Apple Pro Training Series Mac OS X Support Essentials Guide de maintenance et de dépannage pour Mac OS X 10.5 Kevin M. White
Leçon 2 Comptes utilisateur Durée Objectifs Cette leçon dure environ 2 heures Reconnaître les divers types et attributs de comptes utilisateur Créer et gérer les comptes utilisateur Comprendre et implémenter les techniques de sécurité utilisateur rstand and implement user security techniques Une des caractéristiques d un système d exploitation moderne est la prise en charge de plusieurs comptes utilisateur. Mac OS X 10.5 fournit un environnement robuste, sûr et multi-utilisateur. Cet environnement sophistiqué repose en grande partie sur la base UNIX de Mac OS X. Les systèmes UNIX offrent des services de ce type depuis déjà longtemps. Apple a cependant apporté de nombreuses améliorations en fournissant des fonctions de gestion avancées des utilisateurs et des outils d administration rationalisés, le tout avec la facilité d'utilisation propre à Apple. Dans cette leçon, vous allez explorer les technologies fondamentales qui permettent aux utilisateurs d'ouvrir une session et d'utiliser le Macintosh. Vous apprendrez ensuite à créer et à gérer plusieurs comptes utilisateur. Vous découvrirez enfin la sécurité de compte et les techniques de dépannage. GÉRER LES COMPTES UTILISATEUR Les utilisateurs Mac sont connus pour attribuer à leur ordinateur un nom d animal domestique. Il n en demeure pas moins que votre Mac vous identifie via un compte utilisateur. À l exception du mode utilisateur unique qui est rarement utilisé, il vous faut ouvrir une session sous un compte utilisateur particulier pour pouvoir travailler sur le Mac. Une fois la fenêtre d ouverture de session ouverte, le système utilise toujours des comptes utilisateur système pour maintenir les services d arrièreplan, ceci même si vous ne vous êtes pas encore authentifié. En résumé, chaque Comptes utilisateur 59
élément et opération sur le Mac appartient à un compte utilisateur. En conséquence, une étude approfondie des comptes utilisateur est nécessaire pour gérer efficacement Mac OS X. Types de comptes utilisateur La grande majorité des personnes utilisant le Mac pour un usage domestique ne connaissent, et donc n utilisent, que le compte créé à la configuration du Mac avec l Assistant réglages. Apple a conçu Mac OS X afin qu il apparaisse par défaut comme un système d exploitation mono-utilisateur. Mac OS X prend également en charge plusieurs types de comptes utilisateur pour permettre différents niveaux d accès. Vous choisissez un type de compte spécifique pour accorder un niveau d accès défini qui correspond le mieux aux besoins de l utilisateur. Les comptes utilisateurs sont classés en cinq catégories : standard, administrateur, invité, de partage et root. Utilisateurs standard Idéalement, standard est le type de compte qui doit être utilisé quotidiennement. Les comptes standard sont généralement utilisés lorsque plusieurs utilisateurs partagent un même ordinateur. C est le compte qui offre le meilleur compromis entre facilité d utilisation et sécurité. Les utilisateurs standard ont un accès en lecture à la plupart des éléments, préférences, applications et aux dossiers Public et Sites des autres utilisateurs. Ils ne sont cependant autorisés à modifier que leurs préférences personnelles et les éléments situés dans leur propre dossier de départ. En règle générale, les utilisateurs standard ne peuvent pas modifier les préférences générales du système, les fichiers système ou tout ce qui risque d affecter un autre utilisateur. 60 Leçon 2
Astuce Les utilisateurs standard peuvent être limités encore plus étroitement au moyen des contrôles parentaux. Le type de compte Géré avec Contrôles Parentaux est un compte standard où les Contrôles parentaux sont activés par défaut. Administrateur Les comptes administrateur sont similaires aux comptes utilisateur classiques, à une exception près : les administrateurs font partie du groupe admin et ont un accès total à toutes les applications, préférences et fichiers système. Par défaut, les administrateurs n ont pas accès aux fichiers système protégés ou aux fichiers des autres utilisateurs ne se situant pas dans les dossiers Public et Sites. Ils peuvent néanmoins outrepasser ces restrictions dans l environnement graphique et les lignes de commande. Par exemple, les administrateurs sont autorisés à mettre à jour les logiciels système s ils s authentifient avec succès lorsqu ils y sont invités. L accès administrateur étant requis pour modifier le système, c est le type de compte qui est créé par défaut lorsque le Mac est configuré pour la première fois avec l Assistant réglages. Des comptes standard supplémentaires doivent être générés pour un usage quotidien, mais le Mac doit avoir au moins un compte administrateur pour permettre l administration du système. Utilisateur invité Les anciennes versions de Mac OS X n utilisaient le compte Invité que pour faciliter le partage de fichiers en autorisant l accès non authentifié aux dossiers Public des utilisateurs. Mac OS X 10.5 prend en charge un utilisateur invité. Une fois activé, le compte utilisateur invité est similaire à un compte non administrateur, mais sans mot de passe. Toute personne ayant accès au Mac peut utiliser le compte invité pour ouvrir une session. Cependant, lorsque l utilisateur invité ferme la session, son dossier de départ est supprimé. Ceci inclut les fichiers de préférences, l historique du navigateur web ou toute autre trace que l utilisateur peut avoir laissé sur le système. Chaque fois que quelqu un ouvre une nouvelle session en tant qu invité, un nouveau dossier de départ est créé. Info L'utilisateur invité n est activé par défaut que pour l accès au partage de fichiers. Utilisateurs possédant un compte de partage Mac OS X 10.5 prend également en charge des comptes utilisateur particuliers qui n ont accès qu aux fichiers et dossiers partagés. Ces utilisateurs ne possèdent pas de dossier de départ et il leur est impossible de se connecter à l interface utilisateur ou à la ligne de commande du Mac. Les administrateurs peuvent créer plusieurs comptes de partage avec des noms et des mots de passe uniques. Ces utilisateurs commencent Comptes utilisateur 61
avec un accès similaire à celui de l utilisateur invité, si ce n est qu ils ne peuvent accéder qu aux dossiers Public des autres utilisateurs. Les administrateurs peuvent cependant définir des accès spécifiques à tout dossier pour ces utilisateurs. Pour ce faire, ils doivent passer par la préférence Partage. Le partage de fichiers sera abordé en détail à la Leçon 7. Utilisateur root Le compte utilisateur root, également nommé Administrateur système, possède un accès illimité à tout ce qui se trouve sur le Mac. En d autres termes, l utilisateur root peut lire, écrire et supprimer tout fichier, modifier tout paramètre et installer tout logiciel. Pour éviter d endommager le système, personne n est autorisé à se connecter par défaut en tant que root, car aucun mot de passe n a été défini pour cet utilisateur. De nombreux processus système s exécutant sous ce compte, il doit néanmoins exister sur l ordinateur. Dans le cas contraire, Mac OS X ne pourrait pas démarrer. L utilisateur root sera étudié en détails ultérieurement dans cette leçon. Attributs de compte utilisateur Bien que le processus loginwindow vous permette de vous connecter à l environnement Macintosh, l opération d arrière-plan DirectoryService est responsable de la conservation des informations de compte. DirectoryService stocke les informations de compte utilisateur dans une série de fichiers XML situés dans le dossier /var/ db/dslocal/nodes/default/users. Ce dossier ne peut être lu que par le compte Administrateur système, mais s il vous arrivait d examiner ces fichiers, vous découvririez qu ils sont organisés en listes d attributs utilisateur avec des valeurs associées. Chaque utilisateur possède une variété d attributs destinés à définir les détails du compte. Tous les attributs sont importants, mais dans le cadre de cette leçon, vous ne devez connaître que les principaux : Nom C est le nom complet de l utilisateur. Il peut être assez long et contenir pratiquement tout caractère. Vous pouvez également le modifier à tout moment. Nom abrégé Nom utilisé pour identifier le compte de façon unique. Aucun autre compte du système ne peut avoir le même nom abrégé et il ne peut contenir aucun espace ou caractère spécial. Identifiant d utilisateur Attribut numérique utilisé pour identifier les autorisations du compte relatives aux fichiers et aux dossiers. Ce nombre est presque toujours unique pour chaque compte, même si des doublons sont possibles. Les comptes utilisateur commencent à 501, alors que la plupart des comptes systèmes se situent en dessous de 100. 62 Leçon 2
UUID Attribut alphanumérique généré par l ordinateur durant la création de compte. Il est unique à la fois dans l espace et le temps. Aucun autre compte utilisateur n aura jamais le même UUID. L UUID sert de référence d accès au mot de passe de l utilisateur, qui est stocké à un emplacement distinct et plus sûr. Il est également utilisé à des fins d appartenance à un groupe et pour certaines autorisations de fichiers. L UUID se nomme également ID Unique Universel. Identifiant de groupe Attribut numérique utilisé pour définir l appartenance à un groupe lorsque l utilisateur crée des nouveaux fichiers et dossiers. Pour la plupart des utilisateurs, la valeur par défaut est de 20, qui est l identifiant du groupe staff. Ceci signifie que, lorsque vous créez un nouveau fichier, il appartient à votre compte utilisateur et au groupe staff. Shell d accès Définit le shell de ligne de commande utilisé par défaut par le compte. Ce paramètre est défini par défaut en /bin/bash pour tous les utilisateurs, à l exception de ceux disposant d un compte de partage et n étant pas autorisés à utiliser la ligne de commande. Répertoire de départ Définit l emplacement du dossier de départ de l utilisateur. Pour tous les utilisateurs, à l exception de ceux disposant d un compte de partage et n ayant pas de dossiers de départ, ce paramètre est défini en /Utilisateurs/<nom> où <nom> est le nom abrégé du compte. Info Les mots de passe de compte sont stockés à un emplacement différent du reste des attributs afin d'améliorer la sécurité. Le stockage de mots de passe sera étudié en détails ultérieurement dans cette leçon. Créer un compte utilisateur À présent, vous avez une bonne compréhension de tous les types de compte utilisateur et des attributs utilisés dans Mac OS X. Pour créer de nouveaux comptes utilisateur : 1. Ouvrez la préférences Comptes en choisissant Menu Pomme > Préférences Système, puis en cliquant sur l icône Comptes. 2. Cliquez sur l icône représentant un cadenas dans le coin inférieur gauche puis authentifiez-vous comme Administrateur pour déverrouiller la préférence Comptes. 3. Cliquez sur le bouton plus en-dessous de la liste d utilisateurs pour afficher la boîte de dialogue de création de compte. Comptes utilisateur 63
4. Choisissez le type de compte approprié dans le menu contextuel Nouveau compte. Complétez au minimum les champs Nom et Nom abrégé. Le mot de passe n est pas obligatoire, mais il est fortement conseillé d en choisir un. Les mots de passe et la sécurité système seront abordés ultérieurement dans cette leçon. Les indices de mot de passe ne sont pas requis non plus, mais il est conseillé d en entrer un si vous n avez pas la mémoire de ces choses. 5. Cliquez enfin sur le bouton Créer le compte pour terminer la tâche. Vous pouvez modifier ou ajouter des attributs supplémentaires aisément et à tout moment en sélectionnant simplement le compte dans la liste de la préférence Comptes. Les attributs supplémentaires configurables incluent l image utilisateur, l information de compte.mac, la fiche du Carnet d adresses et les Contrôles parentaux. Cette boîte de dialogue vous permet également à tout instant de faire passer le compte du statut standard à celui d administrateur. 64 Leçon 2
Astuce Le compte utilisateur invité est également activé et configuré depuis la préférence Comptes. Éléments d ouverture Certains utilisateurs apprécient que leurs applications ou fichiers favoris s ouvrent automatiquement lorsqu ils se connectent au Mac. Vous pouvez configurer aisément ces éléments d ouverture automatique pour votre propre compte : 1. Ouvrez la préférence Comptes et sélectionnez votre compte utilisateur. 2. Cliquez sur l onglet Éléments d ouverture. 3. Ajoutez des éléments d ouverture en cliquant sur le bouton plus en dessous de la liste Éléments d ouverture afin d afficher une boîte de dialogue de sélection. Vous pouvez également faire glisser les éléments depuis le Finder dans la liste Éléments d ouverture. 4. Pour supprimer les éléments d ouverture, sélectionnez-les et cliquez sur le bouton moins. Comptes utilisateur 65
Info Même en tant qu administrateur, il vous est impossible de configurer les éléments d ouverture pour d autres comptes utilisateur. Il vous faut impérativement être connecté au compte en question. Astuce Vous pouvez désactiver temporairement les éléments d ouverture en maintenant la touche Maj enfoncée pendant que vous ouvrez une session sur votre Mac. Contrôles parentaux Mac OS X inclut une collection complète d options de gestion qui vous permet de limiter encore plus les actions des utilisateurs. Apple place ces fonctions sous le panneau des contrôles parentaux. Ces derniers étant conçus pour limiter les comptes utilisateur standard, ils ne peuvent pas être appliqués à un administrateur. Les options de gestion disponibles via les contrôles parentaux sont les suivantes : Utiliser le Finder simplifié. Le Finder n affiche à votre utilisateur que les éléments les plus importants. Créer une liste définissant les applications qu un utilisateur est autorisé à ouvrir. Les utilisateurs ne pourront ouvrir aucune application non mentionnée dans la liste. Masquer les grossièretés dans le dictionnaire. Permettre à Safari de filtrer automatiquement ou gérer manuellement une liste des sites web autorisés. 66 Leçon 2
Limiter l accès à Mail et à ichat afin de n autoriser les échanges qu avec les adresses approuvées. Définir des limites de temps d utilisation en semaine et pendant le week-end. Maintenir des historiques relatifs à l utilisation des applications, d ichat et de Safari. Info De nombreuses applications tierces ne tiennent pas compte des filtres de contenu et des paramètres des contrôles parentaux. Pour activer et configurer les contrôles parentaux : 1. Ouvrez la préférence Comptes et authentifiez-vous comme administrateur pour déverrouiller les paramètres. 2. Dans la liste des comptes, sélectionnez l utilisateur auquel vous souhaitez appliquer les contrôles parentaux. 3. Cochez la case Activer le contrôle parental et vous verrez le compte de l utilisateur passer de Standard à Contrôlé dans la liste des comptes. 4. Cliquez sur le bouton Ouvrir les contrôles parentaux. Vous pouvez également accéder directement aux contrôles parentaux depuis la fenêtre Préférence Système principale. 5. Sélectionnez l utilisateur que vous souhaitez gérer dans la liste des comptes et utilisez les onglets pour parcourir toutes les options. Comptes utilisateur 67
Astuce Les préférences Contrôles Parentaux de votre Mac peuvent être gérées à distance par un autre Mac exécutant Mac OS X 10.5. Pour activer cette fonctionnalité dans les préférences Contrôles parentaux, cliquez sur la petite icône en forme de roue dans le bas de la liste des utilisateurs afin d'afficher un menu contextuel vous permettant de choisir Autoriser les réglages à distance. Ouvrez les préférences Contrôles parentaux depuis un autre Mac sur le réseau local. Tout Mac autorisant ce contrôle distant apparaît dans la liste des utilisateurs. Vous devez vous authentifier comme administrateur sur le Mac sélectionné pour avoir accès aux préférences Contrôles parentaux. Options de compte avancées Vous pouvez également accéder aux attributs normalement masqués en cliquant du bouton droit ou en faisant un Ctrl+clic sur un compte utilisateur pour afficher la boîte de dialogue Options avancées. Bien que vous soyez autorisé à changer manuellement ces attributs pour procéder à une modification ou pour régler un problème, il est tout aussi facile d endommager le compte en entrant des informations incorrectes. Par exemple, vous pouvez aussi bien restaurer l accès au dossier de départ d un utilisateur en corrigeant l information Répertoire de départ qu empêcher accidentellement un utilisateur d accéder à son dossier de départ en réalisant une erreur de frappe dans cette information. 68 Leçon 2