Mac OS X Server Administration d Open Directory Pour Leopard version 10.5

Mac OS X Server Administration d Open Directory Pour Leopard version 10.5

appleappleinc. 2007AppleInc.Tousdroitsréservés. Lepropriétaireoul utilisateurautoriséd unexemplaire validedulogicielmacosxserverpeutreproduirela présentepublicationàdesfinsd apprentissagedudit logiciel.laprésentepublicationnepeutêtrereproduite outransmiseentotalitéouenpartieàdesfinscommerciales,tellesquelaventedecopiesoulaprestationd un serviced assistancepayant. Tousleseffortsnécessairesontétémisenœuvrepour quelesinformationscontenuesdanscemanuelsoient lesplusexactespossibles.appleinc.n estpasresponsabledeserreursd écritureetd impression. Apple 1InfiniteLoop CupertinoCA95014-2084 www.apple.com LelogoAppleestunemarqued AppleInc.,déposée *auxétats-unisetdansd autrespays.enl absence duconsentementécritd Apple,l utilisationàdesfins commercialesdecelogovialeclavier(option+1) pourraconstituerunactedecontrefaçonet/oude concurrencedéloyale. Apple,lelogoApple,Mac,Macintosh,XgridetXserve sontdesmarquesd AppleInc.déposéesauxÉtats-Unis etdansd autrespays.finderestunemarqued AppleInc. AdobeetPostScriptsontdesmarquesd AdobeSystems Incorporated. UNIXestunemarquedéposéedeTheOpenGroup. Lesautresnomsdesociétésetdeproduitsmentionnés icisontdesmarquesdeleursdétenteursrespectifs.la mentiondeproduitstiersn esteffectuéequ àdesfins informativesetneconstitueenaucuncasuneapprobationniunerecommandation.applen assumeaucune responsabilitévis-à-visdesperformancesoudel utilisationdecesproduits. F019-0935/01-09-2007

1 Tabledesmatières Préface 11 Àproposdeceguide 12 Nouveautésdelaversion10.5 13 Contenudeceguide 14 Utilisationdeceguide 15 Utilisationdel aideàl écran 15 Guidesd administrationdemacosxserver 17 VisualisationdeguidesPDFàl écran 17 ImpressiondesguidesPDF 18 Obtenirdesmisesàjourdedocumentation 18 Pourobtenirdesinformationssupplémentaires Chapitre1 19 ServicesderépertoireavecOpenDirectory 19 Avantagesdel utilisationdeservicesderépertoire 20 Servicesetdomainesderépertoire 21 Pointdevuehistorique 21 Consolidationdesdonnées 23 Répartitiondesdonnées 24 Utilisationdesdonnéesdesrépertoires 26 Accèsauxservicesderépertoires 26 Auseind undomainederépertoire 28 StructuredesinformationsderépertoireLDAP 29 Domainesderépertoirelocauxetpartagés 29 Àproposdudomainederépertoirelocal 30 Àproposdesdomainesderépertoirepartagés 31 Donnéespartagéesdansdesdomainesderépertoireexistants 31 ServicesSMBetOpenDirectory 32 OpenDirectorycommecontrôleurdedomaineprincipal 34 OpenDirectorycommecontrôleurdedomainesecondaire Chapitre2 35 PolitiquesderechercheOpenDirectory 35 Niveauxdepolitiquederecherche 36 Politiquederecherchedansledomainederépertoirelocal 36 Politiquesderechercheàdeuxniveaux 3

38 Politiquesderecherchemultiniveaux 40 Politiquesderechercheautomatiques 41 Politiquesderecherchepersonnalisées 42 Politiquesderecherched authentificationetdecontacts Chapitre3 43 AuthentificationOpenDirectory 44 Typesdemotsdepasse 44 Authentificationetautorisation 45 MotsdepasseOpenDirectory 45 Motsdepasseshadow 46 Motsdepassecryptés 46 Fournitured authentificationsécuriséeauxutilisateurswindows 47 Attaqueshorslignesurdesmotsdepasse 48 Déterminationdel optiond authentificationàutiliser 50 Politiquesdemotdepasse 51 Authentificationparsignatureunique 51 AuthentificationKerberos 53 SurmonterlesobstaclesdudéploiementdeKerberos 54 Expérienceenmatièredesignatureunique 54 Authentificationsécurisée 55 Prêtàallerau-delàdesmotsdepasse 55 Authentificationmultiplateforme 55 Authentificationcentralisée 56 Serviceskerbérisés 56 ConfigurationdeservicespourKerberosaprèslamiseàniveau 57 PrincipauxetroyaumesKerberos 57 Processusd authentificationkerberos 59 Méthodesd authentificationparserveurdemotsdepasseopendirectoryetparmot depasseshadow 60 Désactivationdesméthodesd authentificationopendirectory 62 Désactivationdesméthodesd authentificationdemotsdepasseshadow 63 ContenudelabasededonnéesduserveurdemotsdepasseOpenDirectory 64 AuthentificationparliaisonLDAP Chapitre4 65 OutilsdeplanificationetdegestionOpenDirectory 66 Directivesgénéralesdeplanification 69 Évaluationdesbesoinsenmatièrederépertoiresetd authentification 70 Identificationdeserveurspourl hébergementdedomainespartagés 71 DuplicationdeservicesOpenDirectory 72 Ensemblederépliques 72 Réplicationencascade 74 PlanificationdelamiseàniveaudeplusieursrépliquesOpenDirectory 74 Répartitiondelachargedanslespetits,moyensetgrandsenvironnements 4 Tabledesmatières

74 Réplicationdansuncampuscomprenantplusieursbâtiments 75 Utilisationd unmaître,d unerépliqueoud unrelaisopendirectoryavecnat 76 CompatibilitéentremaîtreetrépliquesOpenDirectory 76 MélangedeservicesdemaîtresetrépliquesActiveDirectoryetOpenDirectory 78 Intégrationavecdesdomainesderépertoireexistants 79 Intégrationsansmodificationsauschéma 79 Intégrationavecmodificationsauschéma 80 ÉvitementdeconflitsKerberosavecplusieursrépertoires 82 Améliorationdesperformancesetdelaredondance 83 Sécuritéd OpenDirectory 85 Listesdecontrôled accèsàunservice(sacl) 85 Administrationparniveaux 86 OutilspourlagestiondesservicesderépertoireOpenDirectory 87 AdminServeur 88 Utilitairederépertoire 88 Gestionnairedegroupedetravail 89 Utilitairesdelignedecommande Chapitre5 91 ConfigurationdesservicesOpenDirectory 91 Vued ensembledelaconfiguration 93 Avantdecommencer 93 Gestiond OpenDirectorysurunserveurdistant 94 Activationd OpenDirectory 94 Configurationd unservicederépertoireautonome 95 Configurationd unmaîtreopendirectory 98 Explicationdelafaçond ouvrirunesession 98 Configurationd uncontrôleurdedomaineprincipal 100 ConfigurationdeWindowsVistapourl ouverturedesessiondedomaine 101 ConfigurationdeWindowsXPpourl ouverturedesessiondedomaine 101 ConfigurationdeWindows2000pourl ouverturedesessiondedomaine 102 Configurationd unerépliqueopendirectory 105 Créationdeplusieursrépliquesd unmaîtreopendirectory 105 ConfigurationderelaisOpenDirectorypourlaréplicationencascade 106 Configurationd unserveurcommecontrôleurdedomainesecondaire 107 ConfigurationdubasculementOpenDirectory 108 Configurationd uneconnexionàunserveurderépertoire 110 Configurationd unserveurcommemembred undomainedecontrôleurde domaineprincipalmacosxserver 111 Configurationd unserveurcommemembred undomaineactivedirectory 113 Configurationdel authentificationkerberosparsignatureunique 115 Configurationd unroyaumekerberosopendirectory 116 DémarragedeKerberosaprèslaconfigurationd unmaîtreopendirectory Tabledesmatières 5

117 Délégationd autoritépourconnecterdesserveursàunroyaume KerberosOpenDirectory 119 ConnecterunserveuràunroyaumeKerberos Chapitre6 121 Gestiondel authentificationd utilisateur 122 Compositiond unmotdepasse 123 Modificationdumotdepassed unutilisateur 124 Réinitialisationdesmotsdepassedeplusieursutilisateurs 125 Modificationdutypedemotdepassed unutilisateur 125 ChoixdutypedemotdepasseOpenDirectory 127 ChangementdutypedemotenMotdepassecrypté 128 Choixdutypedemotdepasseshadow 129 Activationdel authentificationkerberosparsignatureuniquepourunutilisateur 129 Changementdepolitiquedemotdepasseglobale 130 Configurationdespolitiquesdemotdepassed utilisateursindividuels 132 Sélectiondeméthodesd authentificationpourdesutilisateursdemotsdepasse shadow 133 Sélectiondeméthodesd authentificationpourdesutilisateursdemotsdepasse OpenDirectory 134 Attributiondedroitsd administrateurpourl authentificationopendirectory 135 Synchronisationdesmotsdepassed administrateurprincipaux 135 Activationdel authentificationparliaisonldappourunutilisateur 136 Configurationdemotsdepassed utilisateursexportésouimportés 137 MigrationdemotsdepasseàpartirdeMacOSXServer10.1ouantérieur Chapitre7 139 Gestiondesclientsderépertoire 139 Connexiondeclientsauxserveursderépertoire 139 Àproposdesconnexionsauxserveursderépertoire 140 Configurationautomatiquedesclients 141 Ajoutd uneconnexionàunserveuractivedirectory 142 Ajoutd uneconnexionàunserveuropendirectory 142 Suppressiond uneconnexionàunserveurderépertoire 143 Modificationd uneconnexionàunserveurderépertoire 143 Contrôledesconnexionsauxserveursderépertoire 143 Gestionducompted utilisateurroot 144 Activationducompted utilisateurroot 144 Modificationdumotdepasseducompted utilisateurroot Chapitre8 147 Réglagesavancésdesclientsderépertoire 147 Àproposdesréglagesavancésdesservicesderépertoire 148 Configurationdel Utilitairederépertoiresurunserveurdistant 148 Configurationdefichesdemontagepourledomainederépertoirelocal d unordinateur 6 Tabledesmatières

149 Ajoutd unefichedemontageaudomainederépertoirelocal 150 Suppressiond unefichedemontagedudomainederépertoirelocal 150 Modificationd unefichedemontagedansledomainederépertoirelocal 150 Utilisationdesréglagesavancésdesrèglesderecherche 152 Définitiondepolitiquesderechercheautomatiques 153 Définitiondepolitiquesderecherchepersonnalisées 154 Définitiondepolitiquesderecherchederépertoirelocal 154 Attentedel entréeenvigueurd unemodificationdelapolitiquederecherche 154 ProtectiondesordinateurscontreunserveurDHCPmalveillant 155 Utilisationdesréglagesavancésdesservicesderépertoire 156 ActivationoudésactivationduserviceActiveDirectory 156 ActivationoudésactivationdesservicesderépertoiresLDAP 157 UtilisationdesréglagesavancésdesservicesLDAP 158 AccèsàdesrépertoiresLDAPdansMailetCarnetd adresses 158 Activationoudésactivationd unrépertoireldapfourniviadhcp 159 AffichageoumasquagedeconfigurationspourserveursLDAP 160 Configurationdel accèsàunrépertoireldap 163 Configurationmanuelledel accèsàunrépertoireldap 165 Modificationd uneconfigurationpourl accèsàunrépertoireldap 167 Duplicationd uneconfigurationpourl accèsàunrépertoireldap 169 Suppressiond uneconfigurationpourl accèsàunrépertoireldap 170 Modificationdesréglagesdeconnexiond unrépertoireldap 171 ModificationdelapolitiquedesécuritépouruneconnexionLDAP 173 ConfigurationdesrecherchesetmappagesLDAP 176 ConfigurationdelaliaisonsécuriséepourunannuaireLDAP 177 ArrêtdelaliaisonsécuriséeavecunannuaireLDAP 178 Modificationdudélaid ouverture/defermeturepouruneconnexionldap 178 ModificationdudélaiderequêtepouruneconnexionLDAP 179 ModificationdudélaidetentativedereconnexionpouruneconnexionLDAP 179 Modificationdudélaid inactivitépouruneconnexionldap 180 Forçagedel accèsldapv2enlectureseule 180 IgnorancedesréférencesdeserveurLDAP 181 Authentificationd uneconnexionldap 181 ModificationdumotdepasseutilisépourauthentifieruneconnexionLDAP 182 Mappaged attributsd enregistrementdeconfigurationpourrépertoiresldap 183 ModificationdumappageRFC2307pouractiverlacréationd utilisateurs 184 Préparationd unrépertoireldapenlectureseulepourmacosx 184 Remplissaged annuairesldapavecdesdonnéespourmacosx 185 UtilisationdesréglagesavancésdesservicesActiveDirectory 186 Àproposdel accèsàactivedirectory 188 Configurationdel accèsàundomaineactivedirectory 191 Configurationdecomptesd utilisateurmobilesdansactivedirectory 192 Configurationdedossiersdedépartpourdescomptesd utilisateuractivedirectory Tabledesmatières 7

193 Configurationd unshellunixpourdescomptesd utilisateuractivedirectory 194 Associationdel UIDàunattributActiveDirectory 195 Mappagedel identifiantdegroupeprincipalversunattributactivedirectory 196 Mappagedel identifiantdegroupedescomptesdegroupeversunattributactive Directory 197 Spécificationd unserveuractivedirectorypréféré 198 ModificationdesgroupesActiveDirectoryautorisésàadministrerl ordinateur 199 Contrôledel authentificationàpartirdetouslesdomainesdelaforêt ActiveDirectory 200 RupturedelaliaisonavecleserveurActiveDirectory 200 Modificationdecomptesd utilisateuretd autresenregistrementsdansactivedirectory 201 Configurationdel accèsldapauxdomainesactivedirectory 202 DéfinitiondesréglagesNIS 203 DéfinitiondesréglagesdefichierdeconfigurationBSD 204 ConfigurationdedonnéesdansdesfichiersdeconfigurationBSD Chapitre9 205 MaintenancedesservicesOpenDirectory 205 Contrôledel accèsauxserveursetservicesopendirectory 206 Contrôledel accèsàlafenêtred ouverturedesessiond unserveur 206 Contrôledel accèsauservicessh 207 Configurationducontrôled accèsàunservice 208 Configurationdeprivilègesdefiche 209 Contrôled OpenDirectory 210 Contrôledel étatd unserveuropendirectory 210 Contrôledesrépliquesetdesrelaisd unmaîtreopendirectory 211 AffichagedesétatsetdeshistoriquesOpenDirectory 211 Contrôledel authentificationopendirectory 212 Affichageetmodificationdesdonnéesderépertoire 212 Affichagedel Inspecteurderépertoire 213 Masquagedel inspecteurderépertoire 213 Définitiondecontrôlesd accèsauxrépertoires(dac,directoryaccesscontrols) 214 Suppressiond enregistrements 215 Suppressiond utilisateursoud ordinateursàl aidedel Inspecteuroudelalignede commande 216 Modificationdunomabrégéd unutilisateur 217 Importationd enregistrementsdetoustypes 217 Définitiondesoptionsd unserveuropendirectory 218 Configurationd unepolitiquedeliaisonpourunserveuropendirectory 219 Configurationd unrèglementdesécuritépourunserveuropendirectory 220 Modificationdel emplacementd unebasededonnéesldap 221 LimitationdesrésultatsdelarecherchepourleserviceLDAP 221 DéfinitiondudélaiderechercheautorisépourleserviceLDAP 8 Tabledesmatières

222 ConfigurationdeSSLpourleserviceLDAP 222 Créationd uneconfigurationsslpersonnaliséepourldap 224 GestiondelaréplicationOpenDirectory 224 Planificationdelaréplicationd unmaîtreopendirectoryoud uncontrôleurde domaineprincipal(pdc) 225 Synchronisationd unerépliqueopendirectoryoud uncontrôleurdedomainesecondaireàlademande 226 Conversiond unerépliqueopendirectoryenunrelais 226 Promotiond unerépliqueopendirectory 229 Misehorsserviced unerépliqueopendirectory 230 Archivaged unmaîtreopendirectory 231 Restaurationd unmaîtreopendirectory Chapitre10 235 RésolutiondeproblèmesliésàOpenDirectory 235 RésolutiondeproblèmesliésauxmaîtresetauxrépliquesOpenDirectory 235 SiKerberosestarrêtésurunmaîtreouunerépliqueOpenDirectory 236 SivousnepouvezpascréerunerépliqueOpenDirectory 236 SivousnepouvezpascréerunmaîtreouunerépliqueOpenDirectoryàpartird un fichierdeconfiguration 236 Sivousnepouvezpasconnecterunerépliqueàunrelais 237 SivousnepouvezpasconnecterunerépliqueOpenDirectoryàunOpenDirectory quiestlesubordonnéd unserveuractivedirectory 237 Résolutiondeproblèmesdesconnexionàdesrépertoires 237 Siunralentissementseproduitlorsdudémarrage 237 Résolutiondesproblèmesd authentification 237 SivousnepouvezpasmodifierlemotdepasseOpenDirectoryd unutilisateur 238 Siunutilisateurnepeutpasaccéderàcertainsservices 238 Siunutilisateurneparvientpasàs authentifierpourleservicevpn 238 Sivousnepouvezpaschangerletypedemotdepassed unutilisateurentype OpenDirectory 239 Silesutilisateursexploitantunserveurdemotsdepassenepeuventpasouvrirde session 239 Silesutilisateursnepeuventpasouvrirdesessionsousuncompteissud un domainederépertoirepartagé 239 SivousnepouvezpasouvrirunesessioncommeutilisateurActiveDirectory 240 Sidesutilisateursnepeuventpass authentifierparkerberosetlasignatureunique 242 Silesutilisateursn arriventpasàmodifierleurmotdepasse 242 SivousnepouvezpasconnecterunserveuràunroyaumeKerberosOpenDirectory 243 Sivousdevezréinitialiserunmotdepassed administrateur Annexe 245 DonnéesderépertoireMacOSX 246 ExtensionsOpenDirectoryauschémaLDAP 247 Classesd objetsduschémaldapopendirectory Tabledesmatières 9

Glossaire 305 Index 313 256 AttributsduschémaLDAPOpenDirectory 276 Mappagedetypesd enregistrementsetd attributsstandardversldapet ActiveDirectory 277 Mappagesd utilisateurs(users) 280 Mappagesdegroupes(Groups) 282 Mappagesdemontages(Mounts) 282 Mappagesd ordinateurs(computers) 284 Mappagesdelistesd ordinateurs(computerlists) 285 Mappagesdeconfigurations(Config) 286 Mappagesdepersonnes(People) 287 Mappagesdelistesd ordinateurspréréglés(presetcomputerlists) 288 Mappagesdegroupespréréglés(PresetGroups) 289 Mappagesd utilisateurspréréglés(presetusers) 290 Mappagesd imprimantes(printers) 292 Mappagesdeconfigurationsautomatiquesdeserveur(AutoServerSetup) 292 Mappagesd emplacements(locations) 293 typesd enregistrementsetattributsopendirectorystandard 293 Attributsstandarddanslesenregistrementsd utilisateurs 299 Attributsstandarddanslesenregistrementsdegroupes 300 Attributsstandarddanslesenregistrementsd ordinateurs 301 Attributsstandarddanslesenregistrementsdegroupesd ordinateurs 302 Attributsstandarddanslesenregistrementsdemontages 303 Attributsstandarddanslesenregistrementsdeconfigurations 10 Tabledesmatières

Àproposdeceguide Préface Ceguidedécritlesservicesderépertoireetd authentificationquevouspouvezconfigureràl aidedemacosxserver. Ilexpliqueégalementcommentconfigurerlesordinateurs clientsmacosxserveretmacosxpourlesservicesde répertoire. OpenDirectorydeMacOSXServerfournitdesservicesderépertoireetd authentification pourréseauxmixtesd ordinateursmacosx,windowsetunix. OpenDirectoryutiliseOpenLDAP,l implémentationopensourceduprotocole LightweightDirectoryAccessProtocol(LDAP),pourfournirdesservicesderépertoire. OpenLDAPestcompatibleavecd autresserveursldapbaséssurdesstandardset peutêtreintégréàdesservicespropriétairescomme,parexemple,activedirectory demicrosoftetedirectorydenovell. PourlabasededonnéesLDAPprincipale,OpenDirectoryutiliselabasededonnées Berkeleyopensource.C estunebasededonnéestrèsextensiblepourl indexation àhautesperformancesdecentainesdemilliersdecomptesd utilisateuretd autres enregistrements. LemoduleexterneOpenDirectorypermetàunclientMacOSXouMacOSXServer delireetd écriredesinformationsfaisantautoritésurlesressourcesd utilisateuretde réseauprovenantden importequelserveurldap,mêmeactivedirectory,lesystème propriétairedemicrosoft.leserveurpeutaussiaccéderàdesfichessetrouvantdans desrépertoireshéritéstelsquenisetdesfichiersdeconfigurationbsdlocaux(/etc). 11

OpenDirectoryfournitaussiunserviced authentification.ilpeutstockeretvalideren toutesécuritélesmotsdepassedesutilisateursdésireuxd ouvrirunesessionsurdes ordinateursclientsdevotreréseauoud utiliserd autresressourcesréseauquinécessitentuneauthentification.opendirectorypermetégalementd appliquercertaines politiquesconcernantnotammentl expirationdesmotsdepasseouleurlongueur minimale.opendirectorypeutenoutreauthentifierdesutilisateursd ordinateurs Windowspourl ouverturedesessionsurdesdomaines,leservicedefichiersetd autres serviceswindows(servicessmb)fournisparmacosxserver. Uncentrededistributiondeclés(KDC)KerberosMITestentièrementintégréàOpen Directoryetfournituneauthentificationsécuriséequiprendenchargelasignature unique.celasignifiequelesutilisateursnedoivents authentifierqu uneseulefois, avecuneseuleetuniquepairenomd utilisateur/motdepasse,pouraccéderàl ensembledesservicesréseaupourlesquelskerberosaétéactivé. Pourlesservicesquin acceptentpasl authentificationkerberos,leservicesecure AuthenticationandServiceLayer(SASL)intégrénégocielemécanismed authentificationleplussûrpossible. Deplus,laréplicationderépertoiresetd authentificationoptimiseladisponibilitéet l extensibilité.encréantdesrépliquesdesserveursopendirectory,vouspouvezaisémentmaintenirdesserveursdebasculementetdesserveursdistantspourl interaction rapideaveclesclientssurdesréseauxdistribués. Nouveautésdelaversion10.5 MacOSXServer10.5offrelesaméliorationsmajeuressuivantesdansOpenDirectory: Â Configurationsimplifiéedel accèsldapv3:l Utilitairederépertoirevousaideà configureruneconnexionàunannuaireldap. Â Interfaced AdminServeuraméliorée:AdminServeurdisposed uneinterfaceplus ergonomique. Â Autorisationaméliorée:vouspouvezrelierunserveurOpenDirectoryMacOSXà unserveuractivedirectoryetutiliseruneautorisationcouvrantplusieursdomaines. Â ServeurLDAPamélioré:MacOSXServer10.5utiliseOpenLDAP2.3.xetBerkeley DB4.2.52. Â Domainelocalamélioré:MacOSXutiliseundomainederépertoirelocalpour l authentificationdel ordinateurlocal. Â Réplicationaméliorée:vouspouvezavoiruneréplicationàdeuxniveauxd un mêmemaître(égalementappeléeréplicationencascade).celavouspermetd avoir jusqu à1056répliquesd unmêmemaîtreopendirectoryetdesensemblesderépliquesouunesélectionderépliqueplusefficacespourleserveurdemotsdepasse, LDAPetKerberos. 12 PréfaceÀproposdeceguide

 Administrationaméliorée:vouspouvezbénéficierd uneplusgrandeextensibilité enmatièred administrationdesdomainesderépertoireenfaisantappelàuneadministrationàplusieursniveaux.  Meilleurepriseenchargedesapplications:vouspouvezutiliserOpenDirectory avecdesapplicationstellesqu AppleWiki. Contenudeceguide Ceguidecomprendleschapitressuivants:  Lechapitre1,«ServicesderépertoireavecOpenDirectory»présentelesdomaines derépertoire,lafaçondontilssontorganisésetutilisés.  Lechapitre2,«PolitiquesderechercheOpenDirectory»présentelespolitiquesde recherchepourunouplusieursdomainesderépertoireetdécritlespolitiquesde rechercheautomatisées,personnaliséesoulocalesuniquement.  Lechapitre3,«AuthentificationOpenDirectory»décritl authentification OpenDirectory,lesmotsdepasseshadowetcryptés,Kerberos,laliaisonLDAP etlasignatureunique.  Lechapitre4,«OutilsdeplanificationetdegestionOpenDirectory»vousaideà déterminervosbesoinsenmatièrededomainesderépertoire,àestimervosexigencesenmatièrederépertoiresetd authentification,àidentifierlesserveurspour l hébergementdesdomainespartagés,àaméliorerlesperformancesetlaredondance,àgérerlaréplicationdansuncampusmultiliaisonetàsécuriservosservices OpenDirectory.Cechapitreprésenteégalementlesoutilsdegestiondesservices OpenDirectory.  Lechapitre5,«ConfigurationdesservicesOpenDirectory»expliquecommentconfigurerunserveurOpenDirectoryetdécritlesconfigurationsetlesrôlesquevous pouvezdéfinir.cechapitrevousexpliqueégalementcommentdéfinirlesoptionsdu serviceldapd unmaîtreoud unerépliqueopendirectoryetcommentconfigurer l authentificationkerberosparsignatureuniquesurunmaîtreopendirectory.  Lechapitre6,«Gestiondel authentificationd utilisateur»montrecommentdéfinir despolitiquesdemotdepasse,modifierletypedemotdepassed unutilisateur, attribuerdesdroitsd administrateurpourl authentificationopendirectory,réinitialiserlesmotsdepassedecomptesd utilisateursimportésetfairemigrerdesmotsde passeversl authentificationopendirectory.  Lechapitre7,«Gestiondesclientsderépertoire»expliquecommentutiliser l Utilitairederépertoirepourconfigureretgérerlamanièredontlesordinateurs MacOSXaccèdentauxservicesderépertoire.  LeChapitre8,«Réglagesavancésdesclientsderépertoire»,expliquecommentutiliserl applicationutilitairederépertoirepouractiver,désactiveretconfigurerlesprotocolesdedétectiondeservices.ilexpliqueégalementcommentconfigurerlesrègles derecherched authentificationetdecontacts,ainsiquel accèsauxdomainesde répertoire,notammentldap,activedirectory,nisetlesfichiersdeconfigurationbsd. PréfaceÀproposdeceguide 13

 Lechapitre9,«MaintenancedesservicesOpenDirectory»expliquecommentcontrôlerlesservicesOpenDirectory,visualiseretmodifierlesdonnéesderépertoireà l aidedel Inspecteur,archiverunmaîtreOpenDirectoryeteffectuerd autresopérationsdemaintenancederépertoire.  LeChapitre10,«RésolutiondeproblèmesliésàOpenDirectory»,décritlesproblèmescourantsetfournitdesinformationssurlamarcheàsuivreencasdeproblème lorsdel utilisationd OpenDirectory. Enoutre,l annexe,«donnéesderépertoiremacosx»présentelalistedesextensions OpenDirectoryauschémaLDAPetspécifielestypesdefichesetattributsstandardde MacOSX.Enfin,leglossairedéfinitlestermesquevousrencontrerezlorsdelalecture deceguide. Remarque:étantdonnéqu Applepublierégulièrementdenouvellesversionsetmises àjourdeseslogiciels,lesillustrationsdecedocumentpeuventêtredifférentesde cellesquis affichentàl écran. Utilisationdeceguide Leschapitresdeceguidesontclassésdansl ordrecorrespondantprobablementle mieuxàvosbesoinsdeconfigurationetdegestiond OpenDirectorysurvotreserveur.  Lisezlechapitre1jusqu auchapitre3pourvousfamiliariseraveclesconcepts d OpenDirectory:servicesderépertoires,politiquesderechercheetauthentification.  Lisezlechapitre4lorsquevousêtesprêtàplanifierlesservicesderépertoireset l authentificationdesmotsdepassepourvotreréseau.  Aprèscetteétapedeplanification,utilisezlesinstructionsduchapitre5pour configurerlesservicesopendirectory.  Sivousdevezdéfinirdespolitiquesdemotdepasseoumodifierlesréglagesdemot depassed uncompted utilisateur,reportez-vousauxinstructionsduchapitre6.  PourconfigureroumodifierlafaçondontunordinateurMacOSXouMacOSXServer accèdeauxdomainesderépertoire,suivezlesinstructionsduchapitre7.  Pourconfigurerlesréglagesavancésdesutilisateursàl aidedel Utilitairede répertoire,reportez-vousauchapitre8.  Pourlamaintenancecourantedesservicesderépertoiresetd authentification, consultezlechapitre9.  SivousrencontrezdesproblèmesavecOpenDirectory,reportez-vousauchapitre10 pourconnaîtrelessolutionspossibles. 14 PréfaceÀproposdeceguide

Utilisationdel aideàl écran Vouspouvezobtenirdesinstructionsàl écrandansvisualisationaidependantque vousutilisezleopardserver.l aidepeutêtreaffichéesurunserveurousurunordinateuradministrateur(unordinateuradministrateurestunordinateurmacosxsur lequelestinstallélelogicield administrationdeserveurleopardserver.) Pourobtenirdel aidedanslecasd uneconfigurationavancéedeleopardserver: m OuvrezAdminServeurouGestionnairedegroupedetravail,puis:  UtilisezlemenuAidepourrechercherunetâcheàexécuter.  ChoisissezAide>AideAdminServeurouAide>AideGestionnairedegroupede travailavantd explorerlesrubriquesd aideetd effectuerdesrecherches. L aideàl écrancontientdesinstructionsissuesduguideadministrationduserveur,ainsi qued autresguidesd administrationavancéedécritsdans«guidesd administrationde MacOSXServer»àlapage15. Pourvisualiserlesrubriquesd aidelesplusrécentesconcernantlesserveurs: m Assurez-vousqueleserveuroul ordinateuradministrateurestconnectéàinternet pendantquevousconsultezl Aide. VisualisationAideextraitautomatiquementlesrubriquesd aidelesplusrécentes depuisinternetetlesstockeenmémoirecache.lorsquevousn êtespasconnecté àinternet,visualisationaideaffichelesrubriquesd aidemisesencache. Guidesd administrationdemacosxserver Premierscontactstraitedel installationetdelaconfigurationdesconfigurationsstandardetdegroupedetravaildemacosxserver.pourlesconfigurationsavancées, consultezadministrationduserveur,quiregroupelaplanification,l installation,laconfigurationetl administrationduserveurengénéral.unesériedeguidessupplémentaires,énumérésci-dessous,décritlaplanification,laconfiguration,ainsiquelagestion avancéedesservicesindividuels.vouspouvezobtenircesguidesauformatpdfsur lesitewebdedocumentationdemacosxserver: www.apple.com/fr/server/documentation Ceguide... Premierscontactset Feuilled opérationd installation etdeconfiguration Administrationdeligne decommande Administrationdesservices defichier AdministrationduserviceiCal expliquecomment: InstallerMacOSXServeretleconfigurerpourlapremièrefois. Installer,configureretgérerMacOSXServeràl aidedefichiersde configurationetd outilsdelignedecommandeunix. Partagercertainsvolumesoudossiersdeserveurentrelesclients duserveur,àl aidedesprotocolesafp,nfs,ftpetsmb. Configureretgérerleservicedecalendrierpartagéd ical. PréfaceÀproposdeceguide 15

16 PréfaceÀproposdeceguide AdministrationduserviceiChat Configureretgérerleservicedemessagerieinstantanéed ichat. Configurationdelasécurité demacosx Renforcerlasécuritédesordinateurs(clients)MacOSX,comme l exigentlesentreprisesetlesorganismespublics. Configurationdelasécurité demacosxserver RenforcerlasécuritédeMacOSXServeretdel ordinateur surlequelilestinstallé,commel exigentlesentrepriseset lesorganismespublics. Administrationduservice demessagerie ConfigureretgérerlesservicesdemessagerieIMAP,POPetSMTP surleserveur. Administrationdesservices deréseau Installer,configureretadministrerlesservicesDHCP,DNS,VPN,NTP, coupe-feuip,natetradiussurleserveur. Administrationd OpenDirectory Configureretgérerlesservicesderépertoireetd authentification etconfigurerlesclientsautorisésàaccéderauxservicesderépertoire. AdministrationdePodcastProducer ConfigureretgérerleservicePodcastProducerdestinéàenregistrer,traiteretdistribuerdespodcasts. Administrationduservice d impression Hébergerlesimprimantespartagéesetgérerlesfilesd attenteet travauxd impressionassociés. AdministrationdeQuickTime StreamingetBroadcasting CaptureretencoderducontenuQuickTime.Configureretgérer leservicequicktimestreamingenvuedediffuserdesdonnées multimédiasentempsréelouàlademande. Administrationduserveur Réaliserl installationetlaconfigurationavancéesdulogicielserveuretgérerdesoptionsquis appliquentàplusieursservicesouà l intégralitéduserveur. AdministrationdeMiseàjour delogicielsetd Imageriesystème UtiliserNetBoot,NetInstalletMiseàjourdelogicielspourautomatiserlagestiondusystèmed exploitationetdesautreslogiciels utilisésparlesordinateursclients. Miseàniveauetmigration Utiliserdesréglagesdedonnéesetdeservicescorrespondantà uneversionantérieuredemacosxserveroudewindowsnt. Gestiondesutilisateurs Créeretgérerdescomptesutilisateur,desgroupesetdesordinateurs.ConfigurerlespréférencesgéréesdesclientsMacOSX. Administrationdestechnologies web Configureretgérerdestechnologieswebtellesquelesblogs, WebMail,wiki,MySQL,PHP,RubyonRails(RoR)etWebDAV. InformatiqueàhauteperformanceetadministrationXgrid ConfigureretgérerdesgrappesdecalculdesystèmesXserveet d ordinateursmac. GlossaireMacOSXServer Savoiràquoicorrespondentlestermesutiliséspourlesproduitsde serveuretlesproduitsdestockage. Ceguide... expliquecomment:

VisualisationdeguidesPDFàl écran LorsquevouslisezlaversionPDFd unguideàl écran,vouspouvez: Â Afficherlessignetspourvisualiserleplanduguideetcliquersurunsignetpour accéderdirectementàlasectioncorrespondante. Â Rechercherunmotouunephrasepourafficherunelistedesendroitsoùcemotou cettephraseapparaîtdansledocument.cliquezsurundecesendroitspourafficher lapagecorrespondante. Â Cliquersuruneréférencecroiséepouraccéderdirectementàlarubriqueréférencée. Cliquezsurunlienpourvisiterlesitewebdansvotrenavigateur. ImpressiondesguidesPDF Sivousdevezimprimerunguide,procédezcommesuitpouréconomiserdupapieret del encre: Â Économisezdel encreoudutonerenévitantd imprimerlacouverture. Â Sivousdisposezd uneimprimantecouleur,économisezdel encreenchoisissantune optiond impressionenniveauxdegrisouennoiretblancdansunedessectionsde lazonededialogueimprimer. Â Réduisezlevolumedudocumentimpriméetéconomisezdupapierenimprimant plusieurspagesparfeuille.danslazonededialogueimprimer,réglezéchellesur115% (155%pourPremierscontacts).ChoisissezensuiteMiseenpagedanslemenulocal sanstitre.sivotreimprimanteprendenchargel impressionrectoverso(duplex), sélectionnezl unedesoptionsproposées.sinon,choisissez2danslemenulocal Pagesparfeuilleet,sivouslesouhaitez,SimpleextrafinedanslemenuBordure. (SivousutilisezMacOSX10.4ouantérieur,leréglageÉchellesetrouvedanslazone dedialogueformatd impressionetlesréglagesrelatifsàlamiseenpagedanslazone dedialogueimprimer.) Ilpeuts avérerutiled agrandirlespagesimpriméesmêmesivousn imprimezpasen rectoverso,carlatailledespagespdfestinférieureàcelledupapierd imprimante standard.danslazonededialogueimprimeroudanslazonededialogueformat d impression,essayezderégleréchellesur115%(155%pourpremierscontactsqui possèdedespagesdelatailled uncd). PréfaceÀproposdeceguide 17

Obtenirdesmisesàjourdedocumentation Applepublierégulièrementdespagesd aideréviséesainsiquedenouvelleséditions desesguides.certainespagesd aideréviséessontdesmisesàjourdesdernières éditionsdecesguides. Â Pourafficherlesnouvellesrubriquesd aideàl écrand uneapplicationdeserveur, assurez-vousquevotreserveurouvotreordinateuradministrateurestconnectéà Internetetcliquezsurleliendesdernièresrubriquesd aideoudemiseàjourdans lapaged aideprincipaledel application. Â PourtéléchargerlesguideslesplusrécentsenformatPDF,rendez-voussurlesite webdedocumentationdemacosxserver: www.apple.com/fr/server/documentation/ Pourobtenirdesinformationssupplémentaires Pourensavoirplus,consultezlesressourcessuivantes: Â DocumentsOuvrez-moi:misesàjourimportantesetinformationsspécifiques. Recherchez-lessurlesdisquesduserveur. Â SitewebdeMacOSXServer(www.apple.com/fr/server/macosx):passerelleversdes informationsdétailléessurdenombreuxproduitsettechnologies. Â Sitewebdeserviceetd assistancemacosxserver(www.apple.com/fr/support/ macosxserver):accèsàdescentainesd articlesduserviced assistanced Apple. Â Sitewebdeserviceetd assistanceapple(www.apple.com/fr/support):accèsàdes centainesd articlesduserviced assistanced Apple. Â SitewebAppleformation(www.apple.com/fr/training):coursensalleetautoformationsafindedéveloppervoscompétencesentermesd administrationdeserveur. Â GroupesdediscussionsApple,(discussions.apple.com):unmoyende partagerquestions,connaissancesetconseilsavecd autresadministrateurs. Â Sitewebdeslistesd envoiapple,(www.lists.apple.com):abonnez-vousàdeslistes d envoiafindepouvoircommuniquerparcourrierélectroniqueavecd autresadministrateurs. Â Sitewebd OpenLDAP(www.openldap.org):découvrezlelogicielopensourceutilisé paropendirectorypourfournirleservicederépertoireldap. Â SitewebdeKerberosMIT(web.mit.edu/kerberos/www):obtenezdesinformations élémentairesetdesspécificationssurleprotocoleutiliséparopendirectorypour fourniruneauthentificationparsignatureuniquerobuste. Â SitewebdeBerkeleyDB(www.sleepycat.com):consultezlesdescriptionsdesfonctionnalitésetdeladocumentationtechniquesurlabasededonnéesopensourceutiliséeparOpenDirectorypourstockerlesdonnéesderépertoireLDAP. Â RFC3377, LightweightDirectoryAccessProtocol(v3):Spécificationtechnique (www.rfc-editor.org/rfc/rfc3377.txt) accédezàhuitautresdocumentsrfc(request forcomment)quicontiennentdesinformationsd ensembleetdesspécifications détailléessurleprotocoleldapv3. 18 PréfaceÀproposdeceguide

1 Servicesderépertoireavec OpenDirectory 1 Unservicederépertoireestunlieudestockagecentralisé d informationsconcernantlesutilisateursd ordinateurset lesressourcesréseaud uneorganisation. Avantagesdel utilisationdeservicesderépertoire Lefaitdecentraliserlesdonnéesadministrativesenunseulendroitprésenteplusieurs avantages: Â Réductiondunombrededonnéesàsaisir. Â Touslesclientsetlesservicesréseaudisposentd informationscohérentesàpropos desutilisateursetdesressources. Â Simplifiel administrationdesutilisateursetdesressources. Â Fournitdesinformationsd identification,d authentificationetd autorisationà d autresservicesderéseau. Danslesécolesoulesentreprisesparexemple,ilssontparfaitspourgérerlesutilisateursetlesressourcesinformatiques.Mêmeuneorganisationdemoinsdedixpersonnespeutbénéficierdesavantagesdudéploiementd unservicederépertoire. Lesservicesderépertoiresontdoublementutiles:ilssimplifientd unepartl administrationdusystèmeetduréseau,etd autrepartl usageduréseaupourlesutilisateurs. Grâceauxservicesderépertoire,lesadministrateurspeuventconserverdesinformations surtouslesutilisateurs,comme,parexemple,leurnom,leurmotdepasseetlesemplacementsdesrépertoiresdedépartréseau,defaçoncentraleplutôtquesurlesdifférents ordinateurs.lesservicesderépertoirepermettentaussidecentraliserlesinformations concernantlesimprimantes,lesordinateursetlesautresressourcesenréseau. Lacentralisationd informationssurlesutilisateursetlesressourcespermetderéduire lachargedetravailenmatièredegestiondesinformationspourl administrateursystèmeetàchaqueutilisateurdedisposerd uncompted utilisateurcentralisépermettantd ouvrirunesessionsurtoutordinateurautoriséduréseau. 19

Servicesetdomainesderépertoire Leservicederépertoireagitcommeunintermédiaireentrelesprocessusd application etdelogicielsystème,quiontbesoind informationssurlesutilisateursetlesressources, etlesdirectorydomainsquistockentlesinformations. Commeillustréci-dessous,OpenDirectoryfournitdesservicesderépertoirepour MacOSXetMacOSXServer. Utilisateurs Groupes Imprimantes Ordinateurs Montages Domaines de répertoire Open Directory Processus d applications et de logiciels système OpenDirectorypeutaccéderauxinformationsquifigurentdansunouplusieurs domainesderépertoire.undomainederépertoirestockedesinformationsdans unebasededonnéesspécialiséeetoptimiséepourrechercher,extraireettraiter rapidementungrandnombrededemandesd informations. Avecleservicederépertoireetleservicedefichierscentralisésconfiguréspourhébergerlesdossiersdedépartréseau,unutilisateurobtientpartoutlesmêmesdossierde départ,bureaupersonnaliséetpréférencesindividuelles,quelquesoitl ordinateursur lequelilouvreunesession.l utilisateurpeutdonctoujoursaccéderàsesfichierspersonnelsmisenréseaupourrechercheretutiliseraisémentlesressourcesréseauautorisées. LesprocessusexécutéssousMacOSXutilisentlesservicesOpenDirectorypourenregistrerdesinformationsdanslesdomainesderépertoire.Siparexemplevouscréez uncompted utilisateuràl aidedegestionnairedegroupedetravail,cetteapplication demandeàopendirectorydestockerlenomdel utilisateuretlesautresinformations ducomptedansundomainederépertoire.vouspouvezensuitepasserenrevue lesinformationsdescomptesd utilisateurdansgestionnairedegroupedetravail, quiutiliseopendirectorypourextrairelesinformationssurlesutilisateursàpartir d undomainederépertoire. 20 Chapitre1ServicesderépertoireavecOpenDirectory

D autresprocessusdelogicielssystèmeetd applicationspeuventégalementaccéder auxinformationsdescomptesd utilisateurstockéesdansdesdomainesderépertoire. QuandunutilisateurouvreunesessionsurunordinateurMacOSX,leprocessus d ouverturedesessionutiliselesservicesopendirectorypourvaliderlenomd utilisateuretlemotdepasse. Domaine de répertoire Gestionnaire de groupe de travail Open Directory Pointdevuehistorique ToutcommeMacOSX,OpenDirectorytrouvesesoriginesdansUNIX.Eneffet, OpenDirectoryfournitl accèsauxdonnéesadministrativesquelessystèmesunix conserventgénéralementdansdesfichiersdeconfiguration,cequirequiertuntravail demaintenanceplusminutieux(certainssystèmesunixreposenttoujourssurdes fichiersdeconfiguration).opendirectoryconsolidecesdonnées,puislesrépartit pourfaciliterlesaccèscommelamaintenance. Consolidationdesdonnées Pendantdesannées,lessystèmesUNIXontstockélesinformationsadministratives dansunecollectiondefichierssituésdanslerépertoire/etc,commeillustréci-dessous. /etc/group /etc/hosts Processus UNIX /etc/master.passwd Chapitre1ServicesderépertoireavecOpenDirectory 21

CeschémaexigequechaqueordinateurUNIXdisposedesapropresériedefichiers. Ainsi,lesprocessusexécutéssurunordinateurUNIXlisentsesfichiers,lorsqu ilsont besoind informationsadministratives. Sivousmaîtrisezl environnementunix,vousconnaissezsansaucundoutelesfichiers durépertoire/etc:group,hosts,hosts.equiv,master.passwdetbiend autres.ainsi, unprocessusunixayantbesoind unmotdepassed utilisateurconsulteralefichier /etc/master.passwd.lefichier/etc/master.passwdcontientunenregistrementpour chaquecompted utilisateur.unautreprocessusunixnécessitantdesinformations surlesgroupesutiliseplutôtlefichier/etc/group. Open Directory Processus Mac OS X OpenDirectoryconsolidelesinformationsadministratives,cequisimplifielesinteractionsentrelesprocessusetlesdonnéesadministrativesqu ilscréentetutilisent. Lesprocessusn ontdésormaisplusbesoindesavoiroùetcommentlesdonnéesadministrativessontstockées.opendirectorys occuped obtenircesdonnéespourleur compte.siunprocessusdoitconnaîtrel emplacementdudossierdedépartd unutilisateur,ilfaitensortequ OpenDirectoryobtiennecetteinformation.OpenDirectory trouvel informationdemandéepuislarenvoie,évitantainsiauprocessustousles détailsconcernantlestockagedel information,commeillustréci-dessous. Domaine de répertoire Domaine de répertoire Open Directory Processus Mac OS X SivousconfigurezOpenDirectorypouraccéderauxdonnéesadministrativesàpartir deplusieursdomainesderépertoire,opendirectorylesconsulteencasdebesoin. 22 Chapitre1ServicesderépertoireavecOpenDirectory

CertainesdesdonnéesstockéesdansundirectorydomainsontidentiquesàdesdonnéesstockéesdanslesfichiersdeconfigurationUNIX.Parexemple,l emplacementdu dossierdedépart,lenomréel,l identifiantd utilisateuretl identifiantdegroupesont stockésdansl enregistrementd utilisateurd undirectorydomainplutôtquedansle fichier/etc/passwdstandard. Toutefois,undirectorydomainstockebeaucoupplusd informationspourgérerdes fonctionspropresàmacosx,commelapriseenchargedelagestiond ordinateurs clientsmacosx. Répartitiondesdonnées UnedescaractéristiquesdesfichiersdeconfigurationUNIX,estquelesdonnéesadministrativesqu ilscontiennentsontdisponiblesuniquementsurl ordinateursurlequel ellessontstockées.chaqueordinateurcomportedoncsespropresfichiersdeconfigurationunix. AveclesfichiersdeconfigurationUNIX,toutordinateursurlequelunutilisateurenvisagedetravaillerdoitposséderlesréglagesducomptedecetutilisateur.Demanière plusgénérale,toutordinateurdoitdoncposséderlesréglagesdescomptesdesutilisateursautorisésàlesutiliser.pourconfigurerlesréglagesderéseaud unordinateur, l administrateurdoitsedéplacerjusqu àcetordinateur,puisentrerl adresseipettoute informationidentifiantcetordinateursurleréseau. Demême,lorsquedesinformationssurunutilisateurouleréseaudoiventêtremodifiéesdansdesfichiersdeconfigurationUNIX,l administrateurdoitapportercesmodificationssurl ordinateursurlequelsontsituéscesfichiers.certainschangements, commelesréglagesderéseau,nécessitentquel administrateurprocèdeauxmêmes opérationssurplusieursordinateurs.cetteapprochedevientdeplusenpluscompliquéealorsquelesréseauxgagnententailleetencomplexité. Chapitre1ServicesderépertoireavecOpenDirectory 23

OpenDirectoryrésoutceproblèmeenvouspermettantdestockerdesdonnéesadministrativesdansundomainederépertoirequipeutêtregéréparunadministrateur réseauàpartird unemplacementunique.opendirectoryvouspermetdedistribuer cesinformationsafinqu ellessoientaccessiblesenréseaupourtouslesordinateursqui enontbesoinetpourl administrateurquilesgère,commeillustréci-dessous. Domaine de répertoire Administrateur système Open Directory Utilisateurs Utilisationdesdonnéesdesrépertoires OpenDirectorypermetderegrouperetdegéreraisémentlesinformationssur leréseaudansundirectorydomain,maiscesinformationsn ontdevaleurquesi lesprocessusdulogicielsystèmeetdesapplicationsexécutéssurlesordinateurs duréseauyaccèdentréellement. Voiciquelquesexemplesd utilisationdesdonnéesderépertoireparlelogicielsystème etlesapplicationsmacosx: Â Ouverturedesession:Gestionnairedegroupedetravailpeutcréerdesenregistrementsd utilisateursdansundirectorydomainetcesenregistrementspeuventservir àauthentifierdesutilisateursouvrantunesessionsurdesordinateursmacosxet Windows.Lorsqu unutilisateursaisitunnometunmotdepassedanslafenêtre d ouverturedesessionmacosx,leprocessusd ouverturedesessiondemandeà OpenDirectoryd authentifiercenometcemotdepasse.opendirectoryutilise lenompourtrouverl enregistrementducomptedel utilisateurdansundirectory domainetvalideensuitelemotdepasseàl aided autresinformationsquifigurent dansl enregistrementd utilisateur. 24 Chapitre1ServicesderépertoireavecOpenDirectory

 Accèsauxdossiersetauxfichiers:unefoisqu ilaouvertunesession,l utilisateur peutaccéderauxdossiersetauxfichiers.macosxutilised autresdonnéesprovenantdel enregistrementd utilisateurpourdéterminerlesautorisationsd accèsde l utilisateurpourchaquefichieroudossier.  Dossiersdedépart:chaqueenregistrementd utilisateur,dansundirectorydomain, stockel emplacementdudossierdedépartdel utilisateur.ils agitdel endroitoù sontstockéslesfichiers,dossiersetpréférencesdel utilisateurledossierdedépart d unutilisateurpeutsetrouversurl ordinateursurlequeliltravailleousurunserveurdefichiersderéseau.  Montageautomatiquedepointsdepartage:lespointsdemontagepeuventêtre configuréspourlemontageautomatique(ilsapparaissentautomatiquement)dans ledossier/network(legloberéseau)desfenêtresdufinderdesordinateursclients. Lesinformationsconcernantcespointsdepartageàmonterautomatiquementsont stockéesdansundomainederépertoire.lespointsdepartagesontdesdossiers, desdisquesoudespartitionsdedisquerendusaccessiblessurleréseau.  Réglagedescomptesdemessagerie:chaqueenregistrementd utilisateur,dansun domainederépertoire,indiquesil utilisateurconcernédisposeduservicedemessagerieet,lecaséchéant,spécifielesprotocolesdecourrieràutiliser,lemodedeprésentationdesmessagesentrants,l activationéventuelled unealerteencasde réceptiondemessage,etc.  Utilisationdesressources:lesquotasdedisque,d impressionetdecourrierpeuvent êtrestockésdanschaqueenregistrementd utilisateurd undomainederépertoire.  Informationssurlesclientsgérés:l administrateurpeutgérerl environnement MacOSXdesutilisateursdontlescomptessontstockésdansundomainederépertoire.L administrateurchoisitlesréglagesdepréférencesimposésquisontstockés dansledomainederépertoireetquisontprioritairesparrapportauxpréférences personnellesdesutilisateurs.  Gestiondegroupes:outredesenregistrementsd utilisateurs,undomainederépertoirecontientégalementdesenregistrementsdegroupes..chaquefichedegroupe affectetouslesutilisateursmembresdecegroupe.lesinformationsquifigurent danslesenregistrementsdegroupeindiquentlesréglagesenmatièredepréférencesdesmembres.lesenregistrementsdegroupepermettentégalementdedéterminerl accèsauxfichiers,auxdossiersetauxordinateurs.  Présentationsderéseaugérées:l administrateurpeutconfigurerdesprésentations personnaliséesquelesutilisateursvoientlorsqu ilssélectionnentl icôneréseaudans labarrelatéraled unefenêtredufinder.commecesprésentationsderéseaugérées sontstockéesdansundomainederépertoire,ellessontautomatiquementdisponibleslorsqu unutilisateurouvreunesession. Chapitre1ServicesderépertoireavecOpenDirectory 25

Accèsauxservicesderépertoires OpenDirectorypeutaccéderauxdomainesderépertoirepourlestypesdeservicesde répertoiressuivants: Â LightweightDirectoryAccessProtocol(LDAP),unenormecommunedanslesenvironnementsmixtesdesystèmesMacintosh,UNIXetWindows.LDAPestleservice derépertoirenatifpourlesrépertoirespartagésdemacosxserver. Â Domainederépertoirelocal,leservicederépertoirepourtoutMacOSXet MacOSXServer10.5ouultérieur. Â ActiveDirectory,leservicederépertoiredesserveursMicrosoftWindows2000et2003. Â NetworkInformationSystem(NIS),leservicederépertoiredenombreuxserveursUNIX. Â FichiersplatsBSD,leservicederépertoirehéritédessystèmesUNIX. Auseind undomainederépertoire Lesinformations,dansundomainederépertoire,sontorganiséesd aprèsletyped enregistrement.lestypesd enregistrementsontdescatégoriesspécifiquesd informations, comme,parexemple,lesutilisateurs,lesgroupesetlesordinateurs.undomainede répertoirepeutcontenirunnombredifférentd enregistrementspourchaquetype d enregistrements.chaqueenregistrementestconstituéd unensembled attributset chaqueattributcomporteuneouplusieursvaleurs. Sivousimaginezuntyped enregistrementcommeunefeuilledecalculdédiéeàune certainecatégoried informations,lesenregistrementssontalorsleslignesdelafeuille, lesattributssontlescolonnesetchaquecellulecontientuneouplusieursvaleurs. Parexemple,lorsquevousdéfinissezuncompted utilisateuràl aidedegestionnaire degroupedetravail,vouscréezunenregistrementd utilisateur(unenregistrementde typeutilisateur).lesréglagesdéfinispourcecompted utilisateur(sonnomabrégé, sonnomcomplet,l emplacementdesondossierdedépart,etc.)deviennentdes valeursdesattributsquifigurentdansl enregistrement.lafiched utilisateurcomme lesvaleursdesesattributssontstockéesdansundomainederépertoire. Danscertainsservicesderépertoire,comme,parexemple,LDAPetActiveDirectory, lesinformationsderépertoiresontorganiséesparclassed objets.commelestypes d enregistrement,lesclassesd objetsdéfinissentdescatégoriesd informations. Uneclassed objetsdéfinitdesinformationssimilairesappelésentréesenspécifiant lesattributsqu uneentréepeutoudoitcontenir. Pourunemêmeclassed objets,undomainederépertoirepeutcontenirplusieurs entrées,chacunedecesentréespouvantcontenirplusieursattributs.certainsattributs ontuneseulevaleur,alorsqued autresenontplusieurs.parexemple,laclassed objets inetorgpersondéfinitdesentréesquicontiennentdesattributsd utilisateur. 26 Chapitre1ServicesderépertoireavecOpenDirectory

LaclasseinetOrgPersonestuneclasseLDAPstandarddéfinieparledocumentRFC 2798.D autresclassesd objetsetattributsldapstandardsontdéfinisparledocument RFC2307.Lesclassesd objetsetlesattributspardéfautd OpenDirectorysefondent surcesdocumentsrfc. L ensembledesattributsetdestypesd enregistrements(ouclassesd objets)définissentlastructuredesinformationsd undomainederépertoire.cettestructureestappeléeschémadudomainederépertoire.opendirectoryutilisetoutefoisunschémaà basederépertoirequidiffèreduschémastockébaséenlocal. Lorsdel utilisationd unfichierdeconfigurationdeschémabaséenlocalavecunmaîtreopendirectoryquisertdesserveursrépliqués,leproblèmeestquesil onmodifie ouajouteunattributauschémabaséenlocald unmaîtreopendirectory,ilfautaussi apportercettemodificationsurchacunedesrépliques.s ilyabeaucoupderépliques, lamiseàjourmanuellepeutprendreénormémentdetemps. Sivousn apportezpaslamêmemodificationauschémaenlocalsurchacunedesrépliques,vosserveursrépliquésvontprovoquerdeserreursetdeséchecslorsdel envoi devaleurspourlenouvelattributauxserveursrépliqués. Pouréviterlesproblèmes,MacOSXutiliseunschémaàbasederépertoirequiest stockédanslabasededonnéesderépertoiresetmisàjourautomatiquementpour chaqueserveurrépliquéàpartirdelabasededonnéesderépertoiresrépliquée. Celapermetdesynchroniserleschémapourtouteslesrépliquesetdonneuneplus grandeflexibilitépourapporterdesmodificationsauschéma. Chapitre1ServicesderépertoireavecOpenDirectory 27

StructuredesinformationsderépertoireLDAP DansunrépertoireLDAP,lesentréessontorganiséesdansunestructurearborescente hiérarchique.danscertainsrépertoiresldap,cettestructureestbaséesurdesfrontièresgéographiquesetorganisationnelles.d unefaçonplusgénérale,lastructureest baséesurlesnomsdedomaineinternet. Dansuneorganisationderépertoiresimple,lesentréesreprésentantlesutilisateurs, lesgroupes,lesordinateursetlesautresclassesd objetssontimmédiatementsous leniveauracinedelahiérarchie,commeillustréici. dc=com dc=exemple cn=utilisateurs cn=groupes cn=ordinateurs uid=anne cn=anne Robin uid=vincent cn=vincent Foucault Uneentréeestréférencéeparsonnomdistinctif(DN,DistinguishedName),quiest construitàpartirdunomdel entréeproprementdite,appelélenomdistinctifrelatif (RND,RelativeDistinguishedName),etparconcaténationdesnomsdesentréesancêtres.Parexemple,l entréed AnneJacquespourraitavoirleRDNuid=anneetlenom distinctifuid=anne,cn=utilisateurs,dc=exemple,dc=com. LeserviceLDAPextraitlesdonnéesenfaisantunerecherchedanslahiérarchie d entrées.larecherchepeutcommenceràn importequelleentrée.l entréeà laquellelarecherchecommenceestappeléelabasederecherche. Vouspouvezspécifierunebasederechercheendonnantlenomdistinctifd uneentrée danslerépertoireldap.parexemple,labasederecherchecn=utilisateurs,dc=exemple, dc=comspécifiequeleserviceldapcommenceralarechercheàl entréedontl attribut cnalavaleur«utilisateurs». VouspouvezaussispécifierdanscombiendeniveauxdelahiérarchieLDAPsousla basederechercheilfautchercher.ledomainederecherchepeutcouvrirtoutesles sous-branchessouslabasederechercheouuniquementlepremierniveaud entrées souslabasederecherche.sivousutilisezdesoutilsdelignedecommandepourfaire unerecherchedansunrépertoireldap,vouspouvezaussirestreindreledomainede rechercheàlaseuleentréedelabasederecherche. 28 Chapitre1ServicesderépertoireavecOpenDirectory

Domainesderépertoirelocauxetpartagés L emplacementdestockagedesinformationsconcernantlesutilisateursetautresdonnéesadministrativesnécessairesàvotreserveurdiffèreselonquelesdonnéesdoivent êtrepartagéesounon.cesinformationspeuventêtrestockéesdansledomainede répertoirelocalduserveuroudansundomainederépertoirepartagé. Lorsqu unutilisateurouvreunesessionsurunordinateurmacosx,opendirectory recherchel enregistrementdecetutilisateurdansledomainederépertoirelocalde l ordinateur.siledomainederépertoirelocalcontientl enregistrementdel utilisateur (etquel utilisateuraentréunmotdepassecorrect),l ouverturedesessionsepoursuit etl utilisateursevoitdonnerl accèsàl ordinateur. Aprèsl ouverturedesession,l utilisateurpeutchoisir Seconnecteràunserveur danslemenualler,puisseconnecteràunserveurmacosxserverpouraccéderà unservicedefichiers.danscecas,opendirectorysurleserveurrecherchelafiche decetutilisateurdansledomainederépertoirelocalduserveur. Àproposdudomainederépertoirelocal ToutordinateurMacOSXdisposed undomainederépertoirelocal.lesdonnéesadministrativesquifigurentdansundomainederépertoirelocalsontvisiblesuniquement parlesapplicationsetlelogicielsystèmeexécutéssurl ordinateursurlequelle domaineenquestionsetrouve.ils agitdupremierdomaineconsultélorsquel utilisateurouvreunesessionouexécutecertainesopérationsnécessitantdesdonnéesstockéesdansundomainederépertoire. Siledomainederépertoirelocalduserveurcontientunenregistrementpourl utilisateur(etsil utilisateurasaisilebonmotdepasse),leserveurdonneàl utilisateurl accès auxservicesdefichiers,commeillustréci-dessous. Ouverture de session Mac OS X Domaine de répertoire local Connexion à Mac OS X Server pour le service de fichiers Domaine de répertoire local LorsquevousconfigurezunordinateurMacOSX,sondomainederépertoirelocalest crééetpourvud enregistrementsautomatiquement.parexemple,unefiched utilisateurestcrééepourl utilisateurquis estchargédel installation.cetenregistrement d utilisateurcontientlenomd utilisateuretlemotdepassesaisisaucoursdelaconfiguration,ainsiqued autresinformations,tellesquel identifiantuniquedel utilisateur etl emplacementdesondossierdedépart. Chapitre1ServicesderépertoireavecOpenDirectory 29

Àproposdesdomainesderépertoirepartagés Bienqu OpenDirectorypuissestockerdesdonnéesadministrativesdansledomainede répertoirelocaldel ordinateursurtoutordinateurmacosx,sonatoutmajeurestde permettreàplusieursordinateursmacosxdepartagerdesdonnéesadministratives enlesstockantdansdesdomainesderépertoirepartagés. SiOpenDirectorynetrouvepasl enregistrementd unutilisateurdansledomainede répertoirelocald unordinateurmacosx,ilpeutrecherchel enregistrementdanstous lesdomainespartagésauxquelscetordinateuraaccès. Dansl exemplesuivant,l utilisateurpeutaccéderauxdeuxordinateurs,carledomaine partagé,accessibleàpartirdesdeuxordinateurs,contientunenregistrementpourcet utilisateur. Domaine de répertoire partagé Ouverture de session Mac OS X Domaine de répertoire local Connexion à Mac OS X Server pour le service de fichiers Domaine de répertoire local Lorsqu unordinateurestconfigurépourutiliserundomainepartagé,touteslesdonnéesadministrativescontenuesdanscedomainesontégalementvisiblesparlesapplicationsetlelogicielsystèmedecetordinateur. Lesdomainespartagéssetrouventgénéralementsurdesserveursparcequelesinformationsdedomainesderépertoirecontiennentdesinformationsextrêmementimportantestelleslesdonnéesd authentificationdesutilisateurs. L accèsauxserveursestgénéralementtrèsrestreintpourprotégerlesdonnéesqu ils contiennent.enoutre,lesdonnéesderépertoiresdoiventdemeurerdisponibles.les serveursdisposentsouventdefonctionsmatériellessupplémentairesquiaugmentent leurfiabilitéetilsbénéficienthabituellementdedispositifsd alimentationélectrique sansinterruption. 30 Chapitre1ServicesderépertoireavecOpenDirectory

Donnéespartagéesdansdesdomainesderépertoireexistants Certainesorganisations(lesuniversitésoulesmultinationales,parexemple)conserventlesinformationsrelativesauxutilisateursetd autresdonnéesadministrativesdans desdomainesderépertoiresituéssurdesserveursunixouwindows.opendirectory peuteffectuerunerecherchedanscesdomainesnonappleetdanslesdomaines OpenDirectorypartagésdesystèmesMacOSXServer,commeillustréci-dessous. Domaine de répertoire local Domaine de répertoire partagé Mac OS X Server Serveur Windows Domaine Active Directory Domaine de répertoire local Utilisateur Mac OS X Utilisateur Mac OS X Utilisateur Windows L ordredanslequelmacosxeffectuedesrecherchesdanslesdomainesderépertoire estconfigurable.lapolitiquederecherchedéterminel ordredanslequelmacosx effectuelesrecherchesdanslesdomainesderépertoire.lespolitiquesderecherche sontexpliquéesauchapitre2,«politiquesderechercheopendirectory». ServicesSMBetOpenDirectory VouspouvezconfigurervotreMacOSXServeravecOpenDirectoryetlesservicesSMB pourservirdesstationsdetravailwindows.enutilisantcesdeuxservicesensemble, vouspouvezconfigurervotremacosxservercommecontrôleurdedomaineprincipal(pdc)oucontrôleurdedomainesecondaire(bdc). Chapitre1ServicesderépertoireavecOpenDirectory 31

OpenDirectorycommecontrôleurdedomaineprincipal MacOSXServerpeutêtreconfigurécommecontrôleurdedomaineprincipal(PDC) Windows,cequipermetauxutilisateursdestationsdetravailcompatiblesavec WindowsNTd ouvrirunesessionàl aidedecomptesdedomaine.uncontrôleurde domaineprincipaldonneàchaqueutilisateurwindowsunnomd utilisateuretunmot depassepourl ouverturedesessionàpartirdetoutestationdetravailwindowsnt 4.x,Windows2000,WindowsXPetWindowsVistasurleréseau.Aulieud ouvrirune sessionàl aided unnomd utilisateuretd unmotdepassedéfinisenlocalsurune stationdetravail,chaqueutilisateurpeutalorsouvrirunesessionàl aidedunom d utilisateuretdumotdepassedéfinissurlecontrôleurdedomaineprincipal. Lecompted utilisateurquipeutêtreutilisépourouvrirunesessionàpartird une stationdetravailpeutaussiêtreutilisépourouvrirunesessionàpartird unordinateur MacOSX.Quelqu unquiutiliselesdeuxplates-formespeutavoirlesmêmesdossier dedépart,comptedecourrierélectroniqueetquotasd impressionsurlesdeuxplatesformes.lesutilisateurspeuventchangerdemotdepasselorsdel ouverturede sessionsurledomainewindows. Lescomptesd utilisateursontstockésdanslerépertoireldapduserveuraccompagnésdugroupe,del ordinateuretd autresinformations.lecontrôleurdedomaine principalaaccèsauxinformationsdecerépertoireparcequevousavezconfiguré lecontrôleurdedomaineprincipalsurunserveurquiestunmaîtreopendirectory, c est-à-direquihébergeunrépertoireldap. Deplus,lecontrôleurdedomaineprincipalutiliseleserveurdemotsdepassedumaîtreOpenDirectorypourl authentificationdesutilisateurslorsqu ilsouvrentunesession dansledomainewindows.leserveurdemotsdepassepeutvaliderlesmotsdepasse àl aidedentlmv2,ntlmv1,lanmanageretd autresméthodesd authentification. LemaîtreOpenDirectorypeutaussiavoiruncentrededistributiondeclésKerberos.Le contrôleurdedomaineprincipaln utilisepaskerberospourauthentifierlesutilisateurs pourlesserviceswindows,maisleservicedecourrierélectroniqueetd autresservices peuventêtreconfiguréspourutiliserkerberospourl authentificationdesutilisateursde stationsdetravailwindowsquidisposentdecomptesdanslerépertoireldap. PourquesonmotdepassesoitvalidéparleserveurdemotsdepasseOpenDirectory etparkerberos,uncompted utilisateurdoitavoirunmotdepassedetypeopen Directory.Uncompted utilisateuravecunmotdepassedetypecrypténepeutpas êtreutilisépourlesserviceswindowsparcequ unmotdepassecryptén estpasvalidé àl aidedesméthodesd authentificationntlmv2,ntlmv1oulanmanager. 32 Chapitre1ServicesderépertoireavecOpenDirectory

Leserveurpeutaussiavoirdescomptesd utilisateurdanssondomainederépertoire local.chaquemacosxserverenaun.lecontrôleurdedomaineprincipaln utilise pascescomptespourl ouverturedesessionpardomainewindows,maislecontrôleur dedomaineprincipalpeututilisercescomptespourauthentifierlesutilisateurspour leservicedefichierswindowsetd autresservices. Lescomptesd utilisateur,dansledomainederépertoirelocal,quiontunmotdepasse detypemotdepasseshadowpeuventêtreutiliséspourlesserviceswindowsparce quelesmotsdepasseshadowpeuventêtrevalidésàl aidedesméthodesd authentificationntlmv2,ntlmv1,lanmanageretautres. Àdesfinsdecompatibilité,MacOSXServerprendenchargelescomptesd utilisateur configuréspourutiliserlatechnologiegestionnaired authentificationhéritéepourla validationdesmotsdepassedansmacosxserver10.0 10.2.Aprèslamiseàniveau d unserveuràmacosxserver10.5,lesutilisateursexistantspeuventcontinueràutiliserleursmotsdepasse. Uncompted utilisateurutilisegestionnaired authentificationsilecompteestun domainederépertoirelocalpourlequelgestionnaired authentificationaétéactivé etsilecompteestconfigurépourutiliserunmotdepassecrypté. SivousmigrezunrépertoiredeNetInfoversLDAP,touslescomptesd utilisateurqui utilisaientgestionnaired authentificationpourlavalidationdesmotsdepassesont convertispouravoirunmotdepassedetypeopendirectory. LorsdelaconfigurationdeMacOSXServercommecontrôleurdedomaineprincipal, assurez-vousqu iln yapas,survotreréseau,unautrecontrôleurdedomaineprincipal possédantlemêmenomdedomaine.unréseaupeutavoirplusieursmaîtresopen Directory,maisunseulcontrôleurdedomaineprincipal. Chapitre1ServicesderépertoireavecOpenDirectory 33

OpenDirectorycommecontrôleurdedomainesecondaire ConfigurerMacOSXcommecontrôleurdedomainesecondairefournitpermet lebasculementetlasauvegardeducontrôleurdedomaineprincipal.lecontrôleurde domaineprincipaletlecontrôleurdedomainesecondairepartagentlesdemandesdes clientswindowsenmatièred ouverturedesessiondedomaineetd autresservicesde répertoireetd authentification.encasd indisponibilitéducontrôleurdedomaineprincipalmacosxserver,lecontrôleurdedomainesecondairemacosxserverfournit alorsdesservicesd ouverturedesessiondedomaineetd autresservicesderépertoire etd authentification. Lecontrôleurdedomainesecondairedisposed unecopiesynchroniséedesdonnées relativesauxutilisateurs,groupes,ordinateursetautresdonnéesderépertoireducontrôleurdedomaineprincipal.lecontrôleurdedomaineprincipaletlecontrôleurde domainesecondairedisposentaussidecopiessynchroniséesdesdonnéesd authentification.macosxserversynchroniseautomatiquementdesdonnéesrelativesaux répertoiresetàl authentification. AvantdeconfigurerMacOSXServercommecontrôleurdedomainesecondaire, vousdevezconfigurerleserveurcommeunerépliqueopendirectory.lecontrôleur dedomainesecondaireutiliselerépertoireldap,lecentrededistributiondeclés KerberosetleserveurdemotsdepassedelarépliqueOpenDirectoryenlectureseule. MacOSXServersynchroniselecontrôleurdedomaineprincipaletlecontrôleurde domainesecondaireenmettantàjourautomatiquementlarépliqueopendirectory aveclesmodificationsapportéesaumaîtreopendirectory. UtilisezAdminServeuraprèsl installationpourfairedemacosxserveruneréplique OpenDirectoryetuncontrôleurdedomainesecondaire.Vouspouvezconfigurer plusieurscontrôleursdedomainesecondaire,chacunsurunserveurderéplique OpenDirectorydistinct. Important:vousnepouvezpasavoirplusieurscontrôleursdedomaineprincipal dupliquéssurunmêmeréseau. 34 Chapitre1ServicesderépertoireavecOpenDirectory

2 Politiquesderecherche OpenDirectory 2 Chaqueordinateurdisposed unepolitiquederecherchequi spécifiedesdomainesderépertoireetl ordredanslequel OpenDirectoryyeffectuesesrecherchesauseindeces derniers. ChaqueordinateurMacOSXasaproprepolitiquederecherche,appeléeaussipluscommunémentcheminderecherche,quispécifieàqueldomainesderépertoireOpenDirectorypeutaccéder,comme,parexemple,ledomainederépertoirelocaldel ordinateur etunrépertoirepartagéparticulier. Lapolitiquederecherchespécifieégalementl ordredanslequelopendirectory accèdeauxdomainesderépertoire.opendirectoryeffectueunerecherchedans chaquedomainederépertoireets arrêtelorsqu iltrouveunélémentcorrespondant. Ainsi,OpenDirectorystoppelarecherched unenregistrementd utilisateurlorsqu il trouveunenregistrementdontlenomd utilisateurcorrespondaunomrecherché. Niveauxdepolitiquederecherche Unepolitiquederecherchepeutnecontenirqueledomainederépertoirelocal, ledomainederépertoirelocaletunrépertoirepartagéouledomainederépertoire localetplusieursrépertoirespartagés. Surunréseaucomportantunrépertoirepartagé,plusieursordinateursaccèdent généralementaurépertoirepartagé.cetteorganisationestunestructurearborescente, lerépertoirepartagéétantsituéausommetetlesrépertoireslocauxsetrouvantenbas. 35

Politiquederecherchedansledomainederépertoirelocal Lapolitiquederecherchelaplussimplesecomposeuniquementdurépertoirelocal d unordinateur.danscecas,opendirectoryrecherchelesdonnéesd utilisateuret autresdonnéesadministrativesuniquementdansledomainederépertoirelocalde chaqueordinateur. Siunserveurduréseauhébergeunrépertoirepartagé,OpenDirectoryn yrecherche pasd informationsd utilisateuroudedonnéesadministrativescarlerépertoirepartagénefaitpaspartiedelapolitiquederecherchedel ordinateur. L illustrationquisuitmontredeuxordinateursenréseauquinerecherchentdes donnéesadministrativesquedansleurdomainederépertoirelocal. Domaine de répertoire local Domaine de répertoire local Politique de recherche 1 Ordinateur de la classe de français Ordinateur de la classe de sciences Politiquesderechercheàdeuxniveaux Siundesserveursduréseauhébergeunrépertoirepartagé,touslesordinateursdu réseaupeuventinclurelerépertoirepartagédansleurspolitiquesderecherche.dans cecas,opendirectoryrecherchelesinformationsd utilisateuretautresdonnéesadministrativesencommençantparledomainederépertoirelocal.siopendirectoryne trouvepaslesinformationsdontilabesoindansledomainederépertoirelocal,ilva lesrechercherdanslerépertoirepartagé. L illustrationquisuitmontredeuxordinateursetundomainederépertoirepartagé surunréseau.lesordinateurssontconnectésaudomainederépertoirepartagéet lepossèdentdansleurpolitiquederecherche. Domaine de répertoire local Domaine de répertoire partagé Domaine de répertoire local Politique de recherche 1 2 Ordinateur de la classe de français Ordinateur de la classe de sciences 36 Chapitre2PolitiquesderechercheOpenDirectory

Voiciunexempled utilisationdepolitiquederechercheàdeuxniveaux: Domaine de répertoire local Domaine de répertoire partagé Domaine de répertoire local Politique de recherche 1 2 Ordinateur de la classe de français Ordinateur de la classe de sciences Domaine de répertoire local Ordinateur de la classe de maths Chaqueclasse(français,mathématiques,sciences)possèdesonpropreordinateur. Lesélèvesdechaqueclassesontdéfinisentantqu utilisateursdudomainelocalde l ordinateurdecetteclasse.cestroisdomaineslocauxontlemêmedomainepartagé, danslequeltouslesprofesseurssontdéfinis. Lesprofesseurs,entantquemembresdudomainepartagé,peuventouvrirunesessionsurn importequelordinateurdelaclasse.lesélèvesdechaquedomainelocal nepeuventouvrirunesessionquesurl ordinateuroùsetrouveleurcomptelocal. Alorsquelesdomaineslocauxrésidentchacunsurleursordinateursrespectifs,un domainepartagérésidesurunserveuraccessibleàpartirdel ordinateurd undomaine local.lorsqu unprofesseurouvreunesessionsurn importequelordinateurdestrois classesetqu ilestintrouvabledansledomainelocal,opendirectoryrecherchedans ledomainepartagé. Chapitre2PolitiquesderechercheOpenDirectory 37

Dansl exemplequisuit,iln yqu unseuldomainepartagé,maisilpeutyenavoirplus surdesréseauxpluscomplexes. Domaine de répertoire local Domaine de répertoire partagé Mac OS X Server de l école Ordinateur de la classe de sciences Domaine de répertoire local Domaine de répertoire local Domaine de répertoire local Ordinateur de la classe de français Ordinateur de la classe de maths Politiquesderecherchemultiniveaux Siplusieursserveursduréseauhébergentunrépertoirepartagé,lesordinateursdu réseaupeuventinclureplusieursrépertoirespartagésdansleurspolitiquesderecherche.commedanslespolitiquesderechercheplussimples,opendirectoryrecherche toujourslesinformationsd utilisateuretautresdonnéesadministrativesencommençantparledomainederépertoirelocal.siopendirectorynetrouvepaslesinformationsdontilabesoindansledomainederépertoirelocal,illesrecherchetouràtour danschaquerépertoirepartagé,dansl ordrespécifiéparlapolitiquederecherche. 38 Chapitre2PolitiquesderechercheOpenDirectory

Voiciunexempled utilisationdeplusieursrépertoirespartagés: Domaine de répertoire de maths Politique de recherche 1 2 3 Domaine de répertoire de français Domaine de répertoire de l école Domaine de répertoire de sciences Chaqueclasse(français,mathématiques,sciences)possèdeunserveurquihéberge undomainederépertoirepartagé.lapolitiquederecherchedechaqueordinateurde laclassespécifieledomainelocaldecetordinateur,ledomainepartagédelaclasseet ledomainepartagédel école. Lesélèvesdechaqueclassesontdéfinisentantqu utilisateursdudomainepartagédu serveurdecetteclasse,cequiautorisechaqueélèveàouvrirunesessionsurtoutordinateurdelaclasse.commelesprofesseurssontdéfinisdansledomainepartagéduserveurdel école,ilspeuventouvrirunesessionsurn importequelordinateurdelaclasse. Ilestpossibled affecterlatotalitéd unréseauoujusteungrouped ordinateurs, enchoisissantledomainedanslequelserontdéfinieslesdonnéesadministratives. Plusleniveaudesdonnéesadministrativesdansunepolitiquederechercheestélevé, moinsilestnécessairedelesmodifieraufuretàmesuredel évolutiondesutilisateurs etdesressourcessystème. Pourlesadministrateursdeservicesderépertoire,l aspectleplusimportantestsans doutelaplanificationdesdomainesderépertoireetdespolitiquesderecherche.ces élémentsdoiventrefléterlesressourcesquevoussouhaitezpartager,lesutilisateurs entrelesquelsvoussouhaitezlespartageretmêmelemodedegestiondevosdonnéesderépertoire. Chapitre2PolitiquesderechercheOpenDirectory 39

Politiquesderechercheautomatiques LesordinateursMacOSXpeuventêtreconfiguréspourdéfinirdespolitiquesde rechercheautomatiquement.unepolitiquederechercheautomatiquesecompose detroiséléments,dontl unestfacultatif:  Domainederépertoirelocal  RépertoireLDAPpartagé(facultatif) Lapolitiquederechercheautomatiqued unordinateurcommencetoujoursparson domainederépertoirelocal.lorsqu unordinateurmacosxn estpasconnectéàun réseau,ilrecherchelescomptesd utilisateuretautresdonnéesadministrativesuniquementdanssondomainederépertoirelocal. Lapolitiquederechercheautomatiquedétermineensuitesil ordinateurestconfiguré pourseconnecteràundomainederépertoirelocalpartagé.l ordinateurpeutêtre connectéàundomainederépertoirelocalpartagé,qui,àsontour,peutêtreconnecté àunautredomainederépertoirelocalpartagé,etainsidesuite. Undomainederépertoirelocalestlasecondepartiedelapolitiquederecherche automatique.pourensavoirplus,consultezlarubrique«àproposdudomainede répertoirelocal»àlapage29. Enfin,unordinateurpossédantunepolitiquederechercheautomatiquepeutse connecteràunrépertoireldappartagé.lorsquel ordinateurdémarre,ilpeutobtenir l adressed unserveurderépertoireldapàpartird unservicedhcp.leservicedhcp demacosxserverpeutfourniruneadressedeserveurldapdelamêmefaçonqu il fournitlesadressesdeserveursdnsetd unrouteur. (UnserviceDHCPnonApplepeutaussifournirl adressed unserveurldap. CettefonctionnalitéestconnuedansDHCPsouslenomd option95.) SivousvoulezqueserviceDHCPdeMacOSXServerfournissel adressed unserveur LDAPauxclientspourlespolitiquesderechercheautomatiques,configurezlesoptions LDAPduserviceDHCP.Pourensavoirplus,consultezlechapitreconsacréàDHCPdans Administrationdesservicesréseau. Pourqu unordinateurmacosxobtiennel adressed unserveurldapàpartirdu servicedhcp:  L ordinateurdoitêtreconfigurépourutiliserunepolitiquederechercheautomatique.celainclutl activationdel optionpermettantd ajouterdesrépertoiresldap fournisparledhcp.pourensavoirplus,consultezlesrubriques«utilisationdes réglagesavancésdesrèglesderecherche»àlapage150et«activationoudésactivationd unrépertoireldapfourniviadhcp»àlapage158.  Lespréférencesréseaudel ordinateurdoiventêtreconfiguréespourutiliserdhcpou DHCPavecuneadresseIPmanuelle.MacOSXestinitialementconfigurépourutiliser DHCP.Pourensavoirplussurlesréglagesdespréférencesréseau,consultezl AideMac. 40 Chapitre2PolitiquesderechercheOpenDirectory

Unepolitiquederechercheautomatiqueoffreconfortetsouplesse,particulièrement pourlesordinateursportables.lorsqu unordinateurdotéd unepolitiquederecherche automatiqueestdéconnectéduréseau,connectéàunautreréseauouplacésurun autresous-réseau,lapolitiquederechercheautomatiquepeutchanger. Sil ordinateurestdéconnectéduréseau,ilutilisesondomainederépertoirelocal. Sil ordinateurestconnectéàunréseauousous-réseaudifférent,ilpeutchangerautomatiquementsaconnexiondedomainederépertoirelocaletobteniruneadressede serveurldapàpartirduservicedhcpdusous-réseaucourant. Avecunepolitiquederechercheautomatique,iln estpasnécessairedereconfigurerun ordinateurafinqu ilpuisseobtenirlesservicesderépertoiresetd authentificationdans sonnouvelemplacement. Important:sivousconfigurezMacOSXpourqu ilutiliseunepolitiquederecherche automatiqued authentificationetunserveurldapfournipardhcpouundomainede répertoirelocalfournipardhcp,vousaugmenterezlerisquedevoirunattaquantprendrelecontrôledevotreordinateur.lerisqueestencoreplusélevésivotreordinateurest configurépourseconnecteràréseauunsansfil.pourensavoirplus,consultezlarubrique «ProtectiondesordinateurscontreunserveurDHCPmalveillant»àlapage154. Politiquesderecherchepersonnalisées Sivousnevoulezpasqu unordinateurmacosxutiliselapolitiquederecherche automatiquefourniepardhcp,vouspouvezdéfinirunepolitiquederecherche personnaliséepourcetordinateur. Parexemple,unepolitiquederecherchepersonnaliséepourraitspécifierqu ilfaut rechercherdansundomaineactivedirectoryavantderechercherdansundomainede répertoired unserveuropendirectory.lesutilisateurspeuventconfigurerleursordinateurspourouvrirunesessionàl aidedeleursenregistrementsd utilisateurprovenant dudomaineactivedirectoryetd avoirleurspréférencesgéréespargroupeetdes fichesd ordinateurprovenantdudomaineopendirectory. Unepolitiquederecherchepersonnaliséenefonctionnegénéralementpasdansplusieursemplacementsderéseau,nilorsquel ordinateurn estpasconnectéàunréseau, carellesebasesurladisponibilitédedomainesderépertoirespécifiquessurunréseau enparticulier. Siunordinateurportableestdéconnectédesonréseauhabituel,iln aplusaccèsaux domainesderépertoirepartagésdesaproprepolitiquederecherchepersonnalisée. L ordinateurdéconnectéatoutefoistoujoursaccèsàsonpropredomainederépertoire localcarcedernierestlepremierdomainederépertoiredanstouteslespolitiquesde recherche. Chapitre2PolitiquesderechercheOpenDirectory 41

L utilisateurdel ordinateurportablepeutouvrirunesessionàl aided unenregistrementd utilisateurdudomainederépertoirelocal,quipeutcontenirdescomptes d utilisateurmobiles.ceux-cimettentenmiroirlescomptesd utilisateurprovenant dudomainederépertoirepartagéauquell ordinateurportableaccèdelorsqu ilest connectéàsonréseauhabituel. Politiquesderecherched authentificationetdecontacts UnordinateurMacOSXpossèdeunepolitiquederecherchepourtrouverdesinformationsd authentificationetuneautrepolitiquederecherchepourtrouverdesinformationsdecontacts. Â OpenDirectoryutiliselapolitiquederecherched authentificationpourlocaliseret récupérerlesdonnéesd authentificationd utilisateuretd autresdonnéesadministrativesàpartirdesdomainesderépertoire. Â Ilutiliselapolitiquederecherchedecontactspourlocaliseretrécupérerlesnoms, adressesetautresinformationsdecontactàpartirdesdomainesderépertoire. LeCarnetd adressesdemacosxutilisecesinformationsdecontact.d autres applicationspeuventêtreprogramméespourlesexploiter. Chaquepolitiquederecherchepeutêtreautomatique,personnaliséeous exercersur ledomaineexclusivement. 42 Chapitre2PolitiquesderechercheOpenDirectory

3 AuthentificationOpenDirectory 3 OpenDirectoryoffreplusieursoptionsd authentification desutilisateursdontlescomptessontstockésdansdes domainesderépertoiredemacosxserver,ycompris Kerberosetlesméthodesd authentificationtraditionnelles requisesparlesservicesderéseau. OpenDirectorypeutauthentifierlesutilisateursselonl unedesméthodessuivantes:  AuthentificationKerberospourlasignatureunique  Méthodesd authentificationtraditionnellesetmotdepassestockédefaçonsécurisée danslabasededonnéesduserveurdemotsdepasseopendirectory  Méthodesd authentificationtraditionnellesetmotdepasseshadowstockédansun fichierdemotsdepassesécurisépourchaqueutilisateur  Motdepassecryptéstockédirectementdanslecomptedel utilisateur,pourune compatibilitédescendanteaveclessystèmeshérités  ServeurLDAPnonApplepouruneauthentificationparliaisonLDAP Deplus,OpenDirectorypermetdeconfigurerunepolitiquedemotdepassepourtous lesutilisateursetlespolitiquesdemotdepassespécifiquespourchacundesutilisateurs,tellesquel arrivéeàexpirationautomatiqueetlalongueurminimaledesmots depasse.(lespolitiquesdemotdepassenes appliquentniauxadministrateurs,nià l authentificationparmotdepassecrypté,niàl authentificationparliaisonldap). 43

Typesdemotsdepasse Chaquecompted utilisateurauntypedemotdepassequidéterminelafaçondont lecompted utilisateurestauthentifié.dansundomainederépertoirelocal,letype demotdepassepardéfautestlemotdepasseshadow.surunserveurmisàniveau àpartirdemacosxserver10.3,lescomptesd utilisateurdudomainederépertoire localpeuventaussidisposerd unmotdepassedetypeopendirectory. Pourlescomptesd utilisateurdurépertoireldapdemacosxserver,letypedemot depassepardéfautestletypeopendirectory.lescomptesd utilisateurdurépertoire LDAPpeuventaussidisposerd unmotdepassedetypemotdepassecrypté. Authentificationetautorisation Lesservicestelsquelafenêtred ouverturedesessionetleservicedefichiersapple nécessitentuneauthentificationdel utilisateuràpartird OpenDirectory.L authentificationfaitpartieduprocessusparlequelunservicedétermines ildoitaccorderàun utilisateurl accèsàuneressource.généralement,ceprocessusnécessiteégalement uneautorisation. Lorsquevousutilisezunecartedecrédit,vousfaitesl expériencedeprocessus d authentificationetd autorisation.lecommerçantvousidentifie(authentification) encomparantvotresignaturesurlafactureaveccellequifigureaudosdevotrecarte decrédit.ilsoumetalorsvotrenumérodecartedecréditàlabanquequiautorise lepaiementenfonctiondusoldedevotrecompteetd unelimitedecréditautorisé. OpenDirectoryauthentifielescomptesd utilisateuretleslistesdecontrôled accès deservice(sacl:"serviceaccesscontrollist")autorisentl utilisationdeservices. SiOpenDirectoryvousauthentifie,lalisteSACLdelafenêtred ouverturedesession déterminesivouspouvezouvrirunesession,lalistesaclduserviceapplefiling Protocol(AFP)déterminesivouspouvezvousconnecterauservicedefichiersApple, etainsidesuite. L authentificationprouvel identitédel utilisateur,tandisquel autorisationdétermine cequel utilisateurauthentifiéaledroitdefaire.unutilisateurs authentifiegénéralementenfournissantunnometunmotdepassevalides.unservicepeutalorsautoriserl utilisateurauthentifiéàaccéderàdesressourcesspécifiques.exemple:leservice defichiersautorisel accèstotalauxdossiersetauxfichiersqu unutilisateurauthentifiépossède. Certainsservicesdéterminentaussisiunutilisateurestautoriséàaccéderàdesressourcesparticulières.Cetteautorisationpeutnécessiterl extractiond informationsde compted utilisateursupplémentairesàpartirdudomainederépertoire.parexemple, leserviceafpabesoindel identifiantd utilisateuretd informationssurl adhésionde groupepourdéterminerlesdossiersetlesfichiersquel utilisateurestautoriséàlireet àécrire. 44 Chapitre3AuthentificationOpenDirectory

MotsdepasseOpenDirectory Lorsqu uncompted utilisateurdisposed untypedemotdepassed OpenDirectory, l utilisateurpeutêtreauthentifiéviakerberosouvialeserveurdemotsdepasseopen Directory.Kerberosestunsystèmed authentificationréseauquiutilisedesinformationsd authentificationémisesparunserveursécurisé.leserveurdemotsdepasse OpenDirectoryprendenchargelesméthodesd authentificationdemotsdepasse traditionnellesquecertainsclientsdeservicesderéseaurequièrent. NiKerberosnileserveurdemotsdepasseOpenDirectorynestockentlemotdepasse danslecompted utilisateur.tantkerberosqueleserveurdemotsdepasseopen Directorystockentlesmotsdepassedansdesbasesdedonnéessécuriséesendehors dudomainederépertoireetlesmotsdepassenesontjamaislus.lesmotsdepassene peuventêtrequedéfinisetvérifiés. Desutilisateursmalveillantspeuventtenterd ouvrirunesessionvialeréseaudansl espoir d accéderàkerberosetauserveurdemotsdepasseopendirectory.l examendeshistoriquesd OpenDirectorypermetdedétectercestentativesd accèsinfructueuses(consultezlarubrique«affichagedesétatsetdeshistoriquesopendirectory»àlapage211). Lescomptesd utilisateurdanslesdomainesderépertoiresuivantspeuventdisposerde motsdepasseopendirectory:  LerépertoireLDAPdeMacOSXServer  LedomainederépertoirelocaldeMacOSXServer Remarque:lesmotsdepasseOpenDirectorynepeuventpasêtreutiliséspourouvrir unesessiondansmacosxversion10.1ouantérieure.lesutilisateursquidoiventouvrir unesessionàl aidedelafenêtred ouverturedesessiondemacosx10.1ouantérieur doiventêtreconfiguréspourutiliserdesmotsdepassecryptés.letypedemotde passen apasd importancepourlesautresservices.parexemple,unutilisateurde MacOSX10.1pourraits authentifierauprèsduservicedefichiersappleàl aided un motdepasseopendirectory. Motsdepasseshadow Lesmotsdepasseshadowprennentenchargelesmêmesméthodesd authentificationtraditionnellesqueleserveurdemotsdepasseopendirectory.cesméthodes d authentificationsontutiliséespourenvoyerdesmotsdepasseshadowvialeréseau sousuneformebrouillée,ouhachage. Unmotdepasseshadoweststockésousformedeplusieurscondensésdansunfichier situésurlemêmeordinateurqueledomainederépertoireaccueillantlecompted utilisateur.étantdonnéquelemotdepassen estpasstockédanslecompted utilisateur, sacapturevialeréseaus avèredifficile.chaquemotdepasseshadowd utilisateurest stockédansunfichierdifférent,dénomméfichierdemotsdepasseshadow.seulle compted utilisateurracineestautoriséàlirecesfichiers. Chapitre3AuthentificationOpenDirectory 45

Seulslescomptesd utilisateurquisontstockésdansledomainederépertoirelocal d unordinateurpeuventdisposerd unmotdepasseshadow.lescomptesd utilisateur quisontstockésdansunrépertoirepartagénepeuventenbénéficier. Lesmotsdepasseshadowfournissentégalementuneauthentificationcachée pourlescomptesd utilisateurmobiles.pourobtenirdesinformationscomplètes surlescomptesd utilisateurmobiles,consultezgestiondesutilisateurs. Motsdepassecryptés Unmotdepassecryptéeststockédansuncondensénumériquedanslecompted utilisateur.cettestratégie,historiquementappeléeauthentificationdebase,estprincipalementcompatibleavecleslogicielsquinécessitentunaccèsdirectauxenregistrements d utilisateur.parexemple,macosx10.1ouantérieurs attendàtrouverunmotde passecryptéstockédanslecompted utilisateur. L authentificationcryptéeneprendenchargequelesmotsdepassed unelongueur maximaledehuitoctets(huitcaractèresascii).siunmotdepassepluslongestsaisi danslecompted unutilisateur,seulsleshuitpremiersoctetssontutiliséspourlavalidationdumotdepassecrypté.lesmotsdepasseshadowetopendirectorynesont passoumisàcettelimitedelongueur. Pourunetransmissionsécuriséedesmotsdepasseviaunréseau,lesmotsdepasse cryptéspeuventfonctionneraveclaméthoded authentificationdhx. Fournitured authentificationsécuriséeauxutilisateurswindows MacOSXServeroffreaussilesmêmestypesdemotsdepassesécurisésauxutilisateursWindows: Â LesmotsdepasseOpenDirectorysontnécessairespourl ouverturedesessionde domaineàpartird unestationdetravailwindowsversuncontrôleurdedomaine principalmacosxserveretpeuventêtreutiliséspourl authentificationauprèsdu servicedefichierswindows.cetypedemotdepassepeutêtrevalidéàl aidede plusieursméthodesd authentification,ycomprisntlmv2,ntlmv1etlanmanager. LesmotsdepasseOpenDirectorysontstockésdansunebasededonnéessécurisée, pasdanslescomptesd utilisateur. Â Lesmotsdepasseshadownepeuventpasêtreutiliséspourl ouverturedesession dedomainemaisilspeuventêtreutiliséspourleservicedefichierswindowset d autresservices.cetypedemotdepassepeutaussiêtrevalidéàl aidedesméthodesd authentificationntlmv2,ntlmv1etlanmanager.lesmotsdepasseshadow sontstockésdansdesfichierssécurisés,etnonpasdanslescomptesd utilisateur. Â UnmotdepassecryptéavecleGestionnaired authentificationactivéfournitlacompatibilitépourlescomptesd utilisateursurunserveurquiaétémisàniveauàpartir demacosxserver10.1.aprèslamiseàniveauduserveurversmacosxserver10.5, cescomptesd utilisateurdoiventêtremodifiésdefaçonàutiliserdesmotsdepasse OpenDirectory,quisontplussûrsqueleGestionnaired authentificationhérité. 46 Chapitre3AuthentificationOpenDirectory

Attaqueshorslignesurdesmotsdepasse Dufaitquelesmotsdepassecryptéssontstockésdirectementdanslescomptes d utilisateur,ilssontsusceptiblesd êtrepiratés. Lescomptesd utilisateurquisetrouventdansundomainederépertoirepartagésont accessiblessurleréseau.toutepersonneconnectéeauréseauetdisposantdegestionnairedegroupedetravailousachantutiliserlesoutilsàlignesdecommandespeutlirele contenudescomptesd utilisateur,ycomprislesmotsdepassecryptésquiysontstockés. LesmotsdepasseOpenDirectoryetlesmotsdepasseshadownesontpasstockés danslescomptesd utilisateur;ilsnepeuventdoncpasêtrelusàpartirdesdomaines derépertoire. UnattaquantmalveillantouunpirateinformatiquepourraitutiliserGestionnairede groupedetravailoudescommandesunixpourcopierdesenregistrementsd utilisateurdansunfichier.lepiratepeutensuitetransférercefichierversunautresystèmeet utiliserdifférentestechniquespourdécoderlesmotsdepassecryptésstockésdansles enregistrementsd utilisateur.aprèsavoirdécodéunmotdepassecrypté,lepiratepeut ouvrirunesessionincognitoavecunnomd utilisateuretunmotdepassecryptévalides. Aveccetyped attaque«horsligne»,iln estpasnécessaired effectuerplusieurstentativesd ouverturedesessionsuccessivespouraccéderàunsystème. Unefaçonefficacedeluttercontrelepiratagedemotsdepasseconsisteàutiliserde bonsmotsdepasseetd éviterd utiliserdesmotsdepassecryptés.lesmotsdepasse doiventcontenirdeslettres,deschiffresetdessymbolesetformerdescombinaisons difficilesàdevinerparlesutilisateursnonautorisés. Ilsnedoiventpasêtreconstituésdemotsexistants.Ilspeuventcontenirdeschiffres etdessymboles(comme,parexemple,#ou$)ouêtrecomposésdelapremièrelettredetouslesmotsd unephrase.utilisezunecombinaisondelettresminusculeset majuscules. LesmotsdepasseshadowetlesmotsdepasseOpenDirectorysontbeaucoup moinssujetsàl attaquehorslignecarilsnesontpasstockésdanslesenregistrementsd utilisateur. Lesmotsdepasseshadowsontstockésdansdesfichiersséparés,uniquementlisiblesparunepersonnequiconnaîtlemotdepasseducomptedel utilisateurracine (appeléaussiadministrateursystème). LesmotsdepasseOpenDirectorysontenregistrésdemanièresûredanslecentrede distributiondecléskerberosetdanslabasededonnéesduserveurdemotsdepasse OpenDirectory.LemotdepasseOpenDirectoryd unutilisateurnepeutêtrelupar d autresutilisateurs,pasmêmeparunutilisateurdisposantd autorisationsd administrateurpourl authentificationopendirectory.(cetadministrateurnepeutchanger quelesmotsdepasseopendirectoryetlespolitiquesdemotdepasse.) Chapitre3AuthentificationOpenDirectory 47

Lesmotsdepassecryptésnesontpasconsidéréscommesécurisés.Ilestrecommandé denelesutiliserquepourlescomptesd utilisateurquidoiventêtrecompatiblesavec desclientsunixquilesrequièrentoupourdesclientssousmacosx10.1.commeils sontstockésdanslescomptesd utilisateur,ilssontaussiaccessiblesetsusceptibles d êtrelacibled attaqueshorsligne(consultezlarubrique«attaqueshorslignesurdes motsdepasse»).bienquestockéssousuneformeencodée,ilssontrelativementfacilesàdécoder. Commentlesmotsdepassecryptéssontcryptés Lesmotsdepassecryptésnesontpasstockésenclair;ilssontdissimulésetrendus illisiblesparlecryptage.leprocédédecryptaged unmotdepassecryptéconsisteà introduirelemotdepasseenclairetunnombrealéatoiredansunefonctionmathématique(appeléefonctiondehachageunidirectionnelle).unefonctiondehachageunidirectionnellegénèretoujourslamêmevaleurcryptéeàpartirdedonnéesenentrée spécifiques,maisnepeutêtreutiliséepourrecréerlemotdepasseoriginalàpartir desdonnéesensortiecryptéesqu ellegénère. Pourvaliderunmotdepasseàl aidedelavaleurcryptée,macosxappliquelafonctionaumotdepassetapéparl utilisateuretlacompareàlavaleurstockéedansle compted utilisateuroulefichiershadow.silesvaleurssecorrespondent,lemotde passeestconsidérévalide. Déterminationdel optiond authentificationàutiliser Pourauthentifierunutilisateur,OpenDirectorydoitd aborddéterminerl option d authentificationàutiliser:kerberos,leserveurdemotsdepasseopendirectory, lemotdepasseshadowoulemotdepassecrypté.lecomptedel utilisateurcontient lesinformationsspécifiantl optiond authentificationàutiliser.cesinformations portentlenomd attributd autoritéd authentification. OpenDirectorysesertdunomfourniparl utilisateurpourtrouverlecomptedel utilisateurdansledomainederépertoire.opendirectoryconsultealorsl attributd autoritéd authentificationprésentdanslecomptedel utilisateurpourconnaîtrel option d authentificationàappliquer. 48 Chapitre3AuthentificationOpenDirectory

Vouspouvezchangerl attributd autoritéd authentificationd unutilisateurenchangeantletypedemotdepassedanslasous-fenêtreavancédegestionnairedegroupe detravail,commeillustrédansletableauquisuit.pourensavoirplus,reportez-vousà larubrique«modificationdutypedemotdepassed unutilisateur»àlapage125. Typedemotdepasse OpenDirectory Motdepasseshadow Motdepassecrypté Autoritéd authentification ServeurdemotsdepasseOpen DirectoryetKerberos 1 Fichierdemotsdepassedechaqueutilisateur,lisibleuniquementparlecompted utilisateur root Motdepasseencodédans l enregistrementd utilisateur Attributdansl enregistrement d utilisateur L unoul autre,oulesdeux:  ;ApplePasswordServer;  ;Kerberosv5; L unoul autre: L unoul autre:  ;basic;  pasd attributdutout  ;ShadowHash; 2  ;ShadowHash;<listedesméthodesd authentificationactivées> 1Lescomptesd utilisateurdemacosxserver10.2doiventêtreréinitialiséspourqu ilscontiennentl attributd autoritéd authentificationkerberos.consultezlarubrique«activationdel authentificationkerberosparsignature uniquepourunutilisateur»àlapage129. 2Sil attributquifiguredansl enregistrementd utilisateurest;shadowhash;sanslistedeméthodesd authentificationactivées,cesontlesméthodesd authentificationpardéfautquisontactivées.lalistedesméthodesd authentificationpardéfautestdifférentepourmacosxserveretmacosx. L attributd autoritéd authentificationpeutspécifierplusieursoptionsd authentification.parexemple,uncompted utilisateuravecunmotdepassedetypeopendirectorypossèdenormalementunattributd autoritéd authentificationquispécifietant KerberosqueleserveurdemotsdepasseOpenDirectory. Uncompted utilisateurnedoitpasnécessairementcontenirunattributd autorité d authentification.danscecas,macosxserversupposequ unmotdepassecrypté estenregistrédanslecompted utilisateur.parexemple,lescomptesd utilisateurcréés àl aidedelaversion10.1ouantérieuredemacosxcontiennentunmotdepasse cryptémaispasd attributd autoritéd authentification. Chapitre3AuthentificationOpenDirectory 49

Politiquesdemotdepasse OpenDirectoryappliquelespolitiquesdemotdepassepourlesutilisateursdontle typedemotdepasseestopendirectoryoumotdepasseshadow.unepolitiquede motdepassed utilisateurpeut,parexemple,spécifierundélaid expirationdumotde passe.si,aumomentoùl utilisateurouvreunesession,opendirectoryconstateque lemotdepasseaexpiré,l utilisateurdevraremplacercemotdepasse.opendirectory pourraalorsauthentifierl utilisateur. Lespolitiquesdemotdepassepeuventdésactiveruncompted utilisateuràunedate donnée,aprèsuncertainnombredejours,aprèsunepérioded inactivitéouaprèsun certainnombredetentativesd ouverturedesessioninfructueuses.ellespeuventaussi exigerquelemotdepassesoitcomposéauminimumd uncertainnombredecaractères,qu ilcontienneaumoinsunelettreouunchiffre,qu ilsoitdifférentdunomd utilisateur,qu ildiffèredesmotsdepasseprécédemmentchoisisouqu ilsoitmodifié régulièrement. Lapolitiquedemotdepassepouruncompted utilisateurmobileestd application lorsquelecompteestutiliséaussibienlorsqu ilestdéconnectéduréseauquelorsqu il estconnectéauréseau.lapolitiquedemotdepassed uncompted utilisateurmobile estmiseenmémoirecachepoursonutilisationhorsligne.pourensavoirplussurles comptesd utilisateurmobiles,consultezgestiondesutilisateurs. Lespolitiquesdemotdepassen affectentpaslescomptesd administrateur.lesadministrateurssontexclusdespolitiquesdemotdepassecarilspeuventmodifiercespolitiquescommeilslesouhaitent.deplus,appliquerdespolitiquesdemotdepasseàdes administrateurspourraitenfairelacibled attaquespardénideservice. KerberosetleserveurdemotsdepasseOpenDirectorymaintiennentdespolitiquesde motdepasseséparées.unserveuropendirectorysynchroniselesrèglesdepolitique demotdepassekerberosaveclesrèglesdepolitiquedemotdepasseduserveurde motsdepasseopendirectory. 50 Chapitre3AuthentificationOpenDirectory

Authentificationparsignatureunique MacOSXServerutiliseKerberospourl authentificationparsignatureunique,cequipermetauxutilisateursdenepasdevoirtaperunnomd utilisateuretunmotdepassedifférentspourchacundesservices.aveclasignatureunique,unutilisateurtapetoujours unnomd utilisateuretunmotdepassedanslafenêtred ouverturedesession.par contre,unefoislasessionouverte,ilnedoitplussaisirdenomd utilisateurnidemot depassepouraccéderauservicedefichiersapple,auservicedemessagerieniaux autresservicesquiutilisentl authentificationkerberos. Pourpouvoirbénéficierdelasignatureunique,lesutilisateursetlesservicesdoivent êtrekerberisés,c est-à-direconfiguréspourl authentificationparkerberos,etutiliser lemêmeserveurdecentrededistributiondecléskerberos. CecentrededistributiondeclésMacOSXServerpeutaussiauthentifierlesutilisateurs pourlesservicesfournispard autresserveurs.pourquedesserveurssupplémentaires sousmacosxserverutilisentlecentrededistributiondeclésdemacosxserver, trèspeudeconfigurationestnécessaire. AuthentificationKerberos Kerberosestunprotocoled authentificationenréseaudéveloppéparlemitenvue defourniruneauthentificationetdescommunicationssûresenréseauxouverts, telsqu Internet.Ilportelenomduchienàtroistêtesquigardaitl accèsaumonde souterraindanslamythologiegrecque. Kerberosfournitdespreuvesd identitéauxdeuxparties.ilvouspermetdeprouver quivousêtesauprèsdesservicesréseauquevousvoulezutiliser.ilprouveaussiàvos applicationsquelesservicesréseausontauthentiquesetn ontpasfaitl objetd une opérationdespoofing(mystification). Lescomptesd utilisateurquirésidentdansunrépertoireldapdemacosxserveret quipossèdentunmotdepassedetypeopendirectoryutilisentlecentrededistributiondeclésintégréduserveur.cescomptesd utilisateursontconfigurésautomatiquementpourkerberosetlasignatureunique.lesserviceskerbérisésduserveurutilisent égalementlecentrededistributiondeclésintégréduserveuretsontconfigurésautomatiquementpourlasignatureunique. Commed autressystèmesd authentification,kerberosnefournittoutefoispasd autorisation.chaqueserviceréseaudéterminecequevouspouvezfaireenfonctionde l identitéquevousavezprouvée. Chapitre3AuthentificationOpenDirectory 51

Kerberospermetàunclientetàunserveurdes identifiermutuellementdefaçonnettementplussûrequelesméthodesd authentificationparmotdepasseetparquestion-réponsetraditionnelles.kerberosfournitaussiunenvironnementàsignature uniquedanslequellesutilisateursnedoivents authentifierqu unefoisparjour, parsemaineouparpériode,cequiallègelafréquencedesauthentifications. MacOSXServeroffreunepriseenchargeintégréedeKerberosquevraimenttoutle mondepeutdéployer.enfait,ledéploiementdekerberosestàcepointautomatique quelesutilisateursetlesadministrateursneremarquerontpeut-êtremêmepasqu ilest déployé. MacOSX10.3etultérieurutiliseKerberosautomatiquementlorsqu unutilisateurouvre unesessionàl aided uncompteconfigurépourl authentificationparopendirectory. Ils agitduréglagepardéfautpourlescomptesd utilisateurdanslerépertoireldap demacosxserver.d autresservicesfournisparleserveurderépertoireldapcomme, parexemple,lesservicesafpetceuxdecourrierélectronique,utilisentaussikerberos automatiquement. Sivotreréseaucomported autresserveurssousmacosxserver10.5,ilestaiséde lesjoindreauserveurkerberos;laplupartdeleursservicesutilisentalorskerberos automatiquement. D unautrecôté,sivotreréseaudisposed unsystèmekerberoscomme,parexemple, MicrosoftActiveDirectory,vouspouvezconfigurervosordinateursMacOSXServeret MacOSXpourqu ilsl utilisentpourl authentification. 52 Chapitre3AuthentificationOpenDirectory

MacOSXServeretMacOSX10.3ouultérieurprennentenchargeKerberos5. MacOSXServeretMacOSX10.5neprennentpasenchargeKerberos4. SurmonterlesobstaclesdudéploiementdeKerberos Jusqu ilyapeu,kerberosétaitunetechnologiedestinéeauxuniversitésetauxsites gouvernementaux.iln étaitpasutiliséàplusgrandeéchelleparcequecertainsobstaclesenmatièred adoptiondevaitêtrelevés. MacOSXetMacOSXServer10.3ouultérieuréliminentlesobstacleshistoriques suivantsàl adoptiondekerberos: Â UnadministrateurdevaitconfigureruncentrededistributiondeclésKerberos. C étaitdifficileàdéployeretàadministrer. Â Iln yavaitpasd intégrationstandardavecunsystèmederépertoire.kerberosne faitquedel authentification.ilnestockepasdedonnéesdecompted utilisateur comme,parexemple,l identifiantd utilisateur(uid),l emplacementdudossierde départoul appartenanceàungroupe.l administrateurdevaitarriveràcomprendrecommentintégrerkerberosàunsystèmederépertoire. Â TouslesserveursdevaientêtreinscritsaucentrededistributiondeclésKerberos. Celaajoutaituneétapesupplémentaireauprocessusdeconfigurationduserveur. Â AprèsavoirconfiguréunserveurKerberos,l administrateurdevaitserendresur touslesordinateursclientsetlesconfigurerunàunpourl utilisationdekerberos. Celaprenaitbeaucoupdetempsetnécessitaitlamodificationdefichiersdeconfigurationetl utilisationd outilsdelignedecommande. Â Ilfallaitdisposerd unesuited applicationskerbérisées(logicielsserveuretclient). Certainesdesapplicationsdebaseétaientdisponibles,maislesporteretlesadapterpourqu ellesfonctionnentdansvotreenvironnementn étaitpaschoseaisée. Â Touslesprotocolesderéseauutiliséspourl authentificationclient-serveurneprennentpasenchargekerberos.certainsprotocolesderéseaunécessitenttoujoursdes méthodesd authentificationdéfi-réponsetraditionnellesetiln yapasdefaçonstandardd intégrerkerberosàcesméthodesd authentificationréseaupatrimoniales. Â LeclientKerberosprendenchargelebasculementdesorteque,siuncentrede distributiondeclésesthorsligne,ilpeututiliseruneréplique,maisl administrateur devaitarriveràcomprendrecommentconfigurerunerépliquekerberos. Â Lesoutilsd administrationn ontjamaisétéintégrés.lesoutilspourlacréationet lamodificationdecomptesd utilisateurdansledomainederépertoirenesavaient riendekerberosetlesoutilskerberosnesavaientriendescomptesd utilisateur danslesrépertoires.configurerunenregistrementd utilisateurétaituneopération spécifiqueausite,quidépendaitdelafaçondontlecentrededistributiondeclés étaitintégréausystèmederépertoire. Chapitre3AuthentificationOpenDirectory 53

Expérienceenmatièredesignatureunique Kerberosestunsystèmed informationsd authentificationouunsystèmeàbasede tickets.l utilisateurouvreunesessionsurlesystèmekerberosetreçoitunticketavec unecertaineduréedevie.pendantladuréedeviedeceticket,l utilisateurnedoit jamaisseréauthentifierpouraccéderàunservicekerbérisé. Lelogicielclientkerbérisédel utilisateur,comme,parexemple,l applicationmailde MacOSX,présenteunticketKerberosvalidepourauthentifierl utilisateurpourun servicekerbérisé.c estcelalasignatureunique. UnticketKerberos,c estcommeunecartedepressepourunfestivaldejazzquise tientdansdifférentesboîtesdenuitsurtroisjours.vousdevezprouvervotreidentité unefoispourobtenirlacartedepresse.jusqu àsonexpiration,ilsuffitdelamontrer àunedesboîtesdenuitpourobtenirunticketpourunspectacle.touteslesboîtesde nuitparticipantesacceptentvotrecartedepressesansvousdemanderdeprouverà nouveauvotreidentité. Authentificationsécurisée IntrinsèquementInternetn estpassécuriséetpeudeprotocolesd authentification fournissentunevéritablesécurité.lespiratesinformatiquespeuventutiliserdesoutils logicielstoutprêtspourintercepterlesmotsdepassequitransitentparunréseau. Denombreusesapplicationsenvoient,eneffet,lesmotsdepasseenclair.Cesderniers sontprêtsàl emploidèsqu ilssontinterceptés.mêmelesmotsdepassecryptésne sontpastoutàfaitsûrs.s ildisposedetempsetdepuissancedecalcul,unpiratepeut aussicraquerlesmotsdepassecryptés. Pourisolerlesmotsdepassesurvotreréseauprivé,vouspouvezutiliseruncoupe-feu, maiscelanerésoutpastouslesproblèmes.parexemple,uncoupe-feuneprotègepas contrelesinitiésmécontentsoumalveillants. Kerberosaétéconçupoursolutionnerlesproblèmesdesécuritéderéseau.Ilnetransmetjamaislemotdepassedel utilisateursurleréseaunin enregistrelemotdepasse danslamémoireousurledisquedel ordinateurdel utilisateur.decettefaçon,même silesinformationsd authentificationkerberossontcraquéesoucompromises,l attaquantneconnaîtrapaslemotdepasseoriginaletnepourra,lecaséchéant,compromettrequ unepetitepartieduréseauetnonl ensembleduréseau. Enplusd unegestiondesmotsdepasseplusefficace,kerberosprocèdeaussià uneauthentificationmutuelle.leclients authentifieauprèsduserviceetleservice s authentifieauprèsduclient.uneattaque"man-in-the-middle"oudemystification estimpossiblelorsquevousutilisezdesserviceskerbérisés.lesutilisateurspeuvent doncfaireconfianceauxservicesauxquelsilsaccèdent. 54 Chapitre3AuthentificationOpenDirectory

Prêtàallerau-delàdesmotsdepasse L authentificationréseauestdifficile:pourdéployeruneméthoded authentification réseau,leclientetleserveurdoiventsemettred accordsurlaméthoded authentification.etbienqu ilsoitpossiblepourn importequelsprocessusclient-serveurdesemettred accordsuruneméthoded authentificationpersonnalisée,obteniruneadoption généraliséed unemultitudedeprotocolesréseau,deplates-formesetdeclientsdifférentsestpresqueimpossible. Parexemple,imaginezquevoussouhaitiezdéployerdescartesàpuceintelligentes commeméthoded authentificationréseau.sanskerberos,vousdevriezmodifierchaqueprotocoleclient-serveurpourqu ilprenneenchargelanouvelleméthode.laliste desprotocolesestlongue:smtp,pop,imap,afp,smb,http,ftp,ipp,ssh,quicktime Streaming,DNS,LDAP,domainederépertoirelocal,RPC,NFS,AFS,WebDAV,LPRetainsi desuite. Sil onconsidèretousleslogicielsquifontdel authentificationréseau,déployerune nouvelleméthoded authentificationparmil ensembledesprotocolesréseauestune tâchetitanesque.bienquecelasemblefaisablepourleslogicielsd unseuletunique fournisseur,ilestpeuprobablequevousarriviezàconvaincretouslesfournisseursde modifierleurlogicielclientpourqu ilutilisevotrenouvelleméthoded authentification parcartesàpuceintelligentes.deplus,vousvoudrezprobablementaussiquevotre authentificationfonctionnesurplusieursplates-formes(comme,parexemple, MacOSX,WindowsetUNIX). GrâceàlaconceptiondeKerberos,unbinaireouprotocoleclient-serveurprenant enchargekerberosnesaitmêmepascommentl utilisateurprouvesonidentité. C estpourquoiilvoussuffitdemodifierleclientkerberosetleserveurkerberosde façonàcequ ilsacceptentunenouvellepreuved identitécomme,parexemple, unecarteintelligente.l ensembledevotreréseaukerberosamaintenantadopté lanouvelleméthodedepreuved identité,sansqu ilsoitnécessairededéployerde nouvellesversionsdeslogicielsclientetserveur. Authentificationmultiplateforme Kerberosestdisponiblesurlesprincipalesplates-formes,ycomprisMacOSX, Windows,Linuxetd autresvariantesd UNIX. Authentificationcentralisée Kerberosfournituneautoritéd authentificationcentralepourleréseau.touslesservicesettouslesclientscompatiblesaveckerberosutilisentcetteautoritécentrale. Lesadministrateurspeuventvérifieretcontrôlerlespolitiquesetlesopérations d authentificationdefaçoncentralisée. Chapitre3AuthentificationOpenDirectory 55

Serviceskerbérisés KerberospeutauthentifierdesutilisateurspourlesservicessuivantsdeMacOSXServer:  Fenêtred ouverturedesession  Servicedemessagerie  ServicedefichiersAFP  ServicedefichiersFTP  ServicedefichiersSMB(entantquemembred unroyaumekerberosactivedirectory)  ServiceVPN  ServiceWebApache  ServicederépertoireLDAP  ServiceiChat  Serviced impression  ServicedefichiersNFS  Xgrid Cesservicesontétékerbérisés,qu ilstournentounon.seulscesservicespeuventutiliserkerberospourauthentifierunutilisateur.macosxservercontientdesoutilsde lignedecommandepourkerbériserd autresservicesquisontcompatiblesavecle KerberosduMIT.Pourensavoirplus,consultezlechapitreconsacréàOpenDirectory duadministrationdelignedecommande. ConfigurationdeservicespourKerberosaprèslamiseàniveau AprèslamiseàniveauàMacOSXServer10.5,ilsepeutquevousdeviezconfigurer certainsservicesdefaçonàcequ ilsutilisentl authentificationkerberosparsignature unique.cesservicesn étaientsoitpasconfigurésdefaçonàutiliserkerberosoune faisaientpaspartiedelaversionantérieuredemacosxserver. Sicetteconditionexiste,unmessagesurcelle-ciapparaîtlorsquevousvousconnectez auserveurdansadminserveur.lemessageapparaîtdanslasous-fenêtrevued ensemblelorsquevoussélectionnezleserveur(pasunservice)danslalistedesserveurs. Pourconfigurerlesnouveauxservicesetlesservicesmisàniveaudefaçonàcequ ils utilisentkerberos: 1 OuvrezAdminServeuretconnectez-vousauserveurmisàniveau. 2 Cliquezsurletrianglesetrouvantàgaucheduserveur. Lalistedesservicesapparaît. 3 DanslalisteServeursdéveloppée,sélectionnezOpenDirectory. 4 CliquezsurRéglages,puissurGénéral. 5 CliquezsurKerbériserlesservices,puissaisissezlenometlemotdepassed uncompte d administrateurderépertoireldap. Lesservicesdéjàconfiguréspourl utilisationdekerberosnesontpasconcernés. 56 Chapitre3AuthentificationOpenDirectory

PrincipauxetroyaumesKerberos Lesserviceskerbériséssontconfiguréspourauthentifierlesprincipauxconnusd un royaumedonné.unroyaumekerberospeutêtreconsidérécommeunebasededonnées ouundomained authentificationkerberosspécifiquecontenantdesdonnéesdevalidationpourlesutilisateurs,lesservicesetparfoislesserveurs(tousappelésprincipaux). Parexemple,unroyaumecontientdescléssecrètesdeprincipauxquirésultentd une fonctionunidirectionnelleappliquéeàdesmotsdepasse. Lesprincipauxdeservicesontgénéralementbaséssurdessecretsgénérésdefaçon aléatoiresplutôtquesurdesmotsdepasse. Voicidesexemplesdenomsderoyaumeetdeprincipal.Lesnomsderoyaumesont écritsenmajusculesparconventionpourlesdistinguerdesnomsdedomainedns: Â Royaume:MONROYAUME.EXEMPLE.COM Â Utilisateurprincipal:jsanchez@MONROYAUME.EXEMPLE.COM Â Serviceprincipal:serveurafp/autrenom.exemple.com@MONROYAUME.EXEMPLE.COM Processusd authentificationkerberos L authentificationkerberossefaitenplusieursétapes.lorsdelapremièreétape, leclientobtientdesinformationsd authentificationservantàdemanderl accès auxserviceskerbérisés.lorsdeladeuxièmephase,leclientrequiertl authentification pourunservicedonné.lorsdeladernièreétape,leclientprésentelesinformations d authentificationauservice. L illustrationsuivanteschématisecesactivités.leserviceetleclientpeuventêtrela mêmeentité(comme,parexemple,lafenêtred ouverturedesession)oudeuxentités différentes(comme,parexemple,unclientdemessagerieélectroniqueetleserveur demessagerie). Centre de distribution de clés (KDC) 2 4 3 6 Service kerbérisé 1 Client 5 Chapitre3AuthentificationOpenDirectory 57

1 Leclients authentifieauprèsd uncentrededistributiondecléskerberos,quicommuniqueaveclesroyaumespouraccéderauxdonnéesd authentification.c estlaseule étapeàlaquellelesmotsdepasseetlesinformationsdepolitiquedemotdepassequi ysontassociéessontvérifiées. 2 Lecentrededistributiondeclésenvoieunticketd octroideticketauclient.ceticket constituelesinformationsd authentificationrequiseslorsqueleclientveututiliserles serviceskerbérisésetsontvalablespourunepériodeconfigurable,maispeuventêtre révoquéesavantl expiration.ilssontplacéssurleclientjusqu àleurexpiration. 3 Leclientcontactelecentrededistributiondeclésavecleticketd octroideticket lorsqu ilsouhaiteutiliserunservicekerbérisédonné. 4 Lecentredélivreunticketpourceservice. 5 Leclientprésenteleticketauservice. 6 Leserviceauthentifieleclientenvérifiantqueleticketestvalide. Aprèsavoirauthentifiéleclient,leservicedéterminesileclientestautoriséàutiliser leservice. Kerberosnefaitqu authentifierlesclients,ilnelesautorisepasàutiliserdesservices. Parexemple,denombreuxservicesutilisentleslistesdecontrôled accèsàunservice (SACL)deMacOSXServerpourdéterminersiunclientestautoriséàutiliserleservice. Kerberosn envoiejamaisdemotdepassenid informationsdepolitiquedemotde passeàunservice.unefoisqu unticketd octroideticketestobtenu,plusaucune informationdemotdepassen estfournie. LanotiondetempsesttrèsimportantepourKerberos.Sileclientetlecentrededistributiondeclésnesontpassynchronisésàquelquesminutesprès,leclientneréussira pasàs authentifieraveclecentre.lesinformationsconcernantladate,l heureetle fuseauhorairedoiventêtrecorrectessurleserveurducentrededistributiondecléset surlesclients.ilestrecommandéqueleserveuretlesclientsutilisenttouslemême serviced horlogeréseaupourqueleurshorlogesrestentsynchronisées. PourensavoirplussurKerberos,allezsurlesitewebduMITconsacréàKerberos, àl adresseweb.mit.edu/kerberos/www/index.html. 58 Chapitre3AuthentificationOpenDirectory

Méthodesd authentificationparserveurdemotsdepasse OpenDirectoryetparmotdepasseshadow Àdesfinsdecompatibilitéavecdifférentsservices,MacOSXServerpeututiliserplusieursméthodesd authentificationpourvaliderlesmotsdepasseopendirectoryet lesmotsdepasseshadow. Pourlesmotsdepasseshadow,l utilisationdesasldépendduprotocolederéseau. Lesméthodesd authentificationsuivantessontprisesencharge: Méthode Sécuritéduréseau Sécuritédustockage Utilise APOP Crypté,avecsolutionde Texteenclair ServicedecourrierPOP secoursàtexteenclair CRAM-MD5 Crypté,avecsolutionde secoursàtexteenclair Crypté Servicedecourrier IMAP,serviceLDAP DHX Crypté Crypté ServicedefichiersAFP, administrationopen Directory Digest-MD5 Crypté Crypté Fenêtred ouverturede session,servicedemessagerie MS-CHAPv2 Crypté Crypté ServiceVPN NTLMv1etNTLMv2 Crypté Crypté ServicesSMB(WindowsNT/98ouultérieur) LANManager Crypté Crypté ServicesSMB (Windows95) WebDAV-Digest Crypté Texteenclair Servicedefichiers WebDAV(iDisk) OpenDirectoryprendenchargedenombreusesméthodesd authentificationparce quetouslesservicesquirequièrentdel authentificationutilisentcertainesméthodes etpasd autres.parexemple,lesservicesdefichiersutilisentunensembledeméthodes d authentification,leservicewebenutiliseunautre,leservicedecourrierencoreun autre,etc. PourlesmotsdepasseOpenDirectory,MacOSXServerutiliselaméthodestandard SimpleAuthenticationandSecurityLayer(SASL)pournégocieruneméthoded authentificationentreunclientetunservice. Certainesméthodesd authentificationsontplussûres.lesméthodeslesplussûresutilisentdesalgorithmesplusrobustespourencoderlesdonnéestransmisesentreleclient etleserveur.lesméthodesd authentificationlesplussûresstockentenoutrelesmots depassesouslaformedecondensésnumériques,difficilesàrécupéreràpartirduserveur.lesméthodeslesmoinssûresstockentlesmotsdepasseenclair,cequilesrend facilesàrécupérer. Chapitre3AuthentificationOpenDirectory 59

Personne,pasmêmeunadministrateurniunutilisateurracine,nepeutrécupérerdes motsdepassecryptésenleslisantdanslabasededonnées.unadministrateurpeut utilisergestionnairedegroupedetravailpourdéfinirlemotdepassed unutilisateur, maisl administrateurnepeutlireaucunmotdepassed utilisateur. SivousconnectezMacOSXServer10.4ouultérieuràundomainederépertoirede MacOSXServer10.3ouantérieur,sachezquelesutilisateursdéfinisdansledomaine derépertoireleplusanciennepeuventêtreauthentifiésparlaméthodentlmv2.cette méthodepeuts avérernécessairepourauthentifierdefaçonsûrecertainsutilisateurs WindowspourlesservicesWindowsdeMacOSXServer10.4etultérieur. LeserveurdemotsdepasseOpenDirectorydeMacOSXServer10.4ouultérieur prendenchargel authentificationntlmv2,maisleserveurdemotsdepassede MacOSXServer10.3ouantérieurneprendpasenchargeNTLMv2. SivousconnectezMacOSXServer10.3ouultérieuràundomainederépertoirede MacOSXServer10.2ouantérieur,lesutilisateursdéfinisdansledomainederépertoire leplusanciennepeuventêtreauthentifiésparlaméthodems-chapv2.orcette méthodepeuts avérernécessairepourauthentifierdefaçonsûredesutilisateurspour leservicevpndemacosxserver10.3ouultérieur. LeserveurdemotsdepasseOpenDirectorydeMacOSXServer10.3ouultérieur prendenchargel authentificationms-chapv2,maisleserveurdemotsdepassede MacOSXServer10.2ouantérieurneprendpasenchargeMS-CHAPv2. Désactivationdesméthodesd authentificationopendirectory PourrenforcerlasécuritédustockagedesmotsdepasseOpenDirectorysurleserveur,vouspouvezdésactiverdesméthodesd authentificationdemanièresélective. Parexemple,siaucunclientnevautiliserlesservicesWindows,vouspouvezdésactiver lesméthodesd authentificationntlmv1,ntlmv2etlanmanagerafind empêcher lestockagedemotsdepassesurleserveuràl aidedecesméthodes.ainsi,toutepersonnequiaccéderaitàvotrebasededonnéesdemotsdepassesansautorisation nepourraitpasexploiterlesvulnérabilitésdecesméthodesd authentificationpour craquerdesmotsdepasse. Important:sivousdésactivezuneméthoded authentification,soncondensénumériqueestsupprimédelabasededonnéesdemotsdepasseàlaprochaineauthentificationdel utilisateur.sivousactivezuneméthoded authentificationquiétaitdésactivée, chaquemotdepasseopendirectorydoitêtreréinitialisépourajouterlecondensé numériquedelaméthodenouvellementactivéeàlabasededonnéesdemotsde passe.lesutilisateurspeuventréinitialiserleurspropresmotsdepasseouunadministrateurderépertoirepeutlefairepoureux. 60 Chapitre3AuthentificationOpenDirectory

Désactiveruneméthoded authentificationrendlabasededonnéesduserveurde motsdepasseopendirectoryplussûreaucasoùunutilisateurnonautoriséaurait accèsphysiquementàunserveuropendirectory(maîtreouréplique)ouàunsupport contenantunecopiedesauvegardedumaîtreopendirectory. Unepersonnequiarriveraitàaccéderàlabasededonnéesdemotsdepassepeuttenterdecraquerlemotdepassed unutilisateurenattaquantlecondensénumérique ouletexterécupérablestockédanslabasededonnéesdemotsdepasseàl aidede n importequelleméthoded authentification.rienn eststockédanslabasededonnéesdemotsdepasseparuneméthoded authentificationdésactivée,cequilaisse unevoiedepénétrationdemoinsouverteàunpiratequiauraitaccèsphysiquement auserveuropendirectoryouàunecopiedesauvegardedecedernier. Certainscondensésnumériquesstockésdanslabasededonnéesdemotsdepassesont plusfacilesàcraquerqued autres.lesméthodesd authentificationrécupérablesstockentdutexteenclair(parfaitementlisible).désactiverlesméthodesd authentification quistockentdutexteenclairoudescondensésnumériquesplusfaiblesaugmenteplus lasécuritédelabasededonnéesdemotsdepassequedésactiverdesméthodesqui stockentdescondensésnumériquesplusforts. Sivouspensezquevotremaître,répliquesetsauvegardesOpenDirectorysontsûres, sélectionneztouteslesméthodesd authentification.sivousvoussouciezdelasécurité physiqued unserveuropendirectoryoudesessupportsdecopiesdesauvegarde, vousdevriezdésactivercertainesméthodes. Remarque:désactiverdesméthodesd authentificationn améliorepaslasécurité desmotsdepassependantqu ilstransitentparleréseau.seulelasécuritédelabase dedonnéesdemotsdepasseestconcernée.enfait,désactivercertainesméthodes d authentificationpeutcontraindrecertainsclientsàconfigurerleurlogicielpourqu il envoielesmotsdepasseparleréseausouslaformedetexteenclair,cequirisquede compromettrelasécuritédesmotsdepassed uneautrefaçon. Chapitre3AuthentificationOpenDirectory 61

Désactivationdesméthodesd authentificationdemotsdepasseshadow Lesméthodesd authentificationpeuventêtredésactivéesdemanièresélectiveafin derendreplussûrlestockagedesmotsdepassedansdesfichiersdemotsdepasse shadow.parexemple,siunutilisateurn utilisenileservicedecourrierélectroniqueni leserviceweb,vouspouvezdésactiverlesméthodeswebdav-digestetapoppourcet utilisateur.ainsi,toutepersonnequiaccéderaitauxfichiersdemotsdepasseshadow surunserveurd unemanièreoud uneautrenepourraitpasrécupérerlemotdepasse del utilisateur. Important:sivousdésactivezuneméthoded authentificationdemotsdepasseshadow,soncondensénumériqueestsupprimédufichierdemotsdepassedel utilisateuràlaprochaineauthentificationdel utilisateur.sivousactivezuneméthode d authentificationquiétaitdésactivée,lecondensénumériquedelaméthodenouvellementactivéeestajoutéaufichierdemotsdepasseshadowdel utilisateuràlaprochaineauthentificationdel utilisateurpourunservicequipeututiliserunmotdepasse enclaircomme,parexemple,lafenêtred ouverturedesessionouafp.d unautrecôté, lemotdepassedel utilisateurpeutêtreréinitialisépourajouterlecondensénumériquedelaméthodenouvellementactivée.lesutilisateurspeuventréinitialiserleurs propresmotsdepasseouunadministrateurderépertoirepeutlefairepoureux. Désactiveruneméthoded authentificationrendlemotdepasseshadowplussûrsiun utilisateurmalveillantavaitaccèsphysiquementauxfichiersdemotsdepasseshadow d unserveurouàunsupportcontenantunecopiedesauvegardedesfichiersdemots depasseshadow.unepersonnequiarriveraitàaccéderauxfichiersdemotsdepasse peuttenterdecraquerlemotdepassed unutilisateurenattaquantlecondensé numériqueouletexterécupérablestockédanslabasededonnéesdemotsdepasse àl aideden importequelleméthoded authentification. Rienn eststocképaruneméthoded authentificationdésactivée,cequilaisseunevoie depénétrationdemoinsouverteàunpiratequiauraitaccèsphysiquementaufichier demotsdepasseshadowouàunecopiedesauvegardedecedernier. Lescondensésnumériquesstockésparcertainesméthodesd authentificationsontplus facilesàcraquerqueceuxd autresméthodes.aveclesméthodesd authentification récupérables,lemotdepasseenclairoriginalpeutêtrereconstruitàpartirdecequi eststockédanslefichier.désactiverlesméthodesd authentificationquistockent descondensésnumériquesrécupérablesouplusfaiblesaugmentepluslasécurité dufichierdemotsdepasseshadowquedésactiverdesméthodesquistockentdes condensésnumériquesplusforts. Sivouspensezquelesfichiersmotdepasseshadowetlessauvegardesd unserveur sontsûres,sélectionneztouteslesméthodesd authentification.sivousvoussouciez delasécuritéphysiqueduserveuroudesessupportsdesauvegarde,désactivez lesméthodesquevousn utilisezpas. 62 Chapitre3AuthentificationOpenDirectory

Remarque:désactiverdesméthodesd authentificationn améliorepaslasécuritédes motsdepassependantqu ilstransitentparleréseau;seulelasécuritédustockagedes motsdepasseestconcernée.désactivercertainesméthodesd authentificationpeut contraindrecertainsclientsàconfigurerleurlogicielpourqu ilenvoielesmotsdepasse parleréseausouslaformedetexteenclair,cequirisquedecompromettrelasécurité desmotsdepassed uneautrefaçon. Contenudelabasededonnéesduserveurdemotsdepasse OpenDirectory LeserveurdemotsdepasseOpenDirectorytientàjourunebasededonnées d authentificationdistinctedudomainederépertoirede.opendirectoryrestreint trèsfortl accèsàlabasededonnéesd authentification. LeserveurdemotsdepasseOpenDirectorystockelesinformationssuivantesdanssa basededonnéesd authentificationpourchaquecompted utilisateurpossédantun motdepassedetypeopendirectory. Â L identifiantdemotdepassedel utilisateur,unevaleur128bitsattribuéelorsdela créationdumotdepasse.ilestégalementenregistrédansl enregistrementdel utilisateur,dansledomainederépertoire,etestutilisécommecléd accèsàl enregistrement d utilisateurdanslabasededonnéesduserveurdemotdepasseopendirectory. Â Lemotdepassestockésousuneformerécupérable(enclair)ousouslaformed un condensénumérique(crypté).laformevarieenfonctiondelaméthoded authentification.unmotdepasserécupérableestenregistrépourlesméthodesd authentificationapopetwebdav.pourtouteslesautresméthodes,l enregistrementsefaitsous laformed unmotdepassecrypté.siaucuneméthoded authentificationexigeant unmotdepasseenclairn estactivée,labasededonnéesd authentificationd Open Directoryenregistrelesmotsdepassesousformecryptéeuniquement. Â Lenomabrégédel utilisateur(utilisédanslesmessagesd historiquesconsultables dansadminserveur). Â Desdonnéesdepolitiquedemotdepasse. Â Deshorodatagesetautresinformationssurl utilisationcomme,parexemple, l heuredeladernièreouverturedesession,l heuredeladernièrevalidationéchouée, lenombredevalidationséchouéesetdesinformationsderéplication. AuthentificationparliaisonLDAP Pourlescomptesd utilisateurquirésidentdansunrépertoireldapsurunserveurnon Apple,OpenDirectorytented utiliserl authentificationparliaisonldap.opendirectory envoieauserveurderépertoireldaplenometlemotdepassefournisparl utilisateur encoursd authentification.l authentificationestréussiesileserveurldaptrouveun enregistrementd utilisateuretunmotdepassecorrespondants. Chapitre3AuthentificationOpenDirectory 63

SileserviceLDAPetlaliaisondel ordinateurclientàcederniersontconfiguréspour l envoidesmotsdepassesurleréseauenclair,ilsepeutquel authentificationpar liaisonldapnesoitpassûre. OpenDirectorytented utiliseruneméthoded authentificationsûreaveclerépertoire LDAP.SilerépertoireneprendpasenchargelaliaisonLDAPsécuriséeetsilaconnexionLDAPv3duclientautorisel envoid unmotdepasseenclair,opendirectory serabatsurlaliaisonldapsimple. Pourempêcherl authentificationpardutexteenclair,assurez-vousquevosserveurs LDAPn acceptentpaslesmotsdepasseenclair. Danscecas,vouspouvezsécurisercetteauthentificationenconfigurantunaccèsau répertoireldapàl aideduprotocolessl(securesocketslayer).sslsécurisel accès encryptanttouteslescommunicationsaveclerépertoireldap.pourensavoirplus, consultezlesrubriques«modificationdelapolitiquedesécuritépouruneconnexion LDAP»àlapage171et«Modificationdesréglagesdeconnexiond unrépertoire LDAP»àlapage170. 64 Chapitre3AuthentificationOpenDirectory

4 Outilsdeplanificationet degestionopendirectory 4 CechapitrefournitdesindicationsgénéralespourlaplanificationdesservicesOpenDirectoryetdécritlesoutilsnécessaires pourlesgérer.toutcommel installationélectriqueoules canalisationsd unbâtiment,lesservicesderépertoired un réseaudoiventêtreplanifiésàl avanceplutôtqu improvisés augrédescirconstances. Lestockaged informationsdansdesdomainesderépertoirepartagésaméliorelecontrôle duréseau,permetàunnombreplusimportantd utilisateursd accéderauxinformations etsimplifielagestiondesinformations.leniveaudecontrôleetdeconvivialitédépend toutefoisdel effortquevousconsacrezàlaplanificationdevosdomainespartagés. L objectifdelaplanificationd undomainederépertoireestdeconcevoirladisposition dedomainespartagéslaplussimplequifournitàvosutilisateursmacosxunaccès aiséauxressourcesréseaudontilsontbesoinetquiminimiseletempsconsacréà lagestiondesenregistrementsd utilisateursetd autresdonnéesadministratives. 65

Directivesgénéralesdeplanification Sivousnepartagezpard informationssurlesutilisateursetlesressourcesentreplusieursordinateursmacosx,laplanificationdedomainesderépertoireesttrèsréduite cartoutestaccessibleàpartird undomainederépertoirelocal. Assurez-voussimplementquetouteslespersonnesquidoiventutiliseruncertain ordinateurmacosxdisposentdecomptesd utilisateursurcedernier.cescomptes d utilisateurrésidentdansledomainederépertoirelocal,surl ordinateur. Deplus,toutepersonnequiabesoind utiliserleservicedefichiers,leservicedecourrieroutoutautreservicequirequiertuneauthentificationdemacosxserver,doit disposerd uncompted utilisateurdansledomainederépertoirelocalduserveur. Delasorte,chaqueutilisateuradeuxcomptes:l unpourouvrirunesessionsurun ordinateuretl autrepouraccéderàdesservicesdemacosxserver,commeillustré ci-dessous.l utilisateurouvreunesessiondansledomainederépertoirelocaldel ordinateurmacosxpuisutiliseunautrecomptepourouvrirunesessiondansledomaine derépertoirelocalduserveurdesservicesdefichiers. Ouverture de session Mac OS X Domaine de répertoire local Connexion à Mac OS X Server pour le service de fichiers Domaine de répertoire local PourpartagerdesinformationsentredesordinateursetdesserveursMacOSX, vousdevezconfigureraumoinsundomainederépertoirepartagé.delasorte,chaque utilisateurn abesoinqued unseulcomptedansledomainederépertoirepartagé. Aveccecompteunique,l utilisateurpeutouvrirunesessionmacosxsurtoutordinateurconfigurépouraccéderaudomainederépertoirepartagé.l utilisateurpeutaussi utiliserlemêmecomptepouraccéderàdesservicesdetoutmacosxserverconfigurépouraccéderaudomainederépertoirepartagé. 66 Chapitre4OutilsdeplanificationetdegestionOpenDirectory

Domaine de répertoire partagé Ouverture de session Mac OS X Domaine de répertoire local Connexion à Mac OS X Server pour le service de fichiers Domaine de répertoire local L illustrationquisuitmontreuneconfigurationavecundomainederépertoirepartagé L illustrationmontreunutilisateurouvrantunesessionsurunordinateurmacosxà l aided uncomptededomainederépertoirepartagé.lecomptededomainederépertoirepartagéestensuiteaussiutilisépouraccéderàunservicedefichiers.lorsquel utilisateurtented accéderauservicedefichiers,leserveurdeservicesdefichiersaccède audomainederépertoirepartagépourvérifierlecompted utilisateur.commetant l ordinateurdel utilisateurquel ordinateurdesservicesdefichierssontconnectésau domainederépertoirepartagé,lecompted utilisateurdansledomainederépertoire partagéestutilisépouraccéderàlafoisàl ordinateuretauxservicessansdevoirutiliseruncomptelocalsurchacundesordinateurs. Dansdenombreusesorganisations,undomainederépertoirepartagéuniqueconvientparfaitement.Ilpeutgérerdescentainesdemilliersd utilisateursetdesmilliers d ordinateursquipartagentlesmêmesressources,comme,parexemple,lesmêmes filesd attented impression,pointsdepartagepourrépertoiresdedépart,pointsde partagepourapplicationsetpointsdepartagepourdocuments. Laréplicationdudomainederépertoirepartagépeutaugmenterlescapacitésou lesperformancedusystèmederépertoireenconfigurantplusieursserveursdefaçon àcequ ilstraitentlachargedusystèmederépertoirepourleréseau. Chapitre4OutilsdeplanificationetdegestionOpenDirectory 67

Pourlesorganisationsplusgrandesetpluscomplexes,ilpeutêtreutiledemettre enplacedesdomainesderépertoirepartagéssupplémentaires.l illustrationquisuit montrecommentunetelleorganisationpourraitorganisersesdomainesderépertoire. Domaine de répertoire local Domaine de répertoire partagé Mac OS X Server Serveur Windows Domaine Active Directory Domaine de répertoire local Utilisateur Mac OS X Utilisateur Windows Sivotreorganisationestgrandeetsivoulezaugmenterlesperformancesetlacapacité devotredomainederépertoireréseau,vouspouvezajouterplusieursdomainesde répertoireàvotreréseau.deplus,utiliserplusieursdomainesderépertoirepermetde répartirlachargedevotredomainederépertoired entreprise. Ilyaplusieursméthodespourconfigurerplusieursdomainesderépertoire.Enanalysantlatopologiedevotreréseau,vouspouvezdéterminerlaméthodequiconvient lemieuxàvotreréseau.voicidesconfigurationsfacultativesdeplusieursdomaines derépertoire: Â OpenDirectoryavecundomainepréexistant.Vouspouvezconfigurerunserveur OpenDirectoryMacOSXsurunréseauquidisposed undomainederépertoire préexistantcomme,parexemple,undomaineactivedirectoryouopendirectory. Parexemple,sivotreorganisationdisposed unserveuractivedirectorypréexistant quiprendenchargelesordinateursclientswindowsetmacosx,vouspouvezajouterunserveuropendirectorymacosxpourmieuxprendreenchargevosutilisateursmac.lesdeuxserveurspeuventcoexistersurlemêmeréseauetfournirdes domainesderépertoireredondantspourlesclientswindowsetlesclientsmacosx. VouspouvezaussiconfigurerleserveurMacOSXServerdefaçonàcequ ilprenne enchargel autorisationinter-domainesencasd existenced unroyaumekerberos. SivousavezconfigurévotreserveurMacOSXaveclaconfigurationdegroupedetravail,vouspouvezaisémentl ajouteràvotredomainederépertoirepréexistant.àl aide delaconfigurationdegroupedetravaildemacosx,vouspouvezaisémentimporter desutilisateursdevotredomainederépertoirepréexistantdansvotreserveurde groupedetravail.cesutilisateursimportéssontappelésdesutilisateursajoutés. 68 Chapitre4OutilsdeplanificationetdegestionOpenDirectory

Pourensavoirplussurlesutilisateursajoutésetlaconfigurationsstandardoude groupedetravaild unserveurmacosx,consultezpremierscontactsetgestiondes utilisateurs. Â ServeurmaîtreOpenDirectoryavecrépliques.VouspouvezaussicréerunserveurmaîtreOpenDirectoryMacOSXavecdesrépliques.Lesserveursrépliquéscontiennent unecopiedudomainederépertoiredumaîtreopendirectorypourlarépartition delachargeetlaredondance. Â Votreorganisationpourrait,parexemple,disposerd unmaîtreopendirectory ausiègesocialetplacerdesrépliquesdeceserveurdanschacunedesfiliales. Celapermetauxutilisateursdessitesdistantsdenepassubirderetardslorsdes ouverturesdesession. Â Réplicationencascade.Vouspouvezaussiutiliserleréplicationencascade,dans laquellelesrépliquesd unmaîtreopendirectoryontdesrépliquesàleurtour. Lorsqu unerépliqueestunmembredirectdumaîtreopendirectoryetasespropres répliques,onparlederelais. Parexemple,sivotreorganisationdisposede32répliquesetvousdevezajouterd autres réplique,vouspouvezréorganiserlatopologieduréseauafinquelesrépliquesdeviennentdesrelaisenajoutantdesrépliquesauxrépliques(ourelais). LaréplicationencascadepermetderépartirlachargedumaîtreOpenDirectoryen réduisantlenombrederépliquesquecedernierdoitgérerdirectement. Évaluationdesbesoinsenmatièrederépertoireset d authentification Outrelemodederépartitiondesdifférentesdonnéesderépertoiresentrelesdifférentsdomaines,vousdevezégalementtenircomptedescapacitésdechaquedomaine derépertoire.latailledevotredomainederépertoiredépenddevosbesoinsen matièrederéseau. Parmicesfacteurs,onpeutciterlesperformancesdelabasededonnéesquistockeles informationsderépertoire.ledomainederépertoireldapdemacosxserverutilise labasededonnéesberkeleydb,quiresteperformanteavec200000enregistrements. Unserveurhébergeantundomainederépertoiredecettetailledoitdisposerd un espacedisquesuffisantpourstockertouslesenregistrements. Lenombredeconnexionsqu unservicederépertoirepeutgérerestplusdifficileà évaluercarlesconnexionsdesservicesderépertoiressurviennentdansuncontexte quienglobelesconnexionsdel ensembledesservicesfournisparceserveur.sous MacOSXServer,unserveurdédiéàOpenDirectorypeutaccepteraumaximum 1000connexionsd ordinateursclientssimultanées. Chapitre4OutilsdeplanificationetdegestionOpenDirectory 69

LeserveurOpenDirectorypeutfournirdesservicesLDAPetd authentificationàplus d ordinateursclients,parcequetouslesordinateurn ontpasbesoindecesservices enmêmetemps.chaqueordinateurclientseconnecteaurépertoireldappendant uneduréemaximumdedeuxminutesetlesconnexionsauserveurdemotsdepasse OpenDirectorysontencoreplusbrèves. Ilpeutnéanmoinss avérerdifficiled évaluerleurnombre,autrementditlepourcentage d ordinateursclientsseconnectantaumêmemoment. Parexemple,lesordinateursutiliséàlongueurdejournéeparunemêmepersonnequi travaillesurdesfichiersd imagesn auraquerarementbesoindesservicesopendirectory. Enrevanche,lesnombreuxutilisateursd unordinateursituédansunlaboratoire ouvrentetfermentdessessionstoutaulongdelajournée,chacund entreeuxutilisantdifférentsréglagesdepréférencesdeclientgéré.untelordinateurreprésente unechargerelativementlourdepourlesservicesopendirectory. Engénéral,l utilisationd OpenDirectoryestproportionnelleaunombred ouvertures etdefermeturesdesessions.cesactivitéssonthabituellementmajoritairesdans lesservicesderépertoiresetd authentificationden importequelsystème. Pluslesutilisateursouvrentetfermentdessessions,moinsleserveurOpenDirectory (outoutautreserveurderépertoiresetd authentification)pourragérerd ordinateurs clients.silesouverturesetfermeturesdesessionssonttrèsfréquentes,vousdevrez ajouterdesserveursopendirectory.enrevanche,silessessionsdetravailsontplus longuesetquelesouverturesdesessionsontplusrares,vouspourrezvouscontenter d unpluspetitnombredeserveursopendirectory. Identificationdeserveurspourl hébergementdedomaines partagés Sivousavezbesoindeplusd undomainepartagé,identifiezlesserveurssurlesquels lesdomainespartagésdoiventrésider.lesdomainespartagésconcernentdenombreuxutilisateurs,ilestdoncconseillédelesplacersurdesordinateursmacosxserver présentantlescaractéristiquessuivantes: Â Accèsphysiquelimité Â Accèsréseaulimité Â Technologiespourlahautedisponibilité,comme,parexemple,lessystèmes d alimentationssanscoupure Sélectionnezdesordinateursquineserontpasfréquemmentremplacésetquisont dotésdescapacitésadéquatespouraccueillirunnombrecroissantdedomainesde répertoire.bienqu ilsoitpossiblededéplacerundomainepartagéaprèssaconfiguration,vousdevrezpeut-êtrereconfigurerlespolitiquesderecherchedesordinateurs quiseconnectentàcedomainepartagéafinquelesutilisateurspuissentcontinuer àyouvrirdessessions. 70 Chapitre4OutilsdeplanificationetdegestionOpenDirectory

DuplicationdeservicesOpenDirectory MacOSXServergèreladuplicationduservicederépertoireLDAP,duserveurdemots depasseopendirectoryetducentrededistributiondecléskerberos. Laduplicationdevosservicesderépertoiresetd authentificationvouspermet: Â Derapprocherlesinformationsderépertoiresd ungrouped utilisateursauseind un réseaudistribuégéographiquement,cequiaméliorelesperformancesdesservices derépertoiresetd authentificationpourcesutilisateurs. Â D obtenirlaredondancedesservices,afinquelesutilisateursnesoientquetrèspeu affectésencasdedéfaillanceoud inaccessibilitéd unsystèmederépertoire. L undesserveursdisposed unecopieprincipaledudomainederépertoireldappartagé,duserveurdemotsdepasseopendirectoryetducentrededistributiondeclés Kerberos.OnappelleceserveurunmaîtreOpenDirectory.ChaquerépliqueOpenDirectoryconstitueunserveurdistinctcontenantunecopiedurépertoireLDAPmaître,du serveurdemotsdepasseopendirectoryetducentrededistributiondecléskerberos. UnserveurOpenDirectoryMacOSXpeutavoirjusqu à32répliques.chaqueréplique peutavoiràsontour32répliques,cequidonnedéjà1056répliquesdansunehiérarchieàdeuxniveaux. L accèsaurépertoireldapsurunerépliques effectueenlectureseule.lesmodificationsdesenregistrementsd utilisateuretàd autresinformationsdurépertoireldap nepeuventêtreapportéesquesurlemaîtreopendirectory. LemaîtreOpenDirectoryrépercuteautomatiquementsursesrépliqueslorsquedes modificationsontétéapportéesaurépertoireldap.lemaîtrepeutmettredesrépliquesàjoursoitdèsqu unemodificationsurvient,soitàintervallesréguliers.l option desintervallesdetempsprogrammésestlameilleuresilesrépliquessontconnectées aumaîtreparl intermédiaired unréseauàfaibledébit. Lesmotsdepasseetlespolitiquesdemotsdepassepeuventêtremodifiéssurn importe quelleréplique.silemotdepasseoulapolitiquedemotdepassed unutilisateurest modifiésurplusieursrépliques,c estlamodificationlaplusrécentequiprévaut. Lamiseàjourdesrépliquesdépenddelasynchronisationdeshorlogesdumaîtreet detouteslesrépliques.silesrépliquesetlemaîtreontdesheuresdifférentes,lamiseà jourpeutêtrearbitraire.lesinformationsdedate,d heureetdefuseauhorairedoivent êtrecorrectessurlemaîtreetlesrépliquesetellesdoivent,sipossible,utiliserlemême serviced horlogeréseaupourdemeurersynchronisées. Évitezden avoirqu uneseulerépliqueàunedesdeuxextrémitésd unlienréseaulent. Siunerépliqueestséparéedetouteslesautresrépliquesparunlienréseaulentetsi cetterépliquetombeenpanne,lesclientsdelarépliquevontbasculerversunerépliquequisetrouveàl autreextrémitédulienréseaulent.lesservicesderépertoire pourraients entrouvernettementralentis. Chapitre4OutilsdeplanificationetdegestionOpenDirectory 71

Sivotreréseaucontientunmélangedeversions10.4etdeversions10.5deMacOSX Server,sachezqu uneversionnepeutpasêtrelarépliqued unmaîtredel autreversion.unmaîtreopendirectoryenversion10.5neserapasrépliquéenversion10.4et unmaîtreopendirectoryenversion10.4neserapasrépliquéenversion10.5: Versiondelaréplique Répliquesous MacOSXServer10.5 Répliquesous MacOSXServer10.4 Maîtresous MacOSXServer10.5 Oui Non Maîtresous MacOSXServer10.4 Non Oui Ensemblederépliques Unensemblederépliquesestuneconfigurationautomatiquequinécessitequetous lesservicesqu OpenDirectorygère(LDAP,serveurdemotsdepasseetKerberos) recherchentetutilisentlemêmeserveurrépliqué.celapermetdes assurerqueles ordinateursclientschoisissentlemêmeserveurrépliquélorsdel utilisationdeservices OpenDirectoryetd empêcherlesouverturesdesessionlentes. Réplicationencascade MacOSX10.4utiliseunmodèleenétoilepourlaréplicationdesserveursmaître OpenDirectory.ChaquemaîtreOpenDirectorydoitmaintenirunenregistrement detransactionpourchacundesserveursrépliqués. L illustrationquisuitmontrelemodèleenétoileutilisépourlaréplicationdans MacOSX10.4. Réplique Réplique Maître Open Directory Réplique Réplique Réplique Réplique Deplus,iln yavaitaucunelimitequantaunombredeserveursrépliquésqu unmaître OpenDirectorypouvaitgérer. 72 Chapitre4OutilsdeplanificationetdegestionOpenDirectory

SiunmaîtreOpenDirectoryavait1000répliquesàgérer,ilpouvaitavoirdesproblèmes deperformancessil oncontinuaitàajouterdesrépliques.onpeutcomparercettesituationàcelled uncadredevantgérer1000salariés,cequiestunesituationingérable. MacOSXServer10.5utiliselaréplicationencascadepouraméliorerl extensibilitéet résoudrelesproblèmesdeperformancesquisurvenaitavecl ancienmodèleenétoile pourlaréplication.l utilisationdelaréplicationencascadepermetdelimiterlenombredeserveursrépliquéspouvantêtreprisenchargeparunseuletmêmeserveur maîtreopendirectory. UnseuletmêmeserveurmaîtreOpenDirectorypeutavoirjusqu à32répliqueset chacunedecesrépliquespeutavoiràsontourjusqu à32répliques,cequidonne 1056répliquesd unseuletmêmeserveurmaîtreopendirectory. Celacréeunehiérarchieàdeuxniveauxdesserveursrépliqués.Lepremierniveaude répliques,lesmembresdirectsdumaîtreopendirectory,sontappelésdesrelaiss ilont àleurtourdesrépliques,parcequ ilsrelaientlesdonnéesverslesecondniveaude répliques. Deplus,danslecasdelaréplicationencascade,iln estpasnécessairequeleserveur maîtreopendirectorymaintienneunenregistrementdetransactionpourchaqueserveurrépliqué.leserveurmaîtrenegèrequemaximum32enregistrementsdetransactionderépliques,cequiaméliorelesperformances. L illustrationquisuitmontrelahiérarchieàdeuxniveauxdumodèledelaréplication encascade. Maître Open Directory Relais (réplique) Relais (réplique) Relais (réplique) Relais (réplique) Réplique Réplique Réplique Réplique Réplique Réplique Réplique Réplique Chapitre4OutilsdeplanificationetdegestionOpenDirectory 73

PlanificationdelamiseàniveaudeplusieursrépliquesOpenDirectory SivotremaîtreOpenDirectorygèreplusde32répliques,votreorganisationdoit passeràlaréplicationencascade.lemodèledelaréplicationencascadeaméliorera lesperformancesdevotreserveuropendirectory. Lorsquevousplanifiezlamigration,pensezàl emplacementdevosserveursrépliqués etàlatopologiedevotreréseaupourdéterminerlameilleuremanièrederéorganiser vosrépliquesdansunestructurehiérarchique. Parexemple,ilfautéviterd avoirunmaîtreopendirectorysituésurlacôteouestdes États-UnisquiserépliquesurunerépliquesituéesurlacôteEst. Remarque:sivotremaîtreOpenDirectoryamoinsde32répliques,lamigrationn est pasnécessaire. Répartitiondelachargedanslespetits,moyensetgrands environnements N utilisezpasdelogicielderépartitiondelachargedeservicesdetiersavecdes serveursopendirectory. Unlogicielderépartitiondelachargepeutprovoquerdesproblèmesimprévisibles pourlesordinateursopendirectory.ilpourrait,parexemple,interféreraveclarépartitiondelachargeetlecomportementenmatièredebasculementautomatiques d OpenDirectorydansMacOSXetMacOSXServer. LesordinateursMacOSXrecherchentleserveurOpenDirectorydisponibleleplusproche,qu ils agissedumaîtreoud uneréplique.lemaîtreoularépliqueopendirectory leplusproched unordinateurestceluiquirépondleplusrapidementàlademande deconnexionopendirectorydel ordinateur. Réplicationdansuncampuscomprenantplusieursbâtiments Quandunréseaus étendsurplusieursbâtiments,lesconnexionsentrebâtiments peuvents avérerpluslentesquelesconnexionsauseindesdifférentsbâtiments. Ilpeutarriverégalementquelesconnexionsentrebâtimentssoientsaturées. Cessituationspeuventnuireauxperformancesdesordinateursquibénéficientde servicesopendirectoryprovenantd unserveursituédansunautrebâtiment.parconséquent,ilestrecommandéd installerunerépliqueopendirectorydanschaquebâtiment. Selonvosbesoins,ilpeutmêmes avérerintéressantd installerunerépliqueopen Directoryàchacundesétagesd unbâtimentquiencompteplusieurs.chaquerépliqueoffreainsidesservicesderépertoiresetd authentificationefficacesauxordinateursclientssituésàproximité.lesordinateursn ontplusbesoind établirdeconnexion avecunserveuropendirectoryvialalignepluslentequirelielesbâtimentsentreeux. 74 Chapitre4OutilsdeplanificationetdegestionOpenDirectory

Lefaitd avoirplusderépliquesprésenteundésavantage.lesrépliquescommuniquent entreellesetaveclemaîtrevialeréseau.cescommunicationsreprésententunecharge pourleréseau,quiaugmenteenproportiondunombrederépliques.l ajoutd untrop grandnombrederépliquespeutaccroîtreletraficentrebâtiments(dufaitdesmisesà jourderépliques)plusqu ilneréduitlescommunicationsclientesopendirectory. Lorsquevousdécidezdunombrederépliquesàdéployer,pensezàl intensitédel utilisationdesservicesopendirectoryparlesordinateurs.silesordinateursn ontque relativementpeurecoursauxservicesopendirectoryetquevosbâtimentssont reliésentreeuxpardesconnexionsrapides(ethernetà100mbits/s,parexemple), vousn avezsansdoutepasbesoind installerunerépliquedanschaquebâtiment. VouspouvezréduirelachargedescommunicationsentrerépliquesetmaîtreOpen Directoryenprogrammantlafréquencedemiseàjourdesrépliquesparlemaître OpenDirectory.Ainsi,iln estpeut-êtrepasnécessairequelesrépliquessoientmises àjouràchaquemodificationapportéeaumaître.opterpourunefréquencedemise àjourmoinsélevée,améliorelesperformancesduréseau. Utilisationd unmaître,d unerépliqueoud unrelaisopendirectory avecnat Sivotreréseaudisposed unserveuropendirectoryducôtéduréseauprivéd unrouteur(oud unepasserelle)detraductiond adressesréseau(nat),ycomprislerouteur NATdeMacOSXServer,seulslesordinateursquisetrouventducôtéduréseauprivé durouteurnatpeuventseconnecteraudomainederépertoireldapduserveur OpenDirectory. LesordinateursquisetrouventducôtéduréseaupublicdurouteurNATnepeuvent passeconnecteraudomainederépertoireldapd unmaîtreoud uneréplique OpenDirectoryquisetrouveducôtéduréseauprivé. SiunserveurOpenDirectorysetrouveducôtépublicduréseaud unrouteurnat, tantlesordinateursquisetrouventducôtéduréseauprivéquelesordinateursquise trouventducôtéduréseaupublicdurouteurnatpeuventseconnecteraurépertoire LDAPduserveurOpenDirectory. Sivotreréseauprendenchargelesclientsmobilecomme,parexemple,lesMacBook quivontsedéplacerentreleréseaulocalprivédevotrepasserellenatetinternet,vous devezconfigurerleservicevpnpourlesutilisateursmobilesafinquecesdernierspuissentutiliserunvpnpourseconnecterauréseauprivéetaudomaineopendirectory. Chapitre4OutilsdeplanificationetdegestionOpenDirectory 75

CompatibilitéentremaîtreetrépliquesOpenDirectory LemaîtreOpenDirectoryetsesrépliquesdoiventutiliserlamêmeversionde MacOSXServer.Deplus: Â UnmaîtreOpenDirectorysousMacOSXServer10.5nepeutpasserépliquervers MacOSXServer10.4. Â MacOSXServer10.5nepeutpasêtreunerépliqued unmaîtreopendirectorysous MacOSXServer10.4. Â UnmaîtreOpenDirectorysousMacOSXServer10.5nepeutpasserépliquervers unerépliqueopendirectorysousmacosxserver10.5. Sivousdisposezd unmaîtreetderépliquesopendirectoryquiutilisent MacOSXServer10.4,vousdevezlesmettreàniveauà10.5ensemble.Mettez d abordàniveaulemaître,puismettezàniveaulesrépliques.lesclientsdumaîtreet lesrépliquescontinuerontàrecevoirdesservicesderépertoireetd authentification pendantlamiseàniveau. Pendantlamiseàniveaudumaître,sesclientsbasculerontautomatiquement verslarépliquelaplusproche.pendantlamiseàniveaudesdifférentesrépliques, lesclientsbasculerontverslemaîtremisàniveau. Lamiseàniveaud unmaîtreopendirectoryàpartirdemacosxserver10.4à10.5 rompralesliaisonsaveclesrépliquesexistantes.aprèslamiseàniveaud uneréplique OpenDirectoryàMacOSXServer10.5,celle-ciseraunserveurderépertoireautonome; vousdevrezlaretransformerànouveauenréplique. PourensavoirplussurlamiseàniveauàMacOSXServer10.5,consultezMiseàniveau etmigration. MélangedeservicesdemaîtresetrépliquesActiveDirectory etopendirectory Ilyadesconsidérationsspécialeslorsdel introductiondeserveuropendirectorydans unenvironnementactivedirectory.sivousneprenezpascertainesprécautions,vous obtiendrezdesrésultatsmitigésenmatièred expérienceclientetdefonctionnalités serveur. Deplus,évitezdemélangerlaliaisonderépertoireauthentifiéeetActiveDirectorysur lemêmeclientouserveur.laliaisonauthentifiéeutilisekerberostoutcommeactive Directorylefait.Utiliserlesdeuxprovoquerauncomportementimprévuoulenonfonctionnementdesservicesd authentificationàmoinsquevousnepreniezlesprécautionsdétailléesci-dessous. 76 Chapitre4OutilsdeplanificationetdegestionOpenDirectory

Lorsquel onmélangeopendirectoryetactivedirectory,l onnepeututiliserlesinformationsd authentificationkerberosd unoul autresystèmepourlasignatureunique. VousnepouvezpasavoirdesutilisateursdansActiveDirectoryetdansOpenDirectory etutiliserlesdeuxinformationsd authentificationkerberospourlasignatureuniquesur unserveurquiestkerbérisépourunserveurparticulier.end autresmots,vousnepouvezpasouvrirunesessionàl aided uncompteactivedirectoryetespérerutiliserla signatureuniqueavecunserveurquifaitpartieduroyaumekerberosopendirectory. Kerberosestutilisédansl environnementactivedirectoryetdansl environnement OpenDirectory.Kerberosfaitcertainessuppositionsausujetdeladéterminationdu royaumed unserveurparticulierlorsquedesticketskerberosdoiventêtreutilisés. Voiciunexempledemélanged unroyaumekerberosactivedirectoryavecun royaumekerberosmaîtreopendirectory:  DomaineActiveDirectory=entreprise.com  RoyaumeKerberosActiveDirectory=ENTREPRISE.COM  MaîtreduserveurOpenDirectory=serveur1.entreprise.com  RoyaumeKerberosOpenDirectory=SERVEUR1.ENTREPRISE.COM LorsqueKerberostented obteniruntgspourl utilisationdeldapauprèsde serveur1.entreprise.com,ildemande«ldap/serveur1.entreprise.com@entreprise.com» àmoinsquedomain_realmnesoitprésentdanslaconfiguration.le«domain_realm» pouropendirectoryassumequel ensemblede«.entreprise.com»appartientà «SERVEUR1.DEMOTREE.COM».CelaempêchetouteconnectivitéaudomaineActive Directorynommé«entreprise.com». SivoussouhaitezmélangerlaliaisonderépertoireauthentifiéeetActiveDirectory, vosroyaumesetserveursdedomaineactivedirectoryetopendirectorydoiventse trouverdansdeshiérarchiesdifférentes.parexemple:  DomaineActiveDirectory=entreprise.com  RoyaumeKerberosActiveDirectory=ENTREPRISE.COM  MaîtreduserveurOpenDirectory=serveur1.od.entreprise.com  RoyaumeduserveurOpenDirectory=OD.ENTREPRISE.COM ou  DomaineActiveDirectory=ads.entreprise.com  RoyaumeKerberosActiveDirectory=ADS.ENTREPRISE.COM  MaîtreduserveurOpenDirectory=serveur1.od.entreprise.com  RoyaumeKerberosOpenDirectory=OD.ENTREPRISE.COM Chapitre4OutilsdeplanificationetdegestionOpenDirectory 77

Danscesdeuxexemples,unenouvellezonededomaineDNSdoitêtrecrééeettant lesentréesdnsdirectesetlesentréesdnsinversesdoiventexisterpourlesserveurs afinque,siuneadresseipestutiliséepourleserveuropendirectory,ellereçoive lenomprévu.parexemple,l adresseip«serveur1.od.entreprise.com»=10.1.1.1. Larecherchede10.1.1.1devraitdoncêtreidentiqueà«serveur1.od.entreprise.com»et nonà«serveur1.entreprise.com». Intégrationavecdesdomainesderépertoireexistants Sivotreréseauadéjàundomainederépertoire,vouspouvezajouterunautreserveur dedomainederépertoireauréseauquiutiliselabasededonnéesdevotredomaine derépertoireexistantpourgérerlesautorisationsd accèsdesutilisateurs.onappelle cetteconfigurationl autorisationinter-domaines.ellerequiertlapriseenchargede Kerberosparlesserveurs. Sivousutilisezl autorisationinter-domaines,unserveurseraunserveurpseudo-maître tandisquel autreseraunserveursubordonné.touslesutilisateurss authentifieront auprèsduserveurpseudo-maîtreàl aided uneméthoded authentification.tout utilisateurquis authentifierarecevraunticketkerberos.lorsquecetutilisateurtente d accéderàunservicefourniparleserveursubordonné,cedernieraccepteetvalidele ticketkerberosdel utilisateurqueluiadonnéleserveurpseudo-maîtrepourautoriser l utilisateur. LeticketKerberoscontientdesinformationsPrivilegeAttributeCertificate(PAC),qui contiennentlenomd utilisateur,lesidentifiantsdel utilisateur(uid)etdesidentifiants d appartenancedegroupe(gid).leserveursubordonnéutilisecesinformationspour vérifierquel utilisateurestautoriséàutiliserleserviceencomparantl UIDouleGIDà lalistedecontrôled accès(acl)duserviceauquell utilisateurdemandel accès. Enutilisantl autorisationinter-domaines,vousévitezdedevoircréerdifférentsnoms d utilisateuretmotsdepassepourvotreserveurdedomainederépertoiresubordonné. Vouspouvezutiliserlesmêmesnomsd utilisateuretmotsdepasseprovenantdu domainederépertoired entrepriseaveclesinformationspacpourdonnerauxutilisateursl autorisationd accès. L autorisationinter-domainesestlaconfigurationidéalesivousnepouvezpasmodifierdirectementlesgroupesauseindudomainederépertoired entreprise. Vouspouvezutiliserl autorisationinter-domainesentreunserveuractivedirectoryet unserveuropendirectorysousmacosx10.5ouentredeuxserveursopendirectory sousmacosx10.5.l autorisationinter-domainesnefonctionnepassurunserveur sousmacosx10.4.pourutiliserlesinformationspac,leserveurpseudo-maîtredoit posséderunroyaumekerberosauquelleserveursubordonnépeuts inscrire. 78 Chapitre4OutilsdeplanificationetdegestionOpenDirectory

Pourcréerunserveursubordonnédansunsystèmederépertoire,vousdevezutiliser Utilitairederépertoirepourinscrirevotreserveurauprèsd unserveuractivedirectory ouopendirectorysurlequelkerberosestconfiguréettourne.puis,àl aided Admin Serveur,vousdeveztransformervotreserveurOpenDirectoryenunmaîtreOpen Directory.Leserveursubordonnédétermineautomatiquementqu ilestsubordonnéà unserveuractivedirectoryouopendirectoryetseconfigureenconséquence. Vouspouvezaussidisposerd unerépliquedevotreserveuropendirectorysubordonné.pourcréerunerépliqued unserveurderépertoiresubordonné,inscrivezvotre serveurauprèsduserveurpseudo-maîtreetduserveursubordonnéàl aided Utilitaire derépertoire.configurezensuiteleserveurcommerépliqueduserveursubordonné. Sivousn inscrivezpasleserveurauprèsduserveurpseudo-maîtreetduserveur subordonné,ilserabloquéounedeviendrapasuneréplique. LorsquevousintégrezdesordinateurssousMacOSXavecvotreserveurderépertoire, vousvoudrezpeut-êtreajouterunnouveautyped enregistrementouunenouvelle classed objetsauschémaderépertoireafindemieuxgéreretprendreenchargevos ordinateursclientssousmacosx. Parexemple,pardéfaut,ilsepeutqu iln yaitpasdetyped enregistrementpicture dansvotreschémaderépertoirepourvosutilisateursmacosx,maisvouspouvezen ajouterunàvotreschémaderépertoireafinquelesenregistrementspicturepuissent êtrestockésdanslabasededonnéesderépertoires. Sivousvoulezajouterdesenregistrementsoudesattributsàvotreschémaderépertoire, consultezvotreadministrateurdedomainederépertoirepourobtenirdesinstructions. Intégrationavecmodificationsauschéma SivousajoutezdesordinateursMacOSXàvotredomainederépertoireexistant, vouspouvezapporterdesmodificationsauschémadevotreserveurdedomainede répertoireafindemieuxprendreenchargelesordinateursclientssousmacosx. Intégrationsansmodificationsauschéma MacOSXetMacOSXServers intègrentaveclaplupartdesrépertoiresbaséssurldap sansqu ilsoitnécessaired apporterdesmodificationsauschémadevotreserveurde répertoire.ilsepeuttoutefoisquecertainstypesd enregistrementnesoientpasreconnusoumaintenusparleschémasderépertoiredevotreserveur. Lorsquevousajoutezuntyped enregistrementouunattributàvotreschéma,regardezd abords ilyadéjàuntyped enregistrementouunattributauquelvouspouvez aisémentlefairecorrespondredansvotreschémaderépertoireexistant.s iln yapas encoredetyped enregistrementoud attributauquelvouspouvezlefairecorrespondre,vouspouvezajouterletyped enregistrementoul attributàvotreschéma. Onparled étendreleschéma. Chapitre4OutilsdeplanificationetdegestionOpenDirectory 79

Lorsquevousétendezvotreschéma,ilsepeutquevousdeviezchangerlalistedecontrôled accès(acl)pardéfautdecertainsattributsafinquelescomptesd ordinateur puissentlirelespropriétésutilisateur.parexemple,vouspouvezconfigurermacosx demanièreàcequ ilaccèdeauxinformationsdecompted utilisateurélémentaires dansundomaineactivedirectoryd unserveurwindows2000ouwindows2003ou ultérieur. Pourensavoirplussurl extensiondevotreschéma,consultezl Annexe«Donnéesde répertoiremacosx». ÉvitementdeconflitsKerberosavecplusieursrépertoires SivousconfigurezunmaîtreOpenDirectorysurunréseauquidisposed undomaine ActiveDirectory,votreréseaudisposeradedeuxroyaumesKerberos:unroyaume KerberosOpenDirectoryetunroyaumeKerberosActiveDirectory. Pourdesraisonspratiques,lesautresserveurssurleréseaunepeuventutiliserqu un royaumekerberos.lorsquevousconfigurezunserveurdefichiers,unserveurdecourrieroutoutautreserveurquipeututiliserl authentificationkerberos,vousdevezdonc choisirundesroyaumeskerberos. MacOSXServerdoitapparteniraumêmeroyaumeKerberosquesesutilisateursclients. Leroyaumen aqu unseulserveurkerberosfaisantautorité,quiestresponsabledetoute l authentificationkerberosauseinduroyaume.eneffet,leserveurkerberosnepeut authentifierdesclientsetdesserveursqu auseindesonroyaume.leserveurkerberosne peutpasauthentifierdesclientsoudesservicesquiappartiennentàunautreroyaume. Seulslescomptesd utilisateurduroyaumekerberoschoisipourrontbénéficierde lasignatureunique.lescomptesd utilisateurdansl autreroyaumepeuventtoujours s authentifier,maisilsnebénéficierontpasdelasignatureunique. Sivousconfigurezunserveurpourqu ilaccèdeàplusieurssystèmesderépertoiredisposantchacundeleurpropreroyaumekerberos,planifiezsoigneusementlescomptes d utilisateurquiutiliserontdesserviceskerbérisés.vousdevezconnaîtrel intentionqui peutprésiderl accèsàdeuxservicesderépertoire.vousdevezconnecterleserveurau royaumedontledomainederépertoirecompagnoncontientlescomptesd utilisateur quidoiventutiliserkerberosetbénéficierdelasignatureunique. Parexemple,ilsepeutquevoussouhaitiezconfigurerl accèsàunroyaumeactive Directorypoursesenregistrementsd utilisateuretunrépertoireldapopendirectory pourlesenregistrementsetlesattributsmacosxquinesontpasdansactivedirectory,comme,parexemple,lesenregistrementsdegroupeetd ordinateur.d autresserveurspourraientseconnecterauroyaumekerberosactivedirectoryouauroyaume KerberosOpenDirectory. 80 Chapitre4OutilsdeplanificationetdegestionOpenDirectory

Danscecas,ilestrecommandéquecesautresserveursseconnectentauroyaume KerberosActiveDirectoryafinquelescomptesd utilisateuractivedirectorybénéficientdelasignatureunique. Sivousavezaussidescomptesd utilisateurdanslerépertoireldapduserveuropen Directory,lesutilisateurspeuventtoujourss authentifierauprèsd eux,maislescomptesd utilisateuropendirectoryn utiliserontpaskerberosetnebénéficierontpasde lasignatureunique.ilsutiliserontdesméthodesd authentificationduserveurdemots depasseopendirectory. VouspourriezmettretouslesutilisateursMacdansledomaineOpenDirectoryet touslesutilisateurswindowsdansledomaineactivedirectory,etilspourraienttous s authentifier,maisunseulgroupepourraitutiliserkerberos. Important:neconfigurezpasunmaîtreouunerépliqueOpenDirectorypourqu il accèdeaussiàundomaineactivedirectory(ouàtoutautredomainederépertoire ayantunroyaumekerberos).sivouslefaites,leroyaumekerberosopendirectoryetle royaumekerberosactivedirectorytenterontd utiliserlesmêmesfichiersdeconfigurationsurleserveuropendirectory,cequiperturberaprobablementl authentification KerberosOpenDirectory. PourévitertoutconflitdefichiersdeconfigurationKerberos,n utilisezpasdeserveur OpenDirectorycommestationdetravailpourlagestiondesutilisateursdansle domainederépertoired unautreserveurkerberos,comme,parexemple,dansun domaineactivedirectory.utilisezplutôtunordinateuradministrateur(unordinateur MacOSXsurlequellesoutilsd administrationdeserveursontinstallés)configurépour accéderauxdomainesderépertoireliés. SivousdevezutiliserunserveurOpenDirectorypourgérerlesutilisateursdudomaine derépertoired unautreserveur,assurez-vousquel autredomainederépertoirenefait paspartiedelapolitiquederecherched authentificationduserveuropendirectory. PouréviterunconflitdefichiersdeconfigurationKerberos,n utilisezpasnonplusun serveuropendirectorypourfournirdesservicesquiaccèdentaudomainederépertoired unautreserveurkerberos. Parexemple,sivousconfigurezleservicedefichiersAFPpourqu ilaccèdetantàopen Directoryqu àactivedirectory,n utilisezpasunserveuropendirectorypourfournir leservicedefichiers.utilisezunautreserveuretconnectez-leauroyaumekerberos del unoudel autreservicederépertoire. Chapitre4OutilsdeplanificationetdegestionOpenDirectory 81

Enthéorie,lesserveursetlesclientspeuventapparteniràdeuxroyaumesKerberos, comme,parexemple,àunroyaumeopendirectoryetàunroyaumeactivedirectory. L authentificationkerberosmultiroyaumerequierttoutefoisuneconfigurationtrèsavancée,quicomprendnotammentlaconfigurationdesserveursetdesclientskerberospour l authentificationinter-royaumeetlarévisiondulogicieldesserviceskerbérisésafinqu il puisseapparteniràplusieursroyaumes. Améliorationdesperformancesetdelaredondance VouspouvezaméliorerlesperformancesdesservicesOpenDirectoryenajoutantde lamémoireauserveuretenlimitantlesservicesqu ilfournit.cettestratégieestégalementvalablepourtouslesautresservicesdemacosxserver.plusvouslimitezle nombredeservicesoffertsparunserveur,meilleuressontsesperformances. Au-delàdecettestratégiegénérale,vouspouvezaussiaméliorerlesperformancesdes serveursopendirectoryenassignantlabasededonnéesldapàunvolumequiluiest propreetleshistoriquesopendirectoryàunautrevolume. Sivotreréseaucontientdesrépliquesd unmaîtreopendirectory,vouspouvezaméliorerlesperformancesduréseauenréduisantlafréquencedemiseàjourdesrépliques. Desmiseàjourmoinsfréquentessignifientquelesrépliquesontdesdonnéesde répertoiremoinsàjour.vousdevezdonctrouverunjustemilieuentredesperformancesréseauélevéesetdesrépliquesprécises. PouruneplusgranderedondancedesservicesOpenDirectory,configurezdesserveurs supplémentairescommerépliquesopendirectoryouutilisezdesserveursavecdes ensemblesraid. 82 Chapitre4OutilsdeplanificationetdegestionOpenDirectory

Sécuritéd OpenDirectory AvecMacOSXServer,unserveuravecundomainederépertoireLDAPpartagéfournit aussil authentificationopendirectory.ilestimportantdeprotégerlesdonnées d authentificationstockéesparopendirectory.cesdonnéesd authentificationcomprennentlabasededonnéesduserveurdemotsdepasseopendirectoryainsique labasededonnéeskerberos,quidoitaussiêtreprotégée.parconséquent,vousdevez vousassurerquelemaîtreopendirectoryettouteslesrépliquesopendirectorysont bienprotégésensuivantlesinstructionsci-dessous: Â Lasécuritéphysiqued unserveurmaîtreourépliqueopendirectoryestessentielle. Protégez-enl accèsparuneporteverrouilléeetfermeztoujourscelle-ciàclé. Â Gardezenlieusûrlessupportsdesauvegardedelabasededonnéesduserveurde motsdepasseopendirectoryetdelabasededonnéeskerberos.lefaitdeplacer vosserveursopendirectorydansunepièceferméeàcléneprotégerapaslabande desauvegardequevouslaissezsurvotrebureau. Â N utilisezpaslesserveursopendirectory,maîtreourépliques,pourfournird autres services.s ilvousestimpossibledeconsacrerexclusivementvosserveursauxrôles demaîtresouderépliquesopendirectory,essayezdelimiterlenombredeservices qu ilsfournissent. L undecesautresservicespourraitcomporterunefailledesécuritépermettantun accèsilliciteauxbasesdedonnéeskerberosouduserveurdemotsdepasseopen Directory.L emploideserveursdédiésauxservicesopendirectoryestunesolution idéalemaispasobligatoire. Â Configurezdeslistesdecontrôled accèsauxservices(sacl)pourlafenêtred ouverturedesessionetsecureshell(ssh)afindedéterminerquelsutilisateurspeuvent ouvrirunesessionsurunmaîtreouunerépliqueopendirectory. Â Évitezd utiliserunvolumeraidpartagéavecd autresordinateurscommevolume dedémarraged unserveurquiestmaîtreourépliqueopendirectory.unefaillede sécuritésurl undesautresordinateursreprésenteunemenacepotentiellepour lasécuritédesinformationsd authentificationopendirectory. Â Configurezleservicedecoupe-feuIPpourqu ilbloquetouslesportsàl exceptionde ceuxutiliséspourlesprotocolesderépertoire,d authentificationetd administration suivants: Â LeserveurdemotsdepasseOpenDirectoryutiliselesports106et3659. Â LecentrededistributiondeclésKerberosutiliseleportTCP/UDP88etleport TCP/UDP749estutilisépourl administrationkerberos. Â LerépertoirepartagéLDAPutiliseleportTCP389pourlesconnexionsnormaleset leporttcp636pourlesconnexionsssl. Chapitre4OutilsdeplanificationetdegestionOpenDirectory 83

 Lorsdelacréationd unerépliqueopendirectory,gardezleport22ouvertentre lemaîtreetlafutureréplique.ceportestutilisépourlestransfertsdedonnées SecureShell(SSH),leprotocoleutilisépourtransférerunecopiecomplèteetà jourdelabasededonnéesldap.aprèslaconfigurationinitialedelaréplique, seulleportldap(389ou636)estutilisépourlaréplication.  GestionnairedegroupedetravailutiliselesportsTCP311et625.  AdminServeurutiliseleportTCP311.  SMButiliselesportsTCP/UDP137,138,139et445.  Équipezl ordinateurmaîtreopendirectoryd unsystèmed alimentationsans coupure(onduleur). Enrésumé,pourunmaximumdesécurité,faitescequisuit:  DédieztouslesserveursOpenDirectory,maîtreouréplique,àlafournituredeservices OpenDirectory.  Configurezuncoupe-feusurcesserveurspournefournirquecequisuit:protocoles d accèsauxrépertoires,d authentificationetd administration(ldap,serveurdemots depasse,kerberos,gestionnairedegroupedetravailetgestionnairedeserveur).  ProtégezphysiquementchaqueserveurOpenDirectoryainsiqueleurssupportsde sauvegarde. Laréplicationdedonnéesderépertoireetd authentificationsurleréseaureprésente unrisqueminimepourlasécurité.eneffet,lesdonnéesdemotdepassesontrépliquéesdefaçonsécuriséeàl aidedeclésaléatoiresnégociéeslorsdechaquesessionde réplication.lapartiedutraficdeduplicationconcernantl authentification(leserveur demotsdepasseopendirectoryetlecentrededistributiondecléskerberos)est entièrementcryptée. Pourplusdesécuritéencore,configurezlesconnexionsréseauentreserveurs OpenDirectoryafinqu ellesutilisentdescommutateursréseauplutôtquedes concentrateurs.celaisoleletraficderéplicationd authentificationsurdessegments deréseausûrs. 84 Chapitre4OutilsdeplanificationetdegestionOpenDirectory

Listesdecontrôled accèsàunservice(sacl) MacOSXutilisedesSACLpourdonnerauxutilisateursl autorisationd accèsàunservice.lessaclsontcomposéesd entréesdecontrôled accès(ace)quisontutilisées pourdéterminerlesautorisationsprivilègesd accèsàservicequ unutilisateurpossède. VouspouvezutiliserdesSACLpourautoriserourefuserl accèsàunmaîtreouune répliqueopendirectoryendéfinissantdessaclpourlafenêtred ouverturedesessionetssh.celarestreintl accèsauservice. VouspouvezaussiutiliserdesSACLpourdéfinirl accèsdesadministrateursàopen Directory.Celanerestreintpasl accèsauservice,maisspécifiequipeutadministrerou surveillerleservice.pourensavoirplussurladéfinitiondesaclpouradministrateurs, consultez«configurationducontrôled accèsàunservice»àlapage207. LesSACLvousdonneplusdecontrôlesurlaspécificationdesadministrateursquiont accèspourlasurveillanceetlagestionduservice.seulslesutilisateursetlesgroupes quifigurentdansunesaclontaccèsauserviceenquestion.parexemple,sivousvoulezdonnerunaccèscommeadministrateurauxutilisateursougroupesauserviceopen Directorysurvotreserveur,ajoutez-lesàlaSACLOpenDirectorysouslaformed ACE. Administrationparniveaux MacOSXServern utilisepasdesunitésorganisationnelles(uo)pourlesprivilègesutilisateurougroupedanslesservicesderépertoire.lesautorisationssontindépendantes delamanièredontvousorganisezvotrebasededonnéesderépertoires.macosx Server10.5utilisel administrationparniveauxpouruneplusgrandegranularitédes privilègesdelectureetd écrituredesutilisateurssurlesenregistrementsdanslabase dedonnéesderépertoires. LesprivilègesdesutilisateurssontcontrôlésenorganisantlesutilisateursoulesgroupesenuneACLetendonnantauxutilisateursdesprivilègesdelectureetd écrituresur lesenregistrements.lesentréesdesutilisateursougroupes,danslesacl,sontappeléesdesace.grâceàl administrationparniveaux,vouspouvezorganiserfacilement vosutilisateursauseindegroupesetspécifierlesenregistrementsqu ungroupepeut administrer. Chapitre4OutilsdeplanificationetdegestionOpenDirectory 85

Sivousutilisezl administrationparniveaux,considérezlespointssuivants:  Quiferapartiedugroupe  Lesprivilègesquevoussouhaitezdonneràchaquegroupe  Lesenregistrementsquevoussouhaitezfaireadministrerparvotregroupe Vouspouvezdonnerauxutilisateursougroupesuncontrôlecompletoulimitésur l administrationdesdomaines.lorsquevousdonnezuncontrôleadministratiflimité, vouspouvezchoisirquelsutilisateursetgroupesunutilisateurougroupepeutadministrer.vouspouvezaussispécifierlescontrôlesquel utilisateurasurcesutilisateurset groupes.parexemple,donneràunutilisateurlecontrôlecompletdonneàcetutilisateuruncontrôleillimitésurledomainederépertoire. Vousnepouvezmodifierquelesprivilègesdedomained unutilisateurpourlesdomainesldapv3.vousnepouvezpasmodifierlesprivilègesd uncomptededomainede répertoirelocaloud uncomptestockédansundomainederépertoirenon-ldapv3. LesadministrateursintégrauxetlimitésdoiventutiliserleGestionnairedegroupe detravailpouradministreretgérerlesutilisateurs.pourensavoirplus,consultez lasectiongestiondesutilisateurs. OutilspourlagestiondesservicesderépertoireOpenDirectory LesapplicationsAdminServeur,UtilitairederépertoireetGestionnairedegroupede travailfournissentdesinterfacesgraphiquespourlagestiondesservicesopendirectorysousmacosxserver.deplus,vouspouvezgérerlesservicesopendirectoryà partirdelalignedecommandesdeterminal. ToutescesapplicationssontlivréesavecMacOSXServeretpeuventêtreinstallées surunautreordinateursousmacosx10.5ouultérieurpourfairedecetordinateur unordinateuradministrateur.pourensavoirplussurlaconfigurationd unordinateur administrateur,lisezlechapitresurl administrationdeserveurdanslepremierscontacts. 86 Chapitre4OutilsdeplanificationetdegestionOpenDirectory

AdminServeur L applicationadminserveurdonneaccèsàdesoutilsdestinésàlaconfiguration,la gestionetlecontrôledesservicesopendirectoryetd autresservices.adminserveur vouspermetde:  ConfigurerMacOSXServerentantquemaîtreourépliqueOpenDirectory,entant queserveurconnectéàunsystèmederépertoireouentantqueservicederépertoireautonomenecomportantqu undomainederépertoirelocal.pourensavoir plus,consultezlechapitre5,«configurationdesservicesopendirectory».  ConfigurerdessystèmesMacOSXServersupplémentairesdetellemanièrequ ils puissentutiliserlecentrededistributiondecléskerberosd unmaîtreoud une répliqueopendirectory.pourensavoirplus,consultezlechapitre5.  ConfigurerlesoptionsLDAPd unmaîtreopendirectory.pourensavoirplus, consultezlechapitre5.  ConfigurerleserviceDHCPpourqu ilfournissel adressed unserveurldapàdes ordinateursmacosxutilisantdespolitiquesderechercheautomatiques.pouren savoirplus,consultezlechapitreconsacréàdhcpdeadministrationdesservicesde réseau.  Définirdespolitiquesdemotdepasses appliquantàtouslesutilisateursquinedisposentpasdepolitiquedemotdepasseparticulières.pourensavoirplus,consultez lechapitre6,«gestiondel authentificationd utilisateur».(pourdéfinirdespolitiquesdemotdepasse,utilisezgestionnairedegroupedetravail.voiràcepropos lechapitre6).  ContrôlerlesservicesOpenDirectory.Pourensavoirplus,consultezlechapitre9, «MaintenancedesservicesOpenDirectory». Pourdesinformationsdebasesurl utilisationd AdminServeur,consultezlechapitre consacréàl administrationdeserveursdanspremierscontacts.cechapitreexpliquece quisuit:  Ouverturedel applicationadminserveuretauthentification  Utilisationdeserveurs  Administrationdesservices  Contrôledel accèsauxservices  UtilisationdeSSLpourl administrationàdistancedesserveurs  Personnalisationdel environnementd AdminServeur AdminServeursetrouvedans/Applications/Server/. Chapitre4OutilsdeplanificationetdegestionOpenDirectory 87

Utilitairederépertoire UtilitairederépertoiredéterminecommentunordinateurMacOSXutiliselesservices derépertoire,détectelesservicesderéseauetrecherchentdesinformationsd authentificationetdecontactsdanslesservicesderépertoire.utilitairederépertoirepermetde:  Configurerl accèsàdesrépertoiresldap,àundomaineactivedirectoryetàun domainenetworkinformationservices(nis)  ConfigurerlemappagededonnéespourlesrépertoiresLDAP  Définirdespolitiquesderecherched informationsd authentificationetdecontacts dansplusieursservicesderépertoire  Activeroudésactiverdestypesdeservicesderépertoiresetdestypesdedétections deservicesderéseau Utilitairederépertoirepeutseconnecteràd autresserveurssurvotreréseauafinque vouspuissiezlesconfigureràdistance. Pourensavoirplussurl utilisationd Utilitairederépertoire,consultezlechapitre7, «Gestiondesclientsderépertoire».. Utilitairederépertoireestinstallé,surtouslesordinateursMacOSX,dansledossier /Applications/Utilitaires/. Gestionnairedegroupedetravail L applicationgestionnairedegroupedetravailpermetunegestioncomplètedes clientsdemacosxserver.gestionnairedegroupedetravailvouspermetde:  Configureretgérerlescomptesd utilisateur,lescomptesdegroupeetlesgroupes d ordinateurs.pourensavoirplussurlagestiondel authentificationutilisateur,consultezlechapitre6,«gestiondel authentificationd utilisateur».pourensavoirplus surd autressujetsliésàlagestiondesutilisateurs,desgroupesetdesordinateurs, consultezlasectiongestiondesutilisateurs.  Gérerlespointsdepartagepourlesservicesdefichiersetlesdossiersdedépartdes utilisateurs.pourensavoirplus,consultezleschapitresconsacrésauxpointsdepartageetauxservicessmbdansadministrationdesservicesdefichieretlechapitreconsacréauxdossiersdedépartdansgestiondesutilisateurs.  ContrôlercequelesutilisateursMacOSXvoientlorsqu ilssélectionnentleglobe RéseaudansunebarrelatéraleduFinder.Pourensavoirplus,consultezlechapitre consacréàlagestiondeprésentationsderéseaudansgestiondesutilisateurs.  Visionnerdesentréesderépertoiresousuneformebruteàl aidedel Inspecteur. Pourensavoirplus,consultezlarubrique«Affichageetmodificationdesdonnéesde répertoire»àlapage212. 88 Chapitre4OutilsdeplanificationetdegestionOpenDirectory

Pourdesinformationsdebasesurl utilisationdegestionnairedegroupedetravail, consultezlechapitreconsacréàl administrationd unserveurdanspremierscontacts. Cechapitreexpliquecequisuit:  OuvertureetauthentificationdansGestionnairedegroupedetravail  Administrationdescomptes  Personnalisationdel environnementdegestionnairedegroupedetravail Gestionnairedegroupedetravailsetrouvedansledossier/Applications/Server/. Utilitairesdelignedecommande Touteuneséried outilsdelignedecommandeestdisponiblepourlesadministrateurs quipréfèrentutiliserl administrationdeserveuràl aidedecommandes. Pourlagestiondeserveuràdistance,soumettezlescommandesdansunesession SecureShell(SSH). VouspouvezsaisirdescommandessurdesserveursetdesordinateursMacOSXà l aidedel applicationterminal,quisetrouvedansledossier/applications/utilitaires/. Pourensavoirplus,consultezAdministrationdelignedecommande. Chapitre4OutilsdeplanificationetdegestionOpenDirectory 89

5 Configurationdesservices OpenDirectory 5 LesservicesOpenDirectory(servicesderépertoireset d authentification)constituentunepartieessentielle del infrastructured unréseau.cesservicesaffectent considérablementlesautresservicesetutilisateurs duréseau.c estpourquoiopendirectorydoitêtre configurécorrectementdèsledébut. Vued ensembledelaconfiguration RésumédestâchesprincipalesàréaliserpourconfigurerlesservicesOpenDirectory. Pourobtenirdesinformationsdétailléessurchaqueétape,consultezlespagesindiquées. Étape1:Avantdecommencer,élaborezunprogramme Pourobtenirlalistedesélémentsàprendreenconsidérationavantdeconfigurer OpenDirectorysurMacOSXServer,consultez«Avantdecommencer»àlapage93. Étape2:ActivezleserviceOpenDirectory UtilisezAdminServeurpouractiverleserviceOpenDirectory.Unefoisqueleservice estactivé,vouspouvezleconfigurer.pourensavoirplussurl activationduservice OpenDirectory,consultezlarubrique«Activationd OpenDirectory»àlapage94. Étape3:Configurezunservicederépertoireautonome Pourconfigurerdesserveursquinerecevrontpasd informationsd authentificationou d autresinformationsadministrativesd unservicederépertoires,consultezlarubrique «Configurationd unservicederépertoireautonome»àlapage94. Étape4:ConfigurezunmaîtreOpenDirectory Pourconfigurerunserveurpourqu ilfournissedesservicesderépertoireetd authentification,consultezlesrubriques«compatibilitéentremaîtreetrépliquesopendirectory» àlapage76et«configurationd unmaîtreopendirectory»àlapage95. 91

Étape5:Configurezuncontrôleurdedomaineprincipal Pourconfigurerunserveurpourfournirdesservicesderépertoireetd authentification pourlesplates-formeswindowsetmacosx,consultezlarubrique«configuration d uncontrôleurdedomaineprincipal»àlapage98. Étape6:ConfigurezunerépliqueOpenDirectory Pourconfigurerunouplusieursserveurspourqu ilsfournissentdesservicesderépertoiredebasculementetd authentificationoudesservicesderépertoireàdistance etd authentificationpourl interactionrapideentreclientssurdesréseauxdistribués, consultezlarubrique«configurationd unerépliqueopendirectory»àlapage102. Étape7:ConfigurezdesrelaisOpenDirectorypourlaréplicationencascade Pourconfigurerunserveurcommerépliqueourelaisd unmaîtreopendirectory pourfournirdesinformationssurlesrépertoiresetdesinformationsd authentification auxordinateurs,consultezlarubrique«configurationderelaisopendirectorypourla réplicationencascade»àlapage105. Étape8:Configurezunserveurcommecontrôleurdedomainesecondaire Pourconfigurerdesserveurspourfournirunepriseenchargedubasculementpour votrecontrôleurdedomaineprincipal,consultezlarubrique«configurationd unserveurcommecontrôleurdedomainesecondaire»àlapage106. Étape9:Configurezlesserveursquiseconnectentàd autressystèmesderépertoire Sivousdisposezdeserveursdefichiersoud autresserveursquiaccèdentàdesservicesderépertoireetd authentification,consultezlarubrique«configurationd uneconnexionàunserveurderépertoire»àlapage108. Étape10:Configurezl authentificationkerberosparsignatureunique SivousavezunmaîtreOpenDirectory,vouspouvezconfigurerd autresserveurspour qu ilsseconnectentàsonroyaumekerberos.sivousconfigurezunmaîtreopendirectorysanskerberos,vouspouvezconfigurerkerberosplustard.pourensavoirplus,consultezlarubrique«configurationdel authentificationkerberosparsignatureunique» àlapage113. Étape11:Configurezdesordinateursclientspourqu ilsseconnectentàdesservices derépertoire SivousavezunmaîtreOpenDirectory,vousdevezconfigurerlesordinateursclients pourqu ilsaccèdentàsondomainederépertoire.vouspouvezaussiconfigurerles clientspourqu ilsaccèdentàd autresservicesderépertoirecomme,parexemple, MicrosoftActiveDirectory.Consultezlechapitre7,«Gestiondesclientsderépertoire.» etlechapitre8,«réglagesavancésdesclientsderépertoire.». Étape12:Expliquezauxutilisateurscommentouvrirunesession Consultezlarubrique«Explicationdelafaçond ouvrirunesession»àlapage98. 92 Chapitre5ConfigurationdesservicesOpenDirectory

Avantdecommencer AvantdeconfigurerdesservicesOpenDirectorypourlapremièrefois:  Comprenezlesutilisationsdesdonnéesderépertoireetévaluezvosbesoinsen répertoires. Identifiezlesservicesquinécessitentdesdonnéesissuesdedomainesderépertoire etdéterminezquelsutilisateursdoiventaccéderàcesservices. Lesutilisateursdontlesinformationspeuventêtreaisémentgéréessurunserveur doiventêtredéfinisdanslerépertoireldappartagéd unmacosxserverquiest unmaîtreopendirectory.certainsdecesutilisateurspourrontêtredéfinisdansdes domainesderépertoired autresserveurs,telsqu undomaineactivedirectorysur unserveurwindows. Cesconceptssontprésentésauchapitre1,«Servicesderépertoireavec OpenDirectory.»  Évaluezs ilvousfautplusieursdomainespartagés.sic estlecas,choisissezlesutilisateurs àdéfinirdanschaquedomainepartagé.pourensavoirplus,consultezlarubrique «Politiquesderecherchemultiniveaux»àlapage38.  Déterminezquellessontlesoptionsd authentificationnécessairesauxutilisateurs. Pourobtenirlesoptionsdisponibles,consultezlechapitre3,«AuthentificationOpen Directory.»OptezpourdesrépliquesdevotremaîtreOpenDirectoryoupourun contrôleurdedomainesecondairedevotrecontrôleurdedomaineprincipal. Lechapitre4,«OutilsdeplanificationetdegestionOpenDirectory,»contientdes instructionsàcesujet.  Sélectionnezlesadministrateursdesserveursavecsoin.Nedonnezunmotdepasse d administrateurqu auxpersonnesenquivousavezentièreconfiance.limitezau maximumlenombred administrateurs.n attribuezàaucunutilisateurdedroits d accèsd administrateurpourprocéderàdestâchesmineures,tellequelamodificationderéglagesdansunefiched utilisateur. Lesinformationsderépertoireontunegrandeincidencesurtouteslespersonnesdont l ordinateurlesutilisent. Gestiond OpenDirectorysurunserveurdistant VouspouvezinstallerAdminServeursurunordinateursousMacOSX10.4ouultérieur etl utiliserpourgéreropendirectorysurn importequelserveursurvotreréseaulocal ouau-delà.vouspouvezaussigéreropendirectoryàdistanceenvousservantdes outilsàlignedecommandesurunordinateurmacosxousurunordinateurnon- Macintosh. Pourensavoirplus,consultezlechapitreconsacréàl administrationdeserveurde Premierscontacts. Chapitre5ConfigurationdesservicesOpenDirectory 93

Activationd OpenDirectory PourpouvoirconfigurerOpenDirectory,vousdevezactiverleserviceOpenDirectory dansadminserveur. PouractiverleserviceOpenDirectory: 1 OuvrezAdminServeuretconnectez-vousauserveur. 2 CliquezsurRéglages. 3 CliquezsurServices. 4 SélectionnezlacaseOpenDirectory. 5 CliquezsurEnregistrer. Configurationd unservicederépertoireautonome Al aided AdminServeur,vouspouvezconfigurerMacOSXServerpourutiliseruniquementledomainederépertoirelocalduserveur.Leserveurnefournitaucuneinformationsurlesrépertoiresauxautresordinateursetn enobtientpasd unsystèmeexistant. (Ledomainederépertoirelocalnepeutêtrepartagé.) SivousmodifiezMacOSXServerpourobtenirdesinformationsderépertoiresuniquementàpartirdesondomainederépertoirelocal,lesenregistrementsd utilisateurs etlesautresinformationsqueleserveuravaitrécupérésurundomainederépertoire partagédeviennentinaccessibles:lesenregistrementsd utilisateuretlesautresinformationsquifigurentdansledomainederépertoirepartagésontsupprimés. Lesfichiersetdossiersduserveurpeuventdevenirinaccessiblesauxutilisateursdont lescomptessetrouventdansledomainederépertoirepartagé. SileserveurétaitunmaîtreOpenDirectoryetd autresserveursyétaientconnectés, cequisuitpeutseproduire:  Desservicespeuventêtreinterrompussurlesserveursconnectéssilescomptes d utilisateuretlesautresinformationsdudomainederépertoirepartagédeviennent inaccessibles.  Lesutilisateursdontlescomptessetrouventdansledomainederépertoirepartagé peuventnepaspouvoiraccéderauxfichiersetdossierssituéssurlemaîtreopen DirectoryetsurlesautresserveursquiétaientconnectésàsondomainederépertoireLDAPpartagé. Vouspouvezarchiverunecopiedesdonnéesderépertoireetd authentificationdu maîtreopendirectoryavantdeletransformerenservicederépertoireautonome. Pourensavoirplus,consultezlarubrique«Archivaged unmaîtreopendirectory»à lapage230. Vouspouvezaussiexporterdesutilisateurs,desgroupesetdesgroupesd ordinateursàpartirdumaîtreopendirectoryavantdeletransformerenservicederépertoireautonome.pourensavoirplus,reportez-vousàlasectiongestiondesutilisateurs. 94 Chapitre5ConfigurationdesservicesOpenDirectory

Pourconfigurerunserveurafinqu ilutiliseuniquementsonpropredomainede répertoirelocalnonpartagé: 1 OuvrezAdminServeuretconnectez-vousauserveur. 2 Cliquezsurletriangleàgaucheduserveur. Lalistedesservicesapparaît. 3 Danslalistedesserveursdéveloppée,sélectionnezOpenDirectory. 4 CliquezsurRéglages,puissurGénéral. 5 CliquezsurModifier. L Assistantdeconfigurationdeservices ouvre. 6 ChoisissezAutonome,puiscliquezsurContinuer. 7 ConfirmezleréglagedeconfigurationOpenDirectory,puiscliquezsurContinuer. 8 Sivousêtessûrquelesutilisateursetlesservicesn ontplusbesoind accéderauxdonnéesderépertoireenregistréesdansledomainederépertoirepartagéqueleserveura hébergéouauquelilétaitconnecté,cliquezsurfermer. Configurationd unmaîtreopendirectory Àl aided AdminServeur,vouspouvezconfigurerMacOSXServercommemaîtreOpen Directoryafinqu ilpuissefournirdesinformationsderépertoiresetd authentificationà d autressystèmes. MacOSXServerfournitdesinformationsderépertoiresenhébergeantundomainede répertoireldappartagé.deplus,leserveurauthentifielesutilisateursdontlescomptessontenregistrésdansledomainederépertoireldappartagé. UnmaîtreOpenDirectorydisposed unserveurdemotsdepasseopendirectoryqui prendenchargetouteslesméthodesd authentificationconventionnellesrequisespar lesservicesmacosxserver.deplus,unmaîtreopendirectorypeutfournirl authentificationkerberospourlasignatureunique. SivoussouhaitezquelemaîtreOpenDirectoryfournissel authentificationkerberos pourlasignatureunique,lednsdoitêtredisponiblesurleréseauetdoitêtreconfiguré correctementpourrésoudrelenomdnscompletduserveurdumaîtreopendirectory etleconvertirensonadresseip.dnsdoitaussiêtreconfigurépourrésoudrel adresseip etlaconvertirdanslenomdnscompletduserveur. Important:sivoustransformezunerépliqueOpenDirectoryenunmaîtreOpenDirectory, laprocédureàsuivredépenddesavoirsilarépliquedoitremplacerlemaîtrepourdevenir unmaîtresupplémentaire.  Pourpromouvoirunerépliquepourqu elleremplaceunmaîtrenonopérationnel, suivezlesinstructionsquifigurentdanslarubrique«promotiond unerépliqueopen Directory»àlapage226plutôtquelesinstructionsci-dessous. Chapitre5ConfigurationdesservicesOpenDirectory 95

 Pourfaired unerépliqueunmaîtresupplémentaire,déclassezd abordlaréplique commedécritdans«misehorsserviced unerépliqueopendirectory»àla page229,puisfaites-enunmaîtreensuivantlesétapesdecetterubrique. Remarque:siMacOSXServerétaitconnectéàunsystèmederépertoireetquevous transformezleserveurenmaîtreopendirectory,ilresteconnectéàl autresystèmede répertoire.leserveurrechercheralesfichesd utilisateuretd autresinformationsdans sondomainederépertoireldappartagéavantderechercherdansd autressystèmes derépertoireauxquelsilestconnecté. PourconfigurerunserveurenmaîtreOpenDirectory: 1 OuvrezAdminServeuretconnectez-vousauserveur. 2 Cliquezsurletriangleàgaucheduserveur. Lalistedesservicesapparaît. 3 Danslalistedesserveursdéveloppée,sélectionnezOpenDirectory. 4 CliquezsurRéglages,puissurGénéral. Sil optionrôleestrégléesurrépliqueopendirectoryetquevoussouhaitezcréerun nouveaumaîtreopendirectory,vousdevezchangerlerôleduserveurenautonome. Pourensavoirplus,consultezlarubrique«Configurationd unservicederépertoire autonome»àlapage94. SivousnetransformezpasunerépliqueOpenDirectoryenserveurautonomeavant d enfaireunmaître,vouspromouvezlarépliqueenmaîtreaulieudecréerunnouveaumaître.pourensavoirplus,consultezlarubrique«promotiond uneréplique OpenDirectory»àlapage226. 5 CliquezsurModifier. L Assistantdeconfigurationdeservices ouvre. 6 SélectionnezMaîtreOpenDirectory,puiscliquezsurContinuer. 7 Saisissezlesinformationssuivantessurl administrateurdedomainemaître,puiscliquezsurcontinuer.  Nom,nomabrégé,identifiantd utilisateur,motdepasse:vousdevezcréerunnouveau compted utilisateurpourl administrateurprincipaldurépertoireldap.cecompte n estpasunecopieducompted administrateurdansledomainederépertoirelocal duserveur.utilisez,pourl administrateurderépertoireldap,desnomsetunidentifiantd utilisateurdifférentsdesnomsetdesidentifiantsd utilisateurdescomptes d utilisateurquifigurentdansledomainederépertoirelocal.deplus,sivousvoulez empêcherlecompted administrateurderépertoired apparaîtredanslafenêtre d ouverturedesession,assignezaucompted administrateurderépertoireunidentifiantd utilisateurinférieurà100.lescomptesquipossèdentdesidentifiantsd utilisateurinférieursà100n apparaissentpasdanslafenêtred ouverturedesession. 96 Chapitre5ConfigurationdesservicesOpenDirectory

Remarque:sivousprévoyezdeconnectervotremaîtreOpenDirectoryàd autres domainesderépertoire,choisissezunnometunidentifiantd utilisateuruniquesdans chaquedomaine.n utilisezpasl identifiantd utilisateurdiradminproposépardéfaut. Utilisezunnomquivousaideàdistinguerledomainederépertoirequel administrateurderépertoirecontrôle. 8 Saisissezlesinformationssuivantessurledomainemaître,puiscliquezsurContinuer.  RoyaumeKerberos:cechampestpréréglépourêtreidentiqueaunomDNSdu serveurconvertienlettresmajuscules.ils agitd uneconventionpournommer lesroyaumeskerberos.vouspouvezsaisirunautrenom,sinécessaire.  Basederecherche:cechampestpréréglésurunsuffixedebasederecherchepour lenouveaurépertoireldap,dérivédelapartieréservéeaudomainedunomdnsdu serveur.vouspouvezsaisirunautresuffixedebasederechercheoulaissezlechamp vide.sivouslaissezcechampvide,c estlesuffixedebasederecherchepardéfaut durépertoireldapquiestutilisé. 9 Confirmezlesréglages,puiscliquezsurFermer. 10 Assurez-vousquelemaîtreOpenDirectoryfonctionnecorrectementencliquantsur Vued ensemble(danslehautdelafenêtred AdminServeur,avecOpenDirectory sélectionnédanslalisteserveurs). L étatdetouslesélémentslistésdanslasous-fenêtredevued ensembled OpenDirectorydoitêtre«Enservice».SiKerberosrestearrêtéalorsquevoussouhaitezledémarrer,consultezlarubrique«SiKerberosestarrêtésurunmaîtreouunerépliqueOpen Directory»àlapage235. AprèsavoirconfiguréunordinateurMacOSXServerpourqu ilsoitunmaîtreopen Directory,vouspouvezmodifiersapolitiquedeliaison,sapolitiquedesécurité,sapolitiquedemotdepasse,lafréquencederéplicationetdesoptionsdeprotocoleLDAP. Pourensavoirplus,reportez-vousàlarubrique«Définitiondesoptionsd unserveur OpenDirectory»àlapage217. Vouspouvezconfigurerd autresordinateurssousmacosxoumacosxserverpour qu ilsaccèdentaudomainederépertoireldappartagéduserveur.pourensavoirplus, reportez-vousàlarubrique«utilisationdesréglagesavancésdesservicesldap»àla page157. Chapitre5ConfigurationdesservicesOpenDirectory 97

Explicationdelafaçond ouvrirunesession Lorsqu unordinateurmacosxestconnectéàundomainederépertoireetestconfigurépourqu ilafficheunelisted utilisateursdanslafenêtred ouverturedesession MacOSX,lalistepeutcontenir«Autre».Ditesauxutilisateursquin ontjamaisouvert desessionavecuncompteréseauqu ilsdoiventcliquersurautre,puissaisirlenomdu compteetlemotdepasse. Lesutilisateurspeuventconfigurerleurordinateurspourquecesderniersn affichent pasunelisted utilisateursdanslafenêtred ouverturedesession.lesutilisateurschangentceréglagedanslasous-fenêtrecomptesdespréférencessystèmeencliquantsur Optionsd ouverturedesession. Vouspouvezafficherlesutilisateursréseaudanslafenêtred ouverturedesessiond un ordinateurounepasaffichercettelistedanslespréférencesdel ordinateur.utilisez Gestionnairedegroupedetravailpourconfigurerdesréglagesdepréférencesd ouverturedesessionpourlecomptedegrouped ordinateursquicontientl ordinateur.pour gérerdesordinateursquinefontpaspartied uncomptedegrouped ordinateursparticulier,configurezdesréglagesdepréférencesd ouverturedesessionpourlecompte Ordinateurshôtes. Pourensavoirplus,consultezGestiondesutilisateurs. Configurationd uncontrôleurdedomaineprincipal Àl aided AdminServeur,vouspouvezconfigurerMacOSXServercommecontrôleur dedomaineprincipal(primarydomaincontrolleroupdc)windows.lepdchéberge undomainewindowsetfournitdesservicesd authentificationauxautresmembresdu domaine,ycomprisl authentificationpourl ouverturedesessiondedomainesurdes stationsdetravailwindows. Siaucunserveurmembredudomainen estdisponible,leserveurpdcpeutfournirdes servicesdefichiersetd impressionwindowsethébergerdesprofilsd utilisateuretdes dossiersdedépartpourlesutilisateursquidisposentdecomptesd utilisateursurlepdc. Important:lorsdelaconfigurationdeMacOSXServercommecontrôleurdedomaine principal,assurez-vousqu iln yapas,survotreréseau,unautrecontrôleurdedomaine principalpossédantlemêmenomdedomaine.pourconfigurerd autrescontrôleursde domaine,faites-endescontrôleursdedomainesecondaire(backupdomaincontrollers oubdc). 98 Chapitre5ConfigurationdesservicesOpenDirectory

PourconfigurerunPDCWindows: 1 Assurez-vousqueleserveurestunmaîtreOpenDirectory. PourdéterminersiunserveurestunmaîtreOpenDirectory,ouvrezAdminServeur, cliquezsurletriangle(àgaucheduserveur),sélectionnezopendirectorydanslaliste desservicesdéveloppée,puiscliquezsurvued ensemble. Lapremièrelignedesinformationsd étatindiquelerôleduserveuropendirectory. 2 OuvrezAdminServeuretconnectez-vousauserveur. 3 CliquezsurRéglages,puissurServices. 4 SélectionnezlacaseSMB,puiscliquezsurEnregistrer. 5 Cliquezsurletriangleàgaucheduserveur. Lalistedesservicesapparaît. 6 DanslalisteServeurs,sélectionnezSMB. 7 CliquezsurRéglages,puissurGénéral. 8 DanslemenulocalRôle,sélectionnezContrôleurdedomaineprincipal(PDC), puissaisissezceci: Â Description:cettedescriptionapparaîtdanslafenêtreFavorisréseaudesordinateurs Windowsetestfacultative. Â Nomdel ordinateur:saisissezlenomquevousvoulezmontrerutilisateurswindows lorsqu ilsseconnectentauserveur.ils agitdunomnetbiosduserveur.cenomne peutcomporterplusde15caractères,aucuncaractèrespécialetaucunsignede ponctuation.sic estpossible,utilisezcommenomdeserveurlenomd hôtednsnon complet.parexemple,sivotreserveurdnspossèdel entrée«serveur.exemple.com» pourvotreserveur,nommezsimplementvotreserveur«serveur». Â Domaine:saisissezlenomdudomaineWindowsqueleserveurvahéberger.Lenom dedomainenepeutpascomporterplusde15caractèresetdoitêtredifférentde «workgroup». 9 CliquezsurEnregistrer. 10 Saisissezlenometlemotdepassed uncompted administrateurderépertoireldap, puiscliquezsurok. Lorsdel authentification,vousdevezutiliseruncompted administrateurderépertoire LDAP.Vousnepouvezpasutiliseruncompted administrateurlocal,comme,parexemple,lecompted administrateurduserveurprincipal(identifiantd utilisateur501), pourcréeruncontrôleurdedomaineprincipal(pdc). Chapitre5ConfigurationdesservicesOpenDirectory 99

Unefoisquevousavezconfiguréuncontrôleurdedomaineprincipal,vouspouvez modifierlesrestrictionsenmatièred accès,leniveaudedétailpourlajournalisation, lecodedelapage,lanavigationdansledomaineoul enregistrementwins.ensuite, silesserviceswindowsnetournentpas,vouspouvezlesdémarrer.pourensavoirplus, consultezlasectionadministrationdesservicesderéseau. ConfigurationdeWindowsVistapourl ouverturedesessionde domaine Vouspouvezactiverl ouverturedesessiondedomainesurunordinateursous WindowsVistaenleconnectantaudomaineWindowsd uncontrôleurdedomaine principalmacosxserver.pourseconnecteraudomainewindows,ilfautdisposer dunometdumotdepassed uncompted administrateurderépertoireldap. Vouspouvezdéléguercettetâcheàunepersonnedisposantd uncompted administrateurlocalsurl ordinateurwindows.danscecas,vouspouvezcréeruncompte d administrateurderépertoireldaptemporairepossédantdesprivilègeslimités. Pourensavoirplus,consultezlasectionGestiondesutilisateurs. Remarque:seulsWindowsVistaUltimateetBusinesspeuventêtreconnectésàun domaine. PourconnecterunordinateursousWindowsVistaàundomaineWindows: 1 OuvrezunesessiondansWindowsVistaàl aided uncompted administrateurlocal. 2 OuvrezlaPanneaudeconfiguration,puisSystème. 3 CliquezsurModifierlesparamètres. 4 CliquezsurNomdel ordinateur,puissurmodifier. 5 Saisissezunnomd ordinateur,saisirdomaine,saisissezlenomdedomaineducontrôleurdedomaineprincipalmacosxserver,puiscliquezsurok. Pourrechercherlenomdedomaineduserveur,ouvrezAdminServeursurleserveur ouunordinateuradministrateur,sélectionnezsmbdanslalisteserveurs,cliquezsur Réglages,puissurGénéral. 6 Saisissezlenometlemotdepassed unadministrateurderépertoireldap, puiscliquezsurok. 100 Chapitre5ConfigurationdesservicesOpenDirectory

ConfigurationdeWindowsXPpourl ouverturedesessiondedomaine Vouspouvezactiverl ouverturedesessiondedomainesurunordinateursous WindowsXPenleconnectantaudomaineWindowsd uncontrôleurdedomaine principalmacosxserver.pourseconnecteraudomainewindows,ilfautdisposer dunometdumotdepassed uncompted administrateurderépertoireldap. Vouspouvezdéléguercettetâcheàunepersonnedisposantd uncompted administrateurlocalsurl ordinateurwindows.danscecas,vouspouvezcréeruncompte d administrateurderépertoireldaptemporairepossédantdesprivilègeslimités. Pourensavoirplus,consultezlasectionGestiondesutilisateurs. PourconnecterunordinateursousWindowsXPàundomaineWindows: 1 OuvrezunesessiondansWindowsXPàl aided uncompted administrateurlocal. 2 OuvrezlaPanneaudeconfiguration,puisSystème. 3 CliquezsurNomdel ordinateur,puissurmodifier. 4 Saisissezunnomd ordinateur,saisirdomaine,saisissezlenomdedomaineducontrôleur dedomaineprincipalmacosxserver,puiscliquezsurok. Pourrechercherlenomdedomaineduserveur,ouvrezAdminServeursurleserveur ouunordinateuradministrateur,sélectionnezsmbdanslalisteserveurs,cliquezsur Réglages,puissurGénéral. 5 Saisissezlenometlemotdepassed unadministrateurderépertoireldap, puiscliquezsurok. ConfigurationdeWindows2000pourl ouverturedesessiondedomaine Vouspouvezactiverl ouverturedesessiondedomainesurunordinateursous Windows2000enleconnectantaudomaineWindowsd uncontrôleurdedomaine principalmacosxserver.pourseconnecteraudomainewindows,ilfautdisposer dunometdumotdepassed uncompted administrateurderépertoireldap. Vouspouvezdéléguercettetâcheàunepersonnedisposantd uncompted administrateurlocalsurl ordinateurwindows.danscecas,vouspouvezcréeruncompte d administrateurderépertoireldaptemporairepossédantdesprivilègeslimités. Pourensavoirplus,consultezleguideGestiondesutilisateurs. PourconnecterunordinateursousWindows2000àundomaineWindows: 1 OuvrezunesessiondansWindows2000àl aided uncompted administrateurlocal. 2 OuvrezlaPanneaudeconfiguration,puisSystème. 3 CliquezsurIdentificationréseau,puissurPropriétés. Chapitre5ConfigurationdesservicesOpenDirectory 101

4 Saisissezunnomd ordinateur,saisirdomaine,saisissezlenomdedomaineducontrôleur dedomaineprincipalmacosxserver,puiscliquezsurok. Pourrechercherlenomdedomaineduserveur,ouvrezAdminServeursurleserveur ouunordinateuradministrateur,sélectionnezsmbdanslalisteserveurs,cliquezsur Réglages,puissurGénéral. 5 Saisissezlenometlemotdepassed unadministrateurderépertoireldap, puiscliquezsurok. Configurationd unerépliqueopendirectory Àl aided AdminServeur,vouspouvezconfigurerMacOSXServercommeréplique d unmaîtreopendirectoryafinqu ilpuissefournirlesmêmesinformationsderépertoiresetd authentificationquelemaîtreàd autressystèmes. LeserveurrépliquehébergeunecopieenlectureseuledudomainederépertoireLDAP dumaître.leserveurrépliquehébergeaussiunecopieenlecture/écritureduserveur demotsdepasseopendirectoryetducentrededistributiondecléskerberos(kdc). LesrépliquesOpenDirectoryoffrentlesavantagessuivants: Â Dansunréseauétendu(WAN)deréseauxlocaux(LAN)interconnectéspardes liaisonslentes,lesrépliquessituéessurlesréseauxlocauxfournissentauxserveurs etauxordinateursclientsunaccèsrapideauxcomptesd utilisateuretauxautres informationsderépertoires. Â Unerépliquefournitlaredondance.EncasdedéfaillancedumaîtreOpenDirectory, lesordinateursquiluisontconnectésbasculentversunerépliquesituéeàproximité. CebasculementautomatiqueestunefonctionnalitédeMacOSXetdeMacOSX Server10.4et10.5. Remarque:sivotreréseaucontientunmélangedeversions10.4etdeversions10.5 demacosxserver,sachezqu uneversionnepeutpasêtrelarépliqued unmaître del autreversion.unmaîtreopendirectoryenversion10.5neserapasrépliquévers MacOSXServer10.4etunmaîtreOpenDirectorysousMacOSXServer10.4nesera pasrépliquéversmacosxserver10.5: LorsquevousconfigurezunerépliqueOpenDirectorypourlapremièrefois,toutes lesdonnéesderépertoiresetd authentificationdoiventêtrecopiéessurcelle-cià partirdumaîtreopendirectory.laduplicationpeutdurerplusieurssecondesou plusieursminutesselonlatailledudomainederépertoire.siladuplicationest effectuéeviauneliaisonréseaulente,ellepeutdurerlongtemps. Pendantladuplication,lemaîtrenepeutpasfournirlesservicesderépertoireset d authentification.vousnepouvezpasutiliserdescomptesd utilisateurdurépertoire LDAPmaîtrepourvousouvrirunesessionauprèsdesservicesouvousauthentifier avantlafindeladuplication. 102 Chapitre5ConfigurationdesservicesOpenDirectory

Pourminimiserl interruptiondesservicesderépertoires,configurezunerépliqueavant quelerépertoireldapdumaîtrenesoitcomplètementrempliouàunmomentdela journéeoùleservicederépertoiren estpasutilisé.lefaitdedisposerd uneautrerépliqueconfiguréepermettraauxclientsduservicederépertoiredenepasêtreaffectéssi lemaîtredevientindisponible. SivousmodifiezunordinateurMacOSXServerquiétaitconnectéàunautresystème derépertoirepourqu ildevienneunerépliqueopendirectory,leserveurresteconnectéàl autresystèmederépertoire.leserveurrecherchelesfichesd utilisateuret d autresinformationsdanssondomainederépertoireldappartagéavantderechercherdansd autressystèmesderépertoireauxquelsilestconnecté. Pourconfigurerunserveurafinqu ilhébergeunerépliqued unmaîtreopendirectory: 1 Assurez-vousquelemaître,lafuturerépliqueettouslescoupe-feuentreeuxsont configuréspourautoriserlescommunicationsssh(port22). VouspouvezactiverSSHpourMacOSXServerdansAdminServeur.Sélectionnezle serveurdanslalisteserveurs,cliquezsurréglages,puissurgénéral,puissélectionnez l optionconnexionàdistance(ssh). Assurez-vousquel accèssshn estpasrestreintàcertainsutilisateursougroupes (àl aidedesacl)surlefuturmaître.celapriveraitadminserveurdesautorisations nécessaireslorsdelacréationdelaréplique.vouspouvezdésactivertemporairement lessacldansadminserveursousréglages>accès. PourensavoirplussurSSH,consultezPremiercontacts.Pourensavoirplussurl autorisationdecommunicationssshautraversducoupe-feumacosxserver,consultez Administrationdesservicesréseau. 2 OuvezAdminServeuretconnectez-vousauserveur. 3 Cliquezsurletriangleàgaucheduserveur. Lalistedesservicesapparaît. 4 Danslalistedesserveursdéveloppée,sélectionnezOpenDirectory. 5 CliquezsurRéglages,puissurGénéral. 6 CliquezsurModifier. L Assistantdeconfigurationdeservices ouvre. 7 SélectionnezRépliqueOpenDirectory,puiscliquezsurContinuer. Chapitre5ConfigurationdesservicesOpenDirectory 103

UnefoisquevousayezconfiguréunerépliqueOpenDirectory,lesautresordinateurs s yconnecterontselonleursbesoins. 8 Saisissezlesinformationsobligatoiressuivantes:  AdresseIPounomDNSdumaîtreOpenDirectory:saisissezl adresseipoulenomdns duserveurquifaitofficedemaîtreopendirectory.  MotdepasserootsurlemaîtreOpenDirectory:saisissezlemotdepassedel utilisateurrootdusystèmemaîtreopendirectory(nomd utilisateurdel administrateur système).  Nomabrégédel administrateurdedomaine:saisissezlenomd uncompted administrateurdedomainederépertoireldap.  Motdepassedel administrateurdedomaine:saisissezlemotdepasseducompte d administrateurdontvousavezsaisilenom. 9 CliquezsurContinuer. 10 ConfirmezlesréglagesdeconfigurationOpenDirectory,puiscliquezsurContinuer. 11 CliquezsurFermer. 12 Assurez-vousqueladate,l heureetlefuseauhorairesontexactssurlarépliqueetsur lemaître. Larépliqueetlemaîtredoiventutiliserlemêmeservicehorairederéseaupourque leurshorlogesrestentsynchronisées. Lesordinateurssouslesversions10.3ou10.4deMacOSXoudeMacOSXServerconserventunelistedesrépliquesOpenDirectory.Sil undecesordinateursneparvient pasàcontacterlemaîtreopendirectorypourdesservicesderépertoiresetd authentification,ilseconnecteàlarépliquedumaîtrelaplusproche. VouspouvezconfigurerlesordinateursMacOSXpourqu ilsseconnectentàunerépliqueopendirectoryplutôtqu aumaîtreopendirectorypourlesservicesderépertoiresetd authentification.surchaqueordinateurmacosx,vouspouvezutiliserutilitaire derépertoirepourcréeruneconfigurationldapv3afind accéderaurépertoireldap delaréplique. VouspouvezégalementconfigurerunserviceDHCPpourqu ilfournisselerépertoire LDAPdelarépliqueauxordinateursMacOSXquiobtiennentl adressed unserveur LDAPparleserviceDHCP.Consultezlesrubriques«Utilisationdesréglagesavancésdes servicesldap»àlapage157et«définitiondepolitiquesderechercheautomatiques» àlapage152. 104 Chapitre5ConfigurationdesservicesOpenDirectory

LemaîtreOpenDirectorymetlarépliqueàjour.Vouspouvezconfigurerlemaîtrepour qu ileffectuecesmisesàjoursoitàintervallesdetempsprogrammés,soitdèsquele répertoiremaîtreestmodifié.pourensavoirplus,consultezlarubrique«planification delaréplicationd unmaîtreopendirectoryoud uncontrôleurdedomaineprincipal (PDC)»àlapage224. Créationdeplusieursrépliquesd unmaîtreopendirectory Sivoussouhaitezcréerplusd unerépliqued unmaîtreopendirectory,créezunerépliqueàlafois.sivousessayezdecréerdeuxrépliquessimultanément,unetentativeva réussir,l autrevaéchouer.unenouvelletentativedecréationdelaseconderéplique devraitréussir. Vouspouvezavoirjusqu à32répliquesd unmaîtreopendirectory.cesmembres directsduserveurmaîtreopendirectorysontappelésdesrelais.chaquerelaispeut avoiràsontour32répliquesdelui-même,cequidonne1056répliquesdansune hiérarchieàdeuxniveaux. ConfigurationderelaisOpenDirectorypourlaréplication encascade Àl aided AdminServeur,vouspouvezconfigurerMacOSXServercommeréplique ourelaisd unmaîtreopendirectoryafinqu ilpuissefournirlesmêmesinformations derépertoiresetd authentificationquelemaîtreàd autresordinateurs. Unrelaisdoitrépondreauxdeuxconditionssuivantes:  Êtrelarépliqued unmaîtreopendirectory(unmembredirect).  Avoirdesrépliques(prendenchargejusqu à32répliques). Laconfigurationd unerépliqued unrelaisestidentiqueàlaconfigurationd une répliqued unmaîtreopendirectory.pourensavoirplus,consultezlarubrique «Configurationd unerépliqueopendirectory»àlapage102. Chapitre5ConfigurationdesservicesOpenDirectory 105

Configurationd unserveurcommecontrôleurdedomaine secondaire Àl aided AdminServeur,vouspouvezconfigurerMacOSXServercommecontrôleur dedomainesecondairewindows.lecontrôleurdedomainesecondairefournitle basculementautomatiqueetlasauvegardepourl ouverturedesessiondedomaine Windowsetd autresdemandesadresséespardesclientswindowsenmatièrede servicesd authentificationetderépertoire. Leserveurcontrôleurdedomainesecondairepeutfournird autresserviceswindows (servicessmb),ycomprisdesservicesdefichiers,d impression,d accèsàdesfichiers etwindowsinternetnameservice(wins).lecontrôleurdedomainesecondairepeut hébergerdesdossiersdedépartd utilisateursquidisposentdecomptesd utilisateur surlecontrôleurdedomaineprincipal/secondaire. PourconfigurerunBDCWindows: 1 Assurez-vousqueleserveurestunerépliqueOpenDirectory. PourdéterminersiunserveurestunerépliqueOpenDirectory,ouvrezAdminServeur etconnectez-vousauserveur,cliquezsurletriangleàgaucheduserveur(pourdévelopperlaliste),sélectionnezopendirectorydanslalistedesservicesdéveloppée, puiscliquezsurvued ensemble.lapremièrelignedesinformationsd étatindique lerôleopendirectoryduserveur. 2 OuvrezAdminServeuretconnectez-vousauserveur. 3 Cliquezsurletriangleàgaucheduserveur. Lalistedesservicesapparaît. 4 DanslalisteServeursdéveloppées,sélectionnezSMB. 5 CliquezsurRéglages,puissurGénéral. 6 DanslemenulocalRôle,sélectionnezContrôleurdedomainesecondaire(BDC), puissaisissezceci: Â Description:cettedescriptionapparaîtdanslafenêtreFavorisréseaudesordinateurs Windowsetestfacultative. Â Nomdel ordinateur:saisissezlenomquevousvoulezmontrerutilisateurswindows lorsqu ilsseconnectentauserveur.ils agitdunomnetbiosduserveur.cenomne peutcomporterplusde15caractères,aucuncaractèrespécialetaucunsignede ponctuation.sic estpossible,utilisezcommenomdeserveurlenomd hôtednsnon complet.parexemple,sivotreserveurdnspossèdel entrée«serveur.exemple.com» pourvotreserveur,nommezsimplementvotreserveur«serveur». Â Domaine:saisissezlenomdudomaineWindowsqueleserveurvahéberger. Lenomdedomainenepeutpascomporterplusde15caractèresetdoitêtre différentde«workgroup». 7 CliquezsurEnregistrer. 106 Chapitre5ConfigurationdesservicesOpenDirectory

8 Saisissezlenometlemotdepassed uncompted utilisateurpouvantadministrer lerépertoireldapsurleserveur,puiscliquezsurok. Lorsdel authentification,vousdevezutiliseruncompted administrateurderépertoire LDAP.Vousnepouvezpasutiliseruncompted administrateurlocal,comme,parexemple,lecompted administrateurduserveurprincipal(identifiantd utilisateur501), pourcréeruncontrôleurdedomainesecondaire(bdc). Unefoisquevousavezconfiguréuncontrôleurdedomainesecondaire,vouspouvez modifierlesrestrictionsenmatièred accès,leniveaudedétailpourlajournalisation, lecodedelapage,lanavigationdansledomaineoul enregistrementwins.ensuite, silesserviceswindowsnetournentpas,vouspouvezlesdémarrer.pourensavoirplus, reportez-vousàlasectionadministrationdesservicesderéseau. ConfigurationdubasculementOpenDirectory SiunmaîtreOpenDirectoryoul unedesesrépliquesdevientindisponible,sesordinateursclientssousmacosxoumacosxserver10.3 10.5trouverontautomatiquementunerépliquedisponibleets yconnecteront. Lesrépliquespermettentseulementauxclientsdelirelesinformationsderépertoires. Cesinformationsenregistréessurlarépliquenepeuventêtremodifiéesaveclesoutils d administrationtelsquegestionnairedegroupedetravail. LesutilisateursdontletypedemotdepasseestOpenDirectorypeuventmodifierleurs motsdepassesurlesordinateursconnectésauxrépliquesopendirectory.lesrépliquessynchronisentlesmodificationsdemotsdepasseaveclemaître.silemaîtreest indisponiblependantuncertaintemps,lesrépliquessynchronisentlesmodifications demotsdepasseaveclemaîtreunefoisquecedernierestdenouveaudisponible. SilemaîtreOpenDirectoryestenpannedefaçonpermanenteetquevousdisposez d unearchiveàjourdesesdonnées,vouspouvezrestaurerlesdonnéessurunnouveaumaître.ousinon,vouspouvezpromouvoirunerépliqueenmaître.pourensavoir plus,consultezlesrubriques«restaurationd unmaîtreopendirectory»àlapage231 et«promotiond unerépliqueopendirectory»àlapage226. Remarque:siunmaîtreouunerépliqueOpenDirectoryavaitdesordinateursclients sousmacosxoumacosxserver10.2ouantérieur,lesordinateursetlesserveursde version10.2nebasculerontpasautomatiquementversuneautreréplique. Chapitre5ConfigurationdesservicesOpenDirectory 107

Sivousremplacezunmaîtreenpanneenpromouvantunerépliqueenmaître,vous reconfigurezmanuellementchaqueordinateuretserveurpourqu ilsseconnectentà cenouveaumaîtreouàunedesesrépliques.celasefaitenutilisantutilitairederépertoiresurchaqueordinateuretserveurdeversion10.2pourcréeruneconfiguration LDAPv3quispécifielafaçondontl ordinateuraccèdeaunouveaumaîtreouàunede sesrépliques. Pourensavoirplus,consultezlarubrique«Utilisationdesréglagesavancésdesservices LDAP»àlapage157. Configurationd uneconnexionàunserveurderépertoire Àl aided AdminServeur,vouspouvezconfigurerMacOSXServerpourobtenir desenregistrementsd utilisateuretd autresinformationsderépertoiresàpartirdu domainederépertoirepartagéd unautreserveur.cetautreserveurfournitégalement l authentificationpoursesinformationsderépertoires.macosxservercontinueà recevoirdesinformationsderépertoiredesonpropredomainederépertoirelocalet fourniradel authentificationpourcesinformationsderépertoirelocal. Important:modifierMacOSXServerafinqu ilsoitconnectéàunautresystèmede répertoireetqu ilnesoitplusunmaîtreopendirectoryentraîneladésactivationde sondomainederépertoireldappartagé,aveclesconséquencessuivantes:  Lesenregistrementsd utilisateuretlesautresinformationsquifigurentdans ledomainederépertoirepartagésontsupprimés.  Sid autresserveursétaientconnectésaudomainederépertoiredumaître,leursservicesrisquentd êtreinterrompussilescomptesd utilisateuretd autresinformations dudomainederépertoiredésactivédeviennentinaccessibles.  LesutilisateursdontlescomptessetrouvaientdansledomainederépertoiredésactivénepourrontplusaccéderàdesfichiersetdossiersdumaîtreOpenDirectoryet desautresserveursquiétaientconnectésaudomainederépertoiremaître. Pourconfigurerunserveurafinqu ilobtiennedesservicesderépertoiresàpartir d unsystèmeexistant: 1 OuvrezAdminServeuretconnectez-vousauserveur. 2 Cliquezsurletriangleàgaucheduserveur. Lalistedesservicesapparaît. 3 Danslalistedesserveursdéveloppée,sélectionnezOpenDirectory. 4 CliquezsurRéglages,puissurGénéral. 5 CliquezsurModifier. L Assistantdeconfigurationdeservices ouvre. 6 Sélectionnez«Connectéàunserveurderépertoire»,puiscliquezsurContinuer. 108 Chapitre5ConfigurationdesservicesOpenDirectory

7 ConfirmezlesréglagesdeconfigurationOpenDirectory,puiscliquezsurContinuer. 8 SileserveurétaitunmaîtreOpenDirectoryetquevousêtessûrquelesutilisateurset lesservicesn ontplusbesoind accéderauxdonnéesderépertoiresenregistréesdans ledomainederépertoirepartagéqueleserveurahébergé,cliquezsurfermer. 9 CliquezsurleboutonUtilitaireOpenDirectorypourconfigurerl accèsàl un (ouàplusieurs)dessystèmesderépertoire. Pourensavoirplussurlaconfigurationdel accèsàuntypedeservicederépertoire, consultezlechapitre7,«gestiondesclientsderépertoire.» SivousconnectezMacOSXServer10.4ouultérieuràundomainederépertoirede MacOSXServer10.3ouantérieur,sachezquelesutilisateursdéfinisdansledomaine derépertoireleplusanciennepeuventêtreauthentifiésparlaméthodentlmv2.cette méthodepeuts avérernécessairepourauthentifierdefaçonsûrecertainsutilisateurs WindowspourlesservicesWindowsdeMacOSXServer10.4etultérieur. LeserveurdemotsdepasseOpenDirectorydeMacOSXServer10.4ouultérieur prendenchargel authentificationntlmv2,maisleserveurdemotsdepassede MacOSXServer10.3ouantérieurneprendpasenchargeNTLMv2. Delamêmefaçon,sivousconfigurezMacOSXServer10.4ouultérieurpourqu il accèdeàundomainederépertoiredemacosxserver10.2ouantérieur,lesutilisateurs définisdansledomainederépertoireleplusanciennepeuventêtreauthentifiéspar laméthodems-chapv2.orcetteméthodepeuts avérernécessairepourauthentifierde façonsûredesutilisateurspourleservicevpndemacosxserver10.4ouultérieur. OpenDirectorydeMacOSXServer10.4prendenchargel authentificationms-chapv2, maisleserveurdemotsdepassedemacosxserver10.2neprendpasenchargems- CHAPv2. 10 Sileserveurquevousconfigurezaaccèsàunsystèmederépertoirequihébergeaussi unroyaumekerberos,vouspouvezconnecterleserveurauroyaumekerberos. PourleconnecterauroyaumeKerberos,vousdevezconnaîtrelenometlemotde passed unadministrateurkerberosoud unutilisateuràquil onadéléguél autoritéde connecterdesserveursauroyaume.pourensavoirplus,consultezlarubrique «ConnecterunserveuràunroyaumeKerberos»àlapage119. Chapitre5ConfigurationdesservicesOpenDirectory 109

Configurationd unserveurcommemembred undomainede contrôleurdedomaineprincipalmacosxserver Àl aided AdminServeur,vouspouvezconfigurerMacOSXServerpourconnecter leserveuràundomainewindowshébergésuruncontrôleurdedomaineprincipal MacOSXServer.UnserveurquiseconnecteàundomaineWindowspeutfournir desservicesdefichiers,d impressionetd autresservicesauxutilisateursquidisposent decomptesurlecontrôleurdedomaineprincipal. Leserveurmembrededomainereçoitdesservicesd authentificationdelapartdu contrôleurdedomaineprincipaloud uncontrôleurdedomainesecondaire.leserveur peuthébergerdesprofilsd utilisateuretdesdossiersdedépartd utilisateursquidisposentdecomptesd utilisateursurlecontrôleurdedomaineprincipal.leserveurmembredudomainenefournitpasdeservicesd authentificationàd autresserveurs membrededomaine. PourconnecterMacOSXServeraudomaineWindowsd uncontrôleurdedomaine principalmacosxserver: 1 OuvrezAdminServeuretconnectez-vousauserveur. 2 Cliquezsurletriangleàgaucheduserveur. Lalistedesservicesapparaît. 3 DanslalisteServeursdéveloppées,sélectionnezSMB. 4 CliquezsurRéglages,puissurGénéral. 5 DanslemenulocalRôle,sélectionnezMembredudomaine,puissaisissezceci: Â Description:cettedescriptionapparaîtdanslafenêtreFavorisréseaudeWindowsXP et2000(lafenêtrevoisinageréseaudewindows95,98oume)etestfacultative. Â Nomdel ordinateur:saisissezlenomquevousvoulezmontrerutilisateurswindows lorsqu ilsseconnectentauserveur.ils agitdunomnetbiosduserveur.cenomne peutcomporterplusde15caractères,aucuncaractèrespécialetaucunsignede ponctuation. Sic estpossible,utilisezcommenomdeserveurlenomd hôtednsnoncomplet. Parexemple,sivotreserveurDNSpossèdel entrée«serveur.exemple.com»pour votreserveur,nommezsimplementvotreserveur«serveur». Â Domaine:saisissezlenomdudomaineWindowsauquelleserveurvaseconnecter. LedomainedoitêtrehébergéparuncontrôleurdedomaineprincipalMacOSXServer. Lenomnepeutpascomporterplusde15caractèresetdoitêtredifférentde «workgroup». 6 CliquezsurEnregistrer. 110 Chapitre5ConfigurationdesservicesOpenDirectory

7 Saisissezlenometlemotdepassed uncompted administrateurderépertoireldap, puiscliquezsurok. Lorsdel authentification,vousdevezutiliseruncompted administrateurderépertoire LDAP.Vousnepouvezpasutiliseruncompted administrateurlocal,comme,parexemple,lecompted administrateurduserveurprincipal(identifiantd utilisateur501), pourconnecterunserveuràundomainewindows. UnefoisquevousavezconfiguréunmembrededomaineWindows,vouspouvez modifierlesrestrictionsenmatièred accès,leniveaudedétailpourlajournalisation, lecodedelapage,lanavigationdansledomaineoul enregistrementwins.ensuite, silesserviceswindowsnetournentpas,vouspouvezlesdémarrer. Pourensavoirplus,consultezlasectionAdministrationdesservicesderéseau. Configurationd unserveurcommemembred undomaine ActiveDirectory Àl aided AdminServeuretd Utilitairederépertoire,vouspouvezconfigurerMacOSX ServerdefaçonàleconnecteràundomaineActiveDirectoryhébergéparunserveur Windows2000ou2003. UnserveurquiseconnecteàundomaineActiveDirectorypeutfournirdesservicesde fichiers,d impressionetd autresservicesauxutilisateursquidisposentdecomptedans ledomaineactivedirectory. Leserveurmembredudomainereçoitdesservicesd authentificationdelapart d ActiveDirectory.Leserveurmembredudomainenefournitpasdeservicesd authentificationàd autresserveursmembrededomaine. PourconnecterMacOSXServeraudomaineActiveDirectoryd unserveurwindows: 1 OuvrezAdminServeuretconnectez-vousauserveur. 2 Cliquezsurletriangleàgaucheduserveur. Lalistedesservicesapparaît. 3 Danslalistedesserveursdéveloppée,sélectionnezOpenDirectory. 4 CliquezsurRéglage,puissurGénéral. 5 CliquezsurModifier. L Assistantdeconfigurationdeservices ouvre. 6 Sélectionnez«Connectéàunserveurderépertoire»,puiscliquezsurContinuer. 7 ConfirmezlesréglagesdeconfigurationOpenDirectory,puiscliquezsurContinuer. 8 CliquezsurFermer. 9 CliquezsurOuvrirUtilitairederépertoire. Chapitre5ConfigurationdesservicesOpenDirectory 111

10 Danslecoininférieurgauched Utilitairederépertoire,cliquezsurlecadenasetauthentifiez-vousquandvousyêtesinvité. 11 CliquezsurAfficherlesréglagesavancés. 12 CliquezsurServeursderépertoire(danslehaut). 13 CliquezsurleboutonAjouter(+). 14 Danslemenulocal«Ajouterunnouveaurépertoiredetype»,choisissezActiveDirectory, puissaisissezceci: Â DomaineActiveDirectory:ils agitdunomdnsoudel adresseipduserveuractive Directory. Â Identifiantdel ordinateur:modifiezéventuellementl identifiantquevousvoulezvoir utiliséparactivedirectorypourvotreserveur.ils agitdunomnetbiosduserveur. Cenomnepeutcomporterplusde15caractères,aucuncaractèrespécialetaucun signedeponctuation.sic estpossible,utilisezcommenomdeserveurlenomd hôte DNSnoncomplet.Parexemple,sivotreserveurDNSpossèdel entrée «serveur.exemple.com»pourvotreserveur,nommezsimplementvotreserveur «serveur». Â Nomd utilisateuretmotdepassedel administrateurad:saisissezlenomd utilisateur etlemotdepassedel administrateuractivedirectory. 15 CliquezsurOKetfermezUtilitairederépertoire. 16 CliquezsurSeconnecteràKerberospourconnecterleserveurauroyaumeKerberos ActiveDirectory. 17 Saisissezlesinformationssuivantes: Â Nomd administrateur:saisissezlenomd utilisateurdel administrateurduserveur Kerberos. Â Motdepasse:saisissezlemotdepassedel administrateurduserveurkerberos. Â Nomderoyaume:saisissezlenomderoyaumeduserveurKerberos. Â NomDNS/Bonjourducentrededistributiondeclés:saisissezlenomDNSouBonjour duserveurkerberos. 18 CliquezsurOK. 19 DanslalisteServeurs,sélectionnezSMB. 20 CliquezsurRéglages,puissurGénéral. 112 Chapitre5ConfigurationdesservicesOpenDirectory

21 VérifiezqueleserveurestmaintenantmembredudomaineActiveDirectory. Vouspouvezmodifierladescriptionfacultativeduserveurquiapparaîtdanslafenêtre FavorisréseaudesordinateursWindows. UnefoisquevousavezconfiguréunmembrededomaineActiveDirectory,vouspouvezmodifierlesrestrictionsenmatièred accès,leniveaudedétailpourlajournalisation,lecodedelapage,lanavigationdansledomaineoul enregistrementwins. Ensuite,silesservicesWindowsnetournentpasencore,vouspouvezlesdémarrer. Pourensavoirplus,reportez-vousàlasectionAdministrationdesservicesderéseau. Configurationdel authentificationkerberosparsignature unique Laconfigurationdel authentificationkerberosàsignatureuniqueimpliquelestâches suivantes:  DNSdoitêtrerendudisponiblesurleréseauetdoitêtreconfigurépourrésoudre lenomdnscompletduserveurmaîtreopendirectory(oud unautreserveur Kerberos)etàleconvertirensonadresseIP.DNSdoitaussiêtreconfigurépour résoudrel adresseipetlaconvertirdanslenomdnscompletduserveur.  Unadministrateurdoitconfigurerunsystèmederépertoirepourqu ilhébergeun royaumekerberos.pourensavoirplussurlaconfigurationdemacosxserverde sortequ ilhébergeunroyaumekerberos,consultezlarubrique«configurationd un royaumekerberosopendirectory»àlapage115.  UnadministrateurKerberosd unmaîtreopendirectorypeutdéléguerl autoritéde connecterdesserveursauroyaumekerberosdumaîtreopendirectory.(l administrateurn apasbesoind autoritédéléguée.unadministrateurkerberosaimplicitement l autoritédeconnectertoutserveurauroyaumekerberos).consultezlarubrique «Délégationd autoritépourconnecterdesserveursàunroyaume KerberosOpenDirectory»àlapage117.  UnadministrateuroudesutilisateursKerberospossédantl autoritédéléguéenécessairedoiventconnecterlesserveursauroyaumekerberosquifournitalorsl authentificationkerberosparsignatureuniquepourlesservicesfournisparlesserveursqui ontétéconnectés.consultezlarubrique«connecterunserveuràunroyaume Kerberos»àlapage119.  TouslesordinateursquiutilisentKerberosdoiventêtrerégléssurladate,l heureet lefuseauhorairecorrectsetdoiventêtreconfiguréspourutiliserlemêmeserveur d horlogederéseau.lebonfonctionnementdekerberosreposesurlasynchronisationdeshorlogesdetouslesordinateursparticipants. Chapitre5ConfigurationdesservicesOpenDirectory 113

LorsquevousconfigurezunmaîtreOpenDirectory,assurez-vousquevotreDNSest bienconfiguréettourneavantdedémarrerleserviceopendirectorypourlapremière fois.sileserveurdnsn estpasbienconfiguréounetournepaslorsquevousdémarrezopendirectory,kerberosnefonctionnerapascorrectement. Lorsdupremierdémarraged OpenDirectory,KerberosutiliseleserviceDNSpour générerdesréglagesdeconfiguration.sivotreserveurdnsn estpasdisponiblelors dupremierdémarragedekerberos,sesconfigurationsneserontpasvalidesetilne fonctionnerapascorrectement.unefoisquekerberostourneetagénérésesfichiers deconfiguration,ilnedépendraplusentièrementdudnsetlesmodificationsapportéesaudnsn affecterontpluskerberos. LesdifférentsservicesdeMacOSXServernenécessitentaucuneconfigurationpour lasignatureuniqueoupourkerberos. Lesservicessuivantssontprêtspourl authentificationkerberosparsignatureunique surtouslesserveurssousmacosxserver10.5ouultérieurquisontconnectésouqui sontunmaîtreouunerépliqueopendirectory:  Fenêtred ouverturedesession  Servicedemessagerie  AFP  FTP  SMB(entantquemembred unroyaumekerberosactivedirectory)  ichat  Serviced impression  NFS  ServiceXgrid  VPN  ServiceWebApache  ServicederépertoireLDAPv3(surunmaîtreouunerépliqueOpenDirectory) 114 Chapitre5ConfigurationdesservicesOpenDirectory

Configurationd unroyaumekerberosopendirectory Vouspouvezfournirl authentificationkerberosparsignatureuniquesurvotreréseau enconfigurantunmaîtreopendirectory. VouspouvezconfigurerunmaîtreOpenDirectorypendantlaconfigurationinitialequi suitl installationdemacosxserver,maissivousconfigurezmacosxserverpourun autrerôleopendirectory,vouspouvezchangercerôleenmaîtreopendirectoryà l aided AdminServeur. Pourensavoirplus,consultezlesrubriques«Configurationd unmaîtreopendirectory» àlapage95et«démarragedekerberosaprèslaconfigurationd unmaître OpenDirectory»àlapage116. UnserveurjouantlerôledemaîtreOpenDirectorynenécessiteaucuneautreconfigurationsupplémentairepourgérerl authentificationkerberosparsignatureuniquepour touslesserviceskerbérisésqu ilfournitlui-même. Leserveurpeutégalementgérerl authentificationkerberosparsignatureuniquepour lesserviceskerbérisésd autresserveursduréseau.lesautresserveursdoiventêtre configuréspourseconnecterauroyaumekerberosopendirectory. Pourensavoirplus,reportez-vousauxrubriques«Délégationd autoritépourconnecterdesserveursàunroyaumekerberosopendirectory»àlapage117et«connecter unserveuràunroyaumekerberos»àlapage119. Important:unmaîtreOpenDirectoryrequiertunDNSconfigurécorrectementpour fourniruneauthentificationkerberosparsignatureunique.deplus:  LeserviceDNSdoitêtreconfigurépourrésoudrelesnomsDNScompletsdetous lesserveurs,ycomprislemaîtreopendirectory,enlesconvertissantenadressesip etpourfournirlesrecherchesinversescorrespondantes.pourensavoirplussurla configurationduservicedns,consultezleguideadministrationdesservicesréseau.  LespréférencesRéseauduserveurmaîtreOpenDirectorydoiventêtreconfigurées pourutiliserleserveurdnsquiconvertitlenomduserveur.(sileserveurmaître OpenDirectoryfournitsonpropreserviceDNS,sespréférencesRéseaudoiventêtre configuréespours utiliserlui-mêmecommeserveurdns). Chapitre5ConfigurationdesservicesOpenDirectory 115

DémarragedeKerberosaprèslaconfigurationd unmaître OpenDirectory SiKerberosnedémarrepaslorsquevousconfigurezunmaîtreOpenDirectory,vous pouvezutiliseradminserveurpourledémarrermanuellement,maisvousdevez d abordrésoudreleproblèmequiempêchekerberosdedémarrer.d habitude, leproblèmevientdufaitqueleservicednsn estpasconfigurécorrectementou netournepas. Remarque:unefoisquevousavezdémarréKerberosmanuellement,ilsepeutqueles utilisateursdontlescomptessontdotésdemotsdepasseopendirectoryetquiont étécréésdanslerépertoireldapdumaîtreopendirectoryalorsquekerberosétait arrêtédoiventréinitialiserleursmotsdepasselaprochainefoisqu ilsouvrentunesession.uncompted utilisateurn estdoncaffectéquesitouteslesméthodesd authentificationrécupérablespourlesmotsdepasseopendirectoryontétédésactivées pendantquekerberosétaitàl arrêt. PourdémarrerKerberosmanuellementsurunmaîtreOpenDirectory: 1 OuvrezAdminServeuretconnectez-vousauserveur. 2 Cliquezsurletriangleàgaucheduserveur. Lalistedesservicesapparaît. 3 Danslalistedesserveursdéveloppée,sélectionnezOpenDirectory. 4 CliquezsurRafraîchir(ouchoisissezPrésentation>Rafraîchir)etvérifiezl étatdekerberos quiestaffichédanslasous-fenêtrevued ensemble. SiKerberostourne,iln yariend autreàfaire. 5 UtilisezUtilitairederéseau(dans/Applications/Utilitaires/)poureffectuerunerecherche DNSdunomDNSdumaîtreOpenDirectoryetunerechercheinversedel adresseip. SilenomDNSoul adresseipduserveurneserésoutpascorrectement: Â Danslasous-fenêtreRéseaudesPréférencesSystème,regardezlesréglagesTCP/IP del interfaceréseauprincipaleduserveur(généralement,ethernetintégré). Assurez-vousquelepremierserveurDNSlistéestceluiquirésoutlenomdu serveuropendirectory. Â VérifiezlaconfigurationduserviceDNSetassurez-vousqu iltourne. 6 DansAdminServeur,sélectionnezOpenDirectorypourleserveurmaître,cliquezsur Réglages,puissurGénéral. 7 CliquezsurKerbériser,puissaisissezlesinformationssuivantes: Â Nomd administrateuretmotdepasse:vousdevezvousauthentifierentant qu administrateurdurépertoireldapdumaîtreopendirectory. Â Nomderoyaume:cechampestpréréglépourêtreidentiqueaunomDNSdu serveurconvertienlettresmajuscules.ils agitd uneconventionpournommer lesroyaumeskerberos.vouspouvezsaisirunautrenom,sinécessaire. 116 Chapitre5ConfigurationdesservicesOpenDirectory

Délégationd autoritépourconnecterdesserveursàunroyaume KerberosOpenDirectory Àl aided AdminServeur,vouspouvezdéléguerl autoritédeconnecterunserveuràun serveurmaîtreopendirectorypourl authentificationkerberosparsignatureunique. Vouspouvezdéléguercetteautoritéàunouplusieurscomptesd utilisateur.lescomptesd utilisateurauxquelsvousdéléguezcetteautoritédoiventêtredotésd unmot depassedetypeopendirectoryetrésiderdanslerépertoireldapduserveurmaître OpenDirectory.Leserveurdépendantpourlequelvousdéléguezl autoritédoittournersousmacosxserver10.3ouultérieur. Remarque:siuncomptepossédantl autoritékerberosdéléguéeestsupprimé etrecréésurleserveurmaîtreopendirectory,lenouveaucomptenepossédera pasl autoritédeconnecterleserveurdépendantauroyaumekerberosdumaître OpenDirectory. UnadministrateurKerberos,c est-à-direunadministrateurldapopendirectory, n apasbesoind autoritédéléguéepourconnecterdesserveursdépendantsau royaumekerberosopendirectory.unadministrateurkerberosaimplicitement l autoritédeconnectertoutserveurauroyaumekerberos. Pourdéléguerl autoritédeseconnecteràunroyaumekerberosopendirectory: 1 DansGestionnairedegroupedetravail,créezungrouped ordinateursdansledomaine derépertoireldapduserveurmaîtreopendirectoryousélectionnezungroupe d ordinateursexistantdanscerépertoire. Â Poursélectionnerungrouped ordinateursexistantdansgestionnairedegroupe detravail,cliquezsurcomptesouchoisissezprésentation>comptes,cliquezsur leboutongrouped ordinateurs(au-dessusdelalistedescomptes),puissélectionnezlegrouped ordinateurssouhaité. Â SileserveurLDAPn apasencoredegrouped ordinateursauquelvoussouhaitez ajouterleserveurdépendant,vouspouvezencréerun: CliquezsurComptes,puissurleboutonOrdinateurs(au-dessusdelalistedescomptes). Cliquezsurl icônereprésentantunglobeau-dessusdelalistedescomptes,puis déroulezlemenulocalpourouvrirlerépertoireldapdumaîtreopendirectory. Cliquezsurlecadenasetauthentifiez-vouscommeadministrateurdurépertoireLDAP. CliquezsurleboutonGrouped ordinateurs(au-dessusdelalistedescomptes), puissurnouveaugrouped ordinateursouchoisissezserveur>nouveaugroupe d ordinateurs. Saisissezlenomdugroupe,comme,parexemple,Serveurskerbérisés. Chapitre5ConfigurationdesservicesOpenDirectory 117

2 CliquezsurMembres,puissurleboutonAjouter(+)etsaisissezceci: Â Adresse:saisissezl adresseethernetduportethernetprincipalduserveurdépendant.leportethernetprincipalestlepremierportquiapparaîtdanslalistedela sous-fenêtreétatduréseaudel adressedespréférencesréseauduserveurdépendant.l adressedeceportapparaîtdanslechampidentifiantethernetdelasousfenêtreethernetdespréférencesréseau.sivousnesaisissezpasl adresseethernet correcte,leserveurdépendantnepourrapasseconnecteraumaîtreopendirectory pourl authentificationkerberos. Â Nom:saisissezlenomDNScompletduserveurdépendant,passeulementsonnom d hôte.parexemple,lenompourraitêtreserveur2.exemple.com,maispasserveur2. CenomestutilisépourcréerdesprincipauxKerberosdanslecentrededistribution declés.silenomestincorrect,lesutilisateursnepeuventpass authentifieràl aidede Kerberos.VotresystèmeDNSdoitposséderuneentréepourlenomduserveurdépendantetuneentréederechercheinversepourl adresseipduserveurdépendant. Â Utilisercenomcommenomd ordinateur:n affectepaslefonctionnementdekerberos. Â Commentaires:estfacultatifetpurementinformatif. 3 CliquezsurEnregistrerpourenregistrerlesmodificationsapportéesaugroupe d ordinateurs. 4 CliquezsurPréférencesetassurez-vousquelegrouped ordinateursn apasderéglages depréférencesgérés. Siunepetiteflècheapparaîtenregarddel icôned undesélémentsdescatégoriesde préférences,l élémentpossèdedesréglagesdepréférencesgérées.poursupprimer lespréférencesgéréesd unélément,cliquezsurl élément,sélectionneznongéré, puiscliquezsurappliquer.sil élémentdisposedeplusieurssous-fenêtres,sélectionnez Nongérédanschacunedessous-fenêtres,puiscliquezsurAppliquer. 5 Sivoussouhaitezdéléguerl autoritékerberosàunouplusieurscomptesd utilisateur, créez-lescomptes: Â Assurez-vousquevoustravaillezbiendanslerépertoireLDAPduserveurmaître OpenDirectory.Sinécessaire,cliquezsurlepetitglobeetutilisezlemenulocal pourouvrircerépertoire.cliquezensuitesurlecadenasetauthentifiez-vouscomme administrateurdecerépertoire. Â CliquezsurleboutonUtilisateurs(àgauche),puissurNouvelutilisateurouchoisissez Serveur>Nouvelutilisateur. Â Saisissezunnom,unnomabrégéetunmotdepasse. Â Assurez-vousquelacase«L utilisateurpeutaccéderaucompte»ou«l utilisateur peutgérerceserveur»n estpassélectionnée. Vouspouvezchangerdesréglagesdansd autressous-fenêtres,maisnechangezpas letypedemotdepassed utilisateurdanslasous-fenêtreavancé.toututilisateur avecautoritékerberosdéléguéedoitposséderunmotdepasseopendirectory. 118 Chapitre5ConfigurationdesservicesOpenDirectory

6 CliquezsurEnregistrerpourenregistrerlenouveaucompted utilisateur. 7 OuvrezAdminServeuretconnectez-vousauserveurmaîtreOpenDirectory. 8 Cliquezsurletriangleàgaucheduserveur. Lalistedesservicesapparaît. 9 Danslalistedesserveursdéveloppée,sélectionnezOpenDirectory. 10 CliquezsurRéglages,puissurGénéral. 11 ConfirmezlerôledemaîtreOpenDirectory,cliquezsurAjouterunenregistrement Kerberos,puissaisissezlesinformationssuivantes:  Nomd administrateur:saisissezlenomd unadministrateurderépertoireldapsur leserveurmaîtreopendirectory.  Motdepassed administrateur:saisissezlemotdepasseducompted administrateur quevousavezsaisi.  Nomdefichedeconfiguration:saisissezlenomDNScomplettelquevousl avezsaisi lorsdel ajoutduserveurdépendantaugrouped ordinateursàl étape2.  Administrateursdélégués:saisissezunnomabrégéouunnomlongpourchaque compted utilisateurauquelvoussouhaitezdéléguerl autoritékerberospour leserveurspécifié.pouréviterdesproblèmessicecompted utilisateurdevaitêtre suppriméàl avenir,saisissezaumoinsdeuxnoms. 12 CliquezsurAjouter,puissurEnregistrerpourdéléguerl autoritékerberoscommespécifié. Pourdéléguerl autoritépourplusd unserveurdépendant,répétezcetteprocédure pourchacund entreeux. Pourensavoirplussurlaconnexiond unserveuràunroyaumekerberosopendirectory, consultezlarubrique«connecterunserveuràunroyaumekerberos»àlapage119. ConnecterunserveuràunroyaumeKerberos AvecAdminServeur,unadministrateurKerberosouunutilisateurdontlecompte possèdel autoritédéléguéecorrectementpeutconnectermacosxserveràun royaumekerberos. Leserveurnepeutseconnecterqu àunseulroyaumekerberos.ilpeuts agird un royaumekerberosopendirectory,d unroyaumekerberosactivedirectoryoud un royaumekerberosmitexistant. PourseconnecteràunroyaumeKerberosOpenDirectory,vousdevezdisposerd un compted administrateurkerberosoud uncompted utilisateurpossédantl autorité Kerberosdéléguée.Pourensavoirplus,consultezlarubrique«Délégationd autorité pourconnecterdesserveursàunroyaumekerberosopendirectory»àlapage117. Chapitre5ConfigurationdesservicesOpenDirectory 119

PourconnecterunserveuràunroyaumeKerberos: 1 Assurez-vousqueleserveurquevoussouhaitezconnecterauroyaumeKerberosest configurépouraccéderaudomainederépertoirepartagéduserveurkerberos. Pourconfirmer,ouvrezUtilitairederépertoiresurleserveurquevoussouhaitezconnecterauroyaumeKerberosouconnectez-vousauserveuràl aided UtilitaireFormat derépertoiresurunautreordinateur.cliquezsurpolitiquederecherche,puissur Authentificationetassurez-vousqueledomainederépertoireduserveurKerberos apparaîtbiendanslaliste.sicen estpaslecas,consultezlechapitre7,«gestiondes clientsderépertoire,»pourobtenirdesinstructionssurlaconfigurationdel accèsau répertoire. 2 OuvrezAdminServeuretconnectez-vousauserveurquevousvoulezconnecterau royaumekerberos. 3 Cliquezsurletriangleàgaucheduserveur. Lalistedesservicesapparaît. 4 Danslalistedesserveursdéveloppée,sélectionnezOpenDirectory. 5 CliquezsurRéglages,puissurGénéral. 6 ConfirmezqueleRôleestbienConnectéàunserveurderépertoire,puiscliquezsur SeconnecteràKerberosetsaisissezlesinformationssuivantes: Â PourunroyaumeKerberosOpenDirectoryouunroyaumeKerberosActiveDirectory, choisissezleroyaumedanslemenulocaletsaisissezlenometlemotdepassed un administrateurkerberosoud unutilisateurpossédantl autoritékerberosdéléguée pourleserveur. Â PourunroyaumeKerberosMIT,saisissezlenometlemotdepassed unadministrateurkerberos,lenomduroyaumekerberosetlenomdnsduserveurdecentrede distributiondecléskerberos. 120 Chapitre5ConfigurationdesservicesOpenDirectory

6 Gestiondel authentification d utilisateur 6 Découvrezcommentréinitialiserlesmotsdepassed utilisateur,modifierlestypesdemotdepasse,définirlespolitiques demotdepasse,sélectionnerlesméthodesd authentificationetréaliserd autrestâchesàl aidedegestionnairede groupedetravail. GestionnairedegroupedetravailoffreuneméthodecentraliséedegestiondesordinateursMacOSXpourcontrôlerl accèsauxlogicielsetauxsupportsamoviblesetfournir unenvironnementcohérentpourdifférentsutilisateurs.vouspouvezégalementutiliser Gestionnairedegroupedetravailpourgérerl authentificationd utilisateur.pourensavoir plussurgestionnairedegroupedetravail,consultezleguidegestiondesutilisateurs. Vouspouvezgérerlesinformationsd authentificationdesutilisateursstockéesdans lesdomainesderépertoire.pourtrouverlesdescriptionsdestâchesetdesinstructions, reportez-vousà:  «Compositiond unmotdepasse»àlapage122  «Modificationdumotdepassed unutilisateur»àlapage123  «Réinitialisationdesmotsdepassedeplusieursutilisateurs»àlapage124  «Modificationdutypedemotdepassed unutilisateur»àlapage125 CetterubriqueabordelechangementdutypedemotdepasseenOpenDirectory, lechoixentrelemotdepasseshadowetlemotdepassecryptéetl activationde l authentificationparsignatureuniquekerberos.  «Activationdel authentificationkerberosparsignatureuniquepourunutilisateur» àlapage129  «Changementdepolitiquedemotdepasseglobale»àlapage129  «Configurationdespolitiquesdemotdepassed utilisateursindividuels»àlapage130  «Sélectiondeméthodesd authentificationpourdesutilisateursdemotsdepasse shadow»àlapage132  «Sélectiondeméthodesd authentificationpourdesutilisateursdemotsdepasse OpenDirectory»àlapage133 121

 «Attributiondedroitsd administrateurpourl authentificationopendirectory»àla page134  «Synchronisationdesmotsdepassed administrateurprincipaux»àlapage135  «Activationdel authentificationparliaisonldappourunutilisateur»àlapage135  «Configurationdemotsdepassed utilisateursexportésouimportés»àlapage136  «MigrationdemotsdepasseàpartirdeMacOSXServer10.1ouantérieur»àlapage137 Compositiond unmotdepasse Lemotdepasseassociéaucompted unutilisateurdoitêtresaisiparcedernier lorsqu ils authentifiepourouvrirunesessionouutiliserd autresservices.lemot depasseestsensibleàlacasse(hormislesmotsdepasselanmanager-smb). Ilestmasquéàl écranpendantsasaisie. Quelquesoitletypedemotdepassechoisipourunutilisateur,voicilesdirectivesàsuivrepourlacompositiondesmotsdepassedescomptesd utilisateurdemacosxserver:  Lesmotsdepassedoiventcontenirdeslettres,deschiffresetdessymbolesetformerdescombinaisonsdifficilesàdevinerparlesutilisateursnonautorisés.Ilsne doiventpasêtreconstituésdemots.lesbonsmotsdepasseassocientdeschiffres etdessymboles(telsque#ou$)ousontcomposésdelapremièrelettredechacun desmotsconstituantuneexpression.utilisezunecombinaisondelettresminuscules etmajuscules.  Évitezlesespacesainsiquelescaractèresobtenusàl aidedelatoucheoption.  Évitezlescaractèresimpossiblesàsaisirsurlesordinateursdontseserviral utilisateurouquiréclament,surd autresclaviersetplates-formes,l emploid unecombinaisondetouchesspéciale.  Certainsprotocolesréseaun acceptentpaslesmotsdepassecontenantdesespaces initiaux,desespacesincorporésoudesespacesfinaux.  Iln estpasrecommandéd utiliserunmotdepassedelongueurnulle.opendirectoryetcertainssystèmes(telsquelaliaisonldap)neprennentpasenchargeles motsdepassedelongueurnulle.  Pourunecompatibilitéoptimaleaveclesordinateursetservicesauxquelsvosutilisateurssontsusceptiblesd accéder,utilisezuniquementdescaractèresasciidans lesmotsdepasse. 122 Chapitre6Gestiondel authentificationd utilisateur

Modificationdumotdepassed unutilisateur VouspouvezutiliserGestionnairedegroupedetravailpourmodifierlemotdepasse d uncompted utilisateurdéfinidanstoutdomainederépertoireauquelvousavez accèsenlectureetécriture.parexemple,vouspouvezmodifierlemotdepassed un compted utilisateurdansl annuaireldapd unmaîtreopendirectory. Pourensavoirplus,consultezlesrubriques«Modificationdumotdepasseutilisépour authentifieruneconnexionldap»àlapage181ou«configurationd unepolitiquede liaisonpourunserveuropendirectory»àlapage218et«arrêtdelaliaisonsécurisée avecunannuaireldap»àlapage177. Important:sivousmodifiezlemotdepassed uncompted utilisateurutilisépour authentifierlaconnexionàl annuaireldapd unordinateur,vousdevezapporterla mêmemodificationauxréglagesdeconnexionldapdel ordinateurconcernéouconfigurerl annuaireldapettouteslesconnexionspourqu ilsutilisentlaliaisonsécurisée. Pourchangerlemotdepassed unutilisateur: 1 OuvrezGestionnairedegroupedetravail,cliquezsurleboutonComptes,puissur leboutonutilisateur. 2 Ouvrezledomainederépertoirecontenantlecompted utilisateurdontvousvoulez changerlemotdepasseetauthentifiez-vousentantqu administrateurdudomaine. Pourouvrirundomainederépertoire,cliquezsurl icônedeglobeau-dessusdelaliste desutilisateurs,puischoisissezundomainedanslemenulocal. Siletypedumotdepassedel utilisateurestopendirectory,vousdevezvousauthentifierentantqu administrateurdontletypedemotdepasseestopendirectory. 3 Sélectionnezlecomptedumotdepasseàchanger. 4 Tapezunmotdepassedanslasous-fenêtreÉlémentaire,puiscliquezsurEnregistrer. 5 Indiquezàl utilisateurlenouveaumotdepasseàemployerpourouvrirunesession. Unefoisquel utilisateuraouvertunesessionsousmacosxàl aidedunouveaumot depasse,ilpeutlemodifierencliquantsurcomptesdanspréférencessystème. Sivousmodifiezlemotdepassed uncomptedontletypedemotdepasseestopen Directoryetquececompterésidedansl annuaireldapd unerépliqueoud unmaître OpenDirectory,lamodificationestsynchroniséeaveclemaîtreettoutessesrépliques. MacOSXServersynchroniselesmodificationsdemotsdepasseOpenDirectoryentre unmaîtreetsesrépliques. Chapitre6Gestiondel authentificationd utilisateur 123

Réinitialisationdesmotsdepassedeplusieursutilisateurs Àl aidedegestionnairedegroupedetravail,vouspouvezsélectionnerplusieurs comptesd utilisateuretlesmodifierenmêmetempspourqu ilsprennenttousle mêmetypedemotdepasseetlemêmemotdepassetemporaire. Pourchangerletypedemotdepasseetlemotdepassedeplusieurscomptes d utilisateur: 1 OuvrezGestionnairedegroupedetravail,cliquezsurleboutonComptes,puissur leboutonutilisateur. 2 Ouvrezledomainederépertoirecontenantlecompted utilisateurdontvousvoulez réinitialiserlestypesdemotdepasseetlesmotsdepasse,puisauthentifiez-vousen tantqu administrateurdudomaine. Pourouvrirundomainederépertoire,cliquezsurl icônedeglobeau-dessusdelaliste desutilisateurs,puischoisissezundomainedanslemenulocal. SivousvoulezréglerletypedemotdepassesurOpenDirectory,vousdevezvous authentifierentantqu administrateurdontletypedemotdepasseestopendirectory. 3 Cliquezsurlescomptesd utilisateurenmaintenantlatouchecommandeoumaj enfoncéepoursélectionnerceuxdontletypedemotdepassedoitêtremodifié. 4 Tapezunmotdepassedanslasous-fenêtreÉlémentaire,puisdéfinissezletypedemot depassedanslasous-fenêtreavancé. 5 CliquezsurEnregistrer. 6 Indiquezauxutilisateurslemotdepassetemporaire,desortequ ilspuissentouvrirune session. Aprèsavoirouvertunesessionàl aidedumotdepassetemporaire,unutilisateurpeut changerlemotdepasseencliquantsurcomptesdanspréférencessystème. SivousmodifiezlemotdepassedecomptesdontletypedemotdepasseestOpen Directoryetquecescomptesrésidentdansl annuaireldapd unerépliqueoud un maîtreopendirectory,lamodificationestsynchroniséeaveclemaîtreettoutesses répliques.macosxserversynchroniselesmodificationsdemotsdepasseopen Directoryentreunmaîtreetsesrépliques. 124 Chapitre6Gestiondel authentificationd utilisateur

Modificationdutypedemotdepassed unutilisateur Vouspouvezdéfinirletypedemotdepassedanslasous-fenêtreAvancédeGestionnairedegroupedetravail.Lestypesdemotdepassedisponiblessontlessuivants:  OpenDirectory:activeplusieursméthodesd authentificationhéritées,ainsique l authentificationkerberosparsignatureuniquesilecomptedel utilisateursetrouve dansl annuaireldapd unmaîtreoud unerépliqueopendirectory.lesmotsde passeopendirectorysontstockésséparémentdelabasededonnéesduserveur demotsdepasseopendirectoryetducentrededistributiondecléskerberos. Consultezlarubrique«ChoixdutypedemotdepasseOpenDirectory»àlapage125.  MotdepasseShadow:activeplusieursméthodesd authentificationhéritéespour lescomptesd utilisateursetrouvantdansledomainederépertoirelocal.lesmots depasseshadowsontstockéshorsdudomainederépertoire,dansdesfichiersqui nesontlisiblesqueparlecompted utilisateurroot.consultezlarubrique«choixdu typedemotdepasseshadow»àlapage128.  Motdepassecrypté:fournituneauthentificationélémentairepouruncompted utilisateursetrouvantdansundomainederépertoirepartagé.unmotdepassecrypté eststockédansl enregistrementdecompted utilisateur,dansledomainederépertoire.unmotdepassecryptéestnécessairepourouvrirunesessionmacosx10.1 ouantérieur.consultezlarubrique«changementdutypedemotenmotdepasse crypté»àlapage127. ChoixdutypedemotdepasseOpenDirectory AvecGestionnairedegroupedetravail,vouspouvezindiquerqu uncompted utilisateurdisposed unmotdepasseopendirectorystockédansdesbasesdedonnées sécuriséeshorsdudomainederépertoire.lescomptesd utilisateurdanslesdomaines derépertoiresuivantspeuventdisposerdemotsdepasseopendirectory:  domainederépertoireldapsurmacosxserver10.3 10.5  domainederépertoirelocaldemacosxserver10.3ouserveurmisàniveauàpartir delaversion10.3  domainederépertoiresurmacosxserver10.2configurépourutiliserunserveurde motsdepasse LetypedemotdepasseOpenDirectoryprendenchargelasignatureuniqueàl aide del authentificationkerberos.ilprendaussienchargeleserveurdemotsdepasse OpenDirectory,quioffredesprotocolesd authentificationsimpleauthenticationand SecurityLayer(SASL),notammentAPOP,CRAM-MD5,DHX,Digest-MD5,MS-CHAPv2, NTLMv2,NTLM(aussiappeléWindowsNTouSMB-NT),LANManager(LM)et WebDAV-Digest. Chapitre6Gestiondel authentificationd utilisateur 125

Remarque:pourréglerletypedemotdepassed uncompted utilisateursuropen Directory,vousdevezposséderdesdroitsd administrateurpourl authentification OpenDirectorydansledomainederépertoirecontenantlecompted utilisateur. Celaveutdirequevousdevezvousauthentifierentantqu administrateurdedomaine derépertoiredontletypedemotdepasseestopendirectory.pourensavoirplus, consultezlarubrique«attributiondedroitsd administrateurpourl authentification OpenDirectory»àlapage134. Pourindiquerqu uncompted utilisateurdoitavoirunmotdepasseopendirectory: 1 Assurez-vousquelecompterésidedansundomainederépertoirequigèrel authentificationopendirectory. Lesdomainesderépertoirequiprennentenchargel authentificationopendirectory sontcitésplushautdanscetterubrique. 2 DansGestionnairedegroupedetravail,ouvrezlecompteàutiliser(sicen estdéjàfait). Pourouvriruncompte,cliquezsurleboutonComptes,puissurleboutonUtilisateurs. Cliquezsurl icônedeglobesituéeau-dessusdelalistedesutilisateurs,puisutilisez lemenulocalpourouvrirledomainederépertoireoùrésidelecomptedel utilisateur. Cliquezsurlecadenas,puisauthentifiez-vousentantqu administrateurdedomaine derépertoiredontletypedemotdepasseestopendirectory.sélectionnezensuite l utilisateurdanslaliste. 3 CliquezsurAvancé. 4 Danslemenulocal«Typedumotdepasse»,choisissezOpenDirectory. 5 Lorsquevousyêtesinvité,tapezetconfirmezunnouveaumotdepasse. Lemotdepassenedoitpascontenirplusde512octets(jusqu à512caractèresd aprèsla langue),bienqueleprotocoled authentificationréseaupuisseimposerd autreslimites, comme,parexemple,128caractèrespourntlmv2etntlm,et14pourlanmanager. «Compositiond unmotdepasse»àlapage122vousdonnedesindicationspour lechoixdemotsdepasse. 6 Danslasous-fenêtreAvancé,cliquezsurOptionspourconfigurerlapolitiquedemot depassedel utilisateur,puissuroklorsquevousavezterminédechoisirvosoptions. Sivoussélectionnez«Désactiverl ouverturedesession:àladatespécifiquedu», utilisezlesflèchesverslehautetlebaspourdéfinirladate. Sivoussélectionnezuneoptionquinécessiteuneréinitialisation(unchangement)du motdepasse,souvenez-vousquetouslesprotocolesn acceptentpaslechangement demotsdepasse.parexemple,lesutilisateursnepeuventchangerleurmotdepasse lorsd uneauthentificationauservicedecourrierimap. 126 Chapitre6Gestiondel authentificationd utilisateur

L identifiantdemotdepasseestunnombreuniqueà128bitsattribuélorsdelacréationdumotdepassedanslabasededonnéesduserveurdemotsdepasseopen Directory.Ilpeuts avérerutileencasdedépannage,carilapparaîtdansl historiquedu serveurdemotsdepasselorsqu unproblèmeseproduit.pourensavoirplus,consultez larubrique«affichagedesétatsetdeshistoriquesopendirectory»àlapage211. PouraffichercethistoriqueOpenDirectory,ouvrezAdminServeur. 7 CliquezsurEnregistrer. ChangementdutypedemotenMotdepassecrypté Sinécessaire,vouspouvezutiliserGestionnairedegroupedetravailpourdéfinirun motdepassecryptépourlecompted unutilisateur.lesmotsdepassecryptésnepeuventêtreutilisésquepourlescomptesd utilisateursetrouvantdansundomainede répertoirepartagé.lecompted utilisateurpeutapparteniràundomainederépertoire LDAPouàundomaineNetInfopartagéhérité(disponibleuniquementencasdeconnexionàunserveurMacOSXServer10.4,10.3ou10.2). Lescomptesd utilisateurinutiliséssurlesordinateursquirequièrentunmotdepasse cryptédoiventavoirunmotdepasseopendirectoryouunmotdepasseshadow. Unmotdepassecryptéestrequispourouvrirunesessionsurunordinateursous MacOSX10.1ouantérieuretsurlesordinateursexécutantcertainesvariantesd UNIX. Unmotdepassecryptéeststockésouslaformed unevaleurcryptée(ouhachage)dans laficheducompted utilisateurdansledomainederépertoire.lemotdepassecrypté étantfacilementaccessibleàpartirdudomainederépertoire,ilestsujetàdesattaques horsconnexion,cequilerendmoinssûrquelesautrestypesdemotdepasse. Pourindiquerqu uncompted utilisateurdoitêtredotéd unmotdepassecrypté: 1 DansGestionnairedegroupedetravail,ouvrezlecompteàutiliser(sicen estdéjàfait). Pourouvriruncompte,cliquezsurleboutonComptes,puissurleboutonUtilisateurs. Cliquezsurl icônedeglobesituéeau-dessusdelalistedesutilisateurs,puisutilisezle menulocalpourouvrirledomainederépertoireoùrésidelecomptedel utilisateur. Cliquezsurlecadenasetauthentifiez-vousentantqu administrateurdudomainede répertoire,puissélectionnezl utilisateurdanslaliste. 2 CliquezsurAvancé. 3 Danslemenulocal«Typedumotdepasse»,choisissez«Motdepassecrypté». 4 Lorsquevousyêtesinvité,tapezetconfirmezunmotdepasse. Lalongueurmaximaled unmotdepassecryptéestdehuitoctets(huitcaractères ASCII).Sivoustapezunmotdepassepluslong,seulsleshuitpremiersoctetsseront utilisés. 5 CliquezsurEnregistrer. Chapitre6Gestiondel authentificationd utilisateur 127

Choixdutypedemotdepasseshadow Gestionnairedegroupedetravailvouspermetd indiquerqu unutilisateurdispose d unmotdepasseshadowstockédansunfichiersécuriséendehorsdudomainede répertoire.seulslesutilisateursdontlescomptesrésidentdansledomainederépertoirelocalpeuventdisposerd unmotdepasseshadow. Pourindiquerqu uncompted utilisateurdoitêtredotéd unmotdepasseshadow: 1 DansGestionnairedegroupedetravail,ouvrezlecompteàutiliser(sicen estdéjàfait). Pourouvriruncompte,cliquezsurleboutonComptes,puissurleboutonUtilisateurs. Cliquezsurl icônedeglobeau-dessusdelalistedesutilisateurs,puischoisissezdans lemenulocalledomainederépertoirelocaloùsetrouvelecomptedel utilisateur. Cliquezsurlecadenasetauthentifiez-vousentantqu administrateurdudomainede répertoire,puissélectionnezl utilisateurdanslaliste. 2 CliquezsurAvancé. 3 Danslemenulocal«Typedumotdepasse»,choisissez«MotdepasseShadow». Remarque:vousnepouvezaffecterdesmotsdepasseShadowqu àdescomptes d utilisateurlocaux. 4 Lorsquevousyêtesinvité,tapezetconfirmezunmotdepasse. Lesmotsdepasselongssonttronquéspourcertainesméthodesd authentification. Les128premierscaractèresdumotdepassesontutiliséspourNTLMv2etNTLM, maisseulsles14premierscaractèressontutiliséspourlanmanager. Larubrique«Compositiond unmotdepasse»àlapage122fournitdesdirectives pourlechoixdesmotsdepasse. 5 Danslasous-fenêtreAvancé,cliquezsurOptionspourconfigurerlapolitiquedemotde passedel utilisateur,puissuroklorsquevousavezterminédechoisirvosoptions. Sivoussélectionnez«Désactiverl ouverturedesession:àladatespécifiquedu», utilisezlesflèchesverslehautetlebaspourdéfinirladate. Sivousutilisezunepolitiquequinécessiteunchangementdemotdepassed utilisateur,rappelonsquetouslesprotocolesn acceptentpaslamodificationdemotsde passe.parexemple,lesutilisateursnepeuventchangerleurmotdepasselorsd une authentificationauservicedecourrierimap. 6 Danslasous-fenêtreAvancé,cliquezsurSécuritépouractiveroudésactiverdesméthodes d authentificationpourl utilisateur,puissuroklorsquevousavezterminé. Pourensavoirplus,consultezlarubrique«Configurationdespolitiquesdemotde passed utilisateursindividuels»àlapage130. 7 CliquezsurEnregistrer. 128 Chapitre6Gestiondel authentificationd utilisateur

Activationdel authentificationkerberosparsignature uniquepourunutilisateur L activationdel authentificationkerberosparsignatureuniquepouruncompted utilisateurdansunannuaireldapdemacosxserversefaitendéfinissantletypedemot depasseducomptesuropendirectorydanslasous-fenêtreavancédegestionnaire degroupedetravail. Changementdepolitiquedemotdepasseglobale AdminServeurvouspermetdedéfinirunepolitiquedemotdepasseglobalepour lescomptesd utilisateurd undomainederépertoiremacosxserver. Lapolitiquedemotdepasseglobaleaffectelescomptesd utilisateurdudomainede répertoirelocalduserveur.sileserveurestunmaîtreouunerépliqueopendirectory, lapolitiquedemotdepasseglobaleaffecteaussilescomptesd utilisateurquiontun motdepassedetypeopendirectorydansledomainederépertoireldapduserveur. SivousmodifiezlapolitiquedemotdepasseglobalesurunerépliqueOpenDirectory, lesréglagesdelapolitiquesontsynchronisésaveclemaîtreettouteslesautresrépliques. Lescomptesd administrateurnesontpasaffectésparlespolitiquesdemotdepasse. Chaqueutilisateurpeutavoirunepolitiquedemotdepassedifférentequiredéfinit lesréglagesdelapolitiquedemotdepasseglobale.pourensavoirplus,consultez larubrique«configurationdespolitiquesdemotdepassed utilisateursindividuels»à lapage130. KerberosetleserveurdemotsdepasseOpenDirectorymaintiennentdespolitiquesde motdepasseséparées.macosxserversynchroniselesrèglesdelapolitiquedemot depassedekerberosaveclesrèglesdelapolitiquedemotdepasseduserveurde motsdepasseopendirectory. Pourchangerlapolitiquedemotdepasseglobaledescomptesd utilisateurd un mêmedomaine: 1 OuvrezAdminServeuretconnectez-vousàunmaîtreouàunerépliqueOpenDirectory. 2 Cliquezsurletrianglesetrouvantàgaucheduserveur. Lalistedesservicesapparaît. 3 DanslalisteServeursdéveloppée,sélectionnezOpenDirectory. 4 CliquezsurRéglages,puissurRèglement. Chapitre6Gestiondel authentificationd utilisateur 129

5 CliquezsurMotsdepasse,puisdéfinissezlesoptionsdepolitiquedemotdepasse souhaitéespourlesutilisateursquinedisposentpasdeleurproprepolitiquedemot depasse. Sivoussélectionnezuneoptionquinécessiteuneréinitialisationdumotdepasse, souvenez-vousquecertainsprotocolesdeservicen autorisentpaslamodification desmotsdepasse.parexemple,lesutilisateursnepeuventchangerleurmotde passelorsd uneauthentificationauservicedecourrierimap. 6 CliquezsurEnregistrer. LesrépliquesdumaîtreOpenDirectoryhéritentautomatiquementdesapolitiquede motdepasseglobale. Àpartirdelalignedecommande Vouspouvezaussidéfinirdespolitiquesdemotdepasseàl aidedelacommande pwpolicydansterminal.pourensavoirplus,consultezlechapitreopendirectory dudocumentadministrationdelignedecommande. Configurationdespolitiquesdemotdepassed utilisateurs individuels Àl aidedegestionnairedegroupedetravail,vouspouvezdéfinirdespolitiquesde motdepassepourlescomptesd utilisateurdontletypedemotdepasseestopen Directoryou«MotdepasseShadow».Lapolitiquedemotdepassed unutilisateur primesurlapolitiquedemotdepasseglobaledéfiniedanslasous-fenêtreréglages d authentificationduserviceopendirectorydansadminserveur. Lapolitiquedemotdepassepouruncompted utilisateurmobiles appliquelorsque lecompteestutiliséalorsquel ordinateurportableestdéconnectéduréseau. Lapolitiquedemotdepasseprovenantducompted utilisateurréseaucorrespondant s appliquelorsquel ordinateurportableestconnectéauréseau. Lescomptesd administrateurnesontpasaffectésparlespolitiquesdemotdepasse. Pourdéfinirunepolitiquedemotdepassepouruncompted utilisateurquidispose d unmotdepasseopendirectory,vousdevezposséderdesdroitsd administrateur pourl authentificationopendirectorydansledomainederépertoirecontenantle compted utilisateur.celaveutdirequevousdevezvousauthentifierentantqu administrateurdedomainederépertoiredontletypedemotdepasseestopendirectory. Pourensavoirplus,consultezlarubrique«Attributiondedroitsd administrateurpour l authentificationopendirectory»àlapage134. 130 Chapitre6Gestiondel authentificationd utilisateur

KerberosetleserveurdemotsdepasseOpenDirectorymaintiennentdespolitiquesde motdepasseséparées.macosxserversynchroniselesrèglesdelapolitiquedemot depassekerberosaveclesrèglesdelapolitiquedemotdepasseduserveurdemots depasseopendirectory. N utilisezpasleboutonoptionsdelasous-fenêtreavancépourconfigurerdespolitiquesdemotdepassepourdesadministrateursdedomainederépertoire.lespolitiquesdemotdepassen affectentpaslescomptesd administrateur.lesadministrateurs dedomainesderépertoiredoiventpouvoirchangerlespolitiquesdemotdepassedes comptesd utilisateur. Pourchangerlapolitiquedemotdepassed uncompted utilisateur: 1 DansGestionnairedegroupedetravail,ouvrezlecompteàutiliser(sicen estdéjàfait). Pourouvriruncompte,cliquezsurleboutonComptes,puissurleboutonUtilisateurs. Cliquezsurl icônedeglobesituéeau-dessusdelalistedesutilisateurs,puisutilisezle menulocalpourouvrirledomainederépertoireoùrésidelecomptedel utilisateur. Cliquezsurlecadenas,puisauthentifiez-vousentantqu administrateurdedomaine derépertoiredontletypedemotdepasseestopendirectory.sélectionnezensuite l utilisateurdanslaliste. 2 CliquezsurAvancé,puissurOptions. VousnepouvezcliquersurOptionsquesiletypedemotdepasseestOpenDirectory oumotdepasseshadow. 3 Modifiezlesoptionsdepolitiquedemotdepasse,puiscliquezsurOK. Sivoussélectionnezuneoptionquinécessiteuneréinitialisation(modification)dumot depasse,souvenez-vousquecertainsprotocolesdeservicen autorisentpaslamodificationdesmotsdepasse.parexemple,lesutilisateursnepeuventchangerleurmotde passelorsd uneauthentificationauservicedecourrierimap. 4 CliquezsurEnregistrer. Àpartirdelalignedecommande Vouspouvezaussidéfinirdespolitiquesdemotdepasseàl aidedelacommande pwpolicydansterminal.pourensavoirplus,consultezlechapitreopendirectorydu documentadministrationdelignedecommande. Chapitre6Gestiondel authentificationd utilisateur 131

Sélectiondeméthodesd authentificationpourdesutilisateurs demotsdepasseshadow Àl aidedegestionnairedegroupedetravail,vouspouvezsélectionnerlesméthodes d authentificationquiserontdisponiblespouruncompted utilisateurdontletypede motdepasseestmotdepasseshadow. UnmotdepasseShadowprendenchargelesméthodesd authentificationdisponibles pourlacompatibilitéaveccertainslogicielsclients.sivoussavezquel utilisateurn utiliserajamaisunlogicielclientquirequiertuneméthoded authentificationparticulière, vouspouvezdésactivercetteméthode.pourensavoirplus,reportez-vousàlarubrique «Désactivationdesméthodesd authentificationdemotsdepasseshadow»àlapage62. Sivousdésactivezuneméthoded authentification,sonhachageserasupprimédu fichierdemotsdepasseshadowdel utilisateuràlaprochaineauthentificationde celui-ci. Sivousactivezuneméthoded authentificationquiétaitdésactivée,lehachagedela méthodeactivéeseraajoutéaufichierdemotsdepasseshadowdel utilisateurlaprochainefoisquecelui-cis authentifierapourutiliserunserviceprenantenchargeles motsdepasseenclaircomme,parexemple,unefenêtred ouverturedesessionouafp. D unautrecôté,lemotdepassedel utilisateurpeutêtreréinitialisépourajouterle condensénumériquedelaméthodenouvellementactivée.lesutilisateurspeuvent réinitialiserleurspropresmotsdepasseouunadministrateurderépertoirepeut lefairepoureux. Pouractiveroudésactiverdesméthodesd authentificationpourdescomptesd utilisateurdontletypedemotdepasseestopendirectory,consultezlarubriquesuivante. Pouractiveroudésactiverdesméthodesd authentificationpourunutilisateurde motdepasseshadow: 1 DansGestionnairedegroupedetravail,ouvrezlecompteàutiliser(sicen estdéjàfait). Pourouvriruncompte,cliquezsurleboutonComptes,puissurleboutonUtilisateurs. Cliquezsurl icônedeglobeau-dessusdelalistedesutilisateurs,puischoisissezdans lemenulocalledomainederépertoirelocaloùsetrouvelecomptedel utilisateur. Cliquezsurlecadenasetauthentifiez-vousentantqu administrateurdedomainede répertoire.sélectionnezensuitel utilisateurdanslaliste. 2 CliquezsurAvancé,puissurSécurité. VousnepouvezcliquersurSécuritéquesiletypedemotdepasseest«Motdepasse Shadow». 3 Sélectionnezlesméthodesd authentificationquevoussouhaitezactiver,désélectionnez cellesquevoussouhaitezdésactiver,puiscliquezsurok. 4 CliquezsurEnregistrer. 132 Chapitre6Gestiondel authentificationd utilisateur

Àpartirdelalignedecommande Vouspouvezaussiactiveroudésactiverdesméthodesd authentificationpourun utilisateurpossédantunmotdepasseshadowàl aidedelacommandepwpolicy dansterminal.pourensavoirplus,consultezlechapitreopendirectorydudocument Administrationdelignedecommande. Sélectiondeméthodesd authentificationpourdesutilisateurs demotsdepasseopendirectory Àl aided AdminServeur,vouspouvezsélectionnerlesméthodesd authentification quiserontdisponiblespourlescomptesd utilisateurdontletypedemotdepasse estopendirectory.lemotdepasseopendirectoryprendenchargelesméthodes d authentificationdisponiblespourlacompatibilitéaveccertainslogicielsclients. Sivoussavezquelesutilisateursn utiliserontjamaisunlogicielclientquirequiert uneméthoded authentificationparticulière,vouspouvezdésactivercetteméthode. Pourensavoirplus,consultezlarubrique«Désactivationdesméthodesd authentificationopendirectory»àlapage60. Important:sivousdésactivezuneméthoded authentification,sonhachageserasupprimédelabasededonnéesdemotsdepasseàlaprochaineauthentificationdel utilisateur.sivousactivezuneméthoded authentificationquiétaitdésactivée,chaquemot depasseopendirectorydoitêtreréinitialisépourajouterlehachagedelaméthode activéeàlabasededonnéesdemotsdepasse.lesutilisateurspeuventréinitialiser leurspropresmotsdepasseouunadministrateurderépertoirepeutlefairepoureux. Pouractiveroudésactiverdesméthodesd authentificationpourdescomptesd utilisateurdontletypedemotdepasseest«motdepasseshadow»,consultezlarubrique «Configurationdespolitiquesdemotdepassed utilisateursindividuels»àlapage130. Pouractiveroudésactiverdesméthodesd authentificationpourdesmotsdepasse OpenDirectory: 1 OuvrezAdminServeuretconnectez-vousàunmaîtreOpenDirectory. 2 Cliquezsurletrianglesetrouvantàgaucheduserveur. Lalistedesservicesapparaît. 3 DanslalisteServeursdéveloppée,sélectionnezOpenDirectory. 4 CliquezsurRéglages,puissurRèglement. 5 CliquezsurAuthentification,sélectionnezlesméthodesd authentificationàactiveret désélectionnezcellesquevoussouhaitezdésactiver. 6 CliquezsurEnregistrer. LesrépliquesdumaîtreOpenDirectoryhéritentdesréglagesdeméthoded authentificationdesmotsdepasseopendirectoryfigurantdansl annuaireldap. Chapitre6Gestiondel authentificationd utilisateur 133

Àpartirdelalignedecommande Vouspouvezaussiactiveroudésactiverdesméthodesd authentificationduserveurde motsdepassepourlesmotsdepasseopendirectoryàl aidedelacommandenest aveclesarguments-getprotocolset-setprotocolsdansterminal.pourensavoirplus, consultezlechapitreopendirectorydudocumentadministrationdelignedecommande. Attributiondedroitsd administrateurpourl authentification OpenDirectory Àl aidedegestionnairedegroupedetravailetd uncompted administrateurpossédantlesdroitsnécessairespourdéfinirdesréglagesdemotdepasseopendirectory, vouspouvezattribuercesdroitsàd autrescomptesd utilisateurdumêmedomaine derépertoire. Pourassignercesdroits,votrecompted utilisateurdoitavoirunmotdepasseopen Directoryetlesautorisationsnécessairespouradministrerdescomptesd utilisateur. Cetterestrictionrenforcelaprotectiondesmotsdepassestockésdanslecentrede distributiondecléskerberosetdanslabasededonnéesduserveurdemotsdepasse OpenDirectory. Pourattribuerdesdroitsd administrateurpourl authentificationopendirectoryà uncompted utilisateur: 1 DansGestionnairedegroupedetravail,ouvrezlecompte,cliquezsurAvancéetassurez-vousqueletypedemotdepasseestbiendéfinisurOpenDirectory. Pourensavoirplus,consultezlarubrique«ChoixdutypedemotdepasseOpen Directory»àlapage125. 2 CliquezsurPrivilèges,puischoisissezIntégraldanslemenulocalCapacitésd administration. Pourlimiterlescapacitésd administration,choisissezlimité. 3 CliquezsurEnregistrer. Pourensavoirplussurladéfinitiondesautorisationsadministrateur,consultezleguide Gestiondesutilisateurs. 134 Chapitre6Gestiondel authentificationd utilisateur

Synchronisationdesmotsdepassed administrateurprincipaux PourMacOSXServer10.3,avoirdesmotsdepassedifférentspourlecompted administrateurlocaletlecompted administrateurldap(identifiantd utilisateur501)peut prêteràconfusion.c estpourquoiilestrecommandédegarderlesmêmesmotsde passe.surunserveuropendirectorymisàniveauàpartirdemacosxserver10.3, lecompted administrateurprincipalexiste,enprincipe,dansledomainederépertoire localduserveuretdanssonannuaireldap.cecompteaétécopiédudomainede répertoirelocalversl annuaireldaplorsdelacréationdumaîtreopendirectoryavec MacOSXServer10.3. Àl origine,lesdeuxcopiesdececompteavaienttoutesdeuxl identifiantd utilisateur 501,lemêmenometlemêmemotdepasse.Chaquecompteestunadministrateur desondomainederépertoireetlesdeuxsontdesadministrateursdeserveur. LorsquevousvousconnectezauserveurdansGestionnairedegroupedetravailàl aide dunometdumotdepasseducompte,vousêtesauthentifiépourledomainede répertoirelocaletledomainederépertoireldap. Sivouschangezundesdeuxmotsdepasse,vousneserezplusauthentifiépourles deuxdomainesderépertoire.parexemple,sivousutilisezlemotdepassedel administrateurlocallorsquevousvousconnectezauserveurdansgestionnairedegroupede travail,vousnepouvezapporterdesmodificationsqu audomainederépertoirelocal. Pourapporterdesmodificationsàl annuaireldap,vousdevezcliquersurlecadenaset vousauthentifieràl aidedumotdepassedel administrateurldap. Remarque:unserveurOpenDirectorycrééavecMacOSXServer10.5possèdedes comptesd administrateurdifférentspoursonrépertoirelocaletsonannuaireldap. Ilssontdotésdenomsetd identifiantsd utilisateurdifférents,cequipermetd utiliser desmotsdepassedifférentssansprêteràconfusion. Activationdel authentificationparliaisonldappourun utilisateur Vouspouvezactiverl utilisationdel authentificationparliaisonldappouruncompte d utilisateurstockédansundomainederépertoireldap.cettetechniquedevalidation demotdepassesefieauserveurldapcontenantlecompted utilisateurpourauthentifierlemotdepassedel utilisateur. Important:silenomdevotreordinateurcontientuntraitd union,vousrisquezde nepaspouvoirrejoindreouvouslieràundomainederépertoiretelqueldapou ActiveDirectory.Pourétablirlaliaison,utilisezunnomd ordinateurnecontenantpas detraitd union. Chapitre6Gestiondel authentificationd utilisateur 135

Pouractiverl authentificationdesutilisateursparliaisonldap: 1 Assurez-vousquel ordinateurmacosxquidoitauthentifierlecompted utilisateurdisposed uneconnexionàl annuaireldapdanslequellecompted utilisateurrésideet quelapolitiquederecherchedel ordinateurcontientlaconnexionàl annuaireldap. PourensavoirplussurlaconfigurationdesconnexionsauserveurLDAPetdelapolitiquederecherche,consultezlarubrique«Utilisationdesréglagesavancésdesservices LDAP»àlapage157. 2 SivousconfigurezuneconnexionLDAPquinemappepaslesattributsdemotde passeetd autoritéd authentification,l authentificationdeliaisonseraautomatique. Pourensavoirplus,consultezlarubrique«Configurationdesrecherchesetmappages LDAP»àlapage173. 3 Silaconnexionestconfiguréepourautoriserlesmotsdepasseenclair,elledoitaussi êtreconfiguréepourutiliserleprotocolessldefaçonàprotégerlemotdepasseen clairpendantletransit. Pourensavoirplus,consultezlesrubriques«Modificationdelapolitiquedesécurité pouruneconnexionldap»àlapage171et«modificationdesréglagesdeconnexion d unrépertoireldap»àlapage170. Configurationdemotsdepassed utilisateursexportésou importés Lorsquevousexportezdescomptesd utilisateurdontletypedemotdepasseest OpenDirectoryouMotdepasseshadow,lesmotsdepassenesontpasexportés. CelaprotègelabasededonnéesduserveurdemotsdepasseOpenDirectoryet lesfichiersdemotsdepasseshadow. Avantl importation,vouspouvezouvrirlefichierdesutilisateursexportésdansun tableuretdéfinirleurmotdepasse,qu ilspourrontmodifierlorsdeleurprochaine ouverturedesession.pourobtenirdesinstructionssurl utilisationdesfichiersd utilisateursexportés,consultezleguidegestiondesutilisateurs. Aprèsl importation,vousdisposezdespossibilitéssuivantespourdéfinirlesmotsde passedescomptesd utilisateurimportés:  Vouspouvezaffecteràtouslescomptesd utilisateurimportésunmotdepassetemporairequechaqueutilisateurpourramodifierlorsdesaprochaineouverturedesession.pourensavoirplus,consultezlarubrique«réinitialisationdesmotsdepassede plusieursutilisateurs»àlapage124.  Vouspouvezdéfinirlemotdepassedechaquecompted utilisateurimportédans lasous-fenêtreélémentairedegestionnairedegroupedetravail.pourensavoirplus, consultezlarubrique«modificationdumotdepassed unutilisateur»àlapage123. 136 Chapitre6Gestiondel authentificationd utilisateur

MigrationdemotsdepasseàpartirdeMacOSXServer10.1 ouantérieur Ilestpossibledefairemigrerlescomptesd utilisateurdeversionsantérieures demacosxserverenimportantlesfichesdescomptesouenmettantàniveau leserveuroùilsrésident. Lescomptesd utilisateurcréésavecmacosxserver10.1ouantérieurn ontpasd attributd autoritéd authentificationmaispossèdentdesmotsdepassecryptés.pourconserverlacompatibilitéaveccescomptesd utilisateur,macosxserverconsidèrequ un compted utilisateursansattributd autoritéd authentificationpossèdeunmotde passecrypté. Pourensavoirplussurl importationdecomptesd utilisateur,consultezleguide Gestiondesutilisateurs. Sivousimportezdescomptesd utilisateurdemacosxserver10.1ouantérieur,ilsne possèdentpasd attributd autoritéd authentification.parconséquent,ilssontconfigurésinitialementpourdisposerdemotsdepassecryptés. Sivousimportezcescomptesd utilisateurdansledomainederépertoirelocalduserveur,ilssontconvertisd unmotdepassecryptéenunmotdepasseshadowlorsque l utilisateuroul administrateurmodifielemotdepasseoulorsquel utilisateur s authentifiepourutiliserunserviceprenantenchargeuneméthoded authentificationrécupérable. Demême,sivousréalisezunemiseàniveauàpartirdeMacOSXServer10.1ouantérieur,lescomptesd utilisateurcréésavantlamiseàniveaunepossèdentpasd attribut d autoritéd authentification.aprèsleurmiseàniveau,cescomptessontsupposés disposerdemotsdepassecryptés. Bienqu ilsoitpossibledecontinueràutiliserlesmotsdepassecryptésexistantsaprès l importationoulamiseàniveau,vouspouvezmodifierlescomptesd utilisateurpour qu ilsutilisentdesmotsdepasseopendirectoryoudesmotsdepasseshadow. Vouspouvezmodifierdescomptesd utilisateurindividuelsouplusieurscomptesd utilisateuràl aidedegestionnairedegroupedetravail.lamodificationdutypedemot depassed uncompted utilisateurréinitialisesonmotdepasse.pourensavoirplus, consultezlesrubriques«choixdutypedemotdepasseopendirectory»àlapage125 et«choixdutypedemotdepasseshadow»àlapage128. Certainscomptesd utilisateurcréésavecmacosxserver10.1ouantérieurpeuventutilisergestionnaired authentification.ils agitd unetechnologiehéritéepourl authentificationdesutilisateursdeservicedefichierswindowsetappledontlesordinateurs MacOS8n ontpasétémisàniveauaveclelogicielclientafpversion3.8.3ouultérieure. Chapitre6Gestiondel authentificationd utilisateur 137

Lorsdelamigrationd utilisateursgestionnaired authentification,vousdisposezdes possibilitéssuivantes: Â Sivousmettezd abordàniveauleserveurmacosxserverdelaversion10.1àlaversion10.2,puisàlaversion10.5,lesutilisateursexistantspeuventcontinueràutiliser leurmotdepasse. Â Vouspouvezchangertoutoupartiedescomptesd utilisateurmisàniveaupour qu ilsutilisentdesmotsdepasseopendirectoryoudesmotsdepasseshadow, plussûrsquelesmotsdepassecryptés.pourensavoirplus,consultezlasection Administrationd OpenDirectory. Â Sileserveurmisàniveaudisposed undomainenetinfopartagéetquevousle migrezversunannuaireldap,touslescomptesd utilisateursontconvertisenmots depasseopendirectory. Â Chaquecompted utilisateursetrouvantdansledomainederépertoirelocaldu serveurestconvertid unmotdepassecryptéenunmotdepasseshadowlorsque l utilisateuroul administrateurmodifielemotdepasseoulorsquel utilisateur s authentifiepourutiliserunserviceprenantenchargeuneméthoded authentificationrécupérable. Â Sivousimportezdescomptesd utilisateurquiutilisentgestionnaired authentificationdansl annuaireldap,ilssontconvertispourutiliserdesmotsdepasseopen Directorypendantl importation. 138 Chapitre6Gestiondel authentificationd utilisateur

7 Gestiondesclientsderépertoire 7 Exécutezl Utilitairederépertoirepourconfigureretgérer lemoded accèsd unordinateurdotédemacosxou MacOSXServerauxservicesderépertoire. Aprèsavoirconfigurévotreserveurderépertoire,vouspouvezyconnecterdesordinateursclientsàl aidedel Utilitairederépertoire.Vouspouvezutiliserl Utilitairede répertoirepourvousconnecteràdesordinateursdistantsetmodifierleursréglages, cequisimplifielagestiondesordinateurs. Connexiondeclientsauxserveursderépertoire Lesrubriquessuivantesexpliquentcommentajouter,supprimer,modifieretcontrôler desserveursderépertoiredanslalisteserveursderépertoiredel Utilitairederépertoire.  «Àproposdesconnexionsauxserveursderépertoire»àlapage139  «Configurationautomatiquedesclients»àlapage140  «Ajoutd uneconnexionàunserveuractivedirectory»àlapage141  «Ajoutd uneconnexionàunserveuropendirectory»àlapage142  «Suppressiond uneconnexionàunserveurderépertoire»àlapage142  «Modificationd uneconnexionàunserveurderépertoire»àlapage143  «Contrôledesconnexionsauxserveursderépertoire»àlapage143 Àproposdesconnexionsauxserveursderépertoire Vouspouvezutiliserl Utilitairederépertoirepourconnecterdesordinateursauxserveursderépertoire.Lasous-fenêtreServeursderépertoiredel Utilitairederépertoire répertorielesserveursderépertoireauxquelsvotreordinateurestconnecté.votreordinateurmacosxaccèdeauxserveursdelalistepourrécupérerlesdonnéesd utilisateuretautresdonnéesadministrativesstockéesdansledomainederépertoiredes serveursderépertoire. 139

LorsquevousajoutezousupprimezunserveurdanslalisteServeursderépertoire, lesentréesassociéesàceserveurderépertoiresontajoutéesousuppriméesdansles listesservices,authentificationetcontacts.toutefois,sivoussupprimezlesentrées associéesauserveurdeslistesservices,authentificationetcontacts,leserveurde répertoiren estpassupprimédelalisteserveursderépertoire. LesordinateursMacOSX10.5peuventseconnecteràunserveurderépertoireOpen Directory,ActiveDirectoryouMacOSXServer.Sivousnesavezpasàquelserveurvous connecter,demandezàvotreadministrateurréseau. Important:silenomdevotreordinateurcontientuntraitd union,vousrisquezdene paspouvoirrejoindreouvouslieràundomainederépertoiretelqueldapouactive Directory.Pourétablirlaliaison,utilisezunnomd ordinateurnecontenantpasdetrait d union. Configurationautomatiquedesclients LorsquevousvousconnectezàundomaineOpenDirectoryjouantlerôledeserveur deconfigurationstandardoudegroupedetravailmacosx,l Utilitairederépertoire vousaideàconfigurervotreordinateur. Pourvousconnecteràunserveurdeconfigurationstandardoudegroupedetravail: 1 Ouvrezl Utilitairederépertoire(dans/Applications/Utilitaires/). 2 Sil icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret tapezlenometlemotdepassed unadministrateur. 3 CliquezsurServeursderépertoire,puissurleboutonAjouter(+). 4 Danslemenulocal«Ajouterunnouveaurépertoiredetype»,choisissezOpenDirectory. 5 Danslechamp«NomduserveurouadresseIP»,saisissezlenomoul adresseipdu serveur. 6 (Sousréserve)Avantdecocherlacase«ChiffrerviaSSL»,demandezàvotreadministrateurOpenDirectorysileprotocoleSSLestrequis. 7 Danslasous-fenêtreIntroduction,lalistedesservicesoffertsparleserveurauquelvous vousconnectezs affiche.cliquezsurdémarrerlaconfiguration. 8 Saisissezlesinformationsd authentificationduserveurauquelvousvousconnectez. DansleschampsNometMotdepasse,saisissezlenometlemotdepassedel administrateurduserveurauquelvousvousconnectez. Saisissezlemotdepasseducompted utilisateurquiapparaîtdans«saisissezlemot depasseducomptenomd utilisateursurcetordinateur». 9 CliquezsurContinuer. 140 Chapitre7Gestiondesclientsderépertoire

10 SousOptionsdeconfiguration,indiquezsivoussouhaitezlaisserl Utilitairederépertoireconfigurervosapplications. SélectionnezOuisivoussouhaitezqueleserveurconfigurevotreapplicationpour qu elleutiliselesservicesqu iloffre. SélectionnezNonpourcontournercetteconfiguration. 11 CliquezsurContinuer. 12 CliquezsurTerminerlaconfiguration. L Utilitairederépertoireconfigurevotreordinateur. 13 CliquezsurFermerlasessionpourvousdéconnecterdel ordinateur. Pourutiliserlesnouveauxservices,ouvrezunenouvellesession. Cliquezsur«Nepasfermerlasession»sivoussouhaitezresterconnectéauserveur. Ajoutd uneconnexionàunserveuractivedirectory PourvousconnecteràunserveurActiveDirectory,vousdevezconnaîtresonnomou sonadresseip,ainsiquelenomd utilisateuretlemotdepassedel administrateur ActiveDirectory. PourajouterunserveurActiveDirectory: 1 Ouvrezl Utilitairederépertoire(dans/Applications/Utilitaires/). 2 Sil icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret tapezlenometlemotdepassed unadministrateur. 3 CliquezsurleboutonAjouter(+). 4 Danslemenulocal«Ajouterunnouveaurépertoiredetype»,choisissezActiveDirectory, puissaisissezlesinformationssuivantes:  DomaineActiveDirectory:nomDNSouadresseIPduserveurActiveDirectory.  Identifiantdel ordinateur:vouspouvezindiquerl identifiantquevoussouhaitez qu ActiveDirectoryutilisepourvotreserveur(facultatif).Ils agitdunomnetbios duserveur.cenomnedoitpascomporterplusde15caractères,sanscaractères spéciauxniponctuation.pourdesraisonspratiques,vouspouvezutiliserlenom d hôtednsabrégéduserveur.parexemple,sivotreserveurdnspossèdeuneentrée «serveur.exemple.com»pourvotreserveur,attribuezlenom«serveur»àvotreserveur.  Nomd utilisateuretmotdepassedel administrateurad:saisissezlenomd utilisateur etlemotdepassedel administrateuractivedirectory. 5 CliquezsurOK. Chapitre7Gestiondesclientsderépertoire 141

Ajoutd uneconnexionàunserveuropendirectory PourajouterunserveurOpenDirectory,vousdevezconnaîtresonnomousonadresse IPetsavoirs ilutiliseleprotocolessl(securesocketlayer). PourajouterunserveurOpenDirectory: 1 Ouvrezl Utilitairederépertoire(dans/Applications/Utilitaires/). 2 Sil icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret tapezlenometlemotdepassed unadministrateur. 3 CliquezsurleboutonAjouter(+). 4 Danslemenulocal«Ajouterunnouveaurépertoiredetype»,choisissezOpenDirectory. 5 Danslechamp«NomduserveurouadresseIP»,saisissezlenomoul adresseipdu serveur. 6 (Sousréserve)Avantdecocherlacase«ChiffrerviaSSL»,demandezàvotreadministrateurOpenDirectorysileprotocoleSSLestrequis. Important:sivousmodifiezvosadresseIPetnomd ordinateuràl aidedel outilchangeipalorsquevousêtesconnectéàunserveurderépertoire,vousdevezvousdéconnecterpuisvousreconnecteràceserveurpourquelerépertoireprenneencompte lenouveaunometlanouvelleadresseipdel ordinateur.sivousnevousdéconnecter puisreconnecterpasauserveurderépertoire,lerépertoireneserapasmisàjouret continuerad utiliserl anciennometl ancienneadresseipdel ordinateur. Suppressiond uneconnexionàunserveurderépertoire Avantdesupprimerunserveurderépertoiredel Utilitairederépertoire,assurez-vous quevousn utilisezpassesservicespourd autresapplications. Parexemple,siMailestconfigurépourutiliserleserveurderépertoirepourlarecherchedepersonnesetquevoussupprimezceserveurderépertoire,vousnepourrez plusrechercherlespersonnesfigurantsurcedernier. Poursupprimerunserveurderépertoire: 1 Ouvrezl Utilitairederépertoire(dans/Applications/Utilitaires/). 2 Sil icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret tapezlenometlemotdepassed unadministrateur. 3 DanslalisteServeursderépertoire,sélectionnezleserveurderépertoireàsupprimer. 4 CliquezsurleboutonSupprimer( ). 5 Sivousêtessûrd avoirsélectionnélebonserveurderépertoire,cliquezsur«arrêter l utilisationduserveur». 142 Chapitre7Gestiondesclientsderépertoire

Modificationd uneconnexionàunserveurderépertoire Vouspouvezutiliserl Utilitairederépertoirepourmodifierlesserveursderépertoire auxquelsvousêtesconnecté. Pourmodifieruneconnexionàunserveurderépertoire: 1 Ouvrezl Utilitairederépertoire(dans/Applications/Utilitaires/). 2 Sil icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret tapezlenometlemotdepassed unadministrateur. 3 DanslalisteServeursderépertoire,sélectionnezleserveurderépertoireàmodifier. 4 CliquezsurleboutonModifier(/). 5 Modifiezlesréglagesduserveurderépertoire. 6 CliquezsurOK. Contrôledesconnexionsauxserveursderépertoire VouspouvezutiliserlalisteServeursderépertoiredel Utilitairederépertoirepour contrôlerl étatdesserveursderépertoireauxquelsvotreordinateurestconnecté. Cesinformationspeuventvousaideràdéterminerpourquoivousneparvenezpas àvousconnecteràunserveurderépertoiredonné. Pourcontrôlerl étatd unserveurderépertoire: 1 Ouvrezl Utilitairederépertoire(dans/Applications/Utilitaires/). 2 Sil icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret tapezlenometlemotdepassed unadministrateur. 3 Vérifiezlacouleurdupointd étatàgaucheduserveurderépertoire: Â Vert:leserveurderépertoirerépondàl Utilitairederépertoire. Â Jaune:l Utilitairederépertoireattendlaréponseduserveurderépertoire. Â Rouge:leserveurderépertoirenerépondpasàl Utilitairederépertoire. Gestionducompted utilisateurroot Vouspouvezutiliserl Utilitairederépertoirepourgérerlecompted utilisateurrooten activantoudésactivantl utilisateurroot.sivousavezactivélecompted utilisateurroot, vouspouvezégalementutiliserl Utilitairederépertoirepourmodifiersonmotdepasse. Chapitre7Gestiondesclientsderépertoire 143

Activationducompted utilisateurroot Vouspouvezutiliserl Utilitairederépertoirepouractiverlecompted utilisateurroot. Sivousactivezlecompted utilisateurroot,utilisezunmotdepassecorrectement chiffrécomportantdescaractèresalphanumériquesetspéciauxpouréviterqu ilne soitdécouvert. AVERTISSEMENT:lecompterootestuncompted administrateurillimitépermettant demodifierlesfichierssystèmecritiques.mêmesivousavezouvertunesessionen tantqu administrateur,vousdevezutiliserlecompteroot,oul outilsudo,pour réaliserdestâchessystèmecritiques. N utilisezjamaislecompterootpourouvrirunesessionsurunordinateur(quecesoit àdistanceouenlocal).utilisezplutôtl outilsudopourréaliserdestâchesroot.vous pouvezlimiterl accèsàl outilsudoenajoutantdesutilisateursaufichier/etc/sudoers/. Pourensavoirplussurlecompteroot,consultezleguideGestiondesutilisateurs. Pouractiverlecompted utilisateurroot: 1 Ouvrezl Utilitairederépertoire(dans/Applications/Utilitaires/). 2 Sil icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret tapezlenometlemotdepassed unadministrateur. 3 ChoisissezÉdition>Activerl utilisateurroot. Modificationdumotdepasseducompted utilisateurroot Vouspouvezutiliserl Utilitairederépertoirepourmodifierlemotdepasseducompte root.lorsquevousmodifiezlemotdepasseroot,utilisezunmotdepassecorrectementchiffrécomportantdescaractèresalphanumériquesetspéciauxpouréviterqu il nesoitdécouvert. AVERTISSEMENT:lecompterootestuncompted administrateurillimitépermettant demodifierlesfichierssystèmecritiques.mêmesivousavezouvertunesessionen tantqu administrateur,vousdevezutiliserlecompteroot,oul outilsudo,pour réaliserdestâchessystèmecritiques. N utilisezjamaislecompterootpourouvrirunesessionsurunordinateur(quecesoit àdistanceouenlocal).utilisezplutôtl outilsudopourréaliserdestâchesroot.vous pouvezlimiterl accèsàl outilsudoenajoutantdesutilisateursaufichier/etc/sudoers/. Pourensavoirplussurlecompteroot,consultezleguideGestiondesutilisateurs. 144 Chapitre7Gestiondesclientsderépertoire

Pourmodifierlemotdepasseducompted utilisateurroot: 1 Ouvrezl Utilitairederépertoire(dans/Applications/Utilitaires/). 2 Sil icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret tapezlenometlemotdepassed unadministrateur. 3 ChoisissezÉdition>Activerlemotdepasseroot. 4 Lorsquevousyêtesinvité,saisissezlenouveaumotdepasserootdansleschamps MotdepasseetConfirmation. 5 CliquezsurOK. Chapitre7Gestiondesclientsderépertoire 145

8 Réglagesavancésdesclients derépertoire 8 Utilisezl Utilitairederépertoirepourconfigureretgérer lemoded accèsd unordinateurdotédemacosxou MacOSXServerauxservicesderépertoire. Aprèsavoirconfigurévotreserveurderépertoire,vouspouvezpersonnaliserlesréglagesavancésdel Utilitairederépertoirepourqu ilfonctionneavecvotreordinateuret vosapplicationslogicielles. Pourlesdescriptionsetlesinstructionssurlestâchesdeconfigurationetdegestion, reportez-vousà:  «Configurationdel Utilitairederépertoiresurunserveurdistant»àlapage148  «Configurationdefichesdemontagepourledomainederépertoirelocal d unordinateur»àlapage148  «Utilisationdesréglagesavancésdesrèglesderecherche»àlapage151  «Utilisationdesréglagesavancésdesservicesderépertoire»àlapage155  «UtilisationdesréglagesavancésdesservicesLDAP»àlapage157  «UtilisationdesréglagesavancésdesservicesActiveDirectory»àlapage185  «DéfinitiondesréglagesNIS»àlapage202  «DéfinitiondesréglagesdefichierdeconfigurationBSD»àlapage203 Àproposdesréglagesavancésdesservicesderépertoire Vouspouvezutiliserlesfonctionnalitésavancéesdel UtilitairederépertoirepourconfigurerlesfichesdemontageNFS,lesservicesetlesrèglesderecherche.Vouspouvez égalementutiliserl Utilitairederépertoirepourconfigurerunordinateurdistant. L Utilitairederépertoireoffrelesfonctionnalitésavancéessuivantes:  Seconnecterpermetdeconfigureràdistanceunordinateurclientouunserveur.  PointsdemontagespermetdeconfigurerlespointsdemontagesNFSmontéslors duredémarragedel ordinateur. 147

 Servicespermetdeconfigurerlesserveursderépertoireauxquelspeuventaccéder lesutilisateurs.  Règlesderecherchepermetdeconfigurerlesemplacementsdanslesquelsl ordinateurrecherchelesdonnéesd authentificationetdecontactd utilisateur. Configurationdel Utilitairederépertoiresurunserveurdistant Vouspouvezutiliserl applicationutilitairederépertoiresurvotreordinateurpour configureretgérerlemoded accèsauxservicesderépertoiredemacosxserver surunserveurdistant. Pourconfigurerl accèsàunrépertoiresurunserveurdistant: 1 Ouvrezl Utilitairederépertoiresurvotreordinateur,puischoisissezSeconnecterdans lemenufichier. 2 Saisissezlesinformationsdeconnexionetd authentificationsuivantespourleserveurà configurer. Adresse:saisissezlenomDNSoul adresseipduserveuràconfigurer. Nomd utilisateur:saisissezlenomd utilisateurd unadministrateurduserveur. Motdepasse:saisissezlemotdepassecorrespondantaunomd utilisateurquevous avezsaisi. 3 CliquezsurSeconnecter. 4 CliquezsurlesongletsServeursd annuaire,pointsdemontages,servicesetrèglesde recherchepourmodifierlesréglagesselonvosbesoins. Touteslesmodificationsapportéesaffectentleserveurdistantauquelvousvousêtes connectéaucoursdesétapesprécédentes. 5 DanslemenuFichierdevotreordinateur,choisissezSedéconnecter. Configurationdefichesdemontagepourledomainede répertoirelocald unordinateur Vouspouvezutiliserl Utilitairederépertoirepourconfigurerdespointsdemontages NFSpourvotreordinateur.LespointsdemontagesNFSsontdespointsdepartage hébergésparunserveurnfs.lespointsdepartagenfspermettentdepartagerdes informationsavecungrouped utilisateurssurunréseauoupeuventêtreutilisés commedossierdedépartréseaud unutilisateur. Sivousutilisezl UtilitairederépertoirepourconfigurerdespointsdemontagesNFSsur votreordinateur,cespointsdemontagesserontmontésaudémarragedel ordinateur. LespointsdemontagesNFSsontrépertoriésdanslasous-fenêtrePointsdemontages del Utilitairederépertoire.Cettesous-fenêtreindiquel URLduserveurNFSainsique l emplacementdespointsdemontagesnfssurl ordinateur. 148 Chapitre8Réglagesavancésdesclientsderépertoire

Ajoutd unefichedemontageaudomainederépertoirelocal PourajouterunserveurNFS,vousdevezconnaîtresonURLetavoiraccèsaupointde partagenfs. Pourajouterunefichedemontage: 1 Ouvrezl Utilitairederépertoire(dans/Applications/Utilitaires/). 2 Sil icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret tapezlenometlemotdepassed unadministrateur. 3 Cliquezsur«Afficherlesréglagesavancés»(s ilsnesontpasdéjàvisibles). 4 CliquezsurPointsdemontages,puissurleboutonAjouter(+). 5 DéfinissezlesréglagesdupointdemontageNFSenprocédantcommesuit: Danslechamp«URLduNFSdistant»,saisissezl URLduserveurNFS. Danslechamp«Emplacementdemontage»,saisissezlepointdemontagelocaldu pointdemontagenfs. Pourajouterdesparamètresdemontage,cliquezsurletrianglesetrouvantàgauche de«paramètresdemontageavancés»etsaisissezvosparamètres. PourmonterunvolumeNFSenlectureseule,cochezlacase«Monterenlecture seule». SivoussouhaitezquelepointdemontageNFSignorelesprivilègesd identifiant utilisateur,cochezlacase«ignorerprivilègesdéfinitiond id.utilisateur». 6 PourvérifierqueleserveurNFSrépond,cliquezsurVérifier;sinon,cliquezsurNepas vérifier. Sil UtilitairederépertoirereçoituneréponseduserveurNFS,uneinviteindiquantque leserveurabienrépondus affiche. Sil UtilitairederépertoirenereçoitpasderéponseduserveurNFS,vouspouvezcréer lepointdemontageencliquantsurcréer. 7 CliquezsurAppliquer. LespointsdemontagesNFSs affichentdanslasous-fenêtrepointsdemontagesde l Utilitairederépertoire. Chapitre8Réglagesavancésdesclientsderépertoire 149

Suppressiond unefichedemontagedudomainederépertoirelocal LorsquevoussupprimezunpointdemontageNFSdel Utilitairederépertoire,veillezà nepassupprimerlafichedemontagedevotredossierdedépartnfs.vousnepourriezalorsplusaccéderàvosdonnées. Poursupprimerunefichedemontage: 1 Ouvrezl Utilitairederépertoire(dans/Applications/Utilitaires/). 2 Sil icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret tapezlenometlemotdepassed unadministrateur. 3 Cliquezsur«Afficherlesréglagesavancés»(s ilsnesontpasdéjàvisibles). 4 CliquezsurPointsdemontages. 5 DanslalistePointsdemontages,sélectionnezlepointdemontageNFSàsupprimer. 6 CliquezsurleboutonSupprimer( ). 7 Sivousêtessûrd avoirsélectionnélebonpointdemontagenfs,cliquezsursupprimer. Modificationd unefichedemontagedansledomainederépertoire local Vouspouvezutiliserl Utilitairederépertoirepourmodifierlesréglagesd unefichede montagenfsexistante. Pourmodifierunefichedemontage: 1 Ouvrezl Utilitairederépertoire(dans/Applications/Utilitaires/). 2 Sil icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret tapezlenometlemotdepassed unadministrateur. 3 Cliquezsur«Afficherlesréglagesavancés»(s ilsnesontpasdéjàvisibles). 4 CliquezsurPointsdemontages. 5 DanslalistePointsdemontages,sélectionnezlepointdemontageNFSàmodifier. 6 CliquezsurleboutonModifier(/). 7 ModifiezlesréglagesdupointdemontageNFS. 150 Chapitre8Réglagesavancésdesclientsderépertoire

Utilisationdesréglagesavancésdesrèglesderecherche L Utilitairederépertoiredéfinitlesrèglesderecherchesuivantes:  Authentification:MacOSXutiliselapolitiquederecherched authentificationpour localiseretrécupérer,àpartirdesdomainesderépertoire,lesinformationsd authentificationd utilisateuretd autresdonnéesadministratives.  Contacts:MacOSXutiliselapolitiquederecherchedecontactspourlocaliseret récupérer,àpartirdesdomainesderépertoire,lesnoms,adressesetautresinformationsdecontact.carnetd adressesdemacosxutilisecesinformationsdecontact. D autresapplicationspeuventégalementêtreconfiguréespourlesutiliser. Chaquerèglederecherchecomprendunelistededomainesderépertoire.L ordredes domainesderépertoiredanslalistedéfinitlapolitiquederecherche.encommençant enhautdelaliste,macosxexaminetouràtourchaquedomainederépertoirelisté jusqu àcequ iltrouvelesinformationsnécessairesouqu ilatteignelafindelalistesans trouvercesinformations. Lesrèglesderecherchededonnéesd authentificationetd informationsdecontact peuventavoirl undesréglagessuivants:  Automatique:commenceparledomainederépertoirelocaletpeutinclureun annuaireldapfournipardhcpetlesdomainesderépertoireauxquelsl ordinateur estconnecté.ils agitduréglagepardéfautpourmacosx10.2ouultérieur;iloffre unesouplessemaximalepourlesordinateursnomades.  Répertoirelocal:n inclutqueledomainederépertoirelocal.  Cheminpersonnalisé:commenceparledomainederépertoirelocaletinclutvotre sélectionderépertoiresldap,undomaineactivedirectory,lesdomainesderépertoirepartagés,lesfichiersdeconfigurationbsdetundomainenis. Important:sivousconfigurezMacOSXpourqu ilutiliseunerèglederecherche d authentificationautomatiqueetunserveurldapfournipardhcp,vousaugmentezle risquedevoirunutilisateurmalveillantprendrelecontrôledevotreordinateur.lerisqueestencoreplusélevésivotreordinateurestconfigurépourseconnecteràun réseausansfil.pourensavoirplus,consultezlarubrique«protectiondesordinateurs contreunserveurdhcpmalveillant»àlapage154. Pourtrouverlesdescriptionsdestâchesetdesinstructions,reportez-vousà:  «Définitiondepolitiquesderechercheautomatiques»àlapage152  «Définitiondepolitiquesderecherchepersonnalisées»àlapage153  «Définitiondepolitiquesderecherchederépertoirelocal»àlapage154  «Attentedel entréeenvigueurd unemodificationdelapolitiquederecherche»à lapage154 Chapitre8Réglagesavancésdesclientsderépertoire 151

Définitiondepolitiquesderechercheautomatiques Àl aided Utilitairederépertoire,vouspouvezfaireensortequelesrèglesderecherched authentificationetdecontactsd unordinateurmacosxsoientdéfinies automatiquement. Unepolitiquederecherchedéfinieautomatiquementinclutledomainederépertoire local.ellepeutaussiinclureunserveurderépertoireldapspécifiépardhcpainsique lesdomainesderépertoirepartagésauxquelsl ordinateurestconnecté. C estlaconfigurationpardéfautpourlesrèglesderecherched authentificationetde contacts. Remarque:certainesapplications,commeMailetCarnetd adressesdemacosx,sont capablesd accéderdirectementauxrépertoiresldap,sansutiliseropendirectory.pour configurerl unedecesapplicationspourqu elleaccèdedirectementauxannuaires LDAP,ouvrezl applicationetdéfinissezlapréférenceappropriée. Important:sivousconfigurezMacOSXpourqu ilutiliseunerèglederecherche d authentificationautomatiqueetunserveurldapfournipardhcpouundomaine derépertoirepartagéfournipardhcp,vousaugmentezlerisquedevoirunutilisateur malveillantprendrelecontrôledevotreordinateur.lerisqueestencoreplusélevési votreordinateurestconfigurépourseconnecteràunréseausansfil.pourensavoir plus,consultezlarubrique«protectiondesordinateurscontreunserveurdhcp malveillant»àlapage154. Pourobtenirqu unepolitiquederecherchesoitautomatiquementdéfinie: 1 Ouvrezl Utilitairederépertoire,cliquezsurRèglesderecherche,puischoisissezune règlederecherche:  Authentification:affichelarèglederechercheutiliséepourl authentificationet laplupartdesautresdonnéesadministratives.  Contacts:affichelarèglederechercheutiliséepourlesinformationsdecontact danslesapplicationstellesquecarnetd adresses. 2 Sil icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret tapezlenometlemotdepassed unadministrateur. 3 SélectionnezAutomatiquedanslemenulocalRechercher,puiscliquezsurAppliquer. 4 DansPréférencesSystème,assurez-vousquelespréférencesderéseaudel ordinateur sontconfiguréespourutiliserdhcpoudhcpviauneadresseipmanuelle. 5 PourinclureunserveurLDAPdanslarèglederechercheautomatique,assurez-vous quel utilisationd unannuaireldapfournipardhcpestactivéedansl Utilitairede répertoireetqueleservicedhcpestconfigurépourfournirl adresseduserveurldap. Pourensavoirplus,consultezlarubrique«Activationoudésactivationd unrépertoire LDAPfourniviaDHCP»àlapage158.PourensavoirplussurlaconfigurationduserviceDHCPdeMacOSXServer,consultezleguideAdministrationdesservicesréseau. 152 Chapitre8Réglagesavancésdesclientsderépertoire

Définitiondepolitiquesderecherchepersonnalisées Àl aided Utilitairederépertoire,vouspouvezfaireensortequelesrèglesderecherched authentificationetdecontactsd unordinateurmacosxutilisentuneliste personnaliséededomainesderépertoire. Unelistepersonnaliséecommenceparledomainederépertoirelocaldel ordinateur etpeutincluredesdomainesderépertoireopendirectory(etd autresdomainesde répertoireldap),undomaineactivedirectory,desdomainesderépertoirepartagés, desfichiersdeconfigurationbsdetundomainenis. Siundomainederépertoirespécifiédanslarèglederecherchepersonnaliséed un ordinateurn estpasdisponible,ilyauraundélailorsdudémarragedel ordinateur. Pourspécifierunelistepersonnaliséededomainesderépertoirepourunepolitique derecherche: 1 Dansl Utilitairederépertoire,cliquezsurRèglesderecherche,puischoisissezunerègle derecherche.  Authentification:affichelarèglederechercheutiliséepourl authentificationet laplupartdesautresdonnéesadministratives.  Contacts:affichelarèglederechercheutiliséepourlesinformationsdecontact danslesapplicationstellesquecarnetd adresses. 2 Sil icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret tapezlenometlemotdepassed unadministrateur. 3 ChoisissezCheminpersonnalisédanslemenulocalRechercher. 4 AjoutezautantdedomainesderépertoirequenécessaireencliquantsurAjouter,en sélectionnantunouplusieursrépertoires,puisencliquantdenouveausurajouter. 5 Modifiezl ordredesdomainesderépertoirelistésselonvosbesoinsenlesfaisantglisser verslehautoulebasdelaliste. 6 Supprimezlesdomainesderépertoirelistésquevousnesouhaitezpasincluredansla règlederechercheenlessélectionnantpuisencliquantsurleboutonsupprimer( ). 7 ConfirmezlasuppressionencliquantsurOK,puiscliquezsurAppliquer. Pourajouterunrépertoirequinefigurepasparmilesrépertoiresdisponibles,assurezvousquel ordinateuraétéconfigurépouraccéderàcerépertoire.pourensavoirplus, consultez:  «Utilisationdesréglagesavancésdesservicesderépertoire»àlapage155  «UtilisationdesréglagesavancésdesservicesLDAP»àlapage157  «UtilisationdesréglagesavancésdesservicesActiveDirectory»àlapage185  «DéfinitiondesréglagesNIS»àlapage202  «DéfinitiondesréglagesdefichierdeconfigurationBSD»àlapage203 Chapitre8Réglagesavancésdesclientsderépertoire 153

Définitiondepolitiquesderecherchederépertoirelocal Àl aidedel Utilitairederépertoire,vouspouvezfaireensortequelesrèglesderecherched authentificationetdecontactsd unordinateurmacosxutilisentuniquement lerépertoirelocaldel ordinateur. Unepolitiquederecherchequin utilisequelerépertoirelocallimitel accèsd unordinateurauxinformationsd authentificationetautresdonnéesadministratives. Sivousrestreignezlapolitiquederecherched authentificationd unordinateurà l emploidurépertoirelocal,seulslesutilisateurspossédantuncomptelocalpourront ouvrirunesession. Pourqu unerèglederecherchen utilisequeledomainederépertoirelocal (répertoirelocal): 1 Ouvrezl Utilitairederépertoire,cliquezsurRèglesderecherche,puischoisissezune règlederecherche: Â Authentification:affichelarèglederechercheutiliséepourl authentificationet laplupartdesautresdonnéesadministratives. Â Contacts:affichelarèglederechercheutiliséepourlesinformationsdecontact danslesapplicationstellesquecarnetd adresses. 2 Sil icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret tapezlenometlemotdepassed unadministrateur. 3 ChoisissezRépertoirelocaldanslemenulocalRechercher,puiscliquezsurAppliquer. Attentedel entréeenvigueurd unemodificationdelapolitiquede recherche Aprèsavoirmodifiélarèglederecherchedanslasous-fenêtreAuthentificationouContactsdel Utilitairederépertoire,attendez10à15secondespourquelesmodifications entrentenvigueur.toutetentatived ouverturedesessionàl aided uncompteprovenantd undomainederépertoirequiutiliselarèglederecherched authentification échoueratantquelesmodificationsapportéesneserontpasentréesenvigueur. ProtectiondesordinateurscontreunserveurDHCPmalveillant Applerecommandedenepasutiliserderèglederecherched authentificationautomatiqueavecunserveurldapfournipardhcpouundomainederépertoirepartagé fournipardhcpdansunenvironnementdanslequellasécuritéestunsoucimajeur. UnbidouilleurmalveillantayantaccèsàvotreréseaupeututiliserunserveurDHCP leurreetunannuaireldap(ouundomainederépertoirepartagé)leurrepourcontrôlervotreordinateuràl aideducompted utilisateurroot. 154 Chapitre8Réglagesavancésdesclientsderépertoire

Pourqu unbidouilleurpuisseaccéderàvotreréseau,sonserveurdhcpleurredoitfaire partiedevotreréseaulocaloudevotresous-réseau.parconséquent,sivosordinateurs sontlesseulssurvotreréseaulocalets ilsontaccèsàinternetparleservicenatde MacOSXServerouviaunrouteurNAT,cetypedefailledesécuritéestimpossible. Toutefois,unréseaulocalsansfilréduitleniveaudesécuritécarunbidouilleurpeut accéderplusfacilementàunréseaulocalsansfilqu àunréseaulocalcâblé. Sivousdisposezd unordinateurnomadequiseconnecteàunserveurldaplorsqu il estconnectéàunréseauetquevouschangezsarèglederecherched automatiqueà personnalisée(danslasous-fenêtreauthentificationdel ongletrèglesderecherchede l Utilitairederépertoire),undélaiseproduiraaudémarragelorsquel ordinateurnesera pasconnectéauréseau. VouspouvezprotégervotreMaccontrelesattaquesmalveillantesàpartird unserveur DHCPleurreendésactivantl utilisationd unannuaireldapfournipardhcpeten désactivantlaliaisonbroadcastetdhcppourledomainederépertoirepartagé(ouen désactivantledomainederépertoirepartagé).pourensavoirplus,consultezlarubrique«activationoudésactivationd unrépertoireldapfourniviadhcp»àlapage158. Cedélaiseproduitcarl ordinateurnepeutpasseconnecteràundomainederépertoirespécifiquefigurantdanssarèglederecherchepersonnalisée.vousneremarquerezaucundélailorsquevousréveillerezunordinateurquiaétédéconnectéduréseau pendantlasuspensiond activité. Utilisationdesréglagesavancésdesservicesderépertoire L Utilitairederépertoirerépertorielesdifférentescatégoriesdeservicesderépertoire auxquellesmacosxpeutaccéder.lalisteinclutlesservicesderépertoiresquidonnentàmacosxaccèsauxinformationsd utilisateuretautresdonnéesadministratives stockéesdanslesdomainesderépertoire. Vouspouvezactiveroudésactiverl accèsàchaqueservicederépertoire.sivousdésactivezunservicedansl Utilitairederépertoire,MacOSXnepeutplusaccéderàceservicederépertoire. Pourtrouverlesdescriptionsdestâchesetdesinstructions,reportez-vousà:  «ActivationoudésactivationduserviceActiveDirectory»àlapage156  «ActivationoudésactivationdesservicesderépertoiresLDAP»àlapage156 Chapitre8Réglagesavancésdesclientsderépertoire 155

ActivationoudésactivationduserviceActiveDirectory L Utilitairederépertoirepermetd activeroudedésactiverl utilisationdesservices ActiveDirectoryfournisparunserveurWindows.ActiveDirectoryestleservicede répertoiredesserveurswindows2000etultérieurs. SivousdésactivezlesservicesActiveDirectoryetquedesdomainesActiveDirectory sontinclusdansunerèglederecherchepersonnalisée,ilssontaffichésenrouge danslasous-fenêtreauthentificationoucontactsdel ongletrèglesderecherche del Utilitairederépertoire. Pouractiveroudésactiverl accèsàactivedirectory: 1 Ouvrezl UtilitairederépertoireetcliquezsurServices. 2 Sil icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret tapezlenometlemotdepassed unadministrateur. 3 Cochezoudécochezlacaseenregardd ActiveDirectory,puiscliquezsurAppliquer. Pourobtenirdesinstructionssurlaconfiguration,consultezlarubrique«Utilisationdes réglagesavancésdesservicesactivedirectory»àlapage185. ActivationoudésactivationdesservicesderépertoiresLDAP Vouspouvezutiliserl Utilitairederépertoirepouractiveroudésactiverl accèsauxservicesderépertoireutilisantlesversions2et3duprotocoleldap.unmoduleuniquede l UtilitairederépertoirenomméLDAPv3permetd accéderauxversions2et3duprotocoleldap. LesservicesderépertoirefournisparMacOSXServerutilisentLDAPv3,commede nombreuxautresserveurs.ldapv3estunenormeouvertecommunedanslesréseaux mixtesdesystèmesmacintosh,unixetwindows.certainsserveursutilisentlaversion antérieure,ldapv2,pourfournirdesservicesderépertoire. SivousdésactivezlesservicesderépertoireLDAPetquedesannuairesLDAPsont inclusdansunerèglederecherchepersonnalisée,ilssontaffichésenrougedansla sous-fenêtreauthentificationoucontactsdel ongletrèglesderecherchedel Utilitaire derépertoire. PouractiveroudésactiverlesservicesderépertoiresLDAP: 1 Ouvrezl UtilitairederépertoireetcliquezsurServices. 2 Sil icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret tapezlenometlemotdepassed unadministrateur. 3 CochezoudécochezlacaseenregarddeLDAPv3,puiscliquezsurAppliquer. Pourobtenirdesinstructionssurlaconfiguration,consultezlarubrique«Utilisationdes réglagesavancésdesservicesldap»àlapage157. 156 Chapitre8Réglagesavancésdesclientsderépertoire

UtilisationdesréglagesavancésdesservicesLDAP VouspouvezconfigurerunserveuréquipédeMacOSXServerouunordinateurdoté demacosxpouraccéderàdesrépertoiresldapparticuliers,ycomprislerépertoire LDAPd unmaîtreopendirectorydemacosxserver. Pourtrouverlesdescriptionsdestâchesetdesinstructions,reportez-vousà:  «AccèsàdesrépertoiresLDAPdansMailetCarnetd adresses»àlapage158  «Activationoudésactivationd unrépertoireldapfourniviadhcp»àlapage158  «AffichageoumasquagedeconfigurationspourserveursLDAP»àlapage159  «Configurationdel accèsàunrépertoireldap»àlapage160  «Configurationmanuelledel accèsàunrépertoireldap»àlapage163  «Modificationd uneconfigurationpourl accèsàunrépertoireldap»àlapage165  «Duplicationd uneconfigurationpourl accèsàunrépertoireldap»àlapage167  «Suppressiond uneconfigurationpourl accèsàunrépertoireldap»àlapage169  «Modificationdesréglagesdeconnexiond unrépertoireldap»àlapage170  «ModificationdelapolitiquedesécuritépouruneconnexionLDAP»àlapage171  «ConfigurationdesrecherchesetmappagesLDAP»àlapage173  «ConfigurationdelaliaisonsécuriséepourunannuaireLDAP»àlapage176  «ArrêtdelaliaisonsécuriséeavecunannuaireLDAP»àlapage177  «Modificationdudélaid ouverture/defermeturepouruneconnexionldap»àla page178  «ModificationdudélaiderequêtepouruneconnexionLDAP»àlapage178  «ModificationdudélaidetentativedereconnexionpouruneconnexionLDAP»àla page179  «Modificationdudélaid inactivitépouruneconnexionldap»àlapage179  «Forçagedel accèsldapv2enlectureseule»àlapage180  «IgnorancedesréférencesdeserveurLDAP»àlapage180  «Authentificationd uneconnexionldap»àlapage181  «ModificationdumotdepasseutilisépourauthentifieruneconnexionLDAP»àla page181  «Mappaged attributsd enregistrementdeconfigurationpourrépertoiresldap»à lapage182  «ModificationdumappageRFC2307pouractiverlacréationd utilisateurs»àla page183  «Préparationd unrépertoireldapenlectureseulepourmacosx»àlapage184  «Remplissaged annuairesldapavecdesdonnéespourmacosx»àlapage184 Chapitre8Réglagesavancésdesclientsderépertoire 157

AccèsàdesrépertoiresLDAPdansMailetCarnetd adresses VouspouvezconfigurerMail,Carnetd adressesetcertainesapplicationssimilaires demacosxpourqu ilsaccèdentdirectementàdesannuairesldapspécifiques, sansutiliseropendirectory. Pourensavoirplus,ouvrezMailetchoisissezAide>AideMailououvrezCarnet d adressesetchoisissezaide>aidecarnetd adresses,puischerchezdel aidesurldap. Activationoudésactivationd unrépertoireldapfourniviadhcp L UtilitairederépertoirepermetdeconfigurerunordinateurMacOSXpourqu il obtiennel adressed unserveurderépertoireldapaudémarrage. MacOSXrequiertl adressed unserveurderépertoireldapauprèsduservicedhcp quifournitégalementl adresseipdel ordinateur,l adressedurouteuretlesadresses deserveurdns.macosxajoutel adresseduserveurldapfournieviadhcpàla politiquederechercheautomatiquedel ordinateur.leserveurldapfournipardhcp apparaîtaussi(estompé)danslalistedesconfigurationsldap. Pourensavoirplus,consultezlesrubriques«Définitiondepolitiquesderecherche automatiques»àlapage152et«modificationd uneconfigurationpourl accèsàun répertoireldap»àlapage165. L ordinateurnepeutpasêtreconfigurépourutiliseràlafoisuneliaisonsécuriséeldap etunannuaireldapfournipardhcp.laliaisonldapsécuriséeestenréalitéune liaisonstatique,alorsqueleldapfourniledhcpestuneliaisondynamique. Pourensavoirplus,consultezlesrubriques«Configurationdelaliaisonsécuriséepour unannuaireldap»àlapage176et«configurationd unepolitiquedeliaisonpourun serveuropendirectory»àlapage218. Important:sivousconfigurezMacOSXpourqu ilutiliseunerèglederecherche d authentificationautomatiqueetunserveurldapfournipardhcpouundomainede répertoirepartagéfournipardhcp,vousaugmentezlerisquedevoirunutilisateur malveillantprendrelecontrôledevotreordinateur.lerisqueestencoreplusélevési votreordinateurestconfigurépourseconnecteràunréseausansfil.pourensavoir plus,consultezlarubrique«protectiondesordinateurscontreunserveurdhcp malveillant»àlapage154. 158 Chapitre8Réglagesavancésdesclientsderépertoire

Pouractiveroudésactiverl accèsautomatiqueàunserveurldap: 1 Ouvrezl UtilitairederépertoireetcliquezsurServices. 2 Sil icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret tapezlenometlemotdepassed unadministrateur. 3 Danslalistedesservices,sélectionnezLDAPv3,puiscliquezsurleboutonModifier(/). 4 ChoisissezunemplacementderéseaudanslemenulocalEmplacement. L optiondeserveurldapfournipardhcppeutêtreactivéeoudésactivéeindépendammentpourchaqueemplacementderéseaudéfinidanslasous-fenêtreréseaude PréférencesSystème. 5 Cliquezsur«AjouterlesserveursLDAPfournisparDHCPauxrèglesderecherche automatique»,puiseffectuezl unedesopérationssuivantes:  Sivousdésactivezcetteoption,l ordinateurn utiliserapasdeserveurderépertoire LDAPfourniparDHCP.Pourensavoirplus,reportez-vousàlarubrique «Configurationdel accèsàunrépertoireldap»àlapage160.  Sivousactivezcetteoption,leserveurquifournitleserviceDHCPàcetordinateurdoit êtreconfigurépourfournirl adressed unserveurderépertoireldap.pourensavoir plus,consultezlechapitredhcpdudocumentadministrationdesservicesréseau. AffichageoumasquagedeconfigurationspourserveursLDAP Vouspouvezafficheroumasquerlalistedesconfigurationsdisponiblespouraccéder auxrépertoiresldap.chaqueconfigurationdéfinitlamanièredontopendirectory accèdeàunannuaireldap.lorsquelalisteestaffichée,vouspouvezmodifierlesréglagesdechaqueconfigurationldapquin estpasestompée. Lorsqu uneconfigurationldapestestompée,celasignifiequ elleestfourniepardhcp, commedécritdanslarubrique«activationoudésactivationd unrépertoireldap fourniviadhcp»àlapage158. Pourafficheroumasquerlesconfigurationsd annuaireldapdisponibles: 1 Ouvrezl UtilitairederépertoireetcliquezsurServices. 2 Sil icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret tapezlenometlemotdepassed unadministrateur. 3 Danslalistedesservices,sélectionnezLDAPv3,puiscliquezsurleboutonModifier(/). 4 Enfonctionducontexte,cliquezsurAfficherlesoptionsousurMasquerlesoptions. Chapitre8Réglagesavancésdesclientsderépertoire 159

Configurationdel accèsàunrépertoireldap Àl aidedel Utilitairederépertoire,vouspouvezdéfinirlamanièredontMacOSX accèdeàunannuaireldapv3sivousconnaissezlenomdnsoul adresseipduserveur derépertoireldap. Silerépertoiren estpashébergéparunserveurfournissantsespropresmappages (commeparexemplemacosxserver),vousdevezconnaîtrelabasederecherche etlemodèledemappagedesdonnéesmacosxauxdonnéesdurépertoire. Lesmodèlesdemappageprisenchargesontlessuivants:  ServeurOpenDirectory,pourunrépertoireutilisantleschémadeMacOSXServer;  ActiveDirectory,pourunrépertoirehébergéparunserveurWindows2000, Windows2003ouultérieur;  RFC2307,pourlaplupartdesrépertoireshébergéspardesserveursUNIX. LemoduleexterneLDAPv3prendentièrementenchargelaréplicationetlebasculementOpenDirectory.SilemaîtreOpenDirectorydevientindisponible,lemodule basculesurunerépliqueproche. Pourspécifierdesmappagespersonnaliséspourlesdonnéesdurépertoire,suivezles instructionsdelarubrique«configurationmanuelledel accèsàunrépertoireldap»à lapage163plutôtquecellesprésentéesici. Important:silenomdevotreordinateurcontientuntraitd union,vousrisquezde nepaspouvoirrejoindreouvouslieràundomainederépertoiretelqueldapou ActiveDirectory.Pourétablirlaliaison,utilisezunnomd ordinateurnecontenant pasdetraitd union. Pourquel Utilitairederépertoirevousaideàconfigurerl accèsàunannuaireldap: 1 Ouvrezl UtilitairederépertoireetcliquezsurServices. 2 Sil icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret tapezlenometlemotdepassed unadministrateur. 3 Danslalistedesservices,sélectionnezLDAPv3,puiscliquezsurleboutonModifier(/). VouspouvezsélectionnerLDAPv3danslalistedesservicessanscocherlacaseActiver pourldapv3. 4 CliquezsurNouveau,puistapezlenomDNSoul adresseipduserveurldap. 160 Chapitre8Réglagesavancésdesclientsderépertoire

5 Sélectionnezlesoptionsd accèsaurépertoire:  Cochezlacase CrypterviaSSL sivoussouhaitezqu OpenDirectoryutiliseSecure SocketsLayer(SSL)pourlesconnexionsaveclerépertoireLDAP.Avantdesélectionnercetteoption,demandezàvotreadministrateurOpenDirectorysileprotocole SSLestrequis.  Cochezlacase«Utiliserpourl authentification»sicerépertoirecontientdescomptesd utilisateurquequelqu unvautiliserpourl ouverturedesessionoul authentificationàdesservices.  Cochezlacase«Utiliserpourlescontacts»sicerépertoirecontientdesadresses électroniquesetd autresinformationsquevoussouhaitezutiliserdanscarnet d adresses. Sil UtilitairederépertoirenepeutpascontacterleserveurLDAP,unmessages affiche etvousdevezalorsconfigurerl accèsmanuellementouannulerleprocessusdeconfiguration.pourensavoirplussurlaconfigurationmanuelle,consultezlarubrique «Configurationmanuelledel accèsàunrépertoireldap»àlapage163. Silazonededialoguesedéveloppepourafficherdesoptionsdemappage,choisissez lemodèledemappagedanslemenulocal,tapezlesuffixedelabasederecherche, puiscliquezsurcontinuer. LesuffixedelabasederechercheprovientgénéralementdunomDNSduserveur. Parexemple,lesuffixedelabasederecherchepourraitêtre dc=ods,dc=exemple, dc=com pourunserveurdontlenomdnsestods.exemple.com. Siaucundesmodèlesdemappagedisponiblesnes appliqueàlaconnexionquevous configurez,cliquezsurmanuel.pourensavoirplus,consultezlarubrique «Configurationmanuelledel accèsàunrépertoireldap»àlapage163. 6 Pourquel UtilitairederépertoireobtiennedesinformationsduserveurLDAP,cliquez surcontinuer. 7 Silazonededialoguesedéveloppepourafficherdesoptionsrelativesàlaliaisonsécurisée,tapezlenomdel ordinateurainsiquelenomd utilisateuretlemotdepassed un administrateurderépertoire(ilsepeutquelaliaisonsoitfacultative). LazonededialoguevousindiquesilerépertoireLDAPrequiertlaliaisonsécuriséeou larendfacultative.laliaisonsécuriséeestmutuelle:chaquefoisquel ordinateurse connecteaurépertoireldap,ilss authentifientl unetl autre.silaliaisonsécuriséeest déjàconfiguréeousil annuaireldapneprendpasenchargelaliaisonsécurisée,le boutonliaisonnes affichepas.assurez-vousd avoirsaisilebonnomd ordinateur. Siunavertissements affichepourindiquerqu unefiched ordinateurexiste,cliquezsur Annulerpourreveniràlapageprécédenteetmodifierlenomdel ordinateur,oucliquezsurécraserpourremplacerlafiched ordinateurexistante. Lafiched ordinateurexistantepeutêtreabandonnéeouapparteniràunautreordinateur. Chapitre8Réglagesavancésdesclientsderépertoire 161

Sivousremplacezunefiched ordinateur,prévenezl administrateurdel annuaireldap, aucasoùleremplacementdelafichedésactiveraitunautreordinateur.danscecas, l administrateurdel annuaireldapdoitattribuerunautrenomàl ordinateurdésactivéetl ajouterànouveauaugrouped ordinateursauquelilappartenait. Pourensavoirplussurl ajoutd unordinateuràungrouped ordinateurs,consultez lechapitrerelatifauxgroupesd ordinateursdansgestiondesutilisateurs. 8 Silazonededialoguesedéveloppepourafficherdesoptionsrelativesàlaconnexion, sélectionnezl option«utiliserl authentificationlorsdelasélection»puistapezlenom distinctifetlemotdepassed uncompted utilisateurdurépertoire. LesoptionspouruneconnexionauthentifiéeapparaissentsileserveurLDAPprenden chargeuneconnexionauthentifiée,maispaslaliaisonsécurisée.laconnexionauthentifiéen estpasmutuelle:leserveurldapauthentifieleclient,maisleclientn authentifiepasleserveur. L option Utiliserl authentificationlorsdelasélection estprésélectionnée,maisestompéesileserveurldaprequiertquevousfournissiezlenomdistinctifetlemotdepasse d uncompted utilisateurpouruneconnexionauthentifiée. Lenomdistinctifpeutspécifiertoutcompted utilisateurayantl autorisationdevoirles donnéesdanslerépertoire.parexemple,uncompted utilisateurdontlenomabrégé estdirauthsurunserveurldapdontl adresseestods.exemple.comporteraitlenom distinctifuid=dirauth,cn=utilisateurs,dc=ods,dc=exemple,dc=com. Important:silenomdistinctifoulemotdepasseestincorrect,vouspouvezouvrirune sessionsurl ordinateuràl aidedecomptesd utilisateurprovenantdel annuaireldap. 9 CliquezsurOKpourterminerlacréationdelaconnexionLDAP. 10 CliquezsurOKpourterminerlaconfigurationdesoptionsLDAPv3. Sivousavezsélectionnél option«utiliserpourl authentification»ou«utiliserpour lescontacts»àl étape5,laconfigurationd annuaireldapquevousvenezdecréerest ajoutéeàunerèglederecherchepersonnaliséedanslasous-fenêtreauthentification oucontactsdel Utilitairederépertoire. Assurez-vousqueLDAPv3estactivédanslasous-fenêtreServicesafinquel ordinateur utiliselaconfigurationldapquevousvenezdecréer.pourensavoirplus,consultezla rubrique«activationoudésactivationdesservicesderépertoiresldap»àlapage156. 162 Chapitre8Réglagesavancésdesclientsderépertoire

Configurationmanuelledel accèsàunrépertoireldap Vouspouvezcréermanuellementuneconfigurationdéfinissantlamanièredont MacOSXaccèdeàunannuaireLDAPv3ouLDAPv2.VousdevezconnaîtrelenomDNS oul adresseipduserveurderépertoireldap. Silerépertoiren estpashébergéparunserveurmacosxserver,vousdevezconnaîtrelabasederechercheetlemodèledemappagedesdonnéesmacosxauxdonnéesdurépertoire.lesmodèlesdemappageprisenchargesontlessuivants: Â Duserveur,pourunrépertoirefournissantsespropresmappagesetsaproprebase derecherche,commeparexemplemacosxserver; Â ServeurOpenDirectory,pourunrépertoireutilisantleschémadeMacOSXServer; Â ActiveDirectory,pourunrépertoirehébergéparunserveurWindows2000,Windows2003ouultérieur; Â RFC2307,pourlaplupartdesrépertoireshébergéspardesserveursUNIX. Â Personnalisé,pourlesrépertoiresquin utilisentaucundesmappagesci-dessus. LemoduleexterneLDAPv3prendentièrementenchargelaréplicationetlebasculement OpenDirectory.SilemaîtreOpenDirectorydevientindisponible,lemodulebasculesur unerépliqueproche. Important:silenomdevotreordinateurcontientuntraitd union,vousrisquezdene paspouvoirrejoindreouvouslieràundomainederépertoiretelqueldapouactive Directory.Pourétablirlaliaison,utilisezunnomd ordinateurnecontenantpasdetrait d union. Pourconfigurermanuellementl accèsàunrépertoireldap: 1 Ouvrezl UtilitairederépertoireetcliquezsurServices. 2 Sil icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret tapezlenometlemotdepassed unadministrateur. 3 Danslalistedesservices,sélectionnezLDAPv3,puiscliquezsurleboutonModifier(/). VouspouvezsélectionnerLDAPv3danslalistedesservicessanscocherlacaseActiver pourldapv3. 4 CliquezsurNouveau,puissurManuel. 5 Tapezunnompourlaconfiguration. 6 AppuyezsurlatoucheTabulation,puistapezlenomDNSoul adresseipduserveurqui hébergelerépertoireldapauquelvousvoulezaccéder. Chapitre8Réglagesavancésdesclientsderépertoire 163

7 CliquezsurlemenulocalenregarddunomDNSoudel adresseipetchoisissezun modèleouuneméthodedemappage:  SivouschoisissezDuserveur,aucunsuffixedebasederecherchen estrequis. Danscecas,OpenDirectoryassumequelesuffixedebasederechercheest lepremierniveaudurépertoireldap.  Sivouschoisissezunmodèle,saisissezlesuffixedelabasederecherchepour l annuaireldap,puiscliquezsurok.vousdevezsaisirunsuffixedebasederecherche,sinonl ordinateurnepourrapastrouverd informationsdansl annuaireldap. LesuffixedelabasederechercheprovientgénéralementdunomDNSduserveur. Parexemple,lesuffixedelabasederecherchepourraitêtre dc=ods,dc=exemple, dc=com pourunserveurdontlenomdnsestods.exemple.com.  SivouschoisissezPersonnalisé,vousdevezconfigurerdesmappagesentrelestypes defichesetlesattributsmacosxetlesclassesetlesattributsdel annuaireldap auquelvousvousconnectez.pourensavoirplus,reportez-vousàlarubrique «ConfigurationdesrecherchesetmappagesLDAP»àlapage173. 8 Avantdecocherlacase«ChiffrerviaSSL»,demandezàvotreadministrateur OpenDirectorysileprotocoleSSLestrequis. 9 Pourmodifierlesréglagesci-dessousdecetteconfigurationLDAP,cliquezsurModifier pourafficherlesoptionsdelaconfigurationldapsélectionnée,apportezvosmodifications,puiscliquezsurokunefoisquevousavezterminé.  CliquezsurConnexionpourdéfinirdesoptionsdedélai,spécifierunportpersonnalisé,ignorerdesréférencesdeserveurouforcerl utilisationduprotocoleldapv2 (lectureseule).pourensavoirplus,reportez-vousàlarubrique«modificationdes réglagesdeconnexiond unrépertoireldap»àlapage170..  CliquezsurRechercheetmappagespourconfigurerdesrecherchesetdesmappagespourunserveurLDAP.Pourensavoirplus,reportez-vousàlarubrique «ConfigurationdelaliaisonsécuriséepourunannuaireLDAP»àlapage176.  CliquezsurSécuritépourconfigureruneconnexionauthentifiée(plutôtqu une liaisonsécurisée)etd autresoptionsdepolitiquedesécurité.pourensavoirplus, reportez-vousàlarubrique«modificationdelapolitiquedesécuritépouruneconnexionldap»àlapage171.  CliquezsurLiaisonpourconfigurerlaliaisonsécurisée(sil annuaireldaplaprenden charge).pourensavoirplus,reportez-vousàlarubrique«configurationdelaliaison sécuriséepourunannuaireldap»àlapage176. 10 CliquezsurOKpourclôturermanuellementlacréationdelaconfigurationd accèsau répertoireldap. 164 Chapitre8Réglagesavancésdesclientsderépertoire

11 Pourquel ordinateurpuisseaccéderàl annuaireldappourlequelvousavezcrééune configuration,ajoutezlerépertoireàunerèglederecherchepersonnaliséedansles sous-fenêtresauthentificationetcontactsdel ongletrèglesderecherchedel Utilitaire derépertoire,puisassurez-vousqueldapv3estactivédanslasous-fenêtreservices. Pourensavoirplus,consultezlesrubriques«Activationoudésactivationdesservices derépertoiresldap»àlapage156et«définitiondepolitiquesderecherche personnalisées»àlapage153. Remarque:pourpouvoirutiliserGestionnairedegroupedetravailpourcréerdesutilisateurssurunserveurLDAPnon-ApplequiutilisedesmappagesRFC2307(UNIX),vous devezmodifiezlemappagedutypedeficheutilisateurs.pourensavoirplus,consultez larubrique«modificationdumappagerfc2307pouractiverlacréationd utilisateurs» àlapage183. Important:sivousmodifiezvosadresseIPetnomd ordinateuràl aidedel outil changeipalorsquevousêtesconnectéàunserveurderépertoire,vousdevezvous déconnecterpuisvousreconnecteràceserveurpourquelerépertoireprenneen comptelenouveaunometlanouvelleadresseipdel ordinateur.sivousnevous déconnectezpuisreconnectezpasauserveurderépertoire,lerépertoireneserapas misàjouretcontinuerad utiliserl anciennometl ancienneadresseipdel ordinateur. Modificationd uneconfigurationpourl accèsàunrépertoireldap Vouspouvezutiliserl Utilitairederépertoirepourmodifierlesréglagesd uneconfigurationd annuaireldap.lesréglagesdelaconfigurationdéfinissentlamanièredont OpenDirectoryaccèdeàunannuaireLDAPv3ouLDAPv2. SilaconfigurationLDAPaétéfournieparDHCP,ellenepeutpasêtremodifiée;cetype deconfigurationestdoncestompédanslalistedesconfigurationsldap. Pourmodifieruneconfigurationd accèsàunrépertoireldap: 1 Ouvrezl UtilitairederépertoireetcliquezsurServices. 2 Sil icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret tapezlenometlemotdepassed unadministrateur. 3 Danslalistedesservices,sélectionnezLDAPv3,puiscliquezsurleboutonModifier(/). 4 Silalistedesconfigurationsdeserveurestmasquée,cliquezsurAfficherlesoptions. 5 Apportezlesmodificationsnécessairesauxréglagessuivants:  Activer:cochez/décochezunecasepouractiveroudésactiverl accèsàunserveur derépertoireldap.  Nomdelaconfiguration:double-cliquezsurunnomdeconfigurationpour lemodifier.  NomduserveurouadresseIP:double-cliquezsurunnomouuneadresseIP deserveurpourlemodifier. Chapitre8Réglagesavancésdesclientsderépertoire 165

 MappageLDAP:choisissezunmodèledanslemenulocal,saisissezlesuffixede labasederecherchepourl annuaireldap,puiscliquezsurok. Sivousavezchoisiunmodèle,vousdevezsaisirunsuffixedebasederecherche, sinonl ordinateurnepourrapastrouverd informationsdansl annuaireldap. LesuffixedelabasederechercheprovientgénéralementdunomDNSduserveur. Parexemple,pourunserveurdontlenomDNSestods.exemple.com,lesuffixede labasederechercheest«dc=ods,dc=exemple,dc=com». SivouschoisissezDuserveuraulieud unmodèle,aucunsuffixedebasederecherchen estrequis.danscecas,opendirectoryassumequelesuffixedebasede rechercheestlepremierniveaudurépertoireldap. SivouschoisissezPersonnalisé,vousdevezconfigurerdesmappagesentrelestypes defichesetlesattributsmacosxetlesclassesetlesattributsdel annuaireldap auquelvousvousconnectez.pourensavoirplus,consultezlarubrique «ConfigurationdesrecherchesetmappagesLDAP»àlapage173.  SSL:cochez/décochezlacasepouractiveroudésactiverlescommunicationschiffréesàl aideduprotocolessl.avantdecocherlacasessl,demandezàvotreadministrateuropendirectorysileprotocolesslestrequis. 6 Pourmodifierlesréglagespardéfautci-dessousdecetteconfigurationLDAP,cliquez surmodifierpourafficherlesoptionsdelaconfigurationldapsélectionnée,apportez vosmodifications,puiscliquezsurokunefoisquevousavezterminé.  CliquezsurConnexionpourdéfinirdesoptionsdedélai,spécifierunportpersonnalisé,ignorerdesréférencesdeserveurouforcerl utilisationduprotocoleldapv2 (lectureseule).pourensavoirplus,reportez-vousàlarubrique«modificationdes réglagesdeconnexiond unrépertoireldap»àlapage170.  CliquezsurRechercheetmappagespourconfigurerdesrecherchesetdesmappages pourunserveurldap.pourensavoirplus,reportez-vousàlarubrique«configuration delaliaisonsécuriséepourunannuaireldap»àlapage176.  CliquezsurSécuritépourconfigureruneconnexionauthentifiée(plutôtqu une liaisonsécurisée)etd autresoptionsdepolitiquedesécurité.pourensavoirplus, reportez-vousàlarubrique«modificationdelapolitiquedesécuritépouruneconnexionldap»àlapage171.  CliquezsurLiaisonpourconfigurerlaliaisonsécuriséeousurRomprelaliaisonpour arrêterlaliaisonsécurisée(ilsepeutquevousnevoyiezpascesboutonssil annuaire LDAPneprendpasenchargelaliaisonsécurisée).Pourensavoirplus,reportez-vous àlarubrique«configurationdelaliaisonsécuriséepourunannuaireldap»àla page176. 7 Pourterminerlamodificationdelaconfigurationd accèsàunannuaireldap, cliquezsurok. 166 Chapitre8Réglagesavancésdesclientsderépertoire

Duplicationd uneconfigurationpourl accèsàunrépertoireldap Vouspouvezutiliserl UtilitairederépertoirepourdupliqueruneconfigurationdéfinissantlamanièredontMacOSXaccèdeàunannuaireLDAPv3ouLDAPv2.Aprèsavoir dupliquéuneconfigurationderépertoireldap,vouspouvezenmodifierlesréglages pourladifférencierdelaconfigurationd origine. Pourdupliqueruneconfigurationd accèsàunrépertoireldap: 1 Ouvrezl UtilitairederépertoireetcliquezsurServices. 2 Sil icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret tapezlenometlemotdepassed unadministrateur. 3 Danslalistedesservices,sélectionnezLDAPv3,puiscliquezsurleboutonModifier(/). 4 Silalistedesconfigurationsdeserveurestmasquée,cliquezsurAfficherlesoptions. 5 Sélectionnezuneconfigurationdeserveurdanslaliste,puiscliquezsurDupliquer. 6 Modifiezlesréglagesdelaconfigurationdupliquée:  Activer:cochez/décochezunecasepouractiveroudésactiverl accèsàunserveur derépertoireldap.  Nomdelaconfiguration:double-cliquezsurunnomdeconfigurationpourlemodifier.  NomduserveurouadresseIP:double-cliquezsurunnomouuneadresseIPde serveurpourlemodifier.  MappageLDAP:choisissezunmodèledanslemenulocal,saisissezlesuffixede labasederecherchepourl annuaireldap,puiscliquezsurok. Sivousavezchoisiunmodèle,vousdevezsaisirunsuffixedebasederecherche, sinonl ordinateurnepourrapastrouverd informationsdansl annuaireldap. LesuffixedelabasederechercheprovientgénéralementdunomDNSduserveur. Parexemple,pourunserveurdontlenomDNSestods.exemple.com,lesuffixede labasederechercheest«dc=ods,dc=exemple,dc=com». SivouschoisissezDuserveuraulieud unmodèle,aucunsuffixedebasederecherchen estrequis.danscecas,opendirectoryassumequelesuffixedebasede rechercheestlepremierniveaudurépertoireldap. SivouschoisissezPersonnalisé,vousdevezconfigurerdesmappagesentrelestypes defichesetlesattributsmacosxetlesclassesetlesattributsdel annuaireldap auquelvousvousconnectez.pourensavoirplus,consultezlarubrique «ConfigurationdesrecherchesetmappagesLDAP»àlapage173.  SSL:cochez/décochezlacasepouractiveroudésactiverlescommunications chiffréesàl aideduprotocolessl.avantdecocherlacasessl,demandezàvotre administrateuropendirectorysileprotocolesslestrequis. Chapitre8Réglagesavancésdesclientsderépertoire 167

7 Pourmodifierlesréglagespardéfautci-dessousdelaconfigurationLDAPdupliquée, cliquezsurmodifierpourafficherlesoptions,apportezvosmodifications,puiscliquez surokunefoisquevousavezterminé:  CliquezsurConnexionpourconfigurerlaliaisonsécurisée(silerépertoireLDAPla prendencharge),définirdesoptionsdedélai,spécifierunportpersonnalisé,ignorer desréférencesdeserveurouforcerl utilisationduprotocoleldapv2(lectureseule). Pourobtenirdesinstructionscomplémentaires,consultezlarubrique«Modification desréglagesdeconnexiond unrépertoireldap»àlapage170.  CliquezsurRechercheetmappagespourconfigurerdesrecherchesetdes mappagespourunserveurldap.pourensavoirplus,reportez-vousàlarubrique «ConfigurationdelaliaisonsécuriséepourunannuaireLDAP»àlapage176.  CliquezsurSécuritépourconfigureruneconnexionauthentifiée(plutôtqu une liaisonsécurisée)etd autresoptionsdepolitiquedesécurité.pourensavoirplus, reportez-vousàlarubrique«modificationdelapolitiquedesécuritépouruneconnexionldap»àlapage171.  CliquezsurLiaisonpourconfigurerlaliaisonsécuriséeousurRomprelaliaisonpour arrêterlaliaisonsécurisée(ilsepeutquevousnevoyiezpascesboutonssil annuaire LDAPneprendpasenchargelaliaisonsécurisée).Pourensavoirplus,reportez-vous àlarubrique«configurationdelaliaisonsécuriséepourunannuaireldap»àla page176. 8 Pourterminerlamodificationdelaconfigurationdupliquée,cliquezsurOK. 9 Pourquel ordinateurpuisseaccéderàl annuaireldapspécifiéparlaconfiguration dupliquéequevousavezcréée,ajoutezlerépertoireàunerèglederecherchepersonnaliséedanslasous-fenêtreauthentificationoucontactsdel ongletrèglesderecherchedel Utilitairederépertoireetassurez-vousqueLDAPv3estactivédanslasousfenêtreServices. Pourensavoirplus,reportez-vousauxrubriques«ActivationoudésactivationdesservicesderépertoiresLDAP»àlapage156et«Définitiondepolitiquesderecherche personnalisées»àlapage153. 168 Chapitre8Réglagesavancésdesclientsderépertoire

Suppressiond uneconfigurationpourl accèsàunrépertoireldap Vouspouvezutiliserl Utilitairederépertoirepoursupprimeruneconfigurationdéfinissantlamanièredontl ordinateuraccèdeàunrépertoireldapv3ouldapv2. SilaconfigurationLDAPaétéfournieparDHCP,ellenepeutpasêtremodifiée;cette optiondeconfigurationestdoncestompéedanslalistedesconfigurationsldap. Poursupprimeruneconfigurationd accèsàunrépertoireldap: 1 Ouvrezl UtilitairederépertoireetcliquezsurServices. 2 Sil icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret tapezlenometlemotdepassed unadministrateur. 3 Danslalistedesservices,sélectionnezLDAPv3,puiscliquezsurleboutonModifier(/). 4 Silalistedesconfigurationsdeserveurestmasquée,cliquezsurAfficherlesoptions. 5 Sélectionnezuneconfigurationdeserveurdanslaliste,cliquezsurSupprimer,puissurOK. Siunavertissements affichepourindiquerquel ordinateurestliéàunannuaireldap etquevoussouhaitezarrêterlaliaisonsécurisée,cliquezsurok,puissaisissezlenom etlemotdepassed unadministrateurd annuaireldap(etnonceuxd unadministrateurd ordinateurlocal).siunavertissements affichepourindiquerquel ordinateurne parvientpasàcontacterleserveurldap,vouspouvezcliquersurokpourforcerl arrêt delaliaisonsécurisée. Sivousforcezl arrêtdelaliaisonsécurisée,cetordinateurdisposetoujoursd unefiche d ordinateurdansl annuaireldap.prévenezl administrateurdel annuaireldappour qu ilsupprimel ordinateurdugrouped ordinateurs. Pourensavoirplussurlasuppressiond unordinateurdesongrouped ordinateurs, consultezlechapitrerelatifauxgroupesd ordinateursdansgestiondesutilisateurs. Laconfigurationsuppriméeesteffacéedesrèglesderecherchepersonnaliséespour l authentificationetlescontacts. Chapitre8Réglagesavancésdesclientsderépertoire 169

Modificationdesréglagesdeconnexiond unrépertoireldap Vouspouvezutiliserl Utilitairederépertoirepourmodifierlesréglagesdeconnexion d uneconfigurationdéfinissantlamanièredontl ordinateuraccèdeàunrépertoire LDAPv3ouLDAPv2. Pourmodifierlesréglagesdeconnexionpourl accèsàunrépertoireldap: 1 Ouvrezl UtilitairederépertoireetcliquezsurServices. 2 Sil icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret tapezlenometlemotdepassed unadministrateur. 3 Danslalistedesservices,sélectionnezLDAPv3,puiscliquezsurleboutonModifier(/). 4 Silalistedesconfigurationsdeserveurestmasquée,cliquezsurAfficherlesoptions. 5 Sélectionnezuneconfigurationdeserveurdanslaliste,puiscliquezsurModifier. 6 CliquezsurConnexion,puismodifiezlesréglagessuivants: Â Nomdelaconfiguration:identifiecetteconfigurationdanslalistedesconfigurationsd annuaireldap.(vouspouvezégalementmodifierlenomdanslalistedes configurationsd annuaireldap.) Â NomduserveurouadresseIP:définitlenomDNSoul adresseipduserveur. (Vouspouvezégalementmodifiercetteoptiondanslalistedesconfigurations d annuaireldap.) Â L ouverture/fermetureexpireaprès:définitladuréemaximaled unetentativede connexionavantsonannulation. Â Larequêteexpireaprès:définitladuréemaximaled unerequêteavantsonannulation. Â Nouvelletentativedeliaisonaprès:définitlenombredesecondesavantunenouvelletentativedeconnexionsileserveurLDAPnerépondpas.Augmentezcette valeurpouréviterdestentativesdereconnexioncontinues. Â Laconnexionexpireaprès:définitladurée(enminutes)pendantlaquelleune connexioninactiveousansréponsepeutresterouverte. Â ChiffrerviaSSL:déterminesilescommunicationsavecl annuaireldapdoiventêtre chiffréesàl aided uneconnexionssl.(vouspouvezégalementmodifierceréglage danslalistedesconfigurationsd annuaireldap.)avantdecocherlacasessl, demandezàvotreadministrateuropendirectorysileprotocolesslestrequis. Â Utiliserleportpersonnalisé:spécifieunnumérodeportautrequeceluiduport pardéfautpourlesconnexionsldap(389sanssslou636avecssl). Â Ignorerlesréférencesduserveur:détermines ilfautignorerousuivrelesréférencesd unserveurldappourrechercherdesinformationssurd autresserveursldap oudesrépliques.lesréférencesduserveurpeuventaiderunordinateuràtrouver desinformationsmaispeuventaussiralentirlesouverturesdesessionouprovoquer d autresdélaissil ordinateurdoitvérifierdesréférencesàd autresserveursldap. Â UtiliserLDAPv2(lectureseule):déterminesil ancienprotocoleldapv2doitêtre utilisépourl accèsenlectureseuleàunannuaireldap. 170 Chapitre8Réglagesavancésdesclientsderépertoire

ModificationdelapolitiquedesécuritépouruneconnexionLDAP L Utilitairederépertoirevouspermetdeconfigurerunrèglementdesécuritéplusstrict queceluidel annuaireldappouruneconnexionldapv3.parexemple,silerèglementdesécuritédel annuaireldapautoriselesmotsdepasseenclair,vouspouvez configureruneconnexionldapv3pourqu ellen autorisepascetypedemotdepasse. L ordinateurdoitcommuniqueravecleserveurldappourmontrerl étatdesoptions desécurité.c estpourquoi,lorsquevousmodifiezdesoptionsdesécuritépourune connexionldapv3,lapolitiquederecherched authentificationdel ordinateurdoit inclurelaconnexionldapv3. Définirunrèglementdesécuritéplusstrictpermetd empêcherunbidouilleurmalveillantd utiliserunserveurldappiratépourprendrelecontrôledevotreordinateur. Lesréglagesautoriséspourlesoptionsdesécuritéd uneconnexionldapv3dépendentdespossibilitésetdesbesoinsenmatièredesécuritéduserveurldap.parexemple,sileserveurldapneprendpasenchargel authentificationkerberos,plusieurs optionsdesécuritédelaconnexionldapv3sontdésactivées. Pourmodifierlesoptionsdesécuritéd uneconnexionldapv3: 1 Ouvrezl UtilitairederépertoireetcliquezsurRèglesderecherche. 2 CliquezsurAuthentificationetassurez-vousquel annuaireldapv3souhaitéestinclus danslarèglederecherche. Pourensavoirplussurl ajoutd unannuaireldapv3àunerèglederecherche d authentification,consultezlarubrique«définitiondepolitiquesderecherche personnalisées»àlapage153. 3 Sil icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret tapezlenometlemotdepassed unadministrateur. 4 CliquezsurServices. 5 Danslalistedesservices,sélectionnezLDAPv3,puiscliquezsurleboutonModifier(/). 6 Silalistedesconfigurationsdeserveurestmasquée,cliquezsurAfficherlesoptions. 7 Sélectionnezlaconfigurationd annuairesouhaitée,puiscliquezsurmodifier. 8 CliquezsurSécurité,puismodifiezlesréglagessuivantsselonvosbesoins. Remarque:cesréglagesdesécuritéainsiqueceuxduserveurLDAPcorrespondant sontdéfinislorsdelaconfigurationdelaconnexionldap.ilsnesontpasautomatiquementmisàjoursilesréglagesduserveursontmodifiés. Sil unedesquatredernièresoptionsestsélectionnéemaisdésactivée,l annuaireldap larequiert.sil unedecesoptionsestdésélectionnéeetdésactivée,leserveurldap nelaprendpasencharge.pourensavoirplussurladéfinitiondecesoptionspourun annuaireldapmacosxserver,consultezlarubrique«configurationd unrèglement desécuritépourunserveuropendirectory»àlapage219. Chapitre8Réglagesavancésdesclientsderépertoire 171

 Utiliserl authentificationlorsdelaconnexion:déterminesilaconnexionldapv3 s authentifieauprèsdel annuaireldapenfournissantlenomdistinctifetlemotde passedéfinis.cetteoptionn apparaîtpassilaconnexionldapv3utiliselaliaison sécuriséeavecl annuaireldap.  Reliéàl annuaireentantque:définitlesinformationsd authentificationutilisées parlaconnexionldapv3pourlaliaisonsécuriséeavecl annuaireldap.vousnepouvezpaschangercetteoptionnilesinformationsd authentificationici.parcontre, vouspouvezromprelelien,puisl établirànouveauavecd autresinformations d authentification. Pourensavoirplus,consultezlesrubriques«Arrêtdelaliaisonsécuriséeavecun annuaireldap»àlapage177et«configurationdelaliaisonsécuriséepourun annuaireldap»àlapage176. Cetteoptionn estaffichéequesilaconnexionldapv3utiliselaliaisonsécurisée.  Désactiverlesmotsdepasseenclair:déterminesilemotdepassedoitêtre envoyéenclairs ilnepeutpasêtrevalidéàl aided uneméthoded authentification quienvoieunmotdepassecrypté. Pourensavoirplus,consultezlesrubriques«Sélectiondeméthodesd authentificationpourdesutilisateursdemotsdepasseshadow»àlapage132et«sélectionde méthodesd authentificationpourdesutilisateursdemotsdepasseopendirectory» àlapage133.  Signertouslespaquetsnumériquement(requiertKerberos):certifiequelesdonnéesd annuaireprovenantduserveurldapn ontpasétéinterceptéesetmodifiées parunautreordinateurpendantleurtransitversvotreordinateur.  Cryptertouslespaquets(requiertSSLouKerberos):exigeduserveurLDAPqu il chiffrelesdonnéesd annuaireàl aideduprotocolessloudekerberosavantde lesenvoyerversvotreordinateur.avantdecocherlacase«cryptertouslespaquets (requiertssloukerberos)»,demandezàvotreadministrateuropendirectorysi leprotocolesslestrequis.  Bloquerlesattaques«Man-in-the-Middle»(requiertKerberos):empêcheunserveurmalveillantdesefairepasserpourleserveurLDAP.Plusefficaceavecl option Signertouslespaquetsnumériquement. 172 Chapitre8Réglagesavancésdesclientsderépertoire

ConfigurationdesrecherchesetmappagesLDAP L Utilitairederépertoirevouspermetdemodifierlesmappages,lesbasesderecherche etlesétenduesderecherchedéfinissantlamanièredontmacosxrecherchedes donnéesparticulièresdansunannuaireldap.vouspouvezmodifiercesréglages séparémentpourchaqueconfigurationd annuaireldaprépertoriéedansl Utilitaire derépertoire.chaqueconfigurationderépertoireldapspécifielamanièredont MacOSXaccèdeauxdonnéesdansunrépertoireLDAPv3ouLDAPv2. Vouspouvezmodifierlesélémentssuivants: Â lemappagedechaquetypedefichemacosxversuneouplusieursclassesd objets LDAP; Â lemappagedestypesdedonnées,ouattributs,macosxauxattributsldappour chaquetypedefiche; Â labasederechercheetl étenduederechercheldapdéterminantl emplacementoù MacOSXdoitrechercheruntypedeficheMacOSXdansunannuaireLDAP. Lorsdumappaged attributsd utilisateurmacosxversundomainederépertoire LDAPenlecture/écriture(undomaineLDAPquin estpasenlectureseule),l attribut LDAPmappéversRealNamenedoitpasêtrelemêmequelepremierattributd une listed attributsldapmappésversrecordname. Parexemple,l attributcnnedoitpasêtrelepremierattributmappéversrecordname sicnestégalementmappéversrealname. Sil attributldapmappéversrealnameestlemêmequelepremierattributmappé versrecordname,desproblèmesseproduirontlorsquevoustenterezdemodifierle nomcomplet(long)oulepremiernomabrégédansgestionnairedegroupedetravail. PourensavoirplussurlestypesdefichesetlesattributsMacOSX,consultezl annexe, «DonnéesderépertoireMacOSX». Pourmodifierlesbasesderechercheetlesmappagesd unserveurldap: 1 Ouvrezl UtilitairederépertoireetcliquezsurServices. 2 Sil icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret tapezlenometlemotdepassed unadministrateur. 3 CliquezsurServices. 4 Danslalistedesservices,sélectionnezLDAPv3,puiscliquezsurleboutonModifier(/). 5 Silalistedesconfigurationsdeserveurestmasquée,cliquezsurAfficherlesoptions. 6 Sélectionnezuneconfigurationdeserveurdanslaliste,puiscliquezsurModifier. 7 CliquezsurRechercheetmappages. Chapitre8Réglagesavancésdesclientsderépertoire 173

8 Sélectionnezlesmappagesàutilisercommepointdedépart;sinon,choisissez Personnalisépourcommencersansmappageprédéfini. Sivouschoisissezl undesmodèlesdemappageldap,unsuffixedebasederecherche quevouspouvezmodifiers affiche.sivoussouhaitezacceptercesuffixepardéfaut, cliquezsurok. Cliquezsurlemenulocal«AccéderàceserveurLDAPv3via»etchoisissezunmodèle demappagepourutilisersesmappagescommepointdedépart. 9 Ajoutezdestypesdefichesetmodifiezleurbasederechercheselonvosbesoins. Â Pourajouterdestypesdefiches,cliquezsurAjouter(souslaliste«Typesd enregistrementetattributs»);sélectionnezensuitetypesd enregistrementdanslazonede dialoguequiapparaît,choisissezunouplusieurstypesdefiches,puiscliquezsurok. Â Pourmodifierlabasederechercheetl étenduederecherched untypedefiche, sélectionnez-ledanslaliste«typesd enregistrementetattributs»,puismodifiezle champbasederecherche.sélectionnez«touslessous-arbres»pourdéfinirl étenduederecherchedesorteàinclurel ensembledelahiérarchiedel annuaireldap àpartirdelabasederecherche,ousélectionnez«lepremierniveau»pourdéfinir l étenduederecherchedesorteàn inclurequelabasederechercheetunniveau souscettedernièredanslahiérarchiedel annuaireldap. Â Poursupprimeruntypedefiche,sélectionnez-ledanslaliste«Typesd enregistrement etattributs»,puiscliquezsursupprimer. Â Pourajouterunmappagepouruntypedefiche,sélectionnezcedernierdanslaliste «Typesd enregistrementetattributs»,cliquezsurajouter(souslaliste«mapper sur élémentslistés»),puissaisissezlenomd uneclassed objetsfigurantdans l annuaireldap.pourajouteruneautreclassed objetsldap,appuyezsurretour, saisissezlenomdelaclassed objets,puisindiquezsivoussouhaitezutilisertoutes lesclassesd objetsldaprépertoriéesouseulementl uned entreellesàl aidedu menulocalsetrouvantau-dessusdelaliste. Â Pourmodifierunmappagepouruntypedefiche,sélectionnezcedernierdansla liste«typesd enregistrementetattributs»,double-cliquezsurlaclassed objets LDAPàmodifierdanslaliste«Mappersur élémentslistés»,puismodifiez-la. Spécifiezsivoussouhaitezutilisertouteslesclassesd objetsldapoul uned entre ellesvialamenulocalsituéau-dessusdelaliste. Â Poursupprimerunmappagepouruntypedefiche,sélectionnezcedernierdans laliste«typesd enregistrementetattributs»,choisissezlaclassed objetsldapà supprimerdelaliste«mappersur élémentslistés»,puiscliquezsursupprimer (souslaliste«mappersur élémentslistés»). 174 Chapitre8Réglagesavancésdesclientsderépertoire

10 Ajoutezdesattributs,puismodifiezleurmappageselonvosbesoins: Â Pourajouterdesattributsàuntypedefiche,sélectionnezcedernierdanslaliste «Typesd enregistrementetattributs»,puiscliquezsurajouter(souslaliste«types d enregistrementetattributs»);sélectionnezensuitetypesd attributsdanslazonede dialoguequiapparaît,choisissezunouplusieurstypesd attributs,puiscliquezsurok. Â Pourajouterunmappagepourunattribut,sélectionnezcedernierdanslaliste «Typesd enregistrementetattributs»,cliquezsurajouter(souslaliste«mapper sur élémentslistés»),puissaisissezlenomd unattributfigurantdansl annuaire LDAP;pourajouterunautreattributLDAP,appuyezsurRetour,puissaisissezlenom del attribut. Â Pourmodifierunmappagepourunattribut,sélectionnezcedernierdanslaliste «Typesd enregistrementetattributs»,double-cliquezsurl élémentàmodifier danslaliste«mappersur élémentslistés»,puismodifiezlenomdecetélément. Â Poursupprimerunmappagepourunattribut,sélectionnezcedernierdanslaliste «Typesd enregistrementetattributs»,choisissezl élémentàsupprimerdelaliste «Mappersur élémentslistés»,puiscliquezsursupprimer(souslaliste«mapper sur élémentslistés»). Â Pourmodifierl ordredesattributsdanslalistesituéeàdroite,faitesglisser lesattributsverslehautoulebasdelaliste. 11 Pourenregistrervosmappagessouslaformed unmodèle,cliquezsurenregistrer lemodèle. Lesmodèlesenregistrésdansl emplacementpardéfautapparaîtrontdanslesmenus locauxdesmodèlesdemappageldaplaprochainefoisquevousouvrirezl Utilitaire derépertoire.l emplacementd enregistrementpardéfautdesmodèlessetrouvedans votredossierdedépart,aucheminsuivant: ~/Library/ApplicationSupport/DirectoryUtility/LDAPv3/Templates 12 Pourstockerlesmappagesdansl annuaireldapdesortequ ilpuisselesfournirautomatiquementàsesclients,cliquezsur«écriresurleserveur»,puissaisissezunebase derecherchepourstockerlesmappages,lenomdistinctd unadministrateuroud un autreutilisateurdisposantdel autorisationenécrituresurlabasederecherche(par exempleuid=diradmin,cn=utilisateurs,dc=ods,dc=exemple,dc=com),ainsiqu unmot depasse. SivousécrivezdesmappagessurunserveurLDAPOpenDirectory,labasederecherchecorrecteest cn=config,suffixe (oùsuffixeestlesuffixedelabasederecherchedu serveur,commeparexemple dc=exemple,dc=com ). Chapitre8Réglagesavancésdesclientsderépertoire 175

LerépertoireLDAPfournitsesmappagesauxclientsMacOSXdontlapolitiquede recherchepersonnaliséecontientuneconnexionquiestconfiguréepourobtenirles mappagesduserveurldap.lerépertoireldapfournitaussisesmappagesàtousles clientsmacosxquidisposentd unepolitiquederechercheautomatique.pouren savoirplus,consultezlesrubriques«configurationdel accèsàunrépertoireldap»àla page160et«utilisationdesréglagesavancésdesrèglesderecherche»àlapage151. ConfigurationdelaliaisonsécuriséepourunannuaireLDAP Vouspouvezutiliserl Utilitairederépertoirepourconfigurerlaliaisonsécuriséeentre l ordinateuretunannuaireldapprenantenchargelaliaisonsécurisée.laliaison estauthentifiéedefaçonmutuelleaumoyend unefiched ordinateurauthentifié, quiestcrééedanslerépertoirelorsquevousconfigurezlaliaisonsécurisée. L ordinateurnepeutpasêtreconfigurépourutiliseràlafoislaliaisonldapsécurisée etunannuaireldapfournipardhcp.laliaisonldapsécuriséeestparnaturestatique, alorsqueleldapfournipardhcpestdynamique. Pourensavoirplus,consultezlesrubriques«Activationoudésactivationd unrépertoireldapfourniviadhcp»àlapage158et«configurationd unepolitiquedeliaison pourunserveuropendirectory»àlapage218. PourconfigurerlaliaisonsécuriséeversunrépertoireLDAP: 1 Ouvrezl UtilitairederépertoireetcliquezsurServices. 2 Sil icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret tapezlenometlemotdepassed unadministrateur. 3 Danslalistedesservices,sélectionnezLDAPv3,puiscliquezsurleboutonModifier(/). 4 Silalistedesconfigurationsdeserveurestmasquée,cliquezsurAfficherlesoptions. 5 Sélectionnezlaconfigurationdeserveursouhaitée,puiscliquezsurModifier. 6 CliquezsurLiaison,saisissezlesinformationsd authentificationsuivantes,puiscliquez surok. Saisissezlenomdel ordinateur,etlenometlemotdepassed unadministrateurde domainederépertoireldap.lenomdel ordinateurnepeutpasêtredéjàutiliséparun autreordinateurpourlaliaisonsécuriséeoud autresservicesderéseau. SileboutonLiaisonn apparaîtpas,celasignifiequel annuaireldapneprendpasen chargelaliaisonsécurisée. 7 Vérifiezquevousavezsaisilebonnomd ordinateur. Siunavertissements affichepourindiquerqu unefiched ordinateurexiste,cliquezsur Annulerpourreveniràlapageprécédenteetmodifierlenomdel ordinateur,oucliquezsurécraserpourremplacerlafiched ordinateurexistante. 176 Chapitre8Réglagesavancésdesclientsderépertoire

Lafiched ordinateurexistantepeutêtreabandonnéeouapparteniràunautreordinateur.sivousremplacezunefiched ordinateur,prévenezl administrateurdel annuaire LDAP,aucasoùleremplacementdelafichedésactiveraitunautreordinateur. Danscecas,l administrateurdel annuaireldapdoitattribuerunautrenomàl ordinateurdésactivéetl ajouteraugrouped ordinateursauquelilappartenaitenutilisantun autrenompourcetordinateur. Pourensavoirplussurl ajoutd unordinateuràungrouped ordinateurs,consultez lechapitrerelatifauxgroupesd ordinateursdansgestiondesutilisateurs. 8 Pourterminerlaconfigurationdelaliaisonsécurisée,cliquezsurOK. ArrêtdelaliaisonsécuriséeavecunannuaireLDAP Vouspouvezutiliserl Utilitairederépertoirepourarrêterlaliaisonsécuriséeentreun ordinateuretunannuaireldapquiprendencharge,maisnerequiertpas,laliaison sécurisée. PourarrêterlaliaisonsécuriséeavecunannuaireLDAP: 1 Ouvrezl UtilitairederépertoireetcliquezsurServices. 2 Sil icônereprésentantlecadenasestverrouillée,cliquezdessuspuistapezlenomet lemotdepassed unadministrateur. 3 Danslalistedesservices,sélectionnezLDAPv3,puiscliquezsurleboutonModifier(/). 4 Silalistedesconfigurationsdeserveurestmasquée,cliquezsurAfficherlesoptions. 5 Sélectionnezlaconfigurationdeserveursouhaitée,puiscliquezsurModifier. 6 CliquezsurRomprelaliaison,saisissezlesinformationsd authentificationsuivantes, puiscliquezsurok. Saisissezlenometlemotdepassed unadministrateurderépertoireldap(pasun administrateurdel ordinateurlocal). Silaliaisonsécuriséen apasétéconfiguréesurcetordinateur,leboutonrompre laliaisonn apparaîtpas. Siunavertissements affichepourindiquerquel ordinateurneparvientpasàcontacterleserveurldap,cliquezsurokpourforcerl arrêtdelaliaisonsécurisée. Sivousforcezl arrêtdelaliaisonsécurisée,cetordinateurdisposetoujoursd unefiche d ordinateurdansl annuaireldap.prévenezl administrateurdel annuaireldappour qu ilsupprimel ordinateurdugrouped ordinateurs. Pourensavoirplussurlasuppressiond unordinateurdesongrouped ordinateurs, consultezlechapitrerelatifauxgroupesd ordinateursdansgestiondesutilisateurs. 7 CliquezsurOKpourfinaliserl arrêtdelaliaisonsécurisée. Chapitre8Réglagesavancésdesclientsderépertoire 177

Modificationdudélaid ouverture/defermeturepourune connexionldap L UtilitairederépertoirepermetdespécifiercombiendetempsOpenDirectorydoit attendreavantd annulerunetentativedeconnexionauserveurldap. Pourdéfinirledélaid ouverture/defermeturepouruneconnexionldap: 1 Ouvrezl UtilitairederépertoireetcliquezsurServices. 2 Sil icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret tapezlenometlemotdepassed unadministrateur. 3 Danslalistedesservices,sélectionnezLDAPv3,puiscliquezsurleboutonModifier(/). 4 Silalistedesconfigurationsdeserveurestmasquée,cliquezsurAfficherlesoptions. 5 Sélectionnezuneconfigurationdeserveurdanslaliste,puiscliquezsurModifier. 6 CliquezsurConnexion,puissaisissezunevaleurdanslechamp«L ouverture/fermeture expireaprès secondes». Lavaleurpardéfautest15secondes. ModificationdudélaiderequêtepouruneconnexionLDAP L UtilitairederépertoirepermetdespécifiercombiendetempsOpenDirectorydoit attendreavantd annulerunerequêteenvoyéeàl annuaireldap. PourdéfinirledélaiderequêtepouruneconnexionLDAP: 1 Ouvrezl UtilitairederépertoireetcliquezsurServices. 2 Sil icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret tapezlenometlemotdepassed unadministrateur. 3 Danslalistedesservices,sélectionnezLDAPv3,puiscliquezsurleboutonModifier(/). 4 Silalistedesconfigurationsdeserveurestmasquée,cliquezsurAfficherlesoptions. 5 Sélectionnezuneconfigurationdeserveurdanslaliste,puiscliquezsurModifier. 6 CliquezsurConnexion,puissaisissezunevaleurdanslechamp«Larequêteexpire après secondes». Lavaleurpardéfautest120secondes. 178 Chapitre8Réglagesavancésdesclientsderépertoire

Modificationdudélaidetentativedereconnexionpour uneconnexionldap L UtilitairederépertoirepermetdespécifiercombiendetempsattendreavantdetenterdesereconnectersiunserveurLDAPnerépondpas.Vouspouvezaugmentercette valeurpouréviterdestentativesdereconnexioncontinues. PourdéfinirledélaidetentativedereconnexionpourlesclientsLDAPinactifs: 1 Ouvrezl UtilitairederépertoireetcliquezsurServices. 2 Sil icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret tapezlenometlemotdepassed unadministrateur. 3 Danslalistedesservices,sélectionnezLDAPv3,puiscliquezsurleboutonModifier(/). 4 Silalistedesconfigurationsdeserveurestmasquée,cliquezsurAfficherlesoptions. 5 Sélectionnezuneconfigurationdeserveurdanslaliste,puiscliquezsurModifier. 6 CliquezsurConnexion,puissaisissezunevaleurdanslechamp«Tentativedereconnexionaprès secondes». Lavaleurpardéfautest120secondes. Modificationdudélaid inactivitépouruneconnexionldap L Utilitairederépertoirepermetdespécifierledélaid inactivitéd uneconnexionldap avantqu OpenDirectorynefermelaconnexion.Vouspouvezajusterceréglagepour réduirelenombredeconnexionsouvertessurleserveurldap. Pourdéfinirledélaid inactivitépouruneconnexionldap: 1 Ouvrezl UtilitairederépertoireetcliquezsurServices. 2 Sil icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret tapezlenometlemotdepassed unadministrateur. 3 Danslalistedesservices,sélectionnezLDAPv3,puiscliquezsurleboutonModifier(/). 4 Silalistedesconfigurationsdeserveurestmasquée,cliquezsurAfficherlesoptions. 5 Sélectionnezuneconfigurationdeserveurdanslaliste,puiscliquezsurModifier. 6 CliquezsurConnexionetsaisissezunevaleurdanslechamp«Laconnexionexpirera après minutes». Lavaleurpardéfautest1minute. Chapitre8Réglagesavancésdesclientsderépertoire 179

Forçagedel accèsldapv2enlectureseule L UtilitairederépertoirepermetdeforceruneconnexionàunserveurLDAPàl aide duprotocoleldapv2.cetteconnexionldapv2forcéeestenlectureseule(etnonen lecture-écriture)etn utilisepasssl. Pourforcerl accèsldapv2enlectureseuleversunserveurldap: 1 Ouvrezl UtilitairederépertoireetcliquezsurServices. 2 Sil icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret tapezlenometlemotdepassed unadministrateur. 3 Danslalistedesservices,sélectionnezLDAPv3,puiscliquezsurleboutonModifier(/). 4 Silalistedesconfigurationsdeserveurestmasquée,cliquezsurAfficherlesoptions. 5 Sélectionnezlaconfigurationdeserveurdanslaliste,puiscliquezsurModifier. 6 CliquezsurConnexion,puiscochezlacase«UtiliserLDAPv2(lectureseule)». IgnorancedesréférencesdeserveurLDAP L Utilitairederépertoirepermetdespécifiersil ordinateurdoitignorerousuivreles référencesd unserveurldappourrechercherdesinformationssurd autresserveurs LDAPoudesrépliques. Lesréférencesduserveurpeuventaiderunordinateuràtrouverdesinformationsmais peuventaussiralentirlesouverturesdesessionouprovoquerd autresdélaissil ordinateurdoitvérifierdesréférencesàd autresserveursldap. Pourspécifiers ilfautignorerlesréférencesdeserveurldap: 1 Ouvrezl UtilitairederépertoireetcliquezsurServices. 2 Sil icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret tapezlenometlemotdepassed unadministrateur. 3 Danslalistedesservices,sélectionnezLDAPv3,puiscliquezsurleboutonModifier(/). 4 Silalistedesconfigurationsdeserveurestmasquée,cliquezsurAfficherlesoptions. 5 Sélectionnezuneconfigurationdeserveurdanslaliste,puiscliquezsurModifier. 6 CliquezsurConnexionetcochezlacase«Ignorerlesréférencesduserveur». 180 Chapitre8Réglagesavancésdesclientsderépertoire

Authentificationd uneconnexionldap L Utilitairederépertoirepermetdeconfigureruneconnexionauthentifiéeàun annuaireldap.cetteauthentificationestunidirectionnelle.l ordinateurprouveson identitéauprèsd unrépertoireldap,maislerépertoireldapneprouvepasson authenticitéauprèsdel ordinateur.pouruneauthentificationmutuelle,consultezla rubrique«configurationdelaliaisonsécuriséepourunannuaireldap»àlapage176. Remarque:silaliaisonsécuriséeestconfiguréeentrel ordinateuretl annuaireldap,une connexionauthentifiéeseraitredondante;vousnepouvezdoncpasenconfigurerune. PourconfigureruneconnexionLDAPv3authentifiée: 1 Ouvrezl UtilitairederépertoireetcliquezsurServices. 2 Sil icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret tapezlenometlemotdepassed unadministrateur. 3 Danslalistedesservices,sélectionnezLDAPv3,puiscliquezsurleboutonModifier(/). 4 Silalistedesconfigurationsdeserveurestmasquée,cliquezsurAfficherlesoptions. 5 Sélectionnezuneconfigurationdeserveurdanslaliste,puiscliquezsurModifier. 6 CliquezsurSécurité. 7 Cochezlacase«Utiliserl authentificationlorsdelaconnexion»,puissaisissezlenom distinctifetlemotdepassed unutilisateur. Lenomdistinctifpeutspécifiertoutcompted utilisateurayantl autorisationdevoir lesdonnéesdurépertoire.parexemple,uncompted utilisateurdontlenomabrégé est«authentificateur»surunserveurldapdontl adresseestods.exemple.comporte lenomdistinctifuid=authentificateur,cn=utilisateurs,dc=ods,dc=exemple,dc=com. Important:silenomdistinctifoulemotdepasseestincorrect,personnenepeut ouvrirunesessionsurl ordinateuràl aidedecomptesd utilisateurprovenantde l annuaireldap. Modificationdumotdepasseutilisépourauthentifierune connexionldap L UtilitairederépertoirepermetdemettreàjouruneconnexionLDAPauthentifiée pourqu elleutiliseunmotdepassequiaétémodifiésurleserveurldap.(tousles ordinateursdisposantd uneconnexionauthentifiéeàunserveurldapdoiventêtremis àjoursilemotdepasseutilisépourauthentifierlaconnexionldapestmodifiésur leserveur). Chapitre8Réglagesavancésdesclientsderépertoire 181

PourmodifierlemotdepassepouruneconnexionLDAP: 1 Ouvrezl UtilitairederépertoireetcliquezsurServices. 2 Sil icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret tapezlenometlemotdepassed unadministrateur. 3 Danslalistedesservices,sélectionnezLDAPv3,puiscliquezsurleboutonModifier(/). 4 Silalistedesconfigurationsdeserveurestmasquée,cliquezsurAfficherlesoptions. 5 Sélectionnezuneconfigurationdeserveurdanslaliste,puiscliquezsurModifier. 6 CliquezsurSécurité,puismodifiezleréglageMotdepasse:  SileréglageMotdepasseestestompéparcequelacase«Utiliserl authentification lorsdelaconnexion»estdécochée,consultezlarubrique«authentificationd une connexionldap»àlapage181.  SileréglageMotdepasseestestompéparcequelacase«Reliéàl annuaireentant que»estcochée(maisestompée),celasignifiequelaconnexionn estpasauthentifiéeavecunmotdepassed utilisateur.laconnexionutilisealorsplutôtunefiche d ordinateurauthentifiéoulaliaisonsécurisée. Mappaged attributsd enregistrementdeconfigurationpour répertoiresldap PourstockerdesinformationspourlesutilisateursMacOSXgérésdansunannuaire LDAPnon-Apple,vousdevezmapperlesattributssuivantsdutypedefiche Config:RealNameetDataStamp. Sivousnemappezpascesattributs,lemessaged erreursuivants afficheralorsque vousutiliserezgestionnairedegroupedetravailpourmodifierunefiched utilisateur situéedansl annuaireldap: L attributnommé dsrectypestandard:config n estpasmappé. Vouspouvezignorercemessagesivousn utilisezpaslagestiondeclientmacosx,qui dépenddesattributsrealnameetdatastampdutypeenregistrementdeconfigurationpourlamémoirecache. 182 Chapitre8Réglagesavancésdesclientsderépertoire

ModificationdumappageRFC2307pouractiverlacréation d utilisateurs PourpouvoirutiliserGestionnairedegroupedetravailpourcréerdesutilisateurssurun serveurldapnon-applequiutilisedesmappagesrfc2307(unix),vousdevezmodifiezlemappagedutypedeficheutilisateurs.vousdevezpourcelautiliserl Utilitaire derépertoire. Pouractiverlacréationd enregistrementsd utilisateursdansunrépertoireldap avecmappagesrfc2307: 1 Ouvrezl UtilitairederépertoireetcliquezsurServices. 2 Sil icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret tapezlenometlemotdepassed unadministrateur. 3 Danslalistedesservices,sélectionnezLDAPv3,puiscliquezsurleboutonModifier(/). 4 Silalistedesconfigurationsdeserveurestmasquée,cliquezsurAfficherlesoptions. 5 SélectionnezlaconfigurationderépertoireavecmappagesRFC2307,puiscliquezsur Modifier. 6 CliquezsurRechercheetmappages. 7 SélectionnezUtilisateursdanslalistedegauche. Pardéfaut,«Mappersur élémentslistés»estdéfinisurquelconqueetlalistede droitecontientposixaccount,inetorgpersonetshadowaccount. 8 Définissez«Mappersur élémentslistés»surtout,puismodifiezlalistededroite pourn inclurequelesclassesd objetsldapverslesquellesvousvoulezmapperletype deficheutilisateurs. SupprimezparexempleshadowAccountdelalistedesortequeletypedeficheUtilisateursnesoitmappéqueversposixAccountetinetOrgPerson.Vouspouvezégalement mapperletypedeficheutilisateursversaccount,posixaccountetshadowaccount. Pourmodifierunélémentdelaliste,double-cliquezdessus.Pourajouterunélémentà laliste,cliquezsurajouter.poursupprimerl élémentsélectionnédelaliste,cliquezsur Supprimer.Pourmodifierl ordredesélémentsrépertoriés,faites-lesglisserverslehaut oulebasdelaliste.vouspouvezrechercherlesclassesd objetsdesfichesd utilisateur setrouvantdansl annuaireldapàl aidedel outilunixldapsearch dansterminal. Parexemple,lecodesuivantrecherchelesclassesd objetsd unefiched utilisateurdont l attributcnest«léonarddevinci»: $ ldapsearch -x -h ldapserver.exemple.com -b "dc=exemple, dc=com" cn=léonard de Vinci objectclass Cetexemplerenverraitlesrésultatssuivants: # Léonard de Vinci, exemple.com dn: cn=léonard de Vinci, dc=exemple, dc=com objectclass: inetorgperson objectclass: posixaccount Chapitre8Réglagesavancésdesclientsderépertoire 183

Préparationd unrépertoireldapenlectureseulepourmacosx Sivoussouhaitezqu unordinateurmacosxpuisseliredesdonnéesadministratives dansunannuaireldapenlectureseule,cesdonnéesdoiventêtreauformatrequispar MacOSX.Ilvousfaudrapeut-êtreajouter,modifierouréorganiserlesdonnéesdans l annuaireldapenlectureseule. DanslamesureoùMacOSXnepeutpasécrirededonnéesdansunrépertoireen lectureseule,vousdevezutiliserd autresoutilspourapportercesmodifications. Cesoutilsdoiventrésidersurleserveurquihébergel annuaireldapenlectureseule. PourpréparerunrépertoireLDAPenlectureseulepourMacOSX: 1 AccédezauserveurquihébergelerépertoireLDAPenlectureseuleetconfigurez-le pourqu ilgèrel authentificationldapetlavérificationdesmotsdepasse. 2 Modifiezcommeilsedoitlesclassesd objetsetattributsdel annuaireldapafinde fournirlesdonnéesnécessairesàmacosx. Pourobtenirdesspécificationssurlesdonnéesrequisesparlesservicesderépertoire demacosx,consultezl annexe,«donnéesderépertoiremacosx». Remplissaged annuairesldapavecdesdonnéespourmacosx Aprèsavoirconfigurél accèsauxdomainesderépertoireldapetconfiguréleur mappagededonnées,vouspouvezlesrempliravecdesfichesetdesdonnéespour MacOSX.PourlesannuairesLDAPquiautorisentl administrationàdistance(accèsen lecture/écriture),vouspouvezutiliserl applicationgestionnairedegroupedetravail, livréeavecmacosxserver,delamanièresuivante: Â Lespointsdepartaged identitéetlesdomainespartagésquevoussouhaitezmonterautomatiquementdanslesnavigateursderéseaudesutilisateurs(cequelesutilisateursvoientlorsqu ilscliquentsurréseaudanslabarrelatéraled unefenêtredu Finder). UtilisezlemodulePartaged AdminServeuretlemoduleRéseaudeGestionnairede groupedetravail.pourensavoirplus,consultezlasectionadministrationdesservices defichier. Â Définissezlesfichesd utilisateuretdegroupe,puisconfigurez-les. UtilisezlemoduleComptesdeGestionnairedegroupedetravail.Pourensavoirplus, consultezlasectiongestiondesutilisateurs. Â Définissezleslistesd ordinateurspartageantlesmêmesréglagesdepréférenceset disponiblespourlesmêmesutilisateursetgroupes. UtilisezlemoduleOrdinateursdeGestionnairedegroupedetravail.Pourensavoir plus,consultezlasectiongestiondesutilisateurs. 184 Chapitre8Réglagesavancésdesclientsderépertoire

Danstouslescas,cliquezsurlapetiteicônedeglobeau-dessusdelalistedesutilisateurs,puischoisissezuneoptiondumenulocaldeGestionnairedegroupedetravail pourouvrirledomainederépertoireldap.silerépertoireldapnefigurepasdans lemenulocal,choisissezautrepourlesélectionner. Remarque:pourajouterdesfichesetdesdonnéesàunannuaireLDAPenlectureseule, vousdevezutiliserdesoutilsrésidantsurleserveurquihébergecetannuaireldap. UtilisationdesréglagesavancésdesservicesActiveDirectory VouspouvezconfigurerunserveuréquipédeMacOSXServerouunordinateur dotédemacosxpouraccéderàundomaineactivedirectorysurunserveur Windows2000ouWindows2003. Pourtrouverlesdescriptionsdestâchesetdesinstructions,reportez-vousà:  «Àproposdel accèsàactivedirectory»àlapage186  «Configurationdel accèsàundomaineactivedirectory»àlapage188  «Configurationdecomptesd utilisateurmobilesdansactivedirectory»àlapage191  «Configurationdedossiersdedépartpourdescomptesd utilisateuractivedirectory» àlapage192  «Configurationd unshellunixpourdescomptesd utilisateuractivedirectory»àla page193  «Associationdel UIDàunattributActiveDirectory»àlapage194  «Mappagedel identifiantdegroupeprincipalversunattributactivedirectory»àla page195  «Mappagedel identifiantdegroupedescomptesdegroupeversunattributactive Directory»àlapage196  «Spécificationd unserveuractivedirectorypréféré»àlapage197  «ModificationdesgroupesActiveDirectoryautorisésàadministrerl ordinateur»àla page198  «Contrôledel authentificationàpartirdetouslesdomainesdelaforêtactivedirectory» àlapage199  «RupturedelaliaisonavecleserveurActiveDirectory»àlapage200  «Modificationdecomptesd utilisateuretd autresenregistrementsdansactive Directory»àlapage200 Pourcertainsréseaux,d autresméthodess avèrentappropriéespourl accèsàun domaineactivedirectory.consultezlarubrique«configurationdel accèsldapaux domainesactivedirectory»àlapage201. Chapitre8Réglagesavancésdesclientsderépertoire 185

Àproposdel accèsàactivedirectory VouspouvezconfigurerMacOSXpourqu ilaccèdeàdesinformationsdecompted utilisateurélémentairesdansundomaineactivedirectoryd unserveurwindows2000 ouultérieur.celaestpossiblegrâceaumoduleactivedirectorydel Utilitairede répertoire.cemoduleactivedirectoryfiguredanslasous-fenêtreservicesdel Utilitaire derépertoire. Iln estpasnécessaired apporterdesmodificationsdeschémaaudomaineactivedirectorypourobtenirdesinformationsdecompted utilisateurélémentaires.vousdevrez éventuellementmodifierlalistedecontrôled accès(acl)pardéfautdecertainsattributspourquelescomptesd ordinateurpuissentlirelespropriétésd utilisateur. LemoduleexterneActiveDirectorygénèretouslesattributsrequispourl authentificationmacosxàpartird attributsstandarddanslescomptesd utilisateuractivedirectory.lemoduleprendégalementenchargelesrèglementsd authentificationactive Directory,ycomprislamodification,l expirationetlechangementforcédemotde passe,ainsiquelesoptionsdesécurité. MacOSX10.5prendenchargelesoptionsdechiffrementetdesignaturedespaquets pourtouslesdomaineswindowsactivedirectory.cettefonctionnalitéestdéfiniepar défautsur«autoriser».vouspouvezmodifierceréglagepardéfautpourledéfinirsur «désactivé»ou«requispar»àl aidedel outildelignedecommandedsconfigad. Lesoptionsdechiffrementetdesignaturedespaquetsgarantissentlaprotectionde touteslesdonnéestransitantentrel ordinateuretledomaineactivedirectorylors desrecherchesdefiche. LemoduleexterneActiveDirectorygénèredemanièredynamiqueunidentifiant d utilisateuruniqueetunidentifiantdegroupeprincipal,baséssurl identifiantguid (GloballyUniqueID)ducompted utilisateurdansledomaineactivedirectory.l identifiantd utilisateuretl identifiantdegroupeprincipalgénéréssontlesmêmespour chaquecompted utilisateur,mêmesilecompteestutilisépourouvrirunesessionsur différentsordinateursmacosx. VouspouvezégalementforcerlemoduleexterneActiveDirectoryàassocierl identifiantd utilisateuràdesattributsactivedirectoryquevousspécifiez. LemoduleActiveDirectorygénèreunidentifiantdegrouped aprèsleguidducompte degroupeactivedirectory.vouspouvezaussiforcerlemoduleexterneàmapper l identifiantdegroupepourlescomptesdegroupeversdesattributsactivedirectory quevousspécifiez. 186 Chapitre8Réglagesavancésdesclientsderépertoire

Lorsquequelqu unouvreunesessionmacosxàl aided uncompted utilisateuractive Directory,lemoduleActiveDirectorypeutmonterledossierdedépartréseauWindows définicommedossierdedépartmacosxdel utilisateurdanslecompted utilisateur ActiveDirectory.Vouspouvezindiquers ilfaututiliserledossierdedépartréseaudéfini parl attributhomedirectorystandardd ActiveDirectoryouparl attributhomedirectory demacosx(sileschémaactivedirectoryaétéétendupourl inclure). Vouspouvezaussiconfigurerlemoduleexternepourqu ilcréeundossierdedépart localsurlevolumededémarragedel ordinateurclientmacosx.danscecas,le modulemonteaussiledossierdedépartréseauwindowsdel utilisateur(définidans lecompted utilisateuractivedirectory)entantquevolumeréseau,commeunpoint departage.àl aidedufinder,l utilisateurpeutalorscopierdesfichiersentrelevolume réseaududossierdedépartwindowsetledossierdedépartmacosxlocal. LemoduleexterneActiveDirectorypeutaussicréerdescomptesmobilespourles utilisateurs.uncomptemobiledisposed undossierdedépartlocalsurlevolumede démarragedel ordinateurclientmacosx.(l utilisateurdisposed undossierdedépart réseau,commespécifiédanssoncompteactivedirectory). Uncomptemobilemetlesinformationsd authentificationactivedirectorydel utilisateurenmémoirecachesurl ordinateurclientmacosx.lesinformationsd authentificationmisesenmémoirecachepermettentàl utilisateurd ouvrirunesessionàl aide dunometdumotdepasseactivedirectorylorsquel ordinateurclientestdéconnecté duserveuractivedirectory. Uncomptemobiledisposed undossierdedépartlocalsurlevolumededémarrage del ordinateurclientmacosx.(l utilisateurdisposed undossierdedépartréseau, commespécifiédanslecompteactivedirectorydel utilisateur). SileschémaActiveDirectoryaétéétendupourinclurelestypesdefiches(classes d objets)etlesattributsmacosx,lemoduleactivedirectorylesdétecteetyaccède. Parexemple,leschémaActiveDirectorypourraitêtremodifiéàl aided outilsd administrationwindowspourincluredesattributsdeclientgérémacosx.cettemodificationduschémapermetaumoduleactivedirectorydeprendreenchargelesréglages declientgérédéfinisàl aidedel applicationgestionnairedegroupedetravailde MacOSXServer. LesclientsMacOSXbénéficientd unaccèsenlecturecompletauxattributsajoutés aurépertoire.c estpourquoiilpeuts avérernécessairedemodifierlalistedecontrôle d accèsdecesattributspourautoriserdesgroupesd ordinateursàlirecesattributs ajoutés. Chapitre8Réglagesavancésdesclientsderépertoire 187

LemoduleActiveDirectorydétectetouslesdomainesd uneforêtactivedirectory. Vouspouvezconfigurerlemodulepourqu ilautoriselesutilisateursden importe queldomainedelaforêtàs authentifiersurunordinateurmacosx.vouspouvez égalementautoriserl authentificationdecertainsdomainesuniquementsurleclient. LemoduleexterneActiveDirectoryprendentièrementenchargelaréplicationet lebasculementactivedirectory.ildétecteplusieurscontrôleursdedomaineetdétermineleplusproche.siuncontrôleurdedomainedevientindisponible,lemodule basculesurunautrecontrôleurdedomaineproche. LemoduleActiveDirectoryutiliseLDAPpouraccéderauxcomptesd utilisateuractive DirectoryetKerberospourlesauthentifier.LemoduleexterneActiveDirectoryn utilise pasl interfacepropriétaireadsi(activedirectoryservicesinterface)demicrosoftpour accéderauxservicesderépertoireoud authentification. Configurationdel accèsàundomaineactivedirectory Àl aidedumoduleactivedirectorydel Utilitairederépertoire,vouspouvezconfigurer MacOSXpourqu ilaccèdeauxinformationsdecompted utilisateurélémentairesdans undomaineactivedirectorysurunserveurwindows. LemoduleexterneActiveDirectorygénèretouslesattributsrequispourl authentificationmacosx.aucunemodificationduschémaactivedirectoryn estnécessaire. LemoduleActiveDirectorydétecteetaccèdeauxtypesdefichesetauxattributs MacOSXstandard(telsquelesattributsrequispourlagestiondesclientsMacOSX), sileschémaactivedirectoryaétéétendupourlesinclure. AVERTISSEMENT:lesoptionsavancéesdumoduleActiveDirectorypermettentde mapperl identifiantd utilisateurunique(uid),l identifiantdegroupe(gid)principal etl attributd identifiantdegroupemacosxverslesattributsappropriésquiontété ajoutésauschémaactivedirectory.sivousmodifiezultérieurementleréglagedeces optionsdemappage,lesutilisateursrisquentdeperdrel accèsauxfichierscréés précédemment. Important:silenomdevotreordinateurcontientuntraitd union,vousrisquezdene paspouvoirrejoindreouvouslieràundomainederépertoiretelqueldapouactive Directory.Pourétablirlaliaison,utilisezunnomd ordinateurnecontenantpasdetrait d union. 188 Chapitre8Réglagesavancésdesclientsderépertoire

Pourconfigurerl accèsàundomaineactivedirectory: 1 Ouvrezl UtilitairederépertoireetcliquezsurServices. 2 Sil icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret tapezlenometlemotdepassed unadministrateur. 3 Danslalistedesservices,sélectionnezActiveDirectory,puiscliquezsurlebouton Modifier(/). 4 SaisissezlenomDNSdudomaineActiveDirectoryauquelvoussouhaitezlierl ordinateurquevousêtesentraindeconfigurer. L administrateurdudomaineactivedirectorypeutvouscommuniquerlenomdnsà saisir. 5 Sinécessaire,modifiezl identifiantdel ordinateur. L identifiantdel ordinateurestlenomsouslequelcetordinateurseraconnudansle domaineactivedirectory;pardéfaut,ils agitdunomdel ordinateur.ilsepeutque vousdeviezlemodifierpourvousconformerauschémadéfiniparvotreorganisation pourl attributiondesnomsd ordinateurdansledomaineactivedirectory.sivous n êtespassûrdunomàsaisir,consultezl administrateurdudomaineactivedirectory. 6 (Facultatif)Définissezlesoptionsavancées. Silesoptionsavancéessontmasquées,cliquezsurAfficherlesoptionsavancéesetdéfinissezdesoptionsdanslessous-fenêtresExpérienceutilisateur,MappagesetAdministratif.Vouspouvezaussimodifierultérieurementlesréglagesdesoptionsavancées. Pourensavoirplussurlesoptionsavancées,consultezlesrubriquessuivantes:  «Configurationdecomptesd utilisateurmobilesdansactivedirectory»àlapage191  «Configurationdedossiersdedépartpourdescomptesd utilisateuractivedirectory»à lapage192  «Configurationd unshellunixpourdescomptesd utilisateuractivedirectory»àla page193  «Associationdel UIDàunattributActiveDirectory»àlapage194  «Mappagedel identifiantdegroupeprincipalversunattributactivedirectory»àla page195  «Mappagedel identifiantdegroupedescomptesdegroupeversunattributactive Directory»àlapage196  «Spécificationd unserveuractivedirectorypréféré»àlapage197  «ModificationdesgroupesActiveDirectoryautorisésàadministrerl ordinateur»àla page198  «Contrôledel authentificationàpartirdetouslesdomainesdelaforêtactivedirectory» àlapage199 Chapitre8Réglagesavancésdesclientsderépertoire 189

7 CliquezsurLiaison,utilisezleschampssuivantspourvousauthentifierentantqu utilisateurayantledroitderelierunordinateuraudomaineactivedirectory,sélectionnez lesrèglesderechercheauxquellesvoussouhaitezajouteractivedirectory(voirci-dessous),puiscliquezsurok:  Nomd utilisateuretmotdepasse:vouspouvezvousauthentifierensaisissantles nometmotdepassedevotrecompted utilisateuractivedirectory;sinon,ilsepeut quel administrateurdudomaineactivedirectorydoivevousfournirunnometun motdepasse.  CléOUordinateur:saisissezl unitéorganisationnelle(uo)del ordinateurquevous êtesentraindeconfigurer.  Utiliserpourl authentification:permetdedéterminersiactivedirectorydoitêtre ajoutéàlarèglederecherched authentificationdel ordinateur.  Utiliserpourlescontacts:permetdedéterminersiActiveDirectorydoitêtreajouté àlarèglederecherchedecontactsdel ordinateur. LorsquevouscliquezsurOK,l Utilitairederépertoireconfigurelaliaisonsécurisée entrel ordinateurquevousêtesentraindeconfigureretleserveuractivedirectory. Lesrèglesderecherchedel ordinateursontconfiguréesenfonctiondesoptionsque vousavezsélectionnéeslorsquevousvousêtesauthentifiéetactivedirectoryest activédanslasous-fenêtreservicesdel Utilitairederépertoire. Aveclesréglagespardéfautdesoptionsavancéesd ActiveDirectory,laforêtActive Directoryestajoutéeauxrèglesderecherched authentificationetdecontactsde l ordinateursivousavezsélectionnél option«utiliserpourl authentification»ou «Utiliserpourlescontacts». Toutefois,sivousdésélectionnezl option«autoriserl authentificationdepuisn importe queldomainedelaforêt»danslasous-fenêtred optionsavancéesadministratifavant decliquersurliaison,c estledomaineactivedirectoryleplusprochequiestajouté, etnonlaforêt. VouspouvezmodifierlesrèglesderechercheultérieurementenajoutantouensupprimantlaforêtActiveDirectoryoudesdomainesindividuels.Pourensavoirplus,consultezlarubrique«Définitiondepolitiquesderecherchepersonnalisées»àlapage153. 8 (Facultatif)ReliezleserveurauroyaumeKerberosActiveDirectory. Surleserveurousurunordinateuradministrateurquipeutseconnecterauserveur, ouvrezadminserveuretsélectionnezopendirectorypourleserveur.cliquezsur Réglages,puissurGénéral.CliquezsurSeconnecteràKerberos,puischoisissezle royaumekerberosactivedirectorydanslemenulocaletsaisissezlesinformations d authentificationd unadministrateurlocalsurceserveur. Pourensavoirplus,consultezlarubrique«Connecterunserveuràunroyaume Kerberos»àlapage119. 190 Chapitre8Réglagesavancésdesclientsderépertoire

Configurationdecomptesd utilisateurmobilesdansactivedirectory Vouspouvezactiveroudésactiverdescomptesd utilisateuractivedirectorymobiles surunordinateurconfigurépourutiliserlemoduleactivedirectorydel Utilitairede répertoire.lesutilisateursquidisposentdecomptesmobilespeuventouvrirunesessionàl aidedeleursinformationsd authentificationactivedirectorylorsquel ordinateurn estpasconnectéauserveuractivedirectory. LemoduleexterneActiveDirectorymetenmémoirecachelesinformationsd authentificationd uncomptemobiled utilisateurlorsquel utilisateurouvreunesessionalors quel ordinateurestconnectéaudomaineactivedirectory.cettemiseencachedes informationsd authentificationnerequiertaucunemodificationduschémaactive Directory. SileschémaActiveDirectoryaétéétendupourinclurelesattributsdeclientgéré MacOSX,cesréglagesdecomptemobileserontutilisésàlaplacedesréglagesde comptemobiledumoduleactivedirectory. Vouspouvezfaireensortequelescomptesmobilessoientcréésautomatiquementou obligerlesutilisateursactivedirectoryàconfirmerlacréationdescomptesmobiles. PouractiveroudésactiverlescomptesmobilesdansundomaineActiveDirectory: 1 Ouvrezl UtilitairederépertoireetcliquezsurServices. 2 Sil icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret tapezlenometlemotdepassed unadministrateur. 3 Danslalistedesservices,sélectionnezActiveDirectory,puiscliquezsurlebouton Modifier(/). 4 Silesoptionsavancéessontmasquées,cliquezsurAfficherlesoptionsavancées. 5 CliquezsurExpérienceutilisateur,puissur«Créeruncomptemobilelorsdel ouverturedesession»et,éventuellement,sur«exigeruneconfirmationavantdecréerun comptemobile». 6 Sivoussélectionnezlesdeuxoptions,chaqueutilisateurdécidedecréerounon uncomptemobileàl ouverturedesession.lorsqu unutilisateurouvreunesession MacOSXàl aided uncompted utilisateuractivedirectory,oulorsqu ilouvreunesessionentantqu utilisateurréseau,ilvoitapparaîtreunezonededialoguecontenantdes commandespermettantdecréerimmédiatementuncomptemobile.silapremière optionestsélectionnéeetquelasecondenel estpas,lescomptesmobilessontcréés lorsquelesutilisateursouvrentunesession.silapremièreoptionn estpassélectionnée,lasecondeestdésactivée.cliquezsurok. Chapitre8Réglagesavancésdesclientsderépertoire 191

Configurationdedossiersdedépartpourdescomptesd utilisateur ActiveDirectory SurunordinateurconfigurépourutiliserlemoduleActiveDirectorydel Utilitairede répertoire,vouspouvezactiveroudésactiverlesdossiersdedépartréseauoulocaux pourlescomptesd utilisateuractivedirectory. Aveclesdossiersdedépartréseau,ledossierdedépartréseauWindowsd unutilisateurestmontécommeledossierdedépartmacosxlorsquel utilisateurouvre unesession. Vouspouvezspécifiers ilfaututiliserledossierdedépartréseaudéfiniparl attribut homedirectorystandardd ActiveDirectoryouparl attributhomedirectoryde MacOSX,sileschémaActiveDirectoryaétéétendupourl inclure. Aveclesdossiersdedépartlocaux,chaqueutilisateurActiveDirectoryquiouvreune sessiond undossierdedépartsurledisquededémarragedemacosx.deplus,le dossierdedépartréseaudel utilisateurestmontécommeunvolumeréseau,comme unpointdepartage.l utilisateurpeutcopierdesfichiersentrecevolumeréseauet ledossierdedépartlocal. Pourconfigurerdesdossiersdedépartpourdescomptesd utilisateuractivedirectory: 1 Ouvrezl UtilitairederépertoireetcliquezsurServices. 2 Sil icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret tapezlenometlemotdepassed unadministrateur. 3 Danslalistedesservices,sélectionnezActiveDirectory,puiscliquezsurlebouton Modifier(/). 4 Silesoptionsavancéessontmasquées,cliquezsurAfficherlesoptionsavancées. 5 CliquezsurExpérienceutilisateur. 6 Cliquezsur«Forcerl utilisationdurépertoirededépartlocalsurledisquededémarrage» sivoussouhaitezquelescomptesd utilisateuractivedirectoryaientdesdossiersde départlocauxdansledossier/utilisateursdel ordinateur. Cetteoptionn estpasdisponiblesilacase Créeruncomptemobilelorsdel ouverture desession estcochée. 7 Pourutiliserl attributstandardd ActiveDirectorypourl emplacementdudossierde départ,sélectionnez«utiliserlecheminuncdepuisactivedirectorypourdéduire l emplacementdurépertoirededépartréseau»,puischoisissezl undesprotocoles suivantspouraccéderaudossierdedépart: Â PourutiliserleprotocoleSMBstandarddeWindows,choisissezsmbdanslemenu local«protocoleréseauàutiliser». Â PourutiliserleprotocoleAFPstandarddeMacintosh,choisissezafpdanslemenu local«protocoleréseauàutiliser». 192 Chapitre8Réglagesavancésdesclientsderépertoire

8 Pourutiliserl attributmacosxpourl emplacementdudossierdedépart,décochez lacase«utiliserlecheminuncdepuisactivedirectorypourdéduirel emplacement durépertoirededépartréseau». Pourutiliserl attributmacosx,leschémaactivedirectorydoitêtreétendupour l inclure. 9 CliquezsurOK. Sivousmodifiezlenomd uncompted utilisateurdansledomaineactivedirectory, leserveurcréeraunnouveaudossierdedépart(etdessous-dossiers)pourcecompte d utilisateurlaprochainefoisqu ilserautilisépourl ouverturedesessionàunordinateurmacosx.l utilisateurpeuttoujoursatteindrel anciendossierdedépartetvoir soncontenudanslefinder. Vouspouvezempêcherlacréationd unnouveaudossierdedépartenrenommant l anciendossieravantlaprochaineouverturedesessiondel utilisateur. Configurationd unshellunixpourdescomptesd utilisateur ActiveDirectory SurunordinateurconfigurépourutiliserlemoduleActiveDirectorydel Utilitaire derépertoire,vouspouvezdéfinirleshelldelignedecommandequelesutilisateurs disposantd uncompteactivedirectoryutiliserontpardéfautlorsqu ilsinteragiront avecmacosxdansl applicationterminal. Leshellpardéfautestaussiutilisépourl interactionàdistanceviassh(secureshell) outelnet.chaqueutilisateurpeutredéfinirleshellpardéfautenchangeantunepréférencedeterminal. PourdéfinirunshellUNIXpourdescomptesd utilisateuractivedirectory: 1 Ouvrezl UtilitairederépertoireetcliquezsurServices. 2 Sil icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret tapezlenometlemotdepassed unadministrateur. 3 Danslalistedesservices,sélectionnezActiveDirectory,puiscliquezsurlebouton Modifier(/). 4 Silesoptionsavancéessontmasquées,cliquezsurAfficherlesoptionsavancées. 5 CliquezsurExpérienceutilisateur. 6 Sélectionnez«Shellutilisateurpardéfaut»,puissaisissezlechemindushellutilisateur pardéfaut. 7 CliquezsurOK. Chapitre8Réglagesavancésdesclientsderépertoire 193

Associationdel UIDàunattributActiveDirectory SurunordinateurconfigurépourutiliserlemoduleActiveDirectorydel Utilitairede répertoire,vouspouvezspécifierl attributactivedirectoryàmapperversl attribut d identifiantd utilisateurunique(uid)demacosx. Généralement,leschémaActiveDirectorydoitêtreétendupourinclureunattributqui convienneaumappageversl UID: Â Sil administrateuractivedirectoryétendleschémaactivedirectoryeninstallant lesservicespourunixdemicrosoft,vouspouvezmapperl UIDversl attribut mssfu-30-uid-number. Â Sil administrateuractivedirectoryétendmanuellementleschémaactivedirectory pourqu ilcontiennelesattributsrfc2307,vouspouvezmapperl UIDversuidNumber. Â Sil administrateuractivedirectoryétendmanuellementleschémaactivedirectory pourqu ilcontiennel attributuniqueiddemacosx,vouspouvezmapperl UIDvers cedernier. Silemappagedel UIDestdésactivé,lemoduleActiveDirectorygénèreunUIDen fonctiondel attributguidstandardd ActiveDirectory. AVERTISSEMENT:sivousmodifiezultérieurementlemappagedel UID,lesutilisateurs risquentdeperdrel accèsauxfichierscréésprécédemment. Pourmapperl UIDàunattributd unschémaactivedirectoryétendu: 1 Ouvrezl UtilitairederépertoireetcliquezsurServices. 2 Sil icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret tapezlenometlemotdepassed unadministrateur. 3 Danslalistedesservices,sélectionnezActiveDirectory,puiscliquezsurlebouton Modifier(/). 4 Silesoptionsavancéessontmasquées,cliquezsurAfficherlesoptionsavancées. 5 CliquezsurMappages. 6 Sélectionnez«MappageUIDàattribuer»,puissaisissezlenomdel attributactive Directoryàmapperversl UID. 7 CliquezsurOK. 194 Chapitre8Réglagesavancésdesclientsderépertoire

Mappagedel identifiantdegroupeprincipalversunattribut ActiveDirectory SurunordinateurconfigurépourutiliserlemoduleActiveDirectorydel Utilitairede répertoire,vouspouvezspécifierl attributactivedirectoryàmapperversl attribut d identifiantdegroupeprincipal(gid)demacosxdanslescomptesd utilisateur. Généralement,leschémaActiveDirectorydoitêtreétendupourinclureunattributqui convienneaumappageverslegidprincipal: Â Sil administrateuractivedirectoryétendleschémaactivedirectoryeninstallantles servicespourunixdemicrosoft,vouspouvezmapperlegidprincipalversl attribut mssfu-30-gid-number. Â Sil administrateuractivedirectoryétendmanuellementleschémaactivedirectory pourqu ilcontiennelesattributsrfc2307,vouspouvezmapperlegidprincipalvers gidnumber. Â Sil administrateuractivedirectoryétendmanuellementleschémaactivedirectory pourqu ilcontiennel attributprimarygroupiddemacosx,vouspouvezmapperle GIDprincipalverscedernier. SilemappageduGIDprincipalestdésactivé,lemoduleActiveDirectorygénèreunGID principalenfonctiondel attributguidstandardd ActiveDirectory. AVERTISSEMENT:sivousmodifiezultérieurementlemappageduGIDprincipal, lesutilisateursrisquentdeperdrel accèsauxfichierscréésprécédemment. Chapitre8Réglagesavancésdesclientsderépertoire 195

PourmapperleGIDprincipalàunattributd unschémaactivedirectoryétendu: 1 Ouvrezl UtilitairederépertoireetcliquezsurServices. 2 Sil icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret tapezlenometlemotdepassed unadministrateur. 3 Danslalistedesservices,sélectionnezActiveDirectory,puiscliquezsurlebouton Modifier(/). 4 Silesoptionsavancéessontmasquées,cliquezsurAfficherlesoptionsavancées. 5 CliquezsurMappages. 6 Sélectionnez«MappageduGIDd utilisateuràattribuer»,puissaisissezlenomde l attributactivedirectoryàmapperversl identifiantdegroupeprincipaldansles comptesd utilisateur. 7 CliquezsurOK. Mappagedel identifiantdegroupedescomptesdegroupeversun attributactivedirectory SurunordinateurconfigurépourutiliserlemoduleActiveDirectorydel Utilitairede répertoire,vouspouvezspécifierl attributactivedirectoryàmapperversl attribut d identifiantdegroupe(gid)demacosxdanslescomptesdegroupe. Généralement,leschémaActiveDirectorydoitêtreétendupourinclureunattributqui convienneaumappageverslegid: Â Sil administrateuractivedirectoryétendleschémaactivedirectoryeninstallantles servicespourunixdemicrosoft,vouspouvezmapperlegidversl attributmssfu- 30-Gid-Number. Â Sil administrateuractivedirectoryétendmanuellementleschémaactivedirectory pourqu ilincluelesattributsrfc2307,vouspouvezmapperlegidversgidnumber. Â Sil administrateuractivedirectoryétendmanuellementleschémaactivedirectory pourqu ilincluel attributgidnumberdemacosx,vouspouvezmapperlegidvers cedernier. SilemappageduGIDestdésactivé,lemoduleActiveDirectorygénèreunGIDen fonctiondel attributguidstandardd ActiveDirectory. AVERTISSEMENT:sivousmodifiezultérieurementlemappageduGID,lesutilisateurs risquentdeperdrel accèsauxfichierscréésprécédemment. 196 Chapitre8Réglagesavancésdesclientsderépertoire

PourmapperleGIDàunattributd unschémaactivedirectoryétendu: 1 Ouvrezl UtilitairederépertoireetcliquezsurServices. 2 Sil icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret tapezlenometlemotdepassed unadministrateur. 3 Danslalistedesservices,sélectionnezActiveDirectory,puiscliquezsurlebouton Modifier(/). 4 Silesoptionsavancéessontmasquées,cliquezsurAfficherlesoptionsavancées. 5 CliquezsurMappages. 6 Sélectionnez«MappageduGIDdegroupeàattribuer»,puissaisissezlenomde l attributactivedirectoryàmapperverslegiddanslescomptesdegroupe. 7 CliquezsurOK. Spécificationd unserveuractivedirectorypréféré SurunordinateurconfigurépourutiliserlemoduleActiveDirectorydel Utilitairede répertoire,vouspouvezspécifierlenomdnsduserveurdudomaineactivedirectory auquell ordinateurdoitaccéderpardéfaut. Sileserveurdevientindisponible,lemoduleActiveDirectorybasculesurunautre serveurprochedanslaforêt. Sicetteoptionn estpassélectionnée,lemoduleactivedirectorydéterminele domaineactivedirectoryleplusprochedanslaforêt. PourspécifierunserveurauquellemoduleActiveDirectorydoitaccéderpardéfaut: 1 Ouvrezl UtilitairederépertoireetcliquezsurServices. 2 Sil icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret tapezlenometlemotdepassed unadministrateur. 3 Danslalistedesservices,sélectionnezActiveDirectory,puiscliquezsurlebouton Modifier(/). 4 Silesoptionsavancéessontmasquées,cliquezsurAfficherlesoptionsavancées. 5 CliquezsurAdministratif. 6 Sélectionnez«Préférerceserveurdedomaine»,puissaisissezlenomDNSduserveur ActiveDirectory. 7 CliquezsurOK. Chapitre8Réglagesavancésdesclientsderépertoire 197

ModificationdesgroupesActiveDirectoryautorisésàadministrer l ordinateur SurunordinateurconfigurépourutiliserlemoduleActiveDirectorydel Utilitaire derépertoire,vouspouvezidentifierlescomptesdegroupeactivedirectorydont lesmembresdoiventavoirdesautorisationsd administrateurpourl ordinateur. LesutilisateursquisontmembresdecescomptesdegroupeActiveDirectorypeuvent effectuerdestâchesadministrativescomme,parexemple,installerdeslogicielssur l ordinateurmacosxquevousêtesentraindeconfigurer. PourajouterousupprimerdescomptesdegroupeActiveDirectorydont lesmembresontdesautorisationsd administrateur: 1 Ouvrezl UtilitairederépertoireetcliquezsurServices. 2 Sil icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret tapezlenometlemotdepassed unadministrateur. 3 Danslalistedesservices,sélectionnezActiveDirectory,puiscliquezsurlebouton Modifier(/). 4 Silesoptionsavancéessontmasquées,cliquezsurAfficherlesoptionsavancées. 5 CliquezsurAdministratif. 6 Sélectionnez«Permettrel administrationpar»,puismodifiezlalistedescomptes degroupeactivedirectorydontlesmembresdoiventavoirdesautorisations d administrateur: Â Pourajouterungroupe,cliquezsurleboutonAjouter(+)etsaisissezlenomde domaineactivedirectory,unebarreobliqueinverseetlenomducomptedegroupe (parexemple,ads\domainadmins,il2\domainadmins). Â Poursupprimerungroupe,sélectionnez-ledanslaliste,puiscliquezsurlebouton Supprimer( ). 7 CliquezsurOK. 198 Chapitre8Réglagesavancésdesclientsderépertoire

Contrôledel authentificationàpartirdetouslesdomainesdelaforêt ActiveDirectory SurunordinateurconfigurépourutiliserlemoduleActiveDirectorydel Utilitairede répertoire,vouspouvezautoriserlesutilisateursdelaforêtactivedirectoryàs authentifieràpartirdetouslesdomaines,ouvouspouvezlimiterl authentificationauxutilisateursdedomainesspécifiques. Pourcontrôlersilesutilisateurspeuvents authentifierdepuistouslesdomainesde laforêt: 1 Ouvrezl UtilitairederépertoireetcliquezsurServices. 2 Sil icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret tapezlenometlemotdepassed unadministrateur. 3 Danslalistedesservices,sélectionnezActiveDirectory,puiscliquezsurlebouton Modifier(/). 4 Silesoptionsavancéessontmasquées,cliquezsurAfficherlesoptionsavancées. 5 CliquezsurAdministratif. 6 Sélectionnez«Autoriserl authentificationdepuisn importequeldomainedelaforêt». Sivouscochezlacase Autoriserl authentificationdepuisn importequeldomainedela forêt,vouspouvezajouterlaforêtactivedirectoryauxpolitiquesderecherchepersonnaliséespourl authentificationetlescontactsdel ordinateur.lorsquevousajoutezuneforêt ActiveDirectoryàunerèglederecherchepersonnalisée,laforêtapparaîtdanslaliste desdomainesderépertoiredisponiblessouslaforme«/activedirectory/alldomains». (Ils agitduréglagepardéfaut). Sivousdésélectionnezlacase«Autoriserl authentificationdepuisn importequel domainedelaforêt»,vouspouvezajouterdesdomainesactivedirectoryauxpolitiquesderecherchepersonnaliséespourl authentificationetlescontactsdel ordinateur individuellement.lorsquevousajoutezdesdomainesactivedirectoryàunerèglede recherchepersonnalisée,chacund euxapparaîtséparémentdanslalistedesdomaines derépertoiredisponibles. 7 CliquezsurOK. 8 Aprèsavoirsélectionné«Autoriserl authentificationdepuisn importequeldomainede laforêt»,modifiezlarèglederecherchepersonnaliséedanslessous-fenêtresauthentificationetcontactspourinclurelaforêtactivedirectoryoulesdomainessélectionnés. Pourensavoirplussurlamodificationdesrèglesderecherchepersonnalisées,consultezlarubrique«Définitiondepolitiquesderecherchepersonnalisées»àlapage153. Chapitre8Réglagesavancésdesclientsderépertoire 199

RupturedelaliaisonavecleserveurActiveDirectory Sil ordinateurutiliselemoduleactivedirectorydel Utilitairederépertoirepourselier àunserveuractivedirectory,vouspouvezromprecetteliaison. Vouspouvezforcerlarupturedelaliaisonsil ordinateurneparvientpasàcontacter leserveurousilafiched ordinateuraétésuppriméeduserveur. Pourromprelaliaisondel ordinateuravecleserveuractivedirectory: 1 Ouvrezl UtilitairederépertoireetcliquezsurServices. 2 Sil icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret tapezlenometlemotdepassed unadministrateur. 3 Danslalistedesservices,sélectionnezActiveDirectory,puiscliquezsurlebouton Modifier(/). 4 CliquezsurRomprelaliaison,authentifiez-vousentantqu utilisateurdisposant desdroitsnécessairespourrompreuneconnexionaudomaineactivedirectory, puiscliquezsurok. Siunavertissements affichepourindiquerquelesinformationsd authentificationne sontpasacceptéesouquel ordinateurneparvientpasàcontacteractivedirectory, cliquezsur«forceràromprelelien»pourforcerlarupturedelaconnexion. Sivousforcezlarupturedelaliaison,ActiveDirectorydisposeratoujoursd unefiche d ordinateurpourcetordinateur.prévenezl administrateuractivedirectorypourqu il supprimelafiched ordinateur. 5 Danslasous-fenêtreServices,désélectionnezleréglageActiverd ActiveDirectory, puiscliquezsurappliquer. Modificationdecomptesd utilisateuretd autresenregistrements dansactivedirectory VouspouvezutiliserGestionnairedegroupedetravailpourmodifierlescomptesd utilisateur,lescomptesdegroupe,lesgroupesd ordinateursetd autresfichesdansun domaineactivedirectory.vouspouvezégalementutilisergestionnairedegroupede travailpoursupprimerdesfichesdansundomaineactivedirectory. SileschémaActiveDirectoryaétéétendupourinclurelestypesdefiches(classes d objets)etlesattributsmacosxstandard,vouspouvezutilisergestionnairede groupedetravailpourcréeretmodifierdesgroupesd ordinateursdansledomaine ActiveDirectory. Pourensavoirplussurl utilisationdescomptesd utilisateur,descomptesdegroupeet desgroupesd ordinateurs,consultezleguidegestiondesutilisateurs. Pourcréerdescomptesd utilisateuroudegroupedansundomaineactivedirectory, utilisezlesoutilsd administrationactivedirectorydemicrosoftsurunordinateur d administrationserveurwindows. 200 Chapitre8Réglagesavancésdesclientsderépertoire

Configurationdel accèsldapauxdomainesactivedirectory L UtilitairederépertoirevouspermetdedéfiniruneconfigurationLDAPv3afind accéderàundomaineactivedirectorysituésurunserveurwindows.uneconfiguration LDAPv3vousdonneuncontrôletotalsurlemappagedestypesdefichesetdesattributsMacOSXverslesclassesd objets,basesderechercheetattributsactivedirectory. Lemappagedecertainstypesdefichesetd attributsmacosximportants,telsque l UID(identifiantd utilisateurunique),nécessitel extensionduschémaactivedirectory. LesfonctionnalitéssuivantesdumoduleActiveDirectorydel Utilitairederépertoirene sontpasinclusesdanslesconfigurationsldapv3:  générationdynamiqued unidentifiantd utilisateuruniqueetd unidentifiantde groupeprincipal;  créationd undossierdedépartmacosxlocal;  montageautomatiqued undossierdedépartwindows;  comptesd utilisateurmobilesavecmiseencachedesinformations d authentification;  détectiondetouslesdomainesd uneforêtactivedirectory;  priseenchargedelaréplicationetdubasculementactivedirectory. Pourensavoirplus,consultezlarubrique«Àproposdel accèsàactivedirectory»àla page186. PourcréeruneconfigurationdeserveurActiveDirectory: 1 Ouvrezl UtilitairederépertoireetcliquezsurServices. 2 Sil icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret tapezlenometlemotdepassed unadministrateur. 3 Danslalistedesservices,sélectionnezLDAPv3,puiscliquezsurleboutonModifier(/). 4 CliquezsurNouveauetsaisissezlenomDNSoul adresseipduserveuractivedirectory. 5 Sélectionnezuneouplusieursdesoptionssuivantespourl accèsaurépertoire, puiscliquezsurcontinuerpourquel Utilitairederépertoireobtiennedesinformations auprèsduserveuractivedirectory.  Sélectionnez«ChiffrerviaSSL»sivoussouhaitezqu OpenDirectoryutiliseleprotocoleSSLpourlesconnexionsavecleserveurActiveDirectory.Avantdecocherlacase SSL,demandezàvotreadministrateurOpenDirectorysileprotocoleSSLestrequis.  Sélectionnez«Utiliserpourl authentification»sicerépertoirecontientdescomptes d utilisateurquequelqu unvautiliserpourl ouverturedesessionoul authentificationàdesservices.  Cochezlacase«Utiliserpourlescontacts»sicerépertoirecontientdesadresses électroniquesetd autresinformationsquevoussouhaitezutiliserdanscarnet d adresses. Chapitre8Réglagesavancésdesclientsderépertoire 201

Sil UtilitairederépertoireneparvientpasàcontacterleserveurActiveDirectory,un messages afficheetvousdevezalorsconfigurerl accèsmanuellementouannulerle processusdeconfiguration.pourensavoirplus,consultezlarubrique«configuration manuelledel accèsàunrépertoireldap»àlapage163. Sivousavezsélectionnél option«utiliserpourl authentification»ou«utiliserpour lescontacts»,laconnexionldapv3audomaineactivedirectoryestajoutéeàune règlederecherchepersonnaliséedanslasous-fenêtreauthentificationoucontacts del Utilitairederépertoire. Assurez-vousqueLDAPv3estactivédanslasous-fenêtreServicesafinquel ordinateur utiliselaconnexionquevousconfigurez.pourensavoirplus,consultezlarubrique «ActivationoudésactivationdesservicesderépertoiresLDAP»àlapage156. 6 Silazonededialoguesedéveloppepourafficherdesoptionsdemappage,choisissez ActiveDirectorydanslemenulocal,saisissezlabasederecherche,puiscliquezsur Continuer. LemodèledemappageActiveDirectorypouruneconfigurationLDAPv3mappecertainsattributsettypesd enregistrementsmacosxversdesclassesd objetsetdesattributsquinefontpaspartied unschémaactivedirectorystandard.ilestpossiblede modifierlesmappagesdéfinisparlemodèleoud étendreleschémaactivedirectory. VouspouvezégalementaccéderàvotredomaineActiveDirectoryvialemoduleActive DirectoryetnonviaLDAPv3.Pourensavoirplus,consultez«Configurationdel accèsà undomaineactivedirectory». 7 Lorsquelazonededialoguesedéveloppepourafficherdesoptionsdeconnexion, saisissezlenomdistinctifetlemotdepassed uncompted utilisateuractivedirectory. 8 CliquezsurOKpourterminerlacréationdelaconnexionLDAP. 9 CliquezsurOKpourterminerlaconfigurationdesoptionsLDAPv3. DéfinitiondesréglagesNIS L Utilitairederépertoirepermetdecréeruneconfigurationdéfinissantlamanièredont MacOSXaccèdeàundomaineNIS(NetworkInformationService). Pourcréeruneconfigurationd accèsàundomainenis: 1 Ouvrezl UtilitairederépertoireetcliquezsurServices. 2 Sil icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret tapezlenometlemotdepassed unadministrateur. 3 Danslalistedesservices,sélectionnez«FichierplatBSDetNIS»,puiscliquezsur leboutonmodifier(/). 202 Chapitre8Réglagesavancésdesclientsderépertoire

4 SaisissezlenomdudomaineNIS,oulenomDNSoul adresseipduserveursurlequel setrouveledomainenis. Incluezlenomd hôteoul adresseipduserveurniss ilestnécessairepourdesraisons desécuritéousileserveurn estpassurlemêmesous-réseauquel ordinateurquevous êtesentraindeconfigurer. Sivousnespécifiezpasdeserveur,NISutiliseunprotocoleBroadcastpourdétecterun serveurnissurlesous-réseau. 5 Cochezlacase UtiliserledomaineNISpourl authentification,puiscliquezsurok. LedomaineNISestajoutéàlarèglederecherched authentificationdel ordinateur souslaforme/bsd/domaine,oùdomainecorrespondaunomquevousavezsaisià l étape4. DéfinitiondesréglagesdefichierdeconfigurationBSD LesordinateursUNIXstockenttraditionnellementlesdonnéesadministrativesdans desfichiersdeconfigurationtelsque/etc/master.passwd,/etc/groupet/etc/hosts. MacOSXestbasésuruneversionBSDd UNIX,maisreçoitlesdonnéesadministratives normalementdesystèmesderépertoire. MacOSXServerprendenchargeunjeufixedefichiersdeconfigurationBSD.Vousne pouvezpasspécifierlesfichiersdeconfigurationàutiliser,nimapperleurcontenuvers desattributsettypesd enregistrementsmacosx. DansMacOSX10.2ouultérieur(ycomprisMacOSXServer10.2ouultérieur),Open DirectorypeutliredesdonnéesadministrativesàpartirdefichiersdeconfigurationBSD. CettefonctionpermetauxorganisationsdisposantdefichiersdeconfigurationBSD d utiliserdescopiesdesfichiersexistantssurlesordinateursmacosx.lesfichiersde configurationbsdpeuventêtreutilisésseulsouavecd autresdomainesderépertoire. PourutiliserdesfichiersdeconfigurationBSD: 1 Assurez-vousquelesfichiersdeconfigurationBSDcontiennentlesdonnéesrequises parlesservicesderépertoiremacosx. Pourensavoirplus,consultezlarubrique«Configurationdedonnéesdansdesfichiers deconfigurationbsd»àlapage204. 2 Ouvrezl UtilitairederépertoireetcliquezsurServices. 3 Sil icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret tapezlenometlemotdepassed unadministrateur. 4 Danslalistedesservices,sélectionnez«FichierplatBSDetNIS»,puiscliquezsur leboutonmodifier(/). Chapitre8Réglagesavancésdesclientsderépertoire 203

5 Sélectionnez«UtiliserlesfichierslocauxBSD(/etc)pourl authentification»,puiscliquez surok. LedomainedesfichiersdeconfigurationBSDestajoutéàlapolitiquederecherche d authentificationdel ordinateurcomme/bsd/local. ConfigurationdedonnéesdansdesfichiersdeconfigurationBSD Sivousvoulezqu unordinateurmacosxlisedesdonnéesadministrativesàpartirde fichiersdeconfigurationbsd,cesdonnéesdoiventêtreprésentesdanscesfichierset doiventêtreauformatrequisparmacosx. Vouspouvezêtreamenéàajouter,modifierouréorganiserdesdonnéesdansles fichiers.gestionnairedegroupedetravailnepouvantmodifierlesdonnéesdesfichiers deconfigurationbsd,vousdevezprocéderauxmodificationsnécessairesàl aided un éditeurdetexteoud unautreoutil. Letableausuivantrépertorielesnomsdesfichiersetdécritleurcontenu. FichierdeconfigurationBSD /etc/master.passwd; /etc/group; /etc/fstab. /etc/hosts; /etc/networks /etc/services /etc/protocols /etc/rpcs /etc/printcap /etc/bootparams /etc/bootp /etc/aliases /etc/netgroup Contient Nomsd utilisateur,motsdepasse,identifiants,identifiantsde groupeprincipal,etc. Nomsdegroupe,identifiantsetmembres MontagesNFS Nomsetadressesd ordinateur Nomsetadressesderéseau Nomsdeservice,portsetprotocoles NomsetnumérosdesprotocolesIP ServeursRPCOpenNetworkComputing Nomsetfonctionnalitésd imprimante RéglagesBootparam RéglagesBootp AliasetlistesdedistributiondeMail Nomsdegroupeetmembresàl échelleduréseau PourensavoirplussurlesdonnéesrequisesparlesservicesderépertoiredeMacOSX, consultezl annexe«donnéesderépertoiremacosx». 204 Chapitre8Réglagesavancésdesclientsderépertoire

9 Maintenancedesservices OpenDirectory 9 VouspouvezcontrôlerlesservicesOpenDirectory,afficher etmodifierlesdonnéesbrutesdesdomainesopendirectory eteffectuerunesauvegardedesfichiersopendirectory. Voicilesprincipalestâchesquevousaurezàeffectuerrégulièrementdanslecadrede lagestiondesservicesopendirectory:  «Contrôledel accèsauxserveursetservicesopendirectory»àlapage205  «Contrôled OpenDirectory»àlapage209  «Affichageetmodificationdesdonnéesderépertoire»àlapage212  «Importationd enregistrementsdetoustypes»àlapage217  «Définitiondesoptionsd unserveuropendirectory»àlapage217  «GestiondelaréplicationOpenDirectory»àlapage224  «Archivaged unmaîtreopendirectory»àlapage230  «Restaurationd unmaîtreopendirectory»àlapage231 PourobtenirdesinformationssurlarésolutiondesproblèmesliésàOpenDirectory, consultezlarubrique«résolutiondeproblèmesliésàopendirectory»àlapage235. Contrôledel accèsauxserveursetservicesopendirectory Vouspouvezcontrôlerl accèsàunmaîtreouàunerépliqueopendirectoryencontrôlantquellespersonnespeuventouvrirunesessionàl aidedelafenêtred ouverturede sessionoudel outildelignedecommandessh.pourensavoirplus,consultez:  «Contrôledel accèsàlafenêtred ouverturedesessiond unserveur»àlapage206  «Contrôledel accèsauservicessh»àlapage206  «Configurationducontrôled accèsàunservice»àlapage207  «Configurationdeprivilègesdefiche»àlapage208 205

Contrôledel accèsàlafenêtred ouverturedesessiond unserveur VouspouvezutiliserAdminServeurpourcontrôlerquelsutilisateurspeuventouvrir unesessionmacosxserveràl aidedelafenêtred ouverturedesession.lesutilisateursdisposantd autorisationsd administrateurdeserveursonttoujoursautorisésà ouvrirunesessionsurleserveur. Pourcontrôlerl utilisationdelafenêtred ouverturedesessionsurunserveur: 1 OuvrezAdminServeuretconnectez-vousauserveur. 2 CliquezsurRéglages,puissurAccès. 3 CliquezsurServices. 4 Sélectionnez«Pourlesservicessélectionnés»,puischoisissez«Fenêtred ouverturede session»danslalistedegauche. 5 Sélectionnez«Autoriserlesutilisateursetgroupesci-dessous»,puismodifiezlaliste desutilisateursetdesgroupesquevoussouhaitezautoriseràouvrirunesessionà l aidedelafenêtred ouverturedesessionduserveur:  Ajoutezlesutilisateursougroupesquipeuventutiliserlafenêtred ouverturedesessionencliquantsurleboutonajouter(+)etenfournissantlesinformationsrequises.  Supprimezdesutilisateursoudesgroupesdelalisteenensélectionnantunou plusieurs,puisencliquantsurleboutonsupprimer( ). 6 CliquezsurEnregistrer. Silacase«Autorisertouslesutilisateursetgroupes»estcochéelorsquevoussélectionnez«Pourlesservicessélectionnés»àl étape4,touslesservicesàl exceptionde lafenêtred ouverturedesessionserontaccessiblesàtouslesutilisateursetgroupes. Sivoussouhaitezrestreindrel accèsàunserviceénumérédanslalisteenplusdela fenêtred ouverturedesession,sélectionnez-le,cochezlacase«autoriserlesutilisateursetgroupesci-dessous»,puisajoutezdesutilisateursetdesgroupesàlaliste. Sivoussouhaitezquetouslesutilisateurspuissentouvrirunesessionàl aidede lafenêtred ouverturedesessionduserveur,sélectionnez«fenêtred ouverture desession»,puiscochezlacase«autorisertouslesutilisateursetgroupes». Contrôledel accèsauservicessh VouspouvezutiliserAdminServeurpourcontrôlerlesutilisateursquipeuventouvrir uneconnexionparlalignedecommandeàmacosxserveràl aidedelacommande sshdansterminal.lesutilisateursdisposantd autorisationsd administrateurdeserveursonttoujoursautorisésàseconnecteràl aidedelacommandessh. LacommandesshutiliseleserviceSSH(SecureShell).Pourensavoirplussurl utilisationdelacommandessh,consultezledocumentadministrationdelignedecommande. 206 Chapitre9MaintenancedesservicesOpenDirectory

Pourcontrôlerl ouvertured uneconnexionsshàunserveurdistant: 1 OuvrezAdminServeuretconnectez-vousauserveur. 2 CliquezsurRéglages,puissurAccès. 3 CliquezsurServices. 4 Sélectionnez«Pourlesservicessélectionnés»,puischoisissezSSHdanslalistedegauche. 5 Sélectionnez«Autoriserlesutilisateursetgroupesci-dessous»,puismodifiezlaliste desutilisateursetdesgroupesquevoussouhaitezautoriseràseconnecterauserveur viassh:  AjoutezlesutilisateursougroupesautorisésàouvrirdesconnexionsSSHencliquant surleboutonajouter(+)etenfournissantlesinformationsrequises.  Supprimezdesutilisateursoudesgroupesdelalisteenensélectionnantunou plusieurs,puisencliquantsurleboutonsupprimer( ). 6 CliquezsurEnregistrer. Silacase«Autorisertouslesutilisateursetgroupes»estcochéelorsquevoussélectionnez«Pourlesservicessélectionnés»àl étape4,touslesservicesàl exceptionde SSHserontaccessiblesàtouslesutilisateursetgroupes. Sivoussouhaitezrestreindrel accèsàunserviceénumérédanslalisteenplusdessh, sélectionnez-le,cochezlacase«autoriserlesutilisateursetgroupesci-dessous», puisajoutezdesutilisateursetdesgroupesàlaliste. SivoussouhaitezquetouslesutilisateurspuissentouvriruneconnexionSSHavec leserveur,sélectionnezssh,puiscochezlacase«autorisertouslesutilisateurset groupes». Configurationducontrôled accèsàunservice Vouspouvezconfigurerdeslistesdecontrôled accèsàunservice(sacl)àl aide d AdminServeur.LesSACLvouspermettentdespécifierquelsadministrateursont accèsàopendirectory. LesSACLoffrentuneplusgrandesouplessepourladéfinitiondesadministrateurs autorisésàcontrôleretàgérerleservice.seulslesutilisateursetlesgroupesquifigurentdansunesaclontaccèsauserviceenquestion.parexemple,sivoussouhaitez accorderunaccèsadministrateuràdesutilisateursougroupespourleserviceopen Directorysurvotreserveur,vouspouvezlesajouteràlaSACLOpenDirectory. Chapitre9MaintenancedesservicesOpenDirectory 207

Pourdéfinirdesautorisationsd administrateursaclpourleserviceopendirectory: 1 OuvrezAdminServeuretconnectez-vousauserveur. 2 CliquezsurRéglages,puissurAccès. 3 CliquezsurAdministrateurs. 4 Sélectionnezleniveauderestrictionsouhaitépourlesservices. Pourrestreindrel accèsàtouslesservices,sélectionnez«pourtouslesservices». Pourdéfinirdesautorisationsd accèspourdesservicesindividuels,sélectionnez«pour lesservicessélectionnés»,puischoisissezopendirectorydanslalistedesservices. 5 CliquezsurleboutonAjouter(+)pourouvrirlevoletUtilisateursetgroupes. 6 FaitesglisserdesutilisateursetdesgroupesduvoletUtilisateursetgroupesverslaliste. 7 Définissezl autorisationdesutilisateurs. Pouraccorderunaccèsadministrateur,choisissezAdministrateurdanslemenulocal Autorisationsituéenregarddunomd utilisateur. Pouraccorderunaccèsdecontrôle,choisissezSurveillerdanslemenulocalAutorisation situéenregarddunomd utilisateur. 8 CliquezsurEnregistrer. Configurationdeprivilègesdefiche Vouspouvezconfigurerdesprivilègesdeficheàl aided AdminServeur.Cesprivilèges vouspermettentdespécifierlesutilisateursougroupesautorisésàadministrerles typesdefichesetlesattributsdanslabasededonnéesdudomainederépertoire. Pourconfigurerdesprivilègespourdestypesdefichesetdesattributs: 1 OuvrezAdminServeuretconnectez-vousauserveur. 2 Cliquezsurletrianglesetrouvantàgaucheduserveur. Lalistedesservicesapparaît. 3 DanslalisteServeursdéveloppée,sélectionnezOpenDirectory. 4 CliquezsurRéglages,puissurAutorisations. 5 DanslalisteEnregistrement,sélectionnezlestypesdefichesetlesattributsque lesutilisateursougroupespourrontadministrer. Administrersignifiequel utilisateurpeutmodifierlescaractéristiquesd uneficheexistante. Pourautoriserlesutilisateurssélectionnésàadministrertouteslesfiches,sélectionnez «Pourtouteslesfiches». Pourautoriserlesutilisateurssélectionnésàadministrerdesfichesspécifiques, sélectionnez«pourlesfichessélectionnées»,puischoisissezlesfichesquevos utilisateurspourrontadministrer. 6 CliquezsurleboutonAjouter(+)pourouvrirlevoletUtilisateursetgroupes. 208 Chapitre9MaintenancedesservicesOpenDirectory

7 FaitesglisserdesutilisateursetdesgroupesduvoletUtilisateursetgroupesverslaliste. Lesutilisateursquevousajoutezàlalisteaurontl autorisationd administrerlaficheen question. 8 DanslalisteEnregistrement,sélectionnezlestypesdefichesetlesattributsque lesutilisateursougroupespourrontcréer. Créersignifiequel utilisateurpourracréerletypedeficheenquestion(parexemple, créerunesalledeconférence). Pourautoriserlesutilisateurssélectionnésàcréertouteslesfiches,sélectionnez «Pourtouteslesfiches». Pourautoriserlesutilisateurssélectionnésàcréerdesfichesspécifiques,sélectionnez «Pourlesfichessélectionnées»,puischoisissezlesfichesquevosutilisateurspourront créer. 9 CliquezsurleboutonAjouter(+)pourouvrirlevoletUtilisateursetgroupes. 10 FaitesglisserdesutilisateursetdesgroupesduvoletUtilisateursetgroupesverslaliste. Lesutilisateursquevousajoutezàlalisteaurontl autorisationdecréerlaficheenquestion. 11 CliquezsurEnregistrer. Contrôled OpenDirectory Vouspouvezafficherlesétatsetleshistoriquesd OpenDirectory.Vouspouvezégalementexaminerleshistoriquesd authentificationopendirectorypourychercherdes tracesd activitéssuspectes. Pourobtenirdesinstructions,consultezlesrubriquessuivantes:  «Contrôledel étatd unserveuropendirectory»àlapage210  «Contrôledesrépliquesetdesrelaisd unmaîtreopendirectory»àlapage210  «AffichagedesétatsetdeshistoriquesOpenDirectory»àlapage211  «Contrôledel authentificationopendirectory»àlapage211 Chapitre9MaintenancedesservicesOpenDirectory 209

Contrôledel étatd unserveuropendirectory VouspouvezcontrôlerlebonfonctionnementdumaîtreOpenDirectoryàl aide d AdminServeur. Pourcontrôlerl étatd unserveuropendirectory: 1 OuvrezAdminServeuretconnectez-vousauserveur. 2 Cliquezsurletrianglesetrouvantàgaucheduserveur. Lalistedesservicesapparaît. 3 DanslalisteServeursdéveloppée,sélectionnezOpenDirectory. 4 CliquezsurVued ensemble. 5 Assurez-vousquel étatdetouslesélémentsrépertoriésdanslasous-fenêtred aperçu OpenDirectoryestbien«Enservice». Sil unoul autredesélémentsestarrêté,cliquezsurréactualiser(ouchoisissez Présentation>Réactualiser).SiKerberosrestearrêté,consultezlarubrique «SiKerberosestarrêtésurunmaîtreouunerépliqueOpenDirectory»àlapage235. Contrôledesrépliquesetdesrelaisd unmaîtreopendirectory GrâceàAdminServeur,vouspouvezcontrôlerl étatdelacréationderépliquesetde laréplicationencours. Pourcontrôlerlesrépliquesetlesrelaisd unmaîtreopendirectory: 1 OuvrezAdminServeuretconnectez-vousauserveur. 2 Cliquezsurletrianglesetrouvantàgaucheduserveur. Lalistedesservicesapparaît. 3 DanslalisteServeursdéveloppée,sélectionnezOpenDirectory. 4 CliquezsurRéglagespuissurGénéralpourafficherlalistedesrépliquesetl étatde chacuned elles. L étatd unenouvellerépliqueindiquesisacréationaréussi.ensuite,l étatindiquesi ladernièretentativederéplicationaréussi. 210 Chapitre9MaintenancedesservicesOpenDirectory

AffichagedesétatsetdeshistoriquesOpenDirectory VouspouvezutiliserAdminServeurpourafficherlesinformationsd étatetleshistoriques desservicesopendirectory.leshistoriquessuivantssontdisponibles:  Historiqueduserveurdeservicesderépertoires  Historiquedeserreursdesservicesderépertoires  Historiquekadmin  Historiquekdc  LDAPhistorique  Historiqueduserveurduservicedemotdepasse  Historiquedeserreursduservicedemotdepasse  Historiquederéplicationduservicedemotdepasse  Historiqueslapconfig Pourvisualiserdeshistoriquesoudesétatsdeservicesderépertoires: 1 OuvrezAdminServeuretconnectez-vousauserveur. 2 Cliquezsurletrianglesetrouvantàgaucheduserveur. Lalistedesservicesapparaît. 3 DanslalisteServeursdéveloppée,sélectionnezOpenDirectory. 4 CliquezsurVued ensemblepourafficherlesinformationsd état. 5 CliquezsurHistoriquesetutilisezlemenulocalAfficherpourchoisirl historiqueque voussouhaitezconsulter. Lechemind accèsaufichierd historiqueestaffichéau-dessusdel historique. 6 Sivouslesouhaitez,vouspouvezsaisirdutextedanslechampFiltreetappuyersur Retourpourn afficherqueleslignescontenantletextequevousavezsaisi. Contrôledel authentificationopendirectory Vouspouvezutiliserleshistoriquesduservicedemotdepasse,quevouspouvezconsulteràl aided AdminServeur,pourcontrôlerlestentativesd ouverturedesession ayantéchouéetainsiidentifierlesactivitéssuspectes. OpenDirectoryconsigneleséchecsd authentificationdansdeshistoriques,ycompris lesadressesipquilesontgénérés.réexaminezrégulièrementleshistoriquesafinde déterminers ilexisteungrandnombredetentativesinfructueusespourunmême identifiantdemotdepasse,cequiindiqueraitqu unepersonneestpeut-êtreentrain d essayerdedevinerdesmotsdepasse. Chapitre9MaintenancedesservicesOpenDirectory 211

Pourafficherleshistoriquesd authentificationopendirectory: 1 OuvrezAdminServeuretconnectez-vousauserveur. 2 Cliquezsurletrianglesetrouvantàgaucheduserveur. Lalistedesservicesapparaît. 3 DanslalisteServeursdéveloppée,sélectionnezOpenDirectory. 4 CliquezsurHistoriques,puischoisissezl historiquekdcouunhistoriqueduservicede motdepassedanslemenulocalafficher. Affichageetmodificationdesdonnéesderépertoire Vouspouvezafficheroumodifierlesdonnéesderépertoirebrutesàl aidedel InspecteurdansGestionnairedegroupedetravail.Àl aidedel Inspecteur,vouspouvezafficherlesdonnéesderépertoirequevousnepouvezpasconsulterautrementdans Gestionnairedegroupedetravail. L Inspecteurvouspermetdemodifierlesdonnéesderépertoirequevousnepouvez pasmodifierautrementdansgestionnairedegroupedetravail.vouspouvez,par exemple,utiliserl Inspecteurpourmodifierlenomabrégéd unutilisateur. Pourensavoirplus,consultez:  «Affichagedel Inspecteurderépertoire»àlapage212  «Masquagedel inspecteurderépertoire»àlapage213  «Définitiondecontrôlesd accèsauxrépertoires(dac,directoryaccesscontrols)»à lapage213  «Suppressiond enregistrements»àlapage214  «Suppressiond utilisateursoud ordinateursàl aidedel Inspecteuroudelalignede commande»àlapage215  «Modificationdunomabrégéd unutilisateur»àlapage216 Affichagedel Inspecteurderépertoire Vouspouvezafficherl InspecteurdansGestionnairedegroupedetravailensélectionnantuneoptiondanslesPréférencesdeGestionnairedegroupedetravail.Vouspouvezensuiteaccéderàl Inspecteurpourvisualiseroumodifierdesdonnéesde répertoirebrutes. AVERTISSEMENT:lamodificationdedonnéesderépertoirebrutespeutavoirdes conséquencesimprévisiblesetindésirables.vouspourriezinvolontairement désactiverunutilisateurouunordinateur,ouautoriserlesutilisateursàaccéderà unnombreplusélevéderessourcesqueprévu. 212 Chapitre9MaintenancedesservicesOpenDirectory

Pourafficherl Inspecteur: 1 OuvrezGestionnairedegroupedetravail. 2 ChoisissezGestionnairedegroupedetravail>Préférences. 3 Sélectionnez Afficherl inspecteuretl onglettouteslesfiches,puiscliquezsurok. 4 Pourafficherlesattributsd utilisateur,degroupe,d ordinateuroudegrouped ordinateurs,cliquezsurleboutonutilisateurs,groupe,ordinateurougrouped ordinateurs, puissurinspecteur(àdroite). 5 Pourafficherd autrestypesdefiches,cliquezsurleboutontouteslesfichesenregard duboutongrouped ordinateurs,puischoisissezuntypedefichedanslemenulocal situéenhautdelaliste. Lemenulocalaffichetouslestypesd enregistrementstandardquiexistentdansle domainederépertoire.vouspouvezégalementchoisirnatifdanslemenulocal,puis saisirlenomd unefiched originedanslechampquiapparaîtsouslemenulocal.la listeaffichetouteslesfiches,ycomprislesfichesprédéfinies,dutypedefichesélectionné. Masquagedel inspecteurderépertoire Sil InspecteurestvisibledansGestionnairedegroupedetravail,vouspouvezlemasquer enmodifiantuneoptiondanslespréférencesdegestionnairedegroupedetravail. Pourmasquerl Inspecteur: 1 OuvrezGestionnairedegroupedetravail. 2 ChoisissezGestionnairedegroupedetravail>Préférences. 3 Désélectionnez Afficherl inspecteuretl onglettouteslesfiches,puiscliquezsurok. Définitiondecontrôlesd accèsauxrépertoires(dac,directory AccessControls) OpenDirectorypermetdedéfinirdescontrôlesd accèsauxrépertoires(dac)pour touteslespartiesdel annuaireldap;vouspouvezainsispécifierquelsutilisateurs sontautorisésàapporterdesmodificationsetcequ ilssontautorisésàmodifier. OpenDirectorystockelescontrôlesd accèsauxrépertoiresdansuneficheapple-acl quevouspouvezmodifieràl aidedel InspecteurdeGestionnairedegroupedetravail. Pourmodifierlescontrôlesd accèsauxrépertoires: 1 OuvrezGestionnairedegroupedetravailetaffichezl Inspecteurs ilestmasqué. Pourensavoirplus,consultezlarubrique«Affichagedel Inspecteurderépertoire»àla page212. 2 Ouvrezledomainederépertoirepourlequelvoussouhaitezdéfinirdescontrôles d accèsetauthentifiez-vouscommeadministrateurdudomaine. Pourouvrirundomainederépertoire,cliquezsurl icônedeglobeau-dessusdelaliste desutilisateurs,puischoisissezundomainedanslemenulocal. Chapitre9MaintenancedesservicesOpenDirectory 213

3 CliquezsurleboutonTouteslesfiches(enregardduboutonGrouped ordinateurs), puischoisissezaccesscontrolsdanslemenulocalsituéenhautdelaliste. 4 Sélectionnez«pardéfaut»danslalistedesfiches. 5 SélectionnezAccessControlEntrydanslalistedesattributs;siuntriangleestvisible enregardd AccessControlEntry,cliquezdessuspouraffichertouteslesentréesde contrôled accès. 6 SélectionnezAccessControlEntry,puiscliquezsurModifierpourchangerlavaleurou cliquezsurnouvellevaleurpourajouterunevaleuraccesscontrolentry. Vouspouvezaussidouble-cliquersurunevaleurpourlamodifier. 7 CliquezsurEnregistrer. Suppressiond enregistrements Vouspouvezutiliserl InspecteurdeGestionnairedegroupedetravailpoursupprimer unefiche. AVERTISSEMENT:aprèsavoirutilisél Inspecteurpoursupprimerunefiched utilisateur oud ordinateur,utilisezlesoutilsdelignedecommandepoursupprimerl identité Kerberosetlelogementdeserveurdemotsdepassecorrespondants.Sivous conservezuneidentitékerberosouunlogementdeserveurdemotsdepasseaprès avoirsupprimélafichecorrespondante,desconflitspeuventseproduire ultérieurementlorsdelacréationd unefiched utilisateuroud ordinateur. AVERTISSEMENT:lasuppressiond enregistrementspeutprovoquerun comportementdésordonnéduserveurousonarrêt.nesupprimezunefichequesi vousêtessûrqu ellen estpasrequisepourlebonfonctionnementduserveur. Poursupprimerdesenregistrementsavecl Inspecteur: 1 OuvrezGestionnairedegroupedetravailetaffichezl Inspecteurs ilestmasqué. Pourensavoirplus,consultezlarubrique«Affichagedel Inspecteurderépertoire»àla page212. 2 Ouvrezledomainederépertoiredanslequelvoussouhaitezsupprimerunefiche, puisauthentifiez-vousentantqu administrateurdudomaine. Pourouvrirundomainederépertoire,cliquezsurl icônedeglobeau-dessusdelaliste desutilisateurs,puischoisissezundomainedanslemenulocal. 3 CliquezsurleboutonTouteslesfiches(enregardduboutonGrouped ordinateurs), puischoisissezuntypedefichedanslemenulocalsituéenhautdelaliste. 4 Sélectionnezlaoulesfichesàsupprimerdanslalistedesfiches. 5 CliquezsurSupprimer(ouchoisissezServeur>Supprimerlesfichessélectionnées). 214 Chapitre9MaintenancedesservicesOpenDirectory

Suppressiond utilisateursoud ordinateursàl aidedel Inspecteurou delalignedecommande Sivousutilisezl InspecteurdansGestionnairedegroupedetravailoulesoutilsdeligne decommandedansterminalpoursupprimerunefiched utilisateuroud ordinateur dontl attributauthenticationauthorityinclutunevaleurkerberosoudeserveurde motsdepasse,vousdevezsupprimerl identitékerberosetlelogementdeserveurde motsdepassecorrespondants. SivousconservezuneidentitéKerberosdanslecentrededistributiondeclésKerberos ouunlogementdeserveurdemotsdepasseaprèsavoirsupprimélafichecorrespondante,desconflitspeuventseproduireultérieurementlorsdelacréationd unefiche d utilisateuroud ordinateur. Sil attributauthenticationauthorityinclutunevaleurcommençantpar;kerberosv5;, utilisezlacommandedelete_principaldel outildelignedecommandekadmin.local dansterminalpoursupprimerl identitékerberoscorrespondanteducentrededistributiondecléskerberos.pourensavoirplus,consultezlapagemandekadmin.local. Sil attributauthenticationauthorityinclutunevaleurcommençantpar;applepasswordserver;,utilisezlacommande-deleteslotdel outildelignedecommande mkpassdbdansterminalpoursupprimerlelogementdeserveurdemotsdepassec orrespondant.pourensavoirplus,consultezlapagemandemkpassdb. Sivoussupprimezuncompted utilisateurdansgestionnairedegroupedetravailencliquantsurleboutonutilisateur(etnonsurleboutontouteslesfiches)situéàgauche, ensélectionnantlecompted utilisateur,puisencliquantsursupprimerdanslabarre d outilsdegestionnairedegroupedetravail(ouenchoisissantserveur>supprimer l utilisateursélectionné),gestionnairedegroupedetravailsupprimeautomatiquement lelogementdeserveurdemotsdepasseetl identitékerberosducompted utilisateur. Demême,sivoussupprimezunefiched ordinateurenlasélectionnantdansungroupe d ordinateurspuisencliquantsurleboutonsupprimer( ),Gestionnairedegroupede travailsupprimeautomatiquementlelogementdeserveurdemotsdepasseetl identitékerberosducompted utilisateur. Chapitre9MaintenancedesservicesOpenDirectory 215

Modificationdunomabrégéd unutilisateur Pourmodifierlepremiernomabrégéd unutilisateur,vouspouvezutiliserl outilde lignedecommandeldapmodrdndansterminal.touslesnomsabrégésàl exception dupremierpeuventêtremodifiésdanslasous-fenêtreélémentairesd unefenêtre d utilisateurgestionnairedegroupedetravail. AVERTISSEMENT:lamodificationdunomabrégéd unutilisateurpeutavoirdes conséquencesinattenduesetindésirables.d autresservicesutilisentlenomabrégé desutilisateurspourlesidentifierdemanièreuniqueetpersistante. Ainsi,lamodificationdupremiernomabrégéd unutilisateurn affectepaslenom desondossierdedépart.l utilisateurdisposedumêmedossierdedépart(bienque lenomdecederniernecorrespondeplusaunouveaunomabrégédel utilisateur) saufs ilaccèdeàsondossierdedépartentantquemembred ungroupe. L exemplesuivantexpliquecommentmodifierlenomabrégéd uncompted utilisateur àl aidedeldapmodrdn: $ ldapmodrdn -U adminrép n -Y "cram-md5" -W -r "uid=anciennomabrégé, cn=utilisateurs,dc=exemple,dc=com" "uid=nouveaunomabrégé" CetexemplesupposequevousutilisiezTerminalsurleserveurmaîtreOpenDirectory ouquevousayezétabliuneconnexionsshauserveurmaîtreopendirectoryàl aide determinalsurunautreordinateur. Danscetexemple,vousdevezremplaceradminrépparlenomd unadministrateurde répertoire,anciennomabrégéparlenomabrégéàmodifieretnouveaunomabrégépar lenouveaunomabrégé. Vousdevezégalementremplacerdc=exemple,dc=comparlesuffixedebasederechercheduserveur.LesuffixedebasederechercheduserveurestindiquédanslasousfenêtrederéglagesProtocolesduserviceOpenDirectorydansAdminServeur. Sivousutilisez ldapmodrdnpourmodifierlepremiernomabrégéd unefiched utilisateurcontenantplusieursnomsabrégés,lesecondnomabrégédelafichedevient lepremieretlenouveaunomabrégé,ledernier. Pourréorganiserlesnomsabrégés,utilisezl outildelignedecommandeldapmodify. Pourensavoirplus,consultezlapagemandeldapmodify. 216 Chapitre9MaintenancedesservicesOpenDirectory

Importationd enregistrementsdetoustypes Gestionnairedegroupedetravailpeutimportertouslestypesd enregistrementsdans lerépertoireldapd unmaîtreopendirectory.celacouvrelesutilisateurs,lesgroupes, lesgroupesd ordinateurs,lesordinateursettouslesautrestypesdefichesmacosx standard. Important:sivousimportezdesfichesd utilisateuroudegroupedepuisunfichier exportéparmacosxserver10.3ouantérieur,chaqueficheimportéesevoitattribuer unidentifiantglobalunique(guid). PourvousassurerquelesGUIDetleurrelationavecdesutilisateursetgroupesspécifiquesrestentinchangés(encasderéimportationdesmêmesutilisateursetgroupes), créezunfichierd exportationàl aidedegestionnairedegroupedetravaildans MacOSXServer10.5.Utilisezlefichierd exportationdelaversion10.5aulieudecelui crééàl aidedelaversionantérieureduserveur. Pourobtenirunelistedestypesd enregistrementsetdesattributsquipeuventêtre importés,consultezlefichiersuivant: /Système/Bibliothèque/Frameworks/DirectoryService.framework/Headers/DirServicesConst.h Pourobtenirdesinformationssurlestypesdefichesetlesattributslespluscourants, consultezlarubrique«typesd enregistrementsetattributsopendirectorystandard» àlapage293. Pourensavoirplussurl exportationd utilisateursetdegroupesàl aidedegestionnaire degroupedetravailetsurl importationdefichesdetouttype,consultezledocument Gestiondesutilisateurs. Définitiondesoptionsd unserveuropendirectory Vouspouvezdéfinirdespolitiquesdeliaison,desécuritéetdemotdepassepourun maîtreopendirectoryetsesrépliques.vouspouvezaussidéfinirplusieursoptions LDAPpourunmaîtreouunerépliqueOpenDirectory.Pourensavoirplus,consultez cequisuit:  «Configurationd unepolitiquedeliaisonpourunserveuropendirectory»àlapage218  «Configurationd unrèglementdesécuritépourunserveuropendirectory»àla page219  «Changementdepolitiquedemotdepasseglobale»àlapage129  «Modificationdel emplacementd unebasededonnéesldap»àlapage220  «LimitationdesrésultatsdelarecherchepourleserviceLDAP»àlapage221  «DéfinitiondudélaiderechercheautorisépourleserviceLDAP»àlapage221  «ConfigurationdeSSLpourleserviceLDAP»àlapage222  «Créationd uneconfigurationsslpersonnaliséepourldap»àlapage222 Chapitre9MaintenancedesservicesOpenDirectory 217

Configurationd unepolitiquedeliaisonpourunserveuropendirectory Àl aided AdminServeur,vouspouvezconfigurerunmaîtreOpenDirectorypourqu il autoriseouexigeuneliaisonsécuriséeentrel annuaireldapetlesordinateursquiy accèdent.lesrépliquesd unmaîtreopendirectoryhéritentautomatiquementdesa politiquedeliaison. UneliaisonLDAPsécuriséeestauthentifiéemutuellement.L ordinateurprouveson identitéenutilisantlenometlemotdepassed unadministrateurdurépertoireldap pours authentifierauprèsdurépertoireldap.l annuaireldapprouvesonauthenticité aumoyend unefiched ordinateurauthentifiéquiestcrééedanslerépertoirelorsque vousconfigurezlaliaisonsécurisée. LesclientsnepeuventpasêtreconfiguréspourutiliseràlafoislaliaisonLDAPsécurisée etunserveurldapfourniparledhcp(connuaussisouslenomd optiondhcp95). LaliaisonLDAPsécuriséeestenréalitéuneliaisonstatique,alorsqueleLDAPfournile DHCPestuneliaisondynamique.Pourensavoirplus,consultezlarubrique«Activation oudésactivationd unrépertoireldapfourniviadhcp»àlapage158. Remarque:pourpouvoirutiliserlaliaisonLDAPsécurisée,lesclientsontbesoinde laversion10.4ouultérieuredemacosxoumacosxserver.lesclientssous10.3ou antérieurnepeuventpasconfigurerdeliaisonsécurisée. PourconfigurerlapolitiquedeliaisonpourunmaîtreOpenDirectory: 1 OuvrezAdminServeuretconnectez-vousauserveurmaîtreOpenDirectory. 2 Cliquezsurletrianglesetrouvantàgaucheduserveur. Lalistedesservicesapparaît. 3 DanslalisteServeursdéveloppée,sélectionnezOpenDirectory. 4 CliquezsurRéglages,puissurRèglement. 5 CliquezsurLiaison,puisdéfinissezlesoptionsdeliaisonderépertoiresouhaitées.  Pourautoriserlaliaisonsécurisée,sélectionnez«Activerlaliaisonderépertoire authentifiée».  Pourexigerlaliaisonsécurisée,sélectionnezégalement«Requiertuneliaison authentifiéeentrel annuaireetlesclients». 6 CliquezsurEnregistrer. Important:sivousactivezlesoptions«Cryptertouslespaquets(requiertSSLou Kerberos)»et«Activerlaliaisonderépertoireauthentifiée»,assurez-vousquevos utilisateursutilisentl uneoul autrepourlaliaison,maispaslesdeux. 218 Chapitre9MaintenancedesservicesOpenDirectory

Configurationd unrèglementdesécuritépourunserveur OpenDirectory Àl aided AdminServeur,vouspouvezconfigurerunepolitiquedesécuritépouraccéder aurépertoireldapd unmaîtreopendirectory. LesrépliquesdumaîtreOpenDirectoryhéritentautomatiquementdesonrèglement desécurité. Remarque:sivousmodifiezlerèglementdesécuritédel annuaireldapd unmaître OpenDirectory,vousdevezdéconnecterpuisreconnecter(romprepuisrétablirlaliaison de)chaqueordinateurconnecté(lié)àcetannuaireldap.utilisezl Utilitairederépertoirecommedécritdans«Suppressiond uneconnexionàunserveurderépertoire»àla page142et«ajoutd uneconnexionàunserveuropendirectory»àlapage142. PourconfigurerlapolitiquedesécuritépourunmaîtreOpenDirectory: 1 OuvrezAdminServeuretconnectez-vousauserveurmaîtreOpenDirectory. 2 Cliquezsurletrianglesetrouvantàgaucheduserveur. Lalistedesservicesapparaît. 3 DanslalisteServeursdéveloppée,sélectionnezOpenDirectory. 4 CliquezsurRéglages,puissurRèglement. 5 CliquezsurLiaison,puisdéfinissezlesoptionsdesécuritésouhaitées:  «Désactiverlesmotsdepasseenclair»déterminesilesclientspeuventenvoyer lesmotsdepasseenclairsilesmotsdepassenepeuventpasêtrevalidésàl aide d uneméthoded authentificationquienvoiedesmotsdepassecryptés.pourensavoir plus,consultezlesrubriques«sélectiondeméthodesd authentificationpourdesutilisateursdemotsdepasseshadow»àlapage132et«sélectiondeméthodesd authentificationpourdesutilisateursdemotsdepasseopendirectory»àlapage133.  «Signertouslespaquetsnumériquement(requiertKerberos)»permetdes assurerquelesdonnéesderépertoireprovenantduserveurldapneserontpasinterceptéesetmodifiéesparunautreordinateurpendantleurtransitverslesordinateurs clients.  «Cryptertouslespaquets(requiertSSLouKerberos)»obligeleserveurLDAPà crypterlesdonnéesderépertoireàl aideduprotocolessloudekerberosavantde lesenvoyerauxordinateursclients.  «Bloquerlesattaques«Man-in-the-Middle»(requiertKerberos)»empêcheunserveurmalveillantdesefairepasserpourleserveurLDAP.Plusefficaceavecl option Signertouslespaquetsnumériquement.  «Désactiverlamiseencacheduclient»empêchelesordinateursclientsdemettre encachelesdonnéesldapenlocal.  «Autoriserlesutilisateursàmodifierleursinformationsdecontactpersonnelles» autoriselesutilisateursàmodifierleursinformationsdecontactsurleserveurldap. Chapitre9MaintenancedesservicesOpenDirectory 219

6 CliquezsurEnregistrer. Important:sivousactivezlesoptions«Cryptertouslespaquets(requiertSSLou Kerberos)»et«Activerlaliaisonderépertoireauthentifiée»,assurez-vousquevos utilisateursutilisentl uneoul autrepourlaliaison,maispaslesdeux. Enfonctiondesréglagesdéfinisici,lesoptionsdesécuritépeuventaussiêtreconfiguréessurlesdifférentsclientsd unmaîtreoud unerépliqueopendirectory.sivous sélectionnezuneoptionici,ellenepourrapasêtredésélectionnéepourunclient.pour ensavoirplussurlaconfigurationdecesoptionssurunclient,consultezlarubrique «ModificationdelapolitiquedesécuritépouruneconnexionLDAP»àlapage171. Modificationdel emplacementd unebasededonnéesldap Àl aided AdminServeur,vouspouvezspécifierl emplacementdudisquedelabasede donnéesquistockelesfichesd utilisateuretd autresinformationsdansundomainede répertoireldapd unmaîtreoud unerépliqueopendirectory.labasededonnées LDAPestgénéralementsituéesurlevolumededémarrage,maisellepeutsetrouver surunautrevolumelocal. Remarque:pourdesraisonsdesécurité,lesbasesdedonnéesquicontiennentles informationsd authentificationpouropendirectoryetkerberossonttoujoursplacées surlevolumededémarrage,quelquesoitl emplacementdelabasededonnéesldap. Pourmodifierl emplacementd unebasededonnéesldap: 1 OuvrezAdminServeuretconnectez-vousaumaîtreouàunerépliqueOpenDirectory. 2 Cliquezsurletrianglesetrouvantàgaucheduserveur. Lalistedesservicesapparaît. 3 DanslalisteServeursdéveloppée,sélectionnezOpenDirectory. 4 CliquezsurRéglages,puissurLDAP. 5 ChoisissezRéglagesLDAPdanslemenulocalConfigurer,puisspécifiezlechemin d accèsaudossierdanslequelvousvoulezplacerlabasededonnéesldap. Vouspouvezsaisirlechemind accèsàundossierdanslechampbasededonnéesou sélectionnerl emplacementd undossierencliquantsurchoisirpuisennaviguant jusqu àl emplacementdanslequelvousvoulezplacerledossier. 6 CliquezsurEnregistrer. 220 Chapitre9MaintenancedesservicesOpenDirectory

LimitationdesrésultatsdelarecherchepourleserviceLDAP AdminServeurvouspermetd empêcheruntyped attaqueparsaturationsur lemacosxserverenlimitantlenombrederésultatsderechercherenvoyés parledomainederépertoireldappartagéduserveur.celaempêcheunutilisateur malveillantdebloquerleserveurenluienvoyantdesrequêtesderecherchesldap multiplesetcomplexes. PourlimiterlesrésultatsdelarechercheLDAP: 1 OuvrezAdminServeuretconnectez-vousaumaîtreouàunerépliqueOpenDirectory. 2 Cliquezsurletrianglesetrouvantàgaucheduserveur. Lalistedesservicesapparaît. 3 DanslalisteServeursdéveloppée,sélectionnezOpenDirectory. 4 CliquezsurRéglages,puissurLDAP. 5 ChoisissezRéglagesLDAPdanslemenulocalConfigurer,puissaisissezlenombremaximumderésultatsderechercheàrenvoyerdanslechamp«Renvoyerunmaximumde résultatsdelarecherche». 6 CliquezsurEnregistrer. DéfinitiondudélaiderechercheautorisépourleserviceLDAP Àl aided AdminServeur,vouspouvezempêcheruntyped attaqueparsaturationsur leserveurmacosxserverenlimitantletempsallouéauserveurpoureffectuerune recherchesursondomainederépertoireldappartagé. Celaempêcheunutilisateurmalveillantdebloquerleserveurenluienvoyantune requêtederechercheldapexceptionnellementcomplexe. PourdéfinirundélaiderecherchepourleserviceLDAP: 1 OuvrezAdminServeuretconnectez-vousaumaîtreouàunerépliqueOpenDirectory. 2 Cliquezsurletrianglesetrouvantàgaucheduserveur. Lalistedesservicesapparaît. 3 DanslalisteServeursdéveloppée,sélectionnezOpenDirectory. 4 CliquezsurRéglages,puissurLDAP. 5 ChoisissezRéglagesLDAPdanslemenulocalConfigurer,puisdéfinissezundélaide recherchedanslechamp«larechercheexpiredans». Définissezledélaiàl aidedumenulocal. 6 CliquezsurEnregistrer. Chapitre9MaintenancedesservicesOpenDirectory 221

Pourobtenirdesinformationsdétailléessurladéfinition,l obtentionetl installation decertificatssurvotreserveur,consultezledocumentconfigurationdelasécuritéde MacOSXServer. LescommunicationsSSLpourLDAPutilisentleport636.SiSSLestdésactivépour leserviceldap,lescommunicationssontenvoyéesenclairsurleport389. PourconfigurerdescommunicationsSSLpourleserviceLDAP: 1 OuvrezAdminServeuretconnectez-vousaumaîtreouàunerépliqueOpenDirectory. 2 Cliquezsurletrianglesetrouvantàgaucheduserveur. Lalistedesservicesapparaît. ConfigurationdeSSLpourleserviceLDAP Àl aided AdminServeur,vouspouvezactiverSecureSocketsLayer(SSL)pourlescommunicationscryptéesentreundomainederépertoireLDAPd unserveuropendirectoryetlesordinateursquiyaccèdent.sslutilisedescertificatsnumériquespour fourniruneidentitécertifiéepourleserveur.vouspouvezutiliseruncertificatautosignéouuncertificatprovenantd uneautoritédecertification. 3 DanslalisteServeursdéveloppée,sélectionnezOpenDirectory. 4 CliquezsurRéglages,puissurLDAP. 5 ChoisissezRéglagesLDAPdanslemenulocalConfigurer,puissélectionnezActiverSSL. 6 UtilisezlemenulocalCertificatpourchoisirlecertificatSSLquevoussouhaitezvoir utiliserparleserviceldap. LemenudresselalistetouslescertificatsSSLquisontinstalléssurleserveur.Pourutiliseruncertificatquinefigurepasdanslaliste,choisissezConfigurationpersonnalisée danslemenulocal. 7 CliquezsurEnregistrer. Créationd uneconfigurationsslpersonnaliséepourldap SSLutilisedescertificatsnumériquespourfourniruneidentitécertifiéepourleserveur. VouspouvezutiliserdescertificatsnumériquespersonnaliséspourconfigurerleprotocoleSSLpourvotreenvironnementréseau.Lesétapessuivantesexpliquentcomment créerdescertificatspersonnalisésàl aidedelalignedecommandeetfournissentdes instructionspourlesimplémenterdansadminserveur. PourcréeruncertificatpourleserviceOpenDirectory: 1 Générezunecléprivéepourleserveurdansledossier/usr/share/certs/: Siledossier/usr/share/certsn existepas,créez-le. $ sudo openssl genrsa -out ldapserver.key 2048 222 Chapitre9MaintenancedesservicesOpenDirectory

2 Générezunedemandedesignaturedecertificat(CSR)pourlasignaturedel autoritéde certificat(ac): $ sudo openssl req -new -key ldapserver.key -out ldapserver.csr 3 Renseignezleschampssuivantsenétantaussiexhaustifquepossible,envousassurant quelechampnomcommuncorrespondexactementaunomdedomaineduserveur LDAPetenlaissantleschampsréservésaumotdepasseChallengeetaunomde sociétéfacultatifvierges: Pays : Unité d organisation : Région/Province : Nom commun : Localité (ville) : Adresse électronique : Nom de l organisation : 4 Signezlademandeldapserver.csràl aidedelacommandeopenssl. $ sudo openssl ca -in ldapserver.csr -out ldapserver.crt 5 Lorsquevousyêtesinvité,saisissezlaphrasecléACpourpoursuivreetterminer leprocessus. LesfichiersdecertificatrequispouractiverleprotocoleSSLsurleserveurLDAP setrouventdésormaisdansledossier/usr/share/certs/. 6 OuvrezAdminServeuretconnectez-vousaumaîtreouàunerépliqueOpenDirectory. 7 Cliquezsurletrianglesetrouvantàgaucheduserveur. Lalistedesservicesapparaît. 8 DanslalisteServeursdéveloppée,sélectionnezOpenDirectory. 9 CliquezsurRéglages,puissurLDAP. 10 ChoisissezRéglagesLDAPdanslemenulocalConfigurer. 11 Sélectionnez«ActiverSSL(SecureSocketsLayer)». 12 UtilisezlemenulocalCertificatpourchoisirlecertificatSSLquevoussouhaitezvoir utiliserparleserviceldap. LemenudresselalistetouslescertificatsSSLquisontinstalléssurleserveur.Pourutiliseruncertificatquinefigurepasdanslaliste,choisissezConfigurationpersonnalisée danslemenulocal. 13 CliquezsurEnregistrer. Chapitre9MaintenancedesservicesOpenDirectory 223

GestiondelaréplicationOpenDirectory VouspouvezplanifierlaréplicationOpenDirectoryourépliqueràlademande, promouvoirunerépliqueenmaîtreoumettreunerépliquehorsservice. Pourensavoirplus,consultez:  «Planificationdelaréplicationd unmaîtreopendirectoryoud uncontrôleurde domaineprincipal(pdc)»àlapage224  «Synchronisationd unerépliqueopendirectoryoud uncontrôleurdedomaine secondaireàlademande»àlapage225  «Conversiond unerépliqueopendirectoryenunrelais»àlapage226  «Promotiond unerépliqueopendirectory»àlapage226  «Misehorsserviced unerépliqueopendirectory»àlapage229 Planificationdelaréplicationd unmaîtreopendirectoryou d uncontrôleurdedomaineprincipal(pdc) Àl aided AdminServeur,vouspouvezspécifierlafréquenceàlaquellelemaîtreOpen Directorymetàjoursesrépliquesenyintégrantlesmodificationsapportéesauxrépertoiresetauxinformationsd authentification.lemaîtrepeutmettreàjourlesrépliques dèsqu unemodificationalieudanssondomainederépertoireouenfonctiond un calendrierquevousdéfinissez. LaprocédureestlamêmesivousconfigurezvotreserveurMacOSXServerentantque contrôleurdedomaineprincipal(pdc).vousdéfinissezlecalendrierderéplicationdu contrôleurdedomaineprincipalverslecontrôleurdedomainesecondaire(bdc)en planifiantlaréplicationd OpenDirectory. PourdéfinirlafréquenceàlaquelleunmaîtreOpenDirectoryouuncontrôleurde domaineprincipalmetàjoursesrépliquesousescontrôleursdedomainesecondaires: 1 OuvrezAdminServeuretconnectez-vousaumaîtreOpenDirectoryouauserveurdu contrôleurdedomaineprincipal. 2 Cliquezsurletrianglesetrouvantàgaucheduserveur. Lalistedesservicesapparaît. 3 DanslalisteServeursdéveloppée,sélectionnezOpenDirectory. 4 CliquezsurRéglages,puissurGénéral. 224 Chapitre9MaintenancedesservicesOpenDirectory

5 Spécifiezunefréquencederéplication: Â «Répliquerverslesclientschaquefoisquelerépertoireestmodifié»:gardeles répliquesàjourentempsréel,maisaugmentelachargesurleréseau.peutaffecter lesperformancesdumaîtresiunerépliqueestconnectéeviauneliaisonréseau lente. Â «Répliquerverslesclientstous/toutesles»:permetdeplanifierdesmisesà jourmoinsfréquentes(enspécifiantunintervallepluslong).lesmisesàjourmoins fréquentesprésententl inconvénientdegénérerdesrépliquesmoinsexactesmais offrentl avantagederéduirelenombredeconnexionsréseauentrelemaîtreetses répliques.ladiminutiondunombredeconnexionspeuts avérersouhaitablesiles répliquesnefontpastoutespartiedumêmeréseaulocalquelemaître. 6 CliquezsurEnregistrer. Synchronisationd unerépliqueopendirectoryoud uncontrôleurde domainesecondaireàlademande Bienqu unmaîtreopendirectoryouuncontrôleurdedomaineprincipalsynchronise automatiquementsesdonnéesderépertoireetd authentificationaveclesrépliquesou lescontrôleursdedomainesecondairesenregistrés,vouspouvezutiliseradminserveur poursynchroniserlesdonnéesavecunerépliqueouuncontrôleurdedomainesecondairesélectionnéàlademande. PoursynchroniserunerépliqueOpenDirectoryouuncontrôleurdedomaine secondaireàlademande: 1 OuvrezAdminServeuretconnectez-vousaumaîtreOpenDirectoryouauserveurdu contrôleurdedomaineprincipal. 2 Cliquezsurletrianglesetrouvantàgaucheduserveur. Lalistedesservicesapparaît. 3 DanslalisteServeursdéveloppée,sélectionnezOpenDirectory. 4 CliquezsurRéglages,puissurGénéral. 5 Sélectionnezunerépliqueouuncontrôleurdedomainesecondairedanslaliste, puiscliquezsurrépliquer. Chapitre9MaintenancedesservicesOpenDirectory 225

Conversiond unerépliqueopendirectoryenunrelais Ilyapeudedifférencesentreunrelaisetuneréplique.Lesdeuxcontiennentunecopie enlectureseuledudomainederépertoireldapdumaîtreopendirectory,ainsiqu une copieenlectureetécritureduserveurdemotsdepasseopendirectoryetducentre dedistributiondeclés(kdc)kerberos. Unrelaisestunerépliquedirected unmaîtreopendirectoryetpossèdesespropres répliques. VouspouvezconvertirunerépliqueOpenDirectoryenrelaissilesconditionssuivantes sontréunies:  LarépliquedoitêtreunerépliquedirectedumaîtreOpenDirectory(premierniveau).  Larépliquedoitavoirsespropresrépliques(jusqu à32répliquesprisesencharge). Pourensavoirplussurlesrelais,consultez«Réplicationencascade»àlapage72. Promotiond unerépliqueopendirectory SiunmaîtreOpenDirectorytombeenpanneetquevousnepouvezpaslerécupérer àpartird unecopiedesauvegarde,vouspouveztransformerunerépliqueenmaître. Lenouveaumaître(répliquepromue)utiliselerépertoireetlesbasesdedonnées d authentificationdelaréplique. Unefoislatransformationeffectuée,vousdevezconvertirtouteslesautresrépliques del ancienmaîtreenservicesderépertoireautonomes,puisenfairedesrépliquesdu nouveaumaître. Important:n utilisezcetteprocédurequepourremplacerunmaîtreopendirectory parsaréplique.pourconserverlemaîtreopendirectoryenserviceetfairedesarépliqueunautremaître,n utilisezpascetteprocédure.mettezplutôtlerépliquehorsservice,puistransformez-laenmaîtrecommedécritdanslesrubriques«misehorsservice d unerépliqueopendirectory»àlapage229et«configurationd unmaîtreopen Directory»àlapage95. PourpromouvoirunerépliqueOpenDirectory: 1 OuvrezAdminServeuretconnectez-vousauserveurdelarépliquequevoussouhaitez convertirenmaître. 2 Cliquezsurletrianglesetrouvantàgaucheduserveur. Lalistedesservicesapparaît. 3 DanslalisteServeursdéveloppée,sélectionnezOpenDirectory. 4 CliquezsurRéglages,puissurGénéral. 5 CliquezsurModifier. L Assistantdeconfigurationdeservices ouvre. 6 SélectionnezMaîtreOpenDirectory,puiscliquezsurContinuer. 226 Chapitre9MaintenancedesservicesOpenDirectory

7 Saisissezlesinformationsd administrateurdedomainemaîtresuivantes,puiscliquez surcontinuer. Â Nom,nomabrégé,identifiantd utilisateur,motdepasse:vousdevezcréerun compted utilisateurpourl administrateurprincipaldel annuaireldap.cecompte n estpasunecopieducompted administrateurdansledomainederépertoirelocal duserveur.utilisezpourl administrateurdel annuaireldapdesnomsetunidentifiantd utilisateurdifférentsdesnomsetdesidentifiantsd utilisateurdescomptes d utilisateurquifigurentdansledomainederépertoirelocal. Remarque:sivousenvisagezdeconnectervotremaîtreOpenDirectoryàd autres domainesderépertoire,choisissezunnometunidentifiantd utilisateuruniquespour chaquedomaine.n utilisezpasl identifiantd utilisateurdiradminsuggéré.utilisezun nomvouspermettantd identifierfacilementledomainederépertoirequel administrateurderépertoirecontrôle. 8 Saisissezlesinformationsdedomainemaîtresuivantes,puiscliquezsurContinuer. Â RoyaumeKerberos:cechampestdéfinipardéfautsurlenomDNSduserveur, convertienlettresmajuscules.ils agitd uneconventionpournommerlesroyaumes Kerberos.Vouspouvezsaisirunautrenom,sinécessaire. Â Basederecherche:cechampestpréréglésurunsuffixedebasederecherchepour lenouveaurépertoireldap,dérivédelapartieréservéeaudomainedunomdnsdu serveur.vouspouvezsaisirunautresuffixedebasederechercheoulaissezlechamp vide.sivouslaissezcechampvide,lesuffixedebasederecherchepardéfautde l annuaireldapserautilisé. 9 Vérifiezlesréglages,puiscliquezsurFermer. Vosréglagessontalorsenregistrésetleserviceestredémarré. 10 DansAdminServeur,connectez-vousàuneautrerépliquedel ancienmaître. 11 Cliquezsurletrianglesetrouvantàgaucheduserveur. Lalistedesservicesapparaît. 12 DanslalisteServeursdéveloppée,sélectionnezOpenDirectory. 13 CliquezsurRéglages,puissurGénéral. 14 CliquezsurModifier. L Assistantdeconfigurationdeservices ouvre. 15 ChoisissezAutonome,puiscliquezsurContinuer. 16 VérifiezlaconfigurationOpenDirectory,puiscliquezsurContinuer. 17 Sivousêtessûrquelesutilisateursetlesservicesn ontplusbesoind accéderauxdonnéesderépertoireenregistréesdansledomainederépertoirepartagéqueleserveur hébergeaitouauquelilétaitconnecté,cliquezsurfermer. Vosréglagessontalorsenregistrésetleserviceestredémarré. Chapitre9MaintenancedesservicesOpenDirectory 227

18 CliquezsurModifier. L Assistantdeconfigurationdeservices ouvre. 19 ChoisissezRépliqueOpenDirectory,puiscliquezsurContinuer. 20 Saisissezlesinformationssuivantes:  «AdresseIPounomDNSdumaîtreOpenDirectory»:saisissezl adresseipou lenomdnsduserveurjouantlerôledemaîtreopendirectory.  «MotdepasserootsurlemaîtreOpenDirectory»:saisissezlemotdepassede l utilisateurrootdusystèmemaîtreopendirectory(nomd utilisateurdel administrateursystème).  «Nomabrégédel administrateurdedomaine»:saisissezlenomd uncompte d administrateurdedomainederépertoireldap.  «Motdepassedel administrateurdedomaine»:saisissezlemotdepassedu compted administrateurdontvousavezsaisilenom. 21 CliquezsurContinuer. 22 VérifiezlesréglagesdelaconfigurationOpenDirectory,puiscliquezsurContinuer. 23 CliquezsurFermer. Vosréglagessontalorsenregistrésetleserviceestredémarré. 24 Répétezlesétapes14à23pourchaquerépliquedel ancienmaître. 25 Assurez-vousqueladate,l heureetlefuseauhorairesontexactssurlesrépliquesetsur lemaître. Lesrépliquesetlemaîtredoiventutiliserlemêmeserviced horlogederéseaupour queleurshorlogesrestentsynchronisées. Sid autresordinateursétaientconnectésàl annuaireldapdel ancienmaîtreopen Directory,vousdevezreconfigurerleurconnexionpourqu ilsutilisentl annuaireldap dunouveaumaître. ChaqueordinateurMacOSXetMacOSXServerdisposantd unerèglederecherche personnaliséequicontenaitl annuaireldapdel ancienmaîtredoitêtrereconfiguré pourseconnecteràl annuaireldapdunouveaumaître.utilisezlessous-fenêtresservicesetauthentificationdel Utilitairederépertoire. Pourensavoirplus,reportez-vousauxrubriques«Suppressiond uneconfiguration pourl accèsàunrépertoireldap»àlapage169et«configurationdel accèsàun répertoireldap»àlapage160. SileserviceDHCPfournissaitl URLLDAPdel ancienmaîtreauxordinateursdisposant derèglesderechercheautomatique,vousdevezreconfigurerleservicedhcppour qu ilfournissel URLLDAPdunouveaumaître. 228 Chapitre9MaintenancedesservicesOpenDirectory

LesordinateursMacOSXetMacOSXServerdisposantderèglesderechercheautomatiquen ontpasbesoind êtrereconfigurés.leservicedhcpmisàjourleurfournira labonneurlldaplorsdeleurprochaindémarrage. Pourensavoirplus,consultezlechapitreDHCPdudocumentAdministrationdesservices deréseau. Misehorsserviced unerépliqueopendirectory Vouspouvezmettreleserveurd unerépliqueopendirectoryhorsserviceenletransformantenserveurautonomeouenleconnectantàunautresystèmepourlesservicesderépertoireetd authentification. PourmettrehorsserviceunerépliqueOpenDirectory: 1 VérifiezquelaconnexionréseaufonctionneentrelemaîtreOpenDirectoryet larépliqueàmettrehorsservice. Leport389ou636doitêtreouvertentrelemaîtreetlarépliquependantlamisehors servicedelaréplique.ldaputiliseleport389sisslestdésactivéouleport636sissl estactivésurlemaître.(leport22,utilisépourssh,nedoitpasêtreouvertpourmettrehorsserviceuneréplique). Important:sivousmettezunerépliquehorsservicealorsqu iln yapasdeconnectivitéréseauentrelarépliqueetlemaître,larépliquemisehorsserviceresteradansla listederépliquesdumaître.lemaîtretenteradeserépliquerverslarépliquemise horsservicespécifiéedanslasous-fenêtrederéglagesgénéralpourleserviceopen Directorysurleserveurmaître. 2 DansAdminServeur,connectez-vousàlarépliqueàmettrehorsservice. 3 Cliquezsurletrianglesetrouvantàgaucheduserveur. Lalistedesservicesapparaît. 4 DanslalisteServeursdéveloppée,sélectionnezOpenDirectory. 5 CliquezsurRéglages,puissurGénéral. 6 CliquezsurModifier. L Assistantdeconfigurationdeservices ouvre. 7 ChoisissezAutonomeou«Connectéàunsystèmederépertoire»,puissaisissez lesinformationssuivantes. Â «MotdepasserootsurlemaîtreOpenDirectory»:saisissezlemotdepassede l utilisateurrootdusystèmemaîtreopendirectory(nomd utilisateurdel administrateursystème). Â «Nomabrégédel administrateurdedomaine»:saisissezlenomd uncompte d administrateurdedomainederépertoireldap. Â «Motdepassedel administrateurdedomaine»:saisissezlemotdepassedu compted administrateurdontvousavezsaisilenom. Chapitre9MaintenancedesservicesOpenDirectory 229

8 CliquezsurContinuer. 9 VérifiezlaconfigurationOpenDirectory,puiscliquezsurContinuer. 10 Sivousêtessûrquelesutilisateursetlesservicesn ontplusbesoind accéderauxdonnéesderépertoireenregistréesdansledomainederépertoirepartagéqueleserveur hébergeaitouauquelilétaitconnecté,cliquezsurfermer. Vosréglagessontalorsenregistrésetleserviceestredémarré. Ensupposantqu ilyaituneconnexionréseauentrelemaîtreopendirectoryet laréplique,lemaîtreestmisàjourpourneplusseconnecteràlaréplique. 11 Sivousavezchoisi«Connectéàunsystèmederépertoire»danslemenulocalRôle, cliquezsurlebouton«ouvrirutilitairederépertoire»pourconfigurerl accèsàunou plusieurssystèmesderépertoire. Pourensavoirplussurlaconfigurationdel accèsàunservicederépertoire,consultez lechapitre7,«gestiondesclientsderépertoire.» Archivaged unmaîtreopendirectory VouspouvezutiliserAdminServeurpourarchiverunecopiededonnéesderépertoire etd authentificationd unmaîtreopendirectory.vouspouvezarchiverunecopiedes donnéespendantquelemaîtreopendirectoryestenservice. Lesfichierssuivantssontarchivés:  BasededonnéesderépertoiresetfichiersdeconfigurationLDAP  BasededonnéesduserveurdemotsdepasseOpenDirectory  BasededonnéesetfichiersdeconfigurationKerberos  DomainederépertoirelocaletbasededonnéesdemotsdepasseShadow Sivousdisposezd unearchivefiabled unmaîtreopendirectory,vousdisposezde faitd unearchivedetoutessesrépliques.encasdeproblèmeavecuneréplique, vouspouvezmodifiersonrôleopendirectorypourlatransformerenserveurautonome, puisconfigurercederniercommes ils agissaitd unnouveauserveur,avecunnouveau nomd hôte,etledéfinircommerépliquedumêmemaîtrecommeauparavant. Important:protégezsoigneusementlesupportd archivagecontenantunecopiede labasededonnéesdemotsdepasseopendirectory,delabasededonnéeskerberos etdufichierkeytabdekerberos.cettearchivecontientlesmotsdepassedetousles utilisateursquipossèdentunmotdepasseopendirectory,tantdansledomainede répertoireldappartagéquedansledomainederépertoirelocal.lesmesuresdesécuritéquevousprenezpourlesupportd archivagedoiventêtreaussistrictesquecelles prisespourleserveurmaîtreopendirectory. 230 Chapitre9MaintenancedesservicesOpenDirectory

PourarchiverunmaîtreOpenDirectory: 1 OuvrezAdminServeuretconnectez-vousauserveurmaîtreOpenDirectory. 2 Cliquezsurletrianglesetrouvantàgaucheduserveur. Lalistedesservicesapparaît. 3 DanslalisteServeursdéveloppée,sélectionnezOpenDirectory. 4 CliquezsurArchive. 5 DanslechampArchiverdans,saisissezlechemind accèsaudossierdanslequelvous souhaitezarchiverlesdonnéesopendirectory,puiscliquezsurleboutonarchiver. Vouspouveztaperlechemind accèsaudossieroucliquersurleboutonchoisirpour lesélectionner. 6 Saisissezlenometlemotdepasseàutiliserpourcrypterl archive,puiscliquezsurok. Restaurationd unmaîtreopendirectory VouspouvezutiliserAdminServeuroul outildelignedecommandeslapconfigpour restaurerlesdonnéesderépertoireetd authentificationd unmaîtreopendirectoryà partird unearchive. SivousutilisezAdminServeur,vouspouvezrestaurerlesdonnéessurunserveurjouant lerôledemaîtreopendirectory.lesfichierssuivantssontrestaurésenfusionnant l archiveaveclemaîtreexistant:  BasededonnéesderépertoiresetfichiersdeconfigurationLDAP  BasededonnéesduserveurdemotsdepasseOpenDirectory  BasededonnéesetfichiersdeconfigurationKerberos Encasdeconflitpendantlafusion,laficheexistanteprimesurlesdonnéesdel archive. Lafichedel archiveestignorée.lesconflitssontconsignésdanslefichierd historique slapconfig(/bibliothèque/logs/slapconfig.log),quevouspouvezvisionneràl aide d AdminServeur.Consultezlarubrique«AffichagedesétatsetdeshistoriquesOpen Directory»àlapage211. Important:sivousavezunearchived unserveuropendirectorymacosx10.4, vousnepouvezquelarestaurersurunserveurmacosx10.5.vousnepouvezpas fusionnerunearchivemacosx10.4avecunserveuropendirectorymacosx10.5. PlutôtquederestaurerunmaîtreOpenDirectoryàpartird unearchive,vouspouvez obtenirdemeilleursrésultatsentransformantunerépliqueenmaître.ilsepeuten effetquelarépliqueaitdesdonnéesderépertoireetd authentificationplusrécentes quel archive. AprèsavoirrestauréunmaîtreOpenDirectoryàpartird unearchive,vousdevez recréerlesrépliquesopendirectory. Chapitre9MaintenancedesservicesOpenDirectory 231

Important:ilnefautpasutiliserlarestaurationd unearchivecommeunmoyen deporterdesdonnéesderépertoireetd authentificationd unsystèmeàunautre. Exportezplutôtlesdonnéesdurépertoiresourceetimportez-lesdanslerépertoire cible.pourensavoirplussurl exportationetl importationdedonnéesderépertoire, consultezledocumentgestiondesutilisateurs. PourfusionnerunearchiveavecunmaîtreOpenDirectoryexistant: 1 OuvrezAdminServeuretconnectez-vousauserveurmaîtreOpenDirectory. LeserveurcibledoitporterlemêmenomderoyaumeKerberosquelemaîtreàpartir duquell archiveaétécréée. 2 Cliquezsurletrianglesetrouvantàgaucheduserveur. Lalistedesservicesapparaît. 3 DanslalisteServeursdéveloppée,sélectionnezOpenDirectory. 4 CliquezsurArchive. 5 Danslechamp«Restaurationàpartirdu»,saisissezlechemind accèsaufichierde l archiveopendirectory,puiscliquezsurleboutonrestaurer. Vouspouveztaperlechemind accèsoucliquersurleboutonchoisirpoursélectionner lefichierdel archive. 6 Saisissezlemotdepassequiaétéutilisépourcrypterl archivelorsqu elleaétécréée, puiscliquezsurok. 7 Unefoislarestaurationterminée,consultezl historiquedel outilslapconfigpourvérifiersidesconflitsoud autresévénementssesontproduitspendantl opération. 8 ConvertisseztouslesserveursderépliqueOpenDirectoryenserveursOpenDirectory autonomes,puisfaites-endesrépliquesdunouveaumaître. Pourensavoirplus,consultezlesrubriques«Configurationd unservicederépertoire autonome»àlapage94et«configurationd unerépliqueopendirectory»àlapage102. Àpartirdelalignedecommande Aulieud effectuerlarestaurationsurunserveurjouantlerôledemaîtreopendirectory,vouspouvezl effectuersurunserveurautonomeàl aidedel outildelignede commandeslapconfig.leserveurdevientalorsunmaîtreopendirectorycontenant lesdonnéesderépertoireetd authentificationprovenantdel archive. LesdonnéesrestauréesincluentlesfichiersLDAP,Kerberosetdeserveurdemotsde passementionnésplushaut,ainsiqueledomainederépertoirelocaletlesfichiersde motdepasseshadowassociés. Enoutre,slapconfig conservelecompted utilisateurlocalquevousutilisiezdans lafenêtred ouverturedesession.aprèslarestauration,lemaîtrecontientlesfichesde compted utilisateurprovenantdel archive,ainsiquelecomptequevousutilisiezdans lafenêtred ouverturedesession. 232 Chapitre9MaintenancedesservicesOpenDirectory

Sil archivecontientuncompted utilisateurentrantenconflitavecceluiquevousutilisiezdanslafenêtred ouverturedesession,lecomptefigurantdansl archiveestignoré. AVERTISSEMENT:sivouseffectuezunerestaurationsurunserveurautonome, lesfichesderépertoireetlesdonnéesd authentificationpré-existantesnesontpas conservées,àl exceptionducompted utilisateurquevousutilisiezdanslafenêtre d ouverturedesession. Pourremplacerlesdonnéesderépertoireetd authentificationsurunserveurautonome parlesdonnéesd unearchiveopendirectory,tapezlacommandesuivantedansterminal, enremplaçantchemin-archive parlechemind accèsaufichierdel archive: $ sudo slapconfig -restoredb chemin-archive Lacommandeslapconfigrequiertdesprivilègesroot,d oùl utilisationdesudodans cettelignedecommande.pourensavoirplussurslapconfig,consultezsapageman. Pourensavoirplussursudoetlesprivilègesroot,consultezAdministrationdeligne decommande. Chapitre9MaintenancedesservicesOpenDirectory 233

10 Résolutiondeproblèmesliésà OpenDirectory 10 Leprésentchapitrefournitdessolutionspermettantde résoudredesproblèmescommunsquevouspourriez rencontrerlorsdel utilisationd OpenDirectory. LaprésentesectioncontientdessolutionsauxproblèmescourantsliésàOpenDirectory. Résolutiondeproblèmesliésauxmaîtresetauxrépliques OpenDirectory Utilisezl aidesuivantepourrésoudredesproblèmesliésauxmaîtresetauxrépliques OpenDirectory. SiKerberosestarrêtésurunmaîtreouunerépliqueOpenDirectory UnmaîtreOpenDirectoryrequiertunDNSconfigurécorrectementpourfournirune authentificationkerberosparsignatureunique. PourvérifierqueleDNSestconfigurécorrectementpourKerberos: 1 Assurez-vousqueleserviceDNSestconfigurépourrésoudrelesnomsDNScompletset fournirlesrecherchesinversescorrespondantes. LeserviceDNSdoitrésoudredesnomsDNScompletsetfournirlesrecherchesinverses auserveurmaîtreopendirectory,auxserveursrépliquesetauxautresserveursqui sontmembresduroyaumekerberos. PourfaireunerechercheDNSd unnomdnsd unserveuretunerechercheinversede l adresseipduserveur,vouspouvezutiliserlasous-fenêtrerecherched Utilitairede réseau(dans/applications/utilitaires/). PourensavoirplussurlaconfigurationduserviceDNS,consultezleguideAdministration desservicesderéseau. 2 Assurez-vousquelenomd hôteduserveurmaîtreopendirectoryestbienlenomdns completcorrect,etnonlenomd hôtelocalduserveur. Parexemple,lenomd hôtepourraitêtreods.exemple.com,maisnepeutpasêtre ods.local. 235

Vouspouvezvoirlenomd hôteenouvrantterminaletentapanthostname. Silenomd hôteduserveuropendirectoryn estpassonnomdnscomplet,effacez temporairementlalistedesserveursdnsetcliquezsurappliquerdanslespréférences RéseauduserveurOpenDirectory.SaisissezensuiteànouveauuneouplusieursadressesIPdeserveurDNS,encommençantparleserveurDNSprincipalquirésoutlenom duserveuropendirectory,puisencliquantsurappliquerdanslespréférencesréseau. Silenomd hôteduserveuropendirectoryn esttoujourspassonnomdnscomplet, redémarrezleserveur. 3 Assurez-vousquelespréférencesRéseauduserveurmaîtreOpenDirectorysont configuréespourutiliserleserveurdnsquirésoutlenomduserveur. SileserveurmaîtreOpenDirectoryfournitsonpropreserviceDNS,lespréférences Réseauduserveurdoiventêtreconfiguréespours utiliserlui-mêmecommeserveurdns. 4 AprèsvousêtreassuréquelaconfigurationDNSpourleserveurestcorrecte, démarrezkerberos. Consultezlarubrique«DémarragedeKerberosaprèslaconfigurationd unmaître OpenDirectory»àlapage116. SivousnepouvezpascréerunerépliqueOpenDirectory Sivousessayezdecréerdeuxrépliquessimultanément,unetentativevaréussir,l autre vaéchouer.unenouvelletentativedecréationdelaseconderépliquedevraitréussir.si vousnepouveztoujourspascréerlaseconderéplique,allezdansledossier/var/run/, localisezlefichierslapconfig.locketsupprimez-les ilexiste.vouspouvezaussiredémarrerleserveur. SivousnepouvezpascréerunmaîtreouunerépliqueOpenDirectory àpartird unfichierdeconfiguration VousnepouvezpasfairedeMacOSXServerunmaîtreOpenDirectoryouunerépliqueOpenDirectoryenfaisantglisserunfichierdeconfigurationdelistesdepropriétés verslasous-fenêtreréglagesopendirectorydansadminserveur.suivezplutôtlesinstructionsdelarubrique«configurationd unmaîtreopendirectory»àlapage95ou «Configurationd unerépliqueopendirectory»àlapage102. Pourcréerunfichierdeconfigurationdelistesdepropriétés,faitesglisserlafenêtre miniatureducoininférieurdroitdelasous-fenêtreréglagesdansserveradmin. Sivousnepouvezpasconnecterunerépliqueàunrelais Assurez-vousquevotrerépliquen apasatteintsacapacitémaximalede32répliques. Assurez-vousaussiquevousnevousconnectezpasàunerépliquedesecondniveau aulieud unrelaisdepremierniveau. 236 Chapitre10RésolutiondeproblèmesliésàOpenDirectory

SivousnepouvezpasconnecterunerépliqueOpenDirectoryàun OpenDirectoryquiestlesubordonnéd unserveuractivedirectory AvantdetenterdetransformerleserveurenrépliqueduserveurOpenDirectorysubordonné,n oubliezded abordconnecterleserveuraumêmeserveuractivedirectory queleserveurmaîtreopendirectoryauquelvoustentezdevousconnecter.vosrépliquesdoiventavoiraccèsauserveuractivedirectorypourquekerberosfonctionne. Résolutiondeproblèmesdesconnexionàdesrépertoires Lesproblèmesd accèsauxservicesderépertoirelorsdudémarragepeuventavoir plusieurscauses. Siunralentissementseproduitlorsdudémarrage Siunralentissementseproduitunralentissementseproduitaudémarragede MacOSXoudeMacOSXServeralorsqu unmessagerelatifàldapouauxservices derépertoireapparaîtau-dessusdelabarredeprogression,ilsepeutquel ordinateur tented accéderàunrépertoireldapquin estpasdisponiblesurvotreréseau.tenez comptedespointssuivants: Â Unepauseestnormaleaucoursdudémarragesiunordinateurportablen estpas connectéauréseauauquelleserveurldapestconnecté. Â UtilisezUtilitairederépertoirepourvousassurerquelesconfigurationsdedomaine derépertoirelocaletldapsontcorrectes. Â UtilisezletableauRéseaudesPréférencesSystèmepourvousassurerquelaconfigurationréseaudel ordinateuretlesautresparamètresderéseausontcorrects. Â Examinezleréseauphysiquepourdétecterd éventuelsproblèmesdeconnexion. Résolutiondesproblèmesd authentification Utilisezcequisuitpourvousaideràrésoudredesproblèmesd authentification. SivousnepouvezpasmodifierlemotdepasseOpenDirectoryd un utilisateur PourmodifierlemotdepassedetypeOpenDirectoryd unutilisateur,vousdevezêtre unadministrateurdudomainederépertoiredanslequellafichedel utilisateurréside. Deplus,lecomptedevotreutilisateurdoitprésenterunmotdepassedetypeOpen Directory. Normalement,lecompted utilisateurspécifiélorsdelaconfigurationdumaîtreopen Directory(àl aided AssistantduserveuroudesréglagesdeservicesOpenDirectory dansadminserveur)êtredotéd unmotdepasseopendirectory.vouspouvezutiliser cecomptepourconfigurerd autrescomptesd utilisateurentantqu administrateursde domainederépertoireavecdesmotsdepasseopendirectory. Chapitre10RésolutiondeproblèmesliésàOpenDirectory 237

Sitoutleresteéchoue,utilisezlecompted utilisateurrootpourconfigureruncompte d utilisateurentantqu administrateurderépertoireavecunmotdepasseopendirectory.(lenomducompted utilisateurrootest«root»etlemotdepasseestgénéralementlemêmequelemotdepasseattribuéaucompted administrateurcréépendant laconfigurationinitialeduserveur.) Sicelarésoutleproblème,celasignifiequelemotdepasseprécédentdel utilisateur contenaitdescaractèresquin étaientpasreconnuspartouslesservices.parexemple, certainsservicesacceptentlesespacesdanslesmotsdepasse,d autrespas. Siunutilisateurneparvientpasàs authentifierpourleservicevpn Lesutilisateurs,dontlescomptessontstockéssurunserveursousMacOSXServer10.2 nepeuventpass authentifierpourleservicevpnfourniparmacosxserver10.3 10.5. LeserviceVPNrequiertlaméthoded authentificationms-chapv2,quin estpasprise enchargeparmacosxserver10.2. Siunutilisateurnepeutpasaccéderàcertainsservices Siunutilisateurpeutaccéderàcertainsservicesquirequièrentuneauthentification, maispasàd autres,essayezdechangertemporairementlemotdepassedel utilisateurenunesuitedecaractèressimples,comme,parexemple,«mdp». Pourpermettreauxutilisateursconcernésd ouvrirunesession,transférezleurscomptesd utilisateursurunserveursousmacosxserver10.3 10.5.UneautresolutionconsisteàmettreàniveaulesanciensserveursàMacOSXServer10.5ouultérieur. Sivousnepouvezpaschangerletypedemotdepassed unutilisateurentypeopendirectory Pourmodifierletypedemotdepassed unutilisateurenauthentificationopendirectory,vousdevezêtreunadministrateurdudomainederépertoiresurlequellafichede l utilisateurréside.deplus,lecomptedevotreutilisateurdoitêtreconfigurépour l authentificationopendirectory. Lecompted utilisateurspécifiélorsdelaconfigurationdumaîtreopendirectory(à l aided AssistantduserveuroudesréglagesdeservicesOpenDirectorydansAdmin Serveur)possèdeunmotdepasseOpenDirectory.Vouspouvezutilisercecompte pourconfigurerd autrescomptesd utilisateurentantqu administrateursdedomaine derépertoireavecdesmotsdepasseopendirectory. 238 Chapitre10RésolutiondeproblèmesliésàOpenDirectory

Silesutilisateursexploitantunserveurdemotsdepassenepeuvent pasouvrirdesession SivotreréseaucontientunserveursousMacOSXServer10.2,ilpeutêtreconfiguré pourobtenirl authentificationd unserveurdemotsdepasseopendirectoryhébergé parunautreserveur. Sil ordinateurduserveurdemotsdepasseestdéconnectéduréseau,parexemple parcequevousavezdébranchélacâbleduportethernetdel ordinateur,lesutilisateursdontlesmotsdepassesontvalidésàl aideduserveurdemotsdepassene peuventpasouvrirdesessionparcequel adresseipn estpasaccessible. LesutilisateurspeuventouvrirunesessionàMacOSXServersivousreconnectezau réseaul ordinateurduserveurdemotsdepasse.pendantquel ordinateurduserveur demotsdepasseesthorsligne,lesutilisateurspeuventaussiouvrirunesessionavec descomptesd utilisateurdontlemotdepasseestdetypecryptéoushadow. Silesutilisateursnepeuventpasouvrirdesessionsousuncompte issud undomainederépertoirepartagé Lesutilisateursnepeuventpasouvrirdesessionsousuncompteissud undomainede répertoirepartagésileserveurhébergeantl annuairen estpasaccessible.unserveur peutdevenirinaccessibleenraisond unproblèmederéseau,dulogicieloudumatérielduserveur. Lesproblèmesliésaumatérielouaulogicielduserveuraffectentlesutilisateursqui tententd ouvrirunesessionsurdesordinateursmacosxetlesutilisateursquitentent d ouvrirunesessionsurundomainewindowsd unpdcmacosxserver.lesproblèmesderéseaupeuventaffecterseulementcertainsutilisateurs,selonlalocalisationdu problèmesurleréseau. Lesutilisateursquidisposentdecomptesd utilisateurmobilespeuventtoujoursouvrir unesessionsurlesordinateursmacosxqu ilsontutiliséauparavantetlesutilisateurs affectésparcesproblèmespeuventouvrirunesessionàl aided uncompted utilisateurlocaldéfinisurl ordinateur,comme,parexemple,lecompted utilisateurcréé pendantlaconfigurationinitiale,aprèsl installationdemacosx. Sivousnepouvezpasouvrirunesessioncommeutilisateur ActiveDirectory AprèsavoirconfiguréuneconnexionversundomaineActiveDirectorydanslasousfenêtreServicedeUtilitairederépertoireetaprèsl avoirajoutéàunepolitiquede recherchepersonnaliséedanslasous-fenêtreauthentification,vousdevezattendre10 ou15secondespourquelechangemententreenvigueur.lestentativesd ouverture desessionimmédiatesavecuncompteactivedirectoryéchoueront. Chapitre10RésolutiondeproblèmesliésàOpenDirectory 239

Sidesutilisateursnepeuventpass authentifierparkerberoset lasignatureunique Encasd échecdel authentificationd unutilisateuroud unserviceutilisantkerberos, essayezlessolutionssuivantes:  L authentificationkerberosestbaséesurdeshorodatagescryptés.s ilexisteunécart deplusde5minutesentrelecentrededistributiondeclés,l ordinateurclientet l ordinateurduservice,l authentificationpeutéchouer.assurez-vousqueleshorlogesdetouslesordinateurssontsynchroniséesàl aideduservicenetworktime Protocol(NTP)etMacOSXServeroudetoutautreserveurhorlogederéseau. PourensavoirplussurleserviceNTPdeMacOSXServer,consultezlasection Administrationdesservicesderéseau.  Assurez-vousqueKerberosestexécutésurlemaîtreOpenDirectoryetlesrépliques. Consultezlarubrique«SiKerberosestarrêtésurunmaîtreouunerépliqueOpen Directory»àlapage235.  SiunserveurKerberosservantàlavalidationdemotdepasseestindisponible, réinitialisezlemotdepassedel utilisateurafinderecouriràunserveurdisponible.  Assurez-vousqueleserveurfournissantleservicekerbérisédisposed unaccèsau domainederépertoireduserveurkerberosetquecedomainederépertoirecontientlescomptesdesutilisateursquitententdes authentifieràl aidedekerberos. Pourensavoirplussurlaconfigurationdel accèsàdesdomainesderépertoire, consultezlechapitre7,«gestiondesclientsderépertoire».  PourunroyaumeKerberosd unserveuropendirectory,assurez-vousquel ordinateurduclientestconfigurépouraccéderaurépertoireldapduserveuropendirectoryàl aidedubonsuffixedebasederecherche.leréglagedusuffixedebasede rechercheldapv3duclientdoitcorrespondreauréglagedebasederecherchedu répertoireldap.lesuffixedebasederechercheldapv3duclientpeutêtrevides il reçoitsesmappagesldapduserveur.sic estlecas,leclientutiliselesuffixedebase derecherchepardéfautdurépertoireldap.  Pourvérifierleréglageenmatièredesuffixedebasederecherche,ouvrezUtilitairederépertoire,affichezlalistedesconfigurationsLDAPv3etchoisissezl élémentdanslemenulocalmappagesldapquiestdéjàsélectionnédanslemenu. Pourensavoirplus,consultezlarubrique«Modificationd uneconfigurationpour l accèsàunrépertoireldap»àlapage165.  PourcontrôlerlesréglagesdebasederecherchedurépertoireLDAP,ouvrezAdmin ServeuretrecherchezleserviceOpenDirectorydanslasous-fenêtreProtocolede lasous-fenêtreréglages.  Pourobtenirdesinformationspouvantvousaideràrésoudredesproblèmes, consultezl historiqueducentrededistributiondeclés.consultezlarubrique «AffichagedesétatsetdeshistoriquesOpenDirectory»àlapage211. 240 Chapitre10RésolutiondeproblèmesliésàOpenDirectory

 SiKerberosnetournaitpasquandlesenregistrementsd utilisateurontétécréés, importésoumisàjouràpartird uneversiondemacosxplusancienne,ilsepeut qu ilsnesoientpasactivéspourl authentificationkerberos:  Unenregistrementn estpasactivépourkerbeross ilmanquelavaleur ;Kerberosv5;àsonattributd autoritéd authentification.utilisezl Inspecteurde Gestionnairedegroupedetravailpourvoirlesvaleursd unattributd autorité d authentificationd unenregistrementd utilisateur.pourensavoirplus,consultez larubrique«affichagedel Inspecteurderépertoire»àlapage212.  ActivezKerberospourunenregistrementd utilisateurenchangeantsontypede motdepasse.réglezd abordletypedemotdepassesurmotdepassecrypté, puisréglez-lesuropendirectory.pourensavoirplus,consultezlesrubriques «ChangementdutypedemotenMotdepassecrypté»àlapage127et«Choix dutypedemotdepasseopendirectory»àlapage125.  Sidesutilisateursnepeuventpass authentifieràl aidedelasignatureuniqueoude KerberospourdesservicesfournisparunserveurconnectéàunroyaumeKerberos d unmaîtreopendirectory,l enregistrementd ordinateurduserveurestpeut-être malconfigurédanslerépertoireldapdumaîtreopendirectory.enparticulier,le nomduserveurquifiguredanslecomptedegrouped ordinateursdoitêtrelenom DNScompletduserveur,etpasjustelenomd hôteduserveur.parexemple,lenom pourraitêtreserveur2.exemple.com,maispasjusteserveur2. Pourreconfigurerunenregistrementd ordinateurd unserveurpourl authentificationkerberosàsignatureunique: 1 Supprimezleserveurducomptedegrouped ordinateursdanslerépertoireldap. Pourensavoirplussurcetteétape-cietlasuivante,consultezleguide Gestiondesutilisateurs. 2 Ajoutezànouveauleserveuraugrouped ordinateurs. 3 Déléguezànouveaul autoritépourconnecterleserveurauroyaumekerberosdu maîtreopendirectory. Pourensavoirplus,consultezlarubrique«Délégationd autoritépourconnecterdes serveursàunroyaumekerberosopendirectory»àlapage117. 4 ConnectezànouveauleserveurauroyaumeKerberosOpenDirectory. Pourensavoirplus,consultezlarubrique«Connecterunserveuràunroyaume Kerberos»àlapage119. Chapitre10RésolutiondeproblèmesliésàOpenDirectory 241

Silesutilisateursn arriventpasàmodifierleurmotdepasse LesutilisateursdontlescomptesrésidentdansunrépertoireLDAPquin estpas hébergéparmacosxserveretquiontunmotdepassedetypecrypténepeuvent paschangerleurmotdepasseaprèss êtreconnectéàpartird unordinateurclient sousmacosx10.3. Cesutilisateurspeuventchangerleurmotdepassesivousutilisezlasous-fenêtre AvancédeGestionnairedegroupedetravailpourchangerleréglageTypedumot depassedeleurcompteenopendirectory. Eneffectuantcettemodification,vousdevezégalementsaisirunautremotdepasse. Ensuite,indiquezauxutilisateursqu ilsdoiventouvrirunesessionàl aidedecenouveau motdepassepuislemodifierdanslasous-fenêtrecomptesdespréférencessystème. SivousnepouvezpasconnecterunserveuràunroyaumeKerberos OpenDirectory SiunutilisateurpossédantuneautoritéKerberosdéléguénepeutpasconnecterun serveuràunroyaumekerberosd unmaîtreopendirectory,ilsepeutquel enregistrementd ordinateurduserveursoitmalconfigurédanslerépertoireldapdumaître OpenDirectory. L adresseduserveurdanslecomptedegrouped ordinateursdoitêtrel adresseethernet principaleduserveur.l adresseethernetprincipaleduserveurestl identifiantethernetdu premierportethernetquiapparaîtdanslalistedesconfigurationsdeportsréseauquiest affichéedanslasous-fenêtredespréférencesréseauduserveur. Pourreconfigurerunenregistrementd ordinateurd unserveurpourseconnecterà unroyaumekerberos: 1 Supprimezleserveurducomptedegrouped ordinateursdanslerépertoireldap. Pourensavoirplussurcetteétape-cietlasuivante,consultezleguide Gestiondesutilisateurs. 2 Ajoutezànouveauleserveuraugrouped ordinateurs. 3 Déléguezànouveaul autoritépourconnecterleserveurauroyaumekerberosdu maîtreopendirectory. Passezcetteétapesivouspouvezutiliseruncompted administrateurkerberos(un compted administrateurderépertoireldap)pourconnecterànouveauleserveurau royaumekerberos. Pourensavoirplus,consultezlarubrique«Délégationd autoritépourconnecterdes serveursàunroyaumekerberosopendirectory»àlapage117. 4 ConnectezànouveauleserveurauroyaumeKerberosOpenDirectory. Pourensavoirplus,consultezlarubrique«Connecterunserveuràunroyaume Kerberos»àlapage119. 242 Chapitre10RésolutiondeproblèmesliésàOpenDirectory

Sivousdevezréinitialiserunmotdepassed administrateur Ledisqued installationdemacosxservervouspermetdechangerlemotdepasse d uncompted utilisateurdisposantd autorisationsd administrateur,ycomprisle comptedel Administrateursystème(rootousuperuser). Important:commeunutilisateurdisposantdudisqued installationpeutaccédersans restrictionàvotreserveur,ilestconseillédelimiterl accèsphysiqueàl ordinateur hébergeantlelogicieldeserveur. Pourréinitialiserunmotdepassed administrateur: 1 Démarrezàpartirdudisqued installation1demacosxserver. 2 Dansleprogrammed installation,choisissezinstallation>réinitialiserlemotdepasse. 3 Sélectionnezlevolumededisquedurcontenantlecompted administrateurdontvous voulezréinitialiserlemotdepasse. 4 Danslemenulocal,tapezunnouveaumotdepasse,choisissezlecompted administrateur,puiscliquezsurenregistrer. Lecompted administrateursystèmeestlecomptedel utilisateurroot(superuser). Neconfondezpascecompteavecuncompted administrateurnormal. Évitezdemodifierlesmotsdepassedescomptesd utilisateurprédéfinis.pourensavoir plussurlescomptesd utilisateurprédéfinis,consultezleguidegestiondesutilisateurs. Remarque:cetteprocéduremodifielemotdepasseducompted administrateurdu domainederépertoirelocalduserveur.ilnemodifiepaslemotdepassed uncompte d administrateurdudomainederépertoirepartagéduserveur,sileserveurdispose d unteldomaine. Sivousconnaissezlemotdepassed uncompted administrateurdudomainelocal, vouspouvezmodifierlemotdepassedetouslesautrescomptesd administrateurdu domainederépertoirelocalenutilisantgestionnairedegroupedetravailplutôtque cetteprocédure.pourensavoirplus,consultezlarubrique«modificationdumotde passed unutilisateur»àlapage123. Chapitre10RésolutiondeproblèmesliésàOpenDirectory 243

DonnéesderépertoireMacOSX Annexe LaconnaissanceduschémaLDAPOpenDirectoryetdes attributsettypesd enregistrementsdesdomainesderépertoiremacosxvousaiderapourlemappagesurd autres domainesderépertoire,ainsiquepourl importationou l exportationdescomptesd utilisateuretdegroupe. LaprésenteannexelistelesextensionsOpenDirectoryauschémaLDAP,lesmappages d attributsopendirectorysurdesattributsldapetactivedirectoryetlesattributs standarddediverstypesd enregistrements.utilisezcesinformationspour:  Mapperdesclassesd objetsetdesattributsderépertoiresldapnon-appleou desdomainesactivedirectorysurdestypesetattributsd enregistrementsopen Directory,commedécritdanslarubrique«Configurationdesrecherchesetmappages LDAP»àlapage173.  Importerouexporterdescomptesd utilisateuroudegroupeversundomaine OpenDirectory,commedécritdansGestiondesutilisateurs.  Travaillerdanslasous-fenêtreInspecteurdeGestionnairedegroupedetravail, commedécritdanslarubrique«affichageetmodificationdesdonnéesde répertoire»àlapage212. Remarque:lestableauxsuivantsnefournissentpasdesinformationscomplètessur l extensiondevotreschéma.letableauindiquelesenregistrementsetlesattributs qu OpenDirectoryutiliseàpartirdeschémasActiveDirectoryetUnixRFC2307existants.Ilindiqueaussilesattributsetlesenregistrementsquinepossèdentpasde mappagedirect. Pourplusdedétails,consultezlesrubriquessuivantes:  «ExtensionsOpenDirectoryauschémaLDAP»àlapage246  «Classesd objetsduschémaldapopendirectory»àlapage247  «AttributsduschémaLDAPOpenDirectory»àlapage256  «Mappagedetypesd enregistrementsetd attributsstandardversldapet ActiveDirectory»àlapage276 245

 «Mappagesd utilisateurs(users)»àlapage277  «Mappagesdegroupes(Groups)»àlapage280  «Mappagesdemontages(Mounts)»àlapage282  «Mappagesd ordinateurs(computers)»àlapage282  «Mappagesdelistesd ordinateurs(computerlists)»àlapage284  «Mappagesdeconfigurations(Config)»àlapage285  «Mappagesdepersonnes(People)»àlapage286  «Mappagesdelistesd ordinateurspréréglés(presetcomputerlists)»àlapage287  «Mappagesdegroupespréréglés(PresetGroups)»àlapage288  «Mappagesd utilisateurspréréglés(presetusers)»àlapage289  «Mappagesd imprimantes(printers)»àlapage290  «Mappagesdeconfigurationsautomatiquesdeserveur(AutoServerSetup)» àlapage292  «Mappagesd emplacements(locations)»àlapage292  «typesd enregistrementsetattributsopendirectorystandard»àlapage293  «Attributsstandarddanslesenregistrementsd utilisateurs»àlapage293  «Attributsstandarddanslesenregistrementsdegroupes»àlapage299  «Attributsstandarddanslesenregistrementsd ordinateurs»àlapage300  «Attributsstandarddanslesenregistrementsdegroupesd ordinateurs» àlapage301  «Attributsstandarddanslesenregistrementsdemontages»àlapage302  «Attributsstandarddanslesenregistrementsdeconfigurations»àlapage303 ExtensionsOpenDirectoryauschémaLDAP LeschémadesrépertoiresLDAPOpenDirectoryestbasésurlesattributsetclasses d objetsstandarddéfinisdanslesdocumentsrfc(requestforcomments)del IETF (InternetEngineeringTaskForce):  RFC2307 AnApproachforUsingLDAPasaNetworkInformationService  RFC2798 DefinitionoftheinetOrgPersonLDAPObjectClass LesdéfinitionsdeschémaLDAPspécifientlesidentifiantsdesyntaxeetlesrègles correspondantesquisontdéfinisdansledocumentrfc2252,«attributsldapv3». CesRFCsontdisponiblessurlesiteWebdel IETF(enanglais):www.ietf.org/rfc.html. Lesattributsetclassesd objetsdéfinisdanscesrfcformentlabaseduschémaldap OpenDirectory. 246 AnnexeDonnéesderépertoireMacOSX

LeschémaétendupourlesrépertoiresLDAPOpenDirectoryinclutlesattributset classesd objetsdéfinisdans:  «Classesd objetsduschémaldapopendirectory»àlapage247  «AttributsduschémaLDAPOpenDirectory»àlapage256 Remarque:Appleestsusceptibled étendreleschémaldapopendirectoryàl avenir, parexemple,pourprendreenchargedenouvellesversionsdemacosxetmacosx Server.Leschémaleplusrécentestdisponiblesousformedefichierstextesurtout ordinateurdotédemacosxserver.lesfichiersdeschémasetrouventdanslerépertoire/etc/openldap/schema.lefichierapple.schemacontientlesdernièresextensions deschémapourlesrépertoiresldapopendirectory. Classesd objetsduschémaldapopendirectory Cettesectiondéfinitlesclassesd objetsopendirectoryldapquiétendentleschéma LDAPstandard. Classed objetsstructurelledeconteneur(container) Containerestuneclassed objetsstructurelleutiliséepourlesconteneursd enregistrementsdepremierniveaucommecn=users,cn=groupsetcn=mounts.iln existepasde servicesderépertoiresanaloguesàcetteclassed objets,maislenomdeconteneurfait partiedelabasederecherchepourchaquetyped enregistrement. #objectclass ( # 1.2.840.113556.1.3.23 # NAME container # SUP top # STRUCTURAL # MUST ( cn ) ) Classed objetsdeduréedevie(timetolive) objectclass ( 1.3.6.1.4.1.250.3.18 NAME cacheobject AUXILIARY SUP top DESC Auxiliary object class to hold TTL caching information MAY ( ttl ) ) AnnexeDonnéesderépertoireMacOSX 247

Classed objetsd utilisateur(user) Laclassed objetsapple-userestuneclasseauxiliaireservantàstockerdesattributs MacOSXquinefontpaspartied inetorgpersonoudeposixaccount.cetteclasse d objetsestutiliséeaveclesenregistrementskdsstdrecordtypeusers. objectclass ( 1.3.6.1.4.1.63.1000.1.1.2.1 NAME apple-user SUP top AUXILIARY DESC compte d utilisateur apple MAY ( apple-user-homeurl $ apple-user-class $ apple-user-homequota $ apple-user-mailattribute $ apple-user-printattribute $ apple-mcxflags $ apple-mcxsettings $ apple-user-adminlimits $ apple-user-picture $ apple-user-authenticationhint $ apple-user-homesoftquota $ apple-user-passwordpolicy $ apple-keyword $ apple-generateduid $ apple-imhandle $ apple-webloguri $ authauthority $ acctflags $ pwdlastset $ logontime $ logofftime $ kickofftime $ homedrive $ scriptpath $ profilepath $ userworkstations $ smbhome $ rid $ primarygroupid $ sambasid $ sambaprimarygroupsid $ usercertificate $ jpegphoto $ apple-nickname $ apple-namesuffix $ apple-birthday $ apple-relationships $ apple-organizationinfo $ apple-phonecontacts $ apple-emailcontacts $ apple-postaladdresses $ apple-mapcoordinates $ apple-mapuri $ apple-mapguid $ apple-serviceslocator) ) Classed objetsauxiliairedegroupe(group) Laclassed objetsapple-groupestuneclasseauxiliaireutiliséepourstockerdesattributsmacosxquinefontpaspartiedeposixgroup.cetteclassed objetsestutilisée aveclesenregistrementskdsstdrecordtypegroups. objectclass ( 1.3.6.1.4.1.63.1000.1.1.2.14 NAME apple-group SUP top AUXILIARY DESC compte de groupe MAY ( apple-group-homeurl $ apple-group-homeowner $ apple-mcxflags $ apple-mcxsettings $ apple-group-realname $ apple-user-picture $ apple-keyword $ apple-generateduid $ 248 AnnexeDonnéesderépertoireMacOSX

apple-group-nestedgroup $ apple-group-memberguid $ mail $ rid $ sambasid $ ttl $ jpegphoto $ apple-group-services $ apple-contactguid $ apple-ownerguid $ labeleduri $ apple-serviceslocator) ) Classed objetsauxiliairedemachine(machine) objectclass ( 1.3.6.1.4.1.63.1000.1.1.2.3 NAME apple-machine SUP top AUXILIARY MAY ( apple-machine-software $ apple-machine-hardware $ apple-machine-serves $ apple-machine-suffix $ apple-machine-contactperson ) ) Classed objetsdemontage(mount) objectclass ( 1.3.6.1.4.1.63.1000.1.1.2.8 NAME mount SUP top STRUCTURAL MUST ( cn ) MAY ( mountdirectory $ mounttype $ mountoption $ mountdumpfrequency $ mountpassno ) ) Classed objetsd imprimante(printer) objectclass ( 1.3.6.1.4.1.63.1000.1.1.2.9 NAME apple-printer SUP top STRUCTURAL MUST ( cn ) MAY ( apple-printer-attributes $ apple-printer-lprhost $ apple-printer-lprqueue $ apple-printer-type $ apple-printer-note ) ) AnnexeDonnéesderépertoireMacOSX 249

Classed objetsd ordinateur(computer) objectclass ( 1.3.6.1.4.1.63.1000.1.1.2.10 NAME apple-computer DESC ordinateur SUP top STRUCTURAL MUST ( cn ) MAY ( apple-realname $ description $ macaddress $ apple-category $ apple-computer-list-groups $ apple-keyword $ apple-mcxflags $ apple-mcxsettings $ apple-networkview $ apple-xmlplist $ apple-service-url $ apple-serviceinfo $ apple-primarycomputerlist $ authauthority $ uidnumber $ gidnumber $ apple-generateduid $ ttl $ acctflags $ pwdlastset $ logontime $ logofftime $ kickofftime $ rid $ primarygroupid $ sambasid $ sambaprimarygroupsid owner $ apple-ownerguid $ apple-contactguid $ iphostnumber $ bootfile) ) Classed objetsdelisted ordinateurs(computerlist) objectclass ( 1.3.6.1.4.1.63.1000.1.1.2.11 NAME apple-computer-list DESC liste d ordinateurs SUP top STRUCTURAL MUST ( cn ) MAY ( apple-mcxflags $ apple-mcxsettings $ apple-computer-list-groups $ apple-computers $ apple-generateduid $ apple-keyword ) ) 250 AnnexeDonnéesderépertoireMacOSX

Classed objetsdeconfiguration(configuration) objectclass ( 1.3.6.1.4.1.63.1000.1.1.2.12 NAME apple-configuration DESC configuration SUP top STRUCTURAL MAY ( cn $ apple-config-realname $ apple-data-stamp $ apple-password-server-location $ apple-password-server-list $ apple-ldap-replica $ apple-ldap-writable-replica $ apple-keyword $ apple-kdc-authkey $ apple-kdc-configdata $ apple-xmlplist $ ttl ) ) Classed objetsdelisted ordinateurspréréglés(presetcomputerlist) objectclass ( 1.3.6.1.4.1.63.1000.1.1.2.13 NAME apple-preset-computer-list DESC liste d ordinateurs préréglés SUP top STRUCTURAL MUST ( cn ) MAY ( apple-mcxflags $ apple-mcxsettings $ apple-computer-list-groups $ apple-keyword ) ) Classed objetsd ordinateurpréréglé(presetcomputer) objectclass ( 1.3.6.1.4.1.63.1000.1.1.2.25 NAME apple-preset-computer DESC preset computer SUP top STRUCTURAL MUST ( cn ) MAY ( apple-mcxflags $ apple-mcxsettings $ apple-computer-list-groups $ apple-primarycomputerlist $ description $ apple-networkview $ apple-keyword ) ) AnnexeDonnéesderépertoireMacOSX 251

Classed objetsdegrouped ordinateurspréréglés(presetcomputergroup) objectclass ( 1.3.6.1.4.1.63.1000.1.1.2.26 NAME apple-preset-computer-group DESC preset computer group SUP top STRUCTURAL MUST ( cn ) MAY ( gidnumber $ memberuid $ apple-mcxflags $ apple-mcxsettings $ apple-group-nestedgroup $ description $ jpegphoto $ apple-keyword ) ) Classed objetsdegroupepréréglé(presetgroup) objectclass ( 1.3.6.1.4.1.63.1000.1.1.3.14 NAME apple-preset-group DESC groupe préréglé SUP top STRUCTURAL MUST ( cn ) MAY ( memberuid $ gidnumber $ description $ apple-group-homeurl $ apple-group-homeowner $ apple-mcxflags $ apple-mcxsettings $ apple-group-realname $ apple-keyword $ apple-group-nestedgroup $ apple-group-memberguid $ ttl $ jpegphoto $ apple-group-services $ labeleduri) )) ) 252 AnnexeDonnéesderépertoireMacOSX

Classed objetsd utilisateurpréréglé(presetuser) objectclass ( 1.3.6.1.4.1.63.1000.1.1.2.15 NAME apple-preset-user DESC utilisateur préréglé SUP top STRUCTURAL MUST ( cn ) MAY ( uid $ memberuid $ gidnumber $ homedirectory $ apple-user-homeurl $ apple-user-homequota $ apple-user-homesoftquota $ apple-user-mailattribute $ apple-user-printattribute $ apple-mcxflags $ apple-mcxsettings $ apple-user-adminlimits $ apple-user-passwordpolicy $ userpassword $ apple-user-picture $ apple-keyword $ loginshell $ description $ shadowlastchange $ shadowexpire $ authauthority $ homedrive $ scriptpath $ profilepath $ smbhome $ apple-preset-user-is-admin jpegphoto $ apple-relationships $ apple-phonecontacts $ apple-emailcontacts $ apple-postaladdresses $ apple-mapcoordinates ) ) Classed objetsd autoritéd authentification(authenticationauthority) objectclass ( 1.3.6.1.4.1.63.1000.1.1.2.16 NAME authauthorityobject SUP top STRUCTURAL MAY ( authauthority ) ) AnnexeDonnéesderépertoireMacOSX 253

Classed objetsdeconfigurationd assistantduserveur (ServerAssistantConfiguration) objectclass ( 1.3.6.1.4.1.63.1000.1.1.2.17 NAME apple-serverassistant-config SUP top STRUCTURAL MUST ( cn ) MAY ( apple-xmlplist ) ) Classed objetsd emplacement(location) objectclass ( 1.3.6.1.4.1.63.1000.1.1.2.18 NAME apple-location SUP top AUXILIARY MUST ( cn ) MAY ( apple-dns-domain $ apple-dns-nameserver ) ) Classed objetsdeservice(service) objectclass ( 1.3.6.1.4.1.63.1000.1.1.2.19 NAME apple-service SUP top STRUCTURAL MUST ( cn $ apple-service-type ) MAY ( iphostnumber $ description $ apple-service-location $ apple-service-url $ apple-service-port $ apple-dnsname $ apple-keyword ) ) Classed objetsdevoisinage(neighborhood) objectclass ( 1.3.6.1.4.1.63.1000.1.1.2.20 NAME apple-neighborhood SUP top STRUCTURAL MUST ( cn ) MAY ( description $ apple-generateduid $ apple-category $ apple-nodepathxml $ apple-neighborhoodalias $ apple-computeralias $ apple-keyword $ apple-realname $ apple-xmlplist $ ttl ) ) 254 AnnexeDonnéesderépertoireMacOSX

Classed objetsdelistedecontrôled accès(acl) objectclass ( 1.3.6.1.4.1.63.1000.1.1.2.21 NAME apple-acl SUP top STRUCTURAL MUST ( cn $ apple-acl-entry ) ) Classed objetsderessource(resource) objectclass ( 1.3.6.1.4.1.63.1000.1.1.2.23 NAME apple-resource SUP top STRUCTURAL MUST ( cn ) MAY ( apple-realname $ description $ jpegphoto $ apple-keyword $ apple-generateduid $ apple-contactguid $ apple-ownerguid $ apple-resource-info $ apple-resource-type $ apple-capacity $ labeleduri $ apple-mapuri $ apple-serviceslocator $ apple-phonecontacts $ c $ apple-mapguid $ apple-mapcoordinates ) ) Classed objetsd augmentation(augment) objectclass ( 1.3.6.1.4.1.63.1000.1.1.2.24 NAME apple-augment SUP top STRUCTURAL MUST ( cn ) ) Classed objetsdemappagedemontageautomatique(automountmap) objectclass ( 1.3.6.1.1.1.2.16 NAME automountmap SUP top STRUCTURAL MUST ( automountmapname ) MAY description ) Classed objetsdemontageautomatique(automount) objectclass ( 1.3.6.1.1.1.2.17 NAME automount SUP top STRUCTURAL DESC Automount MUST ( automountkey $ automountinformation ) MAY description ) AnnexeDonnéesderépertoireMacOSX 255

AttributsduschémaLDAPOpenDirectory CettesectiondéfinitlesattributsLDAPOpenDirectoryquiétendentleschémaLDAP standard. Attributdeduréedevie(Time-to-Live,TTL) attributetype ( 1.3.6.1.4.1.250.1.60 NAME ttl EQUALITY integermatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.27 SINGLE-VALUE ) Attributsd utilisateur(user) apple-user-homeurl Stockelesinformationsdedossierdedépartsouslaformed uneurletd un chemind accès.permetd établirunecorrespondanceavecletyped attribut kds1attrhomedirectorydesservicesderépertoires. attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.1.6 NAME apple-user-homeurl DESC URL du dossier de départ EQUALITY caseexactia5match SUBSTR caseexactia5substringsmatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE ) apple-user-class Inutilisé. attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.1.7 NAME apple-user-class DESC classe d utilisateur EQUALITY caseexactia5match SUBSTR caseexactia5substringsmatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE ) apple-user-homequota Spécifielequotadudossierdedépartenkilo-octets. attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.1.8 NAME apple-user-homequota DESC quota du dossier de départ EQUALITY caseexactia5match SUBSTR caseexactia5substringsmatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE ) apple-user-mailattribute StockelesréglagesdecourrierauformatXML. 256 AnnexeDonnéesderépertoireMacOSX

attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.1.9 NAME apple-user-mailattribute DESC attribut de courrier EQUALITY caseexactmatch SUBSTR caseexactsubstringsmatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE ) apple-mcxflags Stockelesinformationsdeclientgéré.Cetattributsetrouvedanslesenregistrements d utilisateur,degroupe,d ordinateuretdegrouped ordinateurs. attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.1.10 NAME apple-mcxflags DESC indicateurs mcx EQUALITY caseexactmatch SUBSTR caseexactsubstringsmatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE ) apple-mcxsettings Stockelesinformationsdeclientgéré.Cetattributsetrouvedanslesenregistrements d utilisateur,degroupe,d ordinateuretdegrouped ordinateurs. #attributetype ( # 1.3.6.1.4.1.63.1000.1.1.1.1.11 # NAME apple-mcxsettings # DESC réglages mcx # EQUALITY caseexactmatch # SUBSTR caseexactsubstringsmatch # SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE ) attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.1.16 NAME ( apple-mcxsettings apple-mcxsettings2 ) DESC réglages mcx EQUALITY caseexactmatch SUBSTR caseexactsubstringsmatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) apple-user-picture Stockeunchemind accèsdusystèmedefichiersversl imageàafficherpourcetenregistrementd utilisateurdanslafenêtred ouverturedesession.utilisélorsquel utilisateurréseauestaffichédanslalistedéroulantedelafenêtred ouverturedesession (surlesréseauxgérés). Pardéfaut,lesutilisateurspeuventmodifierleursphotos. attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.1.12 NAME apple-user-picture DESC image AnnexeDonnéesderépertoireMacOSX 257

EQUALITY caseexactmatch SUBSTR caseexactsubstringsmatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE ) apple-user-printattribute Stockelesréglagesdequotad impressionsousformedeplistxml. attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.1.13 NAME apple-user-printattribute DESC attribut d impression EQUALITY caseexactmatch SUBSTR caseexactsubstringsmatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE ) apple-user-adminlimits UtiliséparGestionnairedegroupedetravailpourstockerunfichierplistXMLdécrivant lescompétencesd unadministrateur.cesréglagessontrespectésetactualiséspar Gestionnairedegroupedetravail,maisn affectentpaslesautresélémentsdusystème. attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.1.14 NAME apple-user-adminlimits DESC capacités d administrateur EQUALITY caseexactmatch SUBSTR caseexactsubstringsmatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE ) apple-user-authenticationhint Utiliséparlafenêtred ouverturedesessionpourfournirunindicesil utilisateurfait troistentativesd ouverturedesessioninfructueusesdesuite.pardéfaut,chaque utilisateurpeutmodifiersonindiced authentification. attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.1.15 NAME apple-user-authenticationhint DESC indice de mot de passe EQUALITY caseexactmatch SUBSTR caseexactsubstringsmatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE ) apple-user-homesoftquota attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.1.17 NAME apple-user-homesoftquota DESC quota (soft) du dossier de départ EQUALITY caseexactia5match SUBSTR caseexactia5substringsmatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE ) 258 AnnexeDonnéesderépertoireMacOSX

apple-user-passwordpolicy attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.1.18 NAME apple-user-passwordpolicy DESC options de politique de mot de passe EQUALITY caseexactmatch SUBSTR caseexactsubstringsmatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE ) apple-keyword attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.1.19 NAME ( apple-keyword ) DESC mots clés EQUALITY caseexactmatch SUBSTR caseexactsubstringsmatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) apple-generateduid attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.1.20 NAME ( apple-generateduid ) DESC identifiant unique généré EQUALITY caseexactmatch SUBSTR caseexactsubstringsmatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE ) apple-imhandle attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.1.21 NAME ( apple-imhandle ) DESC IM handle (service:account name) EQUALITY caseexactmatch SUBSTR caseexactsubstringsmatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) apple-webloguri attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.1.22 NAME ( apple-webloguri ) DESC Weblog URI EQUALITY caseexactia5match SUBSTR caseexactia5substringsmatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE ) apple-mapcoordinates attributetype ( AnnexeDonnéesderépertoireMacOSX 259

1.3.6.1.4.1.63.1000.1.1.1.1.23 NAME ( apple-mapcoordinates ) DESC Map Coordinates EQUALITY caseexactia5match SUBSTR caseexactia5substringsmatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 ) apple-postaladdresses attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.1.24 NAME ( apple-postaladdresses ) DESC Postal Addresses EQUALITY caseexactia5match SUBSTR caseexactia5substringsmatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 ) apple-phonecontacts attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.1.25 NAME ( apple-phonecontacts ) DESC Phone Contacts EQUALITY caseexactia5match SUBSTR caseexactia5substringsmatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 ) apple-emailcontacts attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.1.26 NAME ( apple-emailcontacts ) DESC EMail Contacts EQUALITY caseexactia5match SUBSTR caseexactia5substringsmatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 ) apple-birthday attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.1.27 NAME ( apple-birthday ) DESC Birthday EQUALITY generalizedtimematch SUBSTR caseexactia5substringsmatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.24 SINGLE-VALUE ) apple-relationships attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.1.28 NAME ( apple-relationships ) DESC Relationships 260 AnnexeDonnéesderépertoireMacOSX

EQUALITY caseexactmatch SUBSTR caseexactsubstringsmatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) apple-company attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.1.29 NAME ( apple-company ) DESC company EQUALITY caseexactmatch SUBSTR caseexactsubstringsmatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) apple-nickname attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.1.30 NAME ( apple-nickname ) DESC nickname EQUALITY caseexactmatch SUBSTR caseexactsubstringsmatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) apple-mapuri attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.1.31 NAME ( apple-mapuri ) DESC Map URI EQUALITY caseexactia5match SUBSTR caseexactia5substringsmatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 ) apple-mapguid attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.1.32 NAME ( apple-mapguid ) DESC map GUID EQUALITY caseexactmatch SUBSTR caseexactsubstringsmatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE ) apple-serviceslocator attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.1.33 NAME ( apple-serviceslocator ) DESC Calendar Principal URI EQUALITY caseexactia5match SUBSTR caseexactia5substringsmatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 ) AnnexeDonnéesderépertoireMacOSX 261

apple-organizationinfo attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.1.34 NAME apple-organizationinfo DESC Originization Info data EQUALITY caseexactmatch SUBSTR caseexactsubstringsmatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) apple-namesuffix attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.1.35 NAME ( apple-namesuffix ) DESC namesuffix EQUALITY caseexactmatch SUBSTR caseexactsubstringsmatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) apple-primarycomputerlist attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.1.36 NAME ( apple-primarycomputerlist ) DESC primary computer list EQUALITY caseexactmatch SUBSTR caseexactsubstringsmatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE ) apple-user-homedirectory NonutiliséparleserveurOpenDirectory,maisfournicommeexempled OIDetd attributàemployercommealternativeàl attributhomedirectorypourlarfc2307.ilest surtoutintéressantpourlesadministrateursactivedirectoryparcequ ActiveDirectory utiliseunattributhomedirectorydifférentdeceluidelarfc2307. #attributetype ( # 1.3.6.1.4.1.63.1000.1.1.1.1.100 # NAME apple-user-homedirectory # DESC Le chemin d accès absolu au dossier de départ # EQUALITY caseexactia5match # SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE ) 262 AnnexeDonnéesderépertoireMacOSX

Attributsdegroupe(Group) apple-group-homeurl Spécifieledossierdedépartassociéàungroupedetravaildeclientsgérés.Cedernier estmontéàl ouverturedesessionpartoututilisateurfaisantpartiedecegroupede travail. attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.14.1 NAME apple-group-homeurl DESC url du dossier de départ du groupe EQUALITY caseexactia5match SUBSTR caseexactia5substringsmatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE ) apple-group-homeowner Déterminelepropriétairedudossierdedépartdugroupedetravaillorsqu ilestcréé danslesystèmedefichiers.legroupedurépertoireestlegroupedetravailauquel ilestassocié. attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.14.2 NAME apple-group-homeowner DESC réglages du propriétaire du dossier de départ du groupe EQUALITY caseexactia5match SUBSTR caseexactia5substringsmatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE ) apple-group-realname Utilisépourassocierunnomd utilisateurpluslongetplusconvivialauxgroupes.ce nomapparaîtdansgestionnairedegroupedetravailetpeutcontenirdescaractères non-ascii. attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.14.5 NAME apple-group-realname DESC nom réel du groupe EQUALITY caseexactmatch SUBSTR caseexactsubstringsmatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE ) apple-group-nestedgroup attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.14.6 NAME apple-group-nestedgroup DESC nom réel du groupe EQUALITY caseexactmatch SUBSTR caseexactsubstringsmatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) AnnexeDonnéesderépertoireMacOSX 263

apple-group-memberguid attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.14.7 NAME apple-group-memberguid DESC nom réel du groupe EQUALITY caseexactmatch SUBSTR caseexactsubstringsmatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) apple-group-services attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.14.8 NAME apple-group-services DESC group services EQUALITY caseexactmatch SUBSTR caseexactsubstringsmatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) apple-group-memberuid NonutiliséparleserveurOpenDirectory,maisdéfinicommeexempled attributet d OIDpouvantêtreajoutésàunautreserveurLDAPpourgérerlesclientsMacOSX. # Alternative à l emploi de l attribut memberuid de la RFC 2307. #attributetype ( # 1.3.6.1.4.1.63.1000.1.1.1.14.1000 # NAME apple-group-memberuid # DESC liste des membres du groupe # EQUALITY caseexactia5match # SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 ) # can also use OID 1.3.6.1.4.1.63.1000.1.1.2.1000 apple-contactguid attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.14.9 NAME ( apple-contactguid ) DESC contact GUID EQUALITY caseexactmatch SUBSTR caseexactsubstringsmatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE ) apple-ownerguid attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.14.10 NAME ( apple-ownerguid ) DESC owner GUID EQUALITY caseexactmatch SUBSTR caseexactsubstringsmatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE ) 264 AnnexeDonnéesderépertoireMacOSX

apple-primarycomputerguid attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.14.11 NAME ( apple-primarycomputerguid ) DESC primary computer GUID EQUALITY caseexactmatch SUBSTR caseexactsubstringsmatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE ) apple-group-expandednestedgroup attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.14.12 NAME apple-group-expandednestedgroup DESC expanded nested group list EQUALITY caseexactmatch SUBSTR caseexactsubstringsmatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) Attributsdemachine(Machine) apple-machine-software attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.3.8 NAME apple-machine-software DESC logiciel système installé EQUALITY caseignoreia5match SUBSTR caseignoreia5substringsmatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 ) apple-machine-hardware attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.3.9 NAME apple-machine-hardware DESC description matérielle du système EQUALITY caseignoreia5match SUBSTR caseignoreia5substringsmatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 ) apple-machine-serves attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.3.10 NAME apple-machine-serves DESC Liaison de serveur de domaine NetInfo EQUALITY caseexactia5match SUBSTR caseexactia5substringsmatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 ) AnnexeDonnéesderépertoireMacOSX 265

apple-machine-suffix attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.3.11 NAME apple-machine-suffix DESC suffixe DIT EQUALITY caseignorematch SUBSTR caseignoresubstringsmatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) apple-machine-contactperson attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.3.12 NAME apple-machine-contactperson DESC Name of contact person/owner of this machine EQUALITY caseignorematch SUBSTR caseignoresubstringsmatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) attributetypesconfig attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.22.1 NAME attributetypesconfig DESC RFC2252: attribute types EQUALITY caseexactmatch SUBSTR caseexactsubstringsmatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) objectclassesconfig attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.22.2 NAME objectclassesconfig EQUALITY caseexactmatch SUBSTR caseexactsubstringsmatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) Attributsdemontage mountdirectory attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.8.1 NAME mountdirectory DESC chemin d accès de montage EQUALITY caseexactmatch SUBSTR caseexactsubstringsmatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE ) 266 AnnexeDonnéesderépertoireMacOSX

mounttype attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.8.2 NAME mounttype DESC type VFS du montage EQUALITY caseignoreia5match SUBSTR caseignoreia5substringsmatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE ) mountoption attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.8.3 NAME mountoption DESC options de montage EQUALITY caseignoreia5match SUBSTR caseignoreia5substringsmatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 ) mountdumpfrequency attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.8.4 NAME mountdumpfrequency DESC fréquence de vidage du montage EQUALITY caseignoreia5match SUBSTR caseignoreia5substringsmatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE ) mountpassno attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.8.5 NAME mountpassno DESC passno du montage EQUALITY caseignoreia5match SUBSTR caseignoreia5substringsmatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE ) apple-mount-name # Alternative to using cn when adding mount record schema to other LDAP servers #attributetype ( # 1.3.6.1.4.1.63.1000.1.1.1.8.100 # NAME ( apple-mount-name ) # DESC mount name # SUP name ) AnnexeDonnéesderépertoireMacOSX 267

Attributsd imprimante(printer) apple-printer-attributes attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.9.1 NAME apple-printer-attributes DESC attributs d imprimante au format /etc/printcap EQUALITY caseignoreia5match SUBSTR caseignoreia5substringsmatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 ) apple-printer-lprhost attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.9.2 NAME apple-printer-lprhost DESC nom d hôte LPR d imprimante EQUALITY caseignorematch SUBSTR caseignoresubstringsmatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) apple-printer-lprqueue attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.9.3 NAME apple-printer-lprqueue DESC liste d attente LPR d imprimante EQUALITY caseignorematch SUBSTR caseignoresubstringsmatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) apple-printer-type attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.9.4 NAME apple-printer-type DESC type d imprimante EQUALITY caseignorematch SUBSTR caseignoresubstringsmatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) apple-printer-note attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.9.5 NAME apple-printer-note DESC note d imprimante EQUALITY caseignorematch SUBSTR caseignoresubstringsmatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) 268 AnnexeDonnéesderépertoireMacOSX

Attributsd ordinateur(computer) apple-realname attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.10.2 NAME apple-realname DESC nom réel EQUALITY caseexactmatch SUBSTR caseexactsubstringsmatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) apple-networkview attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.10.3 NAME apple-networkview DESC Network view for the computer EQUALITY caseexactmatch SUBSTR caseexactsubstringsmatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) apple-category attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.10.4 NAME apple-category DESC Category for the computer or neighborhood EQUALITY caseexactmatch SUBSTR caseexactsubstringsmatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) Attributsdelisted ordinateurs(computerlist) apple-computers attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.11.3 NAME apple-computers DESC ordinateurs EQUALITY caseexactmatch SUBSTR caseexactsubstringsmatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) apple-computer-list-groups attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.11.4 NAME apple-computer-list-groups DESC groupes EQUALITY caseexactmatch SUBSTR caseexactsubstringsmatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) AnnexeDonnéesderépertoireMacOSX 269

AttributdePlistXML apple-xmlplist attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.17.1 NAME apple-xmlplist DESC données de plist XML EQUALITY caseexactmatch SUBSTR caseexactsubstringsmatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE ) Attributsd URLdeservice(ServiceURL) apple-service-url attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.19.2 NAME apple-service-url DESC URL of service EQUALITY caseexactia5match SUBSTR caseexactia5substringsmatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 ) Attributd informationdeservice apple-serviceinfo attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.19.6 NAME apple-serviceinfo DESC service related information EQUALITY caseexactmatch SUBSTR caseexactsubstringsmatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) Attributsdeconfiguration(Configuration) apple-password-server-location attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.12.1 NAME apple-password-server-location DESC emplacement du serveur de mots de passe EQUALITY caseexactia5match SUBSTR caseexactia5substringsmatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE ) 270 AnnexeDonnéesderépertoireMacOSX

apple-data-stamp attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.12.2 NAME apple-data-stamp DESC data stamp EQUALITY caseexactia5match SUBSTR caseexactia5substringsmatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE ) apple-config-realname attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.12.3 NAME apple-config-realname DESC nom réel de configuration EQUALITY caseexactia5match SUBSTR caseexactia5substringsmatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE ) apple-password-server-list attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.12.4 NAME apple-password-server-list DESC plist de duplication de serveur de mots de passe EQUALITY caseexactmatch SUBSTR caseexactsubstringsmatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE ) apple-ldap-replica attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.12.5 NAME apple-ldap-replica DESC liste de duplication LDAP EQUALITY caseexactmatch SUBSTR caseexactsubstringsmatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) apple-ldap-writable-replica attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.12.6 NAME apple-ldap-writable-replica DESC liste de duplication LDAP modifiable EQUALITY caseexactmatch SUBSTR caseexactsubstringsmatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) AnnexeDonnéesderépertoireMacOSX 271

apple-kdc-authkey attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.12.7 NAME apple-kdc-authkey DESC clé maîtresse KDC cryptée au format RSA avec clé publique de royaume EQUALITY caseexactmatch SUBSTR caseexactsubstringsmatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) apple-kdc-configdata attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.12.8 NAME apple-kdc-configdata DESC Contenu du fichier kdc.conf EQUALITY caseexactmatch SUBSTR caseexactsubstringsmatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE ) Attributd utilisateurpréréglé(presetuser) apple-preset-user-is-admin attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.15.1 NAME apple-preset-user-is-admin DESC indicateur signalant si l utilisateur préréglé est un administrateur EQUALITY caseexactia5match SUBSTR caseexactia5substringsmatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE ) Attributsd autoritéd authentification(authenticationauthority) authauthority #attributetype ( # 1.3.6.1.4.1.63.1000.1.1.2.16.1 # NAME authauthority # DESC autorité d authentification du serveur de mots de passe # EQUALITY caseexactia5match # SUBSTR caseexactia5substringsmatch # SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 ) authauthority2 #attributetype ( # 1.3.6.1.4.1.63.1000.1.1.2.16.2 # NAME ( authauthority authauthority2 ) # DESC autorité d authentification du serveur de mots de passe # EQUALITY caseexactmatch # SUBSTR caseexactsubstringsmatch # SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) 272 AnnexeDonnéesderépertoireMacOSX

Attributsd emplacement(location) apple-dns-domain attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.18.1 NAME apple-dns-domain DESC domaine DNS EQUALITY caseexactmatch SUBSTR caseexactsubstringsmatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) apple-dns-nameserver attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.18.2 NAME apple-dns-nameserver DESC liste de serveurs de noms DNS EQUALITY caseexactmatch SUBSTR caseexactsubstringsmatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) Attributsdeservice(Service) apple-service-type attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.19.1 NAME apple-service-type DESC type of service EQUALITY caseexactia5match SUBSTR caseexactia5substringsmatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 ) apple-service-url #attributetype ( # 1.3.6.1.4.1.63.1000.1.1.1.19.2 # NAME apple-service-url # DESC URL of service # EQUALITY caseexactia5match # SUBSTR caseexactia5substringsmatch # SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 ) apple-service-port attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.19.3 NAME apple-service-port DESC Service port number EQUALITY integermatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.27 ) AnnexeDonnéesderépertoireMacOSX 273

apple-dnsname attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.19.4 NAME apple-dnsname DESC DNS name EQUALITY caseexactmatch SUBSTR caseexactsubstringsmatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) apple-service-location attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.19.5 NAME apple-service-location DESC Service location EQUALITY caseexactmatch SUBSTR caseexactsubstringsmatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) Attributsdevoisinage(Neighborhood) apple-nodepathxml attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.20.1 NAME apple-nodepathxml DESC XML plist of directory node path EQUALITY caseexactmatch SUBSTR caseexactsubstringsmatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) apple-neighborhoodalias attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.20.2 NAME apple-neighborhoodalias DESC XML plist referring to another neighborhood record EQUALITY caseexactmatch SUBSTR caseexactsubstringsmatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) apple-computeralias attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.20.3 NAME apple-computeralias DESC XML plist referring to a computer record EQUALITY caseexactmatch SUBSTR caseexactsubstringsmatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) 274 AnnexeDonnéesderépertoireMacOSX

Attributdelistedecontrôled accès(acl) apple-acl-entry #attributetype ( # 1.3.6.1.4.1.63.1000.1.1.1.21.1 # NAME apple-acl-entry # DESC acl entry # EQUALITY caseexactmatch # SUBSTR caseexactsubstringsmatch # SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) Attributsdeschéma(Schema) attributetypesconfig #attributetype ( # 1.3.6.1.4.1.63.1000.1.1.1.22.1 # NAME attributetypesconfig # DESC attribute type configuration # EQUALITY objectidentifierfirstcomponentmatch # SYNTAX 1.3.6.1.4.1.1466.115.121.1.3 ) objectclassesconfig #attributetype ( # 1.3.6.1.4.1.63.1000.1.1.1.22.2 # NAME objectclassesconfig # DESC object class configuration # EQUALITY objectidentifierfirstcomponentmatch # SYNTAX 1.3.6.1.4.1.1466.115.121.1.37 ) Attributderessource apple-resource-type attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.23.1 NAME apple-resource-type DESC resource type EQUALITY caseexactia5match SUBSTR caseexactia5substringsmatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 ) apple-resource-info attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.23.2 NAME apple-resource-info DESC resource info EQUALITY caseexactia5match SUBSTR caseexactia5substringsmatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 ) AnnexeDonnéesderépertoireMacOSX 275

apple-capacity attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.23.3 NAME apple-capacity DESC capacity EQUALITY integermatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.27 SINGLE-VALUE ) Attributdemontageautomatique automountmapname attributetype ( 1.3.6.1.1.1.1.31 NAME automountmapname DESC automount Map Name EQUALITY caseexactmatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE ) automountkey attributetype ( 1.3.6.1.1.1.1.32 NAME automountkey DESC Automount Key value EQUALITY caseexactmatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE ) automountinformation attributetype ( 1.3.6.1.1.1.1.33 NAME automountinformation DESC Automount information EQUALITY caseexactmatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE ) Mappagedetypesd enregistrementsetd attributsstandard versldapetactivedirectory Cettesectiondécritlemappagedestypesd enregistrementsetattributsopendirectoryverslesclassesd objetsetattributsldap.elledécritégalementlemappagede certainescatégoriesetdecertainsattributsd objetactivedirectoryverslestypes d enregistrementsetattributsopendirectory,etcommentlespremierssontgénérés àpartirdesderniers. 276 AnnexeDonnéesderépertoireMacOSX

AnnexeDonnéesderépertoireMacOSX 277 Lestableauxsuivantsnefournissentpasdecorrespondancespourl extensiondevotre schéma.letableauindiquelesenregistrementsetlesattributsqu OpenDirectoryutiliseàpartirdeschémasActiveDirectoryetUnixRFC2307existants.Ilindiqueaussiles attributsetlesenregistrementsquinepossèdentpasdemappagesdirects. Mappagesd utilisateurs(users) LestableauxsuivantsdécriventlamanièredontlemoduleLDAPv3d Utilitairederépertoiremappeletyped enregistrementetlesattributsusersopendirectoryverslesclassesd objetsetlesattributsldap. LestableauxspécifientégalementlamanièredontlemoduleActiveDirectoryd Utilitairederépertoiremappeetgénèredesattributsetdescatégoriesd objetsactive Directoryàpartird attributsetdetypesd enregistrementsopendirectory. Mappagesdestypesd enregistrementsd utilisateurs Mappagesdesattributsd utilisateurs NomOpenDirectory, RFC/classe OIDdenomdeclassed objets LDAP Moduleexterne ActiveDirectory Users, RFC2798 inetorgperson 2.16.840.1.113730.3.2.2 ObjectCategory=Person Users, RFC2307 posixaccount 1.3.6.1.1.1.2.0 Users, RFC2307 shadowaccount 1.3.6.1.1.1.2.1 Users, enregistréparapple apple-user 1.3.6.1.4.1.63.1000.1.1.2.1 schémaétenduapple NomOpenDirectory, RFC/classe, emploispécial OIDdenomd attributldap Moduleexterne ActiveDirectory HomeDirectory, enregistréparapple apple-user-homeurl 1.3.6.1.4.1.63.1000.1.1.1.1.6 GénéréàpartirdehomeDirectory HomeDirectoryQuota, enregistréparapple apple-user-homequota 1.3.6.1.4.1.63.1000.1.1.1.1.8 schémaétenduapple HomeDirectorySoftQuota, enregistréparapple apple-user-homesoftquota 1.3.6.1.4.1.63.1000.1.1.1.1.17 schémaétenduapple MailAttribute, enregistréparapple apple-user-mailattribute 1.3.6.1.4.1.63.1000.1.1.1.1.9 schémaétenduapple PrintServiceUserData, enregistréparapple apple-user-printattribute 1.3.6.1.4.1.63.1000.1.1.1.1.13 schémaétenduapple MCXFlags, enregistréparapple apple-mcxflags 1.3.6.1.4.1.63.1000.1.1.1.1.10 schémaétenduapple

278 AnnexeDonnéesderépertoireMacOSX MCXSettings, enregistréparapple apple-mcxsettings 1.3.6.1.4.1.63.1000.1.1.1.1.16 schémaétenduapple AdminLimits, enregistréparapple apple-user-adminlimits 1.3.6.1.4.1.63.1000.1.1.1.1.14 schémaétenduapple AuthenticationAuthority, enregistréparapple authauthority 1.3.6.1.4.1.63.1000.1.1.2.16.1 Généréentantqu autoritékerberos AuthenticationHint, enregistréparapple apple-user-authenticationhint 1.3.6.1.4.1.63.1000.1.1.1.1.15 schémaétenduapple PasswordPolicyOptions, enregistréparapple apple-user-passwordpolicy 1.3.6.1.4.1.63.1000.1.1.1.1.18 schémaétenduapple Keywords, enregistréparapple apple-keyword 1.3.6.1.4.1.63.1000.1.1.1.1.19 schémaétenduapple Picture, enregistréparapple apple-user-picture 1.3.6.1.4.1.63.1000.1.1.1.1.12 schémaétenduapple GeneratedUID, enregistréparapple apple-generateduid 1.3.6.1.4.1.63.1000.1.1.1.1.20 ÀpartirdeGUID formaté RecordName, RFC2256 cn 2.5.4.3 Généréàpartirdecn,userPrincipal,mail,sAMAccountName RecordName, RFC1274 uid 0.9.2342.19200300.100.1.1 Indisponible EMailAddress, RFC1274 mail 0.9.2342.19200300.100.1.3 StandardRFC RealName, RFC2256 cn 2.5.4.3 1.2.840.113556.1.2.13(Microsoft) Password, RFC2256 userpassword 2.5.4.35 Pasdemappage Comment, RFC2256 description 2.5.4.13 StandardRFC LastName, RFC2256 sn 2.5.4.4 StandardRFC FirstName, RFC2256 givenname 2.5.4.42 StandardRFC PhoneNumber, RFC2256 telephonenumber 2.5.4.20 StandardRFC AddressLIne1, RFC2256 street 2.5.4.9 StandardRFC PostalAddress, RFC2256 postaladdress 2.5.4.16 StandardRFC PostalCode, RFC2256 postalcode 2.5.4.17 StandardRFC NomOpenDirectory, RFC/classe, emploispécial OIDdenomd attributldap Moduleexterne ActiveDirectory

AnnexeDonnéesderépertoireMacOSX 279 OrganizationName, RFC2256 o 2.5.4.10 1.2.840.113556.1.2.146(Microsoft) UserShell, RFC2307 loginshell 1.3.6.1.1.1.1.4 Étenduàl aidederfc Change, RFC2307 shadowlastchange 1.3.6.1.1.1.1.5 Pasdemappage Expire, RFC2307 shadowexpire 1.3.6.1.1.1.1.10 Pasdemappage UniqueID, RFC2307 uidnumber 1.3.6.1.1.1.1.0 GénéréàpartirdeGUID NFSHomeDirectory, RFC2307 homedirectory 1.3.6.1.1.1.1.3 GénéréàpartirdehomeDirectory PrimaryGroupID, RFC2307 gidnumber 1.3.6.1.1.1.1.1 Étenduàl aidederfcou généréàpartirdeguid SMBAccountFlags, enregistréparsamba, ApplePDC acctflags 1.3.6.1.4.1.7165.2.1.4 1.2.840.113556.1.4.302(Microsoft) SMBPasswordLastSet, enregistréparsamba, ApplePDC pwdlastset 1.3.6.1.4.1.7165.2.1.3 1.2.840.113556.1.4.96(Microsoft) SMBLogonTime, enregistréparsamba, ApplePDC logontime 1.3.6.1.4.1.7165.2.1.5 1.2.840.113556.1.4.52(Microsoft) SMBLogoffTime, enregistréparsamba, ApplePDC logofftime 1.3.6.1.4.1.7165.2.1.6 1.2.840.113556.1.4.51(Microsoft) SMBKickoffTime, enregistréparsamba, ApplePDC kickofftime 1.3.6.1.4.1.7165.2.1.7 Pasdemappage SMBHomeDrive, enregistréparsamba, ApplePDC homedrive 1.3.6.1.4.1.7165.2.1.10 1.2.840.113556.1.4.45(Microsoft) SMBScriptPath, enregistréparsamba, ApplePDC scriptpath 1.3.6.1.4.1.7165.2.1.11 1.2.840.113556.1.4.62(Microsoft) SMBProfilePath, enregistréparsamba, ApplePDC profilepath 1.3.6.1.4.1.7165.2.1.12 1.2.840.113556.1.4.139(Microsoft) SMBUserWorkstations, enregistréparsamba, ApplePDC userworkstations 1.3.6.1.4.1.7165.2.1.13 1.2.840.113556.1.4.86(Microsoft) NomOpenDirectory, RFC/classe, emploispécial OIDdenomd attributldap Moduleexterne ActiveDirectory

280 AnnexeDonnéesderépertoireMacOSX Mappagesdegroupes(Groups) LestableauxsuivantsspécifientlamanièredontlemoduleLDAPv3d Utilitairederépertoiremappeletyped enregistrementsetlesattributsdegroupesopendirectorysur lesclassesd objetsldap. LestableauxspécifientégalementlamanièredontlemoduleActiveDirectoryd Utilitairederépertoiremappeetgénèredesattributsetdescatégoriesd objetsactive Directoryàpartird attributsetdetypesd enregistrementsopendirectory. SMBHome, enregistréparsamba, ApplePDC smbhome 1.3.6.1.4.1.7165.2.1.17 1.2.840.113556.1.4.44(Microsoft) SMBRID, enregistréparsamba, ApplePDC rid 1.3.6.1.4.1.7165.2.1.14 1.2.840.113556.1.4.153(Microsoft) SMBGroupRID, enregistréparsamba, ApplePDC primarygroupid 1.3.6.1.4.1.7165.2.1.15 1.2.840.113556.1.4.98(Microsoft) FaxNumber, RFC2256 fax 2.5.4.23 StandardRFC MobileNumber, RFC1274 mobile 0.9.2342.19200300.100.1.41 StandardRFC PagerNumber, RFC1274 pager 0.9.2342.19200300.100.1.42 StandardRFC Department, RFC2798, departmentnumber 2.16.840.1.113730.3.1.2 1.2.840.113556.1.2.141(Microsoft) NickName, MicrosoftAttribute 1.2.840.113556.1.2.447(Microsoft) JobTitle, RFC2256 title 2.5.4.12 StandardRFC Building, RFC2256 buildingname 2.5.4.19 StandardRFC Country, RFC2256 c 2.5.4.6 StandardRFC Street, RFC2256 street 2.5.4.9 1.2.840.113556.1.2.256(Microsoft) City, RFC2256 locality 2.5.4.7 StandardRFC State, RFC2256 st 2.5.4.8 StandardRFC NomOpenDirectory, RFC/classe, emploispécial OIDdenomd attributldap Moduleexterne ActiveDirectory

AnnexeDonnéesderépertoireMacOSX 281 Mappagesdestypesd enregistrementsdegroupes(groups) Mappagedesattributsdegroupes(Groups) NomOpenDirectory, RFC/classe OIDdenomdeclassed objets LDAP ModuleexterneActive Directory Groups, RFC2307 posixgroup 1.3.6.1.1.1.2.2 objectcategory=group Groups, enregistréparapple apple-group 1.3.6.1.4.1.63.1000.1.1.2.14 schémaétenduapple NomOpenDirectory, RFC/classe OIDdenomd attributldap ModuleexterneActive Directory RecordName, RFC2256 cn 2.5.4.3 StandardRFC HomeDirectory, enregistréparapple apple-group-homeurl 1.3.6.1.4.1.63.1000.1.1.1.14.1 schémaétenduapple HomeLocOwner, enregistréparapple apple-group-homeowner 1.3.6.1.4.1.63.1000.1.1.1.14.2 schémaétenduapple MCXFlags, enregistréparapple apple-mcxflags 1.3.6.1.4.1.63.1000.1.1.1.1.10 schémaétenduapple MCXSettings, enregistréparapple apple-mcxsettings 1.3.6.1.4.1.63.1000.1.1.1.1.16 schémaétenduapple RealName, enregistréparapple apple-group-realname 1.3.6.1.4.1.63.1000.1.1.1.14.5 1.2.840.113556.1.2.13(Microsoft) Picture, enregistréparapple apple-user-picture 1.3.6.1.4.1.63.1000.1.1.1.1.12 schémaétenduapple Keywords, enregistréparapple apple-keyword 1.3.6.1.4.1.63.1000.1.1.1.1.19 schémaétenduapple GeneratedUID, enregistréparapple apple-generateduid 1.3.6.1.4.1.63.1000.1.1.1.1.20 ÀpartirdeGUID formaté GroupMembership, RFC2307 memberuid 1.3.6.1.1.1.1.12 Généréàpartirdemember Member, RFC2307 memberuid 1.3.6.1.1.1.1.12 IdemGroupMembership PrimaryGroupID, RFC2307 gidnumber 1.3.6.1.1.1.1.1 Étenduàl aidederfcou généréàpartirdeguid

282 AnnexeDonnéesderépertoireMacOSX Mappagesdemontages(Mounts) LestableauxsuivantsdécriventlamanièredontlemoduleLDAPv3d Utilitairede répertoiremappeletyped enregistrementetlesattributsopendirectorymounts verslesclassesd objetsetlesattributsldap. LestableauxspécifientégalementlamanièredontlemoduleActiveDirectoryd Utilitaire derépertoiremappeetgénèredesattributsetdescatégoriesd objetsactivedirectoryà partird attributsetdetypesd enregistrementsopendirectory. Mappagesdestypesd enregistrementsdemontages(mounts) Mappagesdesattributsdemontages(Mounts) Mappagesd ordinateurs(computers) LestableauxsuivantsspécifientlamanièredontlemoduleLDAPv3d Utilitairederépertoiremappeletyped enregistrementsetlesattributsopendirectorycomputerssur lesclassesd objetsldap. LestableauxspécifientégalementlamanièredontlemoduleActiveDirectoryd Utilitairederépertoiremappeetgénèredesattributsetdescatégoriesd objetsactive Directoryàpartird attributsetdetypesd enregistrementsopendirectory. NomOpenDirectory, RFC/classe OIDdenomdeclassed objets LDAP ModuleexterneActive Directory Mounts, enregistréparapple mount 1.3.6.1.4.1.63.1000.1.1.2.8 schémaétenduapple NomOpenDirectory, RFC/classe OIDdenomd attributldap ModuleexterneActive Directory RecordName, RFC2256 cn 2.5.4.3 StandardRFC VFSLinkDir, enregistréparapple mountdirectory 1.3.6.1.4.1.63.1000.1.1.1.8.1 schémaétenduapple VFSOpts, enregistréparapple mountoption 1.3.6.1.4.1.63.1000.1.1.1.8.3 schémaétenduapple VFSType, enregistréparapple mounttype 1.3.6.1.4.1.63.1000.1.1.1.8.2 schémaétenduapple VFSDumpFreq, enregistréparapple mountdumpfrequency 1.3.6.1.4.1.63.1000.1.1.1.8.4 schémaétenduapple VFSPassNo, enregistréparapple mountpassno 1.3.6.1.4.1.63.1000.1.1.1.8.5 schémaétenduapple

AnnexeDonnéesderépertoireMacOSX 283 Mappagesdestypesd enregistrementsd ordinateurs(computers) Mappagesdesattributsd ordinateurs(computers) NomOpenDirectory, RFC/classe OIDdenomdeclassed objets LDAP Moduleexterne ActiveDirectory Computers, enregistréparapple apple-computer 1.3.6.1.4.1.63.1000.1.1.2.10 objectcategory=computer NomOpenDirectory, RFC/classe, emploispécial OIDdenomd attributldap Moduleexterne ActiveDirectory RecordName, RFC2256 cn 2.5.4.3 StandardRFC RealName, enregistréparapple apple-realname 1.3.6.1.4.1.63.1000.1.1.1.10.2 1.2.840.113556.1.2.13(Microsoft) MCXFlags, enregistréparapple apple-mcxflags 1.3.6.1.4.1.63.1000.1.1.1.1.10 schémaétenduapple MCXSettings, enregistréparapple apple-mcxsettings 1.3.6.1.4.1.63.1000.1.1.1.1.16 schémaétenduapple Group, enregistréparapple apple-computer-list-groups 1.3.6.1.4.1.63.1000.1.1.1.11.4 schémaétenduapple AuthenticationAuthority, enregistréparapple authauthority 1.3.6.1.4.1.63.1000.1.1.2.16.1 Indisponible GeneratedUID, enregistréparapple apple-generateduid 1.3.6.1.4.1.63.1000.1.1.1.1.20 ÀpartirdeGUID formaté XMLPlist, enregistréparapple apple-xmlplist 1.3.6.1.4.1.63.1000.1.1.1.17.1 schémaétenduapple Comment, RFC2256 description 2.5.4.13 StandardRFC ENetAddress, RFC2307 macaddress 1.3.6.1.1.1.1.22 Étenduàl aidederfc UniqueID, RFC2307 uidnumber 1.3.6.1.1.1.1.0 GénéréàpartirdeGUID PrimaryGroupID, RFC2307 gidnumber 1.3.6.1.1.1.1.1 Étenduàl aidederfcou généré SMBAccountFlags, enregistréparsamba, ApplePDC acctflags 1.3.6.1.4.1.7165.2.1.4 1.2.840.113556.1.4.302(Microsoft) SMBPasswordLastSet, enregistréparsamba, ApplePDC pwdlastset 1.3.6.1.4.1.7165.2.1.3 1.2.840.113556.1.4.96(Microsoft) SMBLogonTime, enregistréparsamba, ApplePDC logontime 1.3.6.1.4.1.7165.2.1.5 1.2.840.113556.1.4.52(Microsoft)

284 AnnexeDonnéesderépertoireMacOSX Mappagesdelistesd ordinateurs(computerlists) LestableauxsuivantsspécifientlamanièredontlemoduleLDAPv3d Utilitairederépertoiremappeletyped enregistrementsetlesattributsopendirectorycomputerlists verslesclassesd objetsldap. LestableauxspécifientégalementlamanièredontlemoduleActiveDirectoryd Utilitairederépertoiremappeetgénèredesattributsetdescatégoriesd objetsactive Directoryàpartird attributsetdetypesd enregistrementsopendirectory. Mappagesdestypesd enregistrementsdelistesd ordinateurs(computerlists) Mappagesdesattributspourlistesd ordinateurs(computerlists) SMBLogoffTime, enregistréparsamba, ApplePDC logofftime 1.3.6.1.4.1.7165.2.1.6 1.2.840.113556.1.4.51(Microsoft) SMBKickoffTime, enregistréparsamba, ApplePDC kickofftime 1.3.6.1.4.1.7165.2.1.7 Pasdemappage SMBRID, enregistréparsamba, ApplePDC rid 1.3.6.1.4.1.7165.2.1.14 1.2.840.113556.1.4.153(Microsoft) SMBGroupID, enregistréparsamba, ApplePDC primarygroupid 1.3.6.1.4.1.7165.2.1.15 1.2.840.113556.1.4.98(Microsoft) NomOpenDirectory, RFC/classe, emploispécial OIDdenomd attributldap Moduleexterne ActiveDirectory NomOpenDirectory, RFC/classe OIDdenomdeclassed objets LDAP ModuleexterneActive Directory ComputerLists, enregistréparapple apple-computer-list 1.3.6.1.4.1.63.1000.1.1.2.11 schémaétenduapple NomOpenDirectory, RFC/classe OIDdenomd attributldap ModuleexterneActive Directory RecordName, RFC2256 cn 2.5.4.3 StandardRFC MCXFlags, enregistréparapple apple-mcxflags 1.3.6.1.4.1.63.1000.1.1.1.1.10 schémaétenduapple MCXSettings, enregistréparapple apple-mcxsettings 1.3.6.1.4.1.63.1000.1.1.1.1.16 schémaétenduapple Computers, enregistréparapple apple-computers 1.3.6.1.4.1.63.1000.1.1.1.11.3 schémaétenduapple

AnnexeDonnéesderépertoireMacOSX 285 Mappagesdeconfigurations(Config) LestableauxsuivantsspécifientlamanièredontlemoduleLDAPv3d Utilitairede répertoiremappeletyped enregistrementsetlesattributsopendirectoryconfig verslesclassesd objetsldap. LestableauxspécifientégalementlamanièredontlemoduleActiveDirectoryd Utilitaire derépertoiremappeetgénèredesattributsetdescatégoriesd objetsactivedirectoryà partird attributsetdetypesd enregistrementsopendirectory. Mappagesdestypesd enregistrementsdeconfigurations(config) Mappagesdesattributsdeconfigurations(Config) Group, enregistréparapple apple-computer-list-groups 1.3.6.1.4.1.63.1000.1.1.1.11.4 schémaétenduapple Keywords, enregistréparapple apple-keyword 1.3.6.1.4.1.63.1000.1.1.1.1.19 schémaétenduapple NomOpenDirectory, RFC/classe OIDdenomd attributldap ModuleexterneActive Directory NomOpenDirectory, RFC/classe OIDdenomdeclassed objets LDAP ModuleexterneActive Directory Config, enregistréparapple apple-configuration 1.3.6.1.4.1.63.1000.1.1.2.12 schémaétenduapple NomOpenDirectory, RFC/classe, emploispécial OIDdenomd attributldap ModuleexterneActiveDirectory RecordName, RFC2256 cn 2.5.4.3 StandardRFC RealName, enregistréparapple apple-config-realname 1.3.6.1.4.1.63.1000.1.1.1.12.3 1.2.840.113556.1.2.13(Microsoft) DataStamp, enregistréparapple apple-data-stamp 1.3.6.1.4.1.63.1000.1.1.1.12.2 schémaétenduapple KDCAuthKey, enregistréparapple, AppleKDC apple-kdc-authkey 1.3.6.1.4.1.63.1000.1.1.1.12.7 Pasdemappage KDCConfigData, enregistréparapple, AppleKDC apple-kdc-configdata 1.3.6.1.4.1.63.1000.1.1.1.12.8 Pasdemappage Keywords, enregistréparapple apple-keyword 1.3.6.1.4.1.63.1000.1.1.1.1.19 schémaétenduapple LDAPReadReplicas, enregistréparapple, AppleLDAPServer apple-ldap-replica 1.3.6.1.4.1.63.1000.1.1.1.12.5 Pasdemappage

286 AnnexeDonnéesderépertoireMacOSX Mappagesdepersonnes(People) LestableauxsuivantsspécifientlamanièredontlemoduleLDAPv3d Utilitairederépertoiremappeletyped enregistrementsetlesattributsopendirectorypeopleavecles classesd objetsldap. LestableauxspécifientégalementlamanièredontlemoduleActiveDirectoryd Utilitairederépertoiremappeetgénèredesattributsetdescatégoriesd objetsactive Directoryàpartird attributsetdetypesd enregistrementsopendirectory. Mappagesdestypesd enregistrementsdepersonnes(people) Mappagedesattributsdepersonnes(People) LDAPWriteReplicas, enregistréparapple, AppleLDAPServer apple-ldap-writable-replica 1.3.6.1.4.1.63.1000.1.1.1.12.6 Pasdemappage PasswordServerList, enregistréparapple, Serveurdemotsdepasse apple-password-server-list 1.3.6.1.4.1.63.1000.1.1.1.12.4 Pasdemappage PasswordServerLocation, enregistréparapple, Serveurdemotsdepasse apple-password-server-location 1.3.6.1.4.1.63.1000.1.1.1.12.1 Pasdemappage XMLPlist, enregistréparapple apple-xmlplist 1.3.6.1.4.1.63.1000.1.1.1.17.1 schémaétenduapple NomOpenDirectory, RFC/classe, emploispécial OIDdenomd attributldap ModuleexterneActiveDirectory NomOpenDirectory, RFC/classe OIDdenomdeclassed objets LDAP ModuleexterneActive Directory People, RFC2798 inetorgperson 2.16.840.1.113730.3.2.2 StandardRFC NomOpenDirectory, RFC/classe OIDdenomd attributldap ModuleexterneActive Directory RecordName, RFC2256 cn 2.5.4.3 StandardRFC EMailAddress, RFC1274 mail 0.9.2342.19200300.100.1.3 StandardRFC RealName, RFC2256 cn 1.2.840.113556.1.3.23 StandardRFC LastName, RFC2256 sn 2.5.4.4 StandardRFC FirstName, RFC2256 givenname 2.5.4.42 StandardRFC

AnnexeDonnéesderépertoireMacOSX 287 Mappagesdelistesd ordinateurspréréglés(presetcomputerlists) LestableauxsuivantsspécifientlamanièredontlemoduleLDAPv3d Utilitairederéper- toiremappeletyped enregistrementsetlesattributsopendirectorypresetcomputer- Listsaveclesclassesd objetsldap. LestableauxspécifientégalementlamanièredontlemoduleActiveDirectoryd Utilitairederépertoiremappeetgénèredesattributsetdescatégoriesd objetsactive Directoryàpartird attributsetdetypesd enregistrementsopendirectory. FaxNumber, RFC2256 fax 2.5.4.23 StandardRFC MobileNumber, RFC1274 mobile 0.9.2342.19200300.100.1.41 StandardRFC PagerNumber, RFC1274 pager 0.9.2342.19200300.100.1.42 StandardRFC Department, RFC2798, departmentnumber 2.16.840.1.113730.3.1.2 1.2.840.113556.1.2.141(Microsoft) JobTitle, RFC2256 title 2.5.4.12 StandardRFC PhoneNumber, RFC2256 telephonenumber 2.5.4.20 StandardRFC AddressLine1, RFC2256 street 2.5.4.9 StandardRFC Street, RFC2256 street 2.5.4.9 StandardRFC PostalAddress, RFC2256 postaladdress 2.5.4.16 StandardRFC City, RFC2256 locality 2.5.4.7 StandardRFC State, RFC2256 st 2.5.4.8 StandardRFC Country, RFC2256 c 2.5.4.6 StandardRFC PostalCode, RFC2256 postalcode 2.5.4.17 StandardRFC OrganizationName, RFC2256 o 2.5.4.10 1.2.840.113556.1.2.146(Microsoft) NomOpenDirectory, RFC/classe OIDdenomd attributldap ModuleexterneActive Directory

288 AnnexeDonnéesderépertoireMacOSX Mappagesdestypesd enregistrementsdelistesd ordinateurspréréglés (PresetComputerLists) Mappagesdesattributsdelistesd ordinateurspréréglés(presetcomputerlists) Mappagesdegroupespréréglés(PresetGroups) LestableauxsuivantsspécifientlamanièredontlemoduleLDAPv3d Utilitairederépertoiremappeletyped enregistrementsetlesattributsopendirectorypresetgroups aveclesclassesd objetsldap. LestableauxspécifientégalementlamanièredontlemoduleActiveDirectoryd Utilitairederépertoiremappeetgénèredesattributsetdescatégoriesd objetsactive Directoryàpartird attributsetdetypesd enregistrementsopendirectory. Mappagesdestypesd enregistrementsdegroupespréréglés(presetgroups) Mappagesdesattributsdegroupespréréglés(PresetGroups) NomOpenDirectory, RFC/classe OIDdenomdeclassed objets LDAP ModuleexterneActive Directory PresetComputerLists, enregistréparapple apple-preset-computer-list 1.3.6.1.4.1.63.1000.1.1.2.13 schémaétenduapple NomOpenDirectory, RFC/classe OIDdenomd attributldap ModuleexterneActive Directory RecordName, RFC2256 cn 2.5.4.3 StandardRFC MCXFlags, enregistréparapple apple-mcxflags 1.3.6.1.4.1.63.1000.1.1.1.1.10 schémaétenduapple MCXSettings, enregistréparapple apple-mcxsettings 1.3.6.1.4.1.63.1000.1.1.1.1.16 schémaétenduapple Keywords, enregistréparapple apple-keyword 1.3.6.1.4.1.63.1000.1.1.1.1.19 schémaétenduapple NomOpenDirectory, RFC/classe OIDdenomdeclassed objets LDAP ModuleexterneActive Directory PresetGroups, enregistréparapple apple-preset-group 1.3.6.1.4.1.63.1000.1.1.3.14 schémaétenduapple NomOpenDirectory, RFC/classe OIDdenomd attributldap ModuleexterneActive Directory HomeDirectory, enregistréparapple apple-group-homeurl 1.3.6.1.4.1.63.1000.1.1.1.1.6 schémaétenduapple HomeLocOwner, enregistréparapple apple-group-homeowner 1.3.6.1.4.1.63.1000.1.1.1.14.2 schémaétenduapple

AnnexeDonnéesderépertoireMacOSX 289 Mappagesd utilisateurspréréglés(presetusers) LestableauxsuivantsspécifientlamanièredontlemoduleLDAPv3d Utilitairederépertoiremappeletyped enregistrementsetlesattributsopendirectorypresetusersavec lesclassesd objetsldap. LestableauxspécifientégalementlamanièredontlemoduleActiveDirectoryd Utilitairederépertoiremappeetgénèredesattributsetdescatégoriesd objetsactive Directoryàpartird attributsetdetypesd enregistrementsopendirectory. Mappagesdestypesd enregistrementsd utilisateurspréréglés(presetusers) Mappagesdesattributsd utilisateurspréréglés(presetusers) MCXFlags, enregistréparapple apple-mcxflags 1.3.6.1.4.1.63.1000.1.1.1.1.10 schémaétenduapple MCXSettings, enregistréparapple apple-mcxsettings 1.3.6.1.4.1.63.1000.1.1.1.1.16 schémaétenduapple RealName, enregistréparapple apple-group-realname 1.3.6.1.4.1.63.1000.1.1.1.14.5 schémaétenduapple Keywords, enregistréparapple apple-keyword 1.3.6.1.4.1.63.1000.1.1.1.1.19 schémaétenduapple RecordName, RFC2256 cn 2.5.4.3 StandardRFC GroupMembership, RFC2307 memberuid 1.3.6.1.1.1.1.12 Étenduàl aidederfc PrimaryGroupID, RFC2307 gidnumber 1.3.6.1.1.1.1.1 Étenduàl aidederfc NomOpenDirectory, RFC/classe OIDdenomd attributldap ModuleexterneActive Directory NomOpenDirectory, RFC/classe OIDdenomdeclassed objets LDAP ModuleexterneActive Directory PresetUsers, enregistréparapple apple-preset-user 1.3.6.1.4.1.63.1000.1.1.2.15 ObjectCategory=Person NomOpenDirectory, RFC/classe OIDdenomd attributldap ModuleexterneActive Directory HomeDirectory, enregistréparapple apple-user-homeurl 1.3.6.1.4.1.63.1000.1.1.1.1.6 Indisponible HomeDirectoryQuota, enregistréparapple apple-user-homequota 1.3.6.1.4.1.63.1000.1.1.1.1.8 schémaétenduapple HomeDirectorySoftQuota, enregistréparapple apple-user-homesoftquota 1.3.6.1.4.1.63.1000.1.1.1.1.17 schémaétenduapple MailAttribute, enregistréparapple apple-user-mailattribute 1.3.6.1.4.1.63.1000.1.1.1.1.9 schémaétenduapple

290 AnnexeDonnéesderépertoireMacOSX Mappagesd imprimantes(printers) LestableauxsuivantsspécifientlamanièredontlemoduleLDAPv3d Utilitairederépertoiremappeletyped enregistrementsetlesattributsopendirectoryprintersavecles classesd objetsldap. PrintServiceUserData, enregistréparapple apple-user-printattribute 1.3.6.1.4.1.63.1000.1.1.1.1.13 schémaétenduapple MCXFlags, enregistréparapple apple-mcxflags 1.3.6.1.4.1.63.1000.1.1.1.1.10 schémaétenduapple MCXSettings, enregistréparapple apple-mcxsettings 1.3.6.1.4.1.63.1000.1.1.1.1.16 schémaétenduapple AdminLimits, enregistréparapple apple-user-adminlimits 1.3.6.1.4.1.63.1000.1.1.1.1.14 schémaétenduapple Picture, enregistréparapple apple-user-picture 1.3.6.1.4.1.63.1000.1.1.1.1.12 schémaétenduapple AuthenticationAuthority, enregistréparapple authauthority 1.3.6.1.4.1.63.1000.1.1.2.16.1 Indisponible PasswordPolicyOptions, enregistréparapple apple-user-passwordpolicy 1.3.6.1.4.1.63.1000.1.1.1.1.18 schémaétenduapple PresetUserIsAdmin, enregistréparapple apple-preset-user-is-admin 1.3.6.1.4.1.63.1000.1.1.1.15.1 schémaétenduapple Keywords, enregistréparapple apple-keyword 1.3.6.1.4.1.63.1000.1.1.1.1.19 schémaétenduapple RecordName, RFC1274 cn 2.5.4.3 StandardRFC RealName, RFC2256 cn 2.5.4.3 StandardRFC Password, RFC2256 userpassword 2.5.4.35 Indisponible GroupMembership, RFC2307 memberuid 1.3.6.1.1.1.1.12 Étenduàl aidederfc PrimaryGroupID, RFC2307 gidnumber 1.3.6.1.1.1.1.1 Étenduàl aidederfc NFSHomeDirectory, RFC2307 homedirectory 1.3.6.1.1.1.1.3 Indisponible UserShell, RFC2307 loginshell 1.3.6.1.1.1.1.4 Étenduàl aidederfc Change, RFC2307 shadowlastchange 1.3.6.1.1.1.1.5 Indisponible Expire, RFC2307 shadowexpire 1.3.6.1.1.1.1.10 Indisponible NomOpenDirectory, RFC/classe OIDdenomd attributldap ModuleexterneActive Directory

AnnexeDonnéesderépertoireMacOSX 291 LestableauxspécifientégalementlamanièredontlemoduleActiveDirectoryd Utilitairederépertoiremappeetgénèredesattributsetdescatégoriesd objetsactive Directoryàpartird attributsetdetypesd enregistrementsopendirectory. Mappagesdestypesd enregistrementsd imprimantes(printers) Mappagesdesattributsd imprimantes(printers) NomOpenDirectory, RFC/classe OIDdenomdeclassed objets LDAP ModuleexterneActive Directory Printers, enregistréparapple apple-printer 1.3.6.1.4.1.63.1000.1.1.2.9 ObjectCategory=Print-Queue Printers, IETF-Draft-IPP-LDAP printeripp 1.3.18.0.2.6.256 NomOpenDirectory, RFC/classe, emploispécial OIDdenomd attributldap ModuleexterneActiveDirectory RecordName, RFC2256 cn 2.5.4.3 StandardRFC RealName, RFC2256 Nonprémappé 1.2.840.113556.1.4.300(Microsoft) PrinterLPRHost, enregistréparapple, gestionhéritée apple-printer-lprhost 1.3.6.1.4.1.63.1000.1.1.1.9.2 Indisponible PrinterLPRQueue, enregistréparapple, gestionhéritée apple-printer-lprqueue 1.3.6.1.4.1.63.1000.1.1.1.9.3 Indisponible PrinterType, enregistréparapple, gestionhéritée apple-printer-type 1.3.6.1.4.1.63.1000.1.1.1.9.4 Indisponible PrinterNote, enregistréparapple, gestionhéritée apple-printer-note 1.3.6.1.4.1.63.1000.1.1.1.9.5 Indisponible Location, IETF-Draft-IPP-LDAP Nonprémappé;pourraitêtre mappévers:printer-location 1.3.18.0.2.4.1136 1.2.840.113556.1.4.222(Microsoft) Comment, RFC2256 Nonprémappé;pourraitêtre mappévers:description 2.5.4.13 StandardRFC PrinterMakeAndModel, IETF-Draft-IPP-LDAP Nonprémappé;pourraitêtre mappévers:printer-make-andmodel 1.3.18.0.2.4.1138 1.2.840.113556.1.4.229(Microsoft) PrinterURI, IETF-Draft-IPP-LDAP Nonprémappé;pourraitêtre mappévers:printer-uri 1.3.18.0.2.4.1140 GénéréàpartirdeuNCName

292 AnnexeDonnéesderépertoireMacOSX Mappagesdeconfigurationsautomatiquesdeserveur (AutoServerSetup) LestableauxsuivantsspécifientlamanièredontlemoduleLDAPv3d Utilitairederépertoiremappeletyped enregistrementsetlesattributsopendirectoryautoserversetup aveclesclassesd objetsldap. LestableauxspécifientégalementlamanièredontlemoduleActiveDirectoryd Utilitairederépertoiremappeetgénèredesattributsetdescatégoriesd objetsactive Directoryàpartird attributsetdetypesd enregistrementsopendirectory. Mappagesdestypesd enregistrementsdeconfigurationsautomatiquesdeserveur(autoserversetup) Mappagesdesattributsd enregistrementsdeconfigurationsautomatiques deserveur(autoserversetup) Mappagesd emplacements(locations) LestableauxsuivantsspécifientlamanièredontlemoduleLDAPv3d Utilitairederépertoiremappeletyped enregistrementsetlesattributsopendirectorylocationsavec lesclassesd objetsldap. PrinterXRISupported, IETF-Draft-IPP-LDAP Nonprémappé;pourraitêtre mappévers:printer-xri-supported 1.3.18.0.2.4.1107 GénéréàpartirdeportName/ uncname Printer1284DeviceID, enregistréparapple Nonprémappé;pourraitêtre mappévers:printer-1284- device-id 1.3.6.1.4.1.63.1000.1.1.1.9.6 schémaétenduapple NomOpenDirectory, RFC/classe, emploispécial OIDdenomd attributldap ModuleexterneActiveDirectory NomOpenDirectory, RFC/classe OIDdenomdeclassed objets LDAP ModuleexterneActive Directory AutoServerSetup, enregistréparapple apple-serverassistant-config 1.3.6.1.4.1.63.1000.1.1.2.17 schémaétenduapple NomOpenDirectory, RFC/classe OIDdenomd attributldap ModuleexterneActive Directory RecordName, RFC2256 cn 2.5.4.3 StandardRFC XMLPlist, enregistréparapple apple-xmlplist 1.3.6.1.4.1.63.1000.1.1.1.17.1 schémaétenduapple

LestableauxspécifientégalementlamanièredontlemoduleActiveDirectoryd Utilitairederépertoiremappeetgénèredesattributsetdescatégoriesd objetsactive Directoryàpartird attributsetdetypesd enregistrementsopendirectory. Mappagesdestypesd enregistrementsd emplacements(locations) NomOpenDirectory, RFC/classe Locations, enregistréparapple OIDdenomdeclassed objets LDAP apple-location 1.3.6.1.4.1.63.1000.1.1.2.18 ModuleexterneActive Directory schémaétenduapple Mappagesdesattributsd emplacements(locations) NomOpenDirectory, RFC/classe RecordName, RFC2256 DNSDomain, enregistréparapple DNSNameServer, enregistréparapple OIDdenomd attributldap cn 2.5.4.3 apple-dns-domain 1.3.6.1.4.1.63.1000.1.1.1.18.1 apple-dns-nameserver 1.3.6.1.4.1.63.1000.1.1.1.18.2 ModuleexterneActive Directory StandardRFC schémaétenduapple schémaétenduapple typesd enregistrementsetattributsopendirectorystandard Pourensavoirplussurlestypesd enregistrementsetlesattributsstandarddansles domainesopendirectory,consultezlesrubriquessuivantes:  «Attributsstandarddanslesenregistrementsd utilisateurs»àlapage293  «Attributsstandarddanslesenregistrementsdegroupes»àlapage299  «Attributsstandarddanslesenregistrementsd ordinateurs»àlapage300  «Attributsstandarddanslesenregistrementsdegroupesd ordinateurs» àlapage301  «Attributsstandarddanslesenregistrementsdemontages»àlapage302  «Attributsstandarddanslesenregistrementsdeconfigurations»àlapage303 Pourobtenirunelistecomplètedestypesd enregistrementsetdesattributsstandard, consultezlefichiersuivant: /System/Library/Frameworks/DirectoryService.framework/Headers/DirServicesConst.h Attributsstandarddanslesenregistrementsd utilisateurs Letableausuivantdécritlesattributsstandardfigurantdanslesenregistrementsd utilisateursopendirectory.utilisezcesinformationslorsquevoustravaillezdanslasousfenêtreinspecteurdegestionnairedegroupedetravailoulorsquevousmappezdes attributsd enregistrementsd utilisateursavecutilitairederépertoire. AnnexeDonnéesderépertoireMacOSX 293

294 AnnexeDonnéesderépertoireMacOSX Important:lorsdumappagedesattributsd utilisateursmacosxsurundomainede répertoireldapenlecture/écriture(undomaineldapquin estpasenlectureseule), nemappezpasl attributrealnameetlepremierattributrecordnamesurlemême attributldap. Parexemple,nemappezpasàlafoisRealNameetRecordNamesurl attributcn.sireal- NameetRecordNamesontmappéssurlemêmeattributLDAP,desproblèmesseproduirontlorsquevousessaierezdemodifierlenomcompletoulepremiernomabrégé dansgestionnairedegroupedetravail. Attributd utilisateurmacosx Format Exemplesdevaleurs Nomdel entrée: Unelistedenomsassociésàun utilisateur.lepremiernomestle nomabrégédel utilisateurainsi quelenomdudossierdedépart decedernier. IMPORTANTTouslesattributs utiliséspourl authentification doiventêtremappéssurrecord- Name. Premièrevaleur:caractères ASCIIdeAàZ,aàz,0à9,_,- Deuxièmevaleur:texteromain UTF-8 Jean JeanD. J.Dupont Longueurnonnulle,de1à16 valeurs.maximum255octets (de85caractèrestripleoctetsà 255caractèresd unoctet)par instance. Lapremièrevaleurdoitêtre1à 8octetspourlesclientsquiutilisentMacOSX10.1ouantérieur. Nomréel: Unnom,habituellementlenom completdel utilisateur;nonutilisépourl authentification. TexteUTF-8 JeanDupont. Longueurnonnulle,d unmaximumde255octets(soit85 caractèrestripleoctetsou255 caractèresd unoctet). Identifiantunique: Identifiantutilisateurunique,utilisépourlagestiondesautorisationsd accès. ChaîneASCIIsignéeà32bits, composéedechiffresde0à9 Lesvaleursinférieuresà500 peuventavoirunesignification particulière.lesvaleursinférieuresà100sontgénéralement attribuéesauxcomptesdesystème.zéroestréservéausystème. Normalementuniqueparrapportauxautresutilisateursmais parfoisendouble. Avertissement:unevaleurnon entièreestinterprétéecomme un0,c est-à-direl identificateur uniqueducomptedel utilisateurroot. Identifiantdegroupeprincipal: Associationdegroupeprincipal d utilisateur ChaîneASCIIsignéeà32bits, composéedechiffresde0à9 Plagede1à2.147.483.648 Normalementuniquedanstous lesenregistrementsdegroupe. Sivide,lavaleursupposéeest 20.

AnnexeDonnéesderépertoireMacOSX 295 Répertoired accueilnfs: Chemind accèsaudossierde départdel utilisateur,dansle systèmedefichierslocal. TexteUTF-8 /Network/Servers/example/ Users/K-M/TomKing Longueurnonnulle.Maximum 255octets. Répertoired accueil Emplacementd undossierde départafp. TexteXMLUTF-8 <home_dir> <url>afp://server/sharept</url> <path>usershomedir</path> </home_dir> Dansl exempleci-dessous,le dossierdedépartdetomking estk-m/tomking,quirésideen dessousdurépertoiredupoint departageutilisateurs: <home_dir> <url>afp://example.com/ Users</url> <path>k-m/tomking</path> </home_dir> HomeDirectoryQuota: Quotadedisquedudossierde départdel utilisateur. Texteindiquantlenombre d octetsautorisés Silequotaestde10Mo,la valeurseralachaînedetexte «1048576». Attributdecourrier: Configurationduservicede courrierd unutilisateur. TexteXMLUTF-8 PrintServiceUserData: Statistiquesduquotad impressiond unutilisateur. plistxmlutf-8,valeurunique. MCXFlags: S ilestprésent,mcxsettingsest chargé;danslecascontraire,il nel estpas.obligatoirepourun utilisateurgéré. plistxmlutf-8,valeurunique RéglagesMCX: Préférencesgéréesd unutilisateur. plistxmlutf-8,valeursmultiples AdminLimits: AutorisationsaccordéesparGestionnairedegroupedetravailà unutilisateurquipeutadministrerledomainederépertoire. plistxmlutf-8,valeurunique Motdepasse: Motdepassedel utilisateur. CryptageUNIX Attributd utilisateurmacosx Format Exemplesdevaleurs

296 AnnexeDonnéesderépertoireMacOSX Image: Chemind accèsàunfichier d imagereconnuàafficherpour l utilisateur. TexteUTF-8 Maximum255octets. Commentaires: Toutedocumentationdevotre choix. TexteUTF-8 Jeanestresponsabledumarketing Maximum32676octets. Shellutilisateur: Emplacementdushellpar défautpourl envoidecommandesauserveur. Chemind accès /bin/tcsh /bin/sh Aucun.Cettevaleurempêcheles utilisateurspossédantdes comptesdansledomainede répertoired accéderauserveur àdistanceviaunelignedecommande. Longueurnonnulle. Change: NonutiliséparMacOSXmais correspondàunepartiedu schémaldapstandard. Nombre Expire: NonutiliséparMacOSXmais correspondàunepartiedu schémaldapstandard. Nombre Droitd authentification: Décritlesméthodesd authentificationdel utilisateur,comme, parexemple,opendirectory, MotdepasseshadowouMotde passecrypté. Facultatifpourunutilisateurne possédantqu unmotdepasse crypté. L absencedecetattributsignifiel authentificationhéritée (cryptéeavecgestionnaire d authentification,lecas échéant). TexteASCII Lesvaleursdécriventlesméthodesd authentificationd utilisateur. Peutêtremultivalué(parexemple;ApplePasswordServer;et ;Kerberosv5;). Chaquevaleuraleformatvers; balise;données(oùversetdonnéespeuventêtrevides). Motdepassecrypté:;basic; MotdepasseOpenDirectory :;ApplePasswordServer;HexID, clépubliqueduserveuripaddress:port;kerberosv5;données Kerberos Motdepasseshadow(domaine derépertoirelocaluniquement) : Â ;ShadowHash; Â ;ShadowHash;<listedesméthodesd authentificationactivées> Attributd utilisateurmacosx Format Exemplesdevaleurs

AnnexeDonnéesderépertoireMacOSX 297 Indiced authentification: Textedéfiniparl utilisateurpour êtreaffichéàtitred indicede motdepasse. TexteUTF-8 Vousavezvujuste. Maximum255octets. FirstName: UtiliséparCarnetd adresseset d autresapplicationsutilisantla règlederecherchedecontacts. LastName: UtiliséparCarnetd adresseset d autresapplicationsutilisantla règlederecherchedecontacts. Adressedecourrierélectronique: Adresseélectroniqueàlaquelle lecourrierélectroniquedoitêtre réexpédiélorsqu unutilisateura unattributnomaildéfini. UtiliséparCarnetd adresses, Mailetd autresapplicationsutilisantlapolitiquederecherche decontacts. Touteadresseélectronique légaleselonrfc822 utilisateur@exemple.com PhoneNumber: UtiliséparCarnetd adresseset d autresapplicationsutilisant lapolitiquederecherchede contacts. AddressLine1: UtiliséparCarnetd adresseset d autresapplicationsutilisant lapolitiquederecherchede contacts. PostalAddress: UtiliséparCarnetd adresseset d autresapplicationsutilisant lapolitiquederecherchede contacts. PostalCode: UtiliséparCarnetd adresseset d autresapplicationsutilisantla politiquederecherchedecontacts. OrganizationName: UtiliséparCarnetd adresseset d autresapplicationsutilisant lapolitiquederecherchede contacts. Attributd utilisateurmacosx Format Exemplesdevaleurs

Donnéesd utilisateurutiliséesparmacosxserver LetableausuivantdécritlamanièredontvotreserveurMacOSXServerutiliselesdonnéesdesenregistrementsd utilisateursdesdomainesderépertoire.consultezce tableaupoursavoirquelssontlesattributs(outypesdedonnées)quelesservicesde votreserveurs attendentàtrouverdanslesenregistrementsd utilisateursdesdomainesderépertoire. Danslacolonnesituéeleplusàgauche,«Touslesservices»couvreAFP,SMB,FTP, HTTP,NFS,WebDAV,POP,IMAP,Gestionnairedegroupedetravail,AdminServeur etlafenêtred ouverturedesessiondemacosx. Composantduserveur Attributd utilisateurmacosx Dépendance Touslesservices RecordName Requispourl authentification Touslesservices Nomréel Requispourl authentification Touslesservices AuthenticationAuthority Utilisépourl authentification Kerberos,parserveurdemots depasseetparmotdepasse shadow Touslesservices Password Utilisépourl authentification élémentaire(motdepasse crypté)ouliaisonldap Touslesservices Identifiantunique Nécessairepourl autorisation (parexemple,permissionsde fichieretcomptesdecourrier) Touslesservices PrimaryGroupID Nécessairepourl autorisation (parexemple,permissionsde fichieretcomptesdecourrier) ServiceFTP Serviceweb ServicedefichiersApple ServiceNFS Fenêtred ouverturedesession demacosx Préférencesdel applicationet préférencessystème Répertoired accueil Répertoired accueilnfs Facultatif Servicedecourrier Attributdecourrier Obligatoirepourouvrirunesessiondansleservicedemessageriedevotreserveur Servicedecourrier Adresseélectronique Facultatif 298 AnnexeDonnéesderépertoireMacOSX

AnnexeDonnéesderépertoireMacOSX 299 Attributsstandarddanslesenregistrementsdegroupes Letableausuivantdécritlesattributsstandardfigurantdanslesenregistrementsde groupesopendirectory.utilisezcesinformationslorsquevoustravaillezdanslasousfenêtreinspecteurdegestionnairedegroupedetravailoulorsquevousmappezdes attributsdegroupesavecutilitairederépertoire. AttributdegroupeMacOSX Format Exemplesdevaleurs Nomdel entrée: Nomassociéàungroupe caractèresasciiaàz,aàz, 0à9,_ Sciences Dépt_Sciences Prof.Sciences Longueurnonnulle,maximum 255octets(de85caractèrestripleoctetsà255caractèresd un octet). Nomréel: Habituellementlenomcomplet dugroupe TexteUTF-8 Professeursdudépartementde sciences Longueurnonnulle,maximum 255octets(de85caractèrestripleoctetsà255caractèresd un octet). Identifiantdegroupeprincipal: Unidentifiantuniquepourle groupe ChaîneASCIIsignéeà32bits, composéedechiffresde0à9 Normalementuniquedanstous lesenregistrementsdegroupe. Membresdugroupe: Listedenomsabrégésd enregistrementsd utilisateursconsidéréscommefaisantpartiedu groupe CaractèresASCIIAàZ,aàz, 0à9,_,- bsmith,jdoe Peutêtreunelistevide(normalementpourlegroupeprincipal desutilisateurs). Répertoired accueil Emplacementd undossierde départafpdugroupe TexteUTF-8structuré <home_dir> <url>afp://server/sharept</url> <path>grouphomedir</path> </home_dir> Dansl exempleci-dessous,le dossierdedépartdugroupe SciencesestK-M/Science,qui résideendessousdurépertoire depointdepartagegroupes: <home_dir> <url>afp://exemple.com/groupes</url> <path>k-m/science</path> </home_dir> Member: MêmedonnéesquepourGroupMembershipmaischacune étantutiliséepardifférentsservicesdemacosxserver CaractèresASCIIAàZ,aàz, 0à9,_,- bsmith,jdoe Peutêtreunelistevide(normalementpourlegroupeprincipal desutilisateurs).

300 AnnexeDonnéesderépertoireMacOSX Attributsstandarddanslesenregistrementsd ordinateurs Letableausuivantdécritlesattributsstandardfigurantdanslesenregistrementsd ordinateursopendirectory. Lesenregistrementsd ordinateursassocientl adressematérielledel interfaceethernet principaled unordinateuràunnomattribuéàcetordinateur.lenomfaitpartied unenregistrementdegrouped ordinateurs(similaireàlanotiond utilisateurdansungroupe). Utilisezcesinformationslorsquevoustravaillezdanslasous-fenêtreInspecteurdeGestionnairedegroupedetravailoulorsquevousmappezdesattributsd enregistrements d ordinateursavecutilitairederépertoire. HomeLocOwner: Nomabrégédel utilisateurqui possèdeledossierdedépartdu groupe CaractèresASCIIAàZ,aàz,0à 9,_,- MCXFlags: S ilestprésent,mcxsettingsest chargé;s ilestabsent,mcxsettingsn estpaschargé;requis pourunutilisateurgéré. plistxmlutf-8,valeurunique RéglagesMCX: Préférencesd ungroupedetravail(groupegéré) plistxmlutf-8,valeursmultiples AttributdegroupeMacOSX Format Exemplesdevaleurs Attributd ordinateurmacosx Format Exemplesdevaleurs Nomdel entrée: Nomassociéàunordinateur. TexteUTF-8 imac1 Commentaires: Toutedocumentationdevotre choix. TexteUTF-8 EnetAddress: Lavaleurdecetattributdoit êtrel adresseethernet(appelée aussiadressemac)del interfaceethernetintégréedel ordinateur,mêmesil ordinateurse connecteaurépertoireàl aide d uneautreinterfaceréseau, tellequ AirPort. Notationhexa,séparationpar deux-points;leszérosinitiaux peuventêtreignorés 00:05:02:b7:b5:88

AnnexeDonnéesderépertoireMacOSX 301 Attributsstandarddanslesenregistrementsdegroupesd ordinateurs Letableausuivantdécritlesattributsstandardfigurantdanslesenregistrementsde groupesd ordinateursopendirectory.unenregistrementdegrouped ordinateurs identifieungrouped ordinateurs(trèssimilaireàlafaçondontunenregistrement degroupeidentifieunensembled utilisateurs). Utilisezcesinformationslorsquevoustravaillezdanslasous-fenêtreInspecteurdeGestionnairedegroupedetravailoulorsquevousmappezdesattributsd enregistrements degroupesd ordinateursavecutilitairederépertoire. MCXFlags: Utiliséuniquementdansl enregistrementd ordinateur «guest»(invité);s ilestprésent,mcxsettingsestchargé; danslecascontraire,ilnel est pas;obligatoirepourunordinateurgéré. plistxmlutf-8,valeurunique RéglagesMCX: Utiliséuniquementdansl enregistrementd ordinateur «guest»(invité);préférences d unordinateurgéré. plistxmlutf-8,valeursmultiples Attributd ordinateurmacosx Format Exemplesdevaleurs Attributdegrouped ordinateursmacosx Format Exemplesdevaleurs Nomdel entrée: Nomassociéàungroupe d ordinateurs TexteUTF-8 Ordinateursdelaboratoire Longueurnonnulle,maximum 255octets(de85caractèrestripleoctetsà255caractèresd un octet). MCXFlags plistxmlutf-8,valeurunique RéglagesMCX: Stockelespréférences d unordinateurgéré plistxmlutf-8,valeursmultiples Computers Listeàvaleursmultiplesde nomsd enregistrementsd ordinateurs imac1,imac2 Groupe Listedesgroupesdontlesmembrespeuventouvrirunesession surlesordinateursdecegroupe d ordinateurs Listeàvaleursmultiplesde nomsabrégésdegroupes herbivores,omnivores

Attributsstandarddanslesenregistrementsdemontages Letableausuivantdécritlesattributsstandardfigurantdanslesenregistrementsde montagesopendirectory.utilisezcesinformationslorsquevoustravaillezdanslasousfenêtreinspecteurdegestionnairedegroupedetravailoulorsquevousmappezdes attributsd enregistrementsdemontageavecutilitairederépertoire. Attributsdemontages MacOSX Format Exemplesdevaleurs Nomdel entrée: TexteUTF-8 Hôteetchemind accèsaupoint departage VFSLinkDir TexteUTF-8 Chemind accèspourlemontagesurunclient hostname:/chemind accèssurle serveur indigo:/volumes/home2 /Network/Servers VFSType TexteASCII PourAFP: url PourNFS: nfs VFSOpts TexteUTF-8 PourAFP(deuxvaleurs): net url==afp:// ;AUTH=NO%20USER%20 AUTHENT@serveur/pointdepartage/ PourNFS: net VFSDumpFreq VFSPassNo 302 AnnexeDonnéesderépertoireMacOSX

Attributsstandarddanslesenregistrementsdeconfigurations Letableausuivantdécritlesattributsstandardfigurantdanslesenregistrementsde configurationopendirectorysuivants: Â L enregistrementmcx_cacheportetoujourslenomrecordnamedemcx_cache. IlutiliseaussiRealNameetDataStamppourdéterminersilamémoirecachedoit êtreactualiséeousilesréglagesdeserveurdoiventêtreignorés.sivousvoulez desclientsgérés,vousdevezavoirunenregistrementdeconfigurationmcx_cache. Â L enregistrementpasswordserverpossèdel attributpasswordserverlocation. Utilisezcesinformationslorsquevoustravaillezdanslasous-fenêtreInspecteurdeGestionnairedegroupedetravailoulorsquevousmappezdesattributsd enregistrements deconfigurationavecutilitairederépertoire. Attributsdeconfigurations MacOSX Format Exemplesdevaleurs Nomdel entrée: Nomassociéàuneconfiguration PasswordServerLocation: Identifiel hôteduserveurde motsdepasseassociéau domainederépertoire Nomréel DataStamp CaractèresASCIIAàZ,aàz, 0à9,_,-,. adresseipounomd hôte 192.168.1.90 mcx_cache passwordserver Longueurnonnulle,d unmaximumde255octets(soit85 caractèrestripleoctetsou255 caractèresd unoctet). Pourl enregistrementdeconfigurationmcx_cache,realname estunguid. Pourl enregistrementdeconfigurationmcx_cache,datastampestunguid. AnnexeDonnéesderépertoireMacOSX 303

Glossaire Glossaire ActiveDirectoryServicederépertoireetd authentificationdemicrosoftwindows 2000Server,WindowsServer2003etWindowsServer2003R2. administrateurutilisateurdisposantd autorisationsd administrationdeserveurou dedomainederépertoires.lesadministrateurssonttoujoursmembresdugroupe «admin»prédéfini. AdresseIPAdressenumériqueuniquequiidentifieunordinateursurInternet. AFPAppleFilingProtocol.Protocoleclient/serveurutiliséparleservicedefichiers Applepourpartagerdesfichiersetdesservicesréseau.AFPexploiteTCP/IPetd autres protocolespourprendreenchargelescommunicationsentrelesordinateursd un réseau. attributélémentdedonnéesnommécontenantuntyped informationspécifique etappartenantàuneentrée(uneficheouunobjet)dansundomainederépertoire. Lesdonnéesqu unattributcontients appellentlavaleurdel attribut. attributd autoritéd authentificationvaleurquiidentifielesystèmedevalidation demotdepassespécifiépourunutilisateuretfournit,sinécessaire,desinformations supplémentaires. authentificationprocessusdevérificationdel identitéd unutilisateur,généralement envalidantsonnomd utilisateuretsonmotdepasse.l authentificationalieu généralementavantqueleprocessusd autorisationdétermineleniveaud accèsde l utilisateuràuneressource.exemple:leservicedefichiersautorisel accèstotalaux dossiersetauxfichiersqu unutilisateurauthentifiépossède. autorisationprocessusparlequelunservicedétermines ilfautaccorderàun utilisateurl accèsàuneressourceetquelestleniveaud accèsaccordéàl utilisateur. L autorisationseproduitgénéralementaprèsqu unprocessusd authentificationait vérifiél identitédel utilisateur.exemple:leservicedefichiersautorisel accèstotalaux dossiersetauxfichiersqu unutilisateurauthentifiépossède. basederecherchenomdistinctifpermettantd identifierlepointdedépartd une recherched informationsdanslahiérarchied entréesd unrépertoireldap. 305

bidouilleurpersonnequiaimelaprogrammationetquiexploredesfaçonsde programmerdenouvellesfonctionnalitésetd étendrelespossibilitésd unsystème informatique.voiraussipirate. BSDInitialesde«BerkeleySoftwareDistribution»(familledesystèmesd exploitation développésàl UniversitédeBerkeley).VersiondeUNIXsurlaquellereposelelogiciel MacOSX. cheminderecherchevoirpolitiquederecherche. CIFSCommonInternetFileSystem.VoirSMB. classevoirclassed objets. classed objetsensemblederèglesquidéfinissentdesobjetssemblablesdansun domainederépertoireenspécifiantlesattributsquedoitposséderchaqueobjet, ainsiqued autresattributspossiblespourl objet. clientgéréutilisateur,groupeouordinateurdontlesautorisationsd accèset/ou lespréférencessontsouslecontrôled unadministrateur. compted ordinateuruncompted ordinateurcontientdesdonnéespermettantà MacOSXServerd identifieretdegérerunordinateurparticulier.vousdevezcréerun compted ordinateurpourchaqueordinateurquevouscomptezajouteràungroupe d ordinateurs. DHCPInitialesde«DynamicHostConfigurationProtocol»(protocoledeconfiguration dynamiqued hôtes).protocoleutilisépourdistribuerdemanièredynamiquedes adressesipàdesordinateursclients.chaquefoisqu unordinateurclientdémarre,le protocolerechercheunserveurdhcp,puisdemandeuneadresseipauserveurdhcp qu iltrouve.leserveurrecherchealorsuneadresseipdisponibleetlatransmetà l ordinateurclientenl accompagnantd une«duréedebail»,duréependantlaquelle l ordinateurclientpeututiliserl adresse. domainederépertoirebasededonnéesspécialiséedanslaquellesontstockées desinformationsautoriséesconcernantlesutilisateursetlesressourcesréseau;ces informationssontnécessairesaulogicielsystèmeetauxapplications.cettebasede donnéesestoptimiséepourgérerdenombreusesdemandesd informationsetpour rechercheretrécupérerrapidementdesinformations.connueégalementsouslenom denœudderépertoireousimplementrépertoire. domainelocaldomainederépertoireaccessibleuniquementparl ordinateursur lequelilréside. dossierdegroupedossierservantàorganiserdesdocumentsetdesapplications présentantunintérêtparticulierpourlesmembresdugroupeetpermettantàces derniersdepartagerdesinformations. 306 Glossaire

enfantordinateurquihéritedesinformationsdeconfigurationprovenantdudomaine derépertoirepartagéd unparent. entréearticlepubliésurunblog.leslecteurspeuventajouterdescommentairesà l entrée,maislecontenuassociéàcelle-cinepeutêtremodifiéqueparlepropriétaire dublog.dansunrépertoireldap,uneentréeestunecollectiond attributs(d éléments dedonnées)quiporteunnomdistinctifunique.voiraussinomdistinctif. FTPInitialesde«FileTransferProtocol»(protocoledetransfertdefichiers).Protocole permettantàdesordinateursdetransférerdesfichierssurunréseau.lesclientsftp, utilisanttoutsystèmed exploitationcapabledeprendreenchargeleprotocoleftp, peuventseconnecteràunserveurdefichiersettéléchargerdesfichiers,enfonction deleursautorisationsd accès.laplupartdesnavigateursinternetetuncertainnombre degraticielspermettentd accéderauxserveursftp. groupeensembled utilisateursayantdesbesoinssemblables.lesgroupessimplifient l administrationderessourcespartagées. groupeprincipalgroupepardéfautd unutilisateur.lesystèmedefichiersutilise l identifiantdugroupeprincipallorsqu unutilisateuraccèdeàunfichierdontiln est paslepossesseur. hachageformebrouillée,oucryptée,d unmotdepasseoud untexte. hiérarchiededomainesderépertoiremanièred organiserdesdomainesde répertoireslocauxetpartagés.unehiérarchieprésenteunestructured arborescence inversée:domaineracineausommetetdomaineslocauxenbas. identifiantdegroupeprincipalnumérouniqueidentifiantungroupeprincipal. IPInternetProtocol.ÉgalementdésignéparIPv4.Méthodeutiliséeconjointement avecleprotocoletcp(transmissioncontrolprotocol)pourenvoyerdesdonnées d unordinateuràunautreviaunréseaulocalouviainternet.leprotocoleipenvoie lespaquetsdedonnées,alorsqueleprotocoletcpsechargedeleursuivi. KDCInitialesde«KerberosKeyDistributionCenter»(centrededistributiondeclés Kerberos).Serveurdeconfiancechargéd émettredesticketskerberos. KerberosSystèmed authentificationréseausécurisé.kerberosutilisedesticketsqui sontémispourunutilisateur,unserviceetuneduréespécifiques.aprèsavoirété authentifié,l utilisateurpeutaccéderàd autresservicessansavoiràsaisirànouveau sonmotdepasse(onparlealorsdesignatureunique)pourlesservicesconfigurés pouraccepterlesticketskerberos.macosxserverutilisekerberos5. LDAPInitialesde«LightweightDirectoryAccessProtocol».Protocoleclient-serveur standardpermettantl accèsàundomainederépertoire. Glossaire 307

liaisonconnexionentreunordinateuretundomainederépertoiredansle butd obtenirdesdonnéesd identification,d autorisationetd autresdonnées administratives.(verbe)désigneégalementleprocessusd établissementd unetelle connexion.voiraussiliaisonsécurisée. liaisonsécuriséeconnexionauthentifiéemutuellemententreunordinateuret undomainederépertoire.l ordinateurfournitdesinformationsd authentification pourprouversonidentitéetledomainederépertoirefournitdesinformations d authentificationpourprouversonauthenticité. listed ordinateursensembled ordinateursrecevantlesréglagesdespréférences géréesdéfinispourlalisteetmisàladispositiond unensembleparticulier d utilisateursetdegroupes.unordinateurnepeutappartenirqu àuneseuleliste d ordinateurs.leslistesd ordinateurssontcrééessousmacosxserver10.4ou antérieur. MacOSXLadernièreversiondusystèmed exploitationd Apple.MacOSXallie lafiabilitéd UNIXàlafacilitéd emploidemacintosh. MacOSXServerPlate-formedeserveurpuissante,capabledegérerimmédiatement lesclientsmac,windows,unixetlinuxetoffrantunensembledeservicesderéseauet degroupesdetravailextensible,ainsiquedesoutilsperfectionnésdegestionàdistance. maîtreopendirectoryserveurfournissantunservicederépertoireldap,unservice d authentificationkerberosetunserveurdemotsdepasseopendirectory. motdepassechaînealphanumériqueutiliséepourauthentifierl identitéd un utilisateuroupourautoriserl accèsàdesfichiersouàdesservices. motdepassecryptétypedemotdepassequieststockésouslaformed un hachage(àl aidedel algorithmedecryptageunixstandard)directementdans unenregistrementd utilisateur. motdepasseopendirectorymotdepassestockédansunebasededonnées sécuriséesurleserveuretquipeutêtreauthentifiéàl aideduserveurdemotsde passeopendirectoryoudekerberos(sikerberosestdisponible). motdepasseshadowmotdepassestockédansunfichiersécurisésurleserveuret quipeutêtreauthentifiéàl aidedediversesméthodesd authentification conventionnellesrequisesparlesdifférentsservicesdemacosxserver.parmiles méthodesd authentification,ilyaapop,cram-md5,dhx,lanmanager,ntlmv1, NTLMv2etWebDAV-Digest. 308 Glossaire

multidiffusiondnsprotocoledéveloppéparapplepourladécouverteautomatique d ordinateurs,depériphériquesetdeservicessurlesréseauxip.appelé«bonjour» (auparavant«rendezvous»)parapple,ceprotocole,proposécommestandard Internet,estparfoisappeléZeroConfoumultidiffusionDNS.Pourensavoirplus, rendez-voussurwww.apple.com/fr/ouwww.zeroconf.org(enanglais).poursavoir commentceprotocoleestutilisésousmacosxserver,reportez-vousànomd hôte local. NetInfoAncienprotocoleApplepermettantl accèsàundomainederépertoire. nœudderépertoirevoirdomainederépertoire. nomabrégéabréviationdunomd unutilisateur.macosxutiliselenomabrégépour lesdossiersdedépart,l authentificationetlesadressesélectroniques. nomcompletformedéveloppéedunomd unutilisateuroud ungroupe.voiraussi nomd utilisateur. nomd hôtelocalnomquidésigneunordinateursurunsous-réseaulocal.ilpeutêtre utilisésanssystèmednsglobalpourconvertirlesnomsenadressesip.ilestconstitué delettresminuscules,denombresoudetirets(saufpourlederniercaractère)etse terminepar«.local»(parexemple,ordinateur-jean.local).bienquelenompardéfaut soitdérivédunomd ordinateur,unutilisateurpeutreprendrecenomdanslasousfenêtrepartagedespréférencessystème.ilpeutaussiêtreaisémentmodifiéetutilisé danstouslescasoùunnomdnsouunnomdedomainecompletestutilisé.ilnepeut êtreconvertiquesurlemêmesous-réseauquel ordinateurquil utilise. nomd utilisateurnomcompletd unutilisateur,parfoisappelénomréelde l utilisateur.voiraussinomabrégé. nomdistinctifilidentifieuneentrée(unobjet)dansunrépertoireldap.ilest représentésouslaformed uneséquenced entréesderépertoireséparéespardes virgules,commençantparl entréeelle-mêmeetsuivieparchaqueentréequicontient l entréeprécédentedanslaséquence.exemple: cn=utilisateurs,dc=exemple, dc=com. OpenDirectoryArchitecturedeservicesderépertoireApple,capabled accéderàdes informationsautoriséesconcernantdesutilisateursetdesressourcesréseauàpartir dedomainesderépertoireutilisantlesprotocolesldapouactivedirectory,oudes fichiersdeconfigurationbsdetdesservicesderéseau. OpenSourceTermedésignantledéveloppementcoopératifdelogicielsparla communautéinternet.leprincipedebaseconsisteàimpliquerlemaximumde personnesdansl écritureetlamiseaupointducodeenpubliantlecodesource etenencourageantlaformationd unelargecommunautédedéveloppeursqui ferontpartdeleursmodificationsetaméliorations. Glossaire 309

ordinateuradministrateurordinateurmacosxsurlequelvousavezinstalléles applicationsd administrationduserveuràpartirducdmacosxserveradmin. parentordinateurdontledomainederépertoirepartagéfournitdesinformationsde configurationàunautreordinateur. pirateutilisateurmalveillantquitented accéderàunsystèmeinformatiquesans yêtreautorisédanslebutdesaboterdesordinateursetdesréseauxoudevoler desinformations.compareràbidouilleur. pointdepartagedossier,disquedur(oupartitiondedisquedur)oudisqueoptique accessiblevialeréseau.unpointdepartageconstituelepointd accèssituéaupremier niveaud ungrouped élémentspartagés.lespointsdepartagepeuventêtrepartagés àl aidedesprotocolesafp,smb,nfs(exportation)ouftp. politiquederecherchelistedesdomainesderépertoireparmilesquelsunordinateur MacOSXnécessitantdesinformationsdeconfigurationeffectuesesrecherches. Également,ordredanslequellesdomainessontinterrogés.Parfoisappeléechemin derecherche. possesseurlepropriétaired unélémentpeutmodifierlesautorisationsd accèsà l élément.ilpeutégalementremplacerl entréedegroupeparn importequelgroupe dontilestmembre.lepropriétairedisposepardéfautd autorisationslectureetécriture. préférencesgéréespréférencesdusystèmeoud applicationcontrôléesparles administrateurs.gestionnairedegroupedetravailpermetauxadministrateursde contrôlerlesréglagesdecertainespréférencessystèmepourlesclientsgérésmacosx. principal,kerberosnometautresinformationsd identificationd unclientouservice quekerberospeutauthentifier.leprincipald unutilisateurestgénéralementconstitué dunomdel utilisateuroubiendunomdel utilisateuretduroyaumekerberos.le principald unserviceestgénéralementconstituédunomduservice,dunomdns completduserveuretduroyaumekerberos. protocoleensemblederèglesquidéterminentlamanièredontlesdonnéessont échangéesentredeuxapplications. royaumekerberosdomained authentificationcomprenantlesutilisateursetles servicesenregistrésauprèsdumêmeserveurkerberos.lesutilisateursetservices enregistrésdélèguentauserveurkerberoslavérificationdel identitédechacun. royaumewebdavpartied unsiteweb,généralementundossierouunrépertoire, définipourfournirl accèsàdesutilisateursetdesgroupeswebdav. schémaensembled attributsetdetypesd enregistrementsoudeclassesservantde planpourlesinformationsd undomainederépertoire. 310 Glossaire

serveurautonomeserveurquifournitdesservicessurunréseau,maisquin obtient pasdeservicesderépertoireauprèsd unautreserveur,ninefournitdesservicesde répertoireàd autresordinateurs. serveurdemotsdepassevoirserveurdemotsdepasseopendirectory. serveurdemotsdepasseopendirectoryserviced authentificationquivalidedes motsdepasseàl aidedediversesméthodesd authentificationconventionnelles requisesparlesdifférentsservicesdemacosxserver.parmilesméthodes d authentification,ilyaapop,cram-md5,dhx,lanmanager,ntlmv1,ntlmv2et WebDAV-Digest. servicesderépertoireservicesfournissantaulogicielsystèmeetauxapplications unaccèsuniformeauxdomainesderépertoireetàd autressourcesd informations relativesauxutilisateursetauxressources. signatureuniquestratégied authentificationquiéviteauxutilisateursdedevoirsaisir unnometunmotdepassepourchaqueservicederéseau.macosxserverutilise Kerberospourpermettrelasignatureunique. SLPDAInitialesde«ServiceLocationProtocolDirectoryAgent».Protocolequi enregistrelesservicesdisponiblessurunréseauetpermetauxutilisateursd yaccéder aisément.lorsqu unserviceestajoutéauréseau,ilutiliseleprotocoleslppour s enregistrer.slpdautiliseunpointdedépôtcentralisépourlesservicesréseau enregistrés. SMBProtocoleSMB(ServerMessageBlock).Protocolepermettantàdesordinateurs clientsd accéderàdesfichiersetàdesservicesderéseau.ilpeutêtreutiliséviatcp/ip, Internetoud autresprotocoles.lesservicessmbutilisentceprotocolepourfournir l accèsauxserveurs,auximprimantesetàd autresressourcesréseau. SSLInitialesde«SecureSocketsLayer»(couchesécuriséepoursocketsréseau). ProtocoleInternetpermettantd envoyerdesinformationsauthentifiéesetchiffréesà traversinternet.lesversionslesplusrécentesdesslsontconnuessouslenomdetls (TransportLevelSecurity). ticketd octroideticketsticketkerberosspécialquipermetàunclientd obtenirdes ticketspourdesservicesauseindumêmeroyaume.unclientreçoitunticketd octroi deticketsenprouvantsonidentité,parexempleensaisissantunnometunmotde passevalidelorsdel ouverturedesession. Glossaire 311

ticket,kerberosinformationsd authentificationtemporairesquiprouventl identité d unclientkerberosàunservice. utilisateurinvitéutilisateurautoriséàouvrirunesessionsurunserveursansnom d utilisateuretmotdepasse. WebDAVWeb-basedDistributedAuthoringandVersioning.Environnementde créationendirectpermettantàdesutilisateursclientsdeprendredespagesweb, delesmodifier,puisdelesrendreàleursited originesansinterruptiondecedernier. 312 Glossaire

313 Index Index A accès administrateur85,207 attributs208 contrôled accèsauxrépertoires(dac)213 domainesactivedirectory188,201 dossier25 fenêtred ouverturedesession206 fiche208 fichier25 groupe206 listesdecontrôled accès(acl)44,83,85,207 répliques102 serveur30,206 servicederépertoire155,156,157 SSH206 utilisateur186,205,206,238 utilisateursdesdomainesderépertoire25 VoiraussiLDAP;autorisations accèsenlectureseule,ldap180,184 accèsldapv2180 accèsldapv386,104,156,160,201 ACE(entréesdecontrôled accès)85 ACL,classed'objets255 ActiveDirectory accès188 accèsldap201 activationduservice156 attributdeshellunix193 authentification199 autorisationinter-domaines78 comptesmobiles187,191 configurationd OpenDirectory68 configurationduserveur111 conflitskerberos80 connexionsclient141 définition26 dépannage237,239 désactivationduservice156 désignationduserveurpréféré197 dossiersdedépart187,192 groupesd administrateurs198 identifiantsd utilisateur194 identifiantsdegroupe195,196 liaisonà190,200 modificationdefiches200 réglagesavancés155,156,185 rupturedelaliaisonavecleserveur200 Voiraussimappages administrateur autoritéd authentification134,135 autoritépourl authentification99,101,107 comptes96,198 contrôled accès85,207 Kerberos53,113 limites258 motsdepassed 50,129,130,237,243 planificationdesdomaines39 politiquesderecherche39 privilègesd 85,86 servicesderépertoire19 administrationparniveaux85 AdminServeur79,87 adresses.voiridentifiantethernet adressesip95,142 aide,utilisation15 annuaires.voirservicesderépertoire;domaines, répertoire;dossiers APOP(AuthenticatedPOP)59,63 archivagedumaîtreopendirectory230,231 attaquedos(attaqueparsaturation)50,221 attaqueparsaturation.voirattaquepars attaqueshorsligne47 attributdelistedecontrôled accès(acl)275 attributdeshellunix193 attributs ActiveDirectory196 ajout79,175 authentification258,272 configuration182,270,303 contrôled accès208 emplacement(location)273 grouped'ordinateurs301 groupes263 importation217 imprimantes258,268

314 Index informationsdecontact260 introduction26 LDAP173 listedecontrôled accès(acl)275 listesd ordinateurs269 machine265 montageautomatique276 montages266,302 motsdepasse270 ordinateurs269,300 plistxml270 répertoire186 réplication271 ressource275 schéma(schema)275 service270,273 servicesderépertoire175 shellunix193 standard293 Time-to-Live(TTL)256 URLdeservice270 utilisateurs256,272,293,298 voisinage(neighborhood)274 Voiraussimappages attributsd emplacement(location)273 attributsd imprimante(printer)258,268 attributsd ordinateur(computer)269,300 attributsd utilisateur256,272,293,298 attributsdeconfiguration(configuration)270,303 attributsdegroupes263,299 attributsdegroupesd'ordinateurs301 attributsdelisted ordinateurs(computerlist)269 attributsdemachine(machine)265 attributsdemontage(mount)266,302 attributsdeservice(service)270,273 attributsdevoisinage(neighborhood)274 augment,classed'objets255 authentification ActiveDirectory199 administrateur99,101,107,134,135 attributs258,272 clients54,57 contrôledel 211 définition44 dépannage235,237,238,239,240,242,243 domainesderépertoire24,69 encache46 LDAP64,135,162,181,182 liaison64,135,162 maîtreopendirectory32,115 méthodes46,59,60,62,64,109 parinformationsd'authentification45,54 règlesderecherche42,150 réplication71 SASL12,59 serveur55,83 servicesdefichiers59 utilisateur44,49,51 vued ensemble12,21,43,121 VoiraussiKerberos;motsdepasse authentificationbaséesurdesinformations utilisateur VoiraussiKerberos authentificationcram-md559 authentificationdebase.voirmotsdepassecryptés authentificationdhx46,59 authentificationdigest-md559 authentificationlanmanager46,59 authentificationms-chapv259,109 authentificationntlm46,59,109 authentificationparinformations d'authentification45,54 authentificationparsignatureunique12,51,54,55, 80 VoiraussiKerberos authentificationparticket54 VoiraussiKerberos authentificationwebdav-digest59,63 automount,classesd objets255 autorisation44,78,83,85,207 Voiraussiauthentification autorisationinter-domaines78 autorisations accès207 administrateur86 administrationparniveaux85 fiche208 utilisateur86,180,184 AutoServerSetup,typed'enregistrement292 B basculement configuration107 contrôleurdedomaineprincipal34 contrôleurdedomainesecondaire34,98,106 contrôleurdedomainesecondaire(bdc)225 répartitiondelacharge74 basededonnées LDAP220 serveurdemotsdepasseopendirectory61,63 basederecherche,ldap28,97,174,240 C cache,authentificationen46 Carnetd adresses42,150,158 certificats78,222 chiffrement48,49,59,186 classed objetsd autoritéd authentification (authenticationauthority)253 classed objetsd emplacement(location)254 classed objetsd imprimante(printer)249

Index 315 classed objetsd ordinateur(computer)250 classed objetsd utilisateurpréréglé(preset user)253 classed objetsdeconteneur(container)247 classed objetsdegroupepréréglé(preset group)252 classed objetsdelisted ordinateurs(computer list)250 classed objetsdelisted ordinateurspréréglés (presetcomputerlist)251 classed objetsdemontage(mount)249 classed objetsdeservice(service)254 Classed objetsdevoisinage(neighborhood)254 classesd objets ACL255 ajoutàdesschémas79 augment255 authenticationauthority253 automount255 computer250,251 computergroup252 computerlist250 configuration251,254 container247 group248,252 introduction26 location254 machine(auxiliaire)249 mount249 neighborhood254 printer249 resource255 service254 TTL247 user248,253 vued247 Voiraussiattributs clients,authentification54,57 clients,authentificationdes Voiraussiordinateursclients;Comptesdegroupe; utilisateurs compteroot144 comptes administrateur96,198 root144 Voiraussicomptesdegroupe;comptesmobiles; comptesd'utilisateur;gestionnairede groupedetravail comptesd'utilisateur Voiraussicomptesdegroupe;motsdepasse; utilisateurs comptesd utilisateur accès186 domainesd annuaire94 domainesderépertoire66,80 exportation136 importation136,217 modification200 motsdepasse63,237,238 nomsd utilisateur96 recherche29,30 root144 sécurité47 suppression215 comptesdegroupe entantqu administrateurs198 identifiantdegroupe186,196 importation217 mappagesdegid195 préréglages252,288 Voiraussigroupes comptesmobiles ActiveDirectory187,191 LDAP155 ouverturedesession75 politiquesdemotdepasse50,130 politiquesderecherche41 servicevpn75 computergroup,classed'objets252 condensé,motdepasse45,60,62 configuration attributsde303 autorisationinter-domaines78 basculement107 connexion108,110,111,142,143 domainederépertoirelocal94 domainewindow98 domainewindows100,101 ensemblesderépliques72 fichiersbsd203,204 fichiersunix21,23,26 Kerberos113,115,116,119 LDAP159,160,163,165,167,169 liaisonsécurisée176 maîtreopendirectory95,98 ordinateursclients140,141,303 outilsdelignedecommande186 planification68 répliqueopendirectory102,105 serveur110,111,292 serveurdemotsdepasseopendirectory95 servicesderépertoire147,148 vued ensemble91,93 vued ensembledesdomainesderépertoire66 configuration,classesd objets251 configurationdewindowsxp100,101 contacts,règlesderecherche42,150 contrôled accèsauxrépertoires.voirdac contrôlesd accèsauxrépertoires(dac)213 contrôleurdedomaineprincipal(pdc) planificationdelaréplication224 contrôleurdedomaineprincipal.voirpdc

316 Index contrôleurdedomainesecondaire(bdc)34,98, 106,225 contrôleurdedomainesecondaire.voirbdc contrôleurs,bdc VoiraussiPDC contrôleurs,contrôleurdedomainesecondaire34, 98,106 contrôleurs,contrôleurdedomainesecondaire (BDC)225 conventionsdenom nomabrégé216 nomd utilisateur96 nomdel ordinateur99,106,135,176 nomslongs263,271 coupe-feu,limitations54 D délaid inactivité,connexionldap179 délaid ouverture/defermeture,connexion LDAP178 délaiderequête,ldap178 délaidetentativedereconnexion,ldap179 démarrage,problèmes237 dépannage ActiveDirectory237 authentification235,237,238,239,240,242,243 connexions237 réplication235,236 documentation15,17,18 domaines,annuaire règlesderecherche150,152,153,154 VoiraussiLDAP;domainesderépertoirelocaux; OpenDirectory;domaineWindows domaines,répertoire authentification24,69 capacitédestockage69 identificationdesserveurs70 intégration78 liaisonde218 NetInfo33,127,138 NIS26,202 nonapple31 organisationdes20,24,26 planification39,65,66,93 ports83 réplication67 schémas27,79,187,245,246,247 domainesderépertoirelocaux configuration94 fichesdemontage148,149,150 introduction27,29 planification66 politiquederecherche36,38,40 règlederecherche154 typesdemotdepasse44,46 utilisateurswindows33 domainesderépertoirepartagés dépannagerelatifàl ouverturedesession239 identificationdesserveurs70 informationssurlesutilisateurs94 introduction29,30 NetInfo33,127,138 planification65,66 politiquesderecherche36,38 VoiraussiLDAP domainesnetinfo33,127,138 domainewindows VoiraussiActiveDirectory;SMB configurationd OpenDirectory98,100,101 contrô106 contrôleurdedomaineprincipal32,98,100,101 contrôleurdedomainesecondaire34,98 motsdepasse32,46,47,48,49 DomainNameSystem.VoirDNS dossiers,contrôled accès25 Voiraussifichiers;dossiersdedépart dossiersdedépart ActiveDirectory187,192 attributsdegroupe263 attributsuser256,258,262 réseau192 utilisateurlocal192 utilisateursdesdomainesderépertoire25 dossiersdedépartlocaux192 dossiersdedépartréseau192 dsconfigad, outil186 dsconfigldap, outil186 duréedevie(ttl),classed'objets247 DynamicHostConfigurationProtocol.VoirDHCP E enregistrements activationpourkerberos241 ajoutàdesschémas79 capacitédudomainederépertoire69 introduction26 typesstandard293 Voiraussiattributs;mappages entrées,classed objets26,28 entréesdecontrôled accès.voirace exportationd utilisateurs136 Voiraussiimportation F fiches autorisations208 contrôled accès208 importation217 mappageversdesservicesderépertoire174,182 modificationdefichesd ActiveDirectory200

Index 317 réglagesdescontrôlesd accèsauxrépertoires (DAC)213 suppression214,215 fichierdelistesdepropriétés236 fichiers BSD26,203,204 configurationunix21,23,26 contrôled accès25 listesdepropriétés236 fichiersbsd(berkeleysystemdistribution)26,203, 204 G Gestionna213 Gestionnaired authentification33,46,137 Gestionnairedegroupedetravail annuairesldap184 fonctions88 Inspecteur212,213,214,215 modificationdesdonnéesderépertoire212 etopendirectory20 rôled authentification121 suppressiondecomptesd utilisateur215 group,classed'objetsauxiliaire248 groupes administrationparniveaux85 connexionàunroyaumekerberos117 contrôledel accès206 mappages195,280,281,288 recherche29,30 stockaged informations25 GUID(identifiantglobalunique)217 H historiques,opendirectory82,211 I identifiantdegroupe78,186,195,196 identifiantdegroupe.voirgid identifiantethernet242 identifiantglobalunique.voirguid identifiantsd uti image,ouverturedesessionutilisateur257 importation attributs217 fiches217 groupes217 utilisateurs136,217 informationsdecontact,attributs260 Initialesde«BerkeleySoftwareDistribution»(famille desystèmesd exploitationdéveloppésà l UniversitédeBerkeley).VoirBSD Inspecteur212,213,214,215 K Kerberos activation129,241 administrateur53,113 attributs272 autorisationinter-domaines78 configuration113,115,116,119 conflitsentredomainesderépertoire80 connexion117,119 dépannage235,240 DNS95,113,115,236 fonctionnalités12,45,51,53,54,55,56 LDAP79 motsdepasse51 principaux57 processusd authentification57 réplication71 royaumes57,119,242 sécurité54,55,230 suppressiond identités215 utilisateurs52,116 L LDAP(LightweightDirectoryAccessProtocol) délais179 réglagesdeconnexion179 ldapmodrdn, outil216 ldapsearch outil183 LeopardServer.VoirMacOSXServer liaison ActiveDirectory200 authentificationldap64,135,162,179 délaidetentativedereconnexion179 serveuropendirectory218 Voiraussiliaisonsécurisée liaisonsécurisée ActiveDirectory190 arrêt169,177 configuration176 définition158 optionsde161 politiques218 listedecontrôled accèsàunservice(sacl)44,83, 207 listesd'ordinateurs,mappages284,287,288 listesdecontrôled accès(acl)44,83,85,207 listesdecontrôled accès.voiracl listesdecontrôled accèsàunservice.voirsacl Locations,typed'enregistrement292,293 M MacOSX accèsldapenlectureseule184 fichiersbsd203,204 remplissagedesrépertoires184

318 Index MacOSXServer fichiersbsd203 importationdefiches217 liaisonsécurisée218 restaurationdumaîtreopendirectory231 machine,classed'objetsauxiliaire249 MacOSX dépannagerelatifàl ouverturedesession239 motsdepasseopendirectory45 MacOSXServer ajoutdeconnexions142 authentificationsprisesencharge33,51,52,60, 109 contrôleurdedomainesecondaire34 migrationdesmotsdepasse137 miseàniveau76,137 problèmesdebasculement107 maîtreopendirectory archivage230,231 authentification32,115 basculement107 configuration95,98 contrôledel état210 définition71 dépannage235,236 etdns95,115 introduction27 liaison218 miseàniveau76 motsdepasse123 règlementdesécurité219 etrépliques69,72,74,75,76,95,224,225,226, 229 restauration231 mappages ActiveDirectory187,194,195,196 groupes195,280,281,288 imprimantes290,291 LDAP160,163,173,175 listesd'ordinateurs284,287,288 montages282 ordinateurs282,283 servicesderépertoire174,182 typed'enregistrementautoserversetup292 typed'enregistrementconfig285 typed'enregistrementlocations292,293 typed'enregistrementpeople286 utilisateurs194,277,289 vued'ensemble245 mediaaccesscontrol(contrôled accèsausupport). VoirIdentifiantEthern migration denetinfoversldap33,138 motdepasse137 miseàniveaudemacosxserver76,137 modèles,mappageldap175 modules11,186 modulesopensource11 VoiraussiKerberos;OpenDirectory montage,automatique25,255,276 montageautomatique,attribut276 montageautomatiquedepointsdepartage25 motdepasseshadow définition45 motsdepasse Voiraussimotsdepassecryptés;serveurdemots depasseopendirectory;motsdepasse shadow administrateur50,129,130,237,243 attributs270 compteroot144 comptesd utilisateur237,238 conseils47 création122,136,137 dépannage237,238,239,242 domainewindows32,46,47,48,49 exportation136 hachage45,60,62 importation136 LDAP182 migrationdes137 OpenDirectory45,46,47,49,59,107,125,133 politiques43,50,129,130,259 réinitialisation60,124,243 surdesrépliques71 types44,45,46,125,127 ousignatureunique51 motsdepassecryptés changementen127 chiffrement48,49 définition46 limitesdewindows32,46 migrationdescomptesd utilisateur137 problèmesdesécurité47 motsdepasseshadow changementen128 désactivation62 fonctionnalités49 limitesdewindows33,46 méthodesd authentification59,132 problèmesdesécurité47 N NAT NAT(NetworkAddressTranslation)75 NeST,outil134 NetworkAddressTranslation.VoirNAT NetworkFileSystem.VoirNFS NetworkInformationService.VoirNIS NetworkTimeProtocol.VoirNTP NFS(NetworkFileSystem)148,149,150

Index 319 NIS(NetworkInformationService)26,202 nomabrégé216 nomcomplet263,271 Voiraussinomabrégé;nomd utilisateur nomcomplet.voirnomcomplet nomd ordinateur99,106,135,176 nomd utilisateur96 nomdistinctif(dn)28,162 nomdistinctifrelatif.voirrdn nomnetbios106 Nomréel173 nomréel.voirnomcomplet NTP(networktimeprotocol)240 O OpenDirectory activation94 affichagedesdonnées212 améliorationdesperformances82 configuration68,91,93 configurationdedns95,115 configurationdelaconnexion108,110,111,142 contrôled 209,210,211 contrôledel état209,210,211 etuncontrôleurdedomainesecondaire34,106 fonctions20 histoire21,23 etinspecteur212,213,214 etkerberos12,45,80 etldap11,246,247 maintenance205 modificationdesdonnées212,213,214,215,216 outilsd accès26,205,206,207,208 outilsdegestion86,87,88,89 etuncontrôleurdedomaineprincipal32,98, 100,101 politiquedeliaison218 priseenchargedesordinateursclients70 réglagesdesoptions217,218 règlementdesécurité219 réplicationd 224 serveursdistants93 serviceautonome94 servicessmb31 etgestionnairedegroupedetravail20 utilisations24 vued ensemble11,19 VoiraussiActiveDirectory;domaines,répertoire; mappages OpenLDAP.VoirOpenDirectory Option95,DHCP40 option95,dhcp218 optionsdedélaidereconnexion,ldap179 ordinateurs connexionsderépliques104 mappages282,283 politiquesderecherche40,41 suppression215 synchronisationdeshorloges113 Voiraussiordinateursclients ordinateursclient pointsdepartage25 ordinateursclients basculement107 configuration140,141,147,148 connexions70,139,141,142,143 fichesdemontage148,149,150 fichiersbsd26,203,204 NIS26,202 priseencharged OpenDirectory70 règlesderecherche38,150,152,153,154 Voiraussiservicesderépertoire ordinateursportables,politiquesderecherche41 Voiraussicomptesmobiles outilsdelignedecommande configurationdesrépertoires186 motsdepasse130,134 restaurationdeserveurs231,232 SSH206 outilsenlignedecommande modificationdenomsabrégés216 vued ensemble89 ouverturedesession accélération72 autoritépourlaconfigurationwindows99 comptesmobiles75 contrôled accès206 dépannage239 domainesderépertoire24,70 imagepourunutilisateur257 instructionsauxutilisateurs98 motsdepasse46 tentativesayantéchoué211 P PAC(PrivilegeAttributeCertificate)78 paquets,données186 PDC(contrôleurdedomaineprincipal) basculement34 configurationduserveur110 OpenDirectorycomme32,98,100,101 pointsdepartage25,148,149 politiquedemotdepasseglobale129 politiquesderecherche administrateur39 automatiques40,152 définition31,35 LDAP40 modification154 niveaux35,36,38

320 Index ordinateurs40,41 personnalisées41,153 politiquesderechercheàdeuxniveaux36 ports attributsdeservice273 réplication229 serveurdedomainederépertoire83 présentationsderéseaugérées25 presetcomputer,classed'objets251 presetcomputergroup,classed'objets252 principaux,kerberos57 PrivilegeAttributeCertificate.VoirPAC privilèges,administrateur Voiraussiautorisations privilègesadministrateur86 problèmes.voirdépannage procéduresdeconfiguration.voirconfiguration processusdedémarrage.voirdémarrage protocoles NTP240 SMB31 VoiraussiDHCP;LDAP ProtocoleSMB(ServerMessageBlock).VoirSMB pwpolicy,outil130 R RAID(matriceredondantededisques indépendants)83 RDN(nomdistinctifrelatif)28 recherche LDAP28,97,173,221,240 utilisateursetgroupes29,30 recherched utilisateursetdegroupes29,30 recherched utilisateursetgroupes Voiraussirecherche RedundantArrayofIndependentDisks.VoirRAID références,serveur180 règlesderecherche authentification42,150 contacts42,150 DHCP154 local154 réglagesavancés150 relais105,226,236 répartitiondelacharge68,74 réplication contrôledela210 domainesderépertoire67 encascade69,72,74,105 gestiondela224,225,226,229 plusieursbâtiments74 ports229 sécurité84 serveurssubordonnés78 VoiraussirépliqueOpenDirectory réplicationencascade69,72,74,105 répliqueopendirectory etmaître225 attributs271 authentification71 basculement107 configuration102,105 contrôled accès102 etuncontrôleurdedomainesecondaire34 conversionenrelais226 dépannage235,236 ensemblesderépliques72 hébergement103 introduction12,27 etmaître69,72,74,75,76,95,224,226,229 miseàjour82 misehorsserviced une229 motsdepasse71,123 NAT75 promotiond une226 synchronisationd une225 réseauprivé59,75,238 réseaupublic75 réseaux configuration108,110,111,142,143 connexionsclient139,141,142,143 connexionsclients70 connexionsderépliques104 connexionsldap108,177,178,179 dépannage237 présentationsgérées25 privés75 publics75 royaumekerberos242 resource,classed'objets255 ressource,attribut275 royaumes.voirkerberos S SASL(SimpleAuthenticationandSecurityLayer)12, 59 VoiraussiserveurdemotsdepasseOpen Directory schémaattributs275 schémas,domainederépertoire27,79,187,245, 246,247 Voiraussiattributs;classesd objets; enregistrements SecureSHell.VoirSSH SecureSocketsLayer.VoirSSL sécurité certificats78,222 comptesd utilisateur47 comptesroot144 coupe-feu54,83

Index 321 désactivatiiondeméthodesd authentification60, 62 DHCP154 Kerberos54,230 LDAP44,123,171,182,219,221,222 politiquesderecherche41 pratiquesd excellence83 réglagesdurèglementduserveur219 SASL12,59 SSL64,142,222 Voiraussiauthentification;motsdepasse; autorisations ServerAssistantconfiguration,classed'objets254 Serveurdemotsdepasse.Voirserveurdemotsde passeopendirectory serveurdemotsdepasseopendirectory archivage230 authentification32,45,59 basededonnées61,63 configuration95 dépannage239 politiquedemotdepasse50 réplication71 sécurité83 serveurpseudo-maître78 serveurs accès30,206 ajout142 authentification55,83 configuration110,111,292 connexionsàdesroyaumeskerberos119,242 contrôle143 distants93,148,206 hébergementderépliques103 identification70 liaisonaux218 modification143 ports83 pseudo-maître78 références180 règlementdesécurité219 restauration231,232 rupturedelaliaisonavecles200 subordonnés78 suppression142 VoiraussiOpenDirectory serveursdistants93,148,206 serveursubordonné78 servicedecoupe-feu83 servicedecoupe-feuip83 servicedemessagerie25,59,158,256 servicedeprotocolesmb(servermessageblock)31, 59 servicederépertoireautonome.voirdomainesde répertoirelocaux servicedhcp(dynamichostconfigurationprotocol) comptesmobiles155 LDAP40,152,158 option9540,218 sécurité154 servicedns(domainnamesystem) attributs273,274 configurationd OpenDirectory95,115 Kerberos95,113,115,236 utilisateurswindows99 serviceldap(lightweightdirectoryaccess Protocol) accèsdirectau152 accèsenlectureseule180 activation156,158 ActiveDirectory201 authentification64,135,162,179,181,182 conditionsrequisespourlesadministrateurs99 configuration104,159,160,163,165,167,169 définition26 délais178,221 dépannage237,240 désactivation156,158 DHCP40,152,158 emplacementdelabasededonnées220 Kerberos79 MacOSX184 Mail158 NetInfo,migrationàpartirde33 NetInfo,migrationdepuis138 OpenDirectory11,246,247 outilsdelignedecommande186,216 politiquesderecherche40 privilègesd utilisateur86,180,184 recherche28,97,173,221,240 référencesdeserveur180 réglagesavancés156,157 réglagesdeconnexion108,177,178,179 réplication71 schémas246,247 sécurité44,123,171,182,219,221,222 structure28 Voiraussiattributs;mappages;classesd objets; liaisonsécurisée servicesdefichiers authentification59 NFS148,149,150 pointsdepartage25,148,149 SMB31,59 servicesderépertoire accès155,156,157 administrateursde19 attributs175 avantages19 configuration147,148 disponibilitédekerberos114 mappagede174,182

322 Index organisationdes20 problèmesdeconnexion237 réglagesavancés147,155,156 VoiraussiActiveDirectory;domaines,répertoire; OpenDirectory servicesderépertoires planification39 servicesréseau adressesip95,142 NAT75 servicedecoupe-feuip83 VPN59,75,238 VoiraussiDHCP;DNS SimpleAuthenticationandSecurityLayer.VoirSASL slapconfig, outil231,232 SSH(secureSHellhost)84,103,206 ssh, outil206 SSL(SecureSocketsLayer)64,142,222 synchronisationdeshorloges58,71,113,240 T Time-to-Live(TTL),attribut256 TTL,attribut.Voirduréedevie,attributde typed'enregistrementconfig285 typed'enregistrementdemontage282,302 typed'enregistrementpeople286 typed'enregistrementpresetcomputerlists287, 288 typed'enregistrementpresetgroups288 typed'enregistrementpresetusers289 typed'enregistrementprinters290,291 typedeficheconfig182 typedefichedemontage148,149,150 U UID(identifiantsd utilisateur)78,96,186,194 UNIX fichiersdeconfiguration21,23 mappagedesidentifiantsdegroupe195 motsdepassecryptés127 problèmesdesécurité47 URL(UniformResourceLocators)270 user,classesd objets248 users classesd objets248,253 utilisateurpréréglé,attribut272 utilisateurs authentification44,49,51,116 autorisationinter-domaines78 autorisations85,180,184 avantagesdesservicesderépertoire19 contrôledel accès186,205,206,238 dépann239 dépannageenmatièred authentification238, 239,240,242 mappages183,194,277,289 migrationdes138 ouverturedesession98,257 stockagedespréférences25 typesd'enregistrement289 utilisationsdesdomainesderépertoire24,29,30 Windows31,32,99 Voiraussiclients;dossiersdedépart;comptes d'utilisateur;gestionnairedegroupede travail utilisationdesressources25 Utilitairederépertoire79,88,139,147,148 V VPN(virtualprivatenetwork)59,75,238 W Windows2000,configuration101 X XMLplist,attribut270