pour PPTP ne sont pas disponibles dans Admin Serveur.
Si vous voulez utiliser un schéma d’authentification alternatif (par exemple, pour utiliser l’authentification SecurID de RSA Security), vous devez éditer le fichier de configuration VPN manuellement. Le fichier de configuration se trouve dans /Bibliothèque/
Preferences/SystemConfiguration/com.apple.RemoteAccessServers.plist
Pour en savoir plus, consultez la rubrique « Utilisation de l’authentification SecurID avec
un serveur VPN » à la page 149.
Utilisation du service VPN avec des utilisateurs se trouvant dans
un domaine LDAP de tierce partie
Pour utiliser le service VPN pour des utilisateurs se trouvant dans un domaine LDAP
de tierce partie (un domaine Active Directory ou Linux OpenLDAP), vous devez pouvoir utiliser l’authentification Kerberos. Si vous devez utiliser MSCHAPv2 pour authentifier des utilisateurs, vous ne pouvez pas proposer le service VPN aux utilisateurs qui se
trouvent dans un domaine LDAP de tierce partie.
Avant de configurer le service VPN
Avant de configurer le service VPN, déterminez quel protocole de transport vous allez
utiliser. Le tableau ci-dessous indique quels protocoles sont pris en charge par les différentes plateformes.
Si vous avez
Vous pouvez utiliser
L2TP/IPSec
Vous pouvez utiliser PPTP
des clients Mac OS X 10.5 et 10.4.x X
X
des clients Mac OS X 10.3.x
X
X
des clients Mac OS X 10.2.x
Chapitre 6 Utilisation du service VPN
X
137
Si vous avez
Vous pouvez utiliser
L2TP/IPSec
Vous pouvez utiliser PPTP
des clients Windows
X (si Windows XP)
X
des clients Linux ou Unix
X
X
Si vous utilisez L2TP, vous devez posséder un certificat de sécurité (émis par une autorité de certificat ou auto-signé) ou un secret partagé prédéfini entre les nœuds qui se
connectent. Si vous utilisez un secret partagé, ce dernier doit également être sécurisé
(compter au moins 8 caractères alphanumériques, y compris des signes de ponctuation
mais sans espaces ; de préférence 12 ou plus) et être gardé secret par les utilisateurs.
Si vous utilisez PPTP, assurez-vous que tous vos clients prennent en charge les connexions
PPTP 128 bits pour une sécurité de transport maximale. N’utiliser que la sécurité de transport 40 bits représente un risque sérieux pour la sécurité.
Configuration d’autres services réseau pour VPN
L’activation de VPN sous Mac OS X Server nécessite un contrôle détaillé de DHCP. DHCP
se configure séparément dans Admin Serveur. Les adresses IP assignées aux clients VPN
ne peuvent pas chevaucher les adresses assignées aux clients DHCP locaux. Pour en
savoir plus sur DHCP, consultez le chapitre 2, « Utilisation du service DHCP, » à la page 27.
Pour pouvoir activer VPN, il faut également configurer le service de coupe-feu. Les réglages de coupe-feu doivent permettre le passage du trafic réseau d’adresses IP externes
au travers du coupe-feu vers le réseau local. Les réglages de coupe-feu peuvent être aussi
ouverts ou fermés que vous le souhaitez.
Par exemple, si vos clients VPN utilisent une grande plage d’adresses IP (si vous avez
de nombreux utilisateurs qui se connectent par différents FAI), il se peut que vous
deviez ouvrir le groupe d’adresses de coupe-feu « Quelconque » aux connexions VPN.
Si vous voulez restreindre l’accès à une petite plage d’adresses IP, y compris à des
adresses statiques, vous pouvez créer un groupe d’adresses qui reflète la plus petite
plage et n’autoriser que le trafic VPN provenant de cette liste. Vous devez également
ouvrir les ports de coupe-feu associés au type de VPN que vous utilisez (L2TP ou PPTP).
De plus, un VPN utilisant L2TP doit autoriser le trafic des clients VPN sur le port UDP
4500 (IKE NAT Traversal) si vous utilisez une passerelle NAT.
Il se peut que votre configuration réseau nécessite également l’ouverture d’autres ports.
138
Chapitre 6 Utilisation du service VPN
Présentation générale de la configuration
Voici une vue d’ensemble des étapes requises pour configurer le service d’impression:
Étape 1 : Avant de commencer
Pour connaître les informations à garder à l’esprit lors de la configuration du service
VPN, lisez « Avant de configurer le service VPN » à la page 137 et « Configuration
d’autres services réseau pour VPN » à la page 138.
Étape 2 : Activez le service VPN
Pour pouvoir configurer le service VPN, vous devez d’abord l’activer. Consultez la rubrique « Activation du service VPN » à la page 139.
Étape 3 : Configurez des réglages VPN L2TP
Utilisez Admin Serveur pour activer L2TP sur IPSec, définir la plage d’allocation des
adresses IP et définir le secret partagé ou le certificat de sécurité. Consultez la rubrique
« Configuration des réglages L2TP » à la page 140.
Étape 4 : Configurez des réglages VPN PPTP
Utilisez Admin Serveur pour activer PPTP, pour spécifier la longueur des clés de chiffrement et pour spécifier la plage d’allocation des adresses IP. Consultez la rubrique
« Configuration des réglages PPTP » à la page 141.
Étape 5 : Configurez les réglages de journalisation VPN
Utilisez les réglages de journalisation pour activer la journalisation VPN détaillée.
Consultez la rubrique « Configuration des réglages de journalisation » à la page 143.
Étape 6 : Configurez des réglages d’informations sur les clients VPN
Utilisez Admin Serveur pour configurer des réglages réseau pour les clients VPN. Consultez la rubrique « Configuration de réglages d’informations sur les clients » à la page 142.
Activation du service VPN
Pour configurer le service VPN, vous devez d’abord activer le service VPN dans
Admin Serveur.
Pour activer le service VPN :
1 Ouvrez Admin Serveur et connectez-vous au serveur.
2 Cliquez sur Réglages, puis sur Services.
3 Cochez la case VPN.
4 Cliquez sur Enregistrer.
Chapitre 6 Utilisation du service VPN
139
Configuration du service VPN
Il y a deux groupes de réglages relatifs au service VPN dans Admin Serveur :
 Connexions. Affiche des informations sur les utilisateurs qui sont connectés à l’aide
de VPN.
 Réglages. Configure et gère les connexions du service VPN L2TP et PPTP.
Les sections suivantes décrivent comment définir ces réglages. La section finale explique comment démarrer le service VPN une fois que vous avez configuré VPN.
Configuration des réglages L2TP
Utilisez Admin Serveur pour désigner L2TP comme protocole de transport.
Si vous activez ce protocole, vous devez également configurer les réglages de connexion. Vous devez définir un secret partagé IPSec (si vous n’utilisez pas de certificat
de sécurité signé), la plage d’allocation d’adresses IP à donner à vos clients ainsi que
le groupe qui va utiliser le service VPN (si nécessaire).
Si vous utilisez L2TP et PPTP, chaque protocole doit posséder sa propre plage d’adresses et celle-ci ne doit pas chevaucher d’autres plages.
Lorsque vous configurez VPN, assurez-vous que le coupe-feu autorise le trafic VPN
sur les ports requis avec les réglages suivants :
 Pour le groupe d’adresses « Quelconque », activez GRE, ESP, VPN L2TP (port 1701)
et VPN ISAKMP/IKE (port 500).
 Pour le groupe d’adresses « 192.168-net », autorisez tout le trafic.
Pour en savoir plus, consultez la rubrique « Configuration de réglages de services »
à la page 96.
Pour configurer des réglages L2TP :
1 Ouvrez Admin Serveur et connectez-vous au serveur.
2 Cliquez sur le triangle situé à gauche du serveur.
La liste des serveurs apparaît.
3 Dans la liste Serveurs développée, sélectionnez VPN.
4 Cliquez sur Réglages, puis sur L2TP.
5 Cochez la case « Activer L2TP via IPsec ».
6 Dans le champ « Adresse IP de début », saisissez l’adresse IP de début de la plage
d’allocation VPN.
Elle ne peut pas chevaucher la plage d’allocation DHCP, donc saisissez 192.168.0.128.
7 Dans le champ « Adresse IP de fin », saisissez l’adresse IP de fin de la plage d’allocation VPN.
Elle ne peut pas chevaucher la plage d’allocation DHCP, donc saisissez 192.168.0.255.
140
Chapitre 6 Utilisation du service VPN
8 (Facultatif ) Vous pouvez répartir la charge VPN en cochant la case Activer la répartition
de la charge et en saisissant une adresse IP dans le champ Adresse IP de la grappe.
9 Sélectionnez un type d’authentification PPP.
Si vous optez pour Service de répertoire et que votre ordinateur est lié à un serveur
d’authentification Kerberos, dans le menu local Authentification, sélectionnez Kerberos. À défaut, sélectionnez MS-CHAPv2.
Si vous optez pour RADIUS, saisissez les informations suivantes :
Adresse IP primaire : saisissez l’adresse IP du serveur RADIUS principal.
Secret partagé : saisissez le secret partagé du serveur RADIUS principal.
Adresse IP secondaire : saisissez l’adresse IP du serveur RADIUS secondaire.
Secret partagé : saisissez le secret partagé du serveur RADIUS secondaire.
10 Saisissez le secret partagé ou sélectionnez le certificat à utiliser dans la section
Authentification IPSec.
Le secret partagé est un mot de passe commun qui authentifie les membres de
la grappe. IPSec utilise le secret partagé comme une clé prépartagée pour établir
des tunnels sécurisés entre les nœuds de la grappe.
11 Cliquez sur Enregistrer.
Configuration des réglages PPTP
Utilisez Admin Serveur pour désigner PPTP comme protocole de transport.
Si vous activez ce protocole, vous devez également configurer des réglages de connexion.
Vous devez définir la longueur de la clé de chiffrement (40 bits ou 128 bits), la plage d’allocation d’adresses IP à donner à vos clients et le groupe qui va utiliser le service VPN (si
nécessaire).
Si vous utilisez L2TP et PPTP, chaque protocole doit posséder sa propre plage d’adresses et celle-ci ne doit pas chevaucher d’autres plages.
Lorsque vous configurez VPN, assurez-vous que le coupe-feu autorise le trafic VPN
sur les ports requis avec les réglages suivants :
 Pour le groupe d’adresses « Quelconque », activez GRE, ESP, VPN L2TP (port 1701)
et IKE (port 500).
 Pour le groupe d’adresses « 192.168-net », autorisez tout le trafic.
Pour en savoir plus, consultez la rubrique « Configuration de réglages de services »
à la page 96.
Chapitre 6 Utilisation du service VPN
141
Pour configurer des réglages PPTP :
1 Ouvrez Admin Serveur et connectez-vous au serveur.
2 Cliquez sur le triangle situé à gauche du serveur.
La liste des serveurs apparaît.
3 Dans la liste Serveurs développée, sélectionnez VPN.
4 Cliquez sur Réglages, puis sur PPTP.
5 Cochez la case Activer PPTP.
6 Si nécessaire, cochez la case « Autoriser les clés de cryptage 40 bits, outre celles de
128 bits » pour autoriser à l’accès au VPN par clé chiffrée de 40 bits et de 128 bits.
AVERTISSEMENT : les clés de chiffrement 40 bits sont bien moins sûres mais peuvent
s’avérer nécessaires pour certaines applications de client VPN.
7 Dans le champ « Adresse IP de début », saisissez l’adresse IP de début de la plage
d’allocation VPN.
Elle ne peut pas chevaucher la plage d’allocation DHCP, donc saisissez 192.168.0.128.
8 Dans le champ « Adresse IP de fin », saisissez l’adresse IP de fin de la plage d’allocation VPN.
Elle ne peut pas chevaucher la plage d’allocation DHCP, donc saisissez 192.168.0.255.
9 Sélectionnez un type d’authentification PPP.
Si vous optez pour Service de répertoire et que votre ordinateur est lié à un serveur
d’authentification Kerberos, dans le menu local Authentification, sélectionnez Kerberos. À défaut, sélectionnez MS-CHAPv2.
Si vous optez pour RADIUS, saisissez les informations suivantes :
Adresse IP primaire : saisissez l’adresse IP du serveur RADIUS principal.
Secret partagé : saisissez le secret partagé du serveur RADIUS principal.
Adresse IP secondaire : saisissez l’adresse IP du serveur RADIUS secondaire.
Secret partagé : saisissez le secret partagé du serveur RADIUS secondaire.
10 Cliquez sur Enregistrer.
Configuration de réglages d’informations sur les clients
Lorsqu’un utilisateur se connecte à votre serveur par un VPN, cet utilisateur reçoit une
adresse IP dans la plage allouée. Cette plage n’est pas servie par un serveur DHCP, vous
devez donc configurer le masque de réseau, l’adresse DNS et des domaines de recherche.
Pour configurer des réglages d’informations sur les clients :
1 Ouvrez Admin Serveur et connectez-vous au serveur.
2 Cliquez sur le triangle situé à gauche du serveur.
142
Chapitre 6 Utilisation du service VPN
La liste des serveurs apparaît.
3 Dans la liste Serveurs développée, sélectionnez VPN.
4 Cliquez sur Réglages, puis sur Informations sur les clients.
5 Saisissez l’adresse IP du serveur DNS.
Ajoutez l’adresse IP interne de l’ordinateur passerelle (généralement 192.168.x.1).
6 Saisissez les domaines de recherche souhaités.
7 Cliquez sur Enregistrer.
Configuration des réglages de journalisation
Vous avez le choix entre deux niveaux de détail pour les historiques du service VPN.
 Historiques non détaillés : décrivent les conditions pour lesquelles vous devez prendre une mesure immédiate (par exemple, si le service VPN ne peut pas démarrer).
 Historiques détaillés : enregistrent toutes les activités du service VPN, y compris
les fonctions de routine.
Par défaut, ce sont les historiques non détaillés qui sont activés.
Pour régler le niveau de détail de la journalisation sur Historiques détaillés :
1 Ouvrez Admin Serveur et connectez-vous au serveur.
2 Cliquez sur le triangle situé à gauche du serveur.
La liste des serveurs apparaît.
3 Dans la liste Serveurs développée, sélectionnez VPN.
4 Cliquez sur Réglages, puis sur Journalisation.
5 Cochez la case Historiques détaillés pour activer la journalisation détaillée.
6 Cliquez sur Enregistrer.
Démarrage du service VPN
Utilisez Admin Serveur pour démarrer le service VPN.
Pour démarrer le service VPN :
1 Ouvrez Admin Serveur et connectez-vous au serveur.
2 Cliquez sur le triangle situé à gauche du serveur.
La liste des serveurs apparaît.
3 Dans la liste Serveurs développée, sélectionnez VPN.
4 Cliquez sur le bouton Démarrer VPN sous la liste Serveurs.
Cliquez sur Réglages, puis sur L2TP ou PPTP et vérifiez que la case « Activer L2TP
via IPsec » ou « Activer PPTP » est cochée.
Chapitre 6 Utilisation du service VPN
143
Gestion du service VPN
La présente section décrit les tâches associées à la gestion du service VPN. Ces dernières couvrent le démarrage, l’arrêt et la configuration du service.
Arrêt du service VPN
Utilisez Admin Serveur pour arrêter le service VPN.
Pour arrêter le service VPN :
1 Ouvrez Admin Serveur et connectez-vous au serveur.
2 Cliquez sur le triangle situé à gauche du serveur.
La liste des serveurs apparaît.
3 Dans la liste Serveurs développée, sélectionnez VPN.
4 Cliquez sur le bouton Arrêter VPN sous la liste Serveurs.
Configuration de définitions de routage de réseau VPN
En utilisant des définitions de routage de réseau, vous pouvez choisir de router les
données provenant des clients VPN vers un groupe d’adresses au travers du tunnel
VPN (qui est privé) ou par la connexion du FAI de l’utilisateur du VPN (qui est publique).
Par exemple, vous pouvez router tout le trafic des clients VPN adressé à la plage d’adresses IP du réseau local par le tunnel sécurisé vers le réseau, mais router le trafic adressé à
toutes les autres adresses par la connexion Internet normale non sécurisée de l’utilisateur.
Cela vous permet de mieux contrôler ce qui transite par le tunnel VPN.
Remarques importantes sur les définitions de routage VPN
 Si vous n’ajoutez aucune définition de routage, le trafic est routé par la connexion
VPN par défaut.
 Si vous ajoutez des définitions de routage, la connexion VPN n’est plus définie comme
la route par défaut et le trafic destiné aux adresses qui ne sont pas spécifiquement
déclarées comme une route privée ne transiteront pas par la connexion VPN.
 Les recherches DNS transitent par la connexion VPN, quelles que soient les routes
définies.
 L’ordre des définitions n’a pas d’importance. Les définitions appliquent uniquement
la description qui correspond le mieux au paquet routé.
Exemple
Imaginons que les adresses IP de votre réseau local soient des adresses en 17.x.x.x.
Si vous n’ajoutez pas de définitions de routage, le trafic réseau de chaque client VPN
(comme les demandes d’URL des navigateurs web, les tâches d’impression des files
d’attente des imprimantes LPR et la navigation sur les serveurs de fichiers) est routé
de l’ordinateur client par le tunnel VPN vers le réseau 17.x.x.x.
144
Chapitre 6 Utilisation du service VPN
Vous décidez de ne plus gérer le trafic vers des sites web ou des serveurs de fichiers qui ne
sont pas situés sur votre réseau. Vous pouvez spécifier quel trafic doit être adressé au réseau
17.x.x.x et quel trafic doit transiter par la connexion Internet normale de l’ordinateur client.
Pour limiter le trafic que le tunnel VPN gère, saisissez une définition de routage désignant le trafic adressé au réseau 17.x.x.x comme étant privé, ce qui l’envoie au travers
du tunnel VPN. Dans la table de définitions de routage, vous devez saisir 17.0.0.0
255.0.0.0 Private.
Tout le trafic vers le réseau local est maintenant envoyé par la connexion VPN et, par défaut,
le trafic adressé à toutes les autres adresses qui ne figurent pas dans la table des définitions
de routage est envoyé par la connexion Internet non chiffrée de l’ordinateur client.
Vous décidez ensuite que certaines adresses IP de la plage 17.x.x.x ne doivent pas être
accessibles par la connexion VPN. Vous voulez que ce trafic transite par la connexion
Internet de l’ordinateur client plutôt que par le tunnel VPN. Il se peut que les adresses
soient devant le coupe-feu et pas accessibles à partir du réseau 17.x.x.x.
Par exemple, si vous voulez utiliser les adresses de la plage 17.100.100.x, vous devez
ajouter un nouvelle définition de routage comme suit : 17.100.100.0 255.255.255.0 Public.
Comme la définition d’adresse est plus spécifique que 17.x.x.x, cette règle l’emporte
sur la règle générale plus large et le trafic adressé à n’importe quelle adresse de
la plage 17.100.100.x est envoyé par la connexion Internet de l’ordinateur client.
En bref, si vous ajoutez des routes, toutes les routes que vous désignez comme privées
passent par la connexion VPN, alors que celles que vous déclarez publiques ne passent
pas par la connexion VPN. Toutes les autres routes non spécifiées ne passent pas non
plus par la connexion VPN.
Pour définir des définitions de routage :
1 Ouvrez Admin Serveur et connectez-vous au serveur.
2 Cliquez sur le triangle situé à gauche du serveur.
La liste des serveurs apparaît.
3 Dans la liste Serveurs développée, sélectionnez VPN.
4 Cliquez sur Réglages, puis sur Informations sur les clients.
5 Cliquez sur le bouton Ajouter (+).
6 Saisissez une plage d’adresses de destination pour les paquets à router en spécifiant :
Une adresse de base (par exemple, 192.168.0.0).
Un masque de réseau (par exemple, 255.255.0.0).
7 Dans le menu local Type, sélectionnez la destination du routage.
Privé route le trafic client au travers du tunnel VPN.
Chapitre 6 Utilisation du service VPN
145
Publique utilise l’interface normale sans tunnel.
8 Cliquez sur OK.
9 Cliquez sur Enregistrer.
Limitation de l’accès VPN à des utilisateurs ou groupes spécifiques
Par défaut, tous les utilisateurs du serveur ou du répertoire maître ont accès au VPN
lorsqu’il est activé. Vous pouvez limiter l’accès au VPN à des utilisateurs spécifiques
pour des raisons de sécurité ou pour simplifier l’administration. Vous pouvez limiter
l’accès au VPN en utilisant la fonctionnalité des listes de contrôle d’accès (en anglais
« Access Control Lists » ou « ACL ») de Mac OS X Server.
Les listes de contrôle d’accès, ou listes ACL, permettent de donner l’accès à des services à des utilisateurs ou groupes sur une base individuelle. Vous pouvez, par exemple,
utiliser une liste ACL pour autoriser un utilisateur à accéder à un serveur de fichiers ou
à un shell d’ouverture de session spécifique tout en refusant l’accès à tous les autres
utilisateurs du serveur.
Pour limiter l’accès au VPN à l’aide de listes ACL :
1 Ouvrez Admin Serveur et connectez-vous au serveur.
2 Cliquez sur Réglages, puis sur Accès.
3 Cliquez sur Services.
4 Cochez la case « Pour les services sélectionnés ».
5 Dans la liste d’accès aux services, sélectionnez VPN.
6 Sélectionnez « Autoriser les utilisateurs et groupes ci-dessous ».
7 Pour afficher le tiroir des utilisateurs ou des groupes, cliquez sur le bouton Ajouter (+).
8 Faites glisser des utilisateurs ou des groupes dans la liste d’accès.
9 Cliquez sur Enregistrer.
Limitation de l’accès au VPN à des adresses IP entrantes spécifiques
Par défaut, le service de coupe-feu bloque les connexions VPN entrantes, mais vous
pouvez donner un accès au VPN limité à certaines adresses IP pour des raisons de sécurité ou pour simplifier l’administration.
Vous pouvez limiter l’accès au VPN en utilisant le service de coupe-feu de Mac OS X
Server. Lors de la configuration du coupe-feu pour L2TP et PPTP, vous devez configurer
GRE, ESP et IKE de manière à autoriser l’accès au VPN au travers du coupe-feu.
Pour limiter l’accès au VPN en fonction de l’adresse IP :
1 Ouvrez Admin Serveur et connectez-vous au serveur.
2 Cliquez sur le triangle situé à gauche du serveur.
La liste des services apparaît.
146
Chapitre 6 Utilisation du service VPN
3 Dans la liste Serveurs développée, sélectionnez Coupe-feu.
4 Cliquez sur Réglages.
5 Sélectionnez Avancé, puis cliquez sur le bouton Ajouter (+).
6 Dans le menu local Action, choisissez Autoriser.
7 Dans le menu local Protocole, choisissez une option.
Si vous utilisez L2TP pour l’accès au VPN, choisissez UDP.
Si vous utilisez PPTP pour l’accès au VPN, choisissez TCP.
8 Dans le menu local Service, choisissez VPN L2TP ou VPN PPTP.
Le port de destination correspondant est ajouté au champ Port.
9 (Facultatif ) Cochez la case « Journaliser tous les paquets correspondant à cette règle ».
10 Dans le menu local Adresse de la section Source, choisissez Autre et saisissez la plage
d’adresses IP source (en notation CIDR) à laquelle vous voulez donner l’accès au VPN.
Vous pouvez également spécifier un port dans le champ Port de la section Source.
Les ordinateurs qui possèdent une adresse IP dans la plage d’adresses IP que vous avez
spécifiée dans le champ pour l’adresse IP source qui communiquent sur le port source
que vous avez spécifié peuvent se connecter au service VPN.
11 Dans le menu local Adresse de destination, choisissez le groupe d’adresses qui contient
le serveur VPN (comme destination du trafic filtré).
Si vous ne voulez pas utiliser un groupe d’adresses, saisissez la plage d’adresses IP
de destination (en notation CIDR).
12 Dans le menu local Interface à laquelle cette règle s’applique, choisissez Entrée.
Entrée fait référence aux paquets qui arrivent au serveur.
13 Cliquez sur OK.
14 Cliquez sur le bouton Ajouter (+).
15 Dans le menu local Action, choisissez Autoriser.
16 Dans le menu local Protocole, choisissez un protocole ou Autre.
Si vous ajoutez GRE ou ESP, choisissez Autre et saisissez « Quelconque » dans le champ.
Si vous ajoutez VPN ISAKMP/IKE, choisissez UDP.
17 Dans le menu local Service, choisissez un service.
Si vous ajoutez GRE, choisissez « GRE - protocole Generic Routing Encapsulation ».
Si vous ajoutez ESP, choisissez « ESP - protocole Encapsulating Security Payload ».
Si vous ajoutez VPN ISAKMP/IKE, choisissez « VPN ISAKMP/IKE. » Le port de destination
500 est ajouté au champ Port.
18 Dans le menu local Adresse de la section Source, choisissez « Quelconque ».
Chapitre 6 Utilisation du service VPN
147
19 Dans le champ Port de la section Source, saisissez « Quelconque ».
20 Dans le menu local Adresse de la section Destination, choisissez « Quelconque ».
21 Dans le champ Port de la section Destination, saisissez un numéro de port.
Si vous ajoutez VPN ISAKMP/IKE, saisissez 500 si ce port n’est pas affiché.
22 Dans le menu local Interface, choisissez « Autre » et saisissez « Quelconque » dans
le champ Autre de la section Interface.
23 Cliquez sur OK.
24 Répétez les étapes 14 à 23 pour GRE, ESP et VPN ISAKMP/IKE.
25 Cliquez sur Enregistrer pour appliquer le filtre immédiatement.
Instructions de configuration supplémentaires
La section qui suit décrit des procédures de scénarios facultatifs. Elles requièrent l’intégration à un service de répertoire existant ou à des services d’authentification de tierce partie.
Activation de l’accès VPN PPTP pour les utilisateurs d’un domaine LDAP
Dans Mac OS X 10.5, vous pouvez utiliser un outil de ligne de commande pour activer
les connexions VPN PPTP pour les utilisateurs d’un domaine LDAP.
Cela résout une situation dans laquelle les utilisateurs peuvent établir, à l’aide de PPTP,
une connexion VPN à un serveur Mac OS X Server qui, une fois établie, n’est pas utilisée par le trafic réseau. Cette situation affecte Mac OS X Server 10.3, 10.4 et 10.5.
Pour activer l’accès VPN PPTP pour les utilisateurs d’un domaine LDAP
1 Exécutez l’outil /usr/sbin/vpnaddkeyagentuser en tant que root avec le nœud LDAP
(le répertoire dans lequel les utilisateurs se trouvent) comme argument.
Par exemple, si le serveur sur lequel tourne le service VPN est le maître LDAP, saisissez
la commande suivante dans Terminal :
$ sudo /usr/sbin/vpnaddkeyagentuser /LDAPv3/127.0.0.1
Si le serveur sur lequel tourne le service VPN n’est pas un maître LDAP et que le répertoire LDAP se trouve sur un autre ordinateur, utilisez l’adresse IP du serveur LDAP dans
la commande.
Par exemple, si l’adresse du serveur LDAP est 17.221.67.87, saisissez la commande suivante dans Terminal :
$ sudo /usr/sbin/vpnaddkeyagentuser /LDAPv3/17.221.67.87
2 Lorsque le système vous y invite, saisissez le nom d’utilisateur et le mot de passe.
Si le serveur VPN est le maître LDAP, saisissez le nom et le mot de passe de l’administrateur du serveur.
148
Chapitre 6 Utilisation du service VPN
Si le répertoire LDAP se trouve sur un autre serveur, saisissez le nom et le mot de passe
de l’administrateur du serveur qui héberge le répertoire LDAP (ou le nom et le mot de
passe de l’administrateur utilisé pour ajouter des utilisateurs au répertoire LDAP dans
Gestionnaire de groupe de travail).
L’outil ajoute un utilisateur au répertoire LDAP et configure des éléments de configuration dans le serveur VPN afin qu’il puisse prendre en charge PPTP.
3 Dans la sous-fenêtre Réglages du service VPN d’Admin Serveur, configurez PPTP.
4 Démarrez le service VPN.
Utilisation de l’authentification SecurID avec un serveur VPN
RSA Security fournit une authentification forte. Il utilise des jetons matériels et logiciels
pour vérifier l’identité des utilisateurs. L’authentification SecurID est disponible pour les
transports L2TP et PPTP. Pour connaître les détails et les offres des différents produits,
visitez www.rsasecurity.com.
Le service VPN prend en charge l’authentification SecurID mais celle-ci ne peut pas être
configurée dans Admin Serveur. Si vous optez pour cet outil d’authentification, vous
devez modifier la configuration VPN manuellement.
Configurez SecurID :
1 À partir de votre serveur SecurID, copiez le fichier sdconf.rec dans un nouveau dossier
de votre serveur Mac OS X Server nommé /var/ace.
Il existe plusieurs façons de le faire. En voici une :
a
b
c
d
e
f
g
h
i
Ouvrez Terminal (/Applications/Utilitaires/).
Saisissez sudo mkdir /var/ace.
Saisissez votre mot de passe d’administrateur.
Dans le Dock, cliquez sur Finder.
Dans le menu Aller, choisissez Aller > Aller au dossier.
Saisissez : /var/ace.
Cliquez sur Aller.
À partir de votre serveur SecurID, copiez le fichier sdconf.rec dans le dossier « ace ».
Si une zone de dialogue annonce que le dossier « ace » ne peut pas être modifié,
cliquez sur Authentification pour autoriser la copie.
2 Activez l’authentification SecurID EAP sur votre service VPN pour les protocoles avec
lesquelles vous voulez l’utiliser.
Pour l’utiliser avec PPTP, saisissez les deux commandes suivantes dans Terminal (sur deux
lignes séparées) :
# sudo serveradmin settings vpn:Servers:com.apple.ppp.pptp:PPP:AuthenticatorEAPPlugins:_array_index: 0 = "EAP-RSA"
Chapitre 6 Utilisation du service VPN
149
# sudo serveradmin settings vpn:Servers:com.apple.ppp.pptp:PPP:AuthenticatorProtocol:_array_index:0 = "EAP"
Pour l’utiliser avec L2TP, saisissez les deux commandes suivantes dans Terminal (sur
deux lignes séparées) :
# sudo serveradmin settings vpn:Servers:com.apple.ppp.l2tp:PPP:AuthenticatorEAPPlugins:_array_index: 0 = "EAP-RSA"
# sudo serveradmin settings vpn:Servers:com.apple.ppp.l2tp:PPP:AuthenticatorProtocol:_array_index:0 = "EAP"
3 Complétez les tâches de configuration du service VPN restantes à l’aide d’Admin Serveur.
Surveillance du service VPN
La présente section décrit les tâches associées à la surveillance d’un service VPN actif.
Cela couvre l’accès aux rapports d’état d’accès, la définition d’options de journalisation, l’affichage d’historiques et la surveillance de connexions.
Affichage de la vue d’ensemble de l’état de VPN
La vue d’ensemble de VPN vous permet d’accéder rapidement à un rapport sur l’état
des service VPN activés. Ce rapport indique le nombre de clients L2TP et PPTP connectés, la méthode d’authentification sélectionnée et quand le service a démarré.
Pour afficher la vue d’ensemble :
1 Ouvrez Admin Serveur et connectez-vous au serveur.
2 Cliquez sur le triangle situé à gauche du serveur.
La liste des serveurs apparaît.
3 Dans la liste Serveurs développée, sélectionnez VPN.
4 Cliquez sur Vue d’ensemble.
Modification du niveau de détail des historiques du service VPN
Vous avez le choix entre deux niveaux de détail pour les historiques du service VPN.
 Non détaillé : ces historiques ne décrivent que les conditions pour lesquelles vous devez
prendre une mesure immédiate (par exemple, si le service VPN ne peut pas démarrer).
 Détaillé : ces historiques enregistrent toutes les activités du service VPN, y compris
les fonctions de routine.
Par défaut, ce sont les historiques non détaillés qui sont activés.
Pour changer le niveau de détail des historiques VPN en Détaillé :
1 Ouvrez Admin Serveur et connectez-vous au serveur.
2 Cliquez sur le triangle situé à gauche du serveur.
La liste des serveurs apparaît.
3 Dans la liste Serveurs développée, sélectionnez VPN.
150
Chapitre 6 Utilisation du service VPN
4 Cliquez sur Réglages, puis sur Journalisation.
5 Cochez la case Historiques détaillés pour activer la journalisation détaillée.
6 Cliquez sur Enregistrer.
Affichage de l’historique VPN
Surveiller les historiques VPN vous aide à vous assurer que votre VPN fonctionne correctement. Les historiques VPN peuvent vous aider à résoudre des problèmes. La vue de
l’historique montre le contenu du fichier /var/log/ppp/vpnd.log. Vous pouvez filtrer
les enregistrements de l’historique à l’aide du champ de filtrage de texte de la sousfenêtre Historique de VPN.
Pour afficher l’historique :
1 Ouvrez Admin Serveur et connectez-vous au serveur.
2 Cliquez sur le triangle situé à gauche du serveur.
La liste des serveurs apparaît.
3 Dans la liste Serveurs développée, sélectionnez VPN.
4 Cliquez sur Historique.
Affichage des connexions des clients VPN
Vous pouvez surveiller les connexions des clients VPN pour maintenir un accès sécurisé
au VPN. En affichant l’écran des connexions client, vous pouvez voir :
 Les utilisateurs connectés
 L’adresse IP à partir de laquelle les utilisateurs sont connectés
 L’adresse IP que votre réseau a assigné aux utilisateurs
 Le type et la durée des connexions
Vous pouvez trier la liste en cliquant sur les en-têtes de colonne.
Pour afficher les connexions client :
1 Ouvrez Admin Serveur et connectez-vous au serveur.
2 Cliquez sur le triangle situé à gauche du serveur.
La liste des serveurs apparaît.
3 Dans la liste Serveurs développée, sélectionnez VPN.
4 Cliquez sur Connexions.
Chapitre 6 Utilisation du service VPN
151
Tâches d’administration de réseau courantes qui utilisent
le service VPN
Les sections qui suivent décrivent des tâches d’administration de réseau courantes
qui utilisent le service VPN.
Liaison d’un ordinateur de la maison à un réseau distant
Vous pouvez utiliser VPN pour lier un ordinateur à un réseau distant en donnant accès au
réseau distant comme si l’ordinateur était connecté physiquement au réseau local. Voici
un exemple de configuration dans laquelle un ordinateur est lié à un réseau distant :
 Authentification des utilisateurs : l’utilisateur peut s’authentifier à l’aide d’un nom
et d’un mot de passe.
 Type de VPN souhaité : L2TP
 Secret partagé : prDwkj49fd!254
 Adresse IP Internet ou publique de la passerelle VPN : passerelle.exemple.com
 Plage d’adresses IP et masque de réseau du réseau privé : 192.168.0.0–192.168.0.255
(également exprimée sous la forme 192.168.0.0/24 ou 192.168.0.0:255.255.255.0)
 Adresses de début et de fin DHCP : 192.168.0.3–192.168.0.127
 Adresse IP DNS du réseau privé : 192.168.0.2
Le résultat de cette configuration est un client VPN qui peut se connecter à un réseau
local distant à l’aide de L2TP avec des droits d’accès complets.
Étape 1 : Configurez VPN
1 Ouvrez Admin Serveur et connectez-vous au serveur.
2 Cliquez sur le triangle situé à gauche du serveur.
La liste des serveurs apparaît.
3 Dans la liste Serveurs développée, sélectionnez VPN.
4 Cliquez sur Réglages, puis sur L2TP.
5 Activez L2TP via IPsec.
6 Dans le champ « Adresse IP de début », saisissez l’adresse IP de début de la plage
d’allocation VPN.
Elle ne peut pas chevaucher la plage d’allocation DHCP, donc saisissez 192.168.0.128.
7 Dans le champ « Adresse IP de fin », saisissez l’adresse IP de fin de la plage d’allocation VPN.
Elle ne peut pas chevaucher la plage d’allocation DHCP, donc saisissez 192.168.0.255.
8 Dans la section Authentification IPSec, saisissez le secret partagé (prDwkj49fd!254).
Le secret partagé est un mot de passe commun qui authentifie les membres de
la grappe. IPSec utilise le secret partagé comme une clé prépartagée pour établir
des tunnels sécurisés entre les nœuds de la grappe.
152
Chapitre 6 Utilisation du service VPN
9 Cliquez sur Enregistrer.
10 Cliquez sur Informations sur les clients.
11 Saisissez l’adresse IP du serveur DNS du réseau local interne (192.168.0.2).
12 Laissez les définitions de routage vides.
Tout le trafic provenant du client va transiter par le tunnel VPN.
13 Cliquez sur Enregistrer.
14 Cliquez sur Démarrer VPN sous la liste Serveurs.
Étape 2 : Configurez le coupe-feu
1 Créez un groupe d’adresses pour la plage d’allocation VPN.
Pour en savoir plus, consultez la rubrique « Création d’un groupe d’adresses » à la page 99.
2 Ouvrez le coupe-feu aux connexions VPN externes en activant les connexions L2TP
dans le groupe d’adresses « Quelconque ».
Pour en savoir plus, consultez la rubrique « Configuration de réglages de services »
à la page 96.
3 Configurez le coupe-feu pour le groupe d’adresses VPN en autorisant ou refusant
des ports et des services comme vous le souhaitez.
4 Enregistrez vos modifications.
5 Démarrez ou redémarrez le coupe-feu.
Étape 3 : Configurez le client
L’exemple qui suit illustre un client Mac OS X utilisant les préférences Réseau.
1 Ouvrez Préférences Système, puis cliquez sur Réseau.
2 Cliquez sur le bouton Ajouter (+) dans le bas de la liste des services des connexions
réseau, puis choisissez VPN dans le menu local Interface.
3 Dans le menu local Type de VPN, choisissez « L2TP via IPSec ».
4 Saisissez le nom d’un service VPN dans le champ Nom du service, puis cliquez sur Créer.
5 Saisissez le nom DNS ou l’adresse IP dans le champ Adresse du serveur.
Adresse du serveur : passerelle.exemple.com
Nom du compte : <le nom abrégé de l’utilisateur>
6 Cliquez sur Réglages d’authentification et saisissez les informations de configuration
suivantes :
Authentification des utilisateurs : utilisez Mot de passe <le mot de passe de l’utilisateur>
Authentication des machines : utilisez Secret partagé <prDwkj49fd!254>
7 Cliquez sur OK.
L’utilisateur peut maintenant se connecter.
Chapitre 6 Utilisation du service VPN
153
Accès à une ressource informatique unique se trouvant derrière
le coupe-feu d’un réseau distant
Il faut distinguer l’accès à une ressource informatique se trouvant derrière un coupe-feu
de l’autorisation d’un ordinateur client à devenir un nœud sur le réseau distant.
Dans l’exemple précédent, l’ordinateur de l’utilisateur VPN devient un participant
à part entière du réseau local distant. Dans le présent scénario, la ressource à laquelle
l’on souhaite accéder est un serveur de fichiers unique, l’ordinateur de l’utilisateur VPN
n’ayant pas d’autre contact avec le réseau local distant.
Ce scénario assume des informations qui figurent à la section « Liaison d’un ordinateur
de la maison à un réseau distant » à la page 152 et nécessite en outre celles-ci :
 Adresse IP du serveur de fichiers : 192.168.0.15
 Type du serveur de fichiers : partage de fichiers Apple
Dans ce scénario, la procédure est similaire à celle utilisée dans la section « Liaison d’un
ordinateur de la maison à un réseau distant » à la page 152, avec les exceptions suivantes :
 À l’étape 1, point 12, ne laissez pas les définitions de routage vides.
 Créez une route privée avec le numéro IP du serveur de fichiers (192.168.0.15 /
255.255.255.255).
 À l’étape 2, point 3, configurez le coupe-feu de manière à ce qu’il n’accepte que
les connexions sous le protocole Partage de fichiers Apple et le DNS provenant
du groupe d’adresses VPN.
Les utilisateurs VPN qui ont ouvert une session au travers de la passerelle VPN peuvent
accéder au serveur de fichiers tandis qu’aucun autre trafic réseau ne peut transiter par
la passerelle chiffrée.
Liaison de deux sites de réseau distant ou plus
Vous pouvez utiliser un VPN pour relier un ordinateur à un réseau principal ou pour
relier plusieurs réseaux entre eux.
Lorsque deux réseaux sont reliés par VPN, ils peuvent communiquer comme s’ils étaient
connectés physiquement. Chacun des sites doit disposer de sa propre connexion à Internet mais les données privées sont transmises d’un site à l’autre sous une forme chiffrée.
Ce type de lien est utile pour connecter des bureaux décentralisés au réseau local
du site principal d’une organisation.
154
Chapitre 6 Utilisation du service VPN
À propos de l’outil d’administration VPN de site à site
Relier plusieurs réseaux locaux distants à un réseau local principal nécessite l’utilisation
d’un utilitaire de ligne de commande sous Mac OS X Server nommé s2svpnadmin
(« site-to-site VPN admin » en anglais).
L’utilisation de s2svpnadmin nécessite l’utilisation de (et une certaine familiarité avec)
Terminal, tandis que l’administrateur doit avoir accès à des privilèges de root par sudo.
Pour en savoir plus sur s2svpnadmin, consultez la page man de s2svpnadmin.
Relier plusieurs réseaux locaux distants à un réseau local principal peut nécessiter la création d’un certificat de sécurité. L’outil s2svpnadmin peut créer des liens à l’aide de l’authentification par secret partagé (les deux sites ont un mot de passe dans leurs fichiers de
configuration) ou à l’aide de l’authentification par certificat. Pour utiliser l’authentification
par certificat, vous devez créer le certificat avant d’exécuter s2svpnadmin.
Les connexions VPN de site à site ne peuvent être établies qu’à l’aide de connexions
VPN L2TP/IPSec. Vous ne pouvez pas lier deux sites à l’aide de PPTP avec ces instructions.
Le présent exemple utilise les réglages suivants :
 Type de VPN souhaité : L2TP
 Authentification : à l’aide d’un secret partagé
 Secret partagé : prDwkj49fd!254
 Adresse IP Internet ou publique de la passerelle réseau principale du VPN
(« Site ) : A.B.C.D
 Adresse IP Internet ou publique de la passerelle réseau distante du VPN
(« Site 2 ») : W.X.Y.Z
 Adresse IP privée du site 1 : 192.168.0.1
 Adresse IP privée du site 2 : 192.168.20.1
 Plage d’adresses IP du réseau privé et masque de réseau du site 1 : 192.168.0.0–
192.168.0.255 (également exprimée sous la forme 192.168.0.0/16 ou 192.168.0.0:255.255.0.0)
 Plage d’adresses IP du réseau privé et masque de réseau du site 2 : 192.168.20.0–
192.168.20.255 (également exprimée sous la forme 192.168.20.0/24 ou
192.168.0.0:255.255.0.0)
 Adresse IP du DNS de l’organisation : 192.168.0.2
Le résultat de cette configuration est un réseau local distant auxiliaire connecté
à un réseau local principal par L2TP.
Étape 1 : Exécutez s2svpnadmin sur les passerelles des deux sites
1 Ouvrez Terminal et démarrez s2svpnadmin en saisissant :
$ sudo s2svpnadmin
2 Saisissez le nombre adéquat pour « Configurer un nouveau serveur de site à site ».
3 Saisissez le nom de la configuration (les espaces ne sont pas autorisés).
Chapitre 6 Utilisation du service VPN
155
Dans notre exemple, vous pouvez saisir « site_1 » sur la passerelle du site 1, etc.
4 Saisissez l’adresse IP publique de la passerelle.
Dans notre exemple, saisissez A.B.C.D sur la passerelle du site 1 et W.X.Y.Z sur la passerelle du site 2.
5 Saisissez l’adresse IP publique de l’autre site.
Dans notre exemple, saisissez W.X.Y.Z sur la passerelle du site 2 et A.B.C.D sur la passerelle du site 1.
6 Saisissez « s » pour l’authentification par secret partagé, puis saisissez le secret partagé :
(« prDwkj49fd!254 »).
Si vous utilisez l’authentification par certificat, saisissez « c » puis sélectionnez le certificat installé que vous voulez utiliser.
7 Saisissez au moins une politique d’adressage pour la configuration.
8 Saisissez l’adresse réseau du sous-réseau local (par exemple, 192.168.0.0 pour le site 1,
192.168.20.0 pour le site 2).
9 Pour la plage d’adresses, saisissez les bits de préfixe en notation CIDR.
Dans notre exemple, la notation CIDR de la plage de sous-réseau est 192.168.2.0/24
pour le site 1, vous devriez donc saisir 24.
10 Saisissez l’adresse réseau du sous-réseau distant (par exemple, 192.168.20.0 pour le site 1,
192.168.0.0 pour le site 2).
11 Pour la plage d’adresses, saisissez les bits de préfixe en notation CIDR.
Dans notre exemple, la notation CIDR de la plage de sous-réseau est 192.168.2.0/24
pour le site 1, vous devriez donc saisir 24.
12 Si vous voulez définir d’autres politiques, faites-le maintenant. À défaut, appuyez sur Retour.
Si vous deviez connecter un plus grand nombre de sites ou que vous aviez une configuration d’adresses plus complexe (ne liant que certaines parties de votre réseau local principal au réseau local distant), vous devriez créer d’autres politiques pour cette configuration
maintenant.
Répétez les étapes relatives à la politique 7 à 12 pour les nouvelles politiques.
13 Appuyez sur « y » pour activer la configuration de site.
Vous pouvez vérifier vos réglages en affichant les détails de la configuration du serveur
et en saisissant le nom de la configuration (dans notre exemple, « site_1 »).
14 Quittez s2svpnadmin.
156
Chapitre 6 Utilisation du service VPN
Étape 2 : Configurez le coupe-feu sur les passerelles des deux sites
1 Créez un groupe d’adresses ne contenant que l’adresse IP publique du serveur pour
chaque serveur.
Dans notre exemple, nommez le premier groupe Site 1 et saisissez l’adresse IP publique du serveur. Nommez ensuite le second groupe Site 2 et saisissez l’adresse IP publique de l’autre serveur.
Pour en savoir plus, consultez la rubrique « Création d’un groupe d’adresses » à la page 99.
2 Ouvrez le coupe-feu aux connexions VPN externes en activant les connexions L2TP
(port 1701) et IKE NAT Traversal (port 4500) dans le groupe d’adresses « Quelconque ».
Pour en savoir plus, consultez la rubrique « Configuration de réglages de services »
à la page 96.
3 Créez les règles de filtrage IP avancées suivantes sur la passerelle des deux sites :
Règle de filtrage 1
Réglage
Action :
Autoriser
Protocole :
UDP
Adresse source :
Site 1
Adresse de destination :
Site 2
Interface :
Autre, saisissez « isakmp »
Règle de filtrage 2
Réglage
Action :
Autoriser
Protocole :
UDP
Adresse source :
Site 2
Adresse de destination :
Site 1
Interface :
Autre, saisissez « isakmp »
Règle de filtrage 3
Réglage
Action :
Autoriser
Protocole :
Autre, saisissez « esp »
Adresse source :
Site 1
Adresse de destination :
Site 2
Règle de filtrage 4
Réglage
Action :
Autoriser
Protocole :
Autre, saisissez « esp »
Adresse source :
Site 2
Adresse de destination :
Site 1
Chapitre 6 Utilisation du service VPN
157
Règle de filtrage 5
Réglage
Action :
Autoriser
Protocole :
Autre, saisissez « ipencap »
Adresse source :
Site 1
Adresse de destination :
Site 2
Règle de filtrage 6
Réglage
Action :
Autoriser
Protocole :
Autre, saisissez « ipencap »
Adresse source :
Site 2
Adresse de destination :
Site 1
Règle de filtrage 7
Réglage
Action :
Autoriser
Protocole :
Autre, saisissez « gre »
Adresse source :
Site 1
Adresse de destination :
Site 2
Règle de filtrage 8
Réglage
Action :
Autoriser
Protocole :
Autre, saisissez « gre »
Adresse source :
Site 2
Adresse de destination :
Site 1
Pour en savoir plus sur la création de règles avancées, consultez la section
« Configuration de règles de coupe-feu avancées » à la page 102.
Ces règles autorisent le passage du trafic chiffré aux deux hôtes.
4 Enregistrez vos modifications.
5 Démarrez ou redémarrez le coupe-feu, si nécessaire.
Étape 3 : Démarrez le service VPN sur la passerelle des deux sites
1 Pour les deux passerelles VPN, ouvrez Admin Serveur et connectez-vous au serveur.
2 Cliquez sur le triangle situé à gauche du serveur.
La liste des services apparaît.
3 Dans la liste Serveurs développée, sélectionnez VPN.
Si vous avez utilisé s2svpnadmin correctement, le bouton Démarrer doit être activé
et prêt à l’emploi.
4 Cliquez sur Démarrer VPN.
158
Chapitre 6 Utilisation du service VPN
Vous devriez pouvoir accéder à un ordinateur se trouvant sur le réseau local distant
à partir du réseau local. Pour vérifier le lien, utilisez ping ou tout autre moyen.
Autres sources d’informations
Pour en savoir plus sur L2TP/IPSec
Le groupe de travail Internet Engineering Task Force (IETF) travaille sur des normes formelles pour l’authentification des utilisateurs par L2TP/IPsec. Pour en savoir plus, consultez www.ietf.org/ids.by.wg/ipsec.html (en anglais).
Documents RFC
Les documents RFC (Request for Comments) offrent des vues d’ensemble de protocoles
ou de services particuliers et présentent de manière détaillée le comportement normal
de chaque protocole.
Si vous êtes un administrateur de serveur débutant, certaines des informations générales qui figurent dans les documents RFC vous seront certainement utiles.
En revanche, si vous êtes un administrateur de serveur confirmé, vous trouverez tous
les détails techniques concernant un protocole particulier dans le document RFC
correspondant.
Vous pouvez rechercher les documents RFC par leur numéro à l’adresse
www.ietf.org/rfc.html.
 Pour une description de L2TP, consultez RFC 2661.
 Pour une description de PPTP, consultez RFC 2637.
 Pour Kerberos 5, consultez RFC 1510.
Chapitre 6 Utilisation du service VPN
159
7
Utilisation du service RADIUS
7
En configurant un serveur RADIUS avec Open Directory, vous
pouvez sécuriser votre environnement sans fil contre les utilisateurs non autorisés.
Les réseaux sans fil donnent aux entreprises plus de flexibilité en matière de réseaux
en connectant les utilisateurs d’ordinateurs portables au réseau avec une couverture parfaite et en leur donnant la liberté de se déplacer dans l’entreprise tout en restant connectés au réseau.
Le présent chapitre décrit comment configurer et utiliser le service destiné aux utilisateurs
qui se connectent au réseau par des appels entrants avec authentification à distance
« Remote Authentication Dial In User Service » ou « RADIUS » pour maintenir la sécurité
de votre réseau sans fil et vous assurer qu’il n’est utilisé que par des utilisateurs autorisés.
RADIUS est utilisé pour autoriser les utilisateurs et groupes Open Directory à accéder
à des bornes d’accès AirPort sur un réseau. En configurant RADIUS et Open Directory,
vous pouvez contrôler l’accès à votre réseau sans fil.
RADIUS collabore avec Open Directory et le Serveur de mot de passe pour donner aux
utilisateurs autorisés l’accès au réseau via une borne d’accès AirPort. Lorsqu’un utilisateur tente d’accéder à une borne d’accès AirPort, AirPort communique avec le serveur
RADIUS en utilisant le protocole Extensible Authentication Protocol (EAP) pour authentifier et autoriser l’utilisateur.
Les utilisateurs se voient donner accès au réseau si leurs informations d’authentification
d’utilisateur sont valides et s’ils sont autorisés à utiliser la borne d’accès AirPort. Si un utilisateur n’est pas autorisé, il ne peut pas accéder au réseau via la borne d’accès AirPort.
Avant de configurer le service RADIUS
La présente section contient des informations qu’il faut prendre en compte avant
de configurer le service RADIUS sur votre réseau.
161
Configuration initiale du service RADIUS
Si vous configurez votre propre serveur RADIUS, suivez les étapes de la présente section.
Étape 1 : Activez le service RADIUS
Avant de configurer le service RADIUS, activez-le. Consultez la rubrique « Activation
du service RADIUS » à la page 162.
Étape 2 : Ajoutez des bornes d’accès AirPort à un serveur RADIUS
Déterminez quelles bornes d’accès AirPort vous voulez ajouter au serveur RADIUS. Consultez la rubrique « Ajout de bornes d’accès AirPort à un serveur RADIUS » à la page 164.
Étape 3 : Configurez la borne d’accès AirPort à distance
Utilisez Admin Serveur pour configurer les bornes d’accès AirPort. Consultez la rubrique
« Configuration à distance de bornes d’accès AirPort » à la page 165.
Étape 4 : Configurez RADIUS de manière à ce qu’il utilise des certificats
Utilisez Admin Serveur pour configurer RADIUS de manière à ce qu’il utilise des certificats
pour accorder sa confiance aux bornes d’accès. Consultez la rubrique « Configuration à
distance de bornes d’accès AirPort » à la page 165.
Étape 5 : Démarrez le service RADIUS
Pour démarrer le service RADIUS, consultez « Démarrage ou arrêt du service RADIUS »
à la page 166.
Activation du service RADIUS
Pour pouvoir configurer les réglages du service RADIUS, vous devez l’activer dans
Admin Serveur.
Pour activer le service RADIUS :
1 Ouvrez Admin Serveur et connectez-vous au serveur.
2 Cliquez sur Réglages, puis sur Services.
3 Cochez la case RADIUS.
4 Cliquez sur Enregistrer.
Configuration du service RADIUS
La présente section décrit comment ajouter des bornes d’accès AirPort à votre serveur
RADIUS, configurer des bornes d’accès AirPort à distance et configurer RADIUS de manière
à ce qu’il utilise des certificats pour accorder sa confiance aux bornes d’accès AirPort.
Les sections suivantes décrivent comment définir ces réglages. La section finale indique comme démarrer le service RADIUS une fois que vous avez fini.
162
Chapitre 7 Utilisation du service RADIUS
Configuration de RADIUS à l’aide de l’assistant de configuration
Mac OS X Server 10.5 comporte un assistant de configuration pour le service RADIUS.
L’assistant de configuration vous guide dans le processus de configuration de RADIUS
et démarre RADIUS.
Pour configurer RADIUS à l’aide de l’assistant de configuration :
1 Ouvrez Admin Serveur et connectez-vous au serveur.
2 Cliquez sur le triangle situé à gauche du serveur.
La liste des services apparaît.
3 Dans la liste Serveurs développée, sélectionnez RADIUS.
4 Cliquez sur Vue d’ensemble.
5 Cliquez sur Configurer le service Radius.
6 Dans la sous-fenêtre « Certificat du serveur Radius », sélectionnez l’une des options
suivantes :
Si vous sélectionnez « choisir un certificat existant », sélectionnez le certificat que vous
voulez utiliser dans le menu contextuel, puis cliquez sur Continuer.
Si vous voulez créer un certificat auto-signé, sélectionnez « créer un certificat autosigné », puis cliquez sur Continuer.
a Saisissez les informations relatives à l’identité.
Le nom usuel est le nom de domaine complet du serveur qui utilise les services pour
lesquels SSL est activé.
b Saisissez les dates de validité de début et de fin.
c Sélectionnez une taille pour la clé privée (la taille par défaut est 1024 bits).
d Saisissez une phrase clé pour la clé privée, puis cliquez sur Enregistrer.
Cette phrase clé devrait être plus sûre qu’un simple mot de passe. Vous devriez utiliser au moins 20 caractères, y compris un mélange de majuscules et de minuscules,
des nombres et des signes de ponctuation. Ne répétez pas des caractères et n’utilisez pas de mots qui figurent dans le dictionnaire.
e Cliquez sur Continuer.
Un message expliquant les certificats auto-signés apparaît.
f Cliquez sur Continuer.
7 Dans la liste Bornes d’accès disponibles, sélectionnez la borne d’accès souhaitée, puis
cliquez sur Ajouter.
Si la borne d’accès a un mot de passe, saisissez-le dans le champ Mot de passe
de la borne, puis cliquez sur Ajouter.
Si vous voulez supprimer une borne d’accès de la liste Bornes d’accès sélectionnées,
sélectionnez-la, puis cliquez sur Supprimer.
Chapitre 7 Utilisation du service RADIUS
163
8 Cliquez sur Continuer.
9 Dans la sous-fenêtre Utilisateurs autorisés de RADIUS, vous pouvez restreindre l’accès
des utilisateurs.
Si vous cochez la case « Autoriser tous les utilisateurs », tous les utilisateurs auront
accès aux bornes d’accès sélectionnées.
Si vous cochez la case « Restreindre l’accès aux membres du groupe », seuls les utilisateurs d’un groupe peuvent accéder aux bornes d’accès sélectionnées.
10 Cliquez sur Continuer.
11 Dans la sous-fenêtre de confirmation des réglages de RADIUS, assurez-vous que vos
réglages sont corrects.
Vous pouvez également imprimer ou enregistrer vos réglages de configuration RADIUS.
12 Cliquez sur Confirmer.
Ajout de bornes d’accès AirPort à un serveur RADIUS
Utilisez la sous-fenêtre Réglages de RADIUS dans Admin Serveur pour ajouter des
bornes d’accès AirPort qui vont utiliser le service RADIUS. Vous pouvez ajouter jusqu’à
64 bornes d’accès à RADIUS.
Pour ajouter des bornes d’accès AirPort à un serveur RADIUS :
1 Sur l’ordinateur de gestion, ouvrez Admin Serveur.
2 Cliquez sur le triangle situé à gauche du serveur.
La liste des services apparaît.
3 Dans la liste Serveurs développée, sélectionnez RADIUS.
4 Cliquez sur Bornes d’accès.
5 Sous la liste Bornes d’accès AirPort, cliquez sur Ajouter.
6 Saisissez les informations suivantes sur la borne d’accès AirPort :
Nom : spécifiez le nom de la borne d’accès AirPort.
Type : spécifiez le modèle de la borne d’accès AirPort.
Adresse IP : spécifiez l’adresse IP de la borne d’accès AirPort.
Secret partagé et Vérifier : le secret partagé n’est pas un mot de passe pour l’authentification et ne génère pas de clés de chiffrement pour établir des tunnels entre les
nœuds. Il s’agit d’un jeton que les systèmes de gestion de clés utilisent pour se faire
mutuellement confiance. Le secret partagé doit être saisi sur le serveur et le client.
7 Cliquez sur Ajouter.
164
Chapitre 7 Utilisation du service RADIUS
Configuration à distance de bornes d’accès AirPort
Vous pouvez configurer à distance des bornes d’accès AirPort de manière à ce qu’elles
utilisent un serveur RADIUS dans Admin Serveur.
Pour configurer à distance des bornes d’accès AirPort de manière à ce qu’elles
utilisent un serveur RADIUS :
1 Ouvrez Admin Serveur et connectez-vous au serveur.
2 Cliquez sur le triangle situé à gauche du serveur.
La liste des services apparaît.
3 Dans la liste Serveurs développée, sélectionnez RADIUS.
4 Cliquez sur Bornes d’accès.
5 Sélectionnez la borne d’accès AirPort dans la liste Bornes d’accès AirPort, puis cliquez
sur Modifier.
Si vous êtes invité à saisir un mot de passe, tapez le mot de passe de l’administrateur
de la borne d’accès.
6 Cliquez sur OK.
Configuration de RADIUS de manière à ce qu’il utilise des certificats
Vous pouvez utiliser Admin Serveur pour configurer RADIUS de manière à ce qu’il
utilise des certificats personnalisés. L’utilisation de certificats améliore la sécurité
et la gérabilité des bornes d’accès AirPort.
Pour utiliser un certificat personnalisé :
1 Ouvrez Admin Serveur et connectez-vous au serveur.
2 Cliquez sur le triangle situé à gauche du serveur.
La liste des services apparaît.
3 Dans la liste Serveurs développée, sélectionnez RADIUS.
4 Cliquez sur Réglages.
5 Dans le menu contextuel Certificat RADIUS, sélectionnez un certificat.
Si vous disposez d’un certificat personnalisé, choisissez Configuration personnalisée
dans le menu contextuel Certificat et saisissez le chemin d’accès au fichier du certificat,
au fichier de la clé privée et au fichier de l’autorité de certificat. Si la clé privée est chiffrée, saisissez la phrase clé de la clé privée, puis cliquez sur OK.
Si vous ne disposez pas d’un certificat et souhaitez en créer un, cliquez sur Gérer les
certificats. Pour en savoir plus sur la création de certificats, consultez la section Administration du serveur.
6 Cliquez sur Enregistrer.
Chapitre 7 Utilisation du service RADIUS
165
Archivage des historiques du service RADIUS
Le service RADIUS crée des entrées pour les messages d’erreur et d’alerte dans l’historique système. Vous pouvez archiver ces entrées d’historique à l’aide d’Admin Serveur.
Pour archiver des historiques :
1 Ouvrez Admin Serveur et connectez-vous au serveur.
2 Cliquez sur le triangle situé à gauche du serveur.
La liste des services apparaît.
3 Dans la liste Serveurs développée, sélectionnez RADIUS.
4 Cliquez sur Réglages.
5 Cochez la case « Archiver les fichiers d’historiques de rayon pour les derniers __ jours »,
puis saisissez le nombre de jours à archiver.
6 Cliquez sur Enregistrer.
Démarrage ou arrêt du service RADIUS
Utilisez Admin Serveur pour démarrer ou arrêter le service RADIUS. Lorsque vous
arrêtez le service, assurez-vous qu’aucun utilisateur n’est connecté aux bornes d’accès
AirPort que votre serveur RADIUS gère.
Pour démarrer ou arrêter le service RADIUS :
1 Ouvrez Admin Serveur et connectez-vous au serveur.
2 Cliquez sur le triangle situé à gauche du serveur.
La liste des services apparaît.
3 Dans la liste Serveurs développée, sélectionnez RADIUS.
4 Cliquez sur Démarrer RADIUS ou Arrêter RADIUS sous la liste Serveurs.
L’arrêt ou le démarrage du service peut prendre quelques secondes.
Gestion du service RADIUS
La présente section décrit les tâches courantes que vous pouvez effectuer une fois
que le service RADIUS est configuré sur votre serveur.
Vérification de l’état du service RADIUS
Vous pouvez utiliser Admin Serveur pour vérifier l’état du service RADIUS.
Pour vérifier l’état du service RADIUS :
1 Ouvrez Admin Serveur et connectez-vous au serveur.
2 Cliquez sur le triangle situé à gauche du serveur.
La liste des services apparaît.
3 Dans la liste Serveurs développée, sélectionnez RADIUS.
166
Chapitre 7 Utilisation du service RADIUS
4 Cliquez sur Vue d’ensemble pour vérifier si le service est en service, le nombre
de bornes d’accès clientes et quand il a démarré.
Affichage d’historiques du service RADIUS
Le service RADIUS crée des entrées pour les messages d’erreur et d’alerte dans
l’historique système. Vous pouvez filtrer le contenu de l’historique afin de restreindre
le nombre d’entrées affichées et accéder plus facilement à celles qui vous intéressent.
Pour afficher les historiques, procédez de la manière suivante :
1 Ouvrez Admin Serveur et connectez-vous au serveur.
2 Cliquez sur le triangle situé à gauche du serveur.
La liste des services apparaît.
3 Dans la liste Serveurs développée, sélectionnez RADIUS.
4 Cliquez sur Historiques.
5 Sélectionnez l’historique à afficher (radiusconfig ou radiusd).
Pour rechercher des entrées spécifiques, utilisez le champ Filtre au-dessous de l’historique.
Modification de l’accès au service RADIUS
Vous pouvez restreindre l’accès au service RADIUS en créant un groupe d’utilisateurs
et en ajoutant ce groupe à la liste de contrôle d’accès de service (SACL) de RADIUS.
Pour modifier l’accès au service RADIUS :
1 Ouvrez Admin Serveur et connectez-vous au serveur.
2 Cliquez sur le triangle situé à gauche du serveur.
La liste des services apparaît.
3 Dans la liste Serveurs développée, sélectionnez RADIUS.
4 Cliquez sur Réglages, puis cliquez sur « Modifier les utilisateurs autorisés ».
5 Sélectionnez « Pour les services sélectionnés », puis RADIUS.
6 Sélectionnez « Autoriser les utilisateurs et groupes ci-dessous ».
7 Cliquez sur le bouton Ajouter (+).
8 Dans la liste Utilisateurs et groupes, faites glisser des utilisateurs ou des groupes d’utilisateurs dans la liste « Autoriser les utilisateurs et groupes ci-dessous ».
Si vous voulez supprimer des utilisateurs de la liste « Autoriser les utilisateurs et groupes ci-dessous », sélectionnez les utilisateurs ou groupes d’utilisateurs, puis cliquez sur
le bouton Supprimer ( - ).
Seuls les utilisateurs qui figurent dans la liste peuvent utiliser le service RADIUS.
Chapitre 7 Utilisation du service RADIUS
167
Suppression de bornes d’accès AirPort
Vous pouvez utiliser Admin Serveur pour supprimer des bornes d’accès AirPort
du serveur RADIUS.
Lorsque vous supprimez des bornes d’accès AirPort, assurez-vous que les bornes sont
déconnectées du réseau. À défaut, des utilisateurs non autorisés pourraient avoir accès
à votre réseau.
Pour supprimer des bornes d’accès AirPort :
1 Ouvrez Admin Serveur et connectez-vous au serveur.
2 Cliquez sur le triangle situé à gauche du serveur.
La liste des services apparaît.
3 Dans la liste Serveurs développée, sélectionnez RADIUS.
4 Cliquez sur Bornes d’accès.
5 Dans la liste Borne d’accès AirPort, sélectionnez la borne d’accès à supprimer, puis
cliquez sur Supprimer.
6 Confirmez que vous voulez supprimer la borne d’accès en cliquant de nouveau
sur Supprimer.
Modification d’un enregistrement de borne d’accès AirPort
Vous pouvez utilisateur Admin Serveur pour modifier un enregistrement de borne
d’accès AirPort de votre serveur RADIUS.
Pour modifier un enregistrement de borne d’accès AirPort :
1 Ouvrez Admin Serveur et connectez-vous au serveur.
2 Cliquez sur le triangle situé à gauche du serveur.
La liste des services apparaît.
3 Dans la liste Serveurs développée, sélectionnez RADIUS.
4 Cliquez sur Bornes d’accès.
5 Dans la liste Borne d’accès AirPort, sélectionnez la borne d’accès à modifier, puis
cliquez sur Modifier.
6 Modifiez les informations sur la borne d’accès, puis cliquez sur Enregistrer.
Enregistrement du fichier de connexion à Internet d’une borne d’accès
AirPort
Vous pouvez utiliser Admin Serveur pour enregistrer le fichier de connexion à Internet
d’une borne d’accès AirPort.
Pour enregistrer le fichier de connexion à Internet d’une borne d’accès AirPort :
1 Ouvrez Admin Serveur et connectez-vous au serveur.
168
Chapitre 7 Utilisation du service RADIUS
2 Cliquez sur le triangle situé à gauche du serveur.
La liste des services apparaît.
3 Dans la liste Serveurs développée, sélectionnez RADIUS.
4 Cliquez sur Bornes d’accès.
5 Dans la liste Borne d’accès AirPort, sélectionnez la borne d’accès.
6 Cliquez sur « Enregistrer le fichier de connexion à Internet ».
7 Dans le champ Enregistrer sous, saisissez le nom du fichier.
8 Dans le menu contextuel Emplacement, sélectionnez l’emplacement où vous voulez
enregistrer le fichier.
9 Dans le champ Nom de réseau sans fil (SSID), saisissez le nom du réseau sans fil.
10 Cliquez sur Enregistrer.
Chapitre 7 Utilisation du service RADIUS
169
8
Utilisation du service NTP
8
Il est primordial d’utiliser le service NTP pour synchroniser
les horloges pour éviter la confusion que peuvent provoquer
les horodatages désynchronisés.
Un horodatage correct est important des systèmes de partage de fichiers aux services
de facturation. Il se peut toutefois que les horloges des ordinateurs d’un réseau affichent des heures très différentes. Le protocole Network Time Protocol (NTP) est utilisé
pour synchroniser les horloges d’ordinateurs connectés en réseau avec une horloge
de référence. NTP vous aide à vous assurer que tous les ordinateurs d’un réseau sont
réglés sur la même heure.
Lorsqu’un réseau isolé (ou même un seul ordinateur) est désynchronisé, les services
qui utilisent les estampilles temporelles (comme le service de courrier ou le service
web avec les cookies datés) envoient des estampilles temporelles fausses et désynchronisées aux autres ordinateurs sur Internet.
Par exemple, un message électronique pourrait arriver des minutes voire des années
avant son envoi (d’après l’estampille temporelle) et une réponse à ce message pourrait
parvenir à destination avant l’envoi de l’original !
Comme NTP fonctionne
NTP utilise le temps universel coordonné (en anglais « Universal Time Coordinated » ou
« UTC ») comme temps de référence. Le temps universel coordonné est calculé à partir
d’une résonance atomique, c’est pourquoi l’on appelle souvent les horloges synchronisées sur le temps universel coordonné des « horloges atomiques ».
Sur Internet, les serveurs NTP faisant autorité (on les appelle des serveurs Stratum 1) gèrent
l’heure courante du temps universel coordonné. D’autres serveurs subordonnés (on les
appelle les serveurs Stratum 2 et 3) interrogent régulièrement les serveurs Stratum 1 et estiment le temps qu’ont pris l’envoi et la réception de la requête. Ils corrigent ensuite le résultat de la requête avec ces estimations pour régler l’heure des serveurs Stratum 2 ou 3.
Ces estimations sont correctes à la nanoseconde près.
171
Votre réseau local peut, à son tour, interroger des serveurs Stratum 3 pour connaître
l’heure exacte. Un ordinateur client NTP de votre réseau va alors chercher l’heure de
référence en temps universel coordonné et la convertit à l’aide de son propre réglage
de fuseau horaire dans l’heure locale, puis règle son horloge interne en conséquence.
Utilisation de NTP sur votre réseau
Mac OS X Server peut agir comme client NTP pour recevoir l’heure faisant autorité de
la part d’un serveur d’horloge Internet et comme serveur d’horloge faisant autorité dans
un réseau. Vos clients locaux peuvent interroger votre serveur pour régler leur horloge.
Si vous configurez votre serveur de manière à ce qu’il réponde aux requêtes en matière
d’heure, configurez-le également de manière à ce qu’il interroge un serveur d’horloge
faisant autorité sur Internet.
Configuration du service NTP
Si vous activez le service NTP sur votre réseau, assurez-vous que le serveur NTP que
vous désignez peut accéder à un serveur d’horloge faisant autorité plus élevé dans
la hiérarchie. Apple met un serveur d’horloge Stratum 2 à la disposition de ses clients
à l’adresse time.apple.com.
Assurez-vous que votre coupe-feu autorise les requêtes NTP vers un serveur d’horloge
faisant autorité sur le port UDP 123 et les requêtes entrantes provenant des clients
locaux sur le même port. Pour en savoir plus, consultez le chapitre 4, « Utilisation du
service de coupe-feu ».
Pour configurer le service NTP :
1 Ouvrez Admin Serveur et connectez-vous au serveur.
2 Cliquez sur Réglages, puis sur Date et heure.
3 Assurez-vous que votre serveur est configuré de manière à régler la date et l’heure
automatiquement.
4 Dans le menu contextuel, sélectionnez le serveur que vous voulez utiliser comme
serveur d’horloge.
5 Cliquez sur Général.
6 Cochez la case « Serveur d’horloge de réseau (NTP) ».
7 Cliquez sur Enregistrer.
172
Chapitre 8 Utilisation du service NTP
Configuration de NTP sur des clients
Si vous disposez d’un serveur d’horloge local, vous pouvez configurer vos clients
de manière à ce qu’ils interrogent votre propre serveur d’horloge lorsqu’ils ont besoin
de la date et l’heure réseau. Par défaut, les clients peuvent interroger le serveur d’horloge d’Apple.
Utilisez les instructions qui suivent pour configurer vos clients de manière à ce qu’ils
interrogent votre propre serveur d’horloge.
Pour configurer NTP sur des clients :
1 Ouvrez Préférences Système.
2 Cliquez sur Date et heure.
3 Cochez la case Régler automatiquement.
4 Sélectionnez et supprimez le texte qui figure dans le champ plutôt que d’utiliser
le menu contextuel.
5 Saisissez le nom d’hôte de votre serveur d’horloge.
Le nom d’hôte peut être soit un nom de domaine (comme heure.exemple.com)
soit une adresse IP.
6 Fermez les Préférences Système.
Autres sources d’informations
Le groupe de travail, la documentation et la foire aux questions relatifs à NTP se trouvent à l’adresse www.ntp.org.
La liste des serveurs NTP accessibles publiquement et leurs politiques d’utilisation
se trouvent à l’adresse support.ntp.org/bin/view/Servers/WebHome.
Documents RFC
Les documents RFC (Request for Comments) offrent des vues d’ensemble de protocoles ou de services particuliers et présentent de manière détaillée le comportement normal de chaque protocole.
Si vous êtes un administrateur de serveur débutant, certaines des informations générales qui figurent dans les documents RFC vous seront certainement utiles.
En revanche, si vous êtes un administrateur de serveur confirmé, vous trouverez tous
les détails techniques concernant un protocole particulier dans le document RFC
correspondant.
Vous pouvez rechercher les documents RFC par leur numéro à l’adresse
www.ietf.org/rfc.html.
La spécification officielle de NTP version 3 est RFC 1305.
Chapitre 8 Utilisation du service NTP
173
9
Prise en charge d’un réseau local
virtuel
9
L’utilisation d’un réseau local virtuel (en anglais « Virtual Local
Area Network » ou « VLAN ») permet d’empêcher les retards
et la perte de données dans les environnements dans
lesquels le trafic réseau est extrêmement important.
Les réseaux locaux virtuels permettent à plusieurs ordinateurs se trouvant sur différents réseaux locaux physiques de communiquer entre eux comme s’ils se trouvaient
sur le même réseau local.
Cette solution présente comme avantages une utilisation plus efficace de la bande
passante réseau et une meilleure sécurité, car le trafic de diffusion ou de multidiffusion
n’est envoyé qu’aux ordinateurs situés sur le segment de réseau commun.
Mac OS X Server prend en charge les réseaux locaux virtuels 802.1q sur les ports Ethernet
et les cartes Gigabit Ethernet PCI secondaires disponibles ou intégrées aux serveurs Xserve.
La prise en charge des réseaux locaux virtuels par le Xserve G5 est conforme à la norme
standard IEEE 802.1q.
Configuration de l’adhésion des clients à un réseau local virtuel
Pour configurer et gérer des réseaux locaux virtuels, utilisez la zone VLAN de la sousfenêtre Réseau de Préférences Système.
Assurez-vous que les ports utilisés par les appareils qui ne sont pas dans les réseaux locaux
virtuels (c’est-à-dire non compatibles avec la norme 802.1q) sont configurés pour transmettre des cadres non balisés. Si un appareil Ethernet non compatible reçoit un cadre balisé,
il n’est pas en mesure de comprendre la balise du réseau local virtuel et ignore le cadre.
Remarque : la zone VLAN de la sous-fenêtre Réseau n’est visible que si votre matériel,
comme les systèmes Xserve G5, prennent en charge cette fonctionnalité.
175
Pour configurer un réseau local virtuel :
1 Ouvrez une session sur votre serveur en tant qu’administrateur.
2 Ouvrez la sous-fenêtre Réseau des Préférences Système.
3 Cliquez sur le menu contextuel Action et sélectionnez « Gérer les interfaces virtuelles ».
4 Cliquez sur le bouton Ajouter (+) et sélectionnez Nouveau réseau VLAN.
5 Dans le champ Nom du réseau VLAN, saisissez le nom du réseau VLAN.
6 Dans le champ Balise, saisissez une balise (un nombre entre 1 et 4094).
Cette balise de réseau VLAN détermine l’identifiant du réseau VLAN (VID). Chaque
réseau logique possède un identifiant du réseau VLAN unique. Les interfaces configurées avec le même identifiant de réseau VLAN se trouvent sur le même réseau virtuel.
7 Sélectionnez l’interface.
8 Cliquez sur Créer.
9 Cliquez sur Terminé.
Autres sources d’informations
Pour en savoir plus sur les réseaux locaux virtuels sur Internet
Visitez www.ieee.org. La norme VLAN est définie par l’IEEE.
Document de référence
Un document de référence fournit une vue d’ensemble d’un protocole et contient
des détails sur la manière dont le protocole doit se comporter.
Si vous êtes un administrateur de serveur débutant, certaines des informations générales qui figurent dans un document de référence vous seront certainement utiles.
En revanche, si vous êtes un administrateur de serveur confirmé, vous trouverez tous les
détails techniques concernant un protocole particulier dans son document de référence.
Le document de référence est disponible à l’adresse
standards.ieee.org/getieee802/download/802.1Q-1998.pdf (en anglais).
176
Chapitre 9 Prise en charge d’un réseau local virtuel
10
Prise en charge d’IPv6
10
Internet Protocol Version 6 (IPv6) est le protocole Internet
nouvelle génération conçu pour remplacer le protocole
Internet actuel.
Le protocole Internet actuel, IP version 4 (IPv4 ou juste IP), commence à peiner pour suivre
la croissance et la popularité d’Internet. Les principaux problèmes d’IPv4 sont les suivants :
 Adressage IP limité : les adresses IPv4 utilisent 32 bits, ce qui signifient qu’il n’y
a que 4.300.000.000 d’adresses réseau.
 Charge de plus en plus lourde en matière de routage et de configuration : les
coûts, la mémoire et le temps nécessaires pour router des informations IPv4 augmente rapidement comme de plus en plus d’ordinateurs se connectent à Internet
à un débit de plus en plus élevé.
 Communication de bout en bout qui est systématiquement mise en échec :
ce problème est en réalité une conséquence du problème d’adressage d’IPv4. Lorsque le nombre d’ordinateurs a augmenté et la pénurie d’adresses est devenue plus
sévère, un autre service d’adressage et de routage a été développé : Network
Address Translation (NAT). NAT s’interpose entre deux extrémités réseau. Cela contrarie un certain nombre de services réseau et est limitatif.
IPv6 corrige certains de ces problèmes et aide à en éviter d’autres. Il améliore l’autoconfiguration du routage et du réseau, augmente le nombre d’adresses réseau à plus
de 3x1038 et rend l’utilisation de NAT superflue.
IPv6 devrait remplacer graduellement IPv4 pendant une période de transition
de plusieurs années au cours de laquelle les deux protocoles devraient coexister.
Le présent chapitre énumère les services compatibles avec IPv6 utilisés par Mac OS X
Server, donne des instructions permettant d’utiliser les adresses IPv6 dans ces services
et explique les différents types d’adresses IPv6 et leur notation.
177
Services compatibles avec IPv6
Les services suivants, dans Mac OS X Server, prennent en charge l’adressage IPv6 :
 DNS (BIND)
 coupe-feu
 courrier (POP/IMAP/SMTP)
 Windows (SMB/CIFS)
 web (Apache 2)
Un certain nombre d’outils en ligne de commande installés avec Mac OS X Server
prennent en charge IPv6 (par exemple, ping6 et traceroute6).
Prise en charge des adresses IPv6 dans Admin Serveur
Les services ci-avant prennent en charge les adresses IPv6, mais pas dans Admin Serveur.
Les adresses IPv6 ne fonctionnent pas si vous les saisissez dans les champs pour les adresses IP de Admin Serveur. Les adresses IPv6 de ces services peuvent être configurées à l’aide
d’outils en ligne de commande et en éditant des fichiers de configuration.
Adresses IPv6
Les adresses IPv6 sont différentes des adresses IPv4. Il existe des différences concernant la notation des adresses, les adresses réservées, le modèle d’adresses et les types
d’adresses.
Notation
Les adresses IPv4 font 4 octets de long et sont exprimées sous la forme de décimales.
Les adresses IPv6, par contre, font 16 octets de long et peuvent être exprimées de différentes manières.
Les adresses IPv6 sont généralement écrites sous la forme suivante :
xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx
L’adresse est subdivisée en paires d’octets séparées par des deux-points. Chaque octet
est représenté sous la forme d’une paire de nombres hexadécimaux. L’adresse suivante
est au format IPv6 :
E3C5:0000:0000:0000:0000:4AC8:C0A8:6420
Elle peut être abrégée comme suit :
E3C5:0:0:0:0:4AC8:C0A8:6420
178
Chapitre 10 Prise en charge d’IPv6
Les adresses IPv6 contiennent souvent des octets de valeur zéro, une notation abrégée
est donc disponible. Dans la notation abrégée, les valeurs zéro de la représentation de
texte sont supprimées et les deux-points sont écrits les uns à côté des autres, comme ceci :
E3C5::4AC8:C0A8:6420
Comme beaucoup d’adresses IPv6 sont des extensions d’adresses IPv4, les 4 derniers
octets d’une adresse IPv6 (les 2 dernières paires d’octets) peuvent être écrits dans la notation IPv4. Dans cette notation mixte, l’exemple ci-avant peut être exprimé comme suit :
E3C5::4AC8:192.168.100.32
Adresses IPv6 réservées
IPv6 réserve deux adresses que les nœuds réseau ne peuvent pas utiliser pour
la communication :
0:0:0:0:0:0:0:0 (adresse non spécifiée, interne au protocole)
0:0:0:0:0:0:0:1 (adresse de bouclage, comme 127.0.0.1 dans IPv4)
Modèle d’adressage IPv6
Les adresses IPv6 sont assignées à des interfaces (par exemple, à votre carte Ethernet)
et non à des nœuds (par exemple, votre ordinateur).
Une même interface peut recevoir plusieurs adresses IPv6. Une même adresse IPv6
peut en outre être assignée à plusieurs interfaces pour répartir la charge.
Les routeurs n’ont pas besoin d’une adresse IPv6, il n’est donc pas nécessaire de configurer les routeurs pour les monodiffusions de point à point.
IPv6 n’utilise pas les classes d’adresses IPv4.
Types d’adresses IPv6
IPv6 prend en charge les types d’adresses IP suivants :
 Monodiffusion (communication de un à un)
 Multidiffusion (communication de un à plusieurs)
 Diffusion à la cantonade
IPv6 ne prend pas en charge la simple diffusion. La multidiffusion est préférée pour les
diffusions réseau. Pour le reste, la monodiffusion et la multidiffusion d’IPv6 sont identiques à celles d’IPv4. Les adresses de multidiffusion d’IPv6 commencent par « FF » (255).
La diffusion à la cantonade est une variante de la multidiffusion. La multidiffusion délivre les messages à tous les nœuds du groupe de multidiffusion. Par contre, la diffusion
à la cantonade ne délivre les messages qu’à un seul nœud du groupe de multidiffusion.
Chapitre 10 Prise en charge d’IPv6
179
Création d’une passerelle d’IPv4 à IPv6
Mac OS X Server comporte une passerelle d’IPv4 à IPv6 qui permet le déploiement
de services serveur utilisant IPv4 dans les réseaux IPv6 en vue de faciliter la transition
d’un système à l’autre.
Vous pouvez configurer la passerelle d’IPv4 à IPv6 en configurant « 6 à 4 » dans les
préférences Réseau de votre serveur.
Important : vous devez disposer d’une adresse IPv4 publique (une adresse IP fournie
par votre FAI) et vous ne pouvez pas vous trouver derrière une passerelle ou NAT.
Pour configurer une passerelle « 6 à 4 » :
1 Ouvrez les Préférences Système et cliquez sur Réseau.
2 Sous la liste Interfaces, cliquez sur le bouton Ajouter (+).
3 Dans le menu contextuel Interface, choisissez « 6 à 4 ».
4 Dans le champ Nom du service, saisissez un nom de service unique, puis cliquez sur Créer.
5 Si vous disposez d’une adresse relais, choisissez Manuellement dans le menu contextuel Configuration, puis saisissez-la. À défaut, laissez le menu contextuel Configuration
réglé sur Automatiquement.
6 Cliquez sur Appliquer.
Autres sources d’informations
Le site web du groupe de travail d’IPv6 est www.ipv6.org.
Un groupe de passionnés d’IPv6 tient à jour la liste des applications qui prennent
en charge IPv6 à l’adresse www.ipv6forum.com.
Documents RFC
Les documents RFC (Request for Comments) offrent des vues d’ensemble de protocoles ou de services particuliers et présentent de manière détaillée le comportement normal de chaque protocole.
Si vous êtes un administrateur de serveur débutant, certaines des informations générales qui figurent dans les documents RFC vous seront certainement utiles.
En revanche, si vous êtes un administrateur de serveur confirmé, vous trouverez tous
les détails techniques concernant un protocole particulier dans le document RFC
correspondant.
Vous pouvez rechercher les documents RFC par leur numéro à l’adresse
www.ietf.org/rfc.html.
180
Chapitre 10 Prise en charge d’IPv6
Il existe plus de 29 documents RFC liés à IPv6. Vous trouverez la liste à l’adresse
www.ipv6.org/specs.html.
Sous la liste « Accepter les requêtes récursives sur les réseaux suivants », cliquez sur
le bouton Ajouter (+) pour ajouter des réseaux à partir desquels les requêtes récursives
sont acceptées, puis saisissez l’adresse du réseau dans la liste. Sous la liste « Adresses IP
du réexpéditeur », cliquez sur le bouton Ajouter (+) pour ajouter les réseaux auxquels
les requêtes non autorisées doivent être envoyées, puis saisissez l’adresse du réseau
dans la liste.
Chapitre 10 Prise en charge d’IPv6
181
Glossaire
Glossaire
ACL Liste de contrôle d’accès. Liste maintenue par un système et définissant
les autorisations dont disposent des utilisateurs et des groupes pour accéder
aux ressources du système.
administrateur de liste Administrateur d’une liste d’envoi. Les administrateurs de liste
peuvent ajouter des abonnés à une liste d’envoi ou en supprimer et désigner d’autres
administrateurs de liste. Ils ne sont pas nécessairement administrateurs de l’ordinateur
local ou du domaine.
adresse Nombre ou tout autre identifiant permettant d’identifier de façon unique
un ordinateur sur un réseau, un bloc de données stockées sur un disque ou un
emplacement dans la mémoire d’un ordinateur. Voir aussi adresse IP et adresse MAC.
Adresse IP Adresse numérique unique qui identifie un ordinateur sur Internet.
adresse IP dynamique Adresse IP attribuée pour une durée limitée ou jusqu’à
ce que l’ordinateur client n’en ait plus besoin.
adresse IP statique Adresse IP attribuée une seule fois à un ordinateur ou à un
périphérique et qui ne change jamais.
adresse MAC Adresse « Media Access Control » (contrôle d’accès au support). Adresse
matérielle identifiant de façon unique chaque nœud d’un réseau. Dans le cas de
périphériques AirPort, l’adresse MAC est appelée identifiant AirPort.
attaque par déni de service Voir attaque par DoS.
attaque par DoS Attaque par déni de service. Attaque Internet utilisant des milliers
de pings réseau pour empêcher l’utilisation légitime d’un serveur.
autorisations Réglages déterminant le type d’accès dont les utilisateurs bénéficient
pour partager des éléments dans un système de fichiers. Vous pouvez attribuer quatre
types d’autorisation pour un point de partage, un dossier ou un fichier : Lecture et
écriture, Lecture seule, Écriture seule et Aucun accès. Voir aussi privilèges.
183
autorité de certificat Autorité émettant et gérant des certificats numériques, afin
d’assurer la transmission sécurisée des données à travers un réseau public. Voir aussi
certificat, infrastructure de clé publique.
bidouilleur Personne qui apprécie la programmation et explore les différentes
manières de programmer de nouvelles fonctionnalités et d’augmenter les capacités
d’un système informatique. Voir aussi pirate.
bit Unité d’information unique de valeur égale à 0 ou 1.
caractère Synonyme d’octet.
caractère générique Plage de valeurs possibles pour tout segment d’une adresse IP.
carte d’interface réseau Voir carte réseau.
certificat Parfois appelé « certificat d’identité » ou « certificat de clé publique ». Fichier
de format spécifique (Mac OS X Server utilise le format X.509) contenant la clé publique
d’une paire de clés publique et privée, les informations d’identification de l’utilisateur,
par exemple son nom et ses coordonnées, ainsi que la signature numérique émise par
une Autorité de certificat ou l’utilisateur de la clé.
CHAP Protocole Challenge Handshake Authentication Protocol. Protocole
d’authentification courant. Voir aussi MS-CHAP.
chemin de recherche Voir politique de recherche.
chiffrement Processus de codification de données destiné à les rendre illisibles sans
la connaissance d’un algorithme particulier. Généralement utilisé dans le cadre de
communications secrètes ou confidentielles. Voir aussi déchiffrement.
contrôle d’accès Méthode consistant à contrôler quels ordinateurs peuvent accéder
à un réseau ou à des services réseau.
coupe-feu Logiciel chargé de protéger les applications réseau exécutées sur votre
serveur. Le service de coupe-feu IP, partie intégrante du logiciel Mac OS X Server,
analyse les paquets IP entrants et accepte ou refuse ces paquets en s’appuyant sur
un ensemble de filtres que vous créez.
démon nfsd Processus de serveur NFS qui s’exécute de manière continue en arrièreplan et qui traite les requêtes de protocole NFS et de montage émises par des clients.
nfsd peut avoir plusieurs segments. Plus le nombre d’unités d’exécution de serveur NFS
est élevé, plus le nombre d’accès simultanés est élevé.
184
Glossaire
DHCP Initiales de « Dynamic Host Configuration Protocol » (protocole de configuration
dynamique d’hôtes). Protocole utilisé pour distribuer de manière dynamique des
adresses IP à des ordinateurs clients. Chaque fois qu’un ordinateur client démarre, le
protocole recherche un serveur DHCP, puis demande une adresse IP au serveur DHCP
qu’il trouve. Le serveur recherche alors une adresse IP disponible et la transmet à
l’ordinateur client en l’accompagnant d’une « durée de bail », durée pendant laquelle
l’ordinateur client peut utiliser l’adresse.
diffusion Dans un réseau, transmission d’un message ou de données pouvant être lues
par tout client du réseau. La diffusion peut être réalisée en monodiffusion (envoi d’un
message à un ordinateur spécifique) ou en multidiffusion (envoi d’un message à un
sous-ensemble d’ordinateurs). Dans QuickTime Streaming Server, processus de
transmission d’une copie de flux de données sur l’ensemble d’un réseau.
DNS Domain Name System. Base de données distribuée qui fait correspondre des
adresses IP à des noms de domaines. Un serveur DNS, appelé également serveur
de noms, conserve la liste des noms et des adresses IP associées à chaque nom.
Domain Name System Voir DNS.
domaine DNS Nom unique d’un ordinateur, utilisé dans le système DNS (Domain
Name System) pour convertir les adresses IP et les noms. Également appelé nom
de domaine.
domaine local Domaine de répertoire accessible uniquement par l’ordinateur
sur lequel il réside.
durée de bail DHCP Voir période de bail.
Dynamic Host Configuration Protocol Voir DHCP.
EAP Extensible Authentication Protocol. Protocole d’authentification qui prend
en charge plusieurs méthodes d’authentification.
enregistrement d’échange de courrier Voir enregistrement MX.
enregistrement MX Enregistrement d’échange de courrier. Entrée d’un tableau DNS
qui spécifie l’ordinateur qui gère le courrier pour un domaine Internet. Lorsqu’un
serveur de messagerie doit distribuer du courrier à un domaine Internet, il demande
l’enregistrement MX du domaine concerné. Le serveur envoie le message à l’ordinateur
spécifié dans l’enregistrement MX.
enregistrement pointeur Voir enregistrement PTR.
enregistrement PTR Enregistrement pointeur. Type d’enregistrement DNS qui traduit
les adresses IP (IPv4) en noms de domaine. Utilisé dans les recherches inversées DNS.
Glossaire
185
enregistrement TXT Enregistrement de texte. Type d’enregistrement DNS qui stocke
la chaîne de texte à envoyer comme réponse aux requêtes DNS.
équilibrage de la charge Processus qui consiste à répartir sur plusieurs services les
demandes de services réseau effectuées par les ordinateurs clients, afin d’optimiser
les performances.
étendue Groupe de services. Une étendue peut consister en un regroupement
d’ordinateurs logique (tous les ordinateurs utilisés par le service de production par
exemple) ou physique (tous les ordinateurs situés au premier étage par exemple).
Vous pouvez utiliser une partie ou la totalité de votre réseau pour définir une étendue.
Ethernet Technologie de mise en réseau locale avec laquelle les données sont
transmises sous forme d’unités appelées paquets à l’aide de protocoles tels que TCP/IP.
FAI Fournisseur d’accès à Internet. Entreprise qui vend un accès à Internet et qui
fournit généralement un service d’hébergement web pour des applications de
commerce électronique, ainsi que des services de messagerie.
filtre Méthode de contrôle de l’accès à un serveur. Un filtre se compose d’une adresse
IP et d’un masque de sous-réseau et, parfois, d’un numéro de port et d’un type d’accès.
L’adresse IP et le masque de sous-réseau déterminent la plage d’adresses IP auquel le
filtre s’applique.
fournisseur d’accès à Internet Voir FAI.
FTP Initiales de « File Transfer Protocol » (protocole de transfert de fichiers). Protocole
permettant à des ordinateurs de transférer des fichiers sur un réseau. Les clients FTP,
utilisant tout système d’exploitation capable de prendre en charge le protocole FTP,
peuvent se connecter à un serveur de fichiers et télécharger des fichiers, en fonction
de leurs autorisations d’accès. La plupart des navigateurs Internet et un certain nombre
de graticiels permettent d’accéder aux serveurs FTP.
gigaoctet Voir Go.
Go Gigaoctet. 1 073 741 824 (230) octets.
Groupe de travail Ensemble d’utilisateurs pour lesquels vous êtes chargé de définir
les préférences et les privilèges d’accès en tant que groupe. Toutes les préférences que
vous définissez pour un groupe sont stockées dans le compte du groupe.
HTTP Hypertext Transfer Protocol. Protocole client/serveur pour le web. Le protocole
HTTP permet aux navigateurs web d’accéder à un serveur web et de demander des
documents hypermédias créés avec du code HTML.
Hypertext Transfer Protocol Voir HTTP.
186
Glossaire
IANA Initiales de « Internet Assigned Numbers Authority » (autorité d’attribution
des numéros sur Internet). Organisation responsable de l’allocation des adresses IP,
de l’attribution des paramètres de protocole et de la gestion des noms de domaine.
ICMP Initiales de « Internet Control Message Protocol ». Protocole de messages
de contrôle et de rapports d’erreurs utilisé entre serveurs hôtes et passerelles. Par
exemple, certaines applications Internet exploitent le protocole ICMP pour envoyer
un paquet en aller-retour entre deux hôtes pour déterminer les durées d’aller-retour
et détecter ainsi des problèmes éventuels sur le réseau.
identifiant Ethernet Voir adresse MAC.
IEEE Initiales de « Institute of Electrical and Electronics Engineers, Inc. », un organisme
dédié à la promotion de normes dans les domaines de l’informatique et de l’ingénierie
électrique.
IGMP Initiales de « Internet Group Management Protocol ». Protocole Internet utilisé
par les hôtes et les routeurs pour envoyer des paquets à des listes d’hôtes cherchant
à participer à un processus appelé multidiffusion. QTSS (QuickTime Streaming Server)
exploite l’adressage par multidiffusion, tout comme le protocole SLP (Service Location
Protocol).
interface de ligne de commande Manière d’interagir avec l’ordinateur (par exemple,
pour exécuter des programmes ou modifier des autorisations de système de fichiers)
en saisissant des commandes de texte à une invite de shell. Voir aussi shell ; invite
de shell.
interface réseau Connexion matérielle de votre ordinateur à un réseau. Les connexions
Ethernet, les cartes AirPort et les connexions FireWire en sont des exemples.
Internet Ensemble de réseaux d’ordinateurs interconnectés qui communiquent
à travers un protocole commun (TCP/IP). Internet est le système public de réseaux
d’ordinateurs interconnectés le plus étendu au monde.
Internet Assigned Numbers Authority Voir IANA.
Internet Control Message Protocol Voir ICMP.
Internet Group Management Protocol Voir IGMP.
Internet Message Access Protocol Voir IMAP.
Internet Protocol Voir IP.
invite du shell Caractère qui apparaît au début d’une ligne dans une interface de ligne
de commande et qui indique que l’on peut saisir une commande.
Glossaire
187
IP Internet Protocol. Également désigné par IPv4. Méthode utilisée conjointement
avec le protocole TCP (Transmission Control Protocol) pour envoyer des données
d’un ordinateur à un autre via un réseau local ou via Internet. Le protocole IP envoie
les paquets de données, alors que le protocole TCP se charge de leur suivi.
IPSec Ajout de sécurité au protocole IP. Protocole chargé de la sécurité dans
les transmissions de données pour les connexions L2TP VPN. IPSec agit au niveau
de la couche réseau, assurant la protection et l’authentification des paquets IP entre
les nœuds IPSec participants.
IPv4 Voir IP.
IPv6 Initiales de « Internet Protocol version 6 ». Protocole de communication de
nouvelle génération destiné à remplacer le protocole IP (également appelé IPv4).
IPv6 autorise un plus grand nombre d’adresses réseau et peut réduire les charges
de routage à travers Internet.
Ko Kilo-octet. 1 024 (210) octets.
L2TP Initiales de « Layer Two Tunnelling Protocol ». Protocole de transport réseau
utilisé pour les connexions VPN. Il s’agit avant tout d’une combinaison des protocoles
L2F de Cisco et PPTP. Comme L2TP n’est pas un protocole de chiffrement, il utilise
le complément IPSec pour le chiffrement des paquets.
LAN Initiales de « Local Area Network » (réseau local). Réseau maintenu au sein d’un
établissement, contrairement à un WAN (réseau étendu) qui relie des établissements
géographiquement distincts.
LDAP Initiales de « Lightweight Directory Access Protocol ». Protocole client-serveur
standard permettant l’accès à un domaine de répertoire.
Lightweight Directory Access Protocol Voir LDAP.
ligne de commande Texte que vous tapez après une invite de shell lorsque vous
utilisez une interface de ligne de commande.
liste de contrôle d’accès Voir ACL.
Mac OS X La dernière version du système d’exploitation d’Apple. Mac OS X allie
la fiabilité d’UNIX à la facilité d’emploi de Macintosh.
Mac OS X Server Plate-forme de serveur puissante, capable de gérer immédiatement
les clients Mac, Windows, UNIX et Linux et offrant un ensemble de services de réseau
et de groupes de travail extensible, ainsi que des outils perfectionnés de gestion à
distance.
masque de sous-réseau Nombre utilisé dans la mise en réseau IP pour indiquer
la partie d’une adresse IP correspondant au numéro du réseau.
188
Glossaire
Media Access Control Voir adresse MAC.
mégaoctet Voir Mo.
Microsoft Challenge Handshake Authentication Protocol Voir MS-CHAP.
monodiffusion Transmission de données vers un destinataire ou client unique.
Si un film est diffusé en monodiffusion à un utilisateur employant RSTP, celui-ci peut
parcourir librement un film à la demande.
Monodiffusion manuelle Méthode de transmission en direct d’un flux de données
vers un client QuickTime Player unique ou vers un ordinateur qui exécute QTSS. Un
fichier SDP est généralement créé par l’application de diffusion et doit ensuite être
envoyé manuellement au spectateur ou au serveur d’enchaînement.
mot de passe Chaîne alphanumérique utilisée pour authentifier l’identité d’un
utilisateur ou pour autoriser l’accès à des fichiers ou à des services.
MS-CHAP Initiales de « Microsoft Challenge Handshake Authentication Protocol »
(protocole d’authentification par interrogation-réponse développé par Microsoft).
Méthode d’authentification standard sous Windows pour les réseaux VPN. Cette
méthode d’authentification encode les mots de passe envoyés sur le réseau et les
stocke sous forme brouillée sur le serveur. Elle offre un bon niveau de sécurité lors
des transmissions sur réseau. MS-CHAP est une version propriétaire de CHAP.
multi-adressage Capacité à gérer plusieurs connexions réseau. Lorsque plusieurs
connexions sont disponibles, Mac OS X sélectionne la meilleure connexion en fonction
de l’ordre indiqué dans les préférences réseau.
multidiffusion La transmission simultanée d’un message à un sous-ensemble
d’ordinateurs sur un réseau. Voir aussi diffusion, monodiffusion. Dans Enchaînement
QuickTime, mode efficace d’enchaînement, de type 1 à n. Les utilisateurs peuvent se
joindre à une multidiffusion ou la quitter, mais ils ne peuvent pas interagir avec elle.
multidiffusion DNS Protocole développé par Apple pour la découverte automatique
d’ordinateurs, de périphériques et de services sur les réseaux IP. Appelé « Bonjour »
(auparavant « Rendezvous ») par Apple, ce protocole, proposé comme standard Internet,
est parfois appelé ZeroConf ou multidiffusion DNS. Pour en savoir plus, rendez-vous sur
www.apple.com/fr/ ou www.zeroconf.org (en anglais). Pour savoir comment ce
protocole est utilisé sous Mac OS X Server, reportez-vous à nom d’hôte local.
NAT Initiales de « Network Address Translation » (conversion d’adresses réseau).
Méthode de connexion de plusieurs ordinateurs à Internet (ou à tout autre réseau IP)
à l’aide d’une seule adresse IP. NAT convertit les adresses IP que vous attribuez aux
ordinateurs de votre réseau interne privé en une seule adresse IP valide pour les
communications Internet.
Glossaire
189
NetInfo Ancien protocole Apple permettant l’accès à un domaine de répertoire.
Network Address Translation Voir NAT.
NFS Network File System. Protocole client/serveur utilisant le protocole IP (Internet
Protocol) pour permettre aux utilisateurs distants d’accéder à des fichiers comme s’ils
se trouvaient sur leur disque. NFS peut exporter des volumes partagés vers des
ordinateurs en se basant sur l’adresse IP ; il prend par ailleurs en charge
l’authentification par signature unique avec Kerberos.
nœud Emplacement destiné au traitement. Un nœud peut être un ordinateur ou un autre
périphérique tel qu’une imprimante. Chaque nœud possède une adresse réseau unique.
Dans Xsan, un nœud correspond à tout ordinateur connecté à un réseau de stockage.
nom canonique Nom « réel » d’un serveur, si vous lui avez attribué un « surnom » ou
un alias. Le serveur mail.apple.com, par exemple, peut avoir comme nom canonique
MailSrv473.apple.com.
nom d’hôte Nom unique d’un ordinateur, autrefois appelé nom d’hôte UNIX.
nom d’hôte local Nom qui désigne un ordinateur sur un sous-réseau local. Il peut être
utilisé sans système DNS global pour convertir les noms en adresses IP. Il est constitué
de lettres minuscules, de nombres ou de tirets (sauf pour le dernier caractère) et se
termine par « .local » (par exemple, ordinateur-jean.local). Bien que le nom par défaut
soit dérivé du nom d’ordinateur, un utilisateur peut reprendre ce nom dans la sousfenêtre Partage des Préférences Système. Il peut aussi être aisément modifié et utilisé
dans tous les cas où un nom DNS ou un nom de domaine complet est utilisé. Il ne peut
être converti que sur le même sous-réseau que l’ordinateur qui l’utilise.
nom d’utilisateur Nom complet d’un utilisateur, parfois appelé nom réel de l’utilisateur.
nom de domaine Voir nom DNS.
nom de l’ordinateur Nom par défaut utilisé pour l’enregistrement auprès des services
SLP et SMB. L’explorateur réseau du Finder utilise SLP pour rechercher les ordinateurs
qui rendent publics leurs services de partage de fichiers personnel et de partage de
fichiers Windows. Il peut être réglé de façon à établir un pont entre les sous-réseaux
en fonction des réglages de routeur réseau. Lorsque vous activez le partage de fichiers
personnels, c’est le nom d’ordinateur que les utilisateurs voient dans la zone de dialogue
« Se connecter au serveur » dans le Finder. Ce nom correspond au départ à « Ordinateur
de <premier utilisateur créé> » (par exemple, « Ordinateur de Jean »), mais il peut être
modifié à loisir. Le nom d’ordinateur est utilisé pour parcourir les serveurs de fichiers
du réseau, les files d’attente d’impression, la détection Bluetooth®, les clients Apple
Remote Desktop et toute autre ressource réseau identifiant des ordinateurs par leur
nom d’ordinateur plutôt que par leur adresse réseau. Ce nom sert également de base
pour le nom d’hôte local par défaut.
190
Glossaire
nom DNS Nom unique d’un ordinateur, utilisé dans le système DNS (Domain Name
System) pour convertir les adresses IP et les noms. Également appelé nom de domaine.
NTP Initiales de « Network Time Protocol » (protocole d’horloge réseau). Protocole
réseau utilisé pour synchroniser les horloges d’ordinateurs connectés à un réseau avec
une horloge de référence donnée. Ce protocole permet de s’assurer que tous les
ordinateurs d’un réseau affichent tous la même heure.
octet Unité basique de mesure des données équivalant à huit bits (ou chiffres
binaires).
Open Directory Architecture de services de répertoire Apple, capable d’accéder
à des informations autorisées concernant des utilisateurs et des ressources réseau
à partir de domaines de répertoire utilisant les protocoles LDAP ou Active Directory,
ou des fichiers de configuration BSD et des services de réseau.
Open Source Terme désignant le développement coopératif de logiciels par la
communauté Internet. Le principe de base consiste à impliquer le maximum de
personnes dans l’écriture et la mise au point du code en publiant le code source et en
encourageant la formation d’une large communauté de développeurs qui feront part
de leurs modifications et améliorations.
paquet Unité de données constituée d’un en-tête, d’informations, d’un élément de
détection d’erreurs et d’enregistrements complémentaires. QTSS utilise des paquets
TCP, UDP et IP pour communiquer avec les clients.
passerelle Nœud réseau faisant l’interface entre deux réseaux. Le terme fait souvent
référence à un ordinateur assurant le lien entre un réseau local privé et un réseau WAN
public, que ce soit avec ou sans NAT (Network Address Translation). Un routeur est un
type particulier de passerelle qui relie des segments de réseau associés.
période de bail Durée limitée pendant laquelle des adresses IP sont attribuées.
L’utilisation de périodes courtes permet au protocole DHCP de réattribuer des adresses
IP sur les réseaux comportant plus d’ordinateurs que d’adresses IP disponibles.
pirate Utilisateur malveillant qui tente d’accéder sans autorisation à un système
informatique, afin de perturber le fonctionnement d’ordinateurs et de réseaux ou bien
de voler des informations. Comparer à pirate.
Point to Point Tunneling Protocol Voir PPTP.
politique de mot de passe Ensemble de règles déterminant la composition et la validité
du mot de passe d’un utilisateur.
Glossaire
191
politique de recherche Liste des domaines de répertoire parmi lesquels un ordinateur
Mac OS X nécessitant des informations de configuration effectue ses recherches.
Également, ordre dans lequel les domaines sont interrogés. Parfois appelée chemin
de recherche.
pont Appareil de mise en réseau d’ordinateurs qui connecte deux types de supports
de mise en réseau, par exemple sans fil et Ethernet. Un pont agit comme une passerelle
en transmettant du trafic réseau directement au support de destination sans le router
ni le modifier d’aucune manière. Les deux côtés du pont réseau doivent posséder le
même sous-réseau d’adresses IP. Un pont permet des relier de petits segments de
réseau connexes de manière simple.
port Sorte d’emplacement de messagerie virtuel. Un serveur utilise des numéros
de port pour déterminer quelle application doit recevoir les paquets de données.
Les coupe-feu utilisent des numéros de port pour déterminer si les paquets de
données sont autorisés à transiter par un réseau local. Le terme « port » fait
généralement référence à un port TCP ou UDP.
pourriel Message électronique commercial non sollicité. Voir spam.
PPTP Initiales de « Point to Point Tunneling Protocol ». Protocole de transport réseau
utilisé pour les connexions VPN. Il constitue le protocole VPN standard sous Windows
et utilise le mot de passe de l’utilisateur pour produire une clé de chiffrement.
privilèges Droit d’accéder à des zones restreintes d’un système ou d’effectuer
certaines tâches (telles que les tâches de gestion) du système.
protocole Ensemble de règles qui déterminent la manière dont les données sont
échangées entre deux applications.
protocole Challenge Handshake Authentication Protocol Voir CHAP.
QTSS QuickTime Streaming Server. Technologie permettant de diffuser des données
en temps réel sur Internet.
QuickTime Streaming Server (QTSS) Voir QTSS.
récursivité Processus de conversion complète des noms de domaine en adresses IP.
Une requête DNS non récursive permet la référence à d’autres serveurs DNS pour
convertir l’adresse. En règle générale, les applications des utilisateurs dépendent
du serveur DNS pour effectuer cette fonction, mais les autres serveurs DNS n’ont
pas à effectuer de requête récursive.
192
Glossaire
relais Dans QuickTime Streaming Server, un relais reçoit un flux entrant, puis le redirige
vers un ou plusieurs serveurs d’enchaînement. Les relais peuvent réduire l’utilisation de
la bande passante Internet et sont utiles pour les diffusions vers de nombreux
spectateurs se trouvant dans différents emplacements. En termes de courrier Internet,
un relais est un serveur de messagerie SMTP qui envoie le courrier entrant à un autre
serveur SMTP, mais pas à sa destination finale.
relais ouvert Serveur qui reçoit et réexpédie automatiquement le courrier vers un
autre serveur. Les expéditeurs de courrier indésirable exploitent les serveurs relais
ouverts afin d’éviter que leurs propres serveurs de messagerie ne figurent sur les listes
noires référençant les sources de courrier indésirable.
réseau local Voir LAN.
secret partagé Valeur définie à chaque nœud d’une connexion VPN L2TP et servant
de base de clé de chiffrement pour négocier les connexions d’authentification et de
transport des données.
Secure Sockets Layer Voir SSL.
serveur Ordinateur fournissant des services (service de fichiers, service de courrier
électronique ou service web, par exemple) à d’autres ordinateurs ou périphériques
de réseau.
serveur d’horloge Serveur réseau sur lequel les autres ordinateurs d’un réseau
synchronisent leur horloge afin que tous les ordinateurs soient réglés sur la même
heure. Voir aussi NTP.
serveur de noms Serveur d’un réseau qui tient à jour une liste des noms de domaines
et des adresses IP associées à chaque nom. Voir aussi DNS, WINS.
serveur proxy Serveur placé entre une application cliente, telle qu’un navigateur web,
et un serveur réel. Le serveur proxy intercepte toutes les requêtes envoyées au serveur
réel pour vérifier s’il peut y répondre lui-même. Si ce n’est pas le cas, il transmet la
requête au serveur réel.
services de répertoire Services fournissant au logiciel système et aux applications
un accès uniforme aux domaines de répertoire et à d’autres sources d’informations
relatives aux utilisateurs et aux ressources.
shell Programme exécutant d’autres programmes. Vous pouvez utiliser un shell pour
communiquer avec l’ordinateur en tapant des commandes à l’invite du shell. Voir aussi
interface de ligne de commande.
Glossaire
193
SLP DA Initiales de « Service Location Protocol Directory Agent ». Protocole qui
enregistre les services disponibles sur un réseau et permet aux utilisateurs d’y accéder
aisément. Lorsqu’un service est ajouté au réseau, il utilise le protocole SLP pour
s’enregistrer. SLP DA utilise un point de dépôt centralisé pour les services réseau
enregistrés.
SMTP Initiales de « Simple Mail Transfer Protocol » (protocole simple de transfert
de courrier). Protocole servant à envoyer et à transférer du courrier électronique.
Sa capacité à mettre les messages entrants en file d’attente est limitée. SMTP n’est ]]
donc généralement utilisé que pour envoyer des messages, tandis que le protocole
POP ou IMAP est utilisé pour recevoir des messages.
sous-domaine Parfois appelé nom d’hôte. Partie du nom de domaine d’un ordinateur
sur Internet. N’inclut pas l’indicateur de domaine ou de domaine de premier niveau
(par exemple .com, .net, .fr, .be). Le nom de domaine « www.exemple.com » est
constitué du sous-domaine « www », du domaine « exemple » et du domaine de
premier niveau « com ».
sous-réseau Regroupement, sur un même réseau, d’ordinateurs clients organisés par
emplacement (par exemple, selon les différents étages d’un bâtiment) ou par emploi
des ressources (par exemple, tous les étudiants en classe de seconde). L’utilisation des
sous-réseaux simplifie l’administration du réseau global. Voir aussi sous-réseau IP.
sous-réseau IP Partie d’un réseau IP, éventuellement un segment de réseau
physiquement indépendant, partageant une adresse réseau avec d’autres parties
du réseau et identifiée par un numéro de sous-réseau.
spam Courrier non sollicité, indésirable.
SSL Initiales de « Secure Sockets Layer » (couche sécurisée pour sockets réseau).
Protocole Internet permettant d’envoyer des informations authentifiées et chiffrées
à travers Internet. Les versions les plus récentes de SSL sont connues sous le nom
de TLS (Transport Level Security).
Stratum 1 Serveur Network Time Protocol (NTP) faisant autorité sur l’ensemble
d’Internet qui gère l’heure en temps universel coordonné (UTC) courante. D’autres
serveurs Stratum sont disponibles (2, 3, etc.). Chacun reçoit l’heure exacte d’un serveur
Stratum portant un numéro moins élevé.
TCP Initiales de « Transmission Control Protocol » (protocole de contrôle des
transmissions). Méthode utilisée conjointement avec le protocole IP (Internet Protocol)
pour envoyer des données, sous la forme d’unités de message, d’un ordinateur à un
autre à travers Internet. Le protocole IP gère la livraison effective des données, tandis
que le protocole TCP assure le suivi des unités de données (chaque message est divisé
en unités, appelées « paquets », qui permettent leur acheminement efficace sur
Internet).
194
Glossaire
temps universel coordonné Voir UTC.
texte clair Texte n’ayant pas été chiffré.
texte en clair Données non chiffrées.
time-to-live Voir TTL.
transfert de zone Méthode selon laquelle les données d’une zone sont répliquées
(copiées) sur des serveurs DNS d’autorité. Les serveurs DNS esclaves demandent des
transferts de zone à leurs serveurs maîtres afin d’en acquérir les données.
Transmission Control Protocol Voir TCP.
TTL Time-to-live. Durée spécifiée pendant laquelle les informations DNS sont stockées
dans la mémoire cache. Lorsqu’une paire nom de domaine/adresse IP se trouve en
mémoire cache depuis plus longtemps que la durée TTL spécifiée, l’entrée est
supprimée du cache du serveur de noms (mais pas du serveur DNS principal).
type d’enregistrement Catégorie particulière d’enregistrements, faisant référence, par
exemple, à des utilisateurs, des ordinateurs et des montages. Un domaine de répertoire
peut contenir un nombre différent d’enregistrements pour chaque type
d’enregistrements.
UDP User Datagram Protocol. Méthode de communication qui utilise le protocole IP
pour envoyer une unité de données (appelée datagramme) d’un ordinateur à un autre
sur un réseau. Les applications réseau qui n’ont que de très petites unités de données
à échanger peuvent utiliser le protocole UDP au lieu du TCP.
User Datagram Protocol Voir UDP.
UTC Initiales de « Universal Time Coordinated » (temps universel coordonné). Temps
de référence normalisé. Le temps universel coordonné est calculé par résonance
atomique, c’est pourquoi l’on appelle souvent les horloges synchronisées sur le temps
universel coordonné des « horloges atomiques ».
Virtual Private Network Voir VPN.
VPN virtual Private Network. Réseau utilisant le chiffrement et d’autres technologies
pour assurer des communications sécurisées à travers un réseau public, généralement
Internet. Les VPN sont de façon générale moins chers que les réseaux privés réels à
lignes privées, mais ils reposent sur l’utilisation du même système de chiffrement aux
deux extrémités. Le chiffrement peut être assuré par un logiciel de coupe-feu ou par
des routeurs.
Glossaire
195
WAN Initiales de « Wide Area Network » (réseau étendu). Réseau maintenu au sein
d’établissements géographiquement distincts, contrairement à un réseau LAN (réseau
local) qui est limité à un établissement. Votre interface WAN correspond généralement
à celle qui est connectée à Internet.
Windows Internet Naming Service Voir WINS.
WINS Initiales de « Windows Internet Naming Service » (service de noms Internet pour
Windows). Service de résolution de noms utilisé par les ordinateurs Windows pour faire
correspondre le nom des clients aux adresses IP. Un serveur WINS peut se trouver sur
un réseau local ou à l’extérieur sur Internet.
WLAN Initiales de « Wireless Local Area Network » (réseau local sans fil).
zone de réexpédition Zone DNS ne conservant aucune donnée et chargée de
réexpédier les requêtes DNS vers une autre zone.
zone maîtresse Enregistrements de la zone DNS conservés par un serveur DNS
principal. Une zone maîtresse est répliquée par des transferts de zone à des zones
esclaves sur des serveurs DNS secondaires.
196
Glossaire
A
accès
LDAP 37, 45, 148
listes de contrôle d’accès (ACL) 146
service de coupe-feu 110, 112
service web 110
utilisateurs sans fil 161
VPN 146, 154
administration VPN de site à site 155
Admin Serveur 34, 45, 55, 137
adressage lien-local 52
adresse MAC 39
adresses. Voir adresses IP
adresses IP
assignation 31
et Bonjour 52
BootP 30
caractère de remplacement 91
client 47
composants 89
configuration de DHCP 36, 39
contrôle de l’accès pour VPN 146
et le service de coupe-feu 89, 91
durées de bail 29, 36
dynamiques 27, 29
groupes 95, 99, 100
et partage Internet 80, 82
multiples 92
et NAT 80, 128
permutation circulaire 81
plages 91
protocole IPv6 177, 178
et la récursivité 65
redirection de port 124
réseaux TCP/IP 81
service DNS 49, 54, 75
statiques 27, 29, 39
et VPN 29, 138
adresses IP dynamiques 27, 29
adresses IP statiques 27, 29, 39
aide, utilisation 12, 13
alias
courrier électronique 53
Index
Index
enregistrement de zone 70
alias de courrier électronique, configuration du
DNS 53
Assistant réglages de passerelle 17
attaque par déni de service 75, 113
attaque par déni de service. Voir attaque DoS
attribut de durée de vie (Time-to-Live ou TTL) 53
attribut durée de vie (TTL) 81
attribut TTL. Voir attribut de durée de vie (Time-toLive)
authentification
EAP 161
Kerberos 136, 137
SecurID 149
VPN 136
Voir aussi RADIUS
authentification MS-CHAPv2 137
B
BIND (Berkeley Internet Name Domain) 50, 51, 55,
69, 75
BootP (protocole Bootstrap) 30
bootpd démon 31
Bootstrap, protocole. Voir BootP
borne d’accès AirPort
connexion Internet 21
et RADIUS 161, 162, 164, 168
C
caractère de remplacement dans les adresses IP 91
certificats 136, 138, 155, 165
chiffrement, protocoles VPN 136
clients
adresses IP pour 47
anciens systèmes d’exploitation 136
configuration du service NTP 173
connexions de la maison au réseau 152
liste des clients DHCP 41
sans fil 23, 168
VPN 138, 142, 151, 153
Voir aussi utilisateurs
CNAME (nom canonique) 51
comptes mobiles 135
197
configuration
clients NTP 172
groupes de travail 42
modifications apportées aux fichiers de
configuration Mac OS X Server 55
modifications apportées aux fichiers Mac OS X
Server 58
NAT 80, 122, 123, 125, 126, 129, 130
RADIUS 161, 165
service de coupe-feu 93, 95, 96, 102, 103, 104,
132
VPN 138, 139, 140, 141, 144, 148
Voir aussi DHCP; DNS
configuration pour un café-restaurant 44
configuration pour un laboratoire d’étudiants 43
connexions VPN de la maison au réseau 152
coupe-feu 105, 146, 154, 157
Voir aussi service de coupe-feu
coupe-feu adaptatif 105
courrier non sollicité. Voir filtrage du courrier
indésirable
D
définitions de routage VPN 144
dépannage, règles du service de coupe-feu 104
détection des messages indésirables 111
détection des virus 115
documentation 13, 15
domaines de répertoire LDAP 37, 45, 137, 148
Domain Name System. Voir DNS
dscl, outil 45
durées de bail, DHCP 29, 36
Dynamic Host Configuration Protocol. Voir DHCP
E
EAP (Extensible Authentication Protocol) 161
échangeur de courrier. Voir MX
enregistrement, nom de domaine 53
enregistrement de service (SRV). Voir enregistrement
SRV
enregistrement des noms de domaine 53
enregistrement HINFO (Infos sur le matériel) 51
enregistrement pointeur. Voir enregistrement PTR
enregistrement PTR (enregistrement pointeur) 51
enregistrements, gestion d’enregistrements de
zone 70, 72, 73
enregistrements de machine 51, 71
enregistrement SRV (service) 51, 72
enregistrement TXT 51
Ethernet, connexions de réseaux locaux virtuels 175
exploration de serveur 74
Extensible Authentication Protocol. Voir EAP
F
FAI (fournisseur d’accès à Internet) 49, 54, 135
198
Index
fichiers de secret partagé 22, 24, 136, 138, 155
fichiers partagés. Voir partage de fichiers
fichiers plist 124
filtres d’adresse IP 109
Fournisseur d’accès à Internet. Voir FAI
G
groupes, accès au VPN 146
groupes de travail, configuration pour 42
H
heure, synchronisation 171, 172
historiques
DHCP 33, 41
DNS 61, 63
RADIUS 167
service de coupe-feu 97, 107, 111
VPN 143, 150
I
IANA (Internet Assigned Numbers Authority) 53
identifiant d’étendue NetBios 38
identifiant Ethernet 39
importation de fichiers de zone 69
inspection dynamique de paquets 87
Internet Assigned Numbers Authority (IANA). Voir
IANA
Internet Protocol. Voir adresses IP
intranets 41
ipfw, outil 88, 106
IPSec (sécurité IP) 136, 139, 140, 155
J
jeux 114, 131
K
Kerberos 136, 137
L
L2TP/IPSec (Layer Two Tunneling Protocol, Secure
Internet Protocol) 136, 138, 140, 155
Layer Two Tunneling Protocol, Secure Internet
Protocol (L2TP/IPSec). Voir L2TP/IPSec
LDAP (Lightweight Directory Access Protocol) 37,
45, 137, 148
listes de contrôle d’accès (ACL) 146
M
Mac OS X Server
modifications apportées aux fichiers de
configuration 55, 58
masquage d’adresses IP. Voir NAT
masque de sous-réseau 89
messages d’erreur. Voir dépannage
méthode de permutation circulaire d’adresses IP 81
mise à niveau de la configuration DNS 57
mode furtif du service de coupe-feu 105
mots de passe, VPN 136
MX (mail exchanger) 77
mystification du DNS 74
N
NAT (Network Address Translation)
arrêt 127
configuration 80, 122, 123, 125, 126, 129, 130
configuration d’un espace de noms 80
configuration d’un serveur virtuel 131
configuration pour les jeux 131
et le service de coupe-feu 109, 121
démarrage 123, 127
et DHCP 42
introduction 121
et le protocole IPv6 177
liaison au réseau local 128
outils en ligne de commande 133
partage Internet 18
passerelle sans NAT 127
surveillance 128
vérification de l’état 128
natd, démon 134
navigateurs, réseau 52, 60, 76
NBNS (NetBios Name Server) 37
Network Address Translation. Voir NAT
nom canonique (CNAME). Voir CNAME
notation CIDR (Classless InterDomain Routing) 89
NTP (Network Time Protocol) 171, 172
O
Open Directory 58, 161
ordinateurs portables 135
outils antivirus. Voir détection de virus
outils en ligne de commande
Admin Serveur 33, 45
BootP 30
dscl 45
NAT 133
prise en charge d’IPv6 178
sudo 124
sysctl 88
transfert d’adresses IP 87
VPN de site à site 155
P
paquets refusés 108
partage de fichiers P2P (poste à poste). Voir P2P 114
partage Internet
Assistant réglages de passerelle 17
clients sans fil AirPort 21, 23, 168
connexion à réseau local câblé 21
connexion d’un réseau local câblé 80
Index
connexion WLAN 23, 24
contrôle de l’accès 110
et IPv6 177
méthode de l’adresse IP unique 82
et NAT 121
plusieurs domaines 82
passerelles, mise en réseau 21, 23, 127
Voir aussi NAT
Point-to-Point Tunneling Protocol (PPTP). Voir PPTP
ports
réseau local NAT 122, 123
réseau local virtuel 175
service de coupe-feu 86
VPN 139, 140
pourriel (message électronique commercial non
sollicité). Voir filtrage du courr
PPTP (Point-to-Point Tunneling Protocol) 136, 138,
141, 148, 155
problèmes. Voir dépannage
profilage du service DNS 75
protocole IPv6 177, 178
protocoles
BootP 30
EAP 161
IPv6 177, 178
LDAP 37, 45, 137, 148
NTP 171, 172
SMTP 111
TCP 86, 96, 113
UDP 86, 94
VPN 136, 137, 140, 141, 148, 155
Voir aussi DHCP
R
RADIUS (Remote Authentication Dial-In User Service)
arrêt 166
borne d’accès AirPort 162, 164, 168
démarrage 162, 166
historiques 167
introduction 161
vérification de l’état 166
vue d’ensemble de la configuration 162
récursivité DNS 61, 65, 76
redirection de port 124, 125, 126
Remote Authentication Dial-In User Service
(RADIUS). Voir RADIUS
répartition de la charge 81
répertoires. Voirdomaines, annuaire
réseau étendu. consultez WAN
réseau local virtuel. Voir VLAN
réseau privé 41, 81
Voir aussi VPN
réseaux distants 155, 165
réseaux locaux 135, 155, 175
Voir aussi NAT
199
réseaux locaux. Voir réseaux locaux
RSA Security 149
S
s2svpnadmin, outil 155
sauvegardes pour la mise à niveau du DNS 57
SecurID, authentification 149
sécurité
Bonjour 76
DNS 73, 75
IPSec 136, 139, 140, 155
RADIUS 165
réseau local virtuel 175
VPN 136, 138, 155
Voir aussi accès; authentification; service de
coupe-feu
serveradmin outil 34, 45
serveur d’horloge 172
Voir aussi NTP
serveur de fichiers Apple 112
serveur de mots de passe Open Directory 161
serveur de noms 51, 53
Voir aussi DNS
serveur NBDD (NetBios Datagram Distribution) 38
serveurs
et DNS 30, 36
emplacement 31
NBDD 38
NBNS 38
plusieurs serveurs DHCP 31
réinitialisation 105
sécurisation DNS 73
sécurisation du DNS 75
serveur d’horloge 172
serveur de fichiers Apple 112
serveur de noms 51, 53
virtuels 131, 132
serveurs Stratum 171
serveurs virtuels, passerelle NAT 131, 132
service AFP (Apple Filing Protocol). Voir AFP
service de coupe-feu
affichage des règles actives 106, 107
arrêt 99
blocage du courrier indésirable 111
configuration d’un serveur virtuel 132
configuration de règles avancées 102, 103, 104
contrôle de l’accès 110, 112
contrôle de l’utilisation de jeux 114
coupe-feu adaptatif 105
démarrage 88, 93, 95, 98
dépannage de règles 104
groupes d’adresses 95, 99, 100
historique 111
historiques 97, 107
introduction 85, 86
200
Index
lutte contre les virus 115
mode furtif 105
et NAT 109, 121
paquets filtrés 109
paquets refusés 108
partage de fichiers P2P 114
partage Internet 17
ports 115
prévention des attaques par déni de service 113
réglages de services 96, 101
réinitialisation du serveur 105
vérification de l’état 106
et VPN 138
vue d’ensemble de la configuration 93, 95
vue d’ensemble des règles 88, 91, 93
service de courrier 53, 77, 78
service de messagerie 111, 115
service de navigation Bonjour 52, 60, 76
service DHCP (Dynamic Host Configuration Protocol)
adresses IP 36, 39
arrêt 34
configuration 28, 29, 30, 31, 32
démarrage 31, 33
durées de bail 29, 36
emplacement des serveurs 31
exemples de configurations 41, 42, 43, 44
historiques 33, 41
introduction 27, 29
liste des clients 41
mappages d’adresses statiques 39
et NAT 42
options LDAP 37, 45
options WINS 37
partage Internet 17
réglage du serveur DNS 36
sous-réseaux 32, 34, 35, 36, 47
vérification de l’état 40
et VPN 138
service DNS (Domain Name System)
adresses IP 49, 54, 75
alias de courrier électronique 53
arrêt 64
BIND 50, 51, 55, 69, 75
et Bonjour 52, 60, 76
configuration d’un serveur virtuel 131
démarrage 56, 62
enregistrements de machine 51, 71
hébergement de plusieurs domaines 82
hébergement de plusieurs services 82
historiques 61, 63
introduction 49
options du sous-réseau DHCP 36
partage Internet 18
passerelle NAT 80
récursivité 61, 65, 76
réglages 61
répartition de la charge 81
réseau TCP/IP privé 81
sauvegardes pour la mise à niveau 57
sécurisation du serveur 73, 75
service de courrier 77, 78
vérification de l’état 63
vue d’ensemble de la configuration 53
Voir aussi zones DNS
service IPFilter. Voir service coupe-feu
service NetBoot 43
service sans fil. Voir borne d’accès AirPort; RADIUS
services d’annuaire, Open Directory 58, 161
services réseau, introduction 11
service web, contrôle de l’accès 110
SMTP (Simple Mail Transfer Protocol) 111
sous-domaines 54
sous-réseaux
création 32
désactivation 35, 47
DHCP 32, 34, 35, 47
et emplacement des serveurs 31
options LDAP 37
réglages de durée de bail 36
suppression 35
WINS 37
spam. Voir filtrage du courrier indésirable
sudo outil 124
synchronisation de l’heure 171, 172
sysctl, outil 88
T
talonnage de service 76
TCP (Transmission Control Protocol) 86, 96, 113
TCP/IP et les réseaux privés 81
temps universel coordonné 171
temps universel coordonné. Voir UTC
transfert d’adresses IP 87
Transmission Control Protocol. Voir TCP
U
UDP (User Datagram Protocol) 86, 94
User Datagram Protocol, protocole. Voir UDP
utilisateurs
accès au VPN 146
accès sans fil 161
mobiles 135
Voir aussi clients; RADIUS
V
VLAN (Virtual Local Area Network) 175
VPN (Virtual Private Network)
arrêt 144
assignation d’adresses IP 29, 138
authentification 136, 138
clients 138, 142, 151, 153
configurations supplémentaires 148
connexions 22, 24, 150, 152
contrôle de l’accès 146, 154
définitions de routage 144
démarrage 139, 143
historiques 143, 150
introduction 135
et LDAP 137, 148
partage Internet 17
protocoles pris en charge par plate-forme 138
réglages L2TP 140
réglages PPTP 141
sécurité 136, 138, 155
site à site 155
vérification de l’état 150
vue d’ensemble de la configuration 139
W
WAN (réseau étendu) 135
WINS (Windows Internet Naming Service) 37
WLAN (wireless local area network) 23, 24
www.dns.net/dnsrd 83
X
Xserve G5 175
Z
zone de redirection DNS 51, 68
zone principale DNS 50, 58, 66, 74
zones DNS
activation des transferts 64
ajout 66, 67, 68
configuration 58, 60
désactivation des transferts 64
enregistrement d’alias 70
enregistrements de machine 51, 71
fichier de zone BIND 69
introduction 50
modification 68
redirection 51, 68
sécurité 73
suppression 68
zone secondaire DNS 50, 60, 67
virtual private network. Voir VPN
Index
201