Apple Mac OS X Server v10.5 - Administration d’Open Directory - Mac OS X Server v10.5 - Administration d’Open Directory

Mac OS X Server
Administration d’Open Directory
Pour Leopard version 10.5

appleAppleInc.
©2007AppleInc.Tousdroitsréservés.
Lepropriétaireoul’utilisateurautoriséd’unexemplaire
validedulogicielMacOSXServerpeutreproduirela
présentepublicationàdesfinsd’apprentissagedudit
logiciel.Laprésentepublicationnepeutêtrereproduite
outransmiseentotalitéouenpartieàdesfinscommerciales,tellesquelaventedecopiesoulaprestationd’un
serviced’assistancepayant.
Tousleseffortsnécessairesontétémisenœuvrepour
quelesinformationscontenuesdanscemanuelsoient
lesplusexactespossibles.AppleInc.n’estpasresponsabledeserreursd’écritureetd’impression.
Apple
1InfiniteLoop
CupertinoCA95014-2084
www.apple.com
LelogoAppleestunemarqued’AppleInc.,déposée
*auxÉtats-Unisetdansd’autrespays.Enl’absence
duconsentementécritd’Apple,l’utilisationàdesfins
commercialesdecelogovialeclavier(Option+1)
pourraconstituerunactedecontrefaçonet/oude
concurrencedéloyale.
Apple,lelogoApple,Mac,Macintosh,XgridetXserve
sontdesmarquesd’AppleInc.déposéesauxÉtats-Unis
etdansd’autrespays.Finderestunemarqued’AppleInc.
AdobeetPostScriptsontdesmarquesd’AdobeSystems
Incorporated.
UNIXestunemarquedéposéedeTheOpenGroup.
Lesautresnomsdesociétésetdeproduitsmentionnés
icisontdesmarquesdeleursdétenteursrespectifs.La
mentiondeproduitstiersn’esteffectuéequ’àdesfins
informativesetneconstitueenaucuncasuneapprobationniunerecommandation.Applen’assumeaucune
responsabilitévis-à-visdesperformancesoudel’utilisationdecesproduits.
F019-0935/01-09-2007

1 Tabledesmatières
Préface 11 Àproposdeceguide
12 Nouveautésdelaversion10.5
13 Contenudeceguide
14 Utilisationdeceguide
15 Utilisationdel’aideàl’écran
15 Guidesd’administrationdeMacOSXServer
17 VisualisationdeguidesPDFàl’écran
17 ImpressiondesguidesPDF
18 Obtenirdesmisesàjourdedocumentation
18 Pourobtenirdesinformationssupplémentaires
Chapitre1 19 ServicesderépertoireavecOpenDirectory
19 Avantagesdel’utilisationdeservicesderépertoire
20 Servicesetdomainesderépertoire
21 Pointdevuehistorique
21 Consolidationdesdonnées
23 Répartitiondesdonnées
24 Utilisationdesdonnéesdesrépertoires
26 Accèsauxservicesderépertoires
26 Auseind’undomainederépertoire
28 StructuredesinformationsderépertoireLDAP
29 Domainesderépertoirelocauxetpartagés
29 Àproposdudomainederépertoirelocal
30 Àproposdesdomainesderépertoirepartagés
31 Donnéespartagéesdansdesdomainesderépertoireexistants
31 ServicesSMBetOpenDirectory
32 OpenDirectorycommecontrôleurdedomaineprincipal
34 OpenDirectorycommecontrôleurdedomainesecondaire
Chapitre2 35 PolitiquesderechercheOpenDirectory
35 Niveauxdepolitiquederecherche
36 Politiquederecherchedansledomainederépertoirelocal
36 Politiquesderechercheàdeuxniveaux
3

38 Politiquesderecherchemultiniveaux
40 Politiquesderechercheautomatiques
41 Politiquesderecherchepersonnalisées
42 Politiquesderecherched’authentificationetdecontacts
Chapitre3 43 AuthentificationOpenDirectory
44 Typesdemotsdepasse
44 Authentificationetautorisation
45 MotsdepasseOpenDirectory
45 Motsdepasseshadow
46 Motsdepassecryptés
46 Fournitured’authentificationsécuriséeauxutilisateursWindows
47 Attaqueshorslignesurdesmotsdepasse
48 Déterminationdel’optiond’authentificationàutiliser
50 Politiquesdemotdepasse
51 Authentificationparsignatureunique
51 AuthentificationKerberos
53 SurmonterlesobstaclesdudéploiementdeKerberos
54 Expérienceenmatièredesignatureunique
54 Authentificationsécurisée
55 Prêtàallerau-delàdesmotsdepasse
55 Authentificationmultiplateforme
55 Authentificationcentralisée
56 Serviceskerbérisés
56 ConfigurationdeservicespourKerberosaprèslamiseàniveau
57 PrincipauxetroyaumesKerberos
57 Processusd’authentificationKerberos
59 Méthodesd’authentificationparserveurdemotsdepasseOpenDirectoryetparmot
depasseshadow
60 Désactivationdesméthodesd’authentificationOpenDirectory
62 Désactivationdesméthodesd’authentificationdemotsdepasseshadow
63 ContenudelabasededonnéesduserveurdemotsdepasseOpenDirectory
64 AuthentificationparliaisonLDAP
Chapitre4 65 OutilsdeplanificationetdegestionOpenDirectory
66 Directivesgénéralesdeplanification
69 Évaluationdesbesoinsenmatièrederépertoiresetd’authentification
70 Identificationdeserveurspourl’hébergementdedomainespartagés
71 DuplicationdeservicesOpenDirectory
72 Ensemblederépliques
72 Réplicationencascade
74 PlanificationdelamiseàniveaudeplusieursrépliquesOpenDirectory
74 Répartitiondelachargedanslespetits,moyensetgrandsenvironnements
4 Tabledesmatières

74 Réplicationdansuncampuscomprenantplusieursbâtiments
75 Utilisationd’unmaître,d’unerépliqueoud’unrelaisOpenDirectoryavecNAT
76 CompatibilitéentremaîtreetrépliquesOpenDirectory
76 MélangedeservicesdemaîtresetrépliquesActiveDirectoryetOpenDirectory
78 Intégrationavecdesdomainesderépertoireexistants
79 Intégrationsansmodificationsauschéma
79 Intégrationavecmodificationsauschéma
80 ÉvitementdeconflitsKerberosavecplusieursrépertoires
82 Améliorationdesperformancesetdelaredondance
83 Sécuritéd’OpenDirectory
85 Listesdecontrôled’accèsàunservice(SACL)
85 Administrationparniveaux
86 OutilspourlagestiondesservicesderépertoireOpenDirectory
87 AdminServeur
88 Utilitairederépertoire
88 Gestionnairedegroupedetravail
89 Utilitairesdelignedecommande
Chapitre5 91 ConfigurationdesservicesOpenDirectory
91 Vued’ensembledelaconfiguration
93 Avantdecommencer
93 Gestiond’OpenDirectorysurunserveurdistant
94 Activationd’OpenDirectory
94 Configurationd’unservicederépertoireautonome
95 Configurationd’unmaîtreOpenDirectory
98 Explicationdelafaçond’ouvrirunesession
98 Configurationd’uncontrôleurdedomaineprincipal
100 ConfigurationdeWindowsVistapourl’ouverturedesessiondedomaine
101 ConfigurationdeWindowsXPpourl’ouverturedesessiondedomaine
101 ConfigurationdeWindows2000pourl’ouverturedesessiondedomaine
102 Configurationd’unerépliqueOpenDirectory
105 Créationdeplusieursrépliquesd’unmaîtreOpenDirectory
105 ConfigurationderelaisOpenDirectorypourlaréplicationencascade
106 Configurationd’unserveurcommecontrôleurdedomainesecondaire
107 ConfigurationdubasculementOpenDirectory
108 Configurationd’uneconnexionàunserveurderépertoire
110 Configurationd’unserveurcommemembred’undomainedecontrôleurde
domaineprincipalMacOSXServer
111 Configurationd’unserveurcommemembred’undomaineActiveDirectory
113 Configurationdel’authentificationKerberosparsignatureunique
115 Configurationd’unroyaumeKerberosOpenDirectory
116 DémarragedeKerberosaprèslaconfigurationd’unmaîtreOpenDirectory
Tabledesmatières 5

117 Délégationd’autoritépourconnecterdesserveursàunroyaume
KerberosOpenDirectory
119 ConnecterunserveuràunroyaumeKerberos
Chapitre6 121 Gestiondel’authentificationd’utilisateur
122 Compositiond’unmotdepasse
123 Modificationdumotdepassed’unutilisateur
124 Réinitialisationdesmotsdepassedeplusieursutilisateurs
125 Modificationdutypedemotdepassed’unutilisateur
125 ChoixdutypedemotdepasseOpenDirectory
127 ChangementdutypedemotenMotdepassecrypté
128 Choixdutypedemotdepasseshadow
129 Activationdel’authentificationKerberosparsignatureuniquepourunutilisateur
129 Changementdepolitiquedemotdepasseglobale
130 Configurationdespolitiquesdemotdepassed’utilisateursindividuels
132 Sélectiondeméthodesd’authentificationpourdesutilisateursdemotsdepasse
shadow
133 Sélectiondeméthodesd’authentificationpourdesutilisateursdemotsdepasse
OpenDirectory
134 Attributiondedroitsd’administrateurpourl’authentificationOpenDirectory
135 Synchronisationdesmotsdepassed’administrateurprincipaux
135 Activationdel’authentificationparliaisonLDAPpourunutilisateur
136 Configurationdemotsdepassed’utilisateursexportésouimportés
137 MigrationdemotsdepasseàpartirdeMacOSXServer10.1ouantérieur
Chapitre7 139 Gestiondesclientsderépertoire
139 Connexiondeclientsauxserveursderépertoire
139 Àproposdesconnexionsauxserveursderépertoire
140 Configurationautomatiquedesclients
141 Ajoutd’uneconnexionàunserveurActiveDirectory
142 Ajoutd’uneconnexionàunserveurOpenDirectory
142 Suppressiond’uneconnexionàunserveurderépertoire
143 Modificationd’uneconnexionàunserveurderépertoire
143 Contrôledesconnexionsauxserveursderépertoire
143 Gestionducompted’utilisateurroot
144 Activationducompted’utilisateurroot
144 Modificationdumotdepasseducompted’utilisateurroot
Chapitre8 147 Réglagesavancésdesclientsderépertoire
147 Àproposdesréglagesavancésdesservicesderépertoire
148 Configurationdel’Utilitairederépertoiresurunserveurdistant
148 Configurationdefichesdemontagepourledomainederépertoirelocal
d’unordinateur
6 Tabledesmatières

149 Ajoutd’unefichedemontageaudomainederépertoirelocal
150 Suppressiond’unefichedemontagedudomainederépertoirelocal
150 Modificationd’unefichedemontagedansledomainederépertoirelocal
150 Utilisationdesréglagesavancésdesrèglesderecherche
152 Définitiondepolitiquesderechercheautomatiques
153 Définitiondepolitiquesderecherchepersonnalisées
154 Définitiondepolitiquesderecherchederépertoirelocal
154 Attentedel’entréeenvigueurd’unemodificationdelapolitiquederecherche
154 ProtectiondesordinateurscontreunserveurDHCPmalveillant
155 Utilisationdesréglagesavancésdesservicesderépertoire
156 ActivationoudésactivationduserviceActiveDirectory
156 ActivationoudésactivationdesservicesderépertoiresLDAP
157 UtilisationdesréglagesavancésdesservicesLDAP
158 AccèsàdesrépertoiresLDAPdansMailetCarnetd’adresses
158 Activationoudésactivationd’unrépertoireLDAPfourniviaDHCP
159 AffichageoumasquagedeconfigurationspourserveursLDAP
160 Configurationdel’accèsàunrépertoireLDAP
163 Configurationmanuelledel’accèsàunrépertoireLDAP
165 Modificationd’uneconfigurationpourl’accèsàunrépertoireLDAP
167 Duplicationd’uneconfigurationpourl’accèsàunrépertoireLDAP
169 Suppressiond’uneconfigurationpourl’accèsàunrépertoireLDAP
170 Modificationdesréglagesdeconnexiond’unrépertoireLDAP
171 ModificationdelapolitiquedesécuritépouruneconnexionLDAP
173 ConfigurationdesrecherchesetmappagesLDAP
176 ConfigurationdelaliaisonsécuriséepourunannuaireLDAP
177 ArrêtdelaliaisonsécuriséeavecunannuaireLDAP
178 Modificationdudélaid’ouverture/defermeturepouruneconnexionLDAP
178 ModificationdudélaiderequêtepouruneconnexionLDAP
179 ModificationdudélaidetentativedereconnexionpouruneconnexionLDAP
179 Modificationdudélaid’inactivitépouruneconnexionLDAP
180 Forçagedel’accèsLDAPv2enlectureseule
180 IgnorancedesréférencesdeserveurLDAP
181 Authentificationd’uneconnexionLDAP
181 ModificationdumotdepasseutilisépourauthentifieruneconnexionLDAP
182 Mappaged’attributsd’enregistrementdeconfigurationpourrépertoiresLDAP
183 ModificationdumappageRFC2307pouractiverlacréationd’utilisateurs
184 Préparationd’unrépertoireLDAPenlectureseulepourMacOSX
184 Remplissaged’annuairesLDAPavecdesdonnéespourMacOSX
185 UtilisationdesréglagesavancésdesservicesActiveDirectory
186 Àproposdel’accèsàActiveDirectory
188 Configurationdel’accèsàundomaineActiveDirectory
191 Configurationdecomptesd’utilisateurmobilesdansActiveDirectory
192 Configurationdedossiersdedépartpourdescomptesd’utilisateurActiveDirectory
Tabledesmatières 7

193 Configurationd’unshellUNIXpourdescomptesd’utilisateurActiveDirectory
194 Associationdel’UIDàunattributActiveDirectory
195 Mappagedel’identifiantdegroupeprincipalversunattributActiveDirectory
196 Mappagedel’identifiantdegroupedescomptesdegroupeversunattributActive
Directory
197 Spécificationd’unserveurActiveDirectorypréféré
198 ModificationdesgroupesActiveDirectoryautorisésàadministrerl’ordinateur
199 Contrôledel’authentificationàpartirdetouslesdomainesdelaforêt
ActiveDirectory
200 RupturedelaliaisonavecleserveurActiveDirectory
200 Modificationdecomptesd’utilisateuretd’autresenregistrementsdansActiveDirectory
201 Configurationdel’accèsLDAPauxdomainesActiveDirectory
202 DéfinitiondesréglagesNIS
203 DéfinitiondesréglagesdefichierdeconfigurationBSD
204 ConfigurationdedonnéesdansdesfichiersdeconfigurationBSD
Chapitre9 205 MaintenancedesservicesOpenDirectory
205 Contrôledel’accèsauxserveursetservicesOpenDirectory
206 Contrôledel’accèsàlafenêtred’ouverturedesessiond’unserveur
206 Contrôledel’accèsauserviceSSH
207 Configurationducontrôled’accèsàunservice
208 Configurationdeprivilègesdefiche
209 Contrôled’OpenDirectory
210 Contrôledel’étatd’unserveurOpenDirectory
210 Contrôledesrépliquesetdesrelaisd’unmaîtreOpenDirectory
211 AffichagedesétatsetdeshistoriquesOpenDirectory
211 Contrôledel’authentificationOpenDirectory
212 Affichageetmodificationdesdonnéesderépertoire
212 Affichagedel’Inspecteurderépertoire
213 Masquagedel’inspecteurderépertoire
213 Définitiondecontrôlesd’accèsauxrépertoires(DAC,DirectoryAccessControls)
214 Suppressiond’enregistrements
215 Suppressiond’utilisateursoud’ordinateursàl’aidedel’Inspecteuroudelalignede
commande
216 Modificationdunomabrégéd’unutilisateur
217 Importationd’enregistrementsdetoustypes
217 Définitiondesoptionsd’unserveurOpenDirectory
218 Configurationd’unepolitiquedeliaisonpourunserveurOpenDirectory
219 Configurationd’unrèglementdesécuritépourunserveurOpenDirectory
220 Modificationdel’emplacementd’unebasededonnéesLDAP
221 LimitationdesrésultatsdelarecherchepourleserviceLDAP
221 DéfinitiondudélaiderechercheautorisépourleserviceLDAP
8 Tabledesmatières

222 ConfigurationdeSSLpourleserviceLDAP
222 Créationd’uneconfigurationSSLpersonnaliséepourLDAP
224 GestiondelaréplicationOpenDirectory
224 Planificationdelaréplicationd’unmaîtreOpenDirectoryoud’uncontrôleurde
domaineprincipal(PDC)
225 Synchronisationd’unerépliqueOpenDirectoryoud’uncontrôleurdedomainesecondaireàlademande
226 Conversiond’unerépliqueOpenDirectoryenunrelais
226 Promotiond’unerépliqueOpenDirectory
229 Misehorsserviced’unerépliqueOpenDirectory
230 Archivaged’unmaîtreOpenDirectory
231 Restaurationd’unmaîtreOpenDirectory
Chapitre10 235 RésolutiondeproblèmesliésàOpenDirectory
235 RésolutiondeproblèmesliésauxmaîtresetauxrépliquesOpenDirectory
235 SiKerberosestarrêtésurunmaîtreouunerépliqueOpenDirectory
236 SivousnepouvezpascréerunerépliqueOpenDirectory
236 SivousnepouvezpascréerunmaîtreouunerépliqueOpenDirectoryàpartird’un
fichierdeconfiguration
236 Sivousnepouvezpasconnecterunerépliqueàunrelais
237 SivousnepouvezpasconnecterunerépliqueOpenDirectoryàunOpenDirectory
quiestlesubordonnéd’unserveurActiveDirectory
237 Résolutiondeproblèmesdesconnexionàdesrépertoires
237 Siunralentissementseproduitlorsdudémarrage
237 Résolutiondesproblèmesd’authentification
237 SivousnepouvezpasmodifierlemotdepasseOpenDirectoryd’unutilisateur
238 Siunutilisateurnepeutpasaccéderàcertainsservices
238 Siunutilisateurneparvientpasàs’authentifierpourleserviceVPN
238 Sivousnepouvezpaschangerletypedemotdepassed’unutilisateurentype
OpenDirectory
239 Silesutilisateursexploitantunserveurdemotsdepassenepeuventpasouvrirde
session
239 Silesutilisateursnepeuventpasouvrirdesessionsousuncompteissud’un
domainederépertoirepartagé
239 SivousnepouvezpasouvrirunesessioncommeutilisateurActiveDirectory
240 Sidesutilisateursnepeuventpass’authentifierparKerberosetlasignatureunique
242 Silesutilisateursn’arriventpasàmodifierleurmotdepasse
242 SivousnepouvezpasconnecterunserveuràunroyaumeKerberosOpenDirectory
243 Sivousdevezréinitialiserunmotdepassed’administrateur
Annexe 245 DonnéesderépertoireMacOSX
246 ExtensionsOpenDirectoryauschémaLDAP
247 Classesd’objetsduschémaLDAPOpenDirectory
Tabledesmatières 9

Glossaire 305
Index 313
256 AttributsduschémaLDAPOpenDirectory
276 Mappagedetypesd’enregistrementsetd’attributsstandardversLDAPet
ActiveDirectory
277 Mappagesd’utilisateurs(Users)
280 Mappagesdegroupes(Groups)
282 Mappagesdemontages(Mounts)
282 Mappagesd’ordinateurs(Computers)
284 Mappagesdelistesd’ordinateurs(ComputerLists)
285 Mappagesdeconfigurations(Config)
286 Mappagesdepersonnes(People)
287 Mappagesdelistesd’ordinateurspréréglés(PresetComputerLists)
288 Mappagesdegroupespréréglés(PresetGroups)
289 Mappagesd’utilisateurspréréglés(PresetUsers)
290 Mappagesd’imprimantes(Printers)
292 Mappagesdeconfigurationsautomatiquesdeserveur(AutoServerSetup)
292 Mappagesd’emplacements(Locations)
293 typesd’enregistrementsetattributsOpenDirectorystandard
293 Attributsstandarddanslesenregistrementsd’utilisateurs
299 Attributsstandarddanslesenregistrementsdegroupes
300 Attributsstandarddanslesenregistrementsd’ordinateurs
301 Attributsstandarddanslesenregistrementsdegroupesd’ordinateurs
302 Attributsstandarddanslesenregistrementsdemontages
303 Attributsstandarddanslesenregistrementsdeconfigurations
10 Tabledesmatières

Àproposdeceguide
Préface
Ceguidedécritlesservicesderépertoireetd’authentificationquevouspouvezconfigureràl’aidedeMacOSXServer.
Ilexpliqueégalementcommentconfigurerlesordinateurs
clientsMacOSXServeretMacOSXpourlesservicesde
répertoire.
OpenDirectorydeMacOSXServerfournitdesservicesderépertoireetd’authentification
pourréseauxmixtesd’ordinateursMacOSX,WindowsetUNIX.
OpenDirectoryutiliseOpenLDAP,l’implémentationopensourceduprotocole
LightweightDirectoryAccessProtocol(LDAP),pourfournirdesservicesderépertoire.
OpenLDAPestcompatibleavecd’autresserveursLDAPbaséssurdesstandardset
peutêtreintégréàdesservicespropriétairescomme,parexemple,ActiveDirectory
deMicrosofteteDirectorydeNovell.
PourlabasededonnéesLDAPprincipale,OpenDirectoryutiliselabasededonnées
Berkeleyopensource.C’estunebasededonnéestrèsextensiblepourl’indexation
àhautesperformancesdecentainesdemilliersdecomptesd’utilisateuretd’autres
enregistrements.
LemoduleexterneOpenDirectorypermetàunclientMacOSXouMacOSXServer
delireetd’écriredesinformationsfaisantautoritésurlesressourcesd’utilisateuretde
réseauprovenantden’importequelserveurLDAP,mêmeActiveDirectory,lesystème
propriétairedeMicrosoft.Leserveurpeutaussiaccéderàdesfichessetrouvantdans
desrépertoireshéritéstelsqueNISetdesfichiersdeconfigurationBSDlocaux(/etc).
11

OpenDirectoryfournitaussiunserviced’authentification.Ilpeutstockeretvalideren
toutesécuritélesmotsdepassedesutilisateursdésireuxd’ouvrirunesessionsurdes
ordinateursclientsdevotreréseauoud’utiliserd’autresressourcesréseauquinécessitentuneauthentification.OpenDirectorypermetégalementd’appliquercertaines
politiquesconcernantnotammentl’expirationdesmotsdepasseouleurlongueur
minimale.OpenDirectorypeutenoutreauthentifierdesutilisateursd’ordinateurs
Windowspourl’ouverturedesessionsurdesdomaines,leservicedefichiersetd’autres
servicesWindows(servicesSMB)fournisparMacOSXServer.
Uncentrededistributiondeclés(KDC)KerberosMITestentièrementintégréàOpen
Directoryetfournituneauthentificationsécuriséequiprendenchargelasignature
unique.Celasignifiequelesutilisateursnedoivents’authentifierqu’uneseulefois,
avecuneseuleetuniquepairenomd’utilisateur/motdepasse,pouraccéderàl’ensembledesservicesréseaupourlesquelsKerberosaétéactivé.
Pourlesservicesquin’acceptentpasl’authentificationKerberos,leserviceSecure
AuthenticationandServiceLayer(SASL)intégrénégocielemécanismed’authentificationleplussûrpossible.
Deplus,laréplicationderépertoiresetd’authentificationoptimiseladisponibilitéet
l’extensibilité.EncréantdesrépliquesdesserveursOpenDirectory,vouspouvezaisémentmaintenirdesserveursdebasculementetdesserveursdistantspourl’interaction
rapideaveclesclientssurdesréseauxdistribués.
Nouveautésdelaversion10.5
MacOSXServer10.5offrelesaméliorationsmajeuressuivantesdansOpenDirectory:
 Configurationsimplifiéedel’accèsLDAPv3:l’Utilitairederépertoirevousaideà
configureruneconnexionàunannuaireLDAP.
 Interfaced’AdminServeuraméliorée:AdminServeurdisposed’uneinterfaceplus
ergonomique.
 Autorisationaméliorée:vouspouvezrelierunserveurOpenDirectoryMacOSXà
unserveurActiveDirectoryetutiliseruneautorisationcouvrantplusieursdomaines.
 ServeurLDAPamélioré:MacOSXServer10.5utiliseOpenLDAP2.3.xetBerkeley
DB4.2.52.
 Domainelocalamélioré:MacOSXutiliseundomainederépertoirelocalpour
l’authentificationdel’ordinateurlocal.
 Réplicationaméliorée:vouspouvezavoiruneréplicationàdeuxniveauxd’un
mêmemaître(égalementappeléeréplicationencascade).Celavouspermetd’avoir
jusqu’à1056répliquesd’unmêmemaîtreOpenDirectoryetdesensemblesderépliquesouunesélectionderépliqueplusefficacespourleserveurdemotsdepasse,
LDAPetKerberos.
12 PréfaceÀproposdeceguide

 Administrationaméliorée:vouspouvezbénéficierd’uneplusgrandeextensibilité
enmatièred’administrationdesdomainesderépertoireenfaisantappelàuneadministrationàplusieursniveaux.
 Meilleurepriseenchargedesapplications:vouspouvezutiliserOpenDirectory
avecdesapplicationstellesqu’AppleWiki.
Contenudeceguide
Ceguidecomprendleschapitressuivants:
 Lechapitre1,«ServicesderépertoireavecOpenDirectory»présentelesdomaines
derépertoire,lafaçondontilssontorganisésetutilisés.
 Lechapitre2,«PolitiquesderechercheOpenDirectory»présentelespolitiquesde
recherchepourunouplusieursdomainesderépertoireetdécritlespolitiquesde
rechercheautomatisées,personnaliséesoulocalesuniquement.
 Lechapitre3,«AuthentificationOpenDirectory»décritl’authentification
OpenDirectory,lesmotsdepasseshadowetcryptés,Kerberos,laliaisonLDAP
etlasignatureunique.
 Lechapitre4,«OutilsdeplanificationetdegestionOpenDirectory»vousaideà
déterminervosbesoinsenmatièrededomainesderépertoire,àestimervosexigencesenmatièrederépertoiresetd’authentification,àidentifierlesserveurspour
l’hébergementdesdomainespartagés,àaméliorerlesperformancesetlaredondance,àgérerlaréplicationdansuncampusmultiliaisonetàsécuriservosservices
OpenDirectory.Cechapitreprésenteégalementlesoutilsdegestiondesservices
OpenDirectory.
 Lechapitre5,«ConfigurationdesservicesOpenDirectory»expliquecommentconfigurerunserveurOpenDirectoryetdécritlesconfigurationsetlesrôlesquevous
pouvezdéfinir.Cechapitrevousexpliqueégalementcommentdéfinirlesoptionsdu
serviceLDAPd’unmaîtreoud’unerépliqueOpenDirectoryetcommentconfigurer
l’authentificationKerberosparsignatureuniquesurunmaîtreOpenDirectory.
 Lechapitre6,«Gestiondel’authentificationd’utilisateur»montrecommentdéfinir
despolitiquesdemotdepasse,modifierletypedemotdepassed’unutilisateur,
attribuerdesdroitsd’administrateurpourl’authentificationOpenDirectory,réinitialiserlesmotsdepassedecomptesd’utilisateursimportésetfairemigrerdesmotsde
passeversl’authentificationOpenDirectory.
 Lechapitre7,«Gestiondesclientsderépertoire»expliquecommentutiliser
l’Utilitairederépertoirepourconfigureretgérerlamanièredontlesordinateurs
MacOSXaccèdentauxservicesderépertoire.
 LeChapitre8,«Réglagesavancésdesclientsderépertoire»,expliquecommentutiliserl’applicationUtilitairederépertoirepouractiver,désactiveretconfigurerlesprotocolesdedétectiondeservices.Ilexpliqueégalementcommentconfigurerlesrègles
derecherched’authentificationetdecontacts,ainsiquel’accèsauxdomainesde
répertoire,notammentLDAP,ActiveDirectory,NISetlesfichiersdeconfigurationBSD.
PréfaceÀproposdeceguide 13

 Lechapitre9,«MaintenancedesservicesOpenDirectory»expliquecommentcontrôlerlesservicesOpenDirectory,visualiseretmodifierlesdonnéesderépertoireà
l’aidedel’Inspecteur,archiverunmaîtreOpenDirectoryeteffectuerd’autresopérationsdemaintenancederépertoire.
 LeChapitre10,«RésolutiondeproblèmesliésàOpenDirectory»,décritlesproblèmescourantsetfournitdesinformationssurlamarcheàsuivreencasdeproblème
lorsdel’utilisationd’OpenDirectory.
Enoutre,l’annexe,«DonnéesderépertoireMacOSX»présentelalistedesextensions
OpenDirectoryauschémaLDAPetspécifielestypesdefichesetattributsstandardde
MacOSX.Enfin,leglossairedéfinitlestermesquevousrencontrerezlorsdelalecture
deceguide.
Remarque:étantdonnéqu’Applepublierégulièrementdenouvellesversionsetmises
àjourdeseslogiciels,lesillustrationsdecedocumentpeuventêtredifférentesde
cellesquis’affichentàl’écran.
Utilisationdeceguide
Leschapitresdeceguidesontclassésdansl’ordrecorrespondantprobablementle
mieuxàvosbesoinsdeconfigurationetdegestiond’OpenDirectorysurvotreserveur.
 Lisezlechapitre1jusqu’auchapitre3pourvousfamiliariseraveclesconcepts
d’OpenDirectory:servicesderépertoires,politiquesderechercheetauthentification.
 Lisezlechapitre4lorsquevousêtesprêtàplanifierlesservicesderépertoireset
l’authentificationdesmotsdepassepourvotreréseau.
 Aprèscetteétapedeplanification,utilisezlesinstructionsduchapitre5pour
configurerlesservicesOpenDirectory.
 Sivousdevezdéfinirdespolitiquesdemotdepasseoumodifierlesréglagesdemot
depassed’uncompted’utilisateur,reportez-vousauxinstructionsduchapitre6.
 PourconfigureroumodifierlafaçondontunordinateurMacOSXouMacOSXServer
accèdeauxdomainesderépertoire,suivezlesinstructionsduchapitre7.
 Pourconfigurerlesréglagesavancésdesutilisateursàl’aidedel’Utilitairede
répertoire,reportez-vousauChapitre8.
 Pourlamaintenancecourantedesservicesderépertoiresetd’authentification,
consultezlechapitre9.
 SivousrencontrezdesproblèmesavecOpenDirectory,reportez-vousauchapitre10
pourconnaîtrelessolutionspossibles.
14 PréfaceÀproposdeceguide

Utilisationdel’aideàl’écran
Vouspouvezobtenirdesinstructionsàl’écrandansVisualisationAidependantque
vousutilisezLeopardServer.L’aidepeutêtreaffichéesurunserveurousurunordinateuradministrateur(UnordinateuradministrateurestunordinateurMacOSXsur
lequelestinstallélelogicield’administrationdeserveurLeopardServer.)
Pourobtenirdel’aidedanslecasd’uneconfigurationavancéedeLeopardServer:
m OuvrezAdminServeurouGestionnairedegroupedetravail,puis:
 UtilisezlemenuAidepourrechercherunetâcheàexécuter.
 ChoisissezAide>AideAdminServeurouAide>AideGestionnairedegroupede
travailavantd’explorerlesrubriquesd’aideetd’effectuerdesrecherches.
L’aideàl’écrancontientdesinstructionsissuesduguideAdministrationduserveur,ainsi
qued’autresguidesd’administrationavancéedécritsdans«Guidesd’administrationde
MacOSXServerȈlapage15.
Pourvisualiserlesrubriquesd’aidelesplusrécentesconcernantlesserveurs:
m Assurez-vousqueleserveuroul’ordinateuradministrateurestconnectéàInternet
pendantquevousconsultezl’Aide.
VisualisationAideextraitautomatiquementlesrubriquesd’aidelesplusrécentes
depuisInternetetlesstockeenmémoirecache.Lorsquevousn’êtespasconnecté
àInternet,VisualisationAideaffichelesrubriquesd’aidemisesencache.
Guidesd’administrationdeMacOSXServer
Premierscontactstraitedel’installationetdelaconfigurationdesconfigurationsstandardetdegroupedetravaildeMacOSXServer.Pourlesconfigurationsavancées,
consultezAdministrationduserveur,quiregroupelaplanification,l’installation,laconfigurationetl’administrationduserveurengénéral.Unesériedeguidessupplémentaires,énumérésci-dessous,décritlaplanification,laconfiguration,ainsiquelagestion
avancéedesservicesindividuels.VouspouvezobtenircesguidesauformatPDFsur
lesitewebdedocumentationdeMacOSXServer:
www.apple.com/fr/server/documentation
Ceguide...
Premierscontactset
Feuilled’opérationd’installation
etdeconfiguration
Administrationdeligne
decommande
Administrationdesservices
defichier
AdministrationduserviceiCal
expliquecomment:
InstallerMacOSXServeretleconfigurerpourlapremièrefois.
Installer,configureretgérerMacOSXServeràl’aidedefichiersde
configurationetd’outilsdelignedecommandeUNIX.
Partagercertainsvolumesoudossiersdeserveurentrelesclients
duserveur,àl’aidedesprotocolesAFP,NFS,FTPetSMB.
Configureretgérerleservicedecalendrierpartagéd’iCal.
PréfaceÀproposdeceguide 15

16 PréfaceÀproposdeceguide
AdministrationduserviceiChat
Configureretgérerleservicedemessagerieinstantanéed’iChat.
Configurationdelasécurité
deMacOSX
Renforcerlasécuritédesordinateurs(clients)MacOSX,comme
l’exigentlesentreprisesetlesorganismespublics.
Configurationdelasécurité
deMacOSXServer
RenforcerlasécuritédeMacOSXServeretdel’ordinateur
surlequelilestinstallé,commel’exigentlesentrepriseset
lesorganismespublics.
Administrationduservice
demessagerie
ConfigureretgérerlesservicesdemessagerieIMAP,POPetSMTP
surleserveur.
Administrationdesservices
deréseau
Installer,configureretadministrerlesservicesDHCP,DNS,VPN,NTP,
coupe-feuIP,NATetRADIUSsurleserveur.
Administrationd’OpenDirectory
Configureretgérerlesservicesderépertoireetd’authentification
etconfigurerlesclientsautorisésàaccéderauxservicesderépertoire.
AdministrationdePodcastProducer ConfigureretgérerleservicePodcastProducerdestinéàenregistrer,traiteretdistribuerdespodcasts.
Administrationduservice
d’impression
Hébergerlesimprimantespartagéesetgérerlesfilesd’attenteet
travauxd’impressionassociés.
AdministrationdeQuickTime
StreamingetBroadcasting
CaptureretencoderducontenuQuickTime.Configureretgérer
leserviceQuickTimeStreamingenvuedediffuserdesdonnées
multimédiasentempsréelouàlademande.
Administrationduserveur
Réaliserl’installationetlaconfigurationavancéesdulogicielserveuretgérerdesoptionsquis’appliquentàplusieursservicesouà
l’intégralitéduserveur.
AdministrationdeMiseàjour
delogicielsetd’Imageriesystème
UtiliserNetBoot,NetInstalletMiseàjourdelogicielspourautomatiserlagestiondusystèmed’exploitationetdesautreslogiciels
utilisésparlesordinateursclients.
Miseàniveauetmigration
Utiliserdesréglagesdedonnéesetdeservicescorrespondantà
uneversionantérieuredeMacOSXServeroudeWindowsNT.
Gestiondesutilisateurs
Créeretgérerdescomptesutilisateur,desgroupesetdesordinateurs.ConfigurerlespréférencesgéréesdesclientsMacOSX.
Administrationdestechnologies
web
Configureretgérerdestechnologieswebtellesquelesblogs,
WebMail,wiki,MySQL,PHP,RubyonRails(RoR)etWebDAV.
InformatiqueàhauteperformanceetadministrationXgrid
ConfigureretgérerdesgrappesdecalculdesystèmesXserveet
d’ordinateursMac.
GlossaireMacOSXServer
Savoiràquoicorrespondentlestermesutiliséspourlesproduitsde
serveuretlesproduitsdestockage.
Ceguide...
expliquecomment:

VisualisationdeguidesPDFàl’écran
LorsquevouslisezlaversionPDFd’unguideàl’écran,vouspouvez:
 Afficherlessignetspourvisualiserleplanduguideetcliquersurunsignetpour
accéderdirectementàlasectioncorrespondante.
 Rechercherunmotouunephrasepourafficherunelistedesendroitsoùcemotou
cettephraseapparaîtdansledocument.Cliquezsurundecesendroitspourafficher
lapagecorrespondante.
 Cliquersuruneréférencecroiséepouraccéderdirectementàlarubriqueréférencée.
Cliquezsurunlienpourvisiterlesitewebdansvotrenavigateur.
ImpressiondesguidesPDF
Sivousdevezimprimerunguide,procédezcommesuitpouréconomiserdupapieret
del’encre:
 Économisezdel’encreoudutonerenévitantd’imprimerlacouverture.
 Sivousdisposezd’uneimprimantecouleur,économisezdel’encreenchoisissantune
optiond’impressionenniveauxdegrisouennoiretblancdansunedessectionsde
lazonededialogueImprimer.
 Réduisezlevolumedudocumentimpriméetéconomisezdupapierenimprimant
plusieurspagesparfeuille.DanslazonededialogueImprimer,réglezÉchellesur115%
(155%pourPremierscontacts).ChoisissezensuiteMiseenpagedanslemenulocal
sanstitre.Sivotreimprimanteprendenchargel’impressionrectoverso(duplex),
sélectionnezl’unedesoptionsproposées.Sinon,choisissez2danslemenulocal
Pagesparfeuilleet,sivouslesouhaitez,SimpleextrafinedanslemenuBordure.
(SivousutilisezMacOSX10.4ouantérieur,leréglageÉchellesetrouvedanslazone
dedialogueFormatd’impressionetlesréglagesrelatifsàlamiseenpagedanslazone
dedialogueImprimer.)
Ilpeuts’avérerutiled’agrandirlespagesimpriméesmêmesivousn’imprimezpasen
rectoverso,carlatailledespagesPDFestinférieureàcelledupapierd’imprimante
standard.DanslazonededialogueImprimeroudanslazonededialogueFormat
d’impression,essayezderéglerÉchellesur115%(155%pourPremierscontactsqui
possèdedespagesdelatailled’unCD).
PréfaceÀproposdeceguide 17

Obtenirdesmisesàjourdedocumentation
Applepublierégulièrementdespagesd’aideréviséesainsiquedenouvelleséditions
desesguides.Certainespagesd’aideréviséessontdesmisesàjourdesdernières
éditionsdecesguides.
 Pourafficherlesnouvellesrubriquesd’aideàl’écrand’uneapplicationdeserveur,
assurez-vousquevotreserveurouvotreordinateuradministrateurestconnectéà
Internetetcliquezsurleliendesdernièresrubriquesd’aideoudemiseàjourdans
lapaged’aideprincipaledel’application.
 PourtéléchargerlesguideslesplusrécentsenformatPDF,rendez-voussurlesite
webdedocumentationdeMacOSXServer:
www.apple.com/fr/server/documentation/
Pourobtenirdesinformationssupplémentaires
Pourensavoirplus,consultezlesressourcessuivantes:
 DocumentsOuvrez-moi:misesàjourimportantesetinformationsspécifiques.
Recherchez-lessurlesdisquesduserveur.
 SitewebdeMacOSXServer(www.apple.com/fr/server/macosx):passerelleversdes
informationsdétailléessurdenombreuxproduitsettechnologies.
 Sitewebdeserviceetd’assistanceMacOSXServer(www.apple.com/fr/support/
macosxserver):accèsàdescentainesd’articlesduserviced’assistanced’Apple.
 Sitewebdeserviceetd’assistanceApple(www.apple.com/fr/support):accèsàdes
centainesd’articlesduserviced’assistanced’Apple.
 SitewebAppleformation(www.apple.com/fr/training):coursensalleetautoformationsafindedéveloppervoscompétencesentermesd’administrationdeserveur.
 GroupesdediscussionsApple,(discussions.apple.com):unmoyende
partagerquestions,connaissancesetconseilsavecd’autresadministrateurs.
 Sitewebdeslistesd’envoiApple,(www.lists.apple.com):abonnez-vousàdeslistes
d’envoiafindepouvoircommuniquerparcourrierélectroniqueavecd’autresadministrateurs.
 Sitewebd’OpenLDAP(www.openldap.org):découvrezlelogicielopensourceutilisé
parOpenDirectorypourfournirleservicederépertoireLDAP.
 SitewebdeKerberosMIT(web.mit.edu/kerberos/www):obtenezdesinformations
élémentairesetdesspécificationssurleprotocoleutiliséparOpenDirectorypour
fourniruneauthentificationparsignatureuniquerobuste.
 SitewebdeBerkeleyDB(www.sleepycat.com):consultezlesdescriptionsdesfonctionnalitésetdeladocumentationtechniquesurlabasededonnéesopensourceutiliséeparOpenDirectorypourstockerlesdonnéesderépertoireLDAP.
 RFC3377,“LightweightDirectoryAccessProtocol(v3):Spécificationtechnique”
(www.rfc-editor.org/rfc/rfc3377.txt)—accédezàhuitautresdocumentsRFC(Request
forComment)quicontiennentdesinformationsd’ensembleetdesspécifications
détailléessurleprotocoleLDAPv3.
18 PréfaceÀproposdeceguide

1 Servicesderépertoireavec
OpenDirectory
1
Unservicederépertoireestunlieudestockagecentralisé
d’informationsconcernantlesutilisateursd’ordinateurset
lesressourcesréseaud’uneorganisation.
Avantagesdel’utilisationdeservicesderépertoire
Lefaitdecentraliserlesdonnéesadministrativesenunseulendroitprésenteplusieurs
avantages:
 Réductiondunombrededonnéesàsaisir.
 Touslesclientsetlesservicesréseaudisposentd’informationscohérentesàpropos
desutilisateursetdesressources.
 Simplifiel’administrationdesutilisateursetdesressources.
 Fournitdesinformationsd’identification,d’authentificationetd’autorisationà
d’autresservicesderéseau.
Danslesécolesoulesentreprisesparexemple,ilssontparfaitspourgérerlesutilisateursetlesressourcesinformatiques.Mêmeuneorganisationdemoinsdedixpersonnespeutbénéficierdesavantagesdudéploiementd’unservicederépertoire.
Lesservicesderépertoiresontdoublementutiles:ilssimplifientd’unepartl’administrationdusystèmeetduréseau,etd’autrepartl’usageduréseaupourlesutilisateurs.
Grâceauxservicesderépertoire,lesadministrateurspeuventconserverdesinformations
surtouslesutilisateurs,comme,parexemple,leurnom,leurmotdepasseetlesemplacementsdesrépertoiresdedépartréseau,defaçoncentraleplutôtquesurlesdifférents
ordinateurs.Lesservicesderépertoirepermettentaussidecentraliserlesinformations
concernantlesimprimantes,lesordinateursetlesautresressourcesenréseau.
Lacentralisationd’informationssurlesutilisateursetlesressourcespermetderéduire
lachargedetravailenmatièredegestiondesinformationspourl’administrateursystèmeetàchaqueutilisateurdedisposerd’uncompted’utilisateurcentralisépermettantd’ouvrirunesessionsurtoutordinateurautoriséduréseau.
19

Servicesetdomainesderépertoire
Leservicederépertoireagitcommeunintermédiaireentrelesprocessusd’application
etdelogicielsystème,quiontbesoind’informationssurlesutilisateursetlesressources,
etlesdirectorydomainsquistockentlesinformations.
Commeillustréci-dessous,OpenDirectoryfournitdesservicesderépertoirepour
MacOSXetMacOSXServer.
Utilisateurs
Groupes
Imprimantes
Ordinateurs
Montages
Domaines
de répertoire
Open
Directory
Processus d’applications
et de logiciels système
OpenDirectorypeutaccéderauxinformationsquifigurentdansunouplusieurs
domainesderépertoire.Undomainederépertoirestockedesinformationsdans
unebasededonnéesspécialiséeetoptimiséepourrechercher,extraireettraiter
rapidementungrandnombrededemandesd’informations.
Avecleservicederépertoireetleservicedefichierscentralisésconfiguréspourhébergerlesdossiersdedépartréseau,unutilisateurobtientpartoutlesmêmesdossierde
départ,bureaupersonnaliséetpréférencesindividuelles,quelquesoitl’ordinateursur
lequelilouvreunesession.L’utilisateurpeutdonctoujoursaccéderàsesfichierspersonnelsmisenréseaupourrechercheretutiliseraisémentlesressourcesréseauautorisées.
LesprocessusexécutéssousMacOSXutilisentlesservicesOpenDirectorypourenregistrerdesinformationsdanslesdomainesderépertoire.Siparexemplevouscréez
uncompted’utilisateuràl’aidedeGestionnairedegroupedetravail,cetteapplication
demandeàOpenDirectorydestockerlenomdel’utilisateuretlesautresinformations
ducomptedansundomainederépertoire.Vouspouvezensuitepasserenrevue
lesinformationsdescomptesd’utilisateurdansGestionnairedegroupedetravail,
quiutiliseOpenDirectorypourextrairelesinformationssurlesutilisateursàpartir
d’undomainederépertoire.
20 Chapitre1ServicesderépertoireavecOpenDirectory

D’autresprocessusdelogicielssystèmeetd’applicationspeuventégalementaccéder
auxinformationsdescomptesd’utilisateurstockéesdansdesdomainesderépertoire.
QuandunutilisateurouvreunesessionsurunordinateurMacOSX,leprocessus
d’ouverturedesessionutiliselesservicesOpenDirectorypourvaliderlenomd’utilisateuretlemotdepasse.
Domaine
de
répertoire
Gestionnaire de
groupe de travail
Open
Directory
Pointdevuehistorique
ToutcommeMacOSX,OpenDirectorytrouvesesoriginesdansUNIX.Eneffet,
OpenDirectoryfournitl’accèsauxdonnéesadministrativesquelessystèmesUNIX
conserventgénéralementdansdesfichiersdeconfiguration,cequirequiertuntravail
demaintenanceplusminutieux(certainssystèmesUNIXreposenttoujourssurdes
fichiersdeconfiguration).OpenDirectoryconsolidecesdonnées,puislesrépartit
pourfaciliterlesaccèscommelamaintenance.
Consolidationdesdonnées
Pendantdesannées,lessystèmesUNIXontstockélesinformationsadministratives
dansunecollectiondefichierssituésdanslerépertoire/etc,commeillustréci-dessous.
/etc/group
/etc/hosts
Processus UNIX
/etc/master.passwd
Chapitre1ServicesderépertoireavecOpenDirectory 21

CeschémaexigequechaqueordinateurUNIXdisposedesapropresériedefichiers.
Ainsi,lesprocessusexécutéssurunordinateurUNIXlisentsesfichiers,lorsqu’ilsont
besoind’informationsadministratives.
Sivousmaîtrisezl’environnementUNIX,vousconnaissezsansaucundoutelesfichiers
durépertoire/etc:group,hosts,hosts.equiv,master.passwdetbiend’autres.Ainsi,
unprocessusUNIXayantbesoind’unmotdepassed’utilisateurconsulteralefichier
/etc/master.passwd.Lefichier/etc/master.passwdcontientunenregistrementpour
chaquecompted’utilisateur.UnautreprocessusUNIXnécessitantdesinformations
surlesgroupesutiliseplutôtlefichier/etc/group.
Open
Directory
Processus Mac OS X
OpenDirectoryconsolidelesinformationsadministratives,cequisimplifielesinteractionsentrelesprocessusetlesdonnéesadministrativesqu’ilscréentetutilisent.
Lesprocessusn’ontdésormaisplusbesoindesavoiroùetcommentlesdonnéesadministrativessontstockées.OpenDirectorys’occuped’obtenircesdonnéespourleur
compte.Siunprocessusdoitconnaîtrel’emplacementdudossierdedépartd’unutilisateur,ilfaitensortequ’OpenDirectoryobtiennecetteinformation.OpenDirectory
trouvel’informationdemandéepuislarenvoie,évitantainsiauprocessustousles
détailsconcernantlestockagedel’information,commeillustréci-dessous.
Domaine
de
répertoire
Domaine
de
répertoire
Open
Directory
Processus Mac OS X
SivousconfigurezOpenDirectorypouraccéderauxdonnéesadministrativesàpartir
deplusieursdomainesderépertoire,OpenDirectorylesconsulteencasdebesoin.
22 Chapitre1ServicesderépertoireavecOpenDirectory

CertainesdesdonnéesstockéesdansundirectorydomainsontidentiquesàdesdonnéesstockéesdanslesfichiersdeconfigurationUNIX.Parexemple,l’emplacementdu
dossierdedépart,lenomréel,l’identifiantd’utilisateuretl’identifiantdegroupesont
stockésdansl’enregistrementd’utilisateurd’undirectorydomainplutôtquedansle
fichier/etc/passwdstandard.
Toutefois,undirectorydomainstockebeaucoupplusd’informationspourgérerdes
fonctionspropresàMacOSX,commelapriseenchargedelagestiond’ordinateurs
clientsMacOSX.
Répartitiondesdonnées
UnedescaractéristiquesdesfichiersdeconfigurationUNIX,estquelesdonnéesadministrativesqu’ilscontiennentsontdisponiblesuniquementsurl’ordinateursurlequel
ellessontstockées.ChaqueordinateurcomportedoncsespropresfichiersdeconfigurationUNIX.
AveclesfichiersdeconfigurationUNIX,toutordinateursurlequelunutilisateurenvisagedetravaillerdoitposséderlesréglagesducomptedecetutilisateur.Demanière
plusgénérale,toutordinateurdoitdoncposséderlesréglagesdescomptesdesutilisateursautorisésàlesutiliser.Pourconfigurerlesréglagesderéseaud’unordinateur,
l’administrateurdoitsedéplacerjusqu’àcetordinateur,puisentrerl’adresseIPettoute
informationidentifiantcetordinateursurleréseau.
Demême,lorsquedesinformationssurunutilisateurouleréseaudoiventêtremodifiéesdansdesfichiersdeconfigurationUNIX,l’administrateurdoitapportercesmodificationssurl’ordinateursurlequelsontsituéscesfichiers.Certainschangements,
commelesréglagesderéseau,nécessitentquel’administrateurprocèdeauxmêmes
opérationssurplusieursordinateurs.Cetteapprochedevientdeplusenpluscompliquéealorsquelesréseauxgagnententailleetencomplexité.
Chapitre1ServicesderépertoireavecOpenDirectory 23

OpenDirectoryrésoutceproblèmeenvouspermettantdestockerdesdonnéesadministrativesdansundomainederépertoirequipeutêtregéréparunadministrateur
réseauàpartird’unemplacementunique.OpenDirectoryvouspermetdedistribuer
cesinformationsafinqu’ellessoientaccessiblesenréseaupourtouslesordinateursqui
enontbesoinetpourl’administrateurquilesgère,commeillustréci-dessous.
Domaine
de
répertoire
Administrateur
système
Open
Directory
Utilisateurs
Utilisationdesdonnéesdesrépertoires
OpenDirectorypermetderegrouperetdegéreraisémentlesinformationssur
leréseaudansundirectorydomain,maiscesinformationsn’ontdevaleurquesi
lesprocessusdulogicielsystèmeetdesapplicationsexécutéssurlesordinateurs
duréseauyaccèdentréellement.
Voiciquelquesexemplesd’utilisationdesdonnéesderépertoireparlelogicielsystème
etlesapplicationsMacOSX:
 Ouverturedesession:Gestionnairedegroupedetravailpeutcréerdesenregistrementsd’utilisateursdansundirectorydomainetcesenregistrementspeuventservir
àauthentifierdesutilisateursouvrantunesessionsurdesordinateursMacOSXet
Windows.Lorsqu’unutilisateursaisitunnometunmotdepassedanslafenêtre
d’ouverturedesessionMacOSX,leprocessusd’ouverturedesessiondemandeà
OpenDirectoryd’authentifiercenometcemotdepasse.OpenDirectoryutilise
lenompourtrouverl’enregistrementducomptedel’utilisateurdansundirectory
domainetvalideensuitelemotdepasseàl’aided’autresinformationsquifigurent
dansl’enregistrementd’utilisateur.
24 Chapitre1ServicesderépertoireavecOpenDirectory

 Accèsauxdossiersetauxfichiers:unefoisqu’ilaouvertunesession,l’utilisateur
peutaccéderauxdossiersetauxfichiers.MacOSXutilised’autresdonnéesprovenantdel’enregistrementd’utilisateurpourdéterminerlesautorisationsd’accèsde
l’utilisateurpourchaquefichieroudossier.
 Dossiersdedépart:chaqueenregistrementd’utilisateur,dansundirectorydomain,
stockel’emplacementdudossierdedépartdel’utilisateur.Ils’agitdel’endroitoù
sontstockéslesfichiers,dossiersetpréférencesdel’utilisateurLedossierdedépart
d’unutilisateurpeutsetrouversurl’ordinateursurlequeliltravailleousurunserveurdefichiersderéseau.
 Montageautomatiquedepointsdepartage:lespointsdemontagepeuventêtre
configuréspourlemontageautomatique(ilsapparaissentautomatiquement)dans
ledossier/Network(leglobeRéseau)desfenêtresduFinderdesordinateursclients.
Lesinformationsconcernantcespointsdepartageàmonterautomatiquementsont
stockéesdansundomainederépertoire.Lespointsdepartagesontdesdossiers,
desdisquesoudespartitionsdedisquerendusaccessiblessurleréseau.
 Réglagedescomptesdemessagerie:chaqueenregistrementd’utilisateur,dansun
domainederépertoire,indiquesil’utilisateurconcernédisposeduservicedemessagerieet,lecaséchéant,spécifielesprotocolesdecourrieràutiliser,lemodedeprésentationdesmessagesentrants,l’activationéventuelled’unealerteencasde
réceptiondemessage,etc.
 Utilisationdesressources:lesquotasdedisque,d’impressionetdecourrierpeuvent
êtrestockésdanschaqueenregistrementd’utilisateurd’undomainederépertoire.
 Informationssurlesclientsgérés:l’administrateurpeutgérerl’environnement
MacOSXdesutilisateursdontlescomptessontstockésdansundomainederépertoire.L’administrateurchoisitlesréglagesdepréférencesimposésquisontstockés
dansledomainederépertoireetquisontprioritairesparrapportauxpréférences
personnellesdesutilisateurs.
 Gestiondegroupes:outredesenregistrementsd’utilisateurs,undomainederépertoirecontientégalementdesenregistrementsdegroupes..Chaquefichedegroupe
affectetouslesutilisateursmembresdecegroupe.Lesinformationsquifigurent
danslesenregistrementsdegroupeindiquentlesréglagesenmatièredepréférencesdesmembres.Lesenregistrementsdegroupepermettentégalementdedéterminerl’accèsauxfichiers,auxdossiersetauxordinateurs.
 Présentationsderéseaugérées:l’administrateurpeutconfigurerdesprésentations
personnaliséesquelesutilisateursvoientlorsqu’ilssélectionnentl’icôneRéseaudans
labarrelatéraled’unefenêtreduFinder.Commecesprésentationsderéseaugérées
sontstockéesdansundomainederépertoire,ellessontautomatiquementdisponibleslorsqu’unutilisateurouvreunesession.
Chapitre1ServicesderépertoireavecOpenDirectory 25

Accèsauxservicesderépertoires
OpenDirectorypeutaccéderauxdomainesderépertoirepourlestypesdeservicesde
répertoiressuivants:
 LightweightDirectoryAccessProtocol(LDAP),unenormecommunedanslesenvironnementsmixtesdesystèmesMacintosh,UNIXetWindows.LDAPestleservice
derépertoirenatifpourlesrépertoirespartagésdeMacOSXServer.
 Domainederépertoirelocal,leservicederépertoirepourtoutMacOSXet
MacOSXServer10.5ouultérieur.
 ActiveDirectory,leservicederépertoiredesserveursMicrosoftWindows2000et2003.
 NetworkInformationSystem(NIS),leservicederépertoiredenombreuxserveursUNIX.
 FichiersplatsBSD,leservicederépertoirehéritédessystèmesUNIX.
Auseind’undomainederépertoire
Lesinformations,dansundomainederépertoire,sontorganiséesd’aprèsletyped’enregistrement.Lestypesd’enregistrementsontdescatégoriesspécifiquesd’informations,
comme,parexemple,lesutilisateurs,lesgroupesetlesordinateurs.Undomainede
répertoirepeutcontenirunnombredifférentd’enregistrementspourchaquetype
d’enregistrements.Chaqueenregistrementestconstituéd’unensembled’attributset
chaqueattributcomporteuneouplusieursvaleurs.
Sivousimaginezuntyped’enregistrementcommeunefeuilledecalculdédiéeàune
certainecatégoried’informations,lesenregistrementssontalorsleslignesdelafeuille,
lesattributssontlescolonnesetchaquecellulecontientuneouplusieursvaleurs.
Parexemple,lorsquevousdéfinissezuncompted’utilisateuràl’aidedeGestionnaire
degroupedetravail,vouscréezunenregistrementd’utilisateur(unenregistrementde
typeutilisateur).Lesréglagesdéfinispourcecompted’utilisateur(sonnomabrégé,
sonnomcomplet,l’emplacementdesondossierdedépart,etc.)deviennentdes
valeursdesattributsquifigurentdansl’enregistrement.Lafiched’utilisateurcomme
lesvaleursdesesattributssontstockéesdansundomainederépertoire.
Danscertainsservicesderépertoire,comme,parexemple,LDAPetActiveDirectory,
lesinformationsderépertoiresontorganiséesparclassed’objets.Commelestypes
d’enregistrement,lesclassesd’objetsdéfinissentdescatégoriesd’informations.
Uneclassed’objetsdéfinitdesinformationssimilairesappelésentréesenspécifiant
lesattributsqu’uneentréepeutoudoitcontenir.
Pourunemêmeclassed’objets,undomainederépertoirepeutcontenirplusieurs
entrées,chacunedecesentréespouvantcontenirplusieursattributs.Certainsattributs
ontuneseulevaleur,alorsqued’autresenontplusieurs.Parexemple,laclassed’objets
inetOrgPersondéfinitdesentréesquicontiennentdesattributsd’utilisateur.
26 Chapitre1ServicesderépertoireavecOpenDirectory

LaclasseinetOrgPersonestuneclasseLDAPstandarddéfinieparledocumentRFC
2798.D’autresclassesd’objetsetattributsLDAPstandardsontdéfinisparledocument
RFC2307.Lesclassesd’objetsetlesattributspardéfautd’OpenDirectorysefondent
surcesdocumentsRFC.
L’ensembledesattributsetdestypesd’enregistrements(ouclassesd’objets)définissentlastructuredesinformationsd’undomainederépertoire.Cettestructureestappeléeschémadudomainederépertoire.OpenDirectoryutilisetoutefoisunschémaà
basederépertoirequidiffèreduschémastockébaséenlocal.
Lorsdel’utilisationd’unfichierdeconfigurationdeschémabaséenlocalavecunmaîtreOpenDirectoryquisertdesserveursrépliqués,leproblèmeestquesil’onmodifie
ouajouteunattributauschémabaséenlocald’unmaîtreOpenDirectory,ilfautaussi
apportercettemodificationsurchacunedesrépliques.S’ilyabeaucoupderépliques,
lamiseàjourmanuellepeutprendreénormémentdetemps.
Sivousn’apportezpaslamêmemodificationauschémaenlocalsurchacunedesrépliques,vosserveursrépliquésvontprovoquerdeserreursetdeséchecslorsdel’envoi
devaleurspourlenouvelattributauxserveursrépliqués.
Pouréviterlesproblèmes,MacOSXutiliseunschémaàbasederépertoirequiest
stockédanslabasededonnéesderépertoiresetmisàjourautomatiquementpour
chaqueserveurrépliquéàpartirdelabasededonnéesderépertoiresrépliquée.
Celapermetdesynchroniserleschémapourtouteslesrépliquesetdonneuneplus
grandeflexibilitépourapporterdesmodificationsauschéma.
Chapitre1ServicesderépertoireavecOpenDirectory 27

StructuredesinformationsderépertoireLDAP
DansunrépertoireLDAP,lesentréessontorganiséesdansunestructurearborescente
hiérarchique.DanscertainsrépertoiresLDAP,cettestructureestbaséesurdesfrontièresgéographiquesetorganisationnelles.D’unefaçonplusgénérale,lastructureest
baséesurlesnomsdedomaineInternet.
Dansuneorganisationderépertoiresimple,lesentréesreprésentantlesutilisateurs,
lesgroupes,lesordinateursetlesautresclassesd’objetssontimmédiatementsous
leniveauracinedelahiérarchie,commeillustréici.
dc=com
dc=exemple
cn=utilisateurs cn=groupes cn=ordinateurs
uid=anne
cn=Anne Robin
uid=vincent
cn=Vincent Foucault
Uneentréeestréférencéeparsonnomdistinctif(DN,DistinguishedName),quiest
construitàpartirdunomdel’entréeproprementdite,appelélenomdistinctifrelatif
(RND,RelativeDistinguishedName),etparconcaténationdesnomsdesentréesancêtres.Parexemple,l’entréed’AnneJacquespourraitavoirleRDNuid=anneetlenom
distinctifuid=anne,cn=utilisateurs,dc=exemple,dc=com.
LeserviceLDAPextraitlesdonnéesenfaisantunerecherchedanslahiérarchie
d’entrées.Larecherchepeutcommenceràn’importequelleentrée.L’entréeà
laquellelarecherchecommenceestappeléelabasederecherche.
Vouspouvezspécifierunebasederechercheendonnantlenomdistinctifd’uneentrée
danslerépertoireLDAP.Parexemple,labasederecherchecn=utilisateurs,dc=exemple,
dc=comspécifiequeleserviceLDAPcommenceralarechercheàl’entréedontl’attribut
cnalavaleur«utilisateurs».
VouspouvezaussispécifierdanscombiendeniveauxdelahiérarchieLDAPsousla
basederechercheilfautchercher.Ledomainederecherchepeutcouvrirtoutesles
sous-branchessouslabasederechercheouuniquementlepremierniveaud’entrées
souslabasederecherche.Sivousutilisezdesoutilsdelignedecommandepourfaire
unerecherchedansunrépertoireLDAP,vouspouvezaussirestreindreledomainede
rechercheàlaseuleentréedelabasederecherche.
28 Chapitre1ServicesderépertoireavecOpenDirectory

Domainesderépertoirelocauxetpartagés
L’emplacementdestockagedesinformationsconcernantlesutilisateursetautresdonnéesadministrativesnécessairesàvotreserveurdiffèreselonquelesdonnéesdoivent
êtrepartagéesounon.Cesinformationspeuventêtrestockéesdansledomainede
répertoirelocalduserveuroudansundomainederépertoirepartagé.
Lorsqu’unutilisateurouvreunesessionsurunordinateurMacOSX,OpenDirectory
recherchel’enregistrementdecetutilisateurdansledomainederépertoirelocalde
l’ordinateur.Siledomainederépertoirelocalcontientl’enregistrementdel’utilisateur
(etquel’utilisateuraentréunmotdepassecorrect),l’ouverturedesessionsepoursuit
etl’utilisateursevoitdonnerl’accèsàl’ordinateur.
Aprèsl’ouverturedesession,l’utilisateurpeutchoisir“Seconnecteràunserveur”
danslemenuAller,puisseconnecteràunserveurMacOSXServerpouraccéderà
unservicedefichiers.Danscecas,OpenDirectorysurleserveurrecherchelafiche
decetutilisateurdansledomainederépertoirelocalduserveur.
Àproposdudomainederépertoirelocal
ToutordinateurMacOSXdisposed’undomainederépertoirelocal.Lesdonnéesadministrativesquifigurentdansundomainederépertoirelocalsontvisiblesuniquement
parlesapplicationsetlelogicielsystèmeexécutéssurl’ordinateursurlequelle
domaineenquestionsetrouve.Ils’agitdupremierdomaineconsultélorsquel’utilisateurouvreunesessionouexécutecertainesopérationsnécessitantdesdonnéesstockéesdansundomainederépertoire.
Siledomainederépertoirelocalduserveurcontientunenregistrementpourl’utilisateur(etsil’utilisateurasaisilebonmotdepasse),leserveurdonneàl’utilisateurl’accès
auxservicesdefichiers,commeillustréci-dessous.
Ouverture
de session
Mac OS X
Domaine de
répertoire local
Connexion à Mac OS X Server
pour le service de fichiers
Domaine de
répertoire local
LorsquevousconfigurezunordinateurMacOSX,sondomainederépertoirelocalest
crééetpourvud’enregistrementsautomatiquement.Parexemple,unefiched’utilisateurestcrééepourl’utilisateurquis’estchargédel’installation.Cetenregistrement
d’utilisateurcontientlenomd’utilisateuretlemotdepassesaisisaucoursdelaconfiguration,ainsiqued’autresinformations,tellesquel’identifiantuniquedel’utilisateur
etl’emplacementdesondossierdedépart.
Chapitre1ServicesderépertoireavecOpenDirectory 29

Àproposdesdomainesderépertoirepartagés
Bienqu’OpenDirectorypuissestockerdesdonnéesadministrativesdansledomainede
répertoirelocaldel’ordinateursurtoutordinateurMacOSX,sonatoutmajeurestde
permettreàplusieursordinateursMacOSXdepartagerdesdonnéesadministratives
enlesstockantdansdesdomainesderépertoirepartagés.
SiOpenDirectorynetrouvepasl’enregistrementd’unutilisateurdansledomainede
répertoirelocald’unordinateurMacOSX,ilpeutrecherchel’enregistrementdanstous
lesdomainespartagésauxquelscetordinateuraaccès.
Dansl’exemplesuivant,l’utilisateurpeutaccéderauxdeuxordinateurs,carledomaine
partagé,accessibleàpartirdesdeuxordinateurs,contientunenregistrementpourcet
utilisateur.
Domaine de
répertoire
partagé
Ouverture
de session
Mac OS X
Domaine de
répertoire local
Connexion à Mac OS X Server
pour le service de fichiers
Domaine de
répertoire local
Lorsqu’unordinateurestconfigurépourutiliserundomainepartagé,touteslesdonnéesadministrativescontenuesdanscedomainesontégalementvisiblesparlesapplicationsetlelogicielsystèmedecetordinateur.
Lesdomainespartagéssetrouventgénéralementsurdesserveursparcequelesinformationsdedomainesderépertoirecontiennentdesinformationsextrêmementimportantestelleslesdonnéesd’authentificationdesutilisateurs.
L’accèsauxserveursestgénéralementtrèsrestreintpourprotégerlesdonnéesqu’ils
contiennent.Enoutre,lesdonnéesderépertoiresdoiventdemeurerdisponibles.Les
serveursdisposentsouventdefonctionsmatériellessupplémentairesquiaugmentent
leurfiabilitéetilsbénéficienthabituellementdedispositifsd’alimentationélectrique
sansinterruption.
30 Chapitre1ServicesderépertoireavecOpenDirectory

Donnéespartagéesdansdesdomainesderépertoireexistants
Certainesorganisations(lesuniversitésoulesmultinationales,parexemple)conserventlesinformationsrelativesauxutilisateursetd’autresdonnéesadministrativesdans
desdomainesderépertoiresituéssurdesserveursUNIXouWindows.OpenDirectory
peuteffectuerunerecherchedanscesdomainesnonAppleetdanslesdomaines
OpenDirectorypartagésdesystèmesMacOSXServer,commeillustréci-dessous.
Domaine de
répertoire
local
Domaine de
répertoire
partagé
Mac OS X Server
Serveur Windows
Domaine
Active
Directory
Domaine de
répertoire
local
Utilisateur Mac OS X Utilisateur Mac OS X Utilisateur Windows
L’ordredanslequelMacOSXeffectuedesrecherchesdanslesdomainesderépertoire
estconfigurable.Lapolitiquederecherchedéterminel’ordredanslequelMacOSX
effectuelesrecherchesdanslesdomainesderépertoire.Lespolitiquesderecherche
sontexpliquéesauchapitre2,«PolitiquesderechercheOpenDirectory».
ServicesSMBetOpenDirectory
VouspouvezconfigurervotreMacOSXServeravecOpenDirectoryetlesservicesSMB
pourservirdesstationsdetravailWindows.Enutilisantcesdeuxservicesensemble,
vouspouvezconfigurervotreMacOSXServercommecontrôleurdedomaineprincipal(PDC)oucontrôleurdedomainesecondaire(BDC).
Chapitre1ServicesderépertoireavecOpenDirectory 31

OpenDirectorycommecontrôleurdedomaineprincipal
MacOSXServerpeutêtreconfigurécommecontrôleurdedomaineprincipal(PDC)
Windows,cequipermetauxutilisateursdestationsdetravailcompatiblesavec
WindowsNTd’ouvrirunesessionàl’aidedecomptesdedomaine.Uncontrôleurde
domaineprincipaldonneàchaqueutilisateurWindowsunnomd’utilisateuretunmot
depassepourl’ouverturedesessionàpartirdetoutestationdetravailWindowsNT
4.x,Windows2000,WindowsXPetWindowsVistasurleréseau.Aulieud’ouvrirune
sessionàl’aided’unnomd’utilisateuretd’unmotdepassedéfinisenlocalsurune
stationdetravail,chaqueutilisateurpeutalorsouvrirunesessionàl’aidedunom
d’utilisateuretdumotdepassedéfinissurlecontrôleurdedomaineprincipal.
Lecompted’utilisateurquipeutêtreutilisépourouvrirunesessionàpartird’une
stationdetravailpeutaussiêtreutilisépourouvrirunesessionàpartird’unordinateur
MacOSX.Quelqu’unquiutiliselesdeuxplates-formespeutavoirlesmêmesdossier
dedépart,comptedecourrierélectroniqueetquotasd’impressionsurlesdeuxplatesformes.Lesutilisateurspeuventchangerdemotdepasselorsdel’ouverturede
sessionsurledomaineWindows.
Lescomptesd’utilisateursontstockésdanslerépertoireLDAPduserveuraccompagnésdugroupe,del’ordinateuretd’autresinformations.Lecontrôleurdedomaine
principalaaccèsauxinformationsdecerépertoireparcequevousavezconfiguré
lecontrôleurdedomaineprincipalsurunserveurquiestunmaîtreOpenDirectory,
c’est-à-direquihébergeunrépertoireLDAP.
Deplus,lecontrôleurdedomaineprincipalutiliseleserveurdemotsdepassedumaîtreOpenDirectorypourl’authentificationdesutilisateurslorsqu’ilsouvrentunesession
dansledomaineWindows.Leserveurdemotsdepassepeutvaliderlesmotsdepasse
àl’aidedeNTLMv2,NTLMv1,LANManageretd’autresméthodesd’authentification.
LemaîtreOpenDirectorypeutaussiavoiruncentrededistributiondeclésKerberos.Le
contrôleurdedomaineprincipaln’utilisepasKerberospourauthentifierlesutilisateurs
pourlesservicesWindows,maisleservicedecourrierélectroniqueetd’autresservices
peuventêtreconfiguréspourutiliserKerberospourl’authentificationdesutilisateursde
stationsdetravailWindowsquidisposentdecomptesdanslerépertoireLDAP.
PourquesonmotdepassesoitvalidéparleserveurdemotsdepasseOpenDirectory
etparKerberos,uncompted’utilisateurdoitavoirunmotdepassedetypeOpen
Directory.Uncompted’utilisateuravecunmotdepassedetypecrypténepeutpas
êtreutilisépourlesservicesWindowsparcequ’unmotdepassecryptén’estpasvalidé
àl’aidedesméthodesd’authentificationNTLMv2,NTLMv1ouLANManager.
32 Chapitre1ServicesderépertoireavecOpenDirectory

Leserveurpeutaussiavoirdescomptesd’utilisateurdanssondomainederépertoire
local.ChaqueMacOSXServerenaun.Lecontrôleurdedomaineprincipaln’utilise
pascescomptespourl’ouverturedesessionpardomaineWindows,maislecontrôleur
dedomaineprincipalpeututilisercescomptespourauthentifierlesutilisateurspour
leservicedefichiersWindowsetd’autresservices.
Lescomptesd’utilisateur,dansledomainederépertoirelocal,quiontunmotdepasse
detypeMotdepasseShadowpeuventêtreutiliséspourlesservicesWindowsparce
quelesmotsdepasseShadowpeuventêtrevalidésàl’aidedesméthodesd’authentificationNTLMv2,NTLMv1,LANManageretautres.
Àdesfinsdecompatibilité,MacOSXServerprendenchargelescomptesd’utilisateur
configuréspourutiliserlatechnologieGestionnaired’authentificationhéritéepourla
validationdesmotsdepassedansMacOSXServer10.0–10.2.Aprèslamiseàniveau
d’unserveuràMacOSXServer10.5,lesutilisateursexistantspeuventcontinueràutiliserleursmotsdepasse.
Uncompted’utilisateurutiliseGestionnaired’authentificationsilecompteestun
domainederépertoirelocalpourlequelGestionnaired’authentificationaétéactivé
etsilecompteestconfigurépourutiliserunmotdepassecrypté.
SivousmigrezunrépertoiredeNetInfoversLDAP,touslescomptesd’utilisateurqui
utilisaientGestionnaired’authentificationpourlavalidationdesmotsdepassesont
convertispouravoirunmotdepassedetypeOpenDirectory.
LorsdelaconfigurationdeMacOSXServercommecontrôleurdedomaineprincipal,
assurez-vousqu’iln’yapas,survotreréseau,unautrecontrôleurdedomaineprincipal
possédantlemêmenomdedomaine.UnréseaupeutavoirplusieursmaîtresOpen
Directory,maisunseulcontrôleurdedomaineprincipal.
Chapitre1ServicesderépertoireavecOpenDirectory 33

OpenDirectorycommecontrôleurdedomainesecondaire
ConfigurerMacOSXcommecontrôleurdedomainesecondairefournitpermet
lebasculementetlasauvegardeducontrôleurdedomaineprincipal.Lecontrôleurde
domaineprincipaletlecontrôleurdedomainesecondairepartagentlesdemandesdes
clientsWindowsenmatièred’ouverturedesessiondedomaineetd’autresservicesde
répertoireetd’authentification.Encasd’indisponibilitéducontrôleurdedomaineprincipalMacOSXServer,lecontrôleurdedomainesecondaireMacOSXServerfournit
alorsdesservicesd’ouverturedesessiondedomaineetd’autresservicesderépertoire
etd’authentification.
Lecontrôleurdedomainesecondairedisposed’unecopiesynchroniséedesdonnées
relativesauxutilisateurs,groupes,ordinateursetautresdonnéesderépertoireducontrôleurdedomaineprincipal.Lecontrôleurdedomaineprincipaletlecontrôleurde
domainesecondairedisposentaussidecopiessynchroniséesdesdonnéesd’authentification.MacOSXServersynchroniseautomatiquementdesdonnéesrelativesaux
répertoiresetàl’authentification.
AvantdeconfigurerMacOSXServercommecontrôleurdedomainesecondaire,
vousdevezconfigurerleserveurcommeunerépliqueOpenDirectory.Lecontrôleur
dedomainesecondaireutiliselerépertoireLDAP,lecentrededistributiondeclés
KerberosetleserveurdemotsdepassedelarépliqueOpenDirectoryenlectureseule.
MacOSXServersynchroniselecontrôleurdedomaineprincipaletlecontrôleurde
domainesecondaireenmettantàjourautomatiquementlarépliqueOpenDirectory
aveclesmodificationsapportéesaumaîtreOpenDirectory.
UtilisezAdminServeuraprèsl’installationpourfairedeMacOSXServeruneréplique
OpenDirectoryetuncontrôleurdedomainesecondaire.Vouspouvezconfigurer
plusieurscontrôleursdedomainesecondaire,chacunsurunserveurderéplique
OpenDirectorydistinct.
Important:vousnepouvezpasavoirplusieurscontrôleursdedomaineprincipal
dupliquéssurunmêmeréseau.
34 Chapitre1ServicesderépertoireavecOpenDirectory

2 Politiquesderecherche
OpenDirectory
2
Chaqueordinateurdisposed’unepolitiquederecherchequi
spécifiedesdomainesderépertoireetl’ordredanslequel
OpenDirectoryyeffectuesesrecherchesauseindeces
derniers.
ChaqueordinateurMacOSXasaproprepolitiquederecherche,appeléeaussipluscommunémentcheminderecherche,quispécifieàqueldomainesderépertoireOpenDirectorypeutaccéder,comme,parexemple,ledomainederépertoirelocaldel’ordinateur
etunrépertoirepartagéparticulier.
Lapolitiquederecherchespécifieégalementl’ordredanslequelOpenDirectory
accèdeauxdomainesderépertoire.OpenDirectoryeffectueunerecherchedans
chaquedomainederépertoireets’arrêtelorsqu’iltrouveunélémentcorrespondant.
Ainsi,OpenDirectorystoppelarecherched’unenregistrementd’utilisateurlorsqu’il
trouveunenregistrementdontlenomd’utilisateurcorrespondaunomrecherché.
Niveauxdepolitiquederecherche
Unepolitiquederecherchepeutnecontenirqueledomainederépertoirelocal,
ledomainederépertoirelocaletunrépertoirepartagéouledomainederépertoire
localetplusieursrépertoirespartagés.
Surunréseaucomportantunrépertoirepartagé,plusieursordinateursaccèdent
généralementaurépertoirepartagé.Cetteorganisationestunestructurearborescente,
lerépertoirepartagéétantsituéausommetetlesrépertoireslocauxsetrouvantenbas.
35

Politiquederecherchedansledomainederépertoirelocal
Lapolitiquederecherchelaplussimplesecomposeuniquementdurépertoirelocal
d’unordinateur.Danscecas,OpenDirectoryrecherchelesdonnéesd’utilisateuret
autresdonnéesadministrativesuniquementdansledomainederépertoirelocalde
chaqueordinateur.
Siunserveurduréseauhébergeunrépertoirepartagé,OpenDirectoryn’yrecherche
pasd’informationsd’utilisateuroudedonnéesadministrativescarlerépertoirepartagénefaitpaspartiedelapolitiquederecherchedel’ordinateur.
L’illustrationquisuitmontredeuxordinateursenréseauquinerecherchentdes
donnéesadministrativesquedansleurdomainederépertoirelocal.
Domaine de
répertoire local
Domaine de
répertoire local
Politique de recherche
1
Ordinateur de la
classe de français
Ordinateur de la
classe de sciences
Politiquesderechercheàdeuxniveaux
Siundesserveursduréseauhébergeunrépertoirepartagé,touslesordinateursdu
réseaupeuventinclurelerépertoirepartagédansleurspolitiquesderecherche.Dans
cecas,OpenDirectoryrecherchelesinformationsd’utilisateuretautresdonnéesadministrativesencommençantparledomainederépertoirelocal.SiOpenDirectoryne
trouvepaslesinformationsdontilabesoindansledomainederépertoirelocal,ilva
lesrechercherdanslerépertoirepartagé.
L’illustrationquisuitmontredeuxordinateursetundomainederépertoirepartagé
surunréseau.Lesordinateurssontconnectésaudomainederépertoirepartagéet
lepossèdentdansleurpolitiquederecherche.
Domaine de
répertoire local
Domaine de
répertoire partagé
Domaine de
répertoire local
Politique de recherche
1
2
Ordinateur de la classe de français
Ordinateur de la classe de sciences
36 Chapitre2PolitiquesderechercheOpenDirectory

Voiciunexempled’utilisationdepolitiquederechercheàdeuxniveaux:
Domaine de
répertoire local
Domaine de
répertoire partagé
Domaine de
répertoire local
Politique de recherche
1
2
Ordinateur de la classe de français
Ordinateur de la classe de sciences
Domaine de
répertoire local
Ordinateur de la classe de maths
Chaqueclasse(français,mathématiques,sciences)possèdesonpropreordinateur.
Lesélèvesdechaqueclassesontdéfinisentantqu’utilisateursdudomainelocalde
l’ordinateurdecetteclasse.Cestroisdomaineslocauxontlemêmedomainepartagé,
danslequeltouslesprofesseurssontdéfinis.
Lesprofesseurs,entantquemembresdudomainepartagé,peuventouvrirunesessionsurn’importequelordinateurdelaclasse.Lesélèvesdechaquedomainelocal
nepeuventouvrirunesessionquesurl’ordinateuroùsetrouveleurcomptelocal.
Alorsquelesdomaineslocauxrésidentchacunsurleursordinateursrespectifs,un
domainepartagérésidesurunserveuraccessibleàpartirdel’ordinateurd’undomaine
local.Lorsqu’unprofesseurouvreunesessionsurn’importequelordinateurdestrois
classesetqu’ilestintrouvabledansledomainelocal,OpenDirectoryrecherchedans
ledomainepartagé.
Chapitre2PolitiquesderechercheOpenDirectory 37

Dansl’exemplequisuit,iln’yqu’unseuldomainepartagé,maisilpeutyenavoirplus
surdesréseauxpluscomplexes.
Domaine
de répertoire
local
Domaine
de répertoire
partagé
Mac OS X Server
de l’école
Ordinateur de la
classe de sciences
Domaine
de répertoire
local
Domaine
de répertoire
local
Domaine
de répertoire
local
Ordinateur de la
classe de français
Ordinateur de la
classe de maths
Politiquesderecherchemultiniveaux
Siplusieursserveursduréseauhébergentunrépertoirepartagé,lesordinateursdu
réseaupeuventinclureplusieursrépertoirespartagésdansleurspolitiquesderecherche.Commedanslespolitiquesderechercheplussimples,OpenDirectoryrecherche
toujourslesinformationsd’utilisateuretautresdonnéesadministrativesencommençantparledomainederépertoirelocal.SiOpenDirectorynetrouvepaslesinformationsdontilabesoindansledomainederépertoirelocal,illesrecherchetouràtour
danschaquerépertoirepartagé,dansl’ordrespécifiéparlapolitiquederecherche.
38 Chapitre2PolitiquesderechercheOpenDirectory

Voiciunexempled’utilisationdeplusieursrépertoirespartagés:
Domaine de
répertoire de maths
Politique de recherche
1
2
3
Domaine de
répertoire de français
Domaine de
répertoire de l’école
Domaine de
répertoire de sciences
Chaqueclasse(français,mathématiques,sciences)possèdeunserveurquihéberge
undomainederépertoirepartagé.Lapolitiquederecherchedechaqueordinateurde
laclassespécifieledomainelocaldecetordinateur,ledomainepartagédelaclasseet
ledomainepartagédel’école.
Lesélèvesdechaqueclassesontdéfinisentantqu’utilisateursdudomainepartagédu
serveurdecetteclasse,cequiautorisechaqueélèveàouvrirunesessionsurtoutordinateurdelaclasse.Commelesprofesseurssontdéfinisdansledomainepartagéduserveurdel’école,ilspeuventouvrirunesessionsurn’importequelordinateurdelaclasse.
Ilestpossibled’affecterlatotalitéd’unréseauoujusteungrouped’ordinateurs,
enchoisissantledomainedanslequelserontdéfinieslesdonnéesadministratives.
Plusleniveaudesdonnéesadministrativesdansunepolitiquederechercheestélevé,
moinsilestnécessairedelesmodifieraufuretàmesuredel’évolutiondesutilisateurs
etdesressourcessystème.
Pourlesadministrateursdeservicesderépertoire,l’aspectleplusimportantestsans
doutelaplanificationdesdomainesderépertoireetdespolitiquesderecherche.Ces
élémentsdoiventrefléterlesressourcesquevoussouhaitezpartager,lesutilisateurs
entrelesquelsvoussouhaitezlespartageretmêmelemodedegestiondevosdonnéesderépertoire.
Chapitre2PolitiquesderechercheOpenDirectory 39

Politiquesderechercheautomatiques
LesordinateursMacOSXpeuventêtreconfiguréspourdéfinirdespolitiquesde
rechercheautomatiquement.Unepolitiquederechercheautomatiquesecompose
detroiséléments,dontl’unestfacultatif:
 Domainederépertoirelocal
 RépertoireLDAPpartagé(facultatif)
Lapolitiquederechercheautomatiqued’unordinateurcommencetoujoursparson
domainederépertoirelocal.Lorsqu’unordinateurMacOSXn’estpasconnectéàun
réseau,ilrecherchelescomptesd’utilisateuretautresdonnéesadministrativesuniquementdanssondomainederépertoirelocal.
Lapolitiquederechercheautomatiquedétermineensuitesil’ordinateurestconfiguré
pourseconnecteràundomainederépertoirelocalpartagé.L’ordinateurpeutêtre
connectéàundomainederépertoirelocalpartagé,qui,àsontour,peutêtreconnecté
àunautredomainederépertoirelocalpartagé,etainsidesuite.
Undomainederépertoirelocalestlasecondepartiedelapolitiquederecherche
automatique.Pourensavoirplus,consultezlarubrique«Àproposdudomainede
répertoirelocal»àlapage29.
Enfin,unordinateurpossédantunepolitiquederechercheautomatiquepeutse
connecteràunrépertoireLDAPpartagé.Lorsquel’ordinateurdémarre,ilpeutobtenir
l’adressed’unserveurderépertoireLDAPàpartird’unserviceDHCP.LeserviceDHCP
deMacOSXServerpeutfourniruneadressedeserveurLDAPdelamêmefaçonqu’il
fournitlesadressesdeserveursDNSetd’unrouteur.
(UnserviceDHCPnonApplepeutaussifournirl’adressed’unserveurLDAP.
CettefonctionnalitéestconnuedansDHCPsouslenomd’option95.)
SivousvoulezqueserviceDHCPdeMacOSXServerfournissel’adressed’unserveur
LDAPauxclientspourlespolitiquesderechercheautomatiques,configurezlesoptions
LDAPduserviceDHCP.Pourensavoirplus,consultezlechapitreconsacréàDHCPdans
Administrationdesservicesréseau.
Pourqu’unordinateurMacOSXobtiennel’adressed’unserveurLDAPàpartirdu
serviceDHCP:
 L’ordinateurdoitêtreconfigurépourutiliserunepolitiquederechercheautomatique.Celainclutl’activationdel’optionpermettantd’ajouterdesrépertoiresLDAP
fournisparleDHCP.Pourensavoirplus,consultezlesrubriques«Utilisationdes
réglagesavancésdesrèglesderecherche»àlapage150et«Activationoudésactivationd’unrépertoireLDAPfourniviaDHCP»àlapage158.
 Lespréférencesréseaudel’ordinateurdoiventêtreconfiguréespourutiliserDHCPou
DHCPavecuneadresseIPmanuelle.MacOSXestinitialementconfigurépourutiliser
DHCP.Pourensavoirplussurlesréglagesdespréférencesréseau,consultezl’AideMac.
40 Chapitre2PolitiquesderechercheOpenDirectory

Unepolitiquederechercheautomatiqueoffreconfortetsouplesse,particulièrement
pourlesordinateursportables.Lorsqu’unordinateurdotéd’unepolitiquederecherche
automatiqueestdéconnectéduréseau,connectéàunautreréseauouplacésurun
autresous-réseau,lapolitiquederechercheautomatiquepeutchanger.
Sil’ordinateurestdéconnectéduréseau,ilutilisesondomainederépertoirelocal.
Sil’ordinateurestconnectéàunréseauousous-réseaudifférent,ilpeutchangerautomatiquementsaconnexiondedomainederépertoirelocaletobteniruneadressede
serveurLDAPàpartirduserviceDHCPdusous-réseaucourant.
Avecunepolitiquederechercheautomatique,iln’estpasnécessairedereconfigurerun
ordinateurafinqu’ilpuisseobtenirlesservicesderépertoiresetd’authentificationdans
sonnouvelemplacement.
Important:sivousconfigurezMacOSXpourqu’ilutiliseunepolitiquederecherche
automatiqued’authentificationetunserveurLDAPfourniparDHCPouundomainede
répertoirelocalfourniparDHCP,vousaugmenterezlerisquedevoirunattaquantprendrelecontrôledevotreordinateur.Lerisqueestencoreplusélevésivotreordinateurest
configurépourseconnecteràréseauunsansfil.Pourensavoirplus,consultezlarubrique
«ProtectiondesordinateurscontreunserveurDHCPmalveillant»àlapage154.
Politiquesderecherchepersonnalisées
Sivousnevoulezpasqu’unordinateurMacOSXutiliselapolitiquederecherche
automatiquefournieparDHCP,vouspouvezdéfinirunepolitiquederecherche
personnaliséepourcetordinateur.
Parexemple,unepolitiquederecherchepersonnaliséepourraitspécifierqu’ilfaut
rechercherdansundomaineActiveDirectoryavantderechercherdansundomainede
répertoired’unserveurOpenDirectory.Lesutilisateurspeuventconfigurerleursordinateurspourouvrirunesessionàl’aidedeleursenregistrementsd’utilisateurprovenant
dudomaineActiveDirectoryetd’avoirleurspréférencesgéréespargroupeetdes
fichesd’ordinateurprovenantdudomaineOpenDirectory.
Unepolitiquederecherchepersonnaliséenefonctionnegénéralementpasdansplusieursemplacementsderéseau,nilorsquel’ordinateurn’estpasconnectéàunréseau,
carellesebasesurladisponibilitédedomainesderépertoirespécifiquessurunréseau
enparticulier.
Siunordinateurportableestdéconnectédesonréseauhabituel,iln’aplusaccèsaux
domainesderépertoirepartagésdesaproprepolitiquederecherchepersonnalisée.
L’ordinateurdéconnectéatoutefoistoujoursaccèsàsonpropredomainederépertoire
localcarcedernierestlepremierdomainederépertoiredanstouteslespolitiquesde
recherche.
Chapitre2PolitiquesderechercheOpenDirectory 41

L’utilisateurdel’ordinateurportablepeutouvrirunesessionàl’aided’unenregistrementd’utilisateurdudomainederépertoirelocal,quipeutcontenirdescomptes
d’utilisateurmobiles.Ceux-cimettentenmiroirlescomptesd’utilisateurprovenant
dudomainederépertoirepartagéauquell’ordinateurportableaccèdelorsqu’ilest
connectéàsonréseauhabituel.
Politiquesderecherched’authentificationetdecontacts
UnordinateurMacOSXpossèdeunepolitiquederecherchepourtrouverdesinformationsd’authentificationetuneautrepolitiquederecherchepourtrouverdesinformationsdecontacts.
 OpenDirectoryutiliselapolitiquederecherched’authentificationpourlocaliseret
récupérerlesdonnéesd’authentificationd’utilisateuretd’autresdonnéesadministrativesàpartirdesdomainesderépertoire.
 Ilutiliselapolitiquederecherchedecontactspourlocaliseretrécupérerlesnoms,
adressesetautresinformationsdecontactàpartirdesdomainesderépertoire.
LeCarnetd’adressesdeMacOSXutilisecesinformationsdecontact.D’autres
applicationspeuventêtreprogramméespourlesexploiter.
Chaquepolitiquederecherchepeutêtreautomatique,personnaliséeous’exercersur
ledomaineexclusivement.
42 Chapitre2PolitiquesderechercheOpenDirectory

3 AuthentificationOpenDirectory
3
OpenDirectoryoffreplusieursoptionsd’authentification
desutilisateursdontlescomptessontstockésdansdes
domainesderépertoiredeMacOSXServer,ycompris
Kerberosetlesméthodesd’authentificationtraditionnelles
requisesparlesservicesderéseau.
OpenDirectorypeutauthentifierlesutilisateursselonl’unedesméthodessuivantes:
 AuthentificationKerberospourlasignatureunique
 Méthodesd’authentificationtraditionnellesetmotdepassestockédefaçonsécurisée
danslabasededonnéesduserveurdemotsdepasseOpenDirectory
 Méthodesd’authentificationtraditionnellesetmotdepasseshadowstockédansun
fichierdemotsdepassesécurisépourchaqueutilisateur
 Motdepassecryptéstockédirectementdanslecomptedel’utilisateur,pourune
compatibilitédescendanteaveclessystèmeshérités
 ServeurLDAPnonApplepouruneauthentificationparliaisonLDAP
Deplus,OpenDirectorypermetdeconfigurerunepolitiquedemotdepassepourtous
lesutilisateursetlespolitiquesdemotdepassespécifiquespourchacundesutilisateurs,tellesquel’arrivéeàexpirationautomatiqueetlalongueurminimaledesmots
depasse.(Lespolitiquesdemotdepassenes’appliquentniauxadministrateurs,nià
l’authentificationparmotdepassecrypté,niàl’authentificationparliaisonLDAP).
43

Typesdemotsdepasse
Chaquecompted’utilisateurauntypedemotdepassequidéterminelafaçondont
lecompted’utilisateurestauthentifié.Dansundomainederépertoirelocal,letype
demotdepassepardéfautestlemotdepasseshadow.Surunserveurmisàniveau
àpartirdeMacOSXServer10.3,lescomptesd’utilisateurdudomainederépertoire
localpeuventaussidisposerd’unmotdepassedetypeOpenDirectory.
Pourlescomptesd’utilisateurdurépertoireLDAPdeMacOSXServer,letypedemot
depassepardéfautestletypeOpenDirectory.Lescomptesd’utilisateurdurépertoire
LDAPpeuventaussidisposerd’unmotdepassedetypemotdepassecrypté.
Authentificationetautorisation
Lesservicestelsquelafenêtred’ouverturedesessionetleservicedefichiersApple
nécessitentuneauthentificationdel’utilisateuràpartird’OpenDirectory.L’authentificationfaitpartieduprocessusparlequelunservicedétermines’ildoitaccorderàun
utilisateurl’accèsàuneressource.Généralement,ceprocessusnécessiteégalement
uneautorisation.
Lorsquevousutilisezunecartedecrédit,vousfaitesl’expériencedeprocessus
d’authentificationetd’autorisation.Lecommerçantvousidentifie(authentification)
encomparantvotresignaturesurlafactureaveccellequifigureaudosdevotrecarte
decrédit.Ilsoumetalorsvotrenumérodecartedecréditàlabanquequiautorise
lepaiementenfonctiondusoldedevotrecompteetd’unelimitedecréditautorisé.
OpenDirectoryauthentifielescomptesd’utilisateuretleslistesdecontrôled’accès
deservice(SACL:"serviceaccesscontrollist")autorisentl’utilisationdeservices.
SiOpenDirectoryvousauthentifie,lalisteSACLdelafenêtred’ouverturedesession
déterminesivouspouvezouvrirunesession,lalisteSACLduserviceAppleFiling
Protocol(AFP)déterminesivouspouvezvousconnecterauservicedefichiersApple,
etainsidesuite.
L’authentificationprouvel’identitédel’utilisateur,tandisquel’autorisationdétermine
cequel’utilisateurauthentifiéaledroitdefaire.Unutilisateurs’authentifiegénéralementenfournissantunnometunmotdepassevalides.Unservicepeutalorsautoriserl’utilisateurauthentifiéàaccéderàdesressourcesspécifiques.Exemple:leservice
defichiersautorisel’accèstotalauxdossiersetauxfichiersqu’unutilisateurauthentifiépossède.
Certainsservicesdéterminentaussisiunutilisateurestautoriséàaccéderàdesressourcesparticulières.Cetteautorisationpeutnécessiterl’extractiond’informationsde
compted’utilisateursupplémentairesàpartirdudomainederépertoire.Parexemple,
leserviceAFPabesoindel’identifiantd’utilisateuretd’informationssurl’adhésionde
groupepourdéterminerlesdossiersetlesfichiersquel’utilisateurestautoriséàlireet
àécrire.
44 Chapitre3AuthentificationOpenDirectory

MotsdepasseOpenDirectory
Lorsqu’uncompted’utilisateurdisposed’untypedemotdepassed’OpenDirectory,
l’utilisateurpeutêtreauthentifiéviaKerberosouvialeserveurdemotsdepasseOpen
Directory.Kerberosestunsystèmed’authentificationréseauquiutilisedesinformationsd’authentificationémisesparunserveursécurisé.Leserveurdemotsdepasse
OpenDirectoryprendenchargelesméthodesd’authentificationdemotsdepasse
traditionnellesquecertainsclientsdeservicesderéseaurequièrent.
NiKerberosnileserveurdemotsdepasseOpenDirectorynestockentlemotdepasse
danslecompted’utilisateur.TantKerberosqueleserveurdemotsdepasseOpen
Directorystockentlesmotsdepassedansdesbasesdedonnéessécuriséesendehors
dudomainederépertoireetlesmotsdepassenesontjamaislus.Lesmotsdepassene
peuventêtrequedéfinisetvérifiés.
Desutilisateursmalveillantspeuventtenterd’ouvrirunesessionvialeréseaudansl’espoir
d’accéderàKerberosetauserveurdemotsdepasseOpenDirectory.L’examendeshistoriquesd’OpenDirectorypermetdedétectercestentativesd’accèsinfructueuses(consultezlarubrique«AffichagedesétatsetdeshistoriquesOpenDirectory»àlapage211).
Lescomptesd’utilisateurdanslesdomainesderépertoiresuivantspeuventdisposerde
motsdepasseOpenDirectory:
 LerépertoireLDAPdeMacOSXServer
 LedomainederépertoirelocaldeMacOSXServer
Remarque:lesmotsdepasseOpenDirectorynepeuventpasêtreutiliséspourouvrir
unesessiondansMacOSXversion10.1ouantérieure.Lesutilisateursquidoiventouvrir
unesessionàl’aidedelafenêtred’ouverturedesessiondeMacOSX10.1ouantérieur
doiventêtreconfiguréspourutiliserdesmotsdepassecryptés.Letypedemotde
passen’apasd’importancepourlesautresservices.Parexemple,unutilisateurde
MacOSX10.1pourraits’authentifierauprèsduservicedefichiersAppleàl’aided’un
motdepasseOpenDirectory.
Motsdepasseshadow
Lesmotsdepasseshadowprennentenchargelesmêmesméthodesd’authentificationtraditionnellesqueleserveurdemotsdepasseOpenDirectory.Cesméthodes
d’authentificationsontutiliséespourenvoyerdesmotsdepasseshadowvialeréseau
sousuneformebrouillée,ouhachage.
Unmotdepasseshadoweststockésousformedeplusieurscondensésdansunfichier
situésurlemêmeordinateurqueledomainederépertoireaccueillantlecompted’utilisateur.Étantdonnéquelemotdepassen’estpasstockédanslecompted’utilisateur,
sacapturevialeréseaus’avèredifficile.Chaquemotdepasseshadowd’utilisateurest
stockédansunfichierdifférent,dénomméfichierdemotsdepasseshadow.Seulle
compted’utilisateurracineestautoriséàlirecesfichiers.
Chapitre3AuthentificationOpenDirectory 45

Seulslescomptesd’utilisateurquisontstockésdansledomainederépertoirelocal
d’unordinateurpeuventdisposerd’unmotdepasseshadow.Lescomptesd’utilisateur
quisontstockésdansunrépertoirepartagénepeuventenbénéficier.
Lesmotsdepasseshadowfournissentégalementuneauthentificationcachée
pourlescomptesd’utilisateurmobiles.Pourobtenirdesinformationscomplètes
surlescomptesd’utilisateurmobiles,consultezGestiondesutilisateurs.
Motsdepassecryptés
Unmotdepassecryptéeststockédansuncondensénumériquedanslecompted’utilisateur.Cettestratégie,historiquementappeléeauthentificationdebase,estprincipalementcompatibleavecleslogicielsquinécessitentunaccèsdirectauxenregistrements
d’utilisateur.Parexemple,MacOSX10.1ouantérieurs’attendàtrouverunmotde
passecryptéstockédanslecompted’utilisateur.
L’authentificationcryptéeneprendenchargequelesmotsdepassed’unelongueur
maximaledehuitoctets(huitcaractèresASCII).Siunmotdepassepluslongestsaisi
danslecompted’unutilisateur,seulsleshuitpremiersoctetssontutiliséspourlavalidationdumotdepassecrypté.LesmotsdepasseshadowetOpenDirectorynesont
passoumisàcettelimitedelongueur.
Pourunetransmissionsécuriséedesmotsdepasseviaunréseau,lesmotsdepasse
cryptéspeuventfonctionneraveclaméthoded’authentificationDHX.
Fournitured’authentificationsécuriséeauxutilisateursWindows
MacOSXServeroffreaussilesmêmestypesdemotsdepassesécurisésauxutilisateursWindows:
 LesmotsdepasseOpenDirectorysontnécessairespourl’ouverturedesessionde
domaineàpartird’unestationdetravailWindowsversuncontrôleurdedomaine
principalMacOSXServeretpeuventêtreutiliséspourl’authentificationauprèsdu
servicedefichiersWindows.Cetypedemotdepassepeutêtrevalidéàl’aidede
plusieursméthodesd’authentification,ycomprisNTLMv2,NTLMv1etLANManager.
LesmotsdepasseOpenDirectorysontstockésdansunebasededonnéessécurisée,
pasdanslescomptesd’utilisateur.
 Lesmotsdepasseshadownepeuventpasêtreutiliséspourl’ouverturedesession
dedomainemaisilspeuventêtreutiliséspourleservicedefichiersWindowset
d’autresservices.Cetypedemotdepassepeutaussiêtrevalidéàl’aidedesméthodesd’authentificationNTLMv2,NTLMv1etLANManager.Lesmotsdepasseshadow
sontstockésdansdesfichierssécurisés,etnonpasdanslescomptesd’utilisateur.
 UnmotdepassecryptéavecleGestionnaired’authentificationactivéfournitlacompatibilitépourlescomptesd’utilisateursurunserveurquiaétémisàniveauàpartir
deMacOSXServer10.1.AprèslamiseàniveauduserveurversMacOSXServer10.5,
cescomptesd’utilisateurdoiventêtremodifiésdefaçonàutiliserdesmotsdepasse
OpenDirectory,quisontplussûrsqueleGestionnaired’authentificationhérité.
46 Chapitre3AuthentificationOpenDirectory

Attaqueshorslignesurdesmotsdepasse
Dufaitquelesmotsdepassecryptéssontstockésdirectementdanslescomptes
d’utilisateur,ilssontsusceptiblesd’êtrepiratés.
Lescomptesd’utilisateurquisetrouventdansundomainederépertoirepartagésont
accessiblessurleréseau.ToutepersonneconnectéeauréseauetdisposantdeGestionnairedegroupedetravailousachantutiliserlesoutilsàlignesdecommandespeutlirele
contenudescomptesd’utilisateur,ycomprislesmotsdepassecryptésquiysontstockés.
LesmotsdepasseOpenDirectoryetlesmotsdepasseshadownesontpasstockés
danslescomptesd’utilisateur;ilsnepeuventdoncpasêtrelusàpartirdesdomaines
derépertoire.
UnattaquantmalveillantouunpirateinformatiquepourraitutiliserGestionnairede
groupedetravailoudescommandesUNIXpourcopierdesenregistrementsd’utilisateurdansunfichier.Lepiratepeutensuitetransférercefichierversunautresystèmeet
utiliserdifférentestechniquespourdécoderlesmotsdepassecryptésstockésdansles
enregistrementsd’utilisateur.Aprèsavoirdécodéunmotdepassecrypté,lepiratepeut
ouvrirunesessionincognitoavecunnomd’utilisateuretunmotdepassecryptévalides.
Aveccetyped’attaque«horsligne»,iln’estpasnécessaired’effectuerplusieurstentativesd’ouverturedesessionsuccessivespouraccéderàunsystème.
Unefaçonefficacedeluttercontrelepiratagedemotsdepasseconsisteàutiliserde
bonsmotsdepasseetd’éviterd’utiliserdesmotsdepassecryptés.Lesmotsdepasse
doiventcontenirdeslettres,deschiffresetdessymbolesetformerdescombinaisons
difficilesàdevinerparlesutilisateursnonautorisés.
Ilsnedoiventpasêtreconstituésdemotsexistants.Ilspeuventcontenirdeschiffres
etdessymboles(comme,parexemple,#ou$)ouêtrecomposésdelapremièrelettredetouslesmotsd’unephrase.Utilisezunecombinaisondelettresminusculeset
majuscules.
LesmotsdepasseshadowetlesmotsdepasseOpenDirectorysontbeaucoup
moinssujetsàl’attaquehorslignecarilsnesontpasstockésdanslesenregistrementsd’utilisateur.
Lesmotsdepasseshadowsontstockésdansdesfichiersséparés,uniquementlisiblesparunepersonnequiconnaîtlemotdepasseducomptedel’utilisateurracine
(appeléaussiadministrateursystème).
LesmotsdepasseOpenDirectorysontenregistrésdemanièresûredanslecentrede
distributiondeclésKerberosetdanslabasededonnéesduserveurdemotsdepasse
OpenDirectory.LemotdepasseOpenDirectoryd’unutilisateurnepeutêtrelupar
d’autresutilisateurs,pasmêmeparunutilisateurdisposantd’autorisationsd’administrateurpourl’authentificationOpenDirectory.(Cetadministrateurnepeutchanger
quelesmotsdepasseOpenDirectoryetlespolitiquesdemotdepasse.)
Chapitre3AuthentificationOpenDirectory 47

Lesmotsdepassecryptésnesontpasconsidéréscommesécurisés.Ilestrecommandé
denelesutiliserquepourlescomptesd’utilisateurquidoiventêtrecompatiblesavec
desclientsUNIXquilesrequièrentoupourdesclientssousMacOSX10.1.Commeils
sontstockésdanslescomptesd’utilisateur,ilssontaussiaccessiblesetsusceptibles
d’êtrelacibled’attaqueshorsligne(consultezlarubrique«Attaqueshorslignesurdes
motsdepasse»).Bienquestockéssousuneformeencodée,ilssontrelativementfacilesàdécoder.
Commentlesmotsdepassecryptéssontcryptés
Lesmotsdepassecryptésnesontpasstockésenclair;ilssontdissimulésetrendus
illisiblesparlecryptage.Leprocédédecryptaged’unmotdepassecryptéconsisteà
introduirelemotdepasseenclairetunnombrealéatoiredansunefonctionmathématique(appeléefonctiondehachageunidirectionnelle).Unefonctiondehachageunidirectionnellegénèretoujourslamêmevaleurcryptéeàpartirdedonnéesenentrée
spécifiques,maisnepeutêtreutiliséepourrecréerlemotdepasseoriginalàpartir
desdonnéesensortiecryptéesqu’ellegénère.
Pourvaliderunmotdepasseàl’aidedelavaleurcryptée,MacOSXappliquelafonctionaumotdepassetapéparl’utilisateuretlacompareàlavaleurstockéedansle
compted’utilisateuroulefichiershadow.Silesvaleurssecorrespondent,lemotde
passeestconsidérévalide.
Déterminationdel’optiond’authentificationàutiliser
Pourauthentifierunutilisateur,OpenDirectorydoitd’aborddéterminerl’option
d’authentificationàutiliser:Kerberos,leserveurdemotsdepasseOpenDirectory,
lemotdepasseshadowoulemotdepassecrypté.Lecomptedel’utilisateurcontient
lesinformationsspécifiantl’optiond’authentificationàutiliser.Cesinformations
portentlenomd’attributd’autoritéd’authentification.
OpenDirectorysesertdunomfourniparl’utilisateurpourtrouverlecomptedel’utilisateurdansledomainederépertoire.OpenDirectoryconsultealorsl’attributd’autoritéd’authentificationprésentdanslecomptedel’utilisateurpourconnaîtrel’option
d’authentificationàappliquer.
48 Chapitre3AuthentificationOpenDirectory

Vouspouvezchangerl’attributd’autoritéd’authentificationd’unutilisateurenchangeantletypedemotdepassedanslasous-fenêtreAvancédeGestionnairedegroupe
detravail,commeillustrédansletableauquisuit.Pourensavoirplus,reportez-vousà
larubrique«Modificationdutypedemotdepassed’unutilisateur»àlapage125.
Typedemotdepasse
OpenDirectory
Motdepasseshadow
Motdepassecrypté
Autoritéd’authentification
ServeurdemotsdepasseOpen
DirectoryetKerberos 1
Fichierdemotsdepassedechaqueutilisateur,lisibleuniquementparlecompted’utilisateur
root
Motdepasseencodédans
l’enregistrementd’utilisateur
Attributdansl’enregistrement
d’utilisateur
L’unoul’autre,oulesdeux:
 ;ApplePasswordServer;
 ;Kerberosv5;
L’unoul’autre:
L’unoul’autre:
 ;basic;
 pasd’attributdutout
 ;ShadowHash; 2
 ;ShadowHash;
1Lescomptesd’utilisateurdeMacOSXServer10.2doiventêtreréinitialiséspourqu’ilscontiennentl’attributd’autoritéd’authentificationKerberos.Consultezlarubrique«Activationdel’authentificationKerberosparsignature
uniquepourunutilisateurȈlapage129.
2Sil’attributquifiguredansl’enregistrementd’utilisateurest;ShadowHash;sanslistedeméthodesd’authentificationactivées,cesontlesméthodesd’authentificationpardéfautquisontactivées.Lalistedesméthodesd’authentificationpardéfautestdifférentepourMacOSXServeretMacOSX.
L’attributd’autoritéd’authentificationpeutspécifierplusieursoptionsd’authentification.Parexemple,uncompted’utilisateuravecunmotdepassedetypeOpenDirectorypossèdenormalementunattributd’autoritéd’authentificationquispécifietant
KerberosqueleserveurdemotsdepasseOpenDirectory.
Uncompted’utilisateurnedoitpasnécessairementcontenirunattributd’autorité
d’authentification.Danscecas,MacOSXServersupposequ’unmotdepassecrypté
estenregistrédanslecompted’utilisateur.Parexemple,lescomptesd’utilisateurcréés
àl’aidedelaversion10.1ouantérieuredeMacOSXcontiennentunmotdepasse
cryptémaispasd’attributd’autoritéd’authentification.
Chapitre3AuthentificationOpenDirectory 49

Politiquesdemotdepasse
OpenDirectoryappliquelespolitiquesdemotdepassepourlesutilisateursdontle
typedemotdepasseestOpenDirectoryouMotdepasseShadow.Unepolitiquede
motdepassed’utilisateurpeut,parexemple,spécifierundélaid’expirationdumotde
passe.Si,aumomentoùl’utilisateurouvreunesession,OpenDirectoryconstateque
lemotdepasseaexpiré,l’utilisateurdevraremplacercemotdepasse.OpenDirectory
pourraalorsauthentifierl’utilisateur.
Lespolitiquesdemotdepassepeuventdésactiveruncompted’utilisateuràunedate
donnée,aprèsuncertainnombredejours,aprèsunepérioded’inactivitéouaprèsun
certainnombredetentativesd’ouverturedesessioninfructueuses.Ellespeuventaussi
exigerquelemotdepassesoitcomposéauminimumd’uncertainnombredecaractères,qu’ilcontienneaumoinsunelettreouunchiffre,qu’ilsoitdifférentdunomd’utilisateur,qu’ildiffèredesmotsdepasseprécédemmentchoisisouqu’ilsoitmodifié
régulièrement.
Lapolitiquedemotdepassepouruncompted’utilisateurmobileestd’application
lorsquelecompteestutiliséaussibienlorsqu’ilestdéconnectéduréseauquelorsqu’il
estconnectéauréseau.Lapolitiquedemotdepassed’uncompted’utilisateurmobile
estmiseenmémoirecachepoursonutilisationhorsligne.Pourensavoirplussurles
comptesd’utilisateurmobiles,consultezGestiondesutilisateurs.
Lespolitiquesdemotdepassen’affectentpaslescomptesd’administrateur.Lesadministrateurssontexclusdespolitiquesdemotdepassecarilspeuventmodifiercespolitiquescommeilslesouhaitent.Deplus,appliquerdespolitiquesdemotdepasseàdes
administrateurspourraitenfairelacibled’attaquespardénideservice.
KerberosetleserveurdemotsdepasseOpenDirectorymaintiennentdespolitiquesde
motdepasseséparées.UnserveurOpenDirectorysynchroniselesrèglesdepolitique
demotdepasseKerberosaveclesrèglesdepolitiquedemotdepasseduserveurde
motsdepasseOpenDirectory.
50 Chapitre3AuthentificationOpenDirectory

Authentificationparsignatureunique
MacOSXServerutiliseKerberospourl’authentificationparsignatureunique,cequipermetauxutilisateursdenepasdevoirtaperunnomd’utilisateuretunmotdepassedifférentspourchacundesservices.Aveclasignatureunique,unutilisateurtapetoujours
unnomd’utilisateuretunmotdepassedanslafenêtred’ouverturedesession.Par
contre,unefoislasessionouverte,ilnedoitplussaisirdenomd’utilisateurnidemot
depassepouraccéderauservicedefichiersApple,auservicedemessagerieniaux
autresservicesquiutilisentl’authentificationKerberos.
Pourpouvoirbénéficierdelasignatureunique,lesutilisateursetlesservicesdoivent
êtreKerberisés,c’est-à-direconfiguréspourl’authentificationparKerberos,etutiliser
lemêmeserveurdecentrededistributiondeclésKerberos.
CecentrededistributiondeclésMacOSXServerpeutaussiauthentifierlesutilisateurs
pourlesservicesfournispard’autresserveurs.Pourquedesserveurssupplémentaires
sousMacOSXServerutilisentlecentrededistributiondeclésdeMacOSXServer,
trèspeudeconfigurationestnécessaire.
AuthentificationKerberos
Kerberosestunprotocoled’authentificationenréseaudéveloppéparleMITenvue
defourniruneauthentificationetdescommunicationssûresenréseauxouverts,
telsqu’Internet.Ilportelenomduchienàtroistêtesquigardaitl’accèsaumonde
souterraindanslamythologiegrecque.
Kerberosfournitdespreuvesd’identitéauxdeuxparties.Ilvouspermetdeprouver
quivousêtesauprèsdesservicesréseauquevousvoulezutiliser.Ilprouveaussiàvos
applicationsquelesservicesréseausontauthentiquesetn’ontpasfaitl’objetd’une
opérationdespoofing(mystification).
Lescomptesd’utilisateurquirésidentdansunrépertoireLDAPdeMacOSXServeret
quipossèdentunmotdepassedetypeOpenDirectoryutilisentlecentrededistributiondeclésintégréduserveur.Cescomptesd’utilisateursontconfigurésautomatiquementpourKerberosetlasignatureunique.Lesserviceskerbérisésduserveurutilisent
égalementlecentrededistributiondeclésintégréduserveuretsontconfigurésautomatiquementpourlasignatureunique.
Commed’autressystèmesd’authentification,Kerberosnefournittoutefoispasd’autorisation.Chaqueserviceréseaudéterminecequevouspouvezfaireenfonctionde
l’identitéquevousavezprouvée.
Chapitre3AuthentificationOpenDirectory 51

Kerberospermetàunclientetàunserveurdes’identifiermutuellementdefaçonnettementplussûrequelesméthodesd’authentificationparmotdepasseetparquestion-réponsetraditionnelles.Kerberosfournitaussiunenvironnementàsignature
uniquedanslequellesutilisateursnedoivents’authentifierqu’unefoisparjour,
parsemaineouparpériode,cequiallègelafréquencedesauthentifications.
MacOSXServeroffreunepriseenchargeintégréedeKerberosquevraimenttoutle
mondepeutdéployer.Enfait,ledéploiementdeKerberosestàcepointautomatique
quelesutilisateursetlesadministrateursneremarquerontpeut-êtremêmepasqu’ilest
déployé.
MacOSX10.3etultérieurutiliseKerberosautomatiquementlorsqu’unutilisateurouvre
unesessionàl’aided’uncompteconfigurépourl’authentificationparOpenDirectory.
Ils’agitduréglagepardéfautpourlescomptesd’utilisateurdanslerépertoireLDAP
deMacOSXServer.D’autresservicesfournisparleserveurderépertoireLDAPcomme,
parexemple,lesservicesAFPetceuxdecourrierélectronique,utilisentaussiKerberos
automatiquement.
Sivotreréseaucomported’autresserveurssousMacOSXServer10.5,ilestaiséde
lesjoindreauserveurKerberos;laplupartdeleursservicesutilisentalorsKerberos
automatiquement.
D’unautrecôté,sivotreréseaudisposed’unsystèmeKerberoscomme,parexemple,
MicrosoftActiveDirectory,vouspouvezconfigurervosordinateursMacOSXServeret
MacOSXpourqu’ilsl’utilisentpourl’authentification.
52 Chapitre3AuthentificationOpenDirectory

MacOSXServeretMacOSX10.3ouultérieurprennentenchargeKerberos5.
MacOSXServeretMacOSX10.5neprennentpasenchargeKerberos4.
SurmonterlesobstaclesdudéploiementdeKerberos
Jusqu’ilyapeu,Kerberosétaitunetechnologiedestinéeauxuniversitésetauxsites
gouvernementaux.Iln’étaitpasutiliséàplusgrandeéchelleparcequecertainsobstaclesenmatièred’adoptiondevaitêtrelevés.
MacOSXetMacOSXServer10.3ouultérieuréliminentlesobstacleshistoriques
suivantsàl’adoptiondeKerberos:
 UnadministrateurdevaitconfigureruncentrededistributiondeclésKerberos.
C’étaitdifficileàdéployeretàadministrer.
 Iln’yavaitpasd’intégrationstandardavecunsystèmederépertoire.Kerberosne
faitquedel’authentification.Ilnestockepasdedonnéesdecompted’utilisateur
comme,parexemple,l’identifiantd’utilisateur(UID),l’emplacementdudossierde
départoul’appartenanceàungroupe.L’administrateurdevaitarriveràcomprendrecommentintégrerKerberosàunsystèmederépertoire.
 TouslesserveursdevaientêtreinscritsaucentrededistributiondeclésKerberos.
Celaajoutaituneétapesupplémentaireauprocessusdeconfigurationduserveur.
 AprèsavoirconfiguréunserveurKerberos,l’administrateurdevaitserendresur
touslesordinateursclientsetlesconfigurerunàunpourl’utilisationdeKerberos.
Celaprenaitbeaucoupdetempsetnécessitaitlamodificationdefichiersdeconfigurationetl’utilisationd’outilsdelignedecommande.
 Ilfallaitdisposerd’unesuited’applicationskerbérisées(logicielsserveuretclient).
Certainesdesapplicationsdebaseétaientdisponibles,maislesporteretlesadapterpourqu’ellesfonctionnentdansvotreenvironnementn’étaitpaschoseaisée.
 Touslesprotocolesderéseauutiliséspourl’authentificationclient-serveurneprennentpasenchargeKerberos.Certainsprotocolesderéseaunécessitenttoujoursdes
méthodesd’authentificationdéfi-réponsetraditionnellesetiln’yapasdefaçonstandardd’intégrerKerberosàcesméthodesd’authentificationréseaupatrimoniales.
 LeclientKerberosprendenchargelebasculementdesorteque,siuncentrede
distributiondeclésesthorsligne,ilpeututiliseruneréplique,maisl’administrateur
devaitarriveràcomprendrecommentconfigurerunerépliqueKerberos.
 Lesoutilsd’administrationn’ontjamaisétéintégrés.Lesoutilspourlacréationet
lamodificationdecomptesd’utilisateurdansledomainederépertoirenesavaient
riendeKerberosetlesoutilsKerberosnesavaientriendescomptesd’utilisateur
danslesrépertoires.Configurerunenregistrementd’utilisateurétaituneopération
spécifiqueausite,quidépendaitdelafaçondontlecentrededistributiondeclés
étaitintégréausystèmederépertoire.
Chapitre3AuthentificationOpenDirectory 53

Expérienceenmatièredesignatureunique
Kerberosestunsystèmed’informationsd’authentificationouunsystèmeàbasede
tickets.L’utilisateurouvreunesessionsurlesystèmeKerberosetreçoitunticketavec
unecertaineduréedevie.Pendantladuréedeviedeceticket,l’utilisateurnedoit
jamaisseréauthentifierpouraccéderàunservicekerbérisé.
Lelogicielclientkerbérisédel’utilisateur,comme,parexemple,l’applicationMailde
MacOSX,présenteunticketKerberosvalidepourauthentifierl’utilisateurpourun
servicekerbérisé.C’estcelalasignatureunique.
UnticketKerberos,c’estcommeunecartedepressepourunfestivaldejazzquise
tientdansdifférentesboîtesdenuitsurtroisjours.Vousdevezprouvervotreidentité
unefoispourobtenirlacartedepresse.Jusqu’àsonexpiration,ilsuffitdelamontrer
àunedesboîtesdenuitpourobtenirunticketpourunspectacle.Touteslesboîtesde
nuitparticipantesacceptentvotrecartedepressesansvousdemanderdeprouverà
nouveauvotreidentité.
Authentificationsécurisée
IntrinsèquementInternetn’estpassécuriséetpeudeprotocolesd’authentification
fournissentunevéritablesécurité.Lespiratesinformatiquespeuventutiliserdesoutils
logicielstoutprêtspourintercepterlesmotsdepassequitransitentparunréseau.
Denombreusesapplicationsenvoient,eneffet,lesmotsdepasseenclair.Cesderniers
sontprêtsàl’emploidèsqu’ilssontinterceptés.Mêmelesmotsdepassecryptésne
sontpastoutàfaitsûrs.S’ildisposedetempsetdepuissancedecalcul,unpiratepeut
aussicraquerlesmotsdepassecryptés.
Pourisolerlesmotsdepassesurvotreréseauprivé,vouspouvezutiliseruncoupe-feu,
maiscelanerésoutpastouslesproblèmes.Parexemple,uncoupe-feuneprotègepas
contrelesinitiésmécontentsoumalveillants.
Kerberosaétéconçupoursolutionnerlesproblèmesdesécuritéderéseau.Ilnetransmetjamaislemotdepassedel’utilisateursurleréseaunin’enregistrelemotdepasse
danslamémoireousurledisquedel’ordinateurdel’utilisateur.Decettefaçon,même
silesinformationsd’authentificationKerberossontcraquéesoucompromises,l’attaquantneconnaîtrapaslemotdepasseoriginaletnepourra,lecaséchéant,compromettrequ’unepetitepartieduréseauetnonl’ensembleduréseau.
Enplusd’unegestiondesmotsdepasseplusefficace,Kerberosprocèdeaussià
uneauthentificationmutuelle.Leclients’authentifieauprèsduserviceetleservice
s’authentifieauprèsduclient.Uneattaque"man-in-the-middle"oudemystification
estimpossiblelorsquevousutilisezdesserviceskerbérisés.Lesutilisateurspeuvent
doncfaireconfianceauxservicesauxquelsilsaccèdent.
54 Chapitre3AuthentificationOpenDirectory

Prêtàallerau-delàdesmotsdepasse
L’authentificationréseauestdifficile:pourdéployeruneméthoded’authentification
réseau,leclientetleserveurdoiventsemettred’accordsurlaméthoded’authentification.Etbienqu’ilsoitpossiblepourn’importequelsprocessusclient-serveurdesemettred’accordsuruneméthoded’authentificationpersonnalisée,obteniruneadoption
généraliséed’unemultitudedeprotocolesréseau,deplates-formesetdeclientsdifférentsestpresqueimpossible.
Parexemple,imaginezquevoussouhaitiezdéployerdescartesàpuceintelligentes
commeméthoded’authentificationréseau.SansKerberos,vousdevriezmodifierchaqueprotocoleclient-serveurpourqu’ilprenneenchargelanouvelleméthode.Laliste
desprotocolesestlongue:SMTP,POP,IMAP,AFP,SMB,HTTP,FTP,IPP,SSH,QuickTime
Streaming,DNS,LDAP,domainederépertoirelocal,RPC,NFS,AFS,WebDAV,LPRetainsi
desuite.
Sil’onconsidèretousleslogicielsquifontdel’authentificationréseau,déployerune
nouvelleméthoded’authentificationparmil’ensembledesprotocolesréseauestune
tâchetitanesque.Bienquecelasemblefaisablepourleslogicielsd’unseuletunique
fournisseur,ilestpeuprobablequevousarriviezàconvaincretouslesfournisseursde
modifierleurlogicielclientpourqu’ilutilisevotrenouvelleméthoded’authentification
parcartesàpuceintelligentes.Deplus,vousvoudrezprobablementaussiquevotre
authentificationfonctionnesurplusieursplates-formes(comme,parexemple,
MacOSX,WindowsetUNIX).
GrâceàlaconceptiondeKerberos,unbinaireouprotocoleclient-serveurprenant
enchargeKerberosnesaitmêmepascommentl’utilisateurprouvesonidentité.
C’estpourquoiilvoussuffitdemodifierleclientKerberosetleserveurKerberosde
façonàcequ’ilsacceptentunenouvellepreuved’identitécomme,parexemple,
unecarteintelligente.L’ensembledevotreréseauKerberosamaintenantadopté
lanouvelleméthodedepreuved’identité,sansqu’ilsoitnécessairededéployerde
nouvellesversionsdeslogicielsclientetserveur.
Authentificationmultiplateforme
Kerberosestdisponiblesurlesprincipalesplates-formes,ycomprisMacOSX,
Windows,Linuxetd’autresvariantesd’UNIX.
Authentificationcentralisée
Kerberosfournituneautoritéd’authentificationcentralepourleréseau.TouslesservicesettouslesclientscompatiblesavecKerberosutilisentcetteautoritécentrale.
Lesadministrateurspeuventvérifieretcontrôlerlespolitiquesetlesopérations
d’authentificationdefaçoncentralisée.
Chapitre3AuthentificationOpenDirectory 55

Serviceskerbérisés
KerberospeutauthentifierdesutilisateurspourlesservicessuivantsdeMacOSXServer:
 Fenêtred’ouverturedesession
 Servicedemessagerie
 ServicedefichiersAFP
 ServicedefichiersFTP
 ServicedefichiersSMB(entantquemembred’unroyaumeKerberosActiveDirectory)
 ServiceVPN
 ServiceWebApache
 ServicederépertoireLDAP
 ServiceiChat
 Serviced’impression
 ServicedefichiersNFS
 Xgrid
Cesservicesontétékerbérisés,qu’ilstournentounon.SeulscesservicespeuventutiliserKerberospourauthentifierunutilisateur.MacOSXServercontientdesoutilsde
lignedecommandepourkerbériserd’autresservicesquisontcompatiblesavecle
KerberosduMIT.Pourensavoirplus,consultezlechapitreconsacréàOpenDirectory
duAdministrationdelignedecommande.
ConfigurationdeservicespourKerberosaprèslamiseàniveau
AprèslamiseàniveauàMacOSXServer10.5,ilsepeutquevousdeviezconfigurer
certainsservicesdefaçonàcequ’ilsutilisentl’authentificationKerberosparsignature
unique.Cesservicesn’étaientsoitpasconfigurésdefaçonàutiliserKerberosoune
faisaientpaspartiedelaversionantérieuredeMacOSXServer.
Sicetteconditionexiste,unmessagesurcelle-ciapparaîtlorsquevousvousconnectez
auserveurdansAdminServeur.Lemessageapparaîtdanslasous-fenêtreVued’ensemblelorsquevoussélectionnezleserveur(pasunservice)danslalistedesserveurs.
Pourconfigurerlesnouveauxservicesetlesservicesmisàniveaudefaçonàcequ’ils
utilisentKerberos:
1 OuvrezAdminServeuretconnectez-vousauserveurmisàniveau.
2 Cliquezsurletrianglesetrouvantàgaucheduserveur.
Lalistedesservicesapparaît.
3 DanslalisteServeursdéveloppée,sélectionnezOpenDirectory.
4 CliquezsurRéglages,puissurGénéral.
5 CliquezsurKerbériserlesservices,puissaisissezlenometlemotdepassed’uncompte
d’administrateurderépertoireLDAP.
Lesservicesdéjàconfiguréspourl’utilisationdeKerberosnesontpasconcernés.
56 Chapitre3AuthentificationOpenDirectory

PrincipauxetroyaumesKerberos
Lesserviceskerbériséssontconfiguréspourauthentifierlesprincipauxconnusd’un
royaumedonné.UnroyaumeKerberospeutêtreconsidérécommeunebasededonnées
ouundomained’authentificationKerberosspécifiquecontenantdesdonnéesdevalidationpourlesutilisateurs,lesservicesetparfoislesserveurs(tousappelésprincipaux).
Parexemple,unroyaumecontientdescléssecrètesdeprincipauxquirésultentd’une
fonctionunidirectionnelleappliquéeàdesmotsdepasse.
Lesprincipauxdeservicesontgénéralementbaséssurdessecretsgénérésdefaçon
aléatoiresplutôtquesurdesmotsdepasse.
Voicidesexemplesdenomsderoyaumeetdeprincipal.Lesnomsderoyaumesont
écritsenmajusculesparconventionpourlesdistinguerdesnomsdedomaineDNS:
 Royaume:MONROYAUME.EXEMPLE.COM
 Utilisateurprincipal:jsanchez@MONROYAUME.EXEMPLE.COM
 Serviceprincipal:serveurafp/autrenom.exemple.com@MONROYAUME.EXEMPLE.COM
Processusd’authentificationKerberos
L’authentificationKerberossefaitenplusieursétapes.Lorsdelapremièreétape,
leclientobtientdesinformationsd’authentificationservantàdemanderl’accès
auxserviceskerbérisés.Lorsdeladeuxièmephase,leclientrequiertl’authentification
pourunservicedonné.Lorsdeladernièreétape,leclientprésentelesinformations
d’authentificationauservice.
L’illustrationsuivanteschématisecesactivités.Leserviceetleclientpeuventêtrela
mêmeentité(comme,parexemple,lafenêtred’ouverturedesession)oudeuxentités
différentes(comme,parexemple,unclientdemessagerieélectroniqueetleserveur
demessagerie).
Centre de
distribution
de clés (KDC)
2
4
3
6
Service
kerbérisé
1
Client
5
Chapitre3AuthentificationOpenDirectory 57

1 Leclients’authentifieauprèsd’uncentrededistributiondeclésKerberos,quicommuniqueaveclesroyaumespouraccéderauxdonnéesd’authentification.C’estlaseule
étapeàlaquellelesmotsdepasseetlesinformationsdepolitiquedemotdepassequi
ysontassociéessontvérifiées.
2 Lecentrededistributiondeclésenvoieunticketd’octroideticketauclient.Ceticket
constituelesinformationsd’authentificationrequiseslorsqueleclientveututiliserles
serviceskerbérisésetsontvalablespourunepériodeconfigurable,maispeuventêtre
révoquéesavantl’expiration.Ilssontplacéssurleclientjusqu’àleurexpiration.
3 Leclientcontactelecentrededistributiondeclésavecleticketd’octroideticket
lorsqu’ilsouhaiteutiliserunservicekerbérisédonné.
4 Lecentredélivreunticketpourceservice.
5 Leclientprésenteleticketauservice.
6 Leserviceauthentifieleclientenvérifiantqueleticketestvalide.
Aprèsavoirauthentifiéleclient,leservicedéterminesileclientestautoriséàutiliser
leservice.
Kerberosnefaitqu’authentifierlesclients,ilnelesautorisepasàutiliserdesservices.
Parexemple,denombreuxservicesutilisentleslistesdecontrôled’accèsàunservice
(SACL)deMacOSXServerpourdéterminersiunclientestautoriséàutiliserleservice.
Kerberosn’envoiejamaisdemotdepassenid’informationsdepolitiquedemotde
passeàunservice.Unefoisqu’unticketd’octroideticketestobtenu,plusaucune
informationdemotdepassen’estfournie.
LanotiondetempsesttrèsimportantepourKerberos.Sileclientetlecentrededistributiondeclésnesontpassynchronisésàquelquesminutesprès,leclientneréussira
pasàs’authentifieraveclecentre.Lesinformationsconcernantladate,l’heureetle
fuseauhorairedoiventêtrecorrectessurleserveurducentrededistributiondecléset
surlesclients.Ilestrecommandéqueleserveuretlesclientsutilisenttouslemême
serviced’horlogeréseaupourqueleurshorlogesrestentsynchronisées.
PourensavoirplussurKerberos,allezsurlesitewebduMITconsacréàKerberos,
àl’adresseweb.mit.edu/kerberos/www/index.html.
58 Chapitre3AuthentificationOpenDirectory

Méthodesd’authentificationparserveurdemotsdepasse
OpenDirectoryetparmotdepasseshadow
Àdesfinsdecompatibilitéavecdifférentsservices,MacOSXServerpeututiliserplusieursméthodesd’authentificationpourvaliderlesmotsdepasseOpenDirectoryet
lesmotsdepasseshadow.
Pourlesmotsdepasseshadow,l’utilisationdeSASLdépendduprotocolederéseau.
Lesméthodesd’authentificationsuivantessontprisesencharge:
Méthode Sécuritéduréseau Sécuritédustockage Utilise
APOP
Crypté,avecsolutionde Texteenclair
ServicedecourrierPOP
secoursàtexteenclair
CRAM-MD5
Crypté,avecsolutionde
secoursàtexteenclair
Crypté
Servicedecourrier
IMAP,serviceLDAP
DHX Crypté Crypté ServicedefichiersAFP,
administrationOpen
Directory
Digest-MD5 Crypté Crypté Fenêtred’ouverturede
session,servicedemessagerie
MS-CHAPv2 Crypté Crypté ServiceVPN
NTLMv1etNTLMv2 Crypté Crypté ServicesSMB(WindowsNT/98ouultérieur)
LANManager Crypté Crypté ServicesSMB
(Windows95)
WebDAV-Digest Crypté Texteenclair Servicedefichiers
WebDAV(iDisk)
OpenDirectoryprendenchargedenombreusesméthodesd’authentificationparce
quetouslesservicesquirequièrentdel’authentificationutilisentcertainesméthodes
etpasd’autres.Parexemple,lesservicesdefichiersutilisentunensembledeméthodes
d’authentification,leserviceWebenutiliseunautre,leservicedecourrierencoreun
autre,etc.
PourlesmotsdepasseOpenDirectory,MacOSXServerutiliselaméthodestandard
SimpleAuthenticationandSecurityLayer(SASL)pournégocieruneméthoded’authentificationentreunclientetunservice.
Certainesméthodesd’authentificationsontplussûres.Lesméthodeslesplussûresutilisentdesalgorithmesplusrobustespourencoderlesdonnéestransmisesentreleclient
etleserveur.Lesméthodesd’authentificationlesplussûresstockentenoutrelesmots
depassesouslaformedecondensésnumériques,difficilesàrécupéreràpartirduserveur.Lesméthodeslesmoinssûresstockentlesmotsdepasseenclair,cequilesrend
facilesàrécupérer.
Chapitre3AuthentificationOpenDirectory 59

Personne,pasmêmeunadministrateurniunutilisateurracine,nepeutrécupérerdes
motsdepassecryptésenleslisantdanslabasededonnées.Unadministrateurpeut
utiliserGestionnairedegroupedetravailpourdéfinirlemotdepassed’unutilisateur,
maisl’administrateurnepeutlireaucunmotdepassed’utilisateur.
SivousconnectezMacOSXServer10.4ouultérieuràundomainederépertoirede
MacOSXServer10.3ouantérieur,sachezquelesutilisateursdéfinisdansledomaine
derépertoireleplusanciennepeuventêtreauthentifiésparlaméthodeNTLMv2.Cette
méthodepeuts’avérernécessairepourauthentifierdefaçonsûrecertainsutilisateurs
WindowspourlesservicesWindowsdeMacOSXServer10.4etultérieur.
LeserveurdemotsdepasseOpenDirectorydeMacOSXServer10.4ouultérieur
prendenchargel’authentificationNTLMv2,maisleserveurdemotsdepassede
MacOSXServer10.3ouantérieurneprendpasenchargeNTLMv2.
SivousconnectezMacOSXServer10.3ouultérieuràundomainederépertoirede
MacOSXServer10.2ouantérieur,lesutilisateursdéfinisdansledomainederépertoire
leplusanciennepeuventêtreauthentifiésparlaméthodeMS-CHAPv2.Orcette
méthodepeuts’avérernécessairepourauthentifierdefaçonsûredesutilisateurspour
leserviceVPNdeMacOSXServer10.3ouultérieur.
LeserveurdemotsdepasseOpenDirectorydeMacOSXServer10.3ouultérieur
prendenchargel’authentificationMS-CHAPv2,maisleserveurdemotsdepassede
MacOSXServer10.2ouantérieurneprendpasenchargeMS-CHAPv2.
Désactivationdesméthodesd’authentificationOpenDirectory
PourrenforcerlasécuritédustockagedesmotsdepasseOpenDirectorysurleserveur,vouspouvezdésactiverdesméthodesd’authentificationdemanièresélective.
Parexemple,siaucunclientnevautiliserlesservicesWindows,vouspouvezdésactiver
lesméthodesd’authentificationNTLMv1,NTLMv2etLANManagerafind’empêcher
lestockagedemotsdepassesurleserveuràl’aidedecesméthodes.Ainsi,toutepersonnequiaccéderaitàvotrebasededonnéesdemotsdepassesansautorisation
nepourraitpasexploiterlesvulnérabilitésdecesméthodesd’authentificationpour
craquerdesmotsdepasse.
Important:sivousdésactivezuneméthoded’authentification,soncondensénumériqueestsupprimédelabasededonnéesdemotsdepasseàlaprochaineauthentificationdel’utilisateur.Sivousactivezuneméthoded’authentificationquiétaitdésactivée,
chaquemotdepasseOpenDirectorydoitêtreréinitialisépourajouterlecondensé
numériquedelaméthodenouvellementactivéeàlabasededonnéesdemotsde
passe.Lesutilisateurspeuventréinitialiserleurspropresmotsdepasseouunadministrateurderépertoirepeutlefairepoureux.
60 Chapitre3AuthentificationOpenDirectory

Désactiveruneméthoded’authentificationrendlabasededonnéesduserveurde
motsdepasseOpenDirectoryplussûreaucasoùunutilisateurnonautoriséaurait
accèsphysiquementàunserveurOpenDirectory(maîtreouréplique)ouàunsupport
contenantunecopiedesauvegardedumaîtreOpenDirectory.
Unepersonnequiarriveraitàaccéderàlabasededonnéesdemotsdepassepeuttenterdecraquerlemotdepassed’unutilisateurenattaquantlecondensénumérique
ouletexterécupérablestockédanslabasededonnéesdemotsdepasseàl’aidede
n’importequelleméthoded’authentification.Rienn’eststockédanslabasededonnéesdemotsdepasseparuneméthoded’authentificationdésactivée,cequilaisse
unevoiedepénétrationdemoinsouverteàunpiratequiauraitaccèsphysiquement
auserveurOpenDirectoryouàunecopiedesauvegardedecedernier.
Certainscondensésnumériquesstockésdanslabasededonnéesdemotsdepassesont
plusfacilesàcraquerqued’autres.Lesméthodesd’authentificationrécupérablesstockentdutexteenclair(parfaitementlisible).Désactiverlesméthodesd’authentification
quistockentdutexteenclairoudescondensésnumériquesplusfaiblesaugmenteplus
lasécuritédelabasededonnéesdemotsdepassequedésactiverdesméthodesqui
stockentdescondensésnumériquesplusforts.
Sivouspensezquevotremaître,répliquesetsauvegardesOpenDirectorysontsûres,
sélectionneztouteslesméthodesd’authentification.Sivousvoussouciezdelasécurité
physiqued’unserveurOpenDirectoryoudesessupportsdecopiesdesauvegarde,
vousdevriezdésactivercertainesméthodes.
Remarque:désactiverdesméthodesd’authentificationn’améliorepaslasécurité
desmotsdepassependantqu’ilstransitentparleréseau.Seulelasécuritédelabase
dedonnéesdemotsdepasseestconcernée.Enfait,désactivercertainesméthodes
d’authentificationpeutcontraindrecertainsclientsàconfigurerleurlogicielpourqu’il
envoielesmotsdepasseparleréseausouslaformedetexteenclair,cequirisquede
compromettrelasécuritédesmotsdepassed’uneautrefaçon.
Chapitre3AuthentificationOpenDirectory 61

Désactivationdesméthodesd’authentificationdemotsdepasseshadow
Lesméthodesd’authentificationpeuventêtredésactivéesdemanièresélectiveafin
derendreplussûrlestockagedesmotsdepassedansdesfichiersdemotsdepasse
shadow.Parexemple,siunutilisateurn’utilisenileservicedecourrierélectroniqueni
leserviceWeb,vouspouvezdésactiverlesméthodesWebDAV-DigestetAPOPpourcet
utilisateur.Ainsi,toutepersonnequiaccéderaitauxfichiersdemotsdepasseshadow
surunserveurd’unemanièreoud’uneautrenepourraitpasrécupérerlemotdepasse
del’utilisateur.
Important:sivousdésactivezuneméthoded’authentificationdemotsdepasseshadow,soncondensénumériqueestsupprimédufichierdemotsdepassedel’utilisateuràlaprochaineauthentificationdel’utilisateur.Sivousactivezuneméthode
d’authentificationquiétaitdésactivée,lecondensénumériquedelaméthodenouvellementactivéeestajoutéaufichierdemotsdepasseshadowdel’utilisateuràlaprochaineauthentificationdel’utilisateurpourunservicequipeututiliserunmotdepasse
enclaircomme,parexemple,lafenêtred’ouverturedesessionouAFP.D’unautrecôté,
lemotdepassedel’utilisateurpeutêtreréinitialisépourajouterlecondensénumériquedelaméthodenouvellementactivée.Lesutilisateurspeuventréinitialiserleurs
propresmotsdepasseouunadministrateurderépertoirepeutlefairepoureux.
Désactiveruneméthoded’authentificationrendlemotdepasseshadowplussûrsiun
utilisateurmalveillantavaitaccèsphysiquementauxfichiersdemotsdepasseshadow
d’unserveurouàunsupportcontenantunecopiedesauvegardedesfichiersdemots
depasseshadow.Unepersonnequiarriveraitàaccéderauxfichiersdemotsdepasse
peuttenterdecraquerlemotdepassed’unutilisateurenattaquantlecondensé
numériqueouletexterécupérablestockédanslabasededonnéesdemotsdepasse
àl’aideden’importequelleméthoded’authentification.
Rienn’eststocképaruneméthoded’authentificationdésactivée,cequilaisseunevoie
depénétrationdemoinsouverteàunpiratequiauraitaccèsphysiquementaufichier
demotsdepasseshadowouàunecopiedesauvegardedecedernier.
Lescondensésnumériquesstockésparcertainesméthodesd’authentificationsontplus
facilesàcraquerqueceuxd’autresméthodes.Aveclesméthodesd’authentification
récupérables,lemotdepasseenclairoriginalpeutêtrereconstruitàpartirdecequi
eststockédanslefichier.Désactiverlesméthodesd’authentificationquistockent
descondensésnumériquesrécupérablesouplusfaiblesaugmentepluslasécurité
dufichierdemotsdepasseshadowquedésactiverdesméthodesquistockentdes
condensésnumériquesplusforts.
Sivouspensezquelesfichiersmotdepasseshadowetlessauvegardesd’unserveur
sontsûres,sélectionneztouteslesméthodesd’authentification.Sivousvoussouciez
delasécuritéphysiqueduserveuroudesessupportsdesauvegarde,désactivez
lesméthodesquevousn’utilisezpas.
62 Chapitre3AuthentificationOpenDirectory

Remarque:désactiverdesméthodesd’authentificationn’améliorepaslasécuritédes
motsdepassependantqu’ilstransitentparleréseau;seulelasécuritédustockagedes
motsdepasseestconcernée.Désactivercertainesméthodesd’authentificationpeut
contraindrecertainsclientsàconfigurerleurlogicielpourqu’ilenvoielesmotsdepasse
parleréseausouslaformedetexteenclair,cequirisquedecompromettrelasécurité
desmotsdepassed’uneautrefaçon.
Contenudelabasededonnéesduserveurdemotsdepasse
OpenDirectory
LeserveurdemotsdepasseOpenDirectorytientàjourunebasededonnées
d’authentificationdistinctedudomainederépertoirede.OpenDirectoryrestreint
trèsfortl’accèsàlabasededonnéesd’authentification.
LeserveurdemotsdepasseOpenDirectorystockelesinformationssuivantesdanssa
basededonnéesd’authentificationpourchaquecompted’utilisateurpossédantun
motdepassedetypeOpenDirectory.
 L’identifiantdemotdepassedel’utilisateur,unevaleur128bitsattribuéelorsdela
créationdumotdepasse.Ilestégalementenregistrédansl’enregistrementdel’utilisateur,dansledomainederépertoire,etestutilisécommecléd’accèsàl’enregistrement
d’utilisateurdanslabasededonnéesduserveurdemotdepasseOpenDirectory.
 Lemotdepassestockésousuneformerécupérable(enclair)ousouslaformed’un
condensénumérique(crypté).Laformevarieenfonctiondelaméthoded’authentification.Unmotdepasserécupérableestenregistrépourlesméthodesd’authentificationAPOPetWebDAV.Pourtouteslesautresméthodes,l’enregistrementsefaitsous
laformed’unmotdepassecrypté.Siaucuneméthoded’authentificationexigeant
unmotdepasseenclairn’estactivée,labasededonnéesd’authentificationd’Open
Directoryenregistrelesmotsdepassesousformecryptéeuniquement.
 Lenomabrégédel’utilisateur(utilisédanslesmessagesd’historiquesconsultables
dansAdminServeur).
 Desdonnéesdepolitiquedemotdepasse.
 Deshorodatagesetautresinformationssurl’utilisationcomme,parexemple,
l’heuredeladernièreouverturedesession,l’heuredeladernièrevalidationéchouée,
lenombredevalidationséchouéesetdesinformationsderéplication.
AuthentificationparliaisonLDAP
Pourlescomptesd’utilisateurquirésidentdansunrépertoireLDAPsurunserveurnon
Apple,OpenDirectorytented’utiliserl’authentificationparliaisonLDAP.OpenDirectory
envoieauserveurderépertoireLDAPlenometlemotdepassefournisparl’utilisateur
encoursd’authentification.L’authentificationestréussiesileserveurLDAPtrouveun
enregistrementd’utilisateuretunmotdepassecorrespondants.
Chapitre3AuthentificationOpenDirectory 63

SileserviceLDAPetlaliaisondel’ordinateurclientàcederniersontconfiguréspour
l’envoidesmotsdepassesurleréseauenclair,ilsepeutquel’authentificationpar
liaisonLDAPnesoitpassûre.
OpenDirectorytented’utiliseruneméthoded’authentificationsûreaveclerépertoire
LDAP.SilerépertoireneprendpasenchargelaliaisonLDAPsécuriséeetsilaconnexionLDAPv3duclientautorisel’envoid’unmotdepasseenclair,OpenDirectory
serabatsurlaliaisonLDAPsimple.
Pourempêcherl’authentificationpardutexteenclair,assurez-vousquevosserveurs
LDAPn’acceptentpaslesmotsdepasseenclair.
Danscecas,vouspouvezsécurisercetteauthentificationenconfigurantunaccèsau
répertoireLDAPàl’aideduprotocoleSSL(SecureSocketsLayer).SSLsécurisel’accès
encryptanttouteslescommunicationsaveclerépertoireLDAP.Pourensavoirplus,
consultezlesrubriques«Modificationdelapolitiquedesécuritépouruneconnexion
LDAP»àlapage171et«Modificationdesréglagesdeconnexiond’unrépertoire
LDAPȈlapage170.
64 Chapitre3AuthentificationOpenDirectory

4 Outilsdeplanificationet
degestionOpenDirectory
4
CechapitrefournitdesindicationsgénéralespourlaplanificationdesservicesOpenDirectoryetdécritlesoutilsnécessaires
pourlesgérer.Toutcommel’installationélectriqueoules
canalisationsd’unbâtiment,lesservicesderépertoired’un
réseaudoiventêtreplanifiésàl’avanceplutôtqu’improvisés
augrédescirconstances.
Lestockaged’informationsdansdesdomainesderépertoirepartagésaméliorelecontrôle
duréseau,permetàunnombreplusimportantd’utilisateursd’accéderauxinformations
etsimplifielagestiondesinformations.Leniveaudecontrôleetdeconvivialitédépend
toutefoisdel’effortquevousconsacrezàlaplanificationdevosdomainespartagés.
L’objectifdelaplanificationd’undomainederépertoireestdeconcevoirladisposition
dedomainespartagéslaplussimplequifournitàvosutilisateursMacOSXunaccès
aiséauxressourcesréseaudontilsontbesoinetquiminimiseletempsconsacréà
lagestiondesenregistrementsd’utilisateursetd’autresdonnéesadministratives.
65

Directivesgénéralesdeplanification
Sivousnepartagezpard’informationssurlesutilisateursetlesressourcesentreplusieursordinateursMacOSX,laplanificationdedomainesderépertoireesttrèsréduite
cartoutestaccessibleàpartird’undomainederépertoirelocal.
Assurez-voussimplementquetouteslespersonnesquidoiventutiliseruncertain
ordinateurMacOSXdisposentdecomptesd’utilisateursurcedernier.Cescomptes
d’utilisateurrésidentdansledomainederépertoirelocal,surl’ordinateur.
Deplus,toutepersonnequiabesoind’utiliserleservicedefichiers,leservicedecourrieroutoutautreservicequirequiertuneauthentificationdeMacOSXServer,doit
disposerd’uncompted’utilisateurdansledomainederépertoirelocalduserveur.
Delasorte,chaqueutilisateuradeuxcomptes:l’unpourouvrirunesessionsurun
ordinateuretl’autrepouraccéderàdesservicesdeMacOSXServer,commeillustré
ci-dessous.L’utilisateurouvreunesessiondansledomainederépertoirelocaldel’ordinateurMacOSXpuisutiliseunautrecomptepourouvrirunesessiondansledomaine
derépertoirelocalduserveurdesservicesdefichiers.
Ouverture
de session
Mac OS X
Domaine de
répertoire local
Connexion à Mac OS X Server
pour le service de fichiers
Domaine de
répertoire local
PourpartagerdesinformationsentredesordinateursetdesserveursMacOSX,
vousdevezconfigureraumoinsundomainederépertoirepartagé.Delasorte,chaque
utilisateurn’abesoinqued’unseulcomptedansledomainederépertoirepartagé.
Aveccecompteunique,l’utilisateurpeutouvrirunesessionMacOSXsurtoutordinateurconfigurépouraccéderaudomainederépertoirepartagé.L’utilisateurpeutaussi
utiliserlemêmecomptepouraccéderàdesservicesdetoutMacOSXServerconfigurépouraccéderaudomainederépertoirepartagé.
66 Chapitre4OutilsdeplanificationetdegestionOpenDirectory

Domaine de
répertoire
partagé
Ouverture
de session
Mac OS X
Domaine de
répertoire local
Connexion à Mac OS X Server
pour le service de fichiers
Domaine de
répertoire local
L’illustrationquisuitmontreuneconfigurationavecundomainederépertoirepartagé
L’illustrationmontreunutilisateurouvrantunesessionsurunordinateurMacOSXà
l’aided’uncomptededomainederépertoirepartagé.Lecomptededomainederépertoirepartagéestensuiteaussiutilisépouraccéderàunservicedefichiers.Lorsquel’utilisateurtented’accéderauservicedefichiers,leserveurdeservicesdefichiersaccède
audomainederépertoirepartagépourvérifierlecompted’utilisateur.Commetant
l’ordinateurdel’utilisateurquel’ordinateurdesservicesdefichierssontconnectésau
domainederépertoirepartagé,lecompted’utilisateurdansledomainederépertoire
partagéestutilisépouraccéderàlafoisàl’ordinateuretauxservicessansdevoirutiliseruncomptelocalsurchacundesordinateurs.
Dansdenombreusesorganisations,undomainederépertoirepartagéuniqueconvientparfaitement.Ilpeutgérerdescentainesdemilliersd’utilisateursetdesmilliers
d’ordinateursquipartagentlesmêmesressources,comme,parexemple,lesmêmes
filesd’attented’impression,pointsdepartagepourrépertoiresdedépart,pointsde
partagepourapplicationsetpointsdepartagepourdocuments.
Laréplicationdudomainederépertoirepartagépeutaugmenterlescapacitésou
lesperformancedusystèmederépertoireenconfigurantplusieursserveursdefaçon
àcequ’ilstraitentlachargedusystèmederépertoirepourleréseau.
Chapitre4OutilsdeplanificationetdegestionOpenDirectory 67

Pourlesorganisationsplusgrandesetpluscomplexes,ilpeutêtreutiledemettre
enplacedesdomainesderépertoirepartagéssupplémentaires.L’illustrationquisuit
montrecommentunetelleorganisationpourraitorganisersesdomainesderépertoire.
Domaine de
répertoire
local
Domaine de
répertoire
partagé
Mac OS X Server
Serveur Windows
Domaine
Active
Directory
Domaine de
répertoire
local
Utilisateur Mac OS X
Utilisateur Windows
Sivotreorganisationestgrandeetsivoulezaugmenterlesperformancesetlacapacité
devotredomainederépertoireréseau,vouspouvezajouterplusieursdomainesde
répertoireàvotreréseau.Deplus,utiliserplusieursdomainesderépertoirepermetde
répartirlachargedevotredomainederépertoired’entreprise.
Ilyaplusieursméthodespourconfigurerplusieursdomainesderépertoire.Enanalysantlatopologiedevotreréseau,vouspouvezdéterminerlaméthodequiconvient
lemieuxàvotreréseau.Voicidesconfigurationsfacultativesdeplusieursdomaines
derépertoire:
 OpenDirectoryavecundomainepréexistant.Vouspouvezconfigurerunserveur
OpenDirectoryMacOSXsurunréseauquidisposed’undomainederépertoire
préexistantcomme,parexemple,undomaineActiveDirectoryouOpenDirectory.
Parexemple,sivotreorganisationdisposed’unserveurActiveDirectorypréexistant
quiprendenchargelesordinateursclientsWindowsetMacOSX,vouspouvezajouterunserveurOpenDirectoryMacOSXpourmieuxprendreenchargevosutilisateursMac.Lesdeuxserveurspeuventcoexistersurlemêmeréseauetfournirdes
domainesderépertoireredondantspourlesclientsWindowsetlesclientsMacOSX.
VouspouvezaussiconfigurerleserveurMacOSXServerdefaçonàcequ’ilprenne
enchargel’autorisationinter-domainesencasd’existenced’unroyaumeKerberos.
SivousavezconfigurévotreserveurMacOSXaveclaconfigurationdegroupedetravail,vouspouvezaisémentl’ajouteràvotredomainederépertoirepréexistant.Àl’aide
delaconfigurationdegroupedetravaildeMacOSX,vouspouvezaisémentimporter
desutilisateursdevotredomainederépertoirepréexistantdansvotreserveurde
groupedetravail.Cesutilisateursimportéssontappelésdesutilisateursajoutés.
68 Chapitre4OutilsdeplanificationetdegestionOpenDirectory

Pourensavoirplussurlesutilisateursajoutésetlaconfigurationsstandardoude
groupedetravaild’unserveurMacOSX,consultezPremierscontactsetGestiondes
utilisateurs.
 ServeurmaîtreOpenDirectoryavecrépliques.VouspouvezaussicréerunserveurmaîtreOpenDirectoryMacOSXavecdesrépliques.Lesserveursrépliquéscontiennent
unecopiedudomainederépertoiredumaîtreOpenDirectorypourlarépartition
delachargeetlaredondance.
 Votreorganisationpourrait,parexemple,disposerd’unmaîtreOpenDirectory
ausiègesocialetplacerdesrépliquesdeceserveurdanschacunedesfiliales.
Celapermetauxutilisateursdessitesdistantsdenepassubirderetardslorsdes
ouverturesdesession.
 Réplicationencascade.Vouspouvezaussiutiliserleréplicationencascade,dans
laquellelesrépliquesd’unmaîtreOpenDirectoryontdesrépliquesàleurtour.
Lorsqu’unerépliqueestunmembredirectdumaîtreOpenDirectoryetasespropres
répliques,onparlederelais.
Parexemple,sivotreorganisationdisposede32répliquesetvousdevezajouterd’autres
réplique,vouspouvezréorganiserlatopologieduréseauafinquelesrépliquesdeviennentdesrelaisenajoutantdesrépliquesauxrépliques(ourelais).
LaréplicationencascadepermetderépartirlachargedumaîtreOpenDirectoryen
réduisantlenombrederépliquesquecedernierdoitgérerdirectement.
Évaluationdesbesoinsenmatièrederépertoireset
d’authentification
Outrelemodederépartitiondesdifférentesdonnéesderépertoiresentrelesdifférentsdomaines,vousdevezégalementtenircomptedescapacitésdechaquedomaine
derépertoire.Latailledevotredomainederépertoiredépenddevosbesoinsen
matièrederéseau.
Parmicesfacteurs,onpeutciterlesperformancesdelabasededonnéesquistockeles
informationsderépertoire.LedomainederépertoireLDAPdeMacOSXServerutilise
labasededonnéesBerkeleyDB,quiresteperformanteavec200000enregistrements.
Unserveurhébergeantundomainederépertoiredecettetailledoitdisposerd’un
espacedisquesuffisantpourstockertouslesenregistrements.
Lenombredeconnexionsqu’unservicederépertoirepeutgérerestplusdifficileà
évaluercarlesconnexionsdesservicesderépertoiressurviennentdansuncontexte
quienglobelesconnexionsdel’ensembledesservicesfournisparceserveur.Sous
MacOSXServer,unserveurdédiéàOpenDirectorypeutaccepteraumaximum
1000connexionsd’ordinateursclientssimultanées.
Chapitre4OutilsdeplanificationetdegestionOpenDirectory 69

LeserveurOpenDirectorypeutfournirdesservicesLDAPetd’authentificationàplus
d’ordinateursclients,parcequetouslesordinateurn’ontpasbesoindecesservices
enmêmetemps.ChaqueordinateurclientseconnecteaurépertoireLDAPpendant
uneduréemaximumdedeuxminutesetlesconnexionsauserveurdemotsdepasse
OpenDirectorysontencoreplusbrèves.
Ilpeutnéanmoinss’avérerdifficiled’évaluerleurnombre,autrementditlepourcentage
d’ordinateursclientsseconnectantaumêmemoment.
Parexemple,lesordinateursutiliséàlongueurdejournéeparunemêmepersonnequi
travaillesurdesfichiersd’imagesn’auraquerarementbesoindesservicesOpenDirectory.
Enrevanche,lesnombreuxutilisateursd’unordinateursituédansunlaboratoire
ouvrentetfermentdessessionstoutaulongdelajournée,chacund’entreeuxutilisantdifférentsréglagesdepréférencesdeclientgéré.Untelordinateurreprésente
unechargerelativementlourdepourlesservicesOpenDirectory.
Engénéral,l’utilisationd’OpenDirectoryestproportionnelleaunombred’ouvertures
etdefermeturesdesessions.Cesactivitéssonthabituellementmajoritairesdans
lesservicesderépertoiresetd’authentificationden’importequelsystème.
Pluslesutilisateursouvrentetfermentdessessions,moinsleserveurOpenDirectory
(outoutautreserveurderépertoiresetd’authentification)pourragérerd’ordinateurs
clients.Silesouverturesetfermeturesdesessionssonttrèsfréquentes,vousdevrez
ajouterdesserveursOpenDirectory.Enrevanche,silessessionsdetravailsontplus
longuesetquelesouverturesdesessionsontplusrares,vouspourrezvouscontenter
d’unpluspetitnombredeserveursOpenDirectory.
Identificationdeserveurspourl’hébergementdedomaines
partagés
Sivousavezbesoindeplusd’undomainepartagé,identifiezlesserveurssurlesquels
lesdomainespartagésdoiventrésider.Lesdomainespartagésconcernentdenombreuxutilisateurs,ilestdoncconseillédelesplacersurdesordinateursMacOSXServer
présentantlescaractéristiquessuivantes:
 Accèsphysiquelimité
 Accèsréseaulimité
 Technologiespourlahautedisponibilité,comme,parexemple,lessystèmes
d’alimentationssanscoupure
Sélectionnezdesordinateursquineserontpasfréquemmentremplacésetquisont
dotésdescapacitésadéquatespouraccueillirunnombrecroissantdedomainesde
répertoire.Bienqu’ilsoitpossiblededéplacerundomainepartagéaprèssaconfiguration,vousdevrezpeut-êtrereconfigurerlespolitiquesderecherchedesordinateurs
quiseconnectentàcedomainepartagéafinquelesutilisateurspuissentcontinuer
àyouvrirdessessions.
70 Chapitre4OutilsdeplanificationetdegestionOpenDirectory

DuplicationdeservicesOpenDirectory
MacOSXServergèreladuplicationduservicederépertoireLDAP,duserveurdemots
depasseOpenDirectoryetducentrededistributiondeclésKerberos.
Laduplicationdevosservicesderépertoiresetd’authentificationvouspermet:
 Derapprocherlesinformationsderépertoiresd’ungrouped’utilisateursauseind’un
réseaudistribuégéographiquement,cequiaméliorelesperformancesdesservices
derépertoiresetd’authentificationpourcesutilisateurs.
 D’obtenirlaredondancedesservices,afinquelesutilisateursnesoientquetrèspeu
affectésencasdedéfaillanceoud’inaccessibilitéd’unsystèmederépertoire.
L’undesserveursdisposed’unecopieprincipaledudomainederépertoireLDAPpartagé,duserveurdemotsdepasseOpenDirectoryetducentrededistributiondeclés
Kerberos.OnappelleceserveurunmaîtreOpenDirectory.ChaquerépliqueOpenDirectoryconstitueunserveurdistinctcontenantunecopiedurépertoireLDAPmaître,du
serveurdemotsdepasseOpenDirectoryetducentrededistributiondeclésKerberos.
UnserveurOpenDirectoryMacOSXpeutavoirjusqu’à32répliques.Chaqueréplique
peutavoiràsontour32répliques,cequidonnedéjà1056répliquesdansunehiérarchieàdeuxniveaux.
L’accèsaurépertoireLDAPsurunerépliques’effectueenlectureseule.Lesmodificationsdesenregistrementsd’utilisateuretàd’autresinformationsdurépertoireLDAP
nepeuventêtreapportéesquesurlemaîtreOpenDirectory.
LemaîtreOpenDirectoryrépercuteautomatiquementsursesrépliqueslorsquedes
modificationsontétéapportéesaurépertoireLDAP.Lemaîtrepeutmettredesrépliquesàjoursoitdèsqu’unemodificationsurvient,soitàintervallesréguliers.L’option
desintervallesdetempsprogrammésestlameilleuresilesrépliquessontconnectées
aumaîtreparl’intermédiaired’unréseauàfaibledébit.
Lesmotsdepasseetlespolitiquesdemotsdepassepeuventêtremodifiéssurn’importe
quelleréplique.Silemotdepasseoulapolitiquedemotdepassed’unutilisateurest
modifiésurplusieursrépliques,c’estlamodificationlaplusrécentequiprévaut.
Lamiseàjourdesrépliquesdépenddelasynchronisationdeshorlogesdumaîtreet
detouteslesrépliques.Silesrépliquesetlemaîtreontdesheuresdifférentes,lamiseà
jourpeutêtrearbitraire.Lesinformationsdedate,d’heureetdefuseauhorairedoivent
êtrecorrectessurlemaîtreetlesrépliquesetellesdoivent,sipossible,utiliserlemême
serviced’horlogeréseaupourdemeurersynchronisées.
Évitezden’avoirqu’uneseulerépliqueàunedesdeuxextrémitésd’unlienréseaulent.
Siunerépliqueestséparéedetouteslesautresrépliquesparunlienréseaulentetsi
cetterépliquetombeenpanne,lesclientsdelarépliquevontbasculerversunerépliquequisetrouveàl’autreextrémitédulienréseaulent.Lesservicesderépertoire
pourraients’entrouvernettementralentis.
Chapitre4OutilsdeplanificationetdegestionOpenDirectory 71

Sivotreréseaucontientunmélangedeversions10.4etdeversions10.5deMacOSX
Server,sachezqu’uneversionnepeutpasêtrelarépliqued’unmaîtredel’autreversion.UnmaîtreOpenDirectoryenversion10.5neserapasrépliquéenversion10.4et
unmaîtreOpenDirectoryenversion10.4neserapasrépliquéenversion10.5:
Versiondelaréplique
Répliquesous
MacOSXServer10.5
Répliquesous
MacOSXServer10.4
Maîtresous
MacOSXServer10.5
Oui
Non
Maîtresous
MacOSXServer10.4
Non
Oui
Ensemblederépliques
Unensemblederépliquesestuneconfigurationautomatiquequinécessitequetous
lesservicesqu’OpenDirectorygère(LDAP,serveurdemotsdepasseetKerberos)
recherchentetutilisentlemêmeserveurrépliqué.Celapermetdes’assurerqueles
ordinateursclientschoisissentlemêmeserveurrépliquélorsdel’utilisationdeservices
OpenDirectoryetd’empêcherlesouverturesdesessionlentes.
Réplicationencascade
MacOSX10.4utiliseunmodèleenétoilepourlaréplicationdesserveursmaître
OpenDirectory.ChaquemaîtreOpenDirectorydoitmaintenirunenregistrement
detransactionpourchacundesserveursrépliqués.
L’illustrationquisuitmontrelemodèleenétoileutilisépourlaréplicationdans
MacOSX10.4.
Réplique
Réplique
Maître
Open Directory
Réplique
Réplique
Réplique
Réplique
Deplus,iln’yavaitaucunelimitequantaunombredeserveursrépliquésqu’unmaître
OpenDirectorypouvaitgérer.
72 Chapitre4OutilsdeplanificationetdegestionOpenDirectory

SiunmaîtreOpenDirectoryavait1000répliquesàgérer,ilpouvaitavoirdesproblèmes
deperformancessil’oncontinuaitàajouterdesrépliques.Onpeutcomparercettesituationàcelled’uncadredevantgérer1000salariés,cequiestunesituationingérable.
MacOSXServer10.5utiliselaréplicationencascadepouraméliorerl’extensibilitéet
résoudrelesproblèmesdeperformancesquisurvenaitavecl’ancienmodèleenétoile
pourlaréplication.L’utilisationdelaréplicationencascadepermetdelimiterlenombredeserveursrépliquéspouvantêtreprisenchargeparunseuletmêmeserveur
maîtreOpenDirectory.
UnseuletmêmeserveurmaîtreOpenDirectorypeutavoirjusqu’à32répliqueset
chacunedecesrépliquespeutavoiràsontourjusqu’à32répliques,cequidonne
1056répliquesd’unseuletmêmeserveurmaîtreOpenDirectory.
Celacréeunehiérarchieàdeuxniveauxdesserveursrépliqués.Lepremierniveaude
répliques,lesmembresdirectsdumaîtreOpenDirectory,sontappelésdesrelaiss’ilont
àleurtourdesrépliques,parcequ’ilsrelaientlesdonnéesverslesecondniveaude
répliques.
Deplus,danslecasdelaréplicationencascade,iln’estpasnécessairequeleserveur
maîtreOpenDirectorymaintienneunenregistrementdetransactionpourchaqueserveurrépliqué.Leserveurmaîtrenegèrequemaximum32enregistrementsdetransactionderépliques,cequiaméliorelesperformances.
L’illustrationquisuitmontrelahiérarchieàdeuxniveauxdumodèledelaréplication
encascade.
Maître
Open Directory
Relais
(réplique)
Relais
(réplique)
Relais
(réplique)
Relais
(réplique)
Réplique
Réplique
Réplique
Réplique
Réplique
Réplique
Réplique
Réplique
Chapitre4OutilsdeplanificationetdegestionOpenDirectory 73

PlanificationdelamiseàniveaudeplusieursrépliquesOpenDirectory
SivotremaîtreOpenDirectorygèreplusde32répliques,votreorganisationdoit
passeràlaréplicationencascade.Lemodèledelaréplicationencascadeaméliorera
lesperformancesdevotreserveurOpenDirectory.
Lorsquevousplanifiezlamigration,pensezàl’emplacementdevosserveursrépliqués
etàlatopologiedevotreréseaupourdéterminerlameilleuremanièrederéorganiser
vosrépliquesdansunestructurehiérarchique.
Parexemple,ilfautéviterd’avoirunmaîtreOpenDirectorysituésurlacôteOuestdes
États-UnisquiserépliquesurunerépliquesituéesurlacôteEst.
Remarque:sivotremaîtreOpenDirectoryamoinsde32répliques,lamigrationn’est
pasnécessaire.
Répartitiondelachargedanslespetits,moyensetgrands
environnements
N’utilisezpasdelogicielderépartitiondelachargedeservicesdetiersavecdes
serveursOpenDirectory.
Unlogicielderépartitiondelachargepeutprovoquerdesproblèmesimprévisibles
pourlesordinateursOpenDirectory.Ilpourrait,parexemple,interféreraveclarépartitiondelachargeetlecomportementenmatièredebasculementautomatiques
d’OpenDirectorydansMacOSXetMacOSXServer.
LesordinateursMacOSXrecherchentleserveurOpenDirectorydisponibleleplusproche,qu’ils’agissedumaîtreoud’uneréplique.LemaîtreoularépliqueOpenDirectory
leplusproched’unordinateurestceluiquirépondleplusrapidementàlademande
deconnexionOpenDirectorydel’ordinateur.
Réplicationdansuncampuscomprenantplusieursbâtiments
Quandunréseaus’étendsurplusieursbâtiments,lesconnexionsentrebâtiments
peuvents’avérerpluslentesquelesconnexionsauseindesdifférentsbâtiments.
Ilpeutarriverégalementquelesconnexionsentrebâtimentssoientsaturées.
Cessituationspeuventnuireauxperformancesdesordinateursquibénéficientde
servicesOpenDirectoryprovenantd’unserveursituédansunautrebâtiment.Parconséquent,ilestrecommandéd’installerunerépliqueOpenDirectorydanschaquebâtiment.
Selonvosbesoins,ilpeutmêmes’avérerintéressantd’installerunerépliqueOpen
Directoryàchacundesétagesd’unbâtimentquiencompteplusieurs.Chaquerépliqueoffreainsidesservicesderépertoiresetd’authentificationefficacesauxordinateursclientssituésàproximité.Lesordinateursn’ontplusbesoind’établirdeconnexion
avecunserveurOpenDirectoryvialalignepluslentequirelielesbâtimentsentreeux.
74 Chapitre4OutilsdeplanificationetdegestionOpenDirectory

Lefaitd’avoirplusderépliquesprésenteundésavantage.Lesrépliquescommuniquent
entreellesetaveclemaîtrevialeréseau.Cescommunicationsreprésententunecharge
pourleréseau,quiaugmenteenproportiondunombrederépliques.L’ajoutd’untrop
grandnombrederépliquespeutaccroîtreletraficentrebâtiments(dufaitdesmisesà
jourderépliques)plusqu’ilneréduitlescommunicationsclientesOpenDirectory.
Lorsquevousdécidezdunombrederépliquesàdéployer,pensezàl’intensitédel’utilisationdesservicesOpenDirectoryparlesordinateurs.Silesordinateursn’ontque
relativementpeurecoursauxservicesOpenDirectoryetquevosbâtimentssont
reliésentreeuxpardesconnexionsrapides(Ethernetà100Mbits/s,parexemple),
vousn’avezsansdoutepasbesoind’installerunerépliquedanschaquebâtiment.
VouspouvezréduirelachargedescommunicationsentrerépliquesetmaîtreOpen
Directoryenprogrammantlafréquencedemiseàjourdesrépliquesparlemaître
OpenDirectory.Ainsi,iln’estpeut-êtrepasnécessairequelesrépliquessoientmises
àjouràchaquemodificationapportéeaumaître.Opterpourunefréquencedemise
àjourmoinsélevée,améliorelesperformancesduréseau.
Utilisationd’unmaître,d’unerépliqueoud’unrelaisOpenDirectory
avecNAT
Sivotreréseaudisposed’unserveurOpenDirectoryducôtéduréseauprivéd’unrouteur(oud’unepasserelle)detraductiond’adressesréseau(NAT),ycomprislerouteur
NATdeMacOSXServer,seulslesordinateursquisetrouventducôtéduréseauprivé
durouteurNATpeuventseconnecteraudomainederépertoireLDAPduserveur
OpenDirectory.
LesordinateursquisetrouventducôtéduréseaupublicdurouteurNATnepeuvent
passeconnecteraudomainederépertoireLDAPd’unmaîtreoud’uneréplique
OpenDirectoryquisetrouveducôtéduréseauprivé.
SiunserveurOpenDirectorysetrouveducôtépublicduréseaud’unrouteurNAT,
tantlesordinateursquisetrouventducôtéduréseauprivéquelesordinateursquise
trouventducôtéduréseaupublicdurouteurNATpeuventseconnecteraurépertoire
LDAPduserveurOpenDirectory.
Sivotreréseauprendenchargelesclientsmobilecomme,parexemple,lesMacBook
quivontsedéplacerentreleréseaulocalprivédevotrepasserelleNATetInternet,vous
devezconfigurerleserviceVPNpourlesutilisateursmobilesafinquecesdernierspuissentutiliserunVPNpourseconnecterauréseauprivéetaudomaineOpenDirectory.
Chapitre4OutilsdeplanificationetdegestionOpenDirectory 75

CompatibilitéentremaîtreetrépliquesOpenDirectory
LemaîtreOpenDirectoryetsesrépliquesdoiventutiliserlamêmeversionde
MacOSXServer.Deplus:
 UnmaîtreOpenDirectorysousMacOSXServer10.5nepeutpasserépliquervers
MacOSXServer10.4.
 MacOSXServer10.5nepeutpasêtreunerépliqued’unmaîtreOpenDirectorysous
MacOSXServer10.4.
 UnmaîtreOpenDirectorysousMacOSXServer10.5nepeutpasserépliquervers
unerépliqueOpenDirectorysousMacOSXServer10.5.
Sivousdisposezd’unmaîtreetderépliquesOpenDirectoryquiutilisent
MacOSXServer10.4,vousdevezlesmettreàniveauà10.5ensemble.Mettez
d’abordàniveaulemaître,puismettezàniveaulesrépliques.Lesclientsdumaîtreet
lesrépliquescontinuerontàrecevoirdesservicesderépertoireetd’authentification
pendantlamiseàniveau.
Pendantlamiseàniveaudumaître,sesclientsbasculerontautomatiquement
verslarépliquelaplusproche.Pendantlamiseàniveaudesdifférentesrépliques,
lesclientsbasculerontverslemaîtremisàniveau.
Lamiseàniveaud’unmaîtreOpenDirectoryàpartirdeMacOSXServer10.4à10.5
rompralesliaisonsaveclesrépliquesexistantes.Aprèslamiseàniveaud’uneréplique
OpenDirectoryàMacOSXServer10.5,celle-ciseraunserveurderépertoireautonome;
vousdevrezlaretransformerànouveauenréplique.
PourensavoirplussurlamiseàniveauàMacOSXServer10.5,consultezMiseàniveau
etmigration.
MélangedeservicesdemaîtresetrépliquesActiveDirectory
etOpenDirectory
Ilyadesconsidérationsspécialeslorsdel’introductiondeserveurOpenDirectorydans
unenvironnementActiveDirectory.Sivousneprenezpascertainesprécautions,vous
obtiendrezdesrésultatsmitigésenmatièred’expérienceclientetdefonctionnalités
serveur.
Deplus,évitezdemélangerlaliaisonderépertoireauthentifiéeetActiveDirectorysur
lemêmeclientouserveur.LaliaisonauthentifiéeutiliseKerberostoutcommeActive
Directorylefait.Utiliserlesdeuxprovoquerauncomportementimprévuoulenonfonctionnementdesservicesd’authentificationàmoinsquevousnepreniezlesprécautionsdétailléesci-dessous.
76 Chapitre4OutilsdeplanificationetdegestionOpenDirectory

Lorsquel’onmélangeOpenDirectoryetActiveDirectory,l’onnepeututiliserlesinformationsd’authentificationKerberosd’unoul’autresystèmepourlasignatureunique.
VousnepouvezpasavoirdesutilisateursdansActiveDirectoryetdansOpenDirectory
etutiliserlesdeuxinformationsd’authentificationKerberospourlasignatureuniquesur
unserveurquiestkerbérisépourunserveurparticulier.End’autresmots,vousnepouvezpasouvrirunesessionàl’aided’uncompteActiveDirectoryetespérerutiliserla
signatureuniqueavecunserveurquifaitpartieduroyaumeKerberosOpenDirectory.
Kerberosestutilisédansl’environnementActiveDirectoryetdansl’environnement
OpenDirectory.Kerberosfaitcertainessuppositionsausujetdeladéterminationdu
royaumed’unserveurparticulierlorsquedesticketsKerberosdoiventêtreutilisés.
Voiciunexempledemélanged’unroyaumeKerberosActiveDirectoryavecun
royaumeKerberosmaîtreOpenDirectory:
 DomaineActiveDirectory=entreprise.com
 RoyaumeKerberosActiveDirectory=ENTREPRISE.COM
 MaîtreduserveurOpenDirectory=serveur1.entreprise.com
 RoyaumeKerberosOpenDirectory=SERVEUR1.ENTREPRISE.COM
LorsqueKerberostented’obtenirunTGSpourl’utilisationdeLDAPauprèsde
serveur1.entreprise.com,ildemande«ldap/serveur1.entreprise.com@ENTREPRISE.COM»
àmoinsquedomain_realmnesoitprésentdanslaconfiguration.Le«domain_realm»
pourOpenDirectoryassumequel’ensemblede«.entreprise.com»appartientà
«SERVEUR1.DEMOTREE.COM».CelaempêchetouteconnectivitéaudomaineActive
Directorynommé«entreprise.com».
SivoussouhaitezmélangerlaliaisonderépertoireauthentifiéeetActiveDirectory,
vosroyaumesetserveursdedomaineActiveDirectoryetOpenDirectorydoiventse
trouverdansdeshiérarchiesdifférentes.Parexemple:
 DomaineActiveDirectory=entreprise.com
 RoyaumeKerberosActiveDirectory=ENTREPRISE.COM
 MaîtreduserveurOpenDirectory=serveur1.od.entreprise.com
 RoyaumeduserveurOpenDirectory=OD.ENTREPRISE.COM
ou
 DomaineActiveDirectory=ads.entreprise.com
 RoyaumeKerberosActiveDirectory=ADS.ENTREPRISE.COM
 MaîtreduserveurOpenDirectory=serveur1.od.entreprise.com
 RoyaumeKerberosOpenDirectory=OD.ENTREPRISE.COM
Chapitre4OutilsdeplanificationetdegestionOpenDirectory 77

Danscesdeuxexemples,unenouvellezonededomaineDNSdoitêtrecrééeettant
lesentréesDNSdirectesetlesentréesDNSinversesdoiventexisterpourlesserveurs
afinque,siuneadresseIPestutiliséepourleserveurOpenDirectory,ellereçoive
lenomprévu.Parexemple,l’adresseIP«serveur1.od.entreprise.com»=10.1.1.1.
Larecherchede10.1.1.1devraitdoncêtreidentiqueà«serveur1.od.entreprise.com»et
nonà«serveur1.entreprise.com».
Intégrationavecdesdomainesderépertoireexistants
Sivotreréseauadéjàundomainederépertoire,vouspouvezajouterunautreserveur
dedomainederépertoireauréseauquiutiliselabasededonnéesdevotredomaine
derépertoireexistantpourgérerlesautorisationsd’accèsdesutilisateurs.Onappelle
cetteconfigurationl’autorisationinter-domaines.Ellerequiertlapriseenchargede
Kerberosparlesserveurs.
Sivousutilisezl’autorisationinter-domaines,unserveurseraunserveurpseudo-maître
tandisquel’autreseraunserveursubordonné.Touslesutilisateurss’authentifieront
auprèsduserveurpseudo-maîtreàl’aided’uneméthoded’authentification.Tout
utilisateurquis’authentifierarecevraunticketKerberos.Lorsquecetutilisateurtente
d’accéderàunservicefourniparleserveursubordonné,cedernieraccepteetvalidele
ticketKerberosdel’utilisateurqueluiadonnéleserveurpseudo-maîtrepourautoriser
l’utilisateur.
LeticketKerberoscontientdesinformationsPrivilegeAttributeCertificate(PAC),qui
contiennentlenomd’utilisateur,lesidentifiantsdel’utilisateur(UID)etdesidentifiants
d’appartenancedegroupe(GID).Leserveursubordonnéutilisecesinformationspour
vérifierquel’utilisateurestautoriséàutiliserleserviceencomparantl’UIDouleGIDà
lalistedecontrôled’accès(ACL)duserviceauquell’utilisateurdemandel’accès.
Enutilisantl’autorisationinter-domaines,vousévitezdedevoircréerdifférentsnoms
d’utilisateuretmotsdepassepourvotreserveurdedomainederépertoiresubordonné.
Vouspouvezutiliserlesmêmesnomsd’utilisateuretmotsdepasseprovenantdu
domainederépertoired’entrepriseaveclesinformationsPACpourdonnerauxutilisateursl’autorisationd’accès.
L’autorisationinter-domainesestlaconfigurationidéalesivousnepouvezpasmodifierdirectementlesgroupesauseindudomainederépertoired’entreprise.
Vouspouvezutiliserl’autorisationinter-domainesentreunserveurActiveDirectoryet
unserveurOpenDirectorysousMacOSX10.5ouentredeuxserveursOpenDirectory
sousMacOSX10.5.L’autorisationinter-domainesnefonctionnepassurunserveur
sousMacOSX10.4.PourutiliserlesinformationsPAC,leserveurpseudo-maîtredoit
posséderunroyaumeKerberosauquelleserveursubordonnépeuts’inscrire.
78 Chapitre4OutilsdeplanificationetdegestionOpenDirectory

Pourcréerunserveursubordonnédansunsystèmederépertoire,vousdevezutiliser
Utilitairederépertoirepourinscrirevotreserveurauprèsd’unserveurActiveDirectory
ouOpenDirectorysurlequelKerberosestconfiguréettourne.Puis,àl’aided’Admin
Serveur,vousdeveztransformervotreserveurOpenDirectoryenunmaîtreOpen
Directory.Leserveursubordonnédétermineautomatiquementqu’ilestsubordonnéà
unserveurActiveDirectoryouOpenDirectoryetseconfigureenconséquence.
Vouspouvezaussidisposerd’unerépliquedevotreserveurOpenDirectorysubordonné.Pourcréerunerépliqued’unserveurderépertoiresubordonné,inscrivezvotre
serveurauprèsduserveurpseudo-maîtreetduserveursubordonnéàl’aided’Utilitaire
derépertoire.Configurezensuiteleserveurcommerépliqueduserveursubordonné.
Sivousn’inscrivezpasleserveurauprèsduserveurpseudo-maîtreetduserveur
subordonné,ilserabloquéounedeviendrapasuneréplique.
LorsquevousintégrezdesordinateurssousMacOSXavecvotreserveurderépertoire,
vousvoudrezpeut-êtreajouterunnouveautyped’enregistrementouunenouvelle
classed’objetsauschémaderépertoireafindemieuxgéreretprendreenchargevos
ordinateursclientssousMacOSX.
Parexemple,pardéfaut,ilsepeutqu’iln’yaitpasdetyped’enregistrementPicture
dansvotreschémaderépertoirepourvosutilisateursMacOSX,maisvouspouvezen
ajouterunàvotreschémaderépertoireafinquelesenregistrementsPicturepuissent
êtrestockésdanslabasededonnéesderépertoires.
Sivousvoulezajouterdesenregistrementsoudesattributsàvotreschémaderépertoire,
consultezvotreadministrateurdedomainederépertoirepourobtenirdesinstructions.
Intégrationavecmodificationsauschéma
SivousajoutezdesordinateursMacOSXàvotredomainederépertoireexistant,
vouspouvezapporterdesmodificationsauschémadevotreserveurdedomainede
répertoireafindemieuxprendreenchargelesordinateursclientssousMacOSX.
Intégrationsansmodificationsauschéma
MacOSXetMacOSXServers’intègrentaveclaplupartdesrépertoiresbaséssurLDAP
sansqu’ilsoitnécessaired’apporterdesmodificationsauschémadevotreserveurde
répertoire.Ilsepeuttoutefoisquecertainstypesd’enregistrementnesoientpasreconnusoumaintenusparleschémasderépertoiredevotreserveur.
Lorsquevousajoutezuntyped’enregistrementouunattributàvotreschéma,regardezd’abords’ilyadéjàuntyped’enregistrementouunattributauquelvouspouvez
aisémentlefairecorrespondredansvotreschémaderépertoireexistant.S’iln’yapas
encoredetyped’enregistrementoud’attributauquelvouspouvezlefairecorrespondre,vouspouvezajouterletyped’enregistrementoul’attributàvotreschéma.
Onparled’étendreleschéma.
Chapitre4OutilsdeplanificationetdegestionOpenDirectory 79

Lorsquevousétendezvotreschéma,ilsepeutquevousdeviezchangerlalistedecontrôled’accès(ACL)pardéfautdecertainsattributsafinquelescomptesd’ordinateur
puissentlirelespropriétésutilisateur.Parexemple,vouspouvezconfigurerMacOSX
demanièreàcequ’ilaccèdeauxinformationsdecompted’utilisateurélémentaires
dansundomaineActiveDirectoryd’unserveurWindows2000ouWindows2003ou
ultérieur.
Pourensavoirplussurl’extensiondevotreschéma,consultezl’Annexe«Donnéesde
répertoireMacOSX».
ÉvitementdeconflitsKerberosavecplusieursrépertoires
SivousconfigurezunmaîtreOpenDirectorysurunréseauquidisposed’undomaine
ActiveDirectory,votreréseaudisposeradedeuxroyaumesKerberos:unroyaume
KerberosOpenDirectoryetunroyaumeKerberosActiveDirectory.
Pourdesraisonspratiques,lesautresserveurssurleréseaunepeuventutiliserqu’un
royaumeKerberos.Lorsquevousconfigurezunserveurdefichiers,unserveurdecourrieroutoutautreserveurquipeututiliserl’authentificationKerberos,vousdevezdonc
choisirundesroyaumesKerberos.
MacOSXServerdoitapparteniraumêmeroyaumeKerberosquesesutilisateursclients.
Leroyaumen’aqu’unseulserveurKerberosfaisantautorité,quiestresponsabledetoute
l’authentificationKerberosauseinduroyaume.Eneffet,leserveurKerberosnepeut
authentifierdesclientsetdesserveursqu’auseindesonroyaume.LeserveurKerberosne
peutpasauthentifierdesclientsoudesservicesquiappartiennentàunautreroyaume.
Seulslescomptesd’utilisateurduroyaumeKerberoschoisipourrontbénéficierde
lasignatureunique.Lescomptesd’utilisateurdansl’autreroyaumepeuventtoujours
s’authentifier,maisilsnebénéficierontpasdelasignatureunique.
Sivousconfigurezunserveurpourqu’ilaccèdeàplusieurssystèmesderépertoiredisposantchacundeleurpropreroyaumeKerberos,planifiezsoigneusementlescomptes
d’utilisateurquiutiliserontdesserviceskerbérisés.Vousdevezconnaîtrel’intentionqui
peutprésiderl’accèsàdeuxservicesderépertoire.Vousdevezconnecterleserveurau
royaumedontledomainederépertoirecompagnoncontientlescomptesd’utilisateur
quidoiventutiliserKerberosetbénéficierdelasignatureunique.
Parexemple,ilsepeutquevoussouhaitiezconfigurerl’accèsàunroyaumeActive
Directorypoursesenregistrementsd’utilisateuretunrépertoireLDAPOpenDirectory
pourlesenregistrementsetlesattributsMacOSXquinesontpasdansActiveDirectory,comme,parexemple,lesenregistrementsdegroupeetd’ordinateur.D’autresserveurspourraientseconnecterauroyaumeKerberosActiveDirectoryouauroyaume
KerberosOpenDirectory.
80 Chapitre4OutilsdeplanificationetdegestionOpenDirectory

Danscecas,ilestrecommandéquecesautresserveursseconnectentauroyaume
KerberosActiveDirectoryafinquelescomptesd’utilisateurActiveDirectorybénéficientdelasignatureunique.
Sivousavezaussidescomptesd’utilisateurdanslerépertoireLDAPduserveurOpen
Directory,lesutilisateurspeuventtoujourss’authentifierauprèsd’eux,maislescomptesd’utilisateurOpenDirectoryn’utiliserontpasKerberosetnebénéficierontpasde
lasignatureunique.Ilsutiliserontdesméthodesd’authentificationduserveurdemots
depasseOpenDirectory.
VouspourriezmettretouslesutilisateursMacdansledomaineOpenDirectoryet
touslesutilisateursWindowsdansledomaineActiveDirectory,etilspourraienttous
s’authentifier,maisunseulgroupepourraitutiliserKerberos.
Important:neconfigurezpasunmaîtreouunerépliqueOpenDirectorypourqu’il
accèdeaussiàundomaineActiveDirectory(ouàtoutautredomainederépertoire
ayantunroyaumeKerberos).Sivouslefaites,leroyaumeKerberosOpenDirectoryetle
royaumeKerberosActiveDirectorytenterontd’utiliserlesmêmesfichiersdeconfigurationsurleserveurOpenDirectory,cequiperturberaprobablementl’authentification
KerberosOpenDirectory.
PourévitertoutconflitdefichiersdeconfigurationKerberos,n’utilisezpasdeserveur
OpenDirectorycommestationdetravailpourlagestiondesutilisateursdansle
domainederépertoired’unautreserveurKerberos,comme,parexemple,dansun
domaineActiveDirectory.Utilisezplutôtunordinateuradministrateur(unordinateur
MacOSXsurlequellesoutilsd’administrationdeserveursontinstallés)configurépour
accéderauxdomainesderépertoireliés.
SivousdevezutiliserunserveurOpenDirectorypourgérerlesutilisateursdudomaine
derépertoired’unautreserveur,assurez-vousquel’autredomainederépertoirenefait
paspartiedelapolitiquederecherched’authentificationduserveurOpenDirectory.
PouréviterunconflitdefichiersdeconfigurationKerberos,n’utilisezpasnonplusun
serveurOpenDirectorypourfournirdesservicesquiaccèdentaudomainederépertoired’unautreserveurKerberos.
Parexemple,sivousconfigurezleservicedefichiersAFPpourqu’ilaccèdetantàOpen
Directoryqu’àActiveDirectory,n’utilisezpasunserveurOpenDirectorypourfournir
leservicedefichiers.Utilisezunautreserveuretconnectez-leauroyaumeKerberos
del’unoudel’autreservicederépertoire.
Chapitre4OutilsdeplanificationetdegestionOpenDirectory 81

Enthéorie,lesserveursetlesclientspeuventapparteniràdeuxroyaumesKerberos,
comme,parexemple,àunroyaumeOpenDirectoryetàunroyaumeActiveDirectory.
L’authentificationKerberosmultiroyaumerequierttoutefoisuneconfigurationtrèsavancée,quicomprendnotammentlaconfigurationdesserveursetdesclientsKerberospour
l’authentificationinter-royaumeetlarévisiondulogicieldesserviceskerbérisésafinqu’il
puisseapparteniràplusieursroyaumes.
Améliorationdesperformancesetdelaredondance
VouspouvezaméliorerlesperformancesdesservicesOpenDirectoryenajoutantde
lamémoireauserveuretenlimitantlesservicesqu’ilfournit.CettestratégieestégalementvalablepourtouslesautresservicesdeMacOSXServer.Plusvouslimitezle
nombredeservicesoffertsparunserveur,meilleuressontsesperformances.
Au-delàdecettestratégiegénérale,vouspouvezaussiaméliorerlesperformancesdes
serveursOpenDirectoryenassignantlabasededonnéesLDAPàunvolumequiluiest
propreetleshistoriquesOpenDirectoryàunautrevolume.
Sivotreréseaucontientdesrépliquesd’unmaîtreOpenDirectory,vouspouvezaméliorerlesperformancesduréseauenréduisantlafréquencedemiseàjourdesrépliques.
Desmiseàjourmoinsfréquentessignifientquelesrépliquesontdesdonnéesde
répertoiremoinsàjour.Vousdevezdonctrouverunjustemilieuentredesperformancesréseauélevéesetdesrépliquesprécises.
PouruneplusgranderedondancedesservicesOpenDirectory,configurezdesserveurs
supplémentairescommerépliquesOpenDirectoryouutilisezdesserveursavecdes
ensemblesRAID.
82 Chapitre4OutilsdeplanificationetdegestionOpenDirectory

Sécuritéd’OpenDirectory
AvecMacOSXServer,unserveuravecundomainederépertoireLDAPpartagéfournit
aussil’authentificationOpenDirectory.Ilestimportantdeprotégerlesdonnées
d’authentificationstockéesparOpenDirectory.Cesdonnéesd’authentificationcomprennentlabasededonnéesduserveurdemotsdepasseOpenDirectoryainsique
labasededonnéesKerberos,quidoitaussiêtreprotégée.Parconséquent,vousdevez
vousassurerquelemaîtreOpenDirectoryettouteslesrépliquesOpenDirectorysont
bienprotégésensuivantlesinstructionsci-dessous:
 Lasécuritéphysiqued’unserveurmaîtreourépliqueOpenDirectoryestessentielle.
Protégez-enl’accèsparuneporteverrouilléeetfermeztoujourscelle-ciàclé.
 Gardezenlieusûrlessupportsdesauvegardedelabasededonnéesduserveurde
motsdepasseOpenDirectoryetdelabasededonnéesKerberos.Lefaitdeplacer
vosserveursOpenDirectorydansunepièceferméeàcléneprotégerapaslabande
desauvegardequevouslaissezsurvotrebureau.
 N’utilisezpaslesserveursOpenDirectory,maîtreourépliques,pourfournird’autres
services.S’ilvousestimpossibledeconsacrerexclusivementvosserveursauxrôles
demaîtresouderépliquesOpenDirectory,essayezdelimiterlenombredeservices
qu’ilsfournissent.
L’undecesautresservicespourraitcomporterunefailledesécuritépermettantun
accèsilliciteauxbasesdedonnéesKerberosouduserveurdemotsdepasseOpen
Directory.L’emploideserveursdédiésauxservicesOpenDirectoryestunesolution
idéalemaispasobligatoire.
 Configurezdeslistesdecontrôled’accèsauxservices(SACL)pourlafenêtred’ouverturedesessionetSecureShell(SSH)afindedéterminerquelsutilisateurspeuvent
ouvrirunesessionsurunmaîtreouunerépliqueOpenDirectory.
 Évitezd’utiliserunvolumeRAIDpartagéavecd’autresordinateurscommevolume
dedémarraged’unserveurquiestmaîtreourépliqueOpenDirectory.Unefaillede
sécuritésurl’undesautresordinateursreprésenteunemenacepotentiellepour
lasécuritédesinformationsd’authentificationOpenDirectory.
 Configurezleservicedecoupe-feuIPpourqu’ilbloquetouslesportsàl’exceptionde
ceuxutiliséspourlesprotocolesderépertoire,d’authentificationetd’administration
suivants:
 LeserveurdemotsdepasseOpenDirectoryutiliselesports106et3659.
 LecentrededistributiondeclésKerberosutiliseleportTCP/UDP88etleport
TCP/UDP749estutilisépourl’administrationKerberos.
 LerépertoirepartagéLDAPutiliseleportTCP389pourlesconnexionsnormaleset
leportTCP636pourlesconnexionsSSL.
Chapitre4OutilsdeplanificationetdegestionOpenDirectory 83

 Lorsdelacréationd’unerépliqueOpenDirectory,gardezleport22ouvertentre
lemaîtreetlafutureréplique.Ceportestutilisépourlestransfertsdedonnées
SecureShell(SSH),leprotocoleutilisépourtransférerunecopiecomplèteetà
jourdelabasededonnéesLDAP.Aprèslaconfigurationinitialedelaréplique,
seulleportLDAP(389ou636)estutilisépourlaréplication.
 GestionnairedegroupedetravailutiliselesportsTCP311et625.
 AdminServeurutiliseleportTCP311.
 SMButiliselesportsTCP/UDP137,138,139et445.
 Équipezl’ordinateurmaîtreOpenDirectoryd’unsystèmed’alimentationsans
coupure(onduleur).
Enrésumé,pourunmaximumdesécurité,faitescequisuit:
 DédieztouslesserveursOpenDirectory,maîtreouréplique,àlafournituredeservices
OpenDirectory.
 Configurezuncoupe-feusurcesserveurspournefournirquecequisuit:protocoles
d’accèsauxrépertoires,d’authentificationetd’administration(LDAP,serveurdemots
depasse,Kerberos,GestionnairedegroupedetravailetGestionnairedeserveur).
 ProtégezphysiquementchaqueserveurOpenDirectoryainsiqueleurssupportsde
sauvegarde.
Laréplicationdedonnéesderépertoireetd’authentificationsurleréseaureprésente
unrisqueminimepourlasécurité.Eneffet,lesdonnéesdemotdepassesontrépliquéesdefaçonsécuriséeàl’aidedeclésaléatoiresnégociéeslorsdechaquesessionde
réplication.Lapartiedutraficdeduplicationconcernantl’authentification(leserveur
demotsdepasseOpenDirectoryetlecentrededistributiondeclésKerberos)est
entièrementcryptée.
Pourplusdesécuritéencore,configurezlesconnexionsréseauentreserveurs
OpenDirectoryafinqu’ellesutilisentdescommutateursréseauplutôtquedes
concentrateurs.Celaisoleletraficderéplicationd’authentificationsurdessegments
deréseausûrs.
84 Chapitre4OutilsdeplanificationetdegestionOpenDirectory

Listesdecontrôled’accèsàunservice(SACL)
MacOSXutilisedesSACLpourdonnerauxutilisateursl’autorisationd’accèsàunservice.LesSACLsontcomposéesd’entréesdecontrôled’accès(ACE)quisontutilisées
pourdéterminerlesautorisationsprivilègesd’accèsàservicequ’unutilisateurpossède.
VouspouvezutiliserdesSACLpourautoriserourefuserl’accèsàunmaîtreouune
répliqueOpenDirectoryendéfinissantdesSACLpourlafenêtred’ouverturedesessionetSSH.Celarestreintl’accèsauservice.
VouspouvezaussiutiliserdesSACLpourdéfinirl’accèsdesadministrateursàOpen
Directory.Celanerestreintpasl’accèsauservice,maisspécifiequipeutadministrerou
surveillerleservice.PourensavoirplussurladéfinitiondeSACLpouradministrateurs,
consultez«Configurationducontrôled’accèsàunservice»àlapage207.
LesSACLvousdonneplusdecontrôlesurlaspécificationdesadministrateursquiont
accèspourlasurveillanceetlagestionduservice.Seulslesutilisateursetlesgroupes
quifigurentdansuneSACLontaccèsauserviceenquestion.Parexemple,sivousvoulezdonnerunaccèscommeadministrateurauxutilisateursougroupesauserviceOpen
Directorysurvotreserveur,ajoutez-lesàlaSACLOpenDirectorysouslaformed’ACE.
Administrationparniveaux
MacOSXServern’utilisepasdesunitésorganisationnelles(UO)pourlesprivilègesutilisateurougroupedanslesservicesderépertoire.Lesautorisationssontindépendantes
delamanièredontvousorganisezvotrebasededonnéesderépertoires.MacOSX
Server10.5utilisel’administrationparniveauxpouruneplusgrandegranularitédes
privilègesdelectureetd’écrituredesutilisateurssurlesenregistrementsdanslabase
dedonnéesderépertoires.
LesprivilègesdesutilisateurssontcontrôlésenorganisantlesutilisateursoulesgroupesenuneACLetendonnantauxutilisateursdesprivilègesdelectureetd’écrituresur
lesenregistrements.Lesentréesdesutilisateursougroupes,danslesACL,sontappeléesdesACE.Grâceàl’administrationparniveaux,vouspouvezorganiserfacilement
vosutilisateursauseindegroupesetspécifierlesenregistrementsqu’ungroupepeut
administrer.
Chapitre4OutilsdeplanificationetdegestionOpenDirectory 85

Sivousutilisezl’administrationparniveaux,considérezlespointssuivants:
 Quiferapartiedugroupe
 Lesprivilègesquevoussouhaitezdonneràchaquegroupe
 Lesenregistrementsquevoussouhaitezfaireadministrerparvotregroupe
Vouspouvezdonnerauxutilisateursougroupesuncontrôlecompletoulimitésur
l’administrationdesdomaines.Lorsquevousdonnezuncontrôleadministratiflimité,
vouspouvezchoisirquelsutilisateursetgroupesunutilisateurougroupepeutadministrer.Vouspouvezaussispécifierlescontrôlesquel’utilisateurasurcesutilisateurset
groupes.Parexemple,donneràunutilisateurlecontrôlecompletdonneàcetutilisateuruncontrôleillimitésurledomainederépertoire.
Vousnepouvezmodifierquelesprivilègesdedomained’unutilisateurpourlesdomainesLDAPv3.Vousnepouvezpasmodifierlesprivilègesd’uncomptededomainede
répertoirelocaloud’uncomptestockédansundomainederépertoirenon-LDAPv3.
LesadministrateursintégrauxetlimitésdoiventutiliserleGestionnairedegroupe
detravailpouradministreretgérerlesutilisateurs.Pourensavoirplus,consultez
lasectionGestiondesutilisateurs.
OutilspourlagestiondesservicesderépertoireOpenDirectory
LesapplicationsAdminServeur,UtilitairederépertoireetGestionnairedegroupede
travailfournissentdesinterfacesgraphiquespourlagestiondesservicesOpenDirectorysousMacOSXServer.Deplus,vouspouvezgérerlesservicesOpenDirectoryà
partirdelalignedecommandesdeTerminal.
ToutescesapplicationssontlivréesavecMacOSXServeretpeuventêtreinstallées
surunautreordinateursousMacOSX10.5ouultérieurpourfairedecetordinateur
unordinateuradministrateur.Pourensavoirplussurlaconfigurationd’unordinateur
administrateur,lisezlechapitresurl’administrationdeserveurdanslePremierscontacts.
86 Chapitre4OutilsdeplanificationetdegestionOpenDirectory

AdminServeur
L’applicationAdminServeurdonneaccèsàdesoutilsdestinésàlaconfiguration,la
gestionetlecontrôledesservicesOpenDirectoryetd’autresservices.Adminserveur
vouspermetde:
 ConfigurerMacOSXServerentantquemaîtreourépliqueOpenDirectory,entant
queserveurconnectéàunsystèmederépertoireouentantqueservicederépertoireautonomenecomportantqu’undomainederépertoirelocal.Pourensavoir
plus,consultezlechapitre5,«ConfigurationdesservicesOpenDirectory».
 ConfigurerdessystèmesMacOSXServersupplémentairesdetellemanièrequ’ils
puissentutiliserlecentrededistributiondeclésKerberosd’unmaîtreoud’une
répliqueOpenDirectory.Pourensavoirplus,consultezlechapitre5.
 ConfigurerlesoptionsLDAPd’unmaîtreOpenDirectory.Pourensavoirplus,
consultezlechapitre5.
 ConfigurerleserviceDHCPpourqu’ilfournissel’adressed’unserveurLDAPàdes
ordinateursMacOSXutilisantdespolitiquesderechercheautomatiques.Pouren
savoirplus,consultezlechapitreconsacréàDHCPdeAdministrationdesservicesde
réseau.
 Définirdespolitiquesdemotdepasses’appliquantàtouslesutilisateursquinedisposentpasdepolitiquedemotdepasseparticulières.Pourensavoirplus,consultez
lechapitre6,«Gestiondel’authentificationd’utilisateur».(Pourdéfinirdespolitiquesdemotdepasse,utilisezGestionnairedegroupedetravail.Voiràcepropos
lechapitre6).
 ContrôlerlesservicesOpenDirectory.Pourensavoirplus,consultezlechapitre9,
«MaintenancedesservicesOpenDirectory».
Pourdesinformationsdebasesurl’utilisationd’AdminServeur,consultezlechapitre
consacréàl’administrationdeserveursdansPremierscontacts.Cechapitreexpliquece
quisuit:
 Ouverturedel’applicationAdminServeuretauthentification
 Utilisationdeserveurs
 Administrationdesservices
 Contrôledel’accèsauxservices
 UtilisationdeSSLpourl’administrationàdistancedesserveurs
 Personnalisationdel’environnementd’AdminServeur
AdminServeursetrouvedans/Applications/Server/.
Chapitre4OutilsdeplanificationetdegestionOpenDirectory 87

Utilitairederépertoire
UtilitairederépertoiredéterminecommentunordinateurMacOSXutiliselesservices
derépertoire,détectelesservicesderéseauetrecherchentdesinformationsd’authentificationetdecontactsdanslesservicesderépertoire.Utilitairederépertoirepermetde:
 Configurerl’accèsàdesrépertoiresLDAP,àundomaineActiveDirectoryetàun
domaineNetworkInformationServices(NIS)
 ConfigurerlemappagededonnéespourlesrépertoiresLDAP
 Définirdespolitiquesderecherched’informationsd’authentificationetdecontacts
dansplusieursservicesderépertoire
 Activeroudésactiverdestypesdeservicesderépertoiresetdestypesdedétections
deservicesderéseau
Utilitairederépertoirepeutseconnecteràd’autresserveurssurvotreréseauafinque
vouspuissiezlesconfigureràdistance.
Pourensavoirplussurl’utilisationd’Utilitairederépertoire,consultezlechapitre7,
«Gestiondesclientsderépertoire»..
Utilitairederépertoireestinstallé,surtouslesordinateursMacOSX,dansledossier
/Applications/Utilitaires/.
Gestionnairedegroupedetravail
L’applicationGestionnairedegroupedetravailpermetunegestioncomplètedes
clientsdeMacOSXServer.Gestionnairedegroupedetravailvouspermetde:
 Configureretgérerlescomptesd’utilisateur,lescomptesdegroupeetlesgroupes
d’ordinateurs.Pourensavoirplussurlagestiondel’authentificationutilisateur,consultezlechapitre6,«Gestiondel’authentificationd’utilisateur».Pourensavoirplus
surd’autressujetsliésàlagestiondesutilisateurs,desgroupesetdesordinateurs,
consultezlasectionGestiondesutilisateurs.
 Gérerlespointsdepartagepourlesservicesdefichiersetlesdossiersdedépartdes
utilisateurs.Pourensavoirplus,consultezleschapitresconsacrésauxpointsdepartageetauxservicesSMBdansAdministrationdesservicesdefichieretlechapitreconsacréauxdossiersdedépartdansGestiondesutilisateurs.
 ContrôlercequelesutilisateursMacOSXvoientlorsqu’ilssélectionnentleglobe
RéseaudansunebarrelatéraleduFinder.Pourensavoirplus,consultezlechapitre
consacréàlagestiondeprésentationsderéseaudansGestiondesutilisateurs.
 Visionnerdesentréesderépertoiresousuneformebruteàl’aidedel’Inspecteur.
Pourensavoirplus,consultezlarubrique«Affichageetmodificationdesdonnéesde
répertoire»àlapage212.
88 Chapitre4OutilsdeplanificationetdegestionOpenDirectory

Pourdesinformationsdebasesurl’utilisationdeGestionnairedegroupedetravail,
consultezlechapitreconsacréàl’administrationd’unserveurdansPremierscontacts.
Cechapitreexpliquecequisuit:
 OuvertureetauthentificationdansGestionnairedegroupedetravail
 Administrationdescomptes
 Personnalisationdel’environnementdeGestionnairedegroupedetravail
Gestionnairedegroupedetravailsetrouvedansledossier/Applications/Server/.
Utilitairesdelignedecommande
Touteuneséried’outilsdelignedecommandeestdisponiblepourlesadministrateurs
quipréfèrentutiliserl’administrationdeserveuràl’aidedecommandes.
Pourlagestiondeserveuràdistance,soumettezlescommandesdansunesession
SecureShell(SSH).
VouspouvezsaisirdescommandessurdesserveursetdesordinateursMacOSXà
l’aidedel’applicationTerminal,quisetrouvedansledossier/Applications/Utilitaires/.
Pourensavoirplus,consultezAdministrationdelignedecommande.
Chapitre4OutilsdeplanificationetdegestionOpenDirectory 89

5 Configurationdesservices
OpenDirectory
5
LesservicesOpenDirectory(servicesderépertoireset
d’authentification)constituentunepartieessentielle
del’infrastructured’unréseau.Cesservicesaffectent
considérablementlesautresservicesetutilisateurs
duréseau.C’estpourquoiOpenDirectorydoitêtre
configurécorrectementdèsledébut.
Vued’ensembledelaconfiguration
RésumédestâchesprincipalesàréaliserpourconfigurerlesservicesOpenDirectory.
Pourobtenirdesinformationsdétailléessurchaqueétape,consultezlespagesindiquées.
Étape1:Avantdecommencer,élaborezunprogramme
Pourobtenirlalistedesélémentsàprendreenconsidérationavantdeconfigurer
OpenDirectorysurMacOSXServer,consultez«Avantdecommencer»àlapage93.
Étape2:ActivezleserviceOpenDirectory
UtilisezAdminServeurpouractiverleserviceOpenDirectory.Unefoisqueleservice
estactivé,vouspouvezleconfigurer.Pourensavoirplussurl’activationduservice
OpenDirectory,consultezlarubrique«Activationd’OpenDirectory»àlapage94.
Étape3:Configurezunservicederépertoireautonome
Pourconfigurerdesserveursquinerecevrontpasd’informationsd’authentificationou
d’autresinformationsadministrativesd’unservicederépertoires,consultezlarubrique
«Configurationd’unservicederépertoireautonome»àlapage94.
Étape4:ConfigurezunmaîtreOpenDirectory
Pourconfigurerunserveurpourqu’ilfournissedesservicesderépertoireetd’authentification,consultezlesrubriques«CompatibilitéentremaîtreetrépliquesOpenDirectory»
àlapage76et«Configurationd’unmaîtreOpenDirectory»àlapage95.
91

Étape5:Configurezuncontrôleurdedomaineprincipal
Pourconfigurerunserveurpourfournirdesservicesderépertoireetd’authentification
pourlesplates-formesWindowsetMacOSX,consultezlarubrique«Configuration
d’uncontrôleurdedomaineprincipal»àlapage98.
Étape6:ConfigurezunerépliqueOpenDirectory
Pourconfigurerunouplusieursserveurspourqu’ilsfournissentdesservicesderépertoiredebasculementetd’authentificationoudesservicesderépertoireàdistance
etd’authentificationpourl’interactionrapideentreclientssurdesréseauxdistribués,
consultezlarubrique«Configurationd’unerépliqueOpenDirectory»àlapage102.
Étape7:ConfigurezdesrelaisOpenDirectorypourlaréplicationencascade
Pourconfigurerunserveurcommerépliqueourelaisd’unmaîtreOpenDirectory
pourfournirdesinformationssurlesrépertoiresetdesinformationsd’authentification
auxordinateurs,consultezlarubrique«ConfigurationderelaisOpenDirectorypourla
réplicationencascade»àlapage105.
Étape8:Configurezunserveurcommecontrôleurdedomainesecondaire
Pourconfigurerdesserveurspourfournirunepriseenchargedubasculementpour
votrecontrôleurdedomaineprincipal,consultezlarubrique«Configurationd’unserveurcommecontrôleurdedomainesecondaire»àlapage106.
Étape9:Configurezlesserveursquiseconnectentàd’autressystèmesderépertoire
Sivousdisposezdeserveursdefichiersoud’autresserveursquiaccèdentàdesservicesderépertoireetd’authentification,consultezlarubrique«Configurationd’uneconnexionàunserveurderépertoire»àlapage108.
Étape10:Configurezl’authentificationKerberosparsignatureunique
SivousavezunmaîtreOpenDirectory,vouspouvezconfigurerd’autresserveurspour
qu’ilsseconnectentàsonroyaumeKerberos.SivousconfigurezunmaîtreOpenDirectorysansKerberos,vouspouvezconfigurerKerberosplustard.Pourensavoirplus,consultezlarubrique«Configurationdel’authentificationKerberosparsignatureunique»
àlapage113.
Étape11:Configurezdesordinateursclientspourqu’ilsseconnectentàdesservices
derépertoire
SivousavezunmaîtreOpenDirectory,vousdevezconfigurerlesordinateursclients
pourqu’ilsaccèdentàsondomainederépertoire.Vouspouvezaussiconfigurerles
clientspourqu’ilsaccèdentàd’autresservicesderépertoirecomme,parexemple,
MicrosoftActiveDirectory.Consultezlechapitre7,«Gestiondesclientsderépertoire.»
etlechapitre8,«Réglagesavancésdesclientsderépertoire.».
Étape12:Expliquezauxutilisateurscommentouvrirunesession
Consultezlarubrique«Explicationdelafaçond’ouvrirunesession»àlapage98.
92 Chapitre5ConfigurationdesservicesOpenDirectory

Avantdecommencer
AvantdeconfigurerdesservicesOpenDirectorypourlapremièrefois:
 Comprenezlesutilisationsdesdonnéesderépertoireetévaluezvosbesoinsen
répertoires.
Identifiezlesservicesquinécessitentdesdonnéesissuesdedomainesderépertoire
etdéterminezquelsutilisateursdoiventaccéderàcesservices.
Lesutilisateursdontlesinformationspeuventêtreaisémentgéréessurunserveur
doiventêtredéfinisdanslerépertoireLDAPpartagéd’unMacOSXServerquiest
unmaîtreOpenDirectory.Certainsdecesutilisateurspourrontêtredéfinisdansdes
domainesderépertoired’autresserveurs,telsqu’undomaineActiveDirectorysur
unserveurWindows.
Cesconceptssontprésentésauchapitre1,«Servicesderépertoireavec
OpenDirectory.»
 Évaluezs’ilvousfautplusieursdomainespartagés.Sic’estlecas,choisissezlesutilisateurs
àdéfinirdanschaquedomainepartagé.Pourensavoirplus,consultezlarubrique
«Politiquesderecherchemultiniveaux»àlapage38.
 Déterminezquellessontlesoptionsd’authentificationnécessairesauxutilisateurs.
Pourobtenirlesoptionsdisponibles,consultezlechapitre3,«AuthentificationOpen
Directory.»OptezpourdesrépliquesdevotremaîtreOpenDirectoryoupourun
contrôleurdedomainesecondairedevotrecontrôleurdedomaineprincipal.
Lechapitre4,«OutilsdeplanificationetdegestionOpenDirectory,»contientdes
instructionsàcesujet.
 Sélectionnezlesadministrateursdesserveursavecsoin.Nedonnezunmotdepasse
d’administrateurqu’auxpersonnesenquivousavezentièreconfiance.Limitezau
maximumlenombred’administrateurs.N’attribuezàaucunutilisateurdedroits
d’accèsd’administrateurpourprocéderàdestâchesmineures,tellequelamodificationderéglagesdansunefiched’utilisateur.
Lesinformationsderépertoireontunegrandeincidencesurtouteslespersonnesdont
l’ordinateurlesutilisent.
Gestiond’OpenDirectorysurunserveurdistant
VouspouvezinstallerAdminServeursurunordinateursousMacOSX10.4ouultérieur
etl’utiliserpourgérerOpenDirectorysurn’importequelserveursurvotreréseaulocal
ouau-delà.VouspouvezaussigérerOpenDirectoryàdistanceenvousservantdes
outilsàlignedecommandesurunordinateurMacOSXousurunordinateurnon-
Macintosh.
Pourensavoirplus,consultezlechapitreconsacréàl’administrationdeserveurde
Premierscontacts.
Chapitre5ConfigurationdesservicesOpenDirectory 93

Activationd’OpenDirectory
PourpouvoirconfigurerOpenDirectory,vousdevezactiverleserviceOpenDirectory
dansAdminServeur.
PouractiverleserviceOpenDirectory:
1 OuvrezAdminServeuretconnectez-vousauserveur.
2 CliquezsurRéglages.
3 CliquezsurServices.
4 SélectionnezlacaseOpenDirectory.
5 CliquezsurEnregistrer.
Configurationd’unservicederépertoireautonome
Al’aided’AdminServeur,vouspouvezconfigurerMacOSXServerpourutiliseruniquementledomainederépertoirelocalduserveur.Leserveurnefournitaucuneinformationsurlesrépertoiresauxautresordinateursetn’enobtientpasd’unsystèmeexistant.
(Ledomainederépertoirelocalnepeutêtrepartagé.)
SivousmodifiezMacOSXServerpourobtenirdesinformationsderépertoiresuniquementàpartirdesondomainederépertoirelocal,lesenregistrementsd’utilisateurs
etlesautresinformationsqueleserveuravaitrécupérésurundomainederépertoire
partagédeviennentinaccessibles:lesenregistrementsd’utilisateuretlesautresinformationsquifigurentdansledomainederépertoirepartagésontsupprimés.
Lesfichiersetdossiersduserveurpeuventdevenirinaccessiblesauxutilisateursdont
lescomptessetrouventdansledomainederépertoirepartagé.
SileserveurétaitunmaîtreOpenDirectoryetd’autresserveursyétaientconnectés,
cequisuitpeutseproduire:
 Desservicespeuventêtreinterrompussurlesserveursconnectéssilescomptes
d’utilisateuretlesautresinformationsdudomainederépertoirepartagédeviennent
inaccessibles.
 Lesutilisateursdontlescomptessetrouventdansledomainederépertoirepartagé
peuventnepaspouvoiraccéderauxfichiersetdossierssituéssurlemaîtreOpen
DirectoryetsurlesautresserveursquiétaientconnectésàsondomainederépertoireLDAPpartagé.
Vouspouvezarchiverunecopiedesdonnéesderépertoireetd’authentificationdu
maîtreOpenDirectoryavantdeletransformerenservicederépertoireautonome.
Pourensavoirplus,consultezlarubrique«Archivaged’unmaîtreOpenDirectory»à
lapage230.
Vouspouvezaussiexporterdesutilisateurs,desgroupesetdesgroupesd’ordinateursàpartirdumaîtreOpenDirectoryavantdeletransformerenservicederépertoireautonome.Pourensavoirplus,reportez-vousàlasectionGestiondesutilisateurs.
94 Chapitre5ConfigurationdesservicesOpenDirectory

Pourconfigurerunserveurafinqu’ilutiliseuniquementsonpropredomainede
répertoirelocalnonpartagé:
1 OuvrezAdminServeuretconnectez-vousauserveur.
2 Cliquezsurletriangleàgaucheduserveur.
Lalistedesservicesapparaît.
3 Danslalistedesserveursdéveloppée,sélectionnezOpenDirectory.
4 CliquezsurRéglages,puissurGénéral.
5 CliquezsurModifier.
L’Assistantdeconfigurationdeservices’ouvre.
6 ChoisissezAutonome,puiscliquezsurContinuer.
7 ConfirmezleréglagedeconfigurationOpenDirectory,puiscliquezsurContinuer.
8 Sivousêtessûrquelesutilisateursetlesservicesn’ontplusbesoind’accéderauxdonnéesderépertoireenregistréesdansledomainederépertoirepartagéqueleserveura
hébergéouauquelilétaitconnecté,cliquezsurFermer.
Configurationd’unmaîtreOpenDirectory
Àl’aided’AdminServeur,vouspouvezconfigurerMacOSXServercommemaîtreOpen
Directoryafinqu’ilpuissefournirdesinformationsderépertoiresetd’authentificationà
d’autressystèmes.
MacOSXServerfournitdesinformationsderépertoiresenhébergeantundomainede
répertoireLDAPpartagé.Deplus,leserveurauthentifielesutilisateursdontlescomptessontenregistrésdansledomainederépertoireLDAPpartagé.
UnmaîtreOpenDirectorydisposed’unserveurdemotsdepasseOpenDirectoryqui
prendenchargetouteslesméthodesd’authentificationconventionnellesrequisespar
lesservicesMacOSXServer.Deplus,unmaîtreOpenDirectorypeutfournirl’authentificationKerberospourlasignatureunique.
SivoussouhaitezquelemaîtreOpenDirectoryfournissel’authentificationKerberos
pourlasignatureunique,leDNSdoitêtredisponiblesurleréseauetdoitêtreconfiguré
correctementpourrésoudrelenomDNScompletduserveurdumaîtreOpenDirectory
etleconvertirensonadresseIP.DNSdoitaussiêtreconfigurépourrésoudrel’adresseIP
etlaconvertirdanslenomDNScompletduserveur.
Important:sivoustransformezunerépliqueOpenDirectoryenunmaîtreOpenDirectory,
laprocédureàsuivredépenddesavoirsilarépliquedoitremplacerlemaîtrepourdevenir
unmaîtresupplémentaire.
 Pourpromouvoirunerépliquepourqu’elleremplaceunmaîtrenonopérationnel,
suivezlesinstructionsquifigurentdanslarubrique«Promotiond’unerépliqueOpen
Directory»àlapage226plutôtquelesinstructionsci-dessous.
Chapitre5ConfigurationdesservicesOpenDirectory 95

 Pourfaired’unerépliqueunmaîtresupplémentaire,déclassezd’abordlaréplique
commedécritdans«Misehorsserviced’unerépliqueOpenDirectory»àla
page229,puisfaites-enunmaîtreensuivantlesétapesdecetterubrique.
Remarque:siMacOSXServerétaitconnectéàunsystèmederépertoireetquevous
transformezleserveurenmaîtreOpenDirectory,ilresteconnectéàl’autresystèmede
répertoire.Leserveurrechercheralesfichesd’utilisateuretd’autresinformationsdans
sondomainederépertoireLDAPpartagéavantderechercherdansd’autressystèmes
derépertoireauxquelsilestconnecté.
PourconfigurerunserveurenmaîtreOpenDirectory:
1 OuvrezAdminServeuretconnectez-vousauserveur.
2 Cliquezsurletriangleàgaucheduserveur.
Lalistedesservicesapparaît.
3 Danslalistedesserveursdéveloppée,sélectionnezOpenDirectory.
4 CliquezsurRéglages,puissurGénéral.
Sil’optionRôleestrégléesurRépliqueOpenDirectoryetquevoussouhaitezcréerun
nouveaumaîtreOpenDirectory,vousdevezchangerlerôleduserveurenAutonome.
Pourensavoirplus,consultezlarubrique«Configurationd’unservicederépertoire
autonomeȈlapage94.
SivousnetransformezpasunerépliqueOpenDirectoryenserveurautonomeavant
d’enfaireunmaître,vouspromouvezlarépliqueenmaîtreaulieudecréerunnouveaumaître.Pourensavoirplus,consultezlarubrique«Promotiond’uneréplique
OpenDirectoryȈlapage226.
5 CliquezsurModifier.
L’Assistantdeconfigurationdeservices’ouvre.
6 SélectionnezMaîtreOpenDirectory,puiscliquezsurContinuer.
7 Saisissezlesinformationssuivantessurl’administrateurdedomainemaître,puiscliquezsurContinuer.
 Nom,nomabrégé,identifiantd’utilisateur,motdepasse:vousdevezcréerunnouveau
compted’utilisateurpourl’administrateurprincipaldurépertoireLDAP.Cecompte
n’estpasunecopieducompted’administrateurdansledomainederépertoirelocal
duserveur.Utilisez,pourl’administrateurderépertoireLDAP,desnomsetunidentifiantd’utilisateurdifférentsdesnomsetdesidentifiantsd’utilisateurdescomptes
d’utilisateurquifigurentdansledomainederépertoirelocal.Deplus,sivousvoulez
empêcherlecompted’administrateurderépertoired’apparaîtredanslafenêtre
d’ouverturedesession,assignezaucompted’administrateurderépertoireunidentifiantd’utilisateurinférieurà100.Lescomptesquipossèdentdesidentifiantsd’utilisateurinférieursà100n’apparaissentpasdanslafenêtred’ouverturedesession.
96 Chapitre5ConfigurationdesservicesOpenDirectory

Remarque:sivousprévoyezdeconnectervotremaîtreOpenDirectoryàd’autres
domainesderépertoire,choisissezunnometunidentifiantd’utilisateuruniquesdans
chaquedomaine.N’utilisezpasl’identifiantd’utilisateurdiradminproposépardéfaut.
Utilisezunnomquivousaideàdistinguerledomainederépertoirequel’administrateurderépertoirecontrôle.
8 Saisissezlesinformationssuivantessurledomainemaître,puiscliquezsurContinuer.
 RoyaumeKerberos:cechampestpréréglépourêtreidentiqueaunomDNSdu
serveurconvertienlettresmajuscules.Ils’agitd’uneconventionpournommer
lesroyaumesKerberos.Vouspouvezsaisirunautrenom,sinécessaire.
 Basederecherche:cechampestpréréglésurunsuffixedebasederecherchepour
lenouveaurépertoireLDAP,dérivédelapartieréservéeaudomainedunomDNSdu
serveur.Vouspouvezsaisirunautresuffixedebasederechercheoulaissezlechamp
vide.Sivouslaissezcechampvide,c’estlesuffixedebasederecherchepardéfaut
durépertoireLDAPquiestutilisé.
9 Confirmezlesréglages,puiscliquezsurFermer.
10 Assurez-vousquelemaîtreOpenDirectoryfonctionnecorrectementencliquantsur
Vued’ensemble(danslehautdelafenêtred’AdminServeur,avecOpenDirectory
sélectionnédanslalisteServeurs).
L’étatdetouslesélémentslistésdanslasous-fenêtredevued’ensembled’OpenDirectorydoitêtre«Enservice».SiKerberosrestearrêtéalorsquevoussouhaitezledémarrer,consultezlarubrique«SiKerberosestarrêtésurunmaîtreouunerépliqueOpen
DirectoryȈlapage235.
AprèsavoirconfiguréunordinateurMacOSXServerpourqu’ilsoitunmaîtreOpen
Directory,vouspouvezmodifiersapolitiquedeliaison,sapolitiquedesécurité,sapolitiquedemotdepasse,lafréquencederéplicationetdesoptionsdeprotocoleLDAP.
Pourensavoirplus,reportez-vousàlarubrique«Définitiondesoptionsd’unserveur
OpenDirectoryȈlapage217.
Vouspouvezconfigurerd’autresordinateurssousMacOSXouMacOSXServerpour
qu’ilsaccèdentaudomainederépertoireLDAPpartagéduserveur.Pourensavoirplus,
reportez-vousàlarubrique«UtilisationdesréglagesavancésdesservicesLDAP»àla
page157.
Chapitre5ConfigurationdesservicesOpenDirectory 97

Explicationdelafaçond’ouvrirunesession
Lorsqu’unordinateurMacOSXestconnectéàundomainederépertoireetestconfigurépourqu’ilafficheunelisted’utilisateursdanslafenêtred’ouverturedesession
MacOSX,lalistepeutcontenir«Autre».Ditesauxutilisateursquin’ontjamaisouvert
desessionavecuncompteréseauqu’ilsdoiventcliquersurAutre,puissaisirlenomdu
compteetlemotdepasse.
Lesutilisateurspeuventconfigurerleurordinateurspourquecesderniersn’affichent
pasunelisted’utilisateursdanslafenêtred’ouverturedesession.Lesutilisateurschangentceréglagedanslasous-fenêtreComptesdesPréférencesSystèmeencliquantsur
Optionsd’ouverturedesession.
Vouspouvezafficherlesutilisateursréseaudanslafenêtred’ouverturedesessiond’un
ordinateurounepasaffichercettelistedanslespréférencesdel’ordinateur.Utilisez
Gestionnairedegroupedetravailpourconfigurerdesréglagesdepréférencesd’ouverturedesessionpourlecomptedegrouped’ordinateursquicontientl’ordinateur.Pour
gérerdesordinateursquinefontpaspartied’uncomptedegrouped’ordinateursparticulier,configurezdesréglagesdepréférencesd’ouverturedesessionpourlecompte
Ordinateurshôtes.
Pourensavoirplus,consultezGestiondesutilisateurs.
Configurationd’uncontrôleurdedomaineprincipal
Àl’aided’AdminServeur,vouspouvezconfigurerMacOSXServercommecontrôleur
dedomaineprincipal(PrimaryDomainControllerouPDC)Windows.LePDChéberge
undomaineWindowsetfournitdesservicesd’authentificationauxautresmembresdu
domaine,ycomprisl’authentificationpourl’ouverturedesessiondedomainesurdes
stationsdetravailWindows.
Siaucunserveurmembredudomainen’estdisponible,leserveurPDCpeutfournirdes
servicesdefichiersetd’impressionWindowsethébergerdesprofilsd’utilisateuretdes
dossiersdedépartpourlesutilisateursquidisposentdecomptesd’utilisateursurlePDC.
Important:lorsdelaconfigurationdeMacOSXServercommecontrôleurdedomaine
principal,assurez-vousqu’iln’yapas,survotreréseau,unautrecontrôleurdedomaine
principalpossédantlemêmenomdedomaine.Pourconfigurerd’autrescontrôleursde
domaine,faites-endescontrôleursdedomainesecondaire(BackupDomainControllers
ouBDC).
98 Chapitre5ConfigurationdesservicesOpenDirectory

PourconfigurerunPDCWindows:
1 Assurez-vousqueleserveurestunmaîtreOpenDirectory.
PourdéterminersiunserveurestunmaîtreOpenDirectory,ouvrezAdminServeur,
cliquezsurletriangle(àgaucheduserveur),sélectionnezOpenDirectorydanslaliste
desservicesdéveloppée,puiscliquezsurVued’ensemble.
Lapremièrelignedesinformationsd’étatindiquelerôleduserveurOpenDirectory.
2 OuvrezAdminServeuretconnectez-vousauserveur.
3 CliquezsurRéglages,puissurServices.
4 SélectionnezlacaseSMB,puiscliquezsurEnregistrer.
5 Cliquezsurletriangleàgaucheduserveur.
Lalistedesservicesapparaît.
6 DanslalisteServeurs,sélectionnezSMB.
7 CliquezsurRéglages,puissurGénéral.
8 DanslemenulocalRôle,sélectionnezContrôleurdedomaineprincipal(PDC),
puissaisissezceci:
 Description:cettedescriptionapparaîtdanslafenêtreFavorisréseaudesordinateurs
Windowsetestfacultative.
 Nomdel’ordinateur:saisissezlenomquevousvoulezmontrerutilisateursWindows
lorsqu’ilsseconnectentauserveur.Ils’agitdunomNetBIOSduserveur.Cenomne
peutcomporterplusde15caractères,aucuncaractèrespécialetaucunsignede
ponctuation.Sic’estpossible,utilisezcommenomdeserveurlenomd’hôteDNSnon
complet.Parexemple,sivotreserveurDNSpossèdel’entrée«serveur.exemple.com»
pourvotreserveur,nommezsimplementvotreserveur«serveur».
 Domaine:saisissezlenomdudomaineWindowsqueleserveurvahéberger.Lenom
dedomainenepeutpascomporterplusde15caractèresetdoitêtredifférentde
«workgroup».
9 CliquezsurEnregistrer.
10 Saisissezlenometlemotdepassed’uncompted’administrateurderépertoireLDAP,
puiscliquezsurOK.
Lorsdel’authentification,vousdevezutiliseruncompted’administrateurderépertoire
LDAP.Vousnepouvezpasutiliseruncompted’administrateurlocal,comme,parexemple,lecompted’administrateurduserveurprincipal(identifiantd’utilisateur501),
pourcréeruncontrôleurdedomaineprincipal(PDC).
Chapitre5ConfigurationdesservicesOpenDirectory 99

Unefoisquevousavezconfiguréuncontrôleurdedomaineprincipal,vouspouvez
modifierlesrestrictionsenmatièred’accès,leniveaudedétailpourlajournalisation,
lecodedelapage,lanavigationdansledomaineoul’enregistrementWINS.Ensuite,
silesservicesWindowsnetournentpas,vouspouvezlesdémarrer.Pourensavoirplus,
consultezlasectionAdministrationdesservicesderéseau.
ConfigurationdeWindowsVistapourl’ouverturedesessionde
domaine
Vouspouvezactiverl’ouverturedesessiondedomainesurunordinateursous
WindowsVistaenleconnectantaudomaineWindowsd’uncontrôleurdedomaine
principalMacOSXServer.PourseconnecteraudomaineWindows,ilfautdisposer
dunometdumotdepassed’uncompted’administrateurderépertoireLDAP.
Vouspouvezdéléguercettetâcheàunepersonnedisposantd’uncompted’administrateurlocalsurl’ordinateurWindows.Danscecas,vouspouvezcréeruncompte
d’administrateurderépertoireLDAPtemporairepossédantdesprivilègeslimités.
Pourensavoirplus,consultezlasectionGestiondesutilisateurs.
Remarque:seulsWindowsVistaUltimateetBusinesspeuventêtreconnectésàun
domaine.
PourconnecterunordinateursousWindowsVistaàundomaineWindows:
1 OuvrezunesessiondansWindowsVistaàl’aided’uncompted’administrateurlocal.
2 OuvrezlaPanneaudeconfiguration,puisSystème.
3 CliquezsurModifierlesparamètres.
4 CliquezsurNomdel’ordinateur,puissurModifier.
5 Saisissezunnomd’ordinateur,saisirDomaine,saisissezlenomdedomaineducontrôleurdedomaineprincipalMacOSXServer,puiscliquezsurOK.
Pourrechercherlenomdedomaineduserveur,ouvrezAdminServeursurleserveur
ouunordinateuradministrateur,sélectionnezSMBdanslalisteServeurs,cliquezsur
Réglages,puissurGénéral.
6 Saisissezlenometlemotdepassed’unadministrateurderépertoireLDAP,
puiscliquezsurOK.
100 Chapitre5ConfigurationdesservicesOpenDirectory

ConfigurationdeWindowsXPpourl’ouverturedesessiondedomaine
Vouspouvezactiverl’ouverturedesessiondedomainesurunordinateursous
WindowsXPenleconnectantaudomaineWindowsd’uncontrôleurdedomaine
principalMacOSXServer.PourseconnecteraudomaineWindows,ilfautdisposer
dunometdumotdepassed’uncompted’administrateurderépertoireLDAP.
Vouspouvezdéléguercettetâcheàunepersonnedisposantd’uncompted’administrateurlocalsurl’ordinateurWindows.Danscecas,vouspouvezcréeruncompte
d’administrateurderépertoireLDAPtemporairepossédantdesprivilègeslimités.
Pourensavoirplus,consultezlasectionGestiondesutilisateurs.
PourconnecterunordinateursousWindowsXPàundomaineWindows:
1 OuvrezunesessiondansWindowsXPàl’aided’uncompted’administrateurlocal.
2 OuvrezlaPanneaudeconfiguration,puisSystème.
3 CliquezsurNomdel’ordinateur,puissurModifier.
4 Saisissezunnomd’ordinateur,saisirDomaine,saisissezlenomdedomaineducontrôleur
dedomaineprincipalMacOSXServer,puiscliquezsurOK.
Pourrechercherlenomdedomaineduserveur,ouvrezAdminServeursurleserveur
ouunordinateuradministrateur,sélectionnezSMBdanslalisteServeurs,cliquezsur
Réglages,puissurGénéral.
5 Saisissezlenometlemotdepassed’unadministrateurderépertoireLDAP,
puiscliquezsurOK.
ConfigurationdeWindows2000pourl’ouverturedesessiondedomaine
Vouspouvezactiverl’ouverturedesessiondedomainesurunordinateursous
Windows2000enleconnectantaudomaineWindowsd’uncontrôleurdedomaine
principalMacOSXServer.PourseconnecteraudomaineWindows,ilfautdisposer
dunometdumotdepassed’uncompted’administrateurderépertoireLDAP.
Vouspouvezdéléguercettetâcheàunepersonnedisposantd’uncompted’administrateurlocalsurl’ordinateurWindows.Danscecas,vouspouvezcréeruncompte
d’administrateurderépertoireLDAPtemporairepossédantdesprivilègeslimités.
Pourensavoirplus,consultezleguideGestiondesutilisateurs.
PourconnecterunordinateursousWindows2000àundomaineWindows:
1 OuvrezunesessiondansWindows2000àl’aided’uncompted’administrateurlocal.
2 OuvrezlaPanneaudeconfiguration,puisSystème.
3 CliquezsurIdentificationréseau,puissurPropriétés.
Chapitre5ConfigurationdesservicesOpenDirectory 101

4 Saisissezunnomd’ordinateur,saisirDomaine,saisissezlenomdedomaineducontrôleur
dedomaineprincipalMacOSXServer,puiscliquezsurOK.
Pourrechercherlenomdedomaineduserveur,ouvrezAdminServeursurleserveur
ouunordinateuradministrateur,sélectionnezSMBdanslalisteServeurs,cliquezsur
Réglages,puissurGénéral.
5 Saisissezlenometlemotdepassed’unadministrateurderépertoireLDAP,
puiscliquezsurOK.
Configurationd’unerépliqueOpenDirectory
Àl’aided’AdminServeur,vouspouvezconfigurerMacOSXServercommeréplique
d’unmaîtreOpenDirectoryafinqu’ilpuissefournirlesmêmesinformationsderépertoiresetd’authentificationquelemaîtreàd’autressystèmes.
LeserveurrépliquehébergeunecopieenlectureseuledudomainederépertoireLDAP
dumaître.Leserveurrépliquehébergeaussiunecopieenlecture/écritureduserveur
demotsdepasseOpenDirectoryetducentrededistributiondeclésKerberos(KDC).
LesrépliquesOpenDirectoryoffrentlesavantagessuivants:
 Dansunréseauétendu(WAN)deréseauxlocaux(LAN)interconnectéspardes
liaisonslentes,lesrépliquessituéessurlesréseauxlocauxfournissentauxserveurs
etauxordinateursclientsunaccèsrapideauxcomptesd’utilisateuretauxautres
informationsderépertoires.
 Unerépliquefournitlaredondance.EncasdedéfaillancedumaîtreOpenDirectory,
lesordinateursquiluisontconnectésbasculentversunerépliquesituéeàproximité.
CebasculementautomatiqueestunefonctionnalitédeMacOSXetdeMacOSX
Server10.4et10.5.
Remarque:sivotreréseaucontientunmélangedeversions10.4etdeversions10.5
deMacOSXServer,sachezqu’uneversionnepeutpasêtrelarépliqued’unmaître
del’autreversion.UnmaîtreOpenDirectoryenversion10.5neserapasrépliquévers
MacOSXServer10.4etunmaîtreOpenDirectorysousMacOSXServer10.4nesera
pasrépliquéversMacOSXServer10.5:
LorsquevousconfigurezunerépliqueOpenDirectorypourlapremièrefois,toutes
lesdonnéesderépertoiresetd’authentificationdoiventêtrecopiéessurcelle-cià
partirdumaîtreOpenDirectory.Laduplicationpeutdurerplusieurssecondesou
plusieursminutesselonlatailledudomainederépertoire.Siladuplicationest
effectuéeviauneliaisonréseaulente,ellepeutdurerlongtemps.
Pendantladuplication,lemaîtrenepeutpasfournirlesservicesderépertoireset
d’authentification.Vousnepouvezpasutiliserdescomptesd’utilisateurdurépertoire
LDAPmaîtrepourvousouvrirunesessionauprèsdesservicesouvousauthentifier
avantlafindeladuplication.
102 Chapitre5ConfigurationdesservicesOpenDirectory

Pourminimiserl’interruptiondesservicesderépertoires,configurezunerépliqueavant
quelerépertoireLDAPdumaîtrenesoitcomplètementrempliouàunmomentdela
journéeoùleservicederépertoiren’estpasutilisé.Lefaitdedisposerd’uneautrerépliqueconfiguréepermettraauxclientsduservicederépertoiredenepasêtreaffectéssi
lemaîtredevientindisponible.
SivousmodifiezunordinateurMacOSXServerquiétaitconnectéàunautresystème
derépertoirepourqu’ildevienneunerépliqueOpenDirectory,leserveurresteconnectéàl’autresystèmederépertoire.Leserveurrecherchelesfichesd’utilisateuret
d’autresinformationsdanssondomainederépertoireLDAPpartagéavantderechercherdansd’autressystèmesderépertoireauxquelsilestconnecté.
Pourconfigurerunserveurafinqu’ilhébergeunerépliqued’unmaîtreOpenDirectory:
1 Assurez-vousquelemaître,lafuturerépliqueettouslescoupe-feuentreeuxsont
configuréspourautoriserlescommunicationsSSH(port22).
VouspouvezactiverSSHpourMacOSXServerdansAdminServeur.Sélectionnezle
serveurdanslalisteServeurs,cliquezsurRéglages,puissurGénéral,puissélectionnez
l’optionConnexionàdistance(SSH).
Assurez-vousquel’accèsSSHn’estpasrestreintàcertainsutilisateursougroupes
(àl’aidedeSACL)surlefuturmaître.CelapriveraitAdminServeurdesautorisations
nécessaireslorsdelacréationdelaréplique.Vouspouvezdésactivertemporairement
lesSACLdansAdminServeursousRéglages>Accès.
PourensavoirplussurSSH,consultezPremiercontacts.Pourensavoirplussurl’autorisationdecommunicationsSSHautraversducoupe-feuMacOSXServer,consultez
Administrationdesservicesréseau.
2 OuvezAdminServeuretconnectez-vousauserveur.
3 Cliquezsurletriangleàgaucheduserveur.
Lalistedesservicesapparaît.
4 Danslalistedesserveursdéveloppée,sélectionnezOpenDirectory.
5 CliquezsurRéglages,puissurGénéral.
6 CliquezsurModifier.
L’Assistantdeconfigurationdeservices’ouvre.
7 SélectionnezRépliqueOpenDirectory,puiscliquezsurContinuer.
Chapitre5ConfigurationdesservicesOpenDirectory 103

UnefoisquevousayezconfiguréunerépliqueOpenDirectory,lesautresordinateurs
s’yconnecterontselonleursbesoins.
8 Saisissezlesinformationsobligatoiressuivantes:
 AdresseIPounomDNSdumaîtreOpenDirectory:saisissezl’adresseIPoulenomDNS
duserveurquifaitofficedemaîtreOpenDirectory.
 MotdepasserootsurlemaîtreOpenDirectory:saisissezlemotdepassedel’utilisateurrootdusystèmemaîtreOpenDirectory(nomd’utilisateurdel’administrateur
système).
 Nomabrégédel’administrateurdedomaine:saisissezlenomd’uncompted’administrateurdedomainederépertoireLDAP.
 Motdepassedel’administrateurdedomaine:saisissezlemotdepasseducompte
d’administrateurdontvousavezsaisilenom.
9 CliquezsurContinuer.
10 ConfirmezlesréglagesdeconfigurationOpenDirectory,puiscliquezsurContinuer.
11 CliquezsurFermer.
12 Assurez-vousqueladate,l’heureetlefuseauhorairesontexactssurlarépliqueetsur
lemaître.
Larépliqueetlemaîtredoiventutiliserlemêmeservicehorairederéseaupourque
leurshorlogesrestentsynchronisées.
Lesordinateurssouslesversions10.3ou10.4deMacOSXoudeMacOSXServerconserventunelistedesrépliquesOpenDirectory.Sil’undecesordinateursneparvient
pasàcontacterlemaîtreOpenDirectorypourdesservicesderépertoiresetd’authentification,ilseconnecteàlarépliquedumaîtrelaplusproche.
VouspouvezconfigurerlesordinateursMacOSXpourqu’ilsseconnectentàunerépliqueOpenDirectoryplutôtqu’aumaîtreOpenDirectorypourlesservicesderépertoiresetd’authentification.SurchaqueordinateurMacOSX,vouspouvezutiliserUtilitaire
derépertoirepourcréeruneconfigurationLDAPv3afind’accéderaurépertoireLDAP
delaréplique.
VouspouvezégalementconfigurerunserviceDHCPpourqu’ilfournisselerépertoire
LDAPdelarépliqueauxordinateursMacOSXquiobtiennentl’adressed’unserveur
LDAPparleserviceDHCP.Consultezlesrubriques«Utilisationdesréglagesavancésdes
servicesLDAP»àlapage157et«Définitiondepolitiquesderechercheautomatiques»
àlapage152.
104 Chapitre5ConfigurationdesservicesOpenDirectory

LemaîtreOpenDirectorymetlarépliqueàjour.Vouspouvezconfigurerlemaîtrepour
qu’ileffectuecesmisesàjoursoitàintervallesdetempsprogrammés,soitdèsquele
répertoiremaîtreestmodifié.Pourensavoirplus,consultezlarubrique«Planification
delaréplicationd’unmaîtreOpenDirectoryoud’uncontrôleurdedomaineprincipal
(PDC)Ȉlapage224.
Créationdeplusieursrépliquesd’unmaîtreOpenDirectory
Sivoussouhaitezcréerplusd’unerépliqued’unmaîtreOpenDirectory,créezunerépliqueàlafois.Sivousessayezdecréerdeuxrépliquessimultanément,unetentativeva
réussir,l’autrevaéchouer.Unenouvelletentativedecréationdelaseconderéplique
devraitréussir.
Vouspouvezavoirjusqu’à32répliquesd’unmaîtreOpenDirectory.Cesmembres
directsduserveurmaîtreOpenDirectorysontappelésdesrelais.Chaquerelaispeut
avoiràsontour32répliquesdelui-même,cequidonne1056répliquesdansune
hiérarchieàdeuxniveaux.
ConfigurationderelaisOpenDirectorypourlaréplication
encascade
Àl’aided’AdminServeur,vouspouvezconfigurerMacOSXServercommeréplique
ourelaisd’unmaîtreOpenDirectoryafinqu’ilpuissefournirlesmêmesinformations
derépertoiresetd’authentificationquelemaîtreàd’autresordinateurs.
Unrelaisdoitrépondreauxdeuxconditionssuivantes:
 Êtrelarépliqued’unmaîtreOpenDirectory(unmembredirect).
 Avoirdesrépliques(prendenchargejusqu’à32répliques).
Laconfigurationd’unerépliqued’unrelaisestidentiqueàlaconfigurationd’une
répliqued’unmaîtreOpenDirectory.Pourensavoirplus,consultezlarubrique
«Configurationd’unerépliqueOpenDirectory»àlapage102.
Chapitre5ConfigurationdesservicesOpenDirectory 105

Configurationd’unserveurcommecontrôleurdedomaine
secondaire
Àl’aided’AdminServeur,vouspouvezconfigurerMacOSXServercommecontrôleur
dedomainesecondaireWindows.Lecontrôleurdedomainesecondairefournitle
basculementautomatiqueetlasauvegardepourl’ouverturedesessiondedomaine
Windowsetd’autresdemandesadresséespardesclientsWindowsenmatièrede
servicesd’authentificationetderépertoire.
Leserveurcontrôleurdedomainesecondairepeutfournird’autresservicesWindows
(servicesSMB),ycomprisdesservicesdefichiers,d’impression,d’accèsàdesfichiers
etWindowsInternetNameService(WINS).Lecontrôleurdedomainesecondairepeut
hébergerdesdossiersdedépartd’utilisateursquidisposentdecomptesd’utilisateur
surlecontrôleurdedomaineprincipal/secondaire.
PourconfigurerunBDCWindows:
1 Assurez-vousqueleserveurestunerépliqueOpenDirectory.
PourdéterminersiunserveurestunerépliqueOpenDirectory,ouvrezAdminServeur
etconnectez-vousauserveur,cliquezsurletriangleàgaucheduserveur(pourdévelopperlaliste),sélectionnezOpenDirectorydanslalistedesservicesdéveloppée,
puiscliquezsurVued’ensemble.Lapremièrelignedesinformationsd’étatindique
lerôleOpenDirectoryduserveur.
2 OuvrezAdminServeuretconnectez-vousauserveur.
3 Cliquezsurletriangleàgaucheduserveur.
Lalistedesservicesapparaît.
4 DanslalisteServeursdéveloppées,sélectionnezSMB.
5 CliquezsurRéglages,puissurGénéral.
6 DanslemenulocalRôle,sélectionnezContrôleurdedomainesecondaire(BDC),
puissaisissezceci:
 Description:cettedescriptionapparaîtdanslafenêtreFavorisréseaudesordinateurs
Windowsetestfacultative.
 Nomdel’ordinateur:saisissezlenomquevousvoulezmontrerutilisateursWindows
lorsqu’ilsseconnectentauserveur.Ils’agitdunomNetBIOSduserveur.Cenomne
peutcomporterplusde15caractères,aucuncaractèrespécialetaucunsignede
ponctuation.Sic’estpossible,utilisezcommenomdeserveurlenomd’hôteDNSnon
complet.Parexemple,sivotreserveurDNSpossèdel’entrée«serveur.exemple.com»
pourvotreserveur,nommezsimplementvotreserveur«serveur».
 Domaine:saisissezlenomdudomaineWindowsqueleserveurvahéberger.
Lenomdedomainenepeutpascomporterplusde15caractèresetdoitêtre
différentde«workgroup».
7 CliquezsurEnregistrer.
106 Chapitre5ConfigurationdesservicesOpenDirectory

8 Saisissezlenometlemotdepassed’uncompted’utilisateurpouvantadministrer
lerépertoireLDAPsurleserveur,puiscliquezsurOK.
Lorsdel’authentification,vousdevezutiliseruncompted’administrateurderépertoire
LDAP.Vousnepouvezpasutiliseruncompted’administrateurlocal,comme,parexemple,lecompted’administrateurduserveurprincipal(identifiantd’utilisateur501),
pourcréeruncontrôleurdedomainesecondaire(BDC).
Unefoisquevousavezconfiguréuncontrôleurdedomainesecondaire,vouspouvez
modifierlesrestrictionsenmatièred’accès,leniveaudedétailpourlajournalisation,
lecodedelapage,lanavigationdansledomaineoul’enregistrementWINS.Ensuite,
silesservicesWindowsnetournentpas,vouspouvezlesdémarrer.Pourensavoirplus,
reportez-vousàlasectionAdministrationdesservicesderéseau.
ConfigurationdubasculementOpenDirectory
SiunmaîtreOpenDirectoryoul’unedesesrépliquesdevientindisponible,sesordinateursclientssousMacOSXouMacOSXServer10.3–10.5trouverontautomatiquementunerépliquedisponibleets’yconnecteront.
Lesrépliquespermettentseulementauxclientsdelirelesinformationsderépertoires.
Cesinformationsenregistréessurlarépliquenepeuventêtremodifiéesaveclesoutils
d’administrationtelsqueGestionnairedegroupedetravail.
LesutilisateursdontletypedemotdepasseestOpenDirectorypeuventmodifierleurs
motsdepassesurlesordinateursconnectésauxrépliquesOpenDirectory.Lesrépliquessynchronisentlesmodificationsdemotsdepasseaveclemaître.Silemaîtreest
indisponiblependantuncertaintemps,lesrépliquessynchronisentlesmodifications
demotsdepasseaveclemaîtreunefoisquecedernierestdenouveaudisponible.
SilemaîtreOpenDirectoryestenpannedefaçonpermanenteetquevousdisposez
d’unearchiveàjourdesesdonnées,vouspouvezrestaurerlesdonnéessurunnouveaumaître.Ousinon,vouspouvezpromouvoirunerépliqueenmaître.Pourensavoir
plus,consultezlesrubriques«Restaurationd’unmaîtreOpenDirectory»àlapage231
et«Promotiond’unerépliqueOpenDirectory»àlapage226.
Remarque:siunmaîtreouunerépliqueOpenDirectoryavaitdesordinateursclients
sousMacOSXouMacOSXServer10.2ouantérieur,lesordinateursetlesserveursde
version10.2nebasculerontpasautomatiquementversuneautreréplique.
Chapitre5ConfigurationdesservicesOpenDirectory 107

Sivousremplacezunmaîtreenpanneenpromouvantunerépliqueenmaître,vous
reconfigurezmanuellementchaqueordinateuretserveurpourqu’ilsseconnectentà
cenouveaumaîtreouàunedesesrépliques.CelasefaitenutilisantUtilitairederépertoiresurchaqueordinateuretserveurdeversion10.2pourcréeruneconfiguration
LDAPv3quispécifielafaçondontl’ordinateuraccèdeaunouveaumaîtreouàunede
sesrépliques.
Pourensavoirplus,consultezlarubrique«Utilisationdesréglagesavancésdesservices
LDAPȈlapage157.
Configurationd’uneconnexionàunserveurderépertoire
Àl’aided’AdminServeur,vouspouvezconfigurerMacOSXServerpourobtenir
desenregistrementsd’utilisateuretd’autresinformationsderépertoiresàpartirdu
domainederépertoirepartagéd’unautreserveur.Cetautreserveurfournitégalement
l’authentificationpoursesinformationsderépertoires.MacOSXServercontinueà
recevoirdesinformationsderépertoiredesonpropredomainederépertoirelocalet
fourniradel’authentificationpourcesinformationsderépertoirelocal.
Important:modifierMacOSXServerafinqu’ilsoitconnectéàunautresystèmede
répertoireetqu’ilnesoitplusunmaîtreOpenDirectoryentraîneladésactivationde
sondomainederépertoireLDAPpartagé,aveclesconséquencessuivantes:
 Lesenregistrementsd’utilisateuretlesautresinformationsquifigurentdans
ledomainederépertoirepartagésontsupprimés.
 Sid’autresserveursétaientconnectésaudomainederépertoiredumaître,leursservicesrisquentd’êtreinterrompussilescomptesd’utilisateuretd’autresinformations
dudomainederépertoiredésactivédeviennentinaccessibles.
 LesutilisateursdontlescomptessetrouvaientdansledomainederépertoiredésactivénepourrontplusaccéderàdesfichiersetdossiersdumaîtreOpenDirectoryet
desautresserveursquiétaientconnectésaudomainederépertoiremaître.
Pourconfigurerunserveurafinqu’ilobtiennedesservicesderépertoiresàpartir
d’unsystèmeexistant:
1 OuvrezAdminServeuretconnectez-vousauserveur.
2 Cliquezsurletriangleàgaucheduserveur.
Lalistedesservicesapparaît.
3 Danslalistedesserveursdéveloppée,sélectionnezOpenDirectory.
4 CliquezsurRéglages,puissurGénéral.
5 CliquezsurModifier.
L’Assistantdeconfigurationdeservices’ouvre.
6 Sélectionnez«Connectéàunserveurderépertoire»,puiscliquezsurContinuer.
108 Chapitre5ConfigurationdesservicesOpenDirectory

7 ConfirmezlesréglagesdeconfigurationOpenDirectory,puiscliquezsurContinuer.
8 SileserveurétaitunmaîtreOpenDirectoryetquevousêtessûrquelesutilisateurset
lesservicesn’ontplusbesoind’accéderauxdonnéesderépertoiresenregistréesdans
ledomainederépertoirepartagéqueleserveurahébergé,cliquezsurFermer.
9 CliquezsurleboutonUtilitaireOpenDirectorypourconfigurerl’accèsàl’un
(ouàplusieurs)dessystèmesderépertoire.
Pourensavoirplussurlaconfigurationdel’accèsàuntypedeservicederépertoire,
consultezlechapitre7,«Gestiondesclientsderépertoire.»
SivousconnectezMacOSXServer10.4ouultérieuràundomainederépertoirede
MacOSXServer10.3ouantérieur,sachezquelesutilisateursdéfinisdansledomaine
derépertoireleplusanciennepeuventêtreauthentifiésparlaméthodeNTLMv2.Cette
méthodepeuts’avérernécessairepourauthentifierdefaçonsûrecertainsutilisateurs
WindowspourlesservicesWindowsdeMacOSXServer10.4etultérieur.
LeserveurdemotsdepasseOpenDirectorydeMacOSXServer10.4ouultérieur
prendenchargel’authentificationNTLMv2,maisleserveurdemotsdepassede
MacOSXServer10.3ouantérieurneprendpasenchargeNTLMv2.
Delamêmefaçon,sivousconfigurezMacOSXServer10.4ouultérieurpourqu’il
accèdeàundomainederépertoiredeMacOSXServer10.2ouantérieur,lesutilisateurs
définisdansledomainederépertoireleplusanciennepeuventêtreauthentifiéspar
laméthodeMS-CHAPv2.Orcetteméthodepeuts’avérernécessairepourauthentifierde
façonsûredesutilisateurspourleserviceVPNdeMacOSXServer10.4ouultérieur.
OpenDirectorydeMacOSXServer10.4prendenchargel’authentificationMS-CHAPv2,
maisleserveurdemotsdepassedeMacOSXServer10.2neprendpasenchargeMS-
CHAPv2.
10 Sileserveurquevousconfigurezaaccèsàunsystèmederépertoirequihébergeaussi
unroyaumeKerberos,vouspouvezconnecterleserveurauroyaumeKerberos.
PourleconnecterauroyaumeKerberos,vousdevezconnaîtrelenometlemotde
passed’unadministrateurKerberosoud’unutilisateuràquil’onadéléguél’autoritéde
connecterdesserveursauroyaume.Pourensavoirplus,consultezlarubrique
«ConnecterunserveuràunroyaumeKerberos»àlapage119.
Chapitre5ConfigurationdesservicesOpenDirectory 109

Configurationd’unserveurcommemembred’undomainede
contrôleurdedomaineprincipalMacOSXServer
Àl’aided’AdminServeur,vouspouvezconfigurerMacOSXServerpourconnecter
leserveuràundomaineWindowshébergésuruncontrôleurdedomaineprincipal
MacOSXServer.UnserveurquiseconnecteàundomaineWindowspeutfournir
desservicesdefichiers,d’impressionetd’autresservicesauxutilisateursquidisposent
decomptesurlecontrôleurdedomaineprincipal.
Leserveurmembrededomainereçoitdesservicesd’authentificationdelapartdu
contrôleurdedomaineprincipaloud’uncontrôleurdedomainesecondaire.Leserveur
peuthébergerdesprofilsd’utilisateuretdesdossiersdedépartd’utilisateursquidisposentdecomptesd’utilisateursurlecontrôleurdedomaineprincipal.Leserveurmembredudomainenefournitpasdeservicesd’authentificationàd’autresserveurs
membrededomaine.
PourconnecterMacOSXServeraudomaineWindowsd’uncontrôleurdedomaine
principalMacOSXServer:
1 OuvrezAdminServeuretconnectez-vousauserveur.
2 Cliquezsurletriangleàgaucheduserveur.
Lalistedesservicesapparaît.
3 DanslalisteServeursdéveloppées,sélectionnezSMB.
4 CliquezsurRéglages,puissurGénéral.
5 DanslemenulocalRôle,sélectionnezMembredudomaine,puissaisissezceci:
 Description:cettedescriptionapparaîtdanslafenêtreFavorisréseaudeWindowsXP
et2000(lafenêtreVoisinageréseaudeWindows95,98ouME)etestfacultative.
 Nomdel’ordinateur:saisissezlenomquevousvoulezmontrerutilisateursWindows
lorsqu’ilsseconnectentauserveur.Ils’agitdunomNetBIOSduserveur.Cenomne
peutcomporterplusde15caractères,aucuncaractèrespécialetaucunsignede
ponctuation.
Sic’estpossible,utilisezcommenomdeserveurlenomd’hôteDNSnoncomplet.
Parexemple,sivotreserveurDNSpossèdel’entrée«serveur.exemple.com»pour
votreserveur,nommezsimplementvotreserveur«serveur».
 Domaine:saisissezlenomdudomaineWindowsauquelleserveurvaseconnecter.
LedomainedoitêtrehébergéparuncontrôleurdedomaineprincipalMacOSXServer.
Lenomnepeutpascomporterplusde15caractèresetdoitêtredifférentde
«workgroup».
6 CliquezsurEnregistrer.
110 Chapitre5ConfigurationdesservicesOpenDirectory

7 Saisissezlenometlemotdepassed’uncompted’administrateurderépertoireLDAP,
puiscliquezsurOK.
Lorsdel’authentification,vousdevezutiliseruncompted’administrateurderépertoire
LDAP.Vousnepouvezpasutiliseruncompted’administrateurlocal,comme,parexemple,lecompted’administrateurduserveurprincipal(identifiantd’utilisateur501),
pourconnecterunserveuràundomaineWindows.
UnefoisquevousavezconfiguréunmembrededomaineWindows,vouspouvez
modifierlesrestrictionsenmatièred’accès,leniveaudedétailpourlajournalisation,
lecodedelapage,lanavigationdansledomaineoul’enregistrementWINS.Ensuite,
silesservicesWindowsnetournentpas,vouspouvezlesdémarrer.
Pourensavoirplus,consultezlasectionAdministrationdesservicesderéseau.
Configurationd’unserveurcommemembred’undomaine
ActiveDirectory
Àl’aided’AdminServeuretd’Utilitairederépertoire,vouspouvezconfigurerMacOSX
ServerdefaçonàleconnecteràundomaineActiveDirectoryhébergéparunserveur
Windows2000ou2003.
UnserveurquiseconnecteàundomaineActiveDirectorypeutfournirdesservicesde
fichiers,d’impressionetd’autresservicesauxutilisateursquidisposentdecomptedans
ledomaineActiveDirectory.
Leserveurmembredudomainereçoitdesservicesd’authentificationdelapart
d’ActiveDirectory.Leserveurmembredudomainenefournitpasdeservicesd’authentificationàd’autresserveursmembrededomaine.
PourconnecterMacOSXServeraudomaineActiveDirectoryd’unserveurWindows:
1 OuvrezAdminServeuretconnectez-vousauserveur.
2 Cliquezsurletriangleàgaucheduserveur.
Lalistedesservicesapparaît.
3 Danslalistedesserveursdéveloppée,sélectionnezOpenDirectory.
4 CliquezsurRéglage,puissurGénéral.
5 CliquezsurModifier.
L’Assistantdeconfigurationdeservices’ouvre.
6 Sélectionnez«Connectéàunserveurderépertoire»,puiscliquezsurContinuer.
7 ConfirmezlesréglagesdeconfigurationOpenDirectory,puiscliquezsurContinuer.
8 CliquezsurFermer.
9 CliquezsurOuvrirUtilitairederépertoire.
Chapitre5ConfigurationdesservicesOpenDirectory 111

10 Danslecoininférieurgauched’Utilitairederépertoire,cliquezsurlecadenasetauthentifiez-vousquandvousyêtesinvité.
11 CliquezsurAfficherlesréglagesavancés.
12 CliquezsurServeursderépertoire(danslehaut).
13 CliquezsurleboutonAjouter(+).
14 Danslemenulocal«Ajouterunnouveaurépertoiredetype»,choisissezActiveDirectory,
puissaisissezceci:
 DomaineActiveDirectory:ils’agitdunomDNSoudel’adresseIPduserveurActive
Directory.
 Identifiantdel’ordinateur:modifiezéventuellementl’identifiantquevousvoulezvoir
utiliséparActiveDirectorypourvotreserveur.Ils’agitdunomNetBIOSduserveur.
Cenomnepeutcomporterplusde15caractères,aucuncaractèrespécialetaucun
signedeponctuation.Sic’estpossible,utilisezcommenomdeserveurlenomd’hôte
DNSnoncomplet.Parexemple,sivotreserveurDNSpossèdel’entrée
«serveur.exemple.com»pourvotreserveur,nommezsimplementvotreserveur
«serveur».
 Nomd’utilisateuretmotdepassedel’administrateurAD:saisissezlenomd’utilisateur
etlemotdepassedel’administrateurActiveDirectory.
15 CliquezsurOKetfermezUtilitairederépertoire.
16 CliquezsurSeconnecteràKerberospourconnecterleserveurauroyaumeKerberos
ActiveDirectory.
17 Saisissezlesinformationssuivantes:
 Nomd’administrateur:saisissezlenomd’utilisateurdel’administrateurduserveur
Kerberos.
 Motdepasse:saisissezlemotdepassedel’administrateurduserveurKerberos.
 Nomderoyaume:saisissezlenomderoyaumeduserveurKerberos.
 NomDNS/Bonjourducentrededistributiondeclés:saisissezlenomDNSouBonjour
duserveurKerberos.
18 CliquezsurOK.
19 DanslalisteServeurs,sélectionnezSMB.
20 CliquezsurRéglages,puissurGénéral.
112 Chapitre5ConfigurationdesservicesOpenDirectory

21 VérifiezqueleserveurestmaintenantmembredudomaineActiveDirectory.
Vouspouvezmodifierladescriptionfacultativeduserveurquiapparaîtdanslafenêtre
FavorisréseaudesordinateursWindows.
UnefoisquevousavezconfiguréunmembrededomaineActiveDirectory,vouspouvezmodifierlesrestrictionsenmatièred’accès,leniveaudedétailpourlajournalisation,lecodedelapage,lanavigationdansledomaineoul’enregistrementWINS.
Ensuite,silesservicesWindowsnetournentpasencore,vouspouvezlesdémarrer.
Pourensavoirplus,reportez-vousàlasectionAdministrationdesservicesderéseau.
Configurationdel’authentificationKerberosparsignature
unique
Laconfigurationdel’authentificationKerberosàsignatureuniqueimpliquelestâches
suivantes:
 DNSdoitêtrerendudisponiblesurleréseauetdoitêtreconfigurépourrésoudre
lenomDNScompletduserveurmaîtreOpenDirectory(oud’unautreserveur
Kerberos)etàleconvertirensonadresseIP.DNSdoitaussiêtreconfigurépour
résoudrel’adresseIPetlaconvertirdanslenomDNScompletduserveur.
 Unadministrateurdoitconfigurerunsystèmederépertoirepourqu’ilhébergeun
royaumeKerberos.PourensavoirplussurlaconfigurationdeMacOSXServerde
sortequ’ilhébergeunroyaumeKerberos,consultezlarubrique«Configurationd’un
royaumeKerberosOpenDirectoryȈlapage115.
 UnadministrateurKerberosd’unmaîtreOpenDirectorypeutdéléguerl’autoritéde
connecterdesserveursauroyaumeKerberosdumaîtreOpenDirectory.(L’administrateurn’apasbesoind’autoritédéléguée.UnadministrateurKerberosaimplicitement
l’autoritédeconnectertoutserveurauroyaumeKerberos).Consultezlarubrique
«Délégationd’autoritépourconnecterdesserveursàunroyaume
KerberosOpenDirectoryȈlapage117.
 UnadministrateuroudesutilisateursKerberospossédantl’autoritédéléguéenécessairedoiventconnecterlesserveursauroyaumeKerberosquifournitalorsl’authentificationKerberosparsignatureuniquepourlesservicesfournisparlesserveursqui
ontétéconnectés.Consultezlarubrique«Connecterunserveuràunroyaume
KerberosȈlapage119.
 TouslesordinateursquiutilisentKerberosdoiventêtrerégléssurladate,l’heureet
lefuseauhorairecorrectsetdoiventêtreconfiguréspourutiliserlemêmeserveur
d’horlogederéseau.LebonfonctionnementdeKerberosreposesurlasynchronisationdeshorlogesdetouslesordinateursparticipants.
Chapitre5ConfigurationdesservicesOpenDirectory 113

LorsquevousconfigurezunmaîtreOpenDirectory,assurez-vousquevotreDNSest
bienconfiguréettourneavantdedémarrerleserviceOpenDirectorypourlapremière
fois.SileserveurDNSn’estpasbienconfiguréounetournepaslorsquevousdémarrezOpenDirectory,Kerberosnefonctionnerapascorrectement.
Lorsdupremierdémarraged’OpenDirectory,KerberosutiliseleserviceDNSpour
générerdesréglagesdeconfiguration.SivotreserveurDNSn’estpasdisponiblelors
dupremierdémarragedeKerberos,sesconfigurationsneserontpasvalidesetilne
fonctionnerapascorrectement.UnefoisqueKerberostourneetagénérésesfichiers
deconfiguration,ilnedépendraplusentièrementduDNSetlesmodificationsapportéesauDNSn’affecterontplusKerberos.
LesdifférentsservicesdeMacOSXServernenécessitentaucuneconfigurationpour
lasignatureuniqueoupourKerberos.
Lesservicessuivantssontprêtspourl’authentificationKerberosparsignatureunique
surtouslesserveurssousMacOSXServer10.5ouultérieurquisontconnectésouqui
sontunmaîtreouunerépliqueOpenDirectory:
 Fenêtred’ouverturedesession
 Servicedemessagerie
 AFP
 FTP
 SMB(entantquemembred’unroyaumeKerberosActiveDirectory)
 iChat
 Serviced’impression
 NFS
 ServiceXgrid
 VPN
 ServiceWebApache
 ServicederépertoireLDAPv3(surunmaîtreouunerépliqueOpenDirectory)
114 Chapitre5ConfigurationdesservicesOpenDirectory

Configurationd’unroyaumeKerberosOpenDirectory
Vouspouvezfournirl’authentificationKerberosparsignatureuniquesurvotreréseau
enconfigurantunmaîtreOpenDirectory.
VouspouvezconfigurerunmaîtreOpenDirectorypendantlaconfigurationinitialequi
suitl’installationdeMacOSXServer,maissivousconfigurezMacOSXServerpourun
autrerôleOpenDirectory,vouspouvezchangercerôleenmaîtreOpenDirectoryà
l’aided’AdminServeur.
Pourensavoirplus,consultezlesrubriques«Configurationd’unmaîtreOpenDirectory»
àlapage95et«DémarragedeKerberosaprèslaconfigurationd’unmaître
OpenDirectoryȈlapage116.
UnserveurjouantlerôledemaîtreOpenDirectorynenécessiteaucuneautreconfigurationsupplémentairepourgérerl’authentificationKerberosparsignatureuniquepour
touslesserviceskerbérisésqu’ilfournitlui-même.
Leserveurpeutégalementgérerl’authentificationKerberosparsignatureuniquepour
lesserviceskerbérisésd’autresserveursduréseau.Lesautresserveursdoiventêtre
configuréspourseconnecterauroyaumeKerberosOpenDirectory.
Pourensavoirplus,reportez-vousauxrubriques«Délégationd’autoritépourconnecterdesserveursàunroyaumeKerberosOpenDirectory»àlapage117et«Connecter
unserveuràunroyaumeKerberos»àlapage119.
Important:unmaîtreOpenDirectoryrequiertunDNSconfigurécorrectementpour
fourniruneauthentificationKerberosparsignatureunique.Deplus:
 LeserviceDNSdoitêtreconfigurépourrésoudrelesnomsDNScompletsdetous
lesserveurs,ycomprislemaîtreOpenDirectory,enlesconvertissantenadressesIP
etpourfournirlesrecherchesinversescorrespondantes.Pourensavoirplussurla
configurationduserviceDNS,consultezleguideAdministrationdesservicesréseau.
 LespréférencesRéseauduserveurmaîtreOpenDirectorydoiventêtreconfigurées
pourutiliserleserveurDNSquiconvertitlenomduserveur.(Sileserveurmaître
OpenDirectoryfournitsonpropreserviceDNS,sespréférencesRéseaudoiventêtre
configuréespours’utiliserlui-mêmecommeserveurDNS).
Chapitre5ConfigurationdesservicesOpenDirectory 115

DémarragedeKerberosaprèslaconfigurationd’unmaître
OpenDirectory
SiKerberosnedémarrepaslorsquevousconfigurezunmaîtreOpenDirectory,vous
pouvezutiliserAdminServeurpourledémarrermanuellement,maisvousdevez
d’abordrésoudreleproblèmequiempêcheKerberosdedémarrer.D’habitude,
leproblèmevientdufaitqueleserviceDNSn’estpasconfigurécorrectementou
netournepas.
Remarque:unefoisquevousavezdémarréKerberosmanuellement,ilsepeutqueles
utilisateursdontlescomptessontdotésdemotsdepasseOpenDirectoryetquiont
étécréésdanslerépertoireLDAPdumaîtreOpenDirectoryalorsqueKerberosétait
arrêtédoiventréinitialiserleursmotsdepasselaprochainefoisqu’ilsouvrentunesession.Uncompted’utilisateurn’estdoncaffectéquesitouteslesméthodesd’authentificationrécupérablespourlesmotsdepasseOpenDirectoryontétédésactivées
pendantqueKerberosétaitàl’arrêt.
PourdémarrerKerberosmanuellementsurunmaîtreOpenDirectory:
1 OuvrezAdminServeuretconnectez-vousauserveur.
2 Cliquezsurletriangleàgaucheduserveur.
Lalistedesservicesapparaît.
3 Danslalistedesserveursdéveloppée,sélectionnezOpenDirectory.
4 CliquezsurRafraîchir(ouchoisissezPrésentation>Rafraîchir)etvérifiezl’étatdeKerberos
quiestaffichédanslasous-fenêtreVued’ensemble.
SiKerberostourne,iln’yariend’autreàfaire.
5 UtilisezUtilitairederéseau(dans/Applications/Utilitaires/)poureffectuerunerecherche
DNSdunomDNSdumaîtreOpenDirectoryetunerechercheinversedel’adresseIP.
SilenomDNSoul’adresseIPduserveurneserésoutpascorrectement:
 Danslasous-fenêtreRéseaudesPréférencesSystème,regardezlesréglagesTCP/IP
del’interfaceréseauprincipaleduserveur(généralement,Ethernetintégré).
Assurez-vousquelepremierserveurDNSlistéestceluiquirésoutlenomdu
serveurOpenDirectory.
 VérifiezlaconfigurationduserviceDNSetassurez-vousqu’iltourne.
6 DansAdminServeur,sélectionnezOpenDirectorypourleserveurmaître,cliquezsur
Réglages,puissurGénéral.
7 CliquezsurKerbériser,puissaisissezlesinformationssuivantes:
 Nomd’administrateuretMotdepasse:vousdevezvousauthentifierentant
qu’administrateurdurépertoireLDAPdumaîtreOpenDirectory.
 Nomderoyaume:cechampestpréréglépourêtreidentiqueaunomDNSdu
serveurconvertienlettresmajuscules.Ils’agitd’uneconventionpournommer
lesroyaumesKerberos.Vouspouvezsaisirunautrenom,sinécessaire.
116 Chapitre5ConfigurationdesservicesOpenDirectory

Délégationd’autoritépourconnecterdesserveursàunroyaume
KerberosOpenDirectory
Àl’aided’AdminServeur,vouspouvezdéléguerl’autoritédeconnecterunserveuràun
serveurmaîtreOpenDirectorypourl’authentificationKerberosparsignatureunique.
Vouspouvezdéléguercetteautoritéàunouplusieurscomptesd’utilisateur.Lescomptesd’utilisateurauxquelsvousdéléguezcetteautoritédoiventêtredotésd’unmot
depassedetypeOpenDirectoryetrésiderdanslerépertoireLDAPduserveurmaître
OpenDirectory.Leserveurdépendantpourlequelvousdéléguezl’autoritédoittournersousMacOSXServer10.3ouultérieur.
Remarque:siuncomptepossédantl’autoritéKerberosdéléguéeestsupprimé
etrecréésurleserveurmaîtreOpenDirectory,lenouveaucomptenepossédera
pasl’autoritédeconnecterleserveurdépendantauroyaumeKerberosdumaître
OpenDirectory.
UnadministrateurKerberos,c’est-à-direunadministrateurLDAPOpenDirectory,
n’apasbesoind’autoritédéléguéepourconnecterdesserveursdépendantsau
royaumeKerberosOpenDirectory.UnadministrateurKerberosaimplicitement
l’autoritédeconnectertoutserveurauroyaumeKerberos.
Pourdéléguerl’autoritédeseconnecteràunroyaumeKerberosOpenDirectory:
1 DansGestionnairedegroupedetravail,créezungrouped’ordinateursdansledomaine
derépertoireLDAPduserveurmaîtreOpenDirectoryousélectionnezungroupe
d’ordinateursexistantdanscerépertoire.
 Poursélectionnerungrouped’ordinateursexistantdansGestionnairedegroupe
detravail,cliquezsurComptesouchoisissezPrésentation>Comptes,cliquezsur
leboutonGrouped’ordinateurs(au-dessusdelalistedescomptes),puissélectionnezlegrouped’ordinateurssouhaité.
 SileserveurLDAPn’apasencoredegrouped’ordinateursauquelvoussouhaitez
ajouterleserveurdépendant,vouspouvezencréerun:
CliquezsurComptes,puissurleboutonOrdinateurs(au-dessusdelalistedescomptes).
Cliquezsurl’icônereprésentantunglobeau-dessusdelalistedescomptes,puis
déroulezlemenulocalpourouvrirlerépertoireLDAPdumaîtreOpenDirectory.
Cliquezsurlecadenasetauthentifiez-vouscommeadministrateurdurépertoireLDAP.
CliquezsurleboutonGrouped’ordinateurs(au-dessusdelalistedescomptes),
puissurNouveaugrouped’ordinateursouchoisissezServeur>Nouveaugroupe
d’ordinateurs.
Saisissezlenomdugroupe,comme,parexemple,Serveurskerbérisés.
Chapitre5ConfigurationdesservicesOpenDirectory 117

2 CliquezsurMembres,puissurleboutonAjouter(+)etsaisissezceci:
 Adresse:saisissezl’adresseEthernetduportEthernetprincipalduserveurdépendant.LeportEthernetprincipalestlepremierportquiapparaîtdanslalistedela
sous-fenêtreÉtatduréseaudel’adressedespréférencesRéseauduserveurdépendant.L’adressedeceportapparaîtdanslechampIdentifiantEthernetdelasousfenêtreEthernetdespréférencesRéseau.Sivousnesaisissezpasl’adresseEthernet
correcte,leserveurdépendantnepourrapasseconnecteraumaîtreOpenDirectory
pourl’authentificationKerberos.
 Nom:saisissezlenomDNScompletduserveurdépendant,passeulementsonnom
d’hôte.Parexemple,lenompourraitêtreserveur2.exemple.com,maispasserveur2.
CenomestutilisépourcréerdesprincipauxKerberosdanslecentrededistribution
declés.Silenomestincorrect,lesutilisateursnepeuventpass’authentifieràl’aidede
Kerberos.VotresystèmeDNSdoitposséderuneentréepourlenomduserveurdépendantetuneentréederechercheinversepourl’adresseIPduserveurdépendant.
 Utilisercenomcommenomd’ordinateur:n’affectepaslefonctionnementdeKerberos.
 Commentaires:estfacultatifetpurementinformatif.
3 CliquezsurEnregistrerpourenregistrerlesmodificationsapportéesaugroupe
d’ordinateurs.
4 CliquezsurPréférencesetassurez-vousquelegrouped’ordinateursn’apasderéglages
depréférencesgérés.
Siunepetiteflècheapparaîtenregarddel’icôned’undesélémentsdescatégoriesde
préférences,l’élémentpossèdedesréglagesdepréférencesgérées.Poursupprimer
lespréférencesgéréesd’unélément,cliquezsurl’élément,sélectionnezNongéré,
puiscliquezsurAppliquer.Sil’élémentdisposedeplusieurssous-fenêtres,sélectionnez
Nongérédanschacunedessous-fenêtres,puiscliquezsurAppliquer.
5 Sivoussouhaitezdéléguerl’autoritéKerberosàunouplusieurscomptesd’utilisateur,
créez-lescomptes:
 Assurez-vousquevoustravaillezbiendanslerépertoireLDAPduserveurmaître
OpenDirectory.Sinécessaire,cliquezsurlepetitglobeetutilisezlemenulocal
pourouvrircerépertoire.Cliquezensuitesurlecadenasetauthentifiez-vouscomme
administrateurdecerépertoire.
 CliquezsurleboutonUtilisateurs(àgauche),puissurNouvelutilisateurouchoisissez
Serveur>Nouvelutilisateur.
 Saisissezunnom,unnomabrégéetunmotdepasse.
 Assurez-vousquelacase«L’utilisateurpeutaccéderaucompte»ou«L’utilisateur
peutgérerceserveur»n’estpassélectionnée.
Vouspouvezchangerdesréglagesdansd’autressous-fenêtres,maisnechangezpas
letypedemotdepassed’utilisateurdanslasous-fenêtreAvancé.Toututilisateur
avecautoritéKerberosdéléguéedoitposséderunmotdepasseOpenDirectory.
118 Chapitre5ConfigurationdesservicesOpenDirectory

6 CliquezsurEnregistrerpourenregistrerlenouveaucompted’utilisateur.
7 OuvrezAdminServeuretconnectez-vousauserveurmaîtreOpenDirectory.
8 Cliquezsurletriangleàgaucheduserveur.
Lalistedesservicesapparaît.
9 Danslalistedesserveursdéveloppée,sélectionnezOpenDirectory.
10 CliquezsurRéglages,puissurGénéral.
11 ConfirmezlerôledemaîtreOpenDirectory,cliquezsurAjouterunenregistrement
Kerberos,puissaisissezlesinformationssuivantes:
 Nomd’administrateur:saisissezlenomd’unadministrateurderépertoireLDAPsur
leserveurmaîtreOpenDirectory.
 Motdepassed’administrateur:saisissezlemotdepasseducompted’administrateur
quevousavezsaisi.
 Nomdefichedeconfiguration:saisissezlenomDNScomplettelquevousl’avezsaisi
lorsdel’ajoutduserveurdépendantaugrouped’ordinateursàl’étape2.
 Administrateursdélégués:saisissezunnomabrégéouunnomlongpourchaque
compted’utilisateurauquelvoussouhaitezdéléguerl’autoritéKerberospour
leserveurspécifié.Pouréviterdesproblèmessicecompted’utilisateurdevaitêtre
suppriméàl’avenir,saisissezaumoinsdeuxnoms.
12 CliquezsurAjouter,puissurEnregistrerpourdéléguerl’autoritéKerberoscommespécifié.
Pourdéléguerl’autoritépourplusd’unserveurdépendant,répétezcetteprocédure
pourchacund’entreeux.
Pourensavoirplussurlaconnexiond’unserveuràunroyaumeKerberosOpenDirectory,
consultezlarubrique«ConnecterunserveuràunroyaumeKerberos»àlapage119.
ConnecterunserveuràunroyaumeKerberos
AvecAdminServeur,unadministrateurKerberosouunutilisateurdontlecompte
possèdel’autoritédéléguéecorrectementpeutconnecterMacOSXServeràun
royaumeKerberos.
Leserveurnepeutseconnecterqu’àunseulroyaumeKerberos.Ilpeuts’agird’un
royaumeKerberosOpenDirectory,d’unroyaumeKerberosActiveDirectoryoud’un
royaumeKerberosMITexistant.
PourseconnecteràunroyaumeKerberosOpenDirectory,vousdevezdisposerd’un
compted’administrateurKerberosoud’uncompted’utilisateurpossédantl’autorité
Kerberosdéléguée.Pourensavoirplus,consultezlarubrique«Délégationd’autorité
pourconnecterdesserveursàunroyaumeKerberosOpenDirectory»àlapage117.
Chapitre5ConfigurationdesservicesOpenDirectory 119

PourconnecterunserveuràunroyaumeKerberos:
1 Assurez-vousqueleserveurquevoussouhaitezconnecterauroyaumeKerberosest
configurépouraccéderaudomainederépertoirepartagéduserveurKerberos.
Pourconfirmer,ouvrezUtilitairederépertoiresurleserveurquevoussouhaitezconnecterauroyaumeKerberosouconnectez-vousauserveuràl’aided’UtilitaireFormat
derépertoiresurunautreordinateur.CliquezsurPolitiquederecherche,puissur
Authentificationetassurez-vousqueledomainederépertoireduserveurKerberos
apparaîtbiendanslaliste.Sicen’estpaslecas,consultezlechapitre7,«Gestiondes
clientsderépertoire,»pourobtenirdesinstructionssurlaconfigurationdel’accèsau
répertoire.
2 OuvrezAdminServeuretconnectez-vousauserveurquevousvoulezconnecterau
royaumeKerberos.
3 Cliquezsurletriangleàgaucheduserveur.
Lalistedesservicesapparaît.
4 Danslalistedesserveursdéveloppée,sélectionnezOpenDirectory.
5 CliquezsurRéglages,puissurGénéral.
6 ConfirmezqueleRôleestbienConnectéàunserveurderépertoire,puiscliquezsur
SeconnecteràKerberosetsaisissezlesinformationssuivantes:
 PourunroyaumeKerberosOpenDirectoryouunroyaumeKerberosActiveDirectory,
choisissezleroyaumedanslemenulocaletsaisissezlenometlemotdepassed’un
administrateurKerberosoud’unutilisateurpossédantl’autoritéKerberosdéléguée
pourleserveur.
 PourunroyaumeKerberosMIT,saisissezlenometlemotdepassed’unadministrateurKerberos,lenomduroyaumeKerberosetlenomDNSduserveurdecentrede
distributiondeclésKerberos.
120 Chapitre5ConfigurationdesservicesOpenDirectory

6 Gestiondel’authentification
d’utilisateur
6
Découvrezcommentréinitialiserlesmotsdepassed’utilisateur,modifierlestypesdemotdepasse,définirlespolitiques
demotdepasse,sélectionnerlesméthodesd’authentificationetréaliserd’autrestâchesàl’aidedeGestionnairede
groupedetravail.
GestionnairedegroupedetravailoffreuneméthodecentraliséedegestiondesordinateursMacOSXpourcontrôlerl’accèsauxlogicielsetauxsupportsamoviblesetfournir
unenvironnementcohérentpourdifférentsutilisateurs.Vouspouvezégalementutiliser
Gestionnairedegroupedetravailpourgérerl’authentificationd’utilisateur.Pourensavoir
plussurGestionnairedegroupedetravail,consultezleguideGestiondesutilisateurs.
Vouspouvezgérerlesinformationsd’authentificationdesutilisateursstockéesdans
lesdomainesderépertoire.Pourtrouverlesdescriptionsdestâchesetdesinstructions,
reportez-vousà:
 «Compositiond’unmotdepasse»àlapage122
 «Modificationdumotdepassed’unutilisateur»àlapage123
 «Réinitialisationdesmotsdepassedeplusieursutilisateurs»àlapage124
 «Modificationdutypedemotdepassed’unutilisateur»àlapage125
CetterubriqueabordelechangementdutypedemotdepasseenOpenDirectory,
lechoixentrelemotdepasseshadowetlemotdepassecryptéetl’activationde
l’authentificationparsignatureuniqueKerberos.
 «Activationdel’authentificationKerberosparsignatureuniquepourunutilisateur»
àlapage129
 «Changementdepolitiquedemotdepasseglobale»àlapage129
 «Configurationdespolitiquesdemotdepassed’utilisateursindividuels»àlapage130
 «Sélectiondeméthodesd’authentificationpourdesutilisateursdemotsdepasse
shadowȈlapage132
 «Sélectiondeméthodesd’authentificationpourdesutilisateursdemotsdepasse
OpenDirectoryȈlapage133
121

 «Attributiondedroitsd’administrateurpourl’authentificationOpenDirectory»àla
page134
 «Synchronisationdesmotsdepassed’administrateurprincipaux»àlapage135
 «Activationdel’authentificationparliaisonLDAPpourunutilisateur»àlapage135
 «Configurationdemotsdepassed’utilisateursexportésouimportés»àlapage136
 «MigrationdemotsdepasseàpartirdeMacOSXServer10.1ouantérieur»àlapage137
Compositiond’unmotdepasse
Lemotdepasseassociéaucompted’unutilisateurdoitêtresaisiparcedernier
lorsqu’ils’authentifiepourouvrirunesessionouutiliserd’autresservices.Lemot
depasseestsensibleàlacasse(hormislesmotsdepasseLANManager-SMB).
Ilestmasquéàl’écranpendantsasaisie.
Quelquesoitletypedemotdepassechoisipourunutilisateur,voicilesdirectivesàsuivrepourlacompositiondesmotsdepassedescomptesd’utilisateurdeMacOSXServer:
 Lesmotsdepassedoiventcontenirdeslettres,deschiffresetdessymbolesetformerdescombinaisonsdifficilesàdevinerparlesutilisateursnonautorisés.Ilsne
doiventpasêtreconstituésdemots.Lesbonsmotsdepasseassocientdeschiffres
etdessymboles(telsque#ou$)ousontcomposésdelapremièrelettredechacun
desmotsconstituantuneexpression.Utilisezunecombinaisondelettresminuscules
etmajuscules.
 Évitezlesespacesainsiquelescaractèresobtenusàl’aidedelatoucheOption.
 Évitezlescaractèresimpossiblesàsaisirsurlesordinateursdontseserviral’utilisateurouquiréclament,surd’autresclaviersetplates-formes,l’emploid’unecombinaisondetouchesspéciale.
 Certainsprotocolesréseaun’acceptentpaslesmotsdepassecontenantdesespaces
initiaux,desespacesincorporésoudesespacesfinaux.
 Iln’estpasrecommandéd’utiliserunmotdepassedelongueurnulle.OpenDirectoryetcertainssystèmes(telsquelaliaisonLDAP)neprennentpasenchargeles
motsdepassedelongueurnulle.
 Pourunecompatibilitéoptimaleaveclesordinateursetservicesauxquelsvosutilisateurssontsusceptiblesd’accéder,utilisezuniquementdescaractèresASCIIdans
lesmotsdepasse.
122 Chapitre6Gestiondel’authentificationd’utilisateur

Modificationdumotdepassed’unutilisateur
VouspouvezutiliserGestionnairedegroupedetravailpourmodifierlemotdepasse
d’uncompted’utilisateurdéfinidanstoutdomainederépertoireauquelvousavez
accèsenlectureetécriture.Parexemple,vouspouvezmodifierlemotdepassed’un
compted’utilisateurdansl’annuaireLDAPd’unmaîtreOpenDirectory.
Pourensavoirplus,consultezlesrubriques«Modificationdumotdepasseutilisépour
authentifieruneconnexionLDAP»àlapage181ou«Configurationd’unepolitiquede
liaisonpourunserveurOpenDirectory»àlapage218et«Arrêtdelaliaisonsécurisée
avecunannuaireLDAPȈlapage177.
Important:sivousmodifiezlemotdepassed’uncompted’utilisateurutilisépour
authentifierlaconnexionàl’annuaireLDAPd’unordinateur,vousdevezapporterla
mêmemodificationauxréglagesdeconnexionLDAPdel’ordinateurconcernéouconfigurerl’annuaireLDAPettouteslesconnexionspourqu’ilsutilisentlaliaisonsécurisée.
Pourchangerlemotdepassed’unutilisateur:
1 OuvrezGestionnairedegroupedetravail,cliquezsurleboutonComptes,puissur
leboutonUtilisateur.
2 Ouvrezledomainederépertoirecontenantlecompted’utilisateurdontvousvoulez
changerlemotdepasseetauthentifiez-vousentantqu’administrateurdudomaine.
Pourouvrirundomainederépertoire,cliquezsurl’icônedeglobeau-dessusdelaliste
desutilisateurs,puischoisissezundomainedanslemenulocal.
Siletypedumotdepassedel’utilisateurestOpenDirectory,vousdevezvousauthentifierentantqu’administrateurdontletypedemotdepasseestOpenDirectory.
3 Sélectionnezlecomptedumotdepasseàchanger.
4 Tapezunmotdepassedanslasous-fenêtreÉlémentaire,puiscliquezsurEnregistrer.
5 Indiquezàl’utilisateurlenouveaumotdepasseàemployerpourouvrirunesession.
Unefoisquel’utilisateuraouvertunesessionsousMacOSXàl’aidedunouveaumot
depasse,ilpeutlemodifierencliquantsurComptesdansPréférencesSystème.
Sivousmodifiezlemotdepassed’uncomptedontletypedemotdepasseestOpen
Directoryetquececompterésidedansl’annuaireLDAPd’unerépliqueoud’unmaître
OpenDirectory,lamodificationestsynchroniséeaveclemaîtreettoutessesrépliques.
MacOSXServersynchroniselesmodificationsdemotsdepasseOpenDirectoryentre
unmaîtreetsesrépliques.
Chapitre6Gestiondel’authentificationd’utilisateur 123

Réinitialisationdesmotsdepassedeplusieursutilisateurs
Àl’aidedeGestionnairedegroupedetravail,vouspouvezsélectionnerplusieurs
comptesd’utilisateuretlesmodifierenmêmetempspourqu’ilsprennenttousle
mêmetypedemotdepasseetlemêmemotdepassetemporaire.
Pourchangerletypedemotdepasseetlemotdepassedeplusieurscomptes
d’utilisateur:
1 OuvrezGestionnairedegroupedetravail,cliquezsurleboutonComptes,puissur
leboutonUtilisateur.
2 Ouvrezledomainederépertoirecontenantlecompted’utilisateurdontvousvoulez
réinitialiserlestypesdemotdepasseetlesmotsdepasse,puisauthentifiez-vousen
tantqu’administrateurdudomaine.
Pourouvrirundomainederépertoire,cliquezsurl’icônedeglobeau-dessusdelaliste
desutilisateurs,puischoisissezundomainedanslemenulocal.
SivousvoulezréglerletypedemotdepassesurOpenDirectory,vousdevezvous
authentifierentantqu’administrateurdontletypedemotdepasseestOpenDirectory.
3 Cliquezsurlescomptesd’utilisateurenmaintenantlatoucheCommandeouMaj
enfoncéepoursélectionnerceuxdontletypedemotdepassedoitêtremodifié.
4 Tapezunmotdepassedanslasous-fenêtreÉlémentaire,puisdéfinissezletypedemot
depassedanslasous-fenêtreAvancé.
5 CliquezsurEnregistrer.
6 Indiquezauxutilisateurslemotdepassetemporaire,desortequ’ilspuissentouvrirune
session.
Aprèsavoirouvertunesessionàl’aidedumotdepassetemporaire,unutilisateurpeut
changerlemotdepasseencliquantsurComptesdansPréférencesSystème.
SivousmodifiezlemotdepassedecomptesdontletypedemotdepasseestOpen
Directoryetquecescomptesrésidentdansl’annuaireLDAPd’unerépliqueoud’un
maîtreOpenDirectory,lamodificationestsynchroniséeaveclemaîtreettoutesses
répliques.MacOSXServersynchroniselesmodificationsdemotsdepasseOpen
Directoryentreunmaîtreetsesrépliques.
124 Chapitre6Gestiondel’authentificationd’utilisateur

Modificationdutypedemotdepassed’unutilisateur
Vouspouvezdéfinirletypedemotdepassedanslasous-fenêtreAvancédeGestionnairedegroupedetravail.Lestypesdemotdepassedisponiblessontlessuivants:
 OpenDirectory:activeplusieursméthodesd’authentificationhéritées,ainsique
l’authentificationKerberosparsignatureuniquesilecomptedel’utilisateursetrouve
dansl’annuaireLDAPd’unmaîtreoud’unerépliqueOpenDirectory.Lesmotsde
passeOpenDirectorysontstockésséparémentdelabasededonnéesduserveur
demotsdepasseOpenDirectoryetducentrededistributiondeclésKerberos.
Consultezlarubrique«ChoixdutypedemotdepasseOpenDirectory»àlapage125.
 MotdepasseShadow:activeplusieursméthodesd’authentificationhéritéespour
lescomptesd’utilisateursetrouvantdansledomainederépertoirelocal.Lesmots
depasseShadowsontstockéshorsdudomainederépertoire,dansdesfichiersqui
nesontlisiblesqueparlecompted’utilisateurroot.Consultezlarubrique«Choixdu
typedemotdepasseshadowȈlapage128.
 Motdepassecrypté:fournituneauthentificationélémentairepouruncompted’utilisateursetrouvantdansundomainederépertoirepartagé.Unmotdepassecrypté
eststockédansl’enregistrementdecompted’utilisateur,dansledomainederépertoire.UnmotdepassecryptéestnécessairepourouvrirunesessionMacOSX10.1
ouantérieur.Consultezlarubrique«ChangementdutypedemotenMotdepasse
crypté»àlapage127.
ChoixdutypedemotdepasseOpenDirectory
AvecGestionnairedegroupedetravail,vouspouvezindiquerqu’uncompted’utilisateurdisposed’unmotdepasseOpenDirectorystockédansdesbasesdedonnées
sécuriséeshorsdudomainederépertoire.Lescomptesd’utilisateurdanslesdomaines
derépertoiresuivantspeuventdisposerdemotsdepasseOpenDirectory:
 domainederépertoireLDAPsurMacOSXServer10.3–10.5
 domainederépertoirelocaldeMacOSXServer10.3ouserveurmisàniveauàpartir
delaversion10.3
 domainederépertoiresurMacOSXServer10.2configurépourutiliserunserveurde
motsdepasse
LetypedemotdepasseOpenDirectoryprendenchargelasignatureuniqueàl’aide
del’authentificationKerberos.Ilprendaussienchargeleserveurdemotsdepasse
OpenDirectory,quioffredesprotocolesd’authentificationSimpleAuthenticationand
SecurityLayer(SASL),notammentAPOP,CRAM-MD5,DHX,Digest-MD5,MS-CHAPv2,
NTLMv2,NTLM(aussiappeléWindowsNTouSMB-NT),LANManager(LM)et
WebDAV-Digest.
Chapitre6Gestiondel’authentificationd’utilisateur 125

Remarque:pourréglerletypedemotdepassed’uncompted’utilisateursurOpen
Directory,vousdevezposséderdesdroitsd’administrateurpourl’authentification
OpenDirectorydansledomainederépertoirecontenantlecompted’utilisateur.
Celaveutdirequevousdevezvousauthentifierentantqu’administrateurdedomaine
derépertoiredontletypedemotdepasseestOpenDirectory.Pourensavoirplus,
consultezlarubrique«Attributiondedroitsd’administrateurpourl’authentification
OpenDirectoryȈlapage134.
Pourindiquerqu’uncompted’utilisateurdoitavoirunmotdepasseOpenDirectory:
1 Assurez-vousquelecompterésidedansundomainederépertoirequigèrel’authentificationOpenDirectory.
Lesdomainesderépertoirequiprennentenchargel’authentificationOpenDirectory
sontcitésplushautdanscetterubrique.
2 DansGestionnairedegroupedetravail,ouvrezlecompteàutiliser(sicen’estdéjàfait).
Pourouvriruncompte,cliquezsurleboutonComptes,puissurleboutonUtilisateurs.
Cliquezsurl’icônedeglobesituéeau-dessusdelalistedesutilisateurs,puisutilisez
lemenulocalpourouvrirledomainederépertoireoùrésidelecomptedel’utilisateur.
Cliquezsurlecadenas,puisauthentifiez-vousentantqu’administrateurdedomaine
derépertoiredontletypedemotdepasseestOpenDirectory.Sélectionnezensuite
l’utilisateurdanslaliste.
3 CliquezsurAvancé.
4 Danslemenulocal«Typedumotdepasse»,choisissezOpenDirectory.
5 Lorsquevousyêtesinvité,tapezetconfirmezunnouveaumotdepasse.
Lemotdepassenedoitpascontenirplusde512octets(jusqu’à512caractèresd’aprèsla
langue),bienqueleprotocoled’authentificationréseaupuisseimposerd’autreslimites,
comme,parexemple,128caractèrespourNTLMv2etNTLM,et14pourLANManager.
«Compositiond’unmotdepasse»àlapage122vousdonnedesindicationspour
lechoixdemotsdepasse.
6 Danslasous-fenêtreAvancé,cliquezsurOptionspourconfigurerlapolitiquedemot
depassedel’utilisateur,puissurOKlorsquevousavezterminédechoisirvosoptions.
Sivoussélectionnez«Désactiverl’ouverturedesession:àladatespécifiquedu»,
utilisezlesflèchesverslehautetlebaspourdéfinirladate.
Sivoussélectionnezuneoptionquinécessiteuneréinitialisation(unchangement)du
motdepasse,souvenez-vousquetouslesprotocolesn’acceptentpaslechangement
demotsdepasse.Parexemple,lesutilisateursnepeuventchangerleurmotdepasse
lorsd’uneauthentificationauservicedecourrierIMAP.
126 Chapitre6Gestiondel’authentificationd’utilisateur

L’identifiantdemotdepasseestunnombreuniqueà128bitsattribuélorsdelacréationdumotdepassedanslabasededonnéesduserveurdemotsdepasseOpen
Directory.Ilpeuts’avérerutileencasdedépannage,carilapparaîtdansl’historiquedu
serveurdemotsdepasselorsqu’unproblèmeseproduit.Pourensavoirplus,consultez
larubrique«AffichagedesétatsetdeshistoriquesOpenDirectory»àlapage211.
PouraffichercethistoriqueOpenDirectory,ouvrezAdminServeur.
7 CliquezsurEnregistrer.
ChangementdutypedemotenMotdepassecrypté
Sinécessaire,vouspouvezutiliserGestionnairedegroupedetravailpourdéfinirun
motdepassecryptépourlecompted’unutilisateur.Lesmotsdepassecryptésnepeuventêtreutilisésquepourlescomptesd’utilisateursetrouvantdansundomainede
répertoirepartagé.Lecompted’utilisateurpeutapparteniràundomainederépertoire
LDAPouàundomaineNetInfopartagéhérité(disponibleuniquementencasdeconnexionàunserveurMacOSXServer10.4,10.3ou10.2).
Lescomptesd’utilisateurinutiliséssurlesordinateursquirequièrentunmotdepasse
cryptédoiventavoirunmotdepasseOpenDirectoryouunmotdepasseshadow.
Unmotdepassecryptéestrequispourouvrirunesessionsurunordinateursous
MacOSX10.1ouantérieuretsurlesordinateursexécutantcertainesvariantesd’UNIX.
Unmotdepassecryptéeststockésouslaformed’unevaleurcryptée(ouhachage)dans
laficheducompted’utilisateurdansledomainederépertoire.Lemotdepassecrypté
étantfacilementaccessibleàpartirdudomainederépertoire,ilestsujetàdesattaques
horsconnexion,cequilerendmoinssûrquelesautrestypesdemotdepasse.
Pourindiquerqu’uncompted’utilisateurdoitêtredotéd’unmotdepassecrypté:
1 DansGestionnairedegroupedetravail,ouvrezlecompteàutiliser(sicen’estdéjàfait).
Pourouvriruncompte,cliquezsurleboutonComptes,puissurleboutonUtilisateurs.
Cliquezsurl’icônedeglobesituéeau-dessusdelalistedesutilisateurs,puisutilisezle
menulocalpourouvrirledomainederépertoireoùrésidelecomptedel’utilisateur.
Cliquezsurlecadenasetauthentifiez-vousentantqu’administrateurdudomainede
répertoire,puissélectionnezl’utilisateurdanslaliste.
2 CliquezsurAvancé.
3 Danslemenulocal«Typedumotdepasse»,choisissez«Motdepassecrypté».
4 Lorsquevousyêtesinvité,tapezetconfirmezunmotdepasse.
Lalongueurmaximaled’unmotdepassecryptéestdehuitoctets(huitcaractères
ASCII).Sivoustapezunmotdepassepluslong,seulsleshuitpremiersoctetsseront
utilisés.
5 CliquezsurEnregistrer.
Chapitre6Gestiondel’authentificationd’utilisateur 127

Choixdutypedemotdepasseshadow
Gestionnairedegroupedetravailvouspermetd’indiquerqu’unutilisateurdispose
d’unmotdepasseshadowstockédansunfichiersécuriséendehorsdudomainede
répertoire.Seulslesutilisateursdontlescomptesrésidentdansledomainederépertoirelocalpeuventdisposerd’unmotdepasseshadow.
Pourindiquerqu’uncompted’utilisateurdoitêtredotéd’unmotdepasseshadow:
1 DansGestionnairedegroupedetravail,ouvrezlecompteàutiliser(sicen’estdéjàfait).
Pourouvriruncompte,cliquezsurleboutonComptes,puissurleboutonUtilisateurs.
Cliquezsurl’icônedeglobeau-dessusdelalistedesutilisateurs,puischoisissezdans
lemenulocalledomainederépertoirelocaloùsetrouvelecomptedel’utilisateur.
Cliquezsurlecadenasetauthentifiez-vousentantqu’administrateurdudomainede
répertoire,puissélectionnezl’utilisateurdanslaliste.
2 CliquezsurAvancé.
3 Danslemenulocal«Typedumotdepasse»,choisissez«MotdepasseShadow».
Remarque:vousnepouvezaffecterdesmotsdepasseShadowqu’àdescomptes
d’utilisateurlocaux.
4 Lorsquevousyêtesinvité,tapezetconfirmezunmotdepasse.
Lesmotsdepasselongssonttronquéspourcertainesméthodesd’authentification.
Les128premierscaractèresdumotdepassesontutiliséspourNTLMv2etNTLM,
maisseulsles14premierscaractèressontutiliséspourLANManager.
Larubrique«Compositiond’unmotdepasse»àlapage122fournitdesdirectives
pourlechoixdesmotsdepasse.
5 Danslasous-fenêtreAvancé,cliquezsurOptionspourconfigurerlapolitiquedemotde
passedel’utilisateur,puissurOKlorsquevousavezterminédechoisirvosoptions.
Sivoussélectionnez«Désactiverl’ouverturedesession:àladatespécifiquedu»,
utilisezlesflèchesverslehautetlebaspourdéfinirladate.
Sivousutilisezunepolitiquequinécessiteunchangementdemotdepassed’utilisateur,rappelonsquetouslesprotocolesn’acceptentpaslamodificationdemotsde
passe.Parexemple,lesutilisateursnepeuventchangerleurmotdepasselorsd’une
authentificationauservicedecourrierIMAP.
6 Danslasous-fenêtreAvancé,cliquezsurSécuritépouractiveroudésactiverdesméthodes
d’authentificationpourl’utilisateur,puissurOKlorsquevousavezterminé.
Pourensavoirplus,consultezlarubrique«Configurationdespolitiquesdemotde
passed’utilisateursindividuels»àlapage130.
7 CliquezsurEnregistrer.
128 Chapitre6Gestiondel’authentificationd’utilisateur

Activationdel’authentificationKerberosparsignature
uniquepourunutilisateur
L’activationdel’authentificationKerberosparsignatureuniquepouruncompted’utilisateurdansunannuaireLDAPdeMacOSXServersefaitendéfinissantletypedemot
depasseducomptesurOpenDirectorydanslasous-fenêtreAvancédeGestionnaire
degroupedetravail.
Changementdepolitiquedemotdepasseglobale
AdminServeurvouspermetdedéfinirunepolitiquedemotdepasseglobalepour
lescomptesd’utilisateurd’undomainederépertoireMacOSXServer.
Lapolitiquedemotdepasseglobaleaffectelescomptesd’utilisateurdudomainede
répertoirelocalduserveur.SileserveurestunmaîtreouunerépliqueOpenDirectory,
lapolitiquedemotdepasseglobaleaffecteaussilescomptesd’utilisateurquiontun
motdepassedetypeOpenDirectorydansledomainederépertoireLDAPduserveur.
SivousmodifiezlapolitiquedemotdepasseglobalesurunerépliqueOpenDirectory,
lesréglagesdelapolitiquesontsynchronisésaveclemaîtreettouteslesautresrépliques.
Lescomptesd’administrateurnesontpasaffectésparlespolitiquesdemotdepasse.
Chaqueutilisateurpeutavoirunepolitiquedemotdepassedifférentequiredéfinit
lesréglagesdelapolitiquedemotdepasseglobale.Pourensavoirplus,consultez
larubrique«Configurationdespolitiquesdemotdepassed’utilisateursindividuels»à
lapage130.
KerberosetleserveurdemotsdepasseOpenDirectorymaintiennentdespolitiquesde
motdepasseséparées.MacOSXServersynchroniselesrèglesdelapolitiquedemot
depassedeKerberosaveclesrèglesdelapolitiquedemotdepasseduserveurde
motsdepasseOpenDirectory.
Pourchangerlapolitiquedemotdepasseglobaledescomptesd’utilisateurd’un
mêmedomaine:
1 OuvrezAdminServeuretconnectez-vousàunmaîtreouàunerépliqueOpenDirectory.
2 Cliquezsurletrianglesetrouvantàgaucheduserveur.
Lalistedesservicesapparaît.
3 DanslalisteServeursdéveloppée,sélectionnezOpenDirectory.
4 CliquezsurRéglages,puissurRèglement.
Chapitre6Gestiondel’authentificationd’utilisateur 129

5 CliquezsurMotsdepasse,puisdéfinissezlesoptionsdepolitiquedemotdepasse
souhaitéespourlesutilisateursquinedisposentpasdeleurproprepolitiquedemot
depasse.
Sivoussélectionnezuneoptionquinécessiteuneréinitialisationdumotdepasse,
souvenez-vousquecertainsprotocolesdeservicen’autorisentpaslamodification
desmotsdepasse.Parexemple,lesutilisateursnepeuventchangerleurmotde
passelorsd’uneauthentificationauservicedecourrierIMAP.
6 CliquezsurEnregistrer.
LesrépliquesdumaîtreOpenDirectoryhéritentautomatiquementdesapolitiquede
motdepasseglobale.
Àpartirdelalignedecommande
Vouspouvezaussidéfinirdespolitiquesdemotdepasseàl’aidedelacommande
pwpolicydansTerminal.Pourensavoirplus,consultezlechapitreOpenDirectory
dudocumentAdministrationdelignedecommande.
Configurationdespolitiquesdemotdepassed’utilisateurs
individuels
Àl’aidedeGestionnairedegroupedetravail,vouspouvezdéfinirdespolitiquesde
motdepassepourlescomptesd’utilisateurdontletypedemotdepasseestOpen
Directoryou«MotdepasseShadow».Lapolitiquedemotdepassed’unutilisateur
primesurlapolitiquedemotdepasseglobaledéfiniedanslasous-fenêtreRéglages
d’authentificationduserviceOpenDirectorydansAdminServeur.
Lapolitiquedemotdepassepouruncompted’utilisateurmobiles’appliquelorsque
lecompteestutiliséalorsquel’ordinateurportableestdéconnectéduréseau.
Lapolitiquedemotdepasseprovenantducompted’utilisateurréseaucorrespondant
s’appliquelorsquel’ordinateurportableestconnectéauréseau.
Lescomptesd’administrateurnesontpasaffectésparlespolitiquesdemotdepasse.
Pourdéfinirunepolitiquedemotdepassepouruncompted’utilisateurquidispose
d’unmotdepasseOpenDirectory,vousdevezposséderdesdroitsd’administrateur
pourl’authentificationOpenDirectorydansledomainederépertoirecontenantle
compted’utilisateur.Celaveutdirequevousdevezvousauthentifierentantqu’administrateurdedomainederépertoiredontletypedemotdepasseestOpenDirectory.
Pourensavoirplus,consultezlarubrique«Attributiondedroitsd’administrateurpour
l’authentificationOpenDirectory»àlapage134.
130 Chapitre6Gestiondel’authentificationd’utilisateur

KerberosetleserveurdemotsdepasseOpenDirectorymaintiennentdespolitiquesde
motdepasseséparées.MacOSXServersynchroniselesrèglesdelapolitiquedemot
depasseKerberosaveclesrèglesdelapolitiquedemotdepasseduserveurdemots
depasseOpenDirectory.
N’utilisezpasleboutonOptionsdelasous-fenêtreAvancépourconfigurerdespolitiquesdemotdepassepourdesadministrateursdedomainederépertoire.Lespolitiquesdemotdepassen’affectentpaslescomptesd’administrateur.Lesadministrateurs
dedomainesderépertoiredoiventpouvoirchangerlespolitiquesdemotdepassedes
comptesd’utilisateur.
Pourchangerlapolitiquedemotdepassed’uncompted’utilisateur:
1 DansGestionnairedegroupedetravail,ouvrezlecompteàutiliser(sicen’estdéjàfait).
Pourouvriruncompte,cliquezsurleboutonComptes,puissurleboutonUtilisateurs.
Cliquezsurl’icônedeglobesituéeau-dessusdelalistedesutilisateurs,puisutilisezle
menulocalpourouvrirledomainederépertoireoùrésidelecomptedel’utilisateur.
Cliquezsurlecadenas,puisauthentifiez-vousentantqu’administrateurdedomaine
derépertoiredontletypedemotdepasseestOpenDirectory.Sélectionnezensuite
l’utilisateurdanslaliste.
2 CliquezsurAvancé,puissurOptions.
VousnepouvezcliquersurOptionsquesiletypedemotdepasseestOpenDirectory
ouMotdepasseShadow.
3 Modifiezlesoptionsdepolitiquedemotdepasse,puiscliquezsurOK.
Sivoussélectionnezuneoptionquinécessiteuneréinitialisation(modification)dumot
depasse,souvenez-vousquecertainsprotocolesdeservicen’autorisentpaslamodificationdesmotsdepasse.Parexemple,lesutilisateursnepeuventchangerleurmotde
passelorsd’uneauthentificationauservicedecourrierIMAP.
4 CliquezsurEnregistrer.
Àpartirdelalignedecommande
Vouspouvezaussidéfinirdespolitiquesdemotdepasseàl’aidedelacommande
pwpolicydansTerminal.Pourensavoirplus,consultezlechapitreOpenDirectorydu
documentAdministrationdelignedecommande.
Chapitre6Gestiondel’authentificationd’utilisateur 131

Sélectiondeméthodesd’authentificationpourdesutilisateurs
demotsdepasseshadow
Àl’aidedeGestionnairedegroupedetravail,vouspouvezsélectionnerlesméthodes
d’authentificationquiserontdisponiblespouruncompted’utilisateurdontletypede
motdepasseestMotdepasseShadow.
UnmotdepasseShadowprendenchargelesméthodesd’authentificationdisponibles
pourlacompatibilitéaveccertainslogicielsclients.Sivoussavezquel’utilisateurn’utiliserajamaisunlogicielclientquirequiertuneméthoded’authentificationparticulière,
vouspouvezdésactivercetteméthode.Pourensavoirplus,reportez-vousàlarubrique
«Désactivationdesméthodesd’authentificationdemotsdepasseshadow»àlapage62.
Sivousdésactivezuneméthoded’authentification,sonhachageserasupprimédu
fichierdemotsdepasseShadowdel’utilisateuràlaprochaineauthentificationde
celui-ci.
Sivousactivezuneméthoded’authentificationquiétaitdésactivée,lehachagedela
méthodeactivéeseraajoutéaufichierdemotsdepasseShadowdel’utilisateurlaprochainefoisquecelui-cis’authentifierapourutiliserunserviceprenantenchargeles
motsdepasseenclaircomme,parexemple,unefenêtred’ouverturedesessionouAFP.
D’unautrecôté,lemotdepassedel’utilisateurpeutêtreréinitialisépourajouterle
condensénumériquedelaméthodenouvellementactivée.Lesutilisateurspeuvent
réinitialiserleurspropresmotsdepasseouunadministrateurderépertoirepeut
lefairepoureux.
Pouractiveroudésactiverdesméthodesd’authentificationpourdescomptesd’utilisateurdontletypedemotdepasseestOpenDirectory,consultezlarubriquesuivante.
Pouractiveroudésactiverdesméthodesd’authentificationpourunutilisateurde
motdepasseshadow:
1 DansGestionnairedegroupedetravail,ouvrezlecompteàutiliser(sicen’estdéjàfait).
Pourouvriruncompte,cliquezsurleboutonComptes,puissurleboutonUtilisateurs.
Cliquezsurl’icônedeglobeau-dessusdelalistedesutilisateurs,puischoisissezdans
lemenulocalledomainederépertoirelocaloùsetrouvelecomptedel’utilisateur.
Cliquezsurlecadenasetauthentifiez-vousentantqu’administrateurdedomainede
répertoire.Sélectionnezensuitel’utilisateurdanslaliste.
2 CliquezsurAvancé,puissurSécurité.
VousnepouvezcliquersurSécuritéquesiletypedemotdepasseest«Motdepasse
Shadow».
3 Sélectionnezlesméthodesd’authentificationquevoussouhaitezactiver,désélectionnez
cellesquevoussouhaitezdésactiver,puiscliquezsurOK.
4 CliquezsurEnregistrer.
132 Chapitre6Gestiondel’authentificationd’utilisateur

Àpartirdelalignedecommande
Vouspouvezaussiactiveroudésactiverdesméthodesd’authentificationpourun
utilisateurpossédantunmotdepasseShadowàl’aidedelacommandepwpolicy
dansTerminal.Pourensavoirplus,consultezlechapitreOpenDirectorydudocument
Administrationdelignedecommande.
Sélectiondeméthodesd’authentificationpourdesutilisateurs
demotsdepasseOpenDirectory
Àl’aided’AdminServeur,vouspouvezsélectionnerlesméthodesd’authentification
quiserontdisponiblespourlescomptesd’utilisateurdontletypedemotdepasse
estOpenDirectory.LemotdepasseOpenDirectoryprendenchargelesméthodes
d’authentificationdisponiblespourlacompatibilitéaveccertainslogicielsclients.
Sivoussavezquelesutilisateursn’utiliserontjamaisunlogicielclientquirequiert
uneméthoded’authentificationparticulière,vouspouvezdésactivercetteméthode.
Pourensavoirplus,consultezlarubrique«Désactivationdesméthodesd’authentificationOpenDirectory»àlapage60.
Important:sivousdésactivezuneméthoded’authentification,sonhachageserasupprimédelabasededonnéesdemotsdepasseàlaprochaineauthentificationdel’utilisateur.Sivousactivezuneméthoded’authentificationquiétaitdésactivée,chaquemot
depasseOpenDirectorydoitêtreréinitialisépourajouterlehachagedelaméthode
activéeàlabasededonnéesdemotsdepasse.Lesutilisateurspeuventréinitialiser
leurspropresmotsdepasseouunadministrateurderépertoirepeutlefairepoureux.
Pouractiveroudésactiverdesméthodesd’authentificationpourdescomptesd’utilisateurdontletypedemotdepasseest«MotdepasseShadow»,consultezlarubrique
«Configurationdespolitiquesdemotdepassed’utilisateursindividuels»àlapage130.
Pouractiveroudésactiverdesméthodesd’authentificationpourdesmotsdepasse
OpenDirectory:
1 OuvrezAdminServeuretconnectez-vousàunmaîtreOpenDirectory.
2 Cliquezsurletrianglesetrouvantàgaucheduserveur.
Lalistedesservicesapparaît.
3 DanslalisteServeursdéveloppée,sélectionnezOpenDirectory.
4 CliquezsurRéglages,puissurRèglement.
5 CliquezsurAuthentification,sélectionnezlesméthodesd’authentificationàactiveret
désélectionnezcellesquevoussouhaitezdésactiver.
6 CliquezsurEnregistrer.
LesrépliquesdumaîtreOpenDirectoryhéritentdesréglagesdeméthoded’authentificationdesmotsdepasseOpenDirectoryfigurantdansl’annuaireLDAP.
Chapitre6Gestiondel’authentificationd’utilisateur 133

Àpartirdelalignedecommande
Vouspouvezaussiactiveroudésactiverdesméthodesd’authentificationduserveurde
motsdepassepourlesmotsdepasseOpenDirectoryàl’aidedelacommandeNeST
aveclesarguments-getprotocolset-setprotocolsdansTerminal.Pourensavoirplus,
consultezlechapitreOpenDirectorydudocumentAdministrationdelignedecommande.
Attributiondedroitsd’administrateurpourl’authentification
OpenDirectory
Àl’aidedeGestionnairedegroupedetravailetd’uncompted’administrateurpossédantlesdroitsnécessairespourdéfinirdesréglagesdemotdepasseOpenDirectory,
vouspouvezattribuercesdroitsàd’autrescomptesd’utilisateurdumêmedomaine
derépertoire.
Pourassignercesdroits,votrecompted’utilisateurdoitavoirunmotdepasseOpen
Directoryetlesautorisationsnécessairespouradministrerdescomptesd’utilisateur.
Cetterestrictionrenforcelaprotectiondesmotsdepassestockésdanslecentrede
distributiondeclésKerberosetdanslabasededonnéesduserveurdemotsdepasse
OpenDirectory.
Pourattribuerdesdroitsd’administrateurpourl’authentificationOpenDirectoryà
uncompted’utilisateur:
1 DansGestionnairedegroupedetravail,ouvrezlecompte,cliquezsurAvancéetassurez-vousqueletypedemotdepasseestbiendéfinisurOpenDirectory.
Pourensavoirplus,consultezlarubrique«ChoixdutypedemotdepasseOpen
DirectoryȈlapage125.
2 CliquezsurPrivilèges,puischoisissezIntégraldanslemenulocalCapacitésd’administration.
Pourlimiterlescapacitésd’administration,choisissezLimité.
3 CliquezsurEnregistrer.
Pourensavoirplussurladéfinitiondesautorisationsadministrateur,consultezleguide
Gestiondesutilisateurs.
134 Chapitre6Gestiondel’authentificationd’utilisateur

Synchronisationdesmotsdepassed’administrateurprincipaux
PourMacOSXServer10.3,avoirdesmotsdepassedifférentspourlecompted’administrateurlocaletlecompted’administrateurLDAP(identifiantd’utilisateur501)peut
prêteràconfusion.C’estpourquoiilestrecommandédegarderlesmêmesmotsde
passe.SurunserveurOpenDirectorymisàniveauàpartirdeMacOSXServer10.3,
lecompted’administrateurprincipalexiste,enprincipe,dansledomainederépertoire
localduserveuretdanssonannuaireLDAP.Cecompteaétécopiédudomainede
répertoirelocalversl’annuaireLDAPlorsdelacréationdumaîtreOpenDirectoryavec
MacOSXServer10.3.
Àl’origine,lesdeuxcopiesdececompteavaienttoutesdeuxl’identifiantd’utilisateur
501,lemêmenometlemêmemotdepasse.Chaquecompteestunadministrateur
desondomainederépertoireetlesdeuxsontdesadministrateursdeserveur.
LorsquevousvousconnectezauserveurdansGestionnairedegroupedetravailàl’aide
dunometdumotdepasseducompte,vousêtesauthentifiépourledomainede
répertoirelocaletledomainederépertoireLDAP.
Sivouschangezundesdeuxmotsdepasse,vousneserezplusauthentifiépourles
deuxdomainesderépertoire.Parexemple,sivousutilisezlemotdepassedel’administrateurlocallorsquevousvousconnectezauserveurdansGestionnairedegroupede
travail,vousnepouvezapporterdesmodificationsqu’audomainederépertoirelocal.
Pourapporterdesmodificationsàl’annuaireLDAP,vousdevezcliquersurlecadenaset
vousauthentifieràl’aidedumotdepassedel’administrateurLDAP.
Remarque:unserveurOpenDirectorycrééavecMacOSXServer10.5possèdedes
comptesd’administrateurdifférentspoursonrépertoirelocaletsonannuaireLDAP.
Ilssontdotésdenomsetd’identifiantsd’utilisateurdifférents,cequipermetd’utiliser
desmotsdepassedifférentssansprêteràconfusion.
Activationdel’authentificationparliaisonLDAPpourun
utilisateur
Vouspouvezactiverl’utilisationdel’authentificationparliaisonLDAPpouruncompte
d’utilisateurstockédansundomainederépertoireLDAP.Cettetechniquedevalidation
demotdepassesefieauserveurLDAPcontenantlecompted’utilisateurpourauthentifierlemotdepassedel’utilisateur.
Important:silenomdevotreordinateurcontientuntraitd’union,vousrisquezde
nepaspouvoirrejoindreouvouslieràundomainederépertoiretelqueLDAPou
ActiveDirectory.Pourétablirlaliaison,utilisezunnomd’ordinateurnecontenantpas
detraitd’union.
Chapitre6Gestiondel’authentificationd’utilisateur 135

Pouractiverl’authentificationdesutilisateursparliaisonLDAP:
1 Assurez-vousquel’ordinateurMacOSXquidoitauthentifierlecompted’utilisateurdisposed’uneconnexionàl’annuaireLDAPdanslequellecompted’utilisateurrésideet
quelapolitiquederecherchedel’ordinateurcontientlaconnexionàl’annuaireLDAP.
PourensavoirplussurlaconfigurationdesconnexionsauserveurLDAPetdelapolitiquederecherche,consultezlarubrique«Utilisationdesréglagesavancésdesservices
LDAPȈlapage157.
2 SivousconfigurezuneconnexionLDAPquinemappepaslesattributsdemotde
passeetd’autoritéd’authentification,l’authentificationdeliaisonseraautomatique.
Pourensavoirplus,consultezlarubrique«Configurationdesrecherchesetmappages
LDAPȈlapage173.
3 Silaconnexionestconfiguréepourautoriserlesmotsdepasseenclair,elledoitaussi
êtreconfiguréepourutiliserleprotocoleSSLdefaçonàprotégerlemotdepasseen
clairpendantletransit.
Pourensavoirplus,consultezlesrubriques«Modificationdelapolitiquedesécurité
pouruneconnexionLDAP»àlapage171et«Modificationdesréglagesdeconnexion
d’unrépertoireLDAP»àlapage170.
Configurationdemotsdepassed’utilisateursexportésou
importés
Lorsquevousexportezdescomptesd’utilisateurdontletypedemotdepasseest
OpenDirectoryouMotdepasseshadow,lesmotsdepassenesontpasexportés.
CelaprotègelabasededonnéesduserveurdemotsdepasseOpenDirectoryet
lesfichiersdemotsdepasseshadow.
Avantl’importation,vouspouvezouvrirlefichierdesutilisateursexportésdansun
tableuretdéfinirleurmotdepasse,qu’ilspourrontmodifierlorsdeleurprochaine
ouverturedesession.Pourobtenirdesinstructionssurl’utilisationdesfichiersd’utilisateursexportés,consultezleguideGestiondesutilisateurs.
Aprèsl’importation,vousdisposezdespossibilitéssuivantespourdéfinirlesmotsde
passedescomptesd’utilisateurimportés:
 Vouspouvezaffecteràtouslescomptesd’utilisateurimportésunmotdepassetemporairequechaqueutilisateurpourramodifierlorsdesaprochaineouverturedesession.Pourensavoirplus,consultezlarubrique«Réinitialisationdesmotsdepassede
plusieursutilisateursȈlapage124.
 Vouspouvezdéfinirlemotdepassedechaquecompted’utilisateurimportédans
lasous-fenêtreÉlémentairedeGestionnairedegroupedetravail.Pourensavoirplus,
consultezlarubrique«Modificationdumotdepassed’unutilisateur»àlapage123.
136 Chapitre6Gestiondel’authentificationd’utilisateur

MigrationdemotsdepasseàpartirdeMacOSXServer10.1
ouantérieur
Ilestpossibledefairemigrerlescomptesd’utilisateurdeversionsantérieures
deMacOSXServerenimportantlesfichesdescomptesouenmettantàniveau
leserveuroùilsrésident.
Lescomptesd’utilisateurcréésavecMacOSXServer10.1ouantérieurn’ontpasd’attributd’autoritéd’authentificationmaispossèdentdesmotsdepassecryptés.Pourconserverlacompatibilitéaveccescomptesd’utilisateur,MacOSXServerconsidèrequ’un
compted’utilisateursansattributd’autoritéd’authentificationpossèdeunmotde
passecrypté.
Pourensavoirplussurl’importationdecomptesd’utilisateur,consultezleguide
Gestiondesutilisateurs.
Sivousimportezdescomptesd’utilisateurdeMacOSXServer10.1ouantérieur,ilsne
possèdentpasd’attributd’autoritéd’authentification.Parconséquent,ilssontconfigurésinitialementpourdisposerdemotsdepassecryptés.
Sivousimportezcescomptesd’utilisateurdansledomainederépertoirelocalduserveur,ilssontconvertisd’unmotdepassecryptéenunmotdepasseShadowlorsque
l’utilisateuroul’administrateurmodifielemotdepasseoulorsquel’utilisateur
s’authentifiepourutiliserunserviceprenantenchargeuneméthoded’authentificationrécupérable.
Demême,sivousréalisezunemiseàniveauàpartirdeMacOSXServer10.1ouantérieur,lescomptesd’utilisateurcréésavantlamiseàniveaunepossèdentpasd’attribut
d’autoritéd’authentification.Aprèsleurmiseàniveau,cescomptessontsupposés
disposerdemotsdepassecryptés.
Bienqu’ilsoitpossibledecontinueràutiliserlesmotsdepassecryptésexistantsaprès
l’importationoulamiseàniveau,vouspouvezmodifierlescomptesd’utilisateurpour
qu’ilsutilisentdesmotsdepasseOpenDirectoryoudesmotsdepasseShadow.
Vouspouvezmodifierdescomptesd’utilisateurindividuelsouplusieurscomptesd’utilisateuràl’aidedeGestionnairedegroupedetravail.Lamodificationdutypedemot
depassed’uncompted’utilisateurréinitialisesonmotdepasse.Pourensavoirplus,
consultezlesrubriques«ChoixdutypedemotdepasseOpenDirectory»àlapage125
et«Choixdutypedemotdepasseshadow»àlapage128.
Certainscomptesd’utilisateurcréésavecMacOSXServer10.1ouantérieurpeuventutiliserGestionnaired’authentification.Ils’agitd’unetechnologiehéritéepourl’authentificationdesutilisateursdeservicedefichiersWindowsetAppledontlesordinateurs
MacOS8n’ontpasétémisàniveauaveclelogicielclientAFPversion3.8.3ouultérieure.
Chapitre6Gestiondel’authentificationd’utilisateur 137

Lorsdelamigrationd’utilisateursGestionnaired’authentification,vousdisposezdes
possibilitéssuivantes:
 Sivousmettezd’abordàniveauleserveurMacOSXServerdelaversion10.1àlaversion10.2,puisàlaversion10.5,lesutilisateursexistantspeuventcontinueràutiliser
leurmotdepasse.
 Vouspouvezchangertoutoupartiedescomptesd’utilisateurmisàniveaupour
qu’ilsutilisentdesmotsdepasseOpenDirectoryoudesmotsdepasseshadow,
plussûrsquelesmotsdepassecryptés.Pourensavoirplus,consultezlasection
Administrationd’OpenDirectory.
 Sileserveurmisàniveaudisposed’undomaineNetInfopartagéetquevousle
migrezversunannuaireLDAP,touslescomptesd’utilisateursontconvertisenmots
depasseOpenDirectory.
 Chaquecompted’utilisateursetrouvantdansledomainederépertoirelocaldu
serveurestconvertid’unmotdepassecryptéenunmotdepasseShadowlorsque
l’utilisateuroul’administrateurmodifielemotdepasseoulorsquel’utilisateur
s’authentifiepourutiliserunserviceprenantenchargeuneméthoded’authentificationrécupérable.
 Sivousimportezdescomptesd’utilisateurquiutilisentGestionnaired’authentificationdansl’annuaireLDAP,ilssontconvertispourutiliserdesmotsdepasseOpen
Directorypendantl’importation.
138 Chapitre6Gestiondel’authentificationd’utilisateur

7 Gestiondesclientsderépertoire
7
Exécutezl’Utilitairederépertoirepourconfigureretgérer
lemoded’accèsd’unordinateurdotédeMacOSXou
MacOSXServerauxservicesderépertoire.
Aprèsavoirconfigurévotreserveurderépertoire,vouspouvezyconnecterdesordinateursclientsàl’aidedel’Utilitairederépertoire.Vouspouvezutiliserl’Utilitairede
répertoirepourvousconnecteràdesordinateursdistantsetmodifierleursréglages,
cequisimplifielagestiondesordinateurs.
Connexiondeclientsauxserveursderépertoire
Lesrubriquessuivantesexpliquentcommentajouter,supprimer,modifieretcontrôler
desserveursderépertoiredanslalisteServeursderépertoiredel’Utilitairederépertoire.
 «Àproposdesconnexionsauxserveursderépertoire»àlapage139
 «Configurationautomatiquedesclients»àlapage140
 «Ajoutd’uneconnexionàunserveurActiveDirectory»àlapage141
 «Ajoutd’uneconnexionàunserveurOpenDirectory»àlapage142
 «Suppressiond’uneconnexionàunserveurderépertoire»àlapage142
 «Modificationd’uneconnexionàunserveurderépertoire»àlapage143
 «Contrôledesconnexionsauxserveursderépertoire»àlapage143
Àproposdesconnexionsauxserveursderépertoire
Vouspouvezutiliserl’Utilitairederépertoirepourconnecterdesordinateursauxserveursderépertoire.Lasous-fenêtreServeursderépertoiredel’Utilitairederépertoire
répertorielesserveursderépertoireauxquelsvotreordinateurestconnecté.VotreordinateurMacOSXaccèdeauxserveursdelalistepourrécupérerlesdonnéesd’utilisateuretautresdonnéesadministrativesstockéesdansledomainederépertoiredes
serveursderépertoire.
139

LorsquevousajoutezousupprimezunserveurdanslalisteServeursderépertoire,
lesentréesassociéesàceserveurderépertoiresontajoutéesousuppriméesdansles
listesServices,AuthentificationetContacts.Toutefois,sivoussupprimezlesentrées
associéesauserveurdeslistesServices,AuthentificationetContacts,leserveurde
répertoiren’estpassupprimédelalisteServeursderépertoire.
LesordinateursMacOSX10.5peuventseconnecteràunserveurderépertoireOpen
Directory,ActiveDirectoryouMacOSXServer.Sivousnesavezpasàquelserveurvous
connecter,demandezàvotreadministrateurréseau.
Important:silenomdevotreordinateurcontientuntraitd’union,vousrisquezdene
paspouvoirrejoindreouvouslieràundomainederépertoiretelqueLDAPouActive
Directory.Pourétablirlaliaison,utilisezunnomd’ordinateurnecontenantpasdetrait
d’union.
Configurationautomatiquedesclients
LorsquevousvousconnectezàundomaineOpenDirectoryjouantlerôledeserveur
deconfigurationstandardoudegroupedetravailMacOSX,l’Utilitairederépertoire
vousaideàconfigurervotreordinateur.
Pourvousconnecteràunserveurdeconfigurationstandardoudegroupedetravail:
1 Ouvrezl’Utilitairederépertoire(dans/Applications/Utilitaires/).
2 Sil’icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret
tapezlenometlemotdepassed’unadministrateur.
3 CliquezsurServeursderépertoire,puissurleboutonAjouter(+).
4 Danslemenulocal«Ajouterunnouveaurépertoiredetype»,choisissezOpenDirectory.
5 Danslechamp«NomduserveurouadresseIP»,saisissezlenomoul’adresseIPdu
serveur.
6 (Sousréserve)Avantdecocherlacase«ChiffrerviaSSL»,demandezàvotreadministrateurOpenDirectorysileprotocoleSSLestrequis.
7 Danslasous-fenêtreIntroduction,lalistedesservicesoffertsparleserveurauquelvous
vousconnectezs’affiche.CliquezsurDémarrerlaconfiguration.
8 Saisissezlesinformationsd’authentificationduserveurauquelvousvousconnectez.
DansleschampsNometMotdepasse,saisissezlenometlemotdepassedel’administrateurduserveurauquelvousvousconnectez.
Saisissezlemotdepasseducompted’utilisateurquiapparaîtdans«Saisissezlemot
depasseducomptenomd’utilisateursurcetordinateur».
9 CliquezsurContinuer.
140 Chapitre7Gestiondesclientsderépertoire

10 SousOptionsdeconfiguration,indiquezsivoussouhaitezlaisserl’Utilitairederépertoireconfigurervosapplications.
SélectionnezOuisivoussouhaitezqueleserveurconfigurevotreapplicationpour
qu’elleutiliselesservicesqu’iloffre.
SélectionnezNonpourcontournercetteconfiguration.
11 CliquezsurContinuer.
12 CliquezsurTerminerlaconfiguration.
L’Utilitairederépertoireconfigurevotreordinateur.
13 CliquezsurFermerlasessionpourvousdéconnecterdel’ordinateur.
Pourutiliserlesnouveauxservices,ouvrezunenouvellesession.
Cliquezsur«Nepasfermerlasession»sivoussouhaitezresterconnectéauserveur.
Ajoutd’uneconnexionàunserveurActiveDirectory
PourvousconnecteràunserveurActiveDirectory,vousdevezconnaîtresonnomou
sonadresseIP,ainsiquelenomd’utilisateuretlemotdepassedel’administrateur
ActiveDirectory.
PourajouterunserveurActiveDirectory:
1 Ouvrezl’Utilitairederépertoire(dans/Applications/Utilitaires/).
2 Sil’icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret
tapezlenometlemotdepassed’unadministrateur.
3 CliquezsurleboutonAjouter(+).
4 Danslemenulocal«Ajouterunnouveaurépertoiredetype»,choisissezActiveDirectory,
puissaisissezlesinformationssuivantes:
 DomaineActiveDirectory:nomDNSouadresseIPduserveurActiveDirectory.
 Identifiantdel’ordinateur:vouspouvezindiquerl’identifiantquevoussouhaitez
qu’ActiveDirectoryutilisepourvotreserveur(facultatif).Ils’agitdunomNetBIOS
duserveur.Cenomnedoitpascomporterplusde15caractères,sanscaractères
spéciauxniponctuation.Pourdesraisonspratiques,vouspouvezutiliserlenom
d’hôteDNSabrégéduserveur.Parexemple,sivotreserveurDNSpossèdeuneentrée
«serveur.exemple.com»pourvotreserveur,attribuezlenom«serveur»àvotreserveur.
 Nomd’utilisateuretmotdepassedel’administrateurAD:saisissezlenomd’utilisateur
etlemotdepassedel’administrateurActiveDirectory.
5 CliquezsurOK.
Chapitre7Gestiondesclientsderépertoire 141

Ajoutd’uneconnexionàunserveurOpenDirectory
PourajouterunserveurOpenDirectory,vousdevezconnaîtresonnomousonadresse
IPetsavoirs’ilutiliseleprotocoleSSL(SecureSocketLayer).
PourajouterunserveurOpenDirectory:
1 Ouvrezl’Utilitairederépertoire(dans/Applications/Utilitaires/).
2 Sil’icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret
tapezlenometlemotdepassed’unadministrateur.
3 CliquezsurleboutonAjouter(+).
4 Danslemenulocal«Ajouterunnouveaurépertoiredetype»,choisissezOpenDirectory.
5 Danslechamp«NomduserveurouadresseIP»,saisissezlenomoul’adresseIPdu
serveur.
6 (Sousréserve)Avantdecocherlacase«ChiffrerviaSSL»,demandezàvotreadministrateurOpenDirectorysileprotocoleSSLestrequis.
Important:sivousmodifiezvosadresseIPetnomd’ordinateuràl’aidedel’outilchangeipalorsquevousêtesconnectéàunserveurderépertoire,vousdevezvousdéconnecterpuisvousreconnecteràceserveurpourquelerépertoireprenneencompte
lenouveaunometlanouvelleadresseIPdel’ordinateur.Sivousnevousdéconnecter
puisreconnecterpasauserveurderépertoire,lerépertoireneserapasmisàjouret
continuerad’utiliserl’anciennometl’ancienneadresseIPdel’ordinateur.
Suppressiond’uneconnexionàunserveurderépertoire
Avantdesupprimerunserveurderépertoiredel’Utilitairederépertoire,assurez-vous
quevousn’utilisezpassesservicespourd’autresapplications.
Parexemple,siMailestconfigurépourutiliserleserveurderépertoirepourlarecherchedepersonnesetquevoussupprimezceserveurderépertoire,vousnepourrez
plusrechercherlespersonnesfigurantsurcedernier.
Poursupprimerunserveurderépertoire:
1 Ouvrezl’Utilitairederépertoire(dans/Applications/Utilitaires/).
2 Sil’icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret
tapezlenometlemotdepassed’unadministrateur.
3 DanslalisteServeursderépertoire,sélectionnezleserveurderépertoireàsupprimer.
4 CliquezsurleboutonSupprimer(–).
5 Sivousêtessûrd’avoirsélectionnélebonserveurderépertoire,cliquezsur«Arrêter
l’utilisationduserveur».
142 Chapitre7Gestiondesclientsderépertoire

Modificationd’uneconnexionàunserveurderépertoire
Vouspouvezutiliserl’Utilitairederépertoirepourmodifierlesserveursderépertoire
auxquelsvousêtesconnecté.
Pourmodifieruneconnexionàunserveurderépertoire:
1 Ouvrezl’Utilitairederépertoire(dans/Applications/Utilitaires/).
2 Sil’icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret
tapezlenometlemotdepassed’unadministrateur.
3 DanslalisteServeursderépertoire,sélectionnezleserveurderépertoireàmodifier.
4 CliquezsurleboutonModifier(/).
5 Modifiezlesréglagesduserveurderépertoire.
6 CliquezsurOK.
Contrôledesconnexionsauxserveursderépertoire
VouspouvezutiliserlalisteServeursderépertoiredel’Utilitairederépertoirepour
contrôlerl’étatdesserveursderépertoireauxquelsvotreordinateurestconnecté.
Cesinformationspeuventvousaideràdéterminerpourquoivousneparvenezpas
àvousconnecteràunserveurderépertoiredonné.
Pourcontrôlerl’étatd’unserveurderépertoire:
1 Ouvrezl’Utilitairederépertoire(dans/Applications/Utilitaires/).
2 Sil’icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret
tapezlenometlemotdepassed’unadministrateur.
3 Vérifiezlacouleurdupointd’étatàgaucheduserveurderépertoire:
 Vert:leserveurderépertoirerépondàl’Utilitairederépertoire.
 Jaune:l’Utilitairederépertoireattendlaréponseduserveurderépertoire.
 Rouge:leserveurderépertoirenerépondpasàl’Utilitairederépertoire.
Gestionducompted’utilisateurroot
Vouspouvezutiliserl’Utilitairederépertoirepourgérerlecompted’utilisateurrooten
activantoudésactivantl’utilisateurroot.Sivousavezactivélecompted’utilisateurroot,
vouspouvezégalementutiliserl’Utilitairederépertoirepourmodifiersonmotdepasse.
Chapitre7Gestiondesclientsderépertoire 143

Activationducompted’utilisateurroot
Vouspouvezutiliserl’Utilitairederépertoirepouractiverlecompted’utilisateurroot.
Sivousactivezlecompted’utilisateurroot,utilisezunmotdepassecorrectement
chiffrécomportantdescaractèresalphanumériquesetspéciauxpouréviterqu’ilne
soitdécouvert.
AVERTISSEMENT:lecompterootestuncompted’administrateurillimitépermettant
demodifierlesfichierssystèmecritiques.Mêmesivousavezouvertunesessionen
tantqu’administrateur,vousdevezutiliserlecompteroot,oul’outilsudo,pour
réaliserdestâchessystèmecritiques.
N’utilisezjamaislecompterootpourouvrirunesessionsurunordinateur(quecesoit
àdistanceouenlocal).Utilisezplutôtl’outilsudopourréaliserdestâchesroot.Vous
pouvezlimiterl’accèsàl’outilsudoenajoutantdesutilisateursaufichier/etc/sudoers/.
Pourensavoirplussurlecompteroot,consultezleguideGestiondesutilisateurs.
Pouractiverlecompted’utilisateurroot:
1 Ouvrezl’Utilitairederépertoire(dans/Applications/Utilitaires/).
2 Sil’icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret
tapezlenometlemotdepassed’unadministrateur.
3 ChoisissezÉdition>Activerl’utilisateurroot.
Modificationdumotdepasseducompted’utilisateurroot
Vouspouvezutiliserl’Utilitairederépertoirepourmodifierlemotdepasseducompte
root.Lorsquevousmodifiezlemotdepasseroot,utilisezunmotdepassecorrectementchiffrécomportantdescaractèresalphanumériquesetspéciauxpouréviterqu’il
nesoitdécouvert.
AVERTISSEMENT:lecompterootestuncompted’administrateurillimitépermettant
demodifierlesfichierssystèmecritiques.Mêmesivousavezouvertunesessionen
tantqu’administrateur,vousdevezutiliserlecompteroot,oul’outilsudo,pour
réaliserdestâchessystèmecritiques.
N’utilisezjamaislecompterootpourouvrirunesessionsurunordinateur(quecesoit
àdistanceouenlocal).Utilisezplutôtl’outilsudopourréaliserdestâchesroot.Vous
pouvezlimiterl’accèsàl’outilsudoenajoutantdesutilisateursaufichier/etc/sudoers/.
Pourensavoirplussurlecompteroot,consultezleguideGestiondesutilisateurs.
144 Chapitre7Gestiondesclientsderépertoire

Pourmodifierlemotdepasseducompted’utilisateurroot:
1 Ouvrezl’Utilitairederépertoire(dans/Applications/Utilitaires/).
2 Sil’icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret
tapezlenometlemotdepassed’unadministrateur.
3 ChoisissezÉdition>Activerlemotdepasseroot.
4 Lorsquevousyêtesinvité,saisissezlenouveaumotdepasserootdansleschamps
MotdepasseetConfirmation.
5 CliquezsurOK.
Chapitre7Gestiondesclientsderépertoire 145

8 Réglagesavancésdesclients
derépertoire
8
Utilisezl’Utilitairederépertoirepourconfigureretgérer
lemoded’accèsd’unordinateurdotédeMacOSXou
MacOSXServerauxservicesderépertoire.
Aprèsavoirconfigurévotreserveurderépertoire,vouspouvezpersonnaliserlesréglagesavancésdel’Utilitairederépertoirepourqu’ilfonctionneavecvotreordinateuret
vosapplicationslogicielles.
Pourlesdescriptionsetlesinstructionssurlestâchesdeconfigurationetdegestion,
reportez-vousà:
 «Configurationdel’Utilitairederépertoiresurunserveurdistant»àlapage148
 «Configurationdefichesdemontagepourledomainederépertoirelocal
d’unordinateur»àlapage148
 «Utilisationdesréglagesavancésdesrèglesderecherche»àlapage151
 «Utilisationdesréglagesavancésdesservicesderépertoire»àlapage155
 «UtilisationdesréglagesavancésdesservicesLDAP»àlapage157
 «UtilisationdesréglagesavancésdesservicesActiveDirectory»àlapage185
 «DéfinitiondesréglagesNIS»àlapage202
 «DéfinitiondesréglagesdefichierdeconfigurationBSD»àlapage203
Àproposdesréglagesavancésdesservicesderépertoire
Vouspouvezutiliserlesfonctionnalitésavancéesdel’UtilitairederépertoirepourconfigurerlesfichesdemontageNFS,lesservicesetlesrèglesderecherche.Vouspouvez
égalementutiliserl’Utilitairederépertoirepourconfigurerunordinateurdistant.
L’Utilitairederépertoireoffrelesfonctionnalitésavancéessuivantes:
 Seconnecterpermetdeconfigureràdistanceunordinateurclientouunserveur.
 PointsdemontagespermetdeconfigurerlespointsdemontagesNFSmontéslors
duredémarragedel’ordinateur.
147

 Servicespermetdeconfigurerlesserveursderépertoireauxquelspeuventaccéder
lesutilisateurs.
 Règlesderecherchepermetdeconfigurerlesemplacementsdanslesquelsl’ordinateurrecherchelesdonnéesd’authentificationetdecontactd’utilisateur.
Configurationdel’Utilitairederépertoiresurunserveurdistant
Vouspouvezutiliserl’applicationUtilitairederépertoiresurvotreordinateurpour
configureretgérerlemoded’accèsauxservicesderépertoiredeMacOSXServer
surunserveurdistant.
Pourconfigurerl’accèsàunrépertoiresurunserveurdistant:
1 Ouvrezl’Utilitairederépertoiresurvotreordinateur,puischoisissezSeconnecterdans
lemenuFichier.
2 Saisissezlesinformationsdeconnexionetd’authentificationsuivantespourleserveurà
configurer.
Adresse:saisissezlenomDNSoul’adresseIPduserveuràconfigurer.
Nomd’utilisateur:saisissezlenomd’utilisateurd’unadministrateurduserveur.
Motdepasse:saisissezlemotdepassecorrespondantaunomd’utilisateurquevous
avezsaisi.
3 CliquezsurSeconnecter.
4 CliquezsurlesongletsServeursd’annuaire,Pointsdemontages,ServicesetRèglesde
recherchepourmodifierlesréglagesselonvosbesoins.
Touteslesmodificationsapportéesaffectentleserveurdistantauquelvousvousêtes
connectéaucoursdesétapesprécédentes.
5 DanslemenuFichierdevotreordinateur,choisissezSedéconnecter.
Configurationdefichesdemontagepourledomainede
répertoirelocald’unordinateur
Vouspouvezutiliserl’Utilitairederépertoirepourconfigurerdespointsdemontages
NFSpourvotreordinateur.LespointsdemontagesNFSsontdespointsdepartage
hébergésparunserveurNFS.LespointsdepartageNFSpermettentdepartagerdes
informationsavecungrouped’utilisateurssurunréseauoupeuventêtreutilisés
commedossierdedépartréseaud’unutilisateur.
Sivousutilisezl’UtilitairederépertoirepourconfigurerdespointsdemontagesNFSsur
votreordinateur,cespointsdemontagesserontmontésaudémarragedel’ordinateur.
LespointsdemontagesNFSsontrépertoriésdanslasous-fenêtrePointsdemontages
del’Utilitairederépertoire.Cettesous-fenêtreindiquel’URLduserveurNFSainsique
l’emplacementdespointsdemontagesNFSsurl’ordinateur.
148 Chapitre8Réglagesavancésdesclientsderépertoire

Ajoutd’unefichedemontageaudomainederépertoirelocal
PourajouterunserveurNFS,vousdevezconnaîtresonURLetavoiraccèsaupointde
partageNFS.
Pourajouterunefichedemontage:
1 Ouvrezl’Utilitairederépertoire(dans/Applications/Utilitaires/).
2 Sil’icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret
tapezlenometlemotdepassed’unadministrateur.
3 Cliquezsur«Afficherlesréglagesavancés»(s’ilsnesontpasdéjàvisibles).
4 CliquezsurPointsdemontages,puissurleboutonAjouter(+).
5 DéfinissezlesréglagesdupointdemontageNFSenprocédantcommesuit:
Danslechamp«URLduNFSdistant»,saisissezl’URLduserveurNFS.
Danslechamp«Emplacementdemontage»,saisissezlepointdemontagelocaldu
pointdemontageNFS.
Pourajouterdesparamètresdemontage,cliquezsurletrianglesetrouvantàgauche
de«Paramètresdemontageavancés»etsaisissezvosparamètres.
PourmonterunvolumeNFSenlectureseule,cochezlacase«Monterenlecture
seule».
SivoussouhaitezquelepointdemontageNFSignorelesprivilègesd’identifiant
utilisateur,cochezlacase«Ignorerprivilègesdéfinitiond’id.utilisateur».
6 PourvérifierqueleserveurNFSrépond,cliquezsurVérifier;sinon,cliquezsurNepas
vérifier.
Sil’UtilitairederépertoirereçoituneréponseduserveurNFS,uneinviteindiquantque
leserveurabienrépondus’affiche.
Sil’UtilitairederépertoirenereçoitpasderéponseduserveurNFS,vouspouvezcréer
lepointdemontageencliquantsurCréer.
7 CliquezsurAppliquer.
LespointsdemontagesNFSs’affichentdanslasous-fenêtrePointsdemontagesde
l’Utilitairederépertoire.
Chapitre8Réglagesavancésdesclientsderépertoire 149

Suppressiond’unefichedemontagedudomainederépertoirelocal
LorsquevoussupprimezunpointdemontageNFSdel’Utilitairederépertoire,veillezà
nepassupprimerlafichedemontagedevotredossierdedépartNFS.Vousnepourriezalorsplusaccéderàvosdonnées.
Poursupprimerunefichedemontage:
1 Ouvrezl’Utilitairederépertoire(dans/Applications/Utilitaires/).
2 Sil’icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret
tapezlenometlemotdepassed’unadministrateur.
3 Cliquezsur«Afficherlesréglagesavancés»(s’ilsnesontpasdéjàvisibles).
4 CliquezsurPointsdemontages.
5 DanslalistePointsdemontages,sélectionnezlepointdemontageNFSàsupprimer.
6 CliquezsurleboutonSupprimer(–).
7 Sivousêtessûrd’avoirsélectionnélebonpointdemontageNFS,cliquezsurSupprimer.
Modificationd’unefichedemontagedansledomainederépertoire
local
Vouspouvezutiliserl’Utilitairederépertoirepourmodifierlesréglagesd’unefichede
montageNFSexistante.
Pourmodifierunefichedemontage:
1 Ouvrezl’Utilitairederépertoire(dans/Applications/Utilitaires/).
2 Sil’icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret
tapezlenometlemotdepassed’unadministrateur.
3 Cliquezsur«Afficherlesréglagesavancés»(s’ilsnesontpasdéjàvisibles).
4 CliquezsurPointsdemontages.
5 DanslalistePointsdemontages,sélectionnezlepointdemontageNFSàmodifier.
6 CliquezsurleboutonModifier(/).
7 ModifiezlesréglagesdupointdemontageNFS.
150 Chapitre8Réglagesavancésdesclientsderépertoire

Utilisationdesréglagesavancésdesrèglesderecherche
L’Utilitairederépertoiredéfinitlesrèglesderecherchesuivantes:
 Authentification:MacOSXutiliselapolitiquederecherched’authentificationpour
localiseretrécupérer,àpartirdesdomainesderépertoire,lesinformationsd’authentificationd’utilisateuretd’autresdonnéesadministratives.
 Contacts:MacOSXutiliselapolitiquederecherchedecontactspourlocaliseret
récupérer,àpartirdesdomainesderépertoire,lesnoms,adressesetautresinformationsdecontact.Carnetd’adressesdeMacOSXutilisecesinformationsdecontact.
D’autresapplicationspeuventégalementêtreconfiguréespourlesutiliser.
Chaquerèglederecherchecomprendunelistededomainesderépertoire.L’ordredes
domainesderépertoiredanslalistedéfinitlapolitiquederecherche.Encommençant
enhautdelaliste,MacOSXexaminetouràtourchaquedomainederépertoirelisté
jusqu’àcequ’iltrouvelesinformationsnécessairesouqu’ilatteignelafindelalistesans
trouvercesinformations.
Lesrèglesderecherchededonnéesd’authentificationetd’informationsdecontact
peuventavoirl’undesréglagessuivants:
 Automatique:commenceparledomainederépertoirelocaletpeutinclureun
annuaireLDAPfourniparDHCPetlesdomainesderépertoireauxquelsl’ordinateur
estconnecté.Ils’agitduréglagepardéfautpourMacOSX10.2ouultérieur;iloffre
unesouplessemaximalepourlesordinateursnomades.
 Répertoirelocal:n’inclutqueledomainederépertoirelocal.
 Cheminpersonnalisé:commenceparledomainederépertoirelocaletinclutvotre
sélectionderépertoiresLDAP,undomaineActiveDirectory,lesdomainesderépertoirepartagés,lesfichiersdeconfigurationBSDetundomaineNIS.
Important:sivousconfigurezMacOSXpourqu’ilutiliseunerèglederecherche
d’authentificationautomatiqueetunserveurLDAPfourniparDHCP,vousaugmentezle
risquedevoirunutilisateurmalveillantprendrelecontrôledevotreordinateur.Lerisqueestencoreplusélevésivotreordinateurestconfigurépourseconnecteràun
réseausansfil.Pourensavoirplus,consultezlarubrique«Protectiondesordinateurs
contreunserveurDHCPmalveillantȈlapage154.
Pourtrouverlesdescriptionsdestâchesetdesinstructions,reportez-vousà:
 «Définitiondepolitiquesderechercheautomatiques»àlapage152
 «Définitiondepolitiquesderecherchepersonnalisées»àlapage153
 «Définitiondepolitiquesderecherchederépertoirelocal»àlapage154
 «Attentedel’entréeenvigueurd’unemodificationdelapolitiquederecherche»à
lapage154
Chapitre8Réglagesavancésdesclientsderépertoire 151

Définitiondepolitiquesderechercheautomatiques
Àl’aided’Utilitairederépertoire,vouspouvezfaireensortequelesrèglesderecherched’authentificationetdecontactsd’unordinateurMacOSXsoientdéfinies
automatiquement.
Unepolitiquederecherchedéfinieautomatiquementinclutledomainederépertoire
local.EllepeutaussiinclureunserveurderépertoireLDAPspécifiéparDHCPainsique
lesdomainesderépertoirepartagésauxquelsl’ordinateurestconnecté.
C’estlaconfigurationpardéfautpourlesrèglesderecherched’authentificationetde
contacts.
Remarque:certainesapplications,commeMailetCarnetd’adressesdeMacOSX,sont
capablesd’accéderdirectementauxrépertoiresLDAP,sansutiliserOpenDirectory.Pour
configurerl’unedecesapplicationspourqu’elleaccèdedirectementauxannuaires
LDAP,ouvrezl’applicationetdéfinissezlapréférenceappropriée.
Important:sivousconfigurezMacOSXpourqu’ilutiliseunerèglederecherche
d’authentificationautomatiqueetunserveurLDAPfourniparDHCPouundomaine
derépertoirepartagéfourniparDHCP,vousaugmentezlerisquedevoirunutilisateur
malveillantprendrelecontrôledevotreordinateur.Lerisqueestencoreplusélevési
votreordinateurestconfigurépourseconnecteràunréseausansfil.Pourensavoir
plus,consultezlarubrique«ProtectiondesordinateurscontreunserveurDHCP
malveillantȈlapage154.
Pourobtenirqu’unepolitiquederecherchesoitautomatiquementdéfinie:
1 Ouvrezl’Utilitairederépertoire,cliquezsurRèglesderecherche,puischoisissezune
règlederecherche:
 Authentification:affichelarèglederechercheutiliséepourl’authentificationet
laplupartdesautresdonnéesadministratives.
 Contacts:affichelarèglederechercheutiliséepourlesinformationsdecontact
danslesapplicationstellesqueCarnetd’adresses.
2 Sil’icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret
tapezlenometlemotdepassed’unadministrateur.
3 SélectionnezAutomatiquedanslemenulocalRechercher,puiscliquezsurAppliquer.
4 DansPréférencesSystème,assurez-vousquelespréférencesderéseaudel’ordinateur
sontconfiguréespourutiliserDHCPouDHCPviauneadresseIPmanuelle.
5 PourinclureunserveurLDAPdanslarèglederechercheautomatique,assurez-vous
quel’utilisationd’unannuaireLDAPfourniparDHCPestactivéedansl’Utilitairede
répertoireetqueleserviceDHCPestconfigurépourfournirl’adresseduserveurLDAP.
Pourensavoirplus,consultezlarubrique«Activationoudésactivationd’unrépertoire
LDAPfourniviaDHCP»àlapage158.PourensavoirplussurlaconfigurationduserviceDHCPdeMacOSXServer,consultezleguideAdministrationdesservicesréseau.
152 Chapitre8Réglagesavancésdesclientsderépertoire

Définitiondepolitiquesderecherchepersonnalisées
Àl’aided’Utilitairederépertoire,vouspouvezfaireensortequelesrèglesderecherched’authentificationetdecontactsd’unordinateurMacOSXutilisentuneliste
personnaliséededomainesderépertoire.
Unelistepersonnaliséecommenceparledomainederépertoirelocaldel’ordinateur
etpeutincluredesdomainesderépertoireOpenDirectory(etd’autresdomainesde
répertoireLDAP),undomaineActiveDirectory,desdomainesderépertoirepartagés,
desfichiersdeconfigurationBSDetundomaineNIS.
Siundomainederépertoirespécifiédanslarèglederecherchepersonnaliséed’un
ordinateurn’estpasdisponible,ilyauraundélailorsdudémarragedel’ordinateur.
Pourspécifierunelistepersonnaliséededomainesderépertoirepourunepolitique
derecherche:
1 Dansl’Utilitairederépertoire,cliquezsurRèglesderecherche,puischoisissezunerègle
derecherche.
 Authentification:affichelarèglederechercheutiliséepourl’authentificationet
laplupartdesautresdonnéesadministratives.
 Contacts:affichelarèglederechercheutiliséepourlesinformationsdecontact
danslesapplicationstellesqueCarnetd’adresses.
2 Sil’icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret
tapezlenometlemotdepassed’unadministrateur.
3 ChoisissezCheminpersonnalisédanslemenulocalRechercher.
4 AjoutezautantdedomainesderépertoirequenécessaireencliquantsurAjouter,en
sélectionnantunouplusieursrépertoires,puisencliquantdenouveausurAjouter.
5 Modifiezl’ordredesdomainesderépertoirelistésselonvosbesoinsenlesfaisantglisser
verslehautoulebasdelaliste.
6 Supprimezlesdomainesderépertoirelistésquevousnesouhaitezpasincluredansla
règlederechercheenlessélectionnantpuisencliquantsurleboutonSupprimer(–).
7 ConfirmezlasuppressionencliquantsurOK,puiscliquezsurAppliquer.
Pourajouterunrépertoirequinefigurepasparmilesrépertoiresdisponibles,assurezvousquel’ordinateuraétéconfigurépouraccéderàcerépertoire.Pourensavoirplus,
consultez:
 «Utilisationdesréglagesavancésdesservicesderépertoire»àlapage155
 «UtilisationdesréglagesavancésdesservicesLDAP»àlapage157
 «UtilisationdesréglagesavancésdesservicesActiveDirectory»àlapage185
 «DéfinitiondesréglagesNIS»àlapage202
 «DéfinitiondesréglagesdefichierdeconfigurationBSD»àlapage203
Chapitre8Réglagesavancésdesclientsderépertoire 153

Définitiondepolitiquesderecherchederépertoirelocal
Àl’aidedel’Utilitairederépertoire,vouspouvezfaireensortequelesrèglesderecherched’authentificationetdecontactsd’unordinateurMacOSXutilisentuniquement
lerépertoirelocaldel’ordinateur.
Unepolitiquederecherchequin’utilisequelerépertoirelocallimitel’accèsd’unordinateurauxinformationsd’authentificationetautresdonnéesadministratives.
Sivousrestreignezlapolitiquederecherched’authentificationd’unordinateurà
l’emploidurépertoirelocal,seulslesutilisateurspossédantuncomptelocalpourront
ouvrirunesession.
Pourqu’unerèglederecherchen’utilisequeledomainederépertoirelocal
(répertoirelocal):
1 Ouvrezl’Utilitairederépertoire,cliquezsurRèglesderecherche,puischoisissezune
règlederecherche:
 Authentification:affichelarèglederechercheutiliséepourl’authentificationet
laplupartdesautresdonnéesadministratives.
 Contacts:affichelarèglederechercheutiliséepourlesinformationsdecontact
danslesapplicationstellesqueCarnetd’adresses.
2 Sil’icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret
tapezlenometlemotdepassed’unadministrateur.
3 ChoisissezRépertoirelocaldanslemenulocalRechercher,puiscliquezsurAppliquer.
Attentedel’entréeenvigueurd’unemodificationdelapolitiquede
recherche
Aprèsavoirmodifiélarèglederecherchedanslasous-fenêtreAuthentificationouContactsdel’Utilitairederépertoire,attendez10à15secondespourquelesmodifications
entrentenvigueur.Toutetentatived’ouverturedesessionàl’aided’uncompteprovenantd’undomainederépertoirequiutiliselarèglederecherched’authentification
échoueratantquelesmodificationsapportéesneserontpasentréesenvigueur.
ProtectiondesordinateurscontreunserveurDHCPmalveillant
Applerecommandedenepasutiliserderèglederecherched’authentificationautomatiqueavecunserveurLDAPfourniparDHCPouundomainederépertoirepartagé
fourniparDHCPdansunenvironnementdanslequellasécuritéestunsoucimajeur.
UnbidouilleurmalveillantayantaccèsàvotreréseaupeututiliserunserveurDHCP
leurreetunannuaireLDAP(ouundomainederépertoirepartagé)leurrepourcontrôlervotreordinateuràl’aideducompted’utilisateurroot.
154 Chapitre8Réglagesavancésdesclientsderépertoire

Pourqu’unbidouilleurpuisseaccéderàvotreréseau,sonserveurDHCPleurredoitfaire
partiedevotreréseaulocaloudevotresous-réseau.Parconséquent,sivosordinateurs
sontlesseulssurvotreréseaulocalets’ilsontaccèsàInternetparleserviceNATde
MacOSXServerouviaunrouteurNAT,cetypedefailledesécuritéestimpossible.
Toutefois,unréseaulocalsansfilréduitleniveaudesécuritécarunbidouilleurpeut
accéderplusfacilementàunréseaulocalsansfilqu’àunréseaulocalcâblé.
Sivousdisposezd’unordinateurnomadequiseconnecteàunserveurLDAPlorsqu’il
estconnectéàunréseauetquevouschangezsarèglederecherched’automatiqueà
personnalisée(danslasous-fenêtreAuthentificationdel’ongletRèglesderecherchede
l’Utilitairederépertoire),undélaiseproduiraaudémarragelorsquel’ordinateurnesera
pasconnectéauréseau.
VouspouvezprotégervotreMaccontrelesattaquesmalveillantesàpartird’unserveur
DHCPleurreendésactivantl’utilisationd’unannuaireLDAPfourniparDHCPeten
désactivantlaliaisonBroadcastetDHCPpourledomainederépertoirepartagé(ouen
désactivantledomainederépertoirepartagé).Pourensavoirplus,consultezlarubrique«Activationoudésactivationd’unrépertoireLDAPfourniviaDHCP»àlapage158.
Cedélaiseproduitcarl’ordinateurnepeutpasseconnecteràundomainederépertoirespécifiquefigurantdanssarèglederecherchepersonnalisée.Vousneremarquerezaucundélailorsquevousréveillerezunordinateurquiaétédéconnectéduréseau
pendantlasuspensiond’activité.
Utilisationdesréglagesavancésdesservicesderépertoire
L’Utilitairederépertoirerépertorielesdifférentescatégoriesdeservicesderépertoire
auxquellesMacOSXpeutaccéder.LalisteinclutlesservicesderépertoiresquidonnentàMacOSXaccèsauxinformationsd’utilisateuretautresdonnéesadministratives
stockéesdanslesdomainesderépertoire.
Vouspouvezactiveroudésactiverl’accèsàchaqueservicederépertoire.Sivousdésactivezunservicedansl’Utilitairederépertoire,MacOSXnepeutplusaccéderàceservicederépertoire.
Pourtrouverlesdescriptionsdestâchesetdesinstructions,reportez-vousà:
 «ActivationoudésactivationduserviceActiveDirectory»àlapage156
 «ActivationoudésactivationdesservicesderépertoiresLDAP»àlapage156
Chapitre8Réglagesavancésdesclientsderépertoire 155

ActivationoudésactivationduserviceActiveDirectory
L’Utilitairederépertoirepermetd’activeroudedésactiverl’utilisationdesservices
ActiveDirectoryfournisparunserveurWindows.ActiveDirectoryestleservicede
répertoiredesserveursWindows2000etultérieurs.
SivousdésactivezlesservicesActiveDirectoryetquedesdomainesActiveDirectory
sontinclusdansunerèglederecherchepersonnalisée,ilssontaffichésenrouge
danslasous-fenêtreAuthentificationouContactsdel’ongletRèglesderecherche
del’Utilitairederépertoire.
Pouractiveroudésactiverl’accèsàActiveDirectory:
1 Ouvrezl’UtilitairederépertoireetcliquezsurServices.
2 Sil’icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret
tapezlenometlemotdepassed’unadministrateur.
3 Cochezoudécochezlacaseenregardd’ActiveDirectory,puiscliquezsurAppliquer.
Pourobtenirdesinstructionssurlaconfiguration,consultezlarubrique«Utilisationdes
réglagesavancésdesservicesActiveDirectory»àlapage185.
ActivationoudésactivationdesservicesderépertoiresLDAP
Vouspouvezutiliserl’Utilitairederépertoirepouractiveroudésactiverl’accèsauxservicesderépertoireutilisantlesversions2et3duprotocoleLDAP.Unmoduleuniquede
l’UtilitairederépertoirenomméLDAPv3permetd’accéderauxversions2et3duprotocoleLDAP.
LesservicesderépertoirefournisparMacOSXServerutilisentLDAPv3,commede
nombreuxautresserveurs.LDAPv3estunenormeouvertecommunedanslesréseaux
mixtesdesystèmesMacintosh,UNIXetWindows.Certainsserveursutilisentlaversion
antérieure,LDAPv2,pourfournirdesservicesderépertoire.
SivousdésactivezlesservicesderépertoireLDAPetquedesannuairesLDAPsont
inclusdansunerèglederecherchepersonnalisée,ilssontaffichésenrougedansla
sous-fenêtreAuthentificationouContactsdel’ongletRèglesderecherchedel’Utilitaire
derépertoire.
PouractiveroudésactiverlesservicesderépertoiresLDAP:
1 Ouvrezl’UtilitairederépertoireetcliquezsurServices.
2 Sil’icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret
tapezlenometlemotdepassed’unadministrateur.
3 CochezoudécochezlacaseenregarddeLDAPv3,puiscliquezsurAppliquer.
Pourobtenirdesinstructionssurlaconfiguration,consultezlarubrique«Utilisationdes
réglagesavancésdesservicesLDAP»àlapage157.
156 Chapitre8Réglagesavancésdesclientsderépertoire

UtilisationdesréglagesavancésdesservicesLDAP
VouspouvezconfigurerunserveuréquipédeMacOSXServerouunordinateurdoté
deMacOSXpouraccéderàdesrépertoiresLDAPparticuliers,ycomprislerépertoire
LDAPd’unmaîtreOpenDirectorydeMacOSXServer.
Pourtrouverlesdescriptionsdestâchesetdesinstructions,reportez-vousà:
 «AccèsàdesrépertoiresLDAPdansMailetCarnetd’adresses»àlapage158
 «Activationoudésactivationd’unrépertoireLDAPfourniviaDHCP»àlapage158
 «AffichageoumasquagedeconfigurationspourserveursLDAP»àlapage159
 «Configurationdel’accèsàunrépertoireLDAP»àlapage160
 «Configurationmanuelledel’accèsàunrépertoireLDAP»àlapage163
 «Modificationd’uneconfigurationpourl’accèsàunrépertoireLDAP»àlapage165
 «Duplicationd’uneconfigurationpourl’accèsàunrépertoireLDAP»àlapage167
 «Suppressiond’uneconfigurationpourl’accèsàunrépertoireLDAP»àlapage169
 «Modificationdesréglagesdeconnexiond’unrépertoireLDAP»àlapage170
 «ModificationdelapolitiquedesécuritépouruneconnexionLDAP»àlapage171
 «ConfigurationdesrecherchesetmappagesLDAP»àlapage173
 «ConfigurationdelaliaisonsécuriséepourunannuaireLDAP»àlapage176
 «ArrêtdelaliaisonsécuriséeavecunannuaireLDAP»àlapage177
 «Modificationdudélaid’ouverture/defermeturepouruneconnexionLDAP»àla
page178
 «ModificationdudélaiderequêtepouruneconnexionLDAP»àlapage178
 «ModificationdudélaidetentativedereconnexionpouruneconnexionLDAP»àla
page179
 «Modificationdudélaid’inactivitépouruneconnexionLDAP»àlapage179
 «Forçagedel’accèsLDAPv2enlectureseule»àlapage180
 «IgnorancedesréférencesdeserveurLDAP»àlapage180
 «Authentificationd’uneconnexionLDAP»àlapage181
 «ModificationdumotdepasseutilisépourauthentifieruneconnexionLDAP»àla
page181
 «Mappaged’attributsd’enregistrementdeconfigurationpourrépertoiresLDAP»à
lapage182
 «ModificationdumappageRFC2307pouractiverlacréationd’utilisateurs»àla
page183
 «Préparationd’unrépertoireLDAPenlectureseulepourMacOSX»àlapage184
 «Remplissaged’annuairesLDAPavecdesdonnéespourMacOSX»àlapage184
Chapitre8Réglagesavancésdesclientsderépertoire 157

AccèsàdesrépertoiresLDAPdansMailetCarnetd’adresses
VouspouvezconfigurerMail,Carnetd’adressesetcertainesapplicationssimilaires
deMacOSXpourqu’ilsaccèdentdirectementàdesannuairesLDAPspécifiques,
sansutiliserOpenDirectory.
Pourensavoirplus,ouvrezMailetchoisissezAide>AideMailououvrezCarnet
d’adressesetchoisissezAide>AideCarnetd’adresses,puischerchezdel’aidesurLDAP.
Activationoudésactivationd’unrépertoireLDAPfourniviaDHCP
L’UtilitairederépertoirepermetdeconfigurerunordinateurMacOSXpourqu’il
obtiennel’adressed’unserveurderépertoireLDAPaudémarrage.
MacOSXrequiertl’adressed’unserveurderépertoireLDAPauprèsduserviceDHCP
quifournitégalementl’adresseIPdel’ordinateur,l’adressedurouteuretlesadresses
deserveurDNS.MacOSXajoutel’adresseduserveurLDAPfournieviaDHCPàla
politiquederechercheautomatiquedel’ordinateur.LeserveurLDAPfourniparDHCP
apparaîtaussi(estompé)danslalistedesconfigurationsLDAP.
Pourensavoirplus,consultezlesrubriques«Définitiondepolitiquesderecherche
automatiques»àlapage152et«Modificationd’uneconfigurationpourl’accèsàun
répertoireLDAP»àlapage165.
L’ordinateurnepeutpasêtreconfigurépourutiliseràlafoisuneliaisonsécuriséeLDAP
etunannuaireLDAPfourniparDHCP.LaliaisonLDAPsécuriséeestenréalitéune
liaisonstatique,alorsqueleLDAPfournileDHCPestuneliaisondynamique.
Pourensavoirplus,consultezlesrubriques«Configurationdelaliaisonsécuriséepour
unannuaireLDAP»àlapage176et«Configurationd’unepolitiquedeliaisonpourun
serveurOpenDirectoryȈlapage218.
Important:sivousconfigurezMacOSXpourqu’ilutiliseunerèglederecherche
d’authentificationautomatiqueetunserveurLDAPfourniparDHCPouundomainede
répertoirepartagéfourniparDHCP,vousaugmentezlerisquedevoirunutilisateur
malveillantprendrelecontrôledevotreordinateur.Lerisqueestencoreplusélevési
votreordinateurestconfigurépourseconnecteràunréseausansfil.Pourensavoir
plus,consultezlarubrique«ProtectiondesordinateurscontreunserveurDHCP
malveillantȈlapage154.
158 Chapitre8Réglagesavancésdesclientsderépertoire

Pouractiveroudésactiverl’accèsautomatiqueàunserveurLDAP:
1 Ouvrezl’UtilitairederépertoireetcliquezsurServices.
2 Sil’icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret
tapezlenometlemotdepassed’unadministrateur.
3 Danslalistedesservices,sélectionnezLDAPv3,puiscliquezsurleboutonModifier(/).
4 ChoisissezunemplacementderéseaudanslemenulocalEmplacement.
L’optiondeserveurLDAPfourniparDHCPpeutêtreactivéeoudésactivéeindépendammentpourchaqueemplacementderéseaudéfinidanslasous-fenêtreRéseaude
PréférencesSystème.
5 Cliquezsur«AjouterlesserveursLDAPfournisparDHCPauxrèglesderecherche
automatique»,puiseffectuezl’unedesopérationssuivantes:
 Sivousdésactivezcetteoption,l’ordinateurn’utiliserapasdeserveurderépertoire
LDAPfourniparDHCP.Pourensavoirplus,reportez-vousàlarubrique
«Configurationdel’accèsàunrépertoireLDAP»àlapage160.
 Sivousactivezcetteoption,leserveurquifournitleserviceDHCPàcetordinateurdoit
êtreconfigurépourfournirl’adressed’unserveurderépertoireLDAP.Pourensavoir
plus,consultezlechapitreDHCPdudocumentAdministrationdesservicesréseau.
AffichageoumasquagedeconfigurationspourserveursLDAP
Vouspouvezafficheroumasquerlalistedesconfigurationsdisponiblespouraccéder
auxrépertoiresLDAP.ChaqueconfigurationdéfinitlamanièredontOpenDirectory
accèdeàunannuaireLDAP.Lorsquelalisteestaffichée,vouspouvezmodifierlesréglagesdechaqueconfigurationLDAPquin’estpasestompée.
Lorsqu’uneconfigurationLDAPestestompée,celasignifiequ’elleestfournieparDHCP,
commedécritdanslarubrique«Activationoudésactivationd’unrépertoireLDAP
fourniviaDHCPȈlapage158.
Pourafficheroumasquerlesconfigurationsd’annuaireLDAPdisponibles:
1 Ouvrezl’UtilitairederépertoireetcliquezsurServices.
2 Sil’icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret
tapezlenometlemotdepassed’unadministrateur.
3 Danslalistedesservices,sélectionnezLDAPv3,puiscliquezsurleboutonModifier(/).
4 Enfonctionducontexte,cliquezsurAfficherlesoptionsousurMasquerlesoptions.
Chapitre8Réglagesavancésdesclientsderépertoire 159

Configurationdel’accèsàunrépertoireLDAP
Àl’aidedel’Utilitairederépertoire,vouspouvezdéfinirlamanièredontMacOSX
accèdeàunannuaireLDAPv3sivousconnaissezlenomDNSoul’adresseIPduserveur
derépertoireLDAP.
Silerépertoiren’estpashébergéparunserveurfournissantsespropresmappages
(commeparexempleMacOSXServer),vousdevezconnaîtrelabasederecherche
etlemodèledemappagedesdonnéesMacOSXauxdonnéesdurépertoire.
Lesmodèlesdemappageprisenchargesontlessuivants:
 ServeurOpenDirectory,pourunrépertoireutilisantleschémadeMacOSXServer;
 ActiveDirectory,pourunrépertoirehébergéparunserveurWindows2000,
Windows2003ouultérieur;
 RFC2307,pourlaplupartdesrépertoireshébergéspardesserveursUNIX.
LemoduleexterneLDAPv3prendentièrementenchargelaréplicationetlebasculementOpenDirectory.SilemaîtreOpenDirectorydevientindisponible,lemodule
basculesurunerépliqueproche.
Pourspécifierdesmappagespersonnaliséspourlesdonnéesdurépertoire,suivezles
instructionsdelarubrique«Configurationmanuelledel’accèsàunrépertoireLDAP»à
lapage163plutôtquecellesprésentéesici.
Important:silenomdevotreordinateurcontientuntraitd’union,vousrisquezde
nepaspouvoirrejoindreouvouslieràundomainederépertoiretelqueLDAPou
ActiveDirectory.Pourétablirlaliaison,utilisezunnomd’ordinateurnecontenant
pasdetraitd’union.
Pourquel’Utilitairederépertoirevousaideàconfigurerl’accèsàunannuaireLDAP:
1 Ouvrezl’UtilitairederépertoireetcliquezsurServices.
2 Sil’icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret
tapezlenometlemotdepassed’unadministrateur.
3 Danslalistedesservices,sélectionnezLDAPv3,puiscliquezsurleboutonModifier(/).
VouspouvezsélectionnerLDAPv3danslalistedesservicessanscocherlacaseActiver
pourLDAPv3.
4 CliquezsurNouveau,puistapezlenomDNSoul’adresseIPduserveurLDAP.
160 Chapitre8Réglagesavancésdesclientsderépertoire

5 Sélectionnezlesoptionsd’accèsaurépertoire:
 Cochezlacase“CrypterviaSSL”sivoussouhaitezqu’OpenDirectoryutiliseSecure
SocketsLayer(SSL)pourlesconnexionsaveclerépertoireLDAP.Avantdesélectionnercetteoption,demandezàvotreadministrateurOpenDirectorysileprotocole
SSLestrequis.
 Cochezlacase«Utiliserpourl’authentification»sicerépertoirecontientdescomptesd’utilisateurquequelqu’unvautiliserpourl’ouverturedesessionoul’authentificationàdesservices.
 Cochezlacase«Utiliserpourlescontacts»sicerépertoirecontientdesadresses
électroniquesetd’autresinformationsquevoussouhaitezutiliserdansCarnet
d’adresses.
Sil’UtilitairederépertoirenepeutpascontacterleserveurLDAP,unmessages’affiche
etvousdevezalorsconfigurerl’accèsmanuellementouannulerleprocessusdeconfiguration.Pourensavoirplussurlaconfigurationmanuelle,consultezlarubrique
«Configurationmanuelledel’accèsàunrépertoireLDAP»àlapage163.
Silazonededialoguesedéveloppepourafficherdesoptionsdemappage,choisissez
lemodèledemappagedanslemenulocal,tapezlesuffixedelabasederecherche,
puiscliquezsurContinuer.
LesuffixedelabasederechercheprovientgénéralementdunomDNSduserveur.
Parexemple,lesuffixedelabasederecherchepourraitêtre“dc=ods,dc=exemple,
dc=com”pourunserveurdontlenomDNSestods.exemple.com.
Siaucundesmodèlesdemappagedisponiblesnes’appliqueàlaconnexionquevous
configurez,cliquezsurManuel.Pourensavoirplus,consultezlarubrique
«Configurationmanuelledel’accèsàunrépertoireLDAP»àlapage163.
6 Pourquel’UtilitairederépertoireobtiennedesinformationsduserveurLDAP,cliquez
surContinuer.
7 Silazonededialoguesedéveloppepourafficherdesoptionsrelativesàlaliaisonsécurisée,tapezlenomdel’ordinateurainsiquelenomd’utilisateuretlemotdepassed’un
administrateurderépertoire(ilsepeutquelaliaisonsoitfacultative).
LazonededialoguevousindiquesilerépertoireLDAPrequiertlaliaisonsécuriséeou
larendfacultative.Laliaisonsécuriséeestmutuelle:chaquefoisquel’ordinateurse
connecteaurépertoireLDAP,ilss’authentifientl’unetl’autre.Silaliaisonsécuriséeest
déjàconfiguréeousil’annuaireLDAPneprendpasenchargelaliaisonsécurisée,le
boutonLiaisonnes’affichepas.Assurez-vousd’avoirsaisilebonnomd’ordinateur.
Siunavertissements’affichepourindiquerqu’unefiched’ordinateurexiste,cliquezsur
Annulerpourreveniràlapageprécédenteetmodifierlenomdel’ordinateur,oucliquezsurÉcraserpourremplacerlafiched’ordinateurexistante.
Lafiched’ordinateurexistantepeutêtreabandonnéeouapparteniràunautreordinateur.
Chapitre8Réglagesavancésdesclientsderépertoire 161

Sivousremplacezunefiched’ordinateur,prévenezl’administrateurdel’annuaireLDAP,
aucasoùleremplacementdelafichedésactiveraitunautreordinateur.Danscecas,
l’administrateurdel’annuaireLDAPdoitattribuerunautrenomàl’ordinateurdésactivéetl’ajouterànouveauaugrouped’ordinateursauquelilappartenait.
Pourensavoirplussurl’ajoutd’unordinateuràungrouped’ordinateurs,consultez
lechapitrerelatifauxgroupesd’ordinateursdansGestiondesutilisateurs.
8 Silazonededialoguesedéveloppepourafficherdesoptionsrelativesàlaconnexion,
sélectionnezl’option«Utiliserl’authentificationlorsdelasélection»puistapezlenom
distinctifetlemotdepassed’uncompted’utilisateurdurépertoire.
LesoptionspouruneconnexionauthentifiéeapparaissentsileserveurLDAPprenden
chargeuneconnexionauthentifiée,maispaslaliaisonsécurisée.Laconnexionauthentifiéen’estpasmutuelle:leserveurLDAPauthentifieleclient,maisleclientn’authentifiepasleserveur.
L’option“Utiliserl’authentificationlorsdelasélection”estprésélectionnée,maisestompéesileserveurLDAPrequiertquevousfournissiezlenomdistinctifetlemotdepasse
d’uncompted’utilisateurpouruneconnexionauthentifiée.
Lenomdistinctifpeutspécifiertoutcompted’utilisateurayantl’autorisationdevoirles
donnéesdanslerépertoire.Parexemple,uncompted’utilisateurdontlenomabrégé
estdirauthsurunserveurLDAPdontl’adresseestods.exemple.comporteraitlenom
distinctifuid=dirauth,cn=utilisateurs,dc=ods,dc=exemple,dc=com.
Important:silenomdistinctifoulemotdepasseestincorrect,vouspouvezouvrirune
sessionsurl’ordinateuràl’aidedecomptesd’utilisateurprovenantdel’annuaireLDAP.
9 CliquezsurOKpourterminerlacréationdelaconnexionLDAP.
10 CliquezsurOKpourterminerlaconfigurationdesoptionsLDAPv3.
Sivousavezsélectionnél’option«Utiliserpourl’authentification»ou«Utiliserpour
lescontacts»àl’étape5,laconfigurationd’annuaireLDAPquevousvenezdecréerest
ajoutéeàunerèglederecherchepersonnaliséedanslasous-fenêtreAuthentification
ouContactsdel’Utilitairederépertoire.
Assurez-vousqueLDAPv3estactivédanslasous-fenêtreServicesafinquel’ordinateur
utiliselaconfigurationLDAPquevousvenezdecréer.Pourensavoirplus,consultezla
rubrique«ActivationoudésactivationdesservicesderépertoiresLDAP»àlapage156.
162 Chapitre8Réglagesavancésdesclientsderépertoire

Configurationmanuelledel’accèsàunrépertoireLDAP
Vouspouvezcréermanuellementuneconfigurationdéfinissantlamanièredont
MacOSXaccèdeàunannuaireLDAPv3ouLDAPv2.VousdevezconnaîtrelenomDNS
oul’adresseIPduserveurderépertoireLDAP.
Silerépertoiren’estpashébergéparunserveurMacOSXServer,vousdevezconnaîtrelabasederechercheetlemodèledemappagedesdonnéesMacOSXauxdonnéesdurépertoire.Lesmodèlesdemappageprisenchargesontlessuivants:
 Duserveur,pourunrépertoirefournissantsespropresmappagesetsaproprebase
derecherche,commeparexempleMacOSXServer;
 ServeurOpenDirectory,pourunrépertoireutilisantleschémadeMacOSXServer;
 ActiveDirectory,pourunrépertoirehébergéparunserveurWindows2000,Windows2003ouultérieur;
 RFC2307,pourlaplupartdesrépertoireshébergéspardesserveursUNIX.
 Personnalisé,pourlesrépertoiresquin’utilisentaucundesmappagesci-dessus.
LemoduleexterneLDAPv3prendentièrementenchargelaréplicationetlebasculement
OpenDirectory.SilemaîtreOpenDirectorydevientindisponible,lemodulebasculesur
unerépliqueproche.
Important:silenomdevotreordinateurcontientuntraitd’union,vousrisquezdene
paspouvoirrejoindreouvouslieràundomainederépertoiretelqueLDAPouActive
Directory.Pourétablirlaliaison,utilisezunnomd’ordinateurnecontenantpasdetrait
d’union.
Pourconfigurermanuellementl’accèsàunrépertoireLDAP:
1 Ouvrezl’UtilitairederépertoireetcliquezsurServices.
2 Sil’icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret
tapezlenometlemotdepassed’unadministrateur.
3 Danslalistedesservices,sélectionnezLDAPv3,puiscliquezsurleboutonModifier(/).
VouspouvezsélectionnerLDAPv3danslalistedesservicessanscocherlacaseActiver
pourLDAPv3.
4 CliquezsurNouveau,puissurManuel.
5 Tapezunnompourlaconfiguration.
6 AppuyezsurlatoucheTabulation,puistapezlenomDNSoul’adresseIPduserveurqui
hébergelerépertoireLDAPauquelvousvoulezaccéder.
Chapitre8Réglagesavancésdesclientsderépertoire 163

7 CliquezsurlemenulocalenregarddunomDNSoudel’adresseIPetchoisissezun
modèleouuneméthodedemappage:
 SivouschoisissezDuserveur,aucunsuffixedebasederecherchen’estrequis.
Danscecas,OpenDirectoryassumequelesuffixedebasederechercheest
lepremierniveaudurépertoireLDAP.
 Sivouschoisissezunmodèle,saisissezlesuffixedelabasederecherchepour
l’annuaireLDAP,puiscliquezsurOK.Vousdevezsaisirunsuffixedebasederecherche,sinonl’ordinateurnepourrapastrouverd’informationsdansl’annuaireLDAP.
LesuffixedelabasederechercheprovientgénéralementdunomDNSduserveur.
Parexemple,lesuffixedelabasederecherchepourraitêtre“dc=ods,dc=exemple,
dc=com”pourunserveurdontlenomDNSestods.exemple.com.
 SivouschoisissezPersonnalisé,vousdevezconfigurerdesmappagesentrelestypes
defichesetlesattributsMacOSXetlesclassesetlesattributsdel’annuaireLDAP
auquelvousvousconnectez.Pourensavoirplus,reportez-vousàlarubrique
«ConfigurationdesrecherchesetmappagesLDAP»àlapage173.
8 Avantdecocherlacase«ChiffrerviaSSL»,demandezàvotreadministrateur
OpenDirectorysileprotocoleSSLestrequis.
9 Pourmodifierlesréglagesci-dessousdecetteconfigurationLDAP,cliquezsurModifier
pourafficherlesoptionsdelaconfigurationLDAPsélectionnée,apportezvosmodifications,puiscliquezsurOKunefoisquevousavezterminé.
 CliquezsurConnexionpourdéfinirdesoptionsdedélai,spécifierunportpersonnalisé,ignorerdesréférencesdeserveurouforcerl’utilisationduprotocoleLDAPv2
(lectureseule).Pourensavoirplus,reportez-vousàlarubrique«Modificationdes
réglagesdeconnexiond’unrépertoireLDAP»àlapage170..
 CliquezsurRechercheetmappagespourconfigurerdesrecherchesetdesmappagespourunserveurLDAP.Pourensavoirplus,reportez-vousàlarubrique
«ConfigurationdelaliaisonsécuriséepourunannuaireLDAP»àlapage176.
 CliquezsurSécuritépourconfigureruneconnexionauthentifiée(plutôtqu’une
liaisonsécurisée)etd’autresoptionsdepolitiquedesécurité.Pourensavoirplus,
reportez-vousàlarubrique«ModificationdelapolitiquedesécuritépouruneconnexionLDAP»àlapage171.
 CliquezsurLiaisonpourconfigurerlaliaisonsécurisée(sil’annuaireLDAPlaprenden
charge).Pourensavoirplus,reportez-vousàlarubrique«Configurationdelaliaison
sécuriséepourunannuaireLDAP»àlapage176.
10 CliquezsurOKpourclôturermanuellementlacréationdelaconfigurationd’accèsau
répertoireLDAP.
164 Chapitre8Réglagesavancésdesclientsderépertoire

11 Pourquel’ordinateurpuisseaccéderàl’annuaireLDAPpourlequelvousavezcrééune
configuration,ajoutezlerépertoireàunerèglederecherchepersonnaliséedansles
sous-fenêtresAuthentificationetContactsdel’ongletRèglesderecherchedel’Utilitaire
derépertoire,puisassurez-vousqueLDAPv3estactivédanslasous-fenêtreServices.
Pourensavoirplus,consultezlesrubriques«Activationoudésactivationdesservices
derépertoiresLDAP»àlapage156et«Définitiondepolitiquesderecherche
personnalisées»àlapage153.
Remarque:pourpouvoirutiliserGestionnairedegroupedetravailpourcréerdesutilisateurssurunserveurLDAPnon-ApplequiutilisedesmappagesRFC2307(UNIX),vous
devezmodifiezlemappagedutypedeficheUtilisateurs.Pourensavoirplus,consultez
larubrique«ModificationdumappageRFC2307pouractiverlacréationd’utilisateurs»
àlapage183.
Important:sivousmodifiezvosadresseIPetnomd’ordinateuràl’aidedel’outil
changeipalorsquevousêtesconnectéàunserveurderépertoire,vousdevezvous
déconnecterpuisvousreconnecteràceserveurpourquelerépertoireprenneen
comptelenouveaunometlanouvelleadresseIPdel’ordinateur.Sivousnevous
déconnectezpuisreconnectezpasauserveurderépertoire,lerépertoireneserapas
misàjouretcontinuerad’utiliserl’anciennometl’ancienneadresseIPdel’ordinateur.
Modificationd’uneconfigurationpourl’accèsàunrépertoireLDAP
Vouspouvezutiliserl’Utilitairederépertoirepourmodifierlesréglagesd’uneconfigurationd’annuaireLDAP.Lesréglagesdelaconfigurationdéfinissentlamanièredont
OpenDirectoryaccèdeàunannuaireLDAPv3ouLDAPv2.
SilaconfigurationLDAPaétéfournieparDHCP,ellenepeutpasêtremodifiée;cetype
deconfigurationestdoncestompédanslalistedesconfigurationsLDAP.
Pourmodifieruneconfigurationd’accèsàunrépertoireLDAP:
1 Ouvrezl’UtilitairederépertoireetcliquezsurServices.
2 Sil’icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret
tapezlenometlemotdepassed’unadministrateur.
3 Danslalistedesservices,sélectionnezLDAPv3,puiscliquezsurleboutonModifier(/).
4 Silalistedesconfigurationsdeserveurestmasquée,cliquezsurAfficherlesoptions.
5 Apportezlesmodificationsnécessairesauxréglagessuivants:
 Activer:cochez/décochezunecasepouractiveroudésactiverl’accèsàunserveur
derépertoireLDAP.
 Nomdelaconfiguration:double-cliquezsurunnomdeconfigurationpour
lemodifier.
 NomduserveurouadresseIP:double-cliquezsurunnomouuneadresseIP
deserveurpourlemodifier.
Chapitre8Réglagesavancésdesclientsderépertoire 165

 MappageLDAP:choisissezunmodèledanslemenulocal,saisissezlesuffixede
labasederecherchepourl’annuaireLDAP,puiscliquezsurOK.
Sivousavezchoisiunmodèle,vousdevezsaisirunsuffixedebasederecherche,
sinonl’ordinateurnepourrapastrouverd’informationsdansl’annuaireLDAP.
LesuffixedelabasederechercheprovientgénéralementdunomDNSduserveur.
Parexemple,pourunserveurdontlenomDNSestods.exemple.com,lesuffixede
labasederechercheest«dc=ods,dc=exemple,dc=com».
SivouschoisissezDuserveuraulieud’unmodèle,aucunsuffixedebasederecherchen’estrequis.Danscecas,OpenDirectoryassumequelesuffixedebasede
rechercheestlepremierniveaudurépertoireLDAP.
SivouschoisissezPersonnalisé,vousdevezconfigurerdesmappagesentrelestypes
defichesetlesattributsMacOSXetlesclassesetlesattributsdel’annuaireLDAP
auquelvousvousconnectez.Pourensavoirplus,consultezlarubrique
«ConfigurationdesrecherchesetmappagesLDAP»àlapage173.
 SSL:cochez/décochezlacasepouractiveroudésactiverlescommunicationschiffréesàl’aideduprotocoleSSL.AvantdecocherlacaseSSL,demandezàvotreadministrateurOpenDirectorysileprotocoleSSLestrequis.
6 Pourmodifierlesréglagespardéfautci-dessousdecetteconfigurationLDAP,cliquez
surModifierpourafficherlesoptionsdelaconfigurationLDAPsélectionnée,apportez
vosmodifications,puiscliquezsurOKunefoisquevousavezterminé.
 CliquezsurConnexionpourdéfinirdesoptionsdedélai,spécifierunportpersonnalisé,ignorerdesréférencesdeserveurouforcerl’utilisationduprotocoleLDAPv2
(lectureseule).Pourensavoirplus,reportez-vousàlarubrique«Modificationdes
réglagesdeconnexiond’unrépertoireLDAP»àlapage170.
 CliquezsurRechercheetmappagespourconfigurerdesrecherchesetdesmappages
pourunserveurLDAP.Pourensavoirplus,reportez-vousàlarubrique«Configuration
delaliaisonsécuriséepourunannuaireLDAP»àlapage176.
 CliquezsurSécuritépourconfigureruneconnexionauthentifiée(plutôtqu’une
liaisonsécurisée)etd’autresoptionsdepolitiquedesécurité.Pourensavoirplus,
reportez-vousàlarubrique«ModificationdelapolitiquedesécuritépouruneconnexionLDAP»àlapage171.
 CliquezsurLiaisonpourconfigurerlaliaisonsécuriséeousurRomprelaliaisonpour
arrêterlaliaisonsécurisée(ilsepeutquevousnevoyiezpascesboutonssil’annuaire
LDAPneprendpasenchargelaliaisonsécurisée).Pourensavoirplus,reportez-vous
àlarubrique«ConfigurationdelaliaisonsécuriséepourunannuaireLDAP»àla
page176.
7 Pourterminerlamodificationdelaconfigurationd’accèsàunannuaireLDAP,
cliquezsurOK.
166 Chapitre8Réglagesavancésdesclientsderépertoire

Duplicationd’uneconfigurationpourl’accèsàunrépertoireLDAP
Vouspouvezutiliserl’UtilitairederépertoirepourdupliqueruneconfigurationdéfinissantlamanièredontMacOSXaccèdeàunannuaireLDAPv3ouLDAPv2.Aprèsavoir
dupliquéuneconfigurationderépertoireLDAP,vouspouvezenmodifierlesréglages
pourladifférencierdelaconfigurationd’origine.
Pourdupliqueruneconfigurationd’accèsàunrépertoireLDAP:
1 Ouvrezl’UtilitairederépertoireetcliquezsurServices.
2 Sil’icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret
tapezlenometlemotdepassed’unadministrateur.
3 Danslalistedesservices,sélectionnezLDAPv3,puiscliquezsurleboutonModifier(/).
4 Silalistedesconfigurationsdeserveurestmasquée,cliquezsurAfficherlesoptions.
5 Sélectionnezuneconfigurationdeserveurdanslaliste,puiscliquezsurDupliquer.
6 Modifiezlesréglagesdelaconfigurationdupliquée:
 Activer:cochez/décochezunecasepouractiveroudésactiverl’accèsàunserveur
derépertoireLDAP.
 Nomdelaconfiguration:double-cliquezsurunnomdeconfigurationpourlemodifier.
 NomduserveurouadresseIP:double-cliquezsurunnomouuneadresseIPde
serveurpourlemodifier.
 MappageLDAP:choisissezunmodèledanslemenulocal,saisissezlesuffixede
labasederecherchepourl’annuaireLDAP,puiscliquezsurOK.
Sivousavezchoisiunmodèle,vousdevezsaisirunsuffixedebasederecherche,
sinonl’ordinateurnepourrapastrouverd’informationsdansl’annuaireLDAP.
LesuffixedelabasederechercheprovientgénéralementdunomDNSduserveur.
Parexemple,pourunserveurdontlenomDNSestods.exemple.com,lesuffixede
labasederechercheest«dc=ods,dc=exemple,dc=com».
SivouschoisissezDuserveuraulieud’unmodèle,aucunsuffixedebasederecherchen’estrequis.Danscecas,OpenDirectoryassumequelesuffixedebasede
rechercheestlepremierniveaudurépertoireLDAP.
SivouschoisissezPersonnalisé,vousdevezconfigurerdesmappagesentrelestypes
defichesetlesattributsMacOSXetlesclassesetlesattributsdel’annuaireLDAP
auquelvousvousconnectez.Pourensavoirplus,consultezlarubrique
«ConfigurationdesrecherchesetmappagesLDAP»àlapage173.
 SSL:cochez/décochezlacasepouractiveroudésactiverlescommunications
chiffréesàl’aideduprotocoleSSL.AvantdecocherlacaseSSL,demandezàvotre
administrateurOpenDirectorysileprotocoleSSLestrequis.
Chapitre8Réglagesavancésdesclientsderépertoire 167

7 Pourmodifierlesréglagespardéfautci-dessousdelaconfigurationLDAPdupliquée,
cliquezsurModifierpourafficherlesoptions,apportezvosmodifications,puiscliquez
surOKunefoisquevousavezterminé:
 CliquezsurConnexionpourconfigurerlaliaisonsécurisée(silerépertoireLDAPla
prendencharge),définirdesoptionsdedélai,spécifierunportpersonnalisé,ignorer
desréférencesdeserveurouforcerl’utilisationduprotocoleLDAPv2(lectureseule).
Pourobtenirdesinstructionscomplémentaires,consultezlarubrique«Modification
desréglagesdeconnexiond’unrépertoireLDAP»àlapage170.
 CliquezsurRechercheetmappagespourconfigurerdesrecherchesetdes
mappagespourunserveurLDAP.Pourensavoirplus,reportez-vousàlarubrique
«ConfigurationdelaliaisonsécuriséepourunannuaireLDAP»àlapage176.
 CliquezsurSécuritépourconfigureruneconnexionauthentifiée(plutôtqu’une
liaisonsécurisée)etd’autresoptionsdepolitiquedesécurité.Pourensavoirplus,
reportez-vousàlarubrique«ModificationdelapolitiquedesécuritépouruneconnexionLDAP»àlapage171.
 CliquezsurLiaisonpourconfigurerlaliaisonsécuriséeousurRomprelaliaisonpour
arrêterlaliaisonsécurisée(ilsepeutquevousnevoyiezpascesboutonssil’annuaire
LDAPneprendpasenchargelaliaisonsécurisée).Pourensavoirplus,reportez-vous
àlarubrique«ConfigurationdelaliaisonsécuriséepourunannuaireLDAP»àla
page176.
8 Pourterminerlamodificationdelaconfigurationdupliquée,cliquezsurOK.
9 Pourquel’ordinateurpuisseaccéderàl’annuaireLDAPspécifiéparlaconfiguration
dupliquéequevousavezcréée,ajoutezlerépertoireàunerèglederecherchepersonnaliséedanslasous-fenêtreAuthentificationouContactsdel’ongletRèglesderecherchedel’Utilitairederépertoireetassurez-vousqueLDAPv3estactivédanslasousfenêtreServices.
Pourensavoirplus,reportez-vousauxrubriques«ActivationoudésactivationdesservicesderépertoiresLDAP»àlapage156et«Définitiondepolitiquesderecherche
personnalisées»àlapage153.
168 Chapitre8Réglagesavancésdesclientsderépertoire

Suppressiond’uneconfigurationpourl’accèsàunrépertoireLDAP
Vouspouvezutiliserl’Utilitairederépertoirepoursupprimeruneconfigurationdéfinissantlamanièredontl’ordinateuraccèdeàunrépertoireLDAPv3ouLDAPv2.
SilaconfigurationLDAPaétéfournieparDHCP,ellenepeutpasêtremodifiée;cette
optiondeconfigurationestdoncestompéedanslalistedesconfigurationsLDAP.
Poursupprimeruneconfigurationd’accèsàunrépertoireLDAP:
1 Ouvrezl’UtilitairederépertoireetcliquezsurServices.
2 Sil’icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret
tapezlenometlemotdepassed’unadministrateur.
3 Danslalistedesservices,sélectionnezLDAPv3,puiscliquezsurleboutonModifier(/).
4 Silalistedesconfigurationsdeserveurestmasquée,cliquezsurAfficherlesoptions.
5 Sélectionnezuneconfigurationdeserveurdanslaliste,cliquezsurSupprimer,puissurOK.
Siunavertissements’affichepourindiquerquel’ordinateurestliéàunannuaireLDAP
etquevoussouhaitezarrêterlaliaisonsécurisée,cliquezsurOK,puissaisissezlenom
etlemotdepassed’unadministrateurd’annuaireLDAP(etnonceuxd’unadministrateurd’ordinateurlocal).Siunavertissements’affichepourindiquerquel’ordinateurne
parvientpasàcontacterleserveurLDAP,vouspouvezcliquersurOKpourforcerl’arrêt
delaliaisonsécurisée.
Sivousforcezl’arrêtdelaliaisonsécurisée,cetordinateurdisposetoujoursd’unefiche
d’ordinateurdansl’annuaireLDAP.Prévenezl’administrateurdel’annuaireLDAPpour
qu’ilsupprimel’ordinateurdugrouped’ordinateurs.
Pourensavoirplussurlasuppressiond’unordinateurdesongrouped’ordinateurs,
consultezlechapitrerelatifauxgroupesd’ordinateursdansGestiondesutilisateurs.
Laconfigurationsuppriméeesteffacéedesrèglesderecherchepersonnaliséespour
l’authentificationetlescontacts.
Chapitre8Réglagesavancésdesclientsderépertoire 169

Modificationdesréglagesdeconnexiond’unrépertoireLDAP
Vouspouvezutiliserl’Utilitairederépertoirepourmodifierlesréglagesdeconnexion
d’uneconfigurationdéfinissantlamanièredontl’ordinateuraccèdeàunrépertoire
LDAPv3ouLDAPv2.
Pourmodifierlesréglagesdeconnexionpourl’accèsàunrépertoireLDAP:
1 Ouvrezl’UtilitairederépertoireetcliquezsurServices.
2 Sil’icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret
tapezlenometlemotdepassed’unadministrateur.
3 Danslalistedesservices,sélectionnezLDAPv3,puiscliquezsurleboutonModifier(/).
4 Silalistedesconfigurationsdeserveurestmasquée,cliquezsurAfficherlesoptions.
5 Sélectionnezuneconfigurationdeserveurdanslaliste,puiscliquezsurModifier.
6 CliquezsurConnexion,puismodifiezlesréglagessuivants:
 Nomdelaconfiguration:identifiecetteconfigurationdanslalistedesconfigurationsd’annuaireLDAP.(Vouspouvezégalementmodifierlenomdanslalistedes
configurationsd’annuaireLDAP.)
 NomduserveurouadresseIP:définitlenomDNSoul’adresseIPduserveur.
(Vouspouvezégalementmodifiercetteoptiondanslalistedesconfigurations
d’annuaireLDAP.)
 L’ouverture/fermetureexpireaprès:définitladuréemaximaled’unetentativede
connexionavantsonannulation.
 Larequêteexpireaprès:définitladuréemaximaled’unerequêteavantsonannulation.
 Nouvelletentativedeliaisonaprès:définitlenombredesecondesavantunenouvelletentativedeconnexionsileserveurLDAPnerépondpas.Augmentezcette
valeurpouréviterdestentativesdereconnexioncontinues.
 Laconnexionexpireaprès:définitladurée(enminutes)pendantlaquelleune
connexioninactiveousansréponsepeutresterouverte.
 ChiffrerviaSSL:déterminesilescommunicationsavecl’annuaireLDAPdoiventêtre
chiffréesàl’aided’uneconnexionSSL.(Vouspouvezégalementmodifierceréglage
danslalistedesconfigurationsd’annuaireLDAP.)AvantdecocherlacaseSSL,
demandezàvotreadministrateurOpenDirectorysileprotocoleSSLestrequis.
 Utiliserleportpersonnalisé:spécifieunnumérodeportautrequeceluiduport
pardéfautpourlesconnexionsLDAP(389sansSSLou636avecSSL).
 Ignorerlesréférencesduserveur:détermines’ilfautignorerousuivrelesréférencesd’unserveurLDAPpourrechercherdesinformationssurd’autresserveursLDAP
oudesrépliques.Lesréférencesduserveurpeuventaiderunordinateuràtrouver
desinformationsmaispeuventaussiralentirlesouverturesdesessionouprovoquer
d’autresdélaissil’ordinateurdoitvérifierdesréférencesàd’autresserveursLDAP.
 UtiliserLDAPv2(lectureseule):déterminesil’ancienprotocoleLDAPv2doitêtre
utilisépourl’accèsenlectureseuleàunannuaireLDAP.
170 Chapitre8Réglagesavancésdesclientsderépertoire

ModificationdelapolitiquedesécuritépouruneconnexionLDAP
L’Utilitairederépertoirevouspermetdeconfigurerunrèglementdesécuritéplusstrict
queceluidel’annuaireLDAPpouruneconnexionLDAPv3.Parexemple,silerèglementdesécuritédel’annuaireLDAPautoriselesmotsdepasseenclair,vouspouvez
configureruneconnexionLDAPv3pourqu’ellen’autorisepascetypedemotdepasse.
L’ordinateurdoitcommuniqueravecleserveurLDAPpourmontrerl’étatdesoptions
desécurité.C’estpourquoi,lorsquevousmodifiezdesoptionsdesécuritépourune
connexionLDAPv3,lapolitiquederecherched’authentificationdel’ordinateurdoit
inclurelaconnexionLDAPv3.
Définirunrèglementdesécuritéplusstrictpermetd’empêcherunbidouilleurmalveillantd’utiliserunserveurLDAPpiratépourprendrelecontrôledevotreordinateur.
Lesréglagesautoriséspourlesoptionsdesécuritéd’uneconnexionLDAPv3dépendentdespossibilitésetdesbesoinsenmatièredesécuritéduserveurLDAP.Parexemple,sileserveurLDAPneprendpasenchargel’authentificationKerberos,plusieurs
optionsdesécuritédelaconnexionLDAPv3sontdésactivées.
Pourmodifierlesoptionsdesécuritéd’uneconnexionLDAPv3:
1 Ouvrezl’UtilitairederépertoireetcliquezsurRèglesderecherche.
2 CliquezsurAuthentificationetassurez-vousquel’annuaireLDAPv3souhaitéestinclus
danslarèglederecherche.
Pourensavoirplussurl’ajoutd’unannuaireLDAPv3àunerèglederecherche
d’authentification,consultezlarubrique«Définitiondepolitiquesderecherche
personnalisées»àlapage153.
3 Sil’icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret
tapezlenometlemotdepassed’unadministrateur.
4 CliquezsurServices.
5 Danslalistedesservices,sélectionnezLDAPv3,puiscliquezsurleboutonModifier(/).
6 Silalistedesconfigurationsdeserveurestmasquée,cliquezsurAfficherlesoptions.
7 Sélectionnezlaconfigurationd’annuairesouhaitée,puiscliquezsurModifier.
8 CliquezsurSécurité,puismodifiezlesréglagessuivantsselonvosbesoins.
Remarque:cesréglagesdesécuritéainsiqueceuxduserveurLDAPcorrespondant
sontdéfinislorsdelaconfigurationdelaconnexionLDAP.Ilsnesontpasautomatiquementmisàjoursilesréglagesduserveursontmodifiés.
Sil’unedesquatredernièresoptionsestsélectionnéemaisdésactivée,l’annuaireLDAP
larequiert.Sil’unedecesoptionsestdésélectionnéeetdésactivée,leserveurLDAP
nelaprendpasencharge.Pourensavoirplussurladéfinitiondecesoptionspourun
annuaireLDAPMacOSXServer,consultezlarubrique«Configurationd’unrèglement
desécuritépourunserveurOpenDirectory»àlapage219.
Chapitre8Réglagesavancésdesclientsderépertoire 171

 Utiliserl’authentificationlorsdelaconnexion:déterminesilaconnexionLDAPv3
s’authentifieauprèsdel’annuaireLDAPenfournissantlenomdistinctifetlemotde
passedéfinis.Cetteoptionn’apparaîtpassilaconnexionLDAPv3utiliselaliaison
sécuriséeavecl’annuaireLDAP.
 Reliéàl’annuaireentantque:définitlesinformationsd’authentificationutilisées
parlaconnexionLDAPv3pourlaliaisonsécuriséeavecl’annuaireLDAP.Vousnepouvezpaschangercetteoptionnilesinformationsd’authentificationici.Parcontre,
vouspouvezromprelelien,puisl’établirànouveauavecd’autresinformations
d’authentification.
Pourensavoirplus,consultezlesrubriques«Arrêtdelaliaisonsécuriséeavecun
annuaireLDAP»àlapage177et«Configurationdelaliaisonsécuriséepourun
annuaireLDAPȈlapage176.
Cetteoptionn’estaffichéequesilaconnexionLDAPv3utiliselaliaisonsécurisée.
 Désactiverlesmotsdepasseenclair:déterminesilemotdepassedoitêtre
envoyéenclairs’ilnepeutpasêtrevalidéàl’aided’uneméthoded’authentification
quienvoieunmotdepassecrypté.
Pourensavoirplus,consultezlesrubriques«Sélectiondeméthodesd’authentificationpourdesutilisateursdemotsdepasseshadow»àlapage132et«Sélectionde
méthodesd’authentificationpourdesutilisateursdemotsdepasseOpenDirectory»
àlapage133.
 Signertouslespaquetsnumériquement(requiertKerberos):certifiequelesdonnéesd’annuaireprovenantduserveurLDAPn’ontpasétéinterceptéesetmodifiées
parunautreordinateurpendantleurtransitversvotreordinateur.
 Cryptertouslespaquets(requiertSSLouKerberos):exigeduserveurLDAPqu’il
chiffrelesdonnéesd’annuaireàl’aideduprotocoleSSLoudeKerberosavantde
lesenvoyerversvotreordinateur.Avantdecocherlacase«Cryptertouslespaquets
(requiertSSLouKerberos)»,demandezàvotreadministrateurOpenDirectorysi
leprotocoleSSLestrequis.
 Bloquerlesattaques«Man-in-the-Middle»(requiertKerberos):empêcheunserveurmalveillantdesefairepasserpourleserveurLDAP.Plusefficaceavecl’option
“Signertouslespaquetsnumériquement”.
172 Chapitre8Réglagesavancésdesclientsderépertoire

ConfigurationdesrecherchesetmappagesLDAP
L’Utilitairederépertoirevouspermetdemodifierlesmappages,lesbasesderecherche
etlesétenduesderecherchedéfinissantlamanièredontMacOSXrecherchedes
donnéesparticulièresdansunannuaireLDAP.Vouspouvezmodifiercesréglages
séparémentpourchaqueconfigurationd’annuaireLDAPrépertoriéedansl’Utilitaire
derépertoire.ChaqueconfigurationderépertoireLDAPspécifielamanièredont
MacOSXaccèdeauxdonnéesdansunrépertoireLDAPv3ouLDAPv2.
Vouspouvezmodifierlesélémentssuivants:
 lemappagedechaquetypedeficheMacOSXversuneouplusieursclassesd’objets
LDAP;
 lemappagedestypesdedonnées,ouattributs,MacOSXauxattributsLDAPpour
chaquetypedefiche;
 labasederechercheetl’étenduederechercheLDAPdéterminantl’emplacementoù
MacOSXdoitrechercheruntypedeficheMacOSXdansunannuaireLDAP.
Lorsdumappaged’attributsd’utilisateurMacOSXversundomainederépertoire
LDAPenlecture/écriture(undomaineLDAPquin’estpasenlectureseule),l’attribut
LDAPmappéversRealNamenedoitpasêtrelemêmequelepremierattributd’une
listed’attributsLDAPmappésversRecordName.
Parexemple,l’attributcnnedoitpasêtrelepremierattributmappéversRecordName
sicnestégalementmappéversRealName.
Sil’attributLDAPmappéversRealNameestlemêmequelepremierattributmappé
versRecordName,desproblèmesseproduirontlorsquevoustenterezdemodifierle
nomcomplet(long)oulepremiernomabrégédansGestionnairedegroupedetravail.
PourensavoirplussurlestypesdefichesetlesattributsMacOSX,consultezl’annexe,
«DonnéesderépertoireMacOSX».
Pourmodifierlesbasesderechercheetlesmappagesd’unserveurLDAP:
1 Ouvrezl’UtilitairederépertoireetcliquezsurServices.
2 Sil’icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret
tapezlenometlemotdepassed’unadministrateur.
3 CliquezsurServices.
4 Danslalistedesservices,sélectionnezLDAPv3,puiscliquezsurleboutonModifier(/).
5 Silalistedesconfigurationsdeserveurestmasquée,cliquezsurAfficherlesoptions.
6 Sélectionnezuneconfigurationdeserveurdanslaliste,puiscliquezsurModifier.
7 CliquezsurRechercheetmappages.
Chapitre8Réglagesavancésdesclientsderépertoire 173

8 Sélectionnezlesmappagesàutilisercommepointdedépart;sinon,choisissez
Personnalisépourcommencersansmappageprédéfini.
Sivouschoisissezl’undesmodèlesdemappageLDAP,unsuffixedebasederecherche
quevouspouvezmodifiers’affiche.Sivoussouhaitezacceptercesuffixepardéfaut,
cliquezsurOK.
Cliquezsurlemenulocal«AccéderàceserveurLDAPv3via»etchoisissezunmodèle
demappagepourutilisersesmappagescommepointdedépart.
9 Ajoutezdestypesdefichesetmodifiezleurbasederechercheselonvosbesoins.
 Pourajouterdestypesdefiches,cliquezsurAjouter(souslaliste«Typesd’enregistrementetattributs»);sélectionnezensuiteTypesd’enregistrementdanslazonede
dialoguequiapparaît,choisissezunouplusieurstypesdefiches,puiscliquezsurOK.
 Pourmodifierlabasederechercheetl’étenduederecherched’untypedefiche,
sélectionnez-ledanslaliste«Typesd’enregistrementetattributs»,puismodifiezle
champBasederecherche.Sélectionnez«touslessous-arbres»pourdéfinirl’étenduederecherchedesorteàinclurel’ensembledelahiérarchiedel’annuaireLDAP
àpartirdelabasederecherche,ousélectionnez«lepremierniveau»pourdéfinir
l’étenduederecherchedesorteàn’inclurequelabasederechercheetunniveau
souscettedernièredanslahiérarchiedel’annuaireLDAP.
 Poursupprimeruntypedefiche,sélectionnez-ledanslaliste«Typesd’enregistrement
etattributs»,puiscliquezsurSupprimer.
 Pourajouterunmappagepouruntypedefiche,sélectionnezcedernierdanslaliste
«Typesd’enregistrementetattributs»,cliquezsurAjouter(souslaliste«Mapper
sur__élémentslistés»),puissaisissezlenomd’uneclassed’objetsfigurantdans
l’annuaireLDAP.Pourajouteruneautreclassed’objetsLDAP,appuyezsurRetour,
saisissezlenomdelaclassed’objets,puisindiquezsivoussouhaitezutilisertoutes
lesclassesd’objetsLDAPrépertoriéesouseulementl’uned’entreellesàl’aidedu
menulocalsetrouvantau-dessusdelaliste.
 Pourmodifierunmappagepouruntypedefiche,sélectionnezcedernierdansla
liste«Typesd’enregistrementetattributs»,double-cliquezsurlaclassed’objets
LDAPàmodifierdanslaliste«Mappersur__élémentslistés»,puismodifiez-la.
Spécifiezsivoussouhaitezutilisertouteslesclassesd’objetsLDAPoul’uned’entre
ellesvialamenulocalsituéau-dessusdelaliste.
 Poursupprimerunmappagepouruntypedefiche,sélectionnezcedernierdans
laliste«Typesd’enregistrementetattributs»,choisissezlaclassed’objetsLDAPà
supprimerdelaliste«Mappersur__élémentslistés»,puiscliquezsurSupprimer
(souslaliste«Mappersur__élémentslistés»).
174 Chapitre8Réglagesavancésdesclientsderépertoire

10 Ajoutezdesattributs,puismodifiezleurmappageselonvosbesoins:
 Pourajouterdesattributsàuntypedefiche,sélectionnezcedernierdanslaliste
«Typesd’enregistrementetattributs»,puiscliquezsurAjouter(souslaliste«Types
d’enregistrementetattributs»);sélectionnezensuiteTypesd’attributsdanslazonede
dialoguequiapparaît,choisissezunouplusieurstypesd’attributs,puiscliquezsurOK.
 Pourajouterunmappagepourunattribut,sélectionnezcedernierdanslaliste
«Typesd’enregistrementetattributs»,cliquezsurAjouter(souslaliste«Mapper
sur__élémentslistés»),puissaisissezlenomd’unattributfigurantdansl’annuaire
LDAP;pourajouterunautreattributLDAP,appuyezsurRetour,puissaisissezlenom
del’attribut.
 Pourmodifierunmappagepourunattribut,sélectionnezcedernierdanslaliste
«Typesd’enregistrementetattributs»,double-cliquezsurl’élémentàmodifier
danslaliste«Mappersur__élémentslistés»,puismodifiezlenomdecetélément.
 Poursupprimerunmappagepourunattribut,sélectionnezcedernierdanslaliste
«Typesd’enregistrementetattributs»,choisissezl’élémentàsupprimerdelaliste
«Mappersur__élémentslistés»,puiscliquezsurSupprimer(souslaliste«Mapper
sur__élémentslistés»).
 Pourmodifierl’ordredesattributsdanslalistesituéeàdroite,faitesglisser
lesattributsverslehautoulebasdelaliste.
11 Pourenregistrervosmappagessouslaformed’unmodèle,cliquezsurEnregistrer
lemodèle.
Lesmodèlesenregistrésdansl’emplacementpardéfautapparaîtrontdanslesmenus
locauxdesmodèlesdemappageLDAPlaprochainefoisquevousouvrirezl’Utilitaire
derépertoire.L’emplacementd’enregistrementpardéfautdesmodèlessetrouvedans
votredossierdedépart,aucheminsuivant:
~/Library/ApplicationSupport/DirectoryUtility/LDAPv3/Templates
12 Pourstockerlesmappagesdansl’annuaireLDAPdesortequ’ilpuisselesfournirautomatiquementàsesclients,cliquezsur«Écriresurleserveur»,puissaisissezunebase
derecherchepourstockerlesmappages,lenomdistinctd’unadministrateuroud’un
autreutilisateurdisposantdel’autorisationenécrituresurlabasederecherche(par
exempleuid=diradmin,cn=utilisateurs,dc=ods,dc=exemple,dc=com),ainsiqu’unmot
depasse.
SivousécrivezdesmappagessurunserveurLDAPOpenDirectory,labasederecherchecorrecteest“cn=config,suffixe”(oùsuffixeestlesuffixedelabasederecherchedu
serveur,commeparexemple“dc=exemple,dc=com”).
Chapitre8Réglagesavancésdesclientsderépertoire 175

LerépertoireLDAPfournitsesmappagesauxclientsMacOSXdontlapolitiquede
recherchepersonnaliséecontientuneconnexionquiestconfiguréepourobtenirles
mappagesduserveurLDAP.LerépertoireLDAPfournitaussisesmappagesàtousles
clientsMacOSXquidisposentd’unepolitiquederechercheautomatique.Pouren
savoirplus,consultezlesrubriques«Configurationdel’accèsàunrépertoireLDAP»àla
page160et«Utilisationdesréglagesavancésdesrèglesderecherche»àlapage151.
ConfigurationdelaliaisonsécuriséepourunannuaireLDAP
Vouspouvezutiliserl’Utilitairederépertoirepourconfigurerlaliaisonsécuriséeentre
l’ordinateuretunannuaireLDAPprenantenchargelaliaisonsécurisée.Laliaison
estauthentifiéedefaçonmutuelleaumoyend’unefiched’ordinateurauthentifié,
quiestcrééedanslerépertoirelorsquevousconfigurezlaliaisonsécurisée.
L’ordinateurnepeutpasêtreconfigurépourutiliseràlafoislaliaisonLDAPsécurisée
etunannuaireLDAPfourniparDHCP.LaliaisonLDAPsécuriséeestparnaturestatique,
alorsqueleLDAPfourniparDHCPestdynamique.
Pourensavoirplus,consultezlesrubriques«Activationoudésactivationd’unrépertoireLDAPfourniviaDHCP»àlapage158et«Configurationd’unepolitiquedeliaison
pourunserveurOpenDirectoryȈlapage218.
PourconfigurerlaliaisonsécuriséeversunrépertoireLDAP:
1 Ouvrezl’UtilitairederépertoireetcliquezsurServices.
2 Sil’icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret
tapezlenometlemotdepassed’unadministrateur.
3 Danslalistedesservices,sélectionnezLDAPv3,puiscliquezsurleboutonModifier(/).
4 Silalistedesconfigurationsdeserveurestmasquée,cliquezsurAfficherlesoptions.
5 Sélectionnezlaconfigurationdeserveursouhaitée,puiscliquezsurModifier.
6 CliquezsurLiaison,saisissezlesinformationsd’authentificationsuivantes,puiscliquez
surOK.
Saisissezlenomdel’ordinateur,etlenometlemotdepassed’unadministrateurde
domainederépertoireLDAP.Lenomdel’ordinateurnepeutpasêtredéjàutiliséparun
autreordinateurpourlaliaisonsécuriséeoud’autresservicesderéseau.
SileboutonLiaisonn’apparaîtpas,celasignifiequel’annuaireLDAPneprendpasen
chargelaliaisonsécurisée.
7 Vérifiezquevousavezsaisilebonnomd’ordinateur.
Siunavertissements’affichepourindiquerqu’unefiched’ordinateurexiste,cliquezsur
Annulerpourreveniràlapageprécédenteetmodifierlenomdel’ordinateur,oucliquezsurÉcraserpourremplacerlafiched’ordinateurexistante.
176 Chapitre8Réglagesavancésdesclientsderépertoire

Lafiched’ordinateurexistantepeutêtreabandonnéeouapparteniràunautreordinateur.Sivousremplacezunefiched’ordinateur,prévenezl’administrateurdel’annuaire
LDAP,aucasoùleremplacementdelafichedésactiveraitunautreordinateur.
Danscecas,l’administrateurdel’annuaireLDAPdoitattribuerunautrenomàl’ordinateurdésactivéetl’ajouteraugrouped’ordinateursauquelilappartenaitenutilisantun
autrenompourcetordinateur.
Pourensavoirplussurl’ajoutd’unordinateuràungrouped’ordinateurs,consultez
lechapitrerelatifauxgroupesd’ordinateursdansGestiondesutilisateurs.
8 Pourterminerlaconfigurationdelaliaisonsécurisée,cliquezsurOK.
ArrêtdelaliaisonsécuriséeavecunannuaireLDAP
Vouspouvezutiliserl’Utilitairederépertoirepourarrêterlaliaisonsécuriséeentreun
ordinateuretunannuaireLDAPquiprendencharge,maisnerequiertpas,laliaison
sécurisée.
PourarrêterlaliaisonsécuriséeavecunannuaireLDAP:
1 Ouvrezl’UtilitairederépertoireetcliquezsurServices.
2 Sil’icônereprésentantlecadenasestverrouillée,cliquezdessuspuistapezlenomet
lemotdepassed’unadministrateur.
3 Danslalistedesservices,sélectionnezLDAPv3,puiscliquezsurleboutonModifier(/).
4 Silalistedesconfigurationsdeserveurestmasquée,cliquezsurAfficherlesoptions.
5 Sélectionnezlaconfigurationdeserveursouhaitée,puiscliquezsurModifier.
6 CliquezsurRomprelaliaison,saisissezlesinformationsd’authentificationsuivantes,
puiscliquezsurOK.
Saisissezlenometlemotdepassed’unadministrateurderépertoireLDAP(pasun
administrateurdel’ordinateurlocal).
Silaliaisonsécuriséen’apasétéconfiguréesurcetordinateur,leboutonRompre
laliaisonn’apparaîtpas.
Siunavertissements’affichepourindiquerquel’ordinateurneparvientpasàcontacterleserveurLDAP,cliquezsurOKpourforcerl’arrêtdelaliaisonsécurisée.
Sivousforcezl’arrêtdelaliaisonsécurisée,cetordinateurdisposetoujoursd’unefiche
d’ordinateurdansl’annuaireLDAP.Prévenezl’administrateurdel’annuaireLDAPpour
qu’ilsupprimel’ordinateurdugrouped’ordinateurs.
Pourensavoirplussurlasuppressiond’unordinateurdesongrouped’ordinateurs,
consultezlechapitrerelatifauxgroupesd’ordinateursdansGestiondesutilisateurs.
7 CliquezsurOKpourfinaliserl’arrêtdelaliaisonsécurisée.
Chapitre8Réglagesavancésdesclientsderépertoire 177

Modificationdudélaid’ouverture/defermeturepourune
connexionLDAP
L’UtilitairederépertoirepermetdespécifiercombiendetempsOpenDirectorydoit
attendreavantd’annulerunetentativedeconnexionauserveurLDAP.
Pourdéfinirledélaid’ouverture/defermeturepouruneconnexionLDAP:
1 Ouvrezl’UtilitairederépertoireetcliquezsurServices.
2 Sil’icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret
tapezlenometlemotdepassed’unadministrateur.
3 Danslalistedesservices,sélectionnezLDAPv3,puiscliquezsurleboutonModifier(/).
4 Silalistedesconfigurationsdeserveurestmasquée,cliquezsurAfficherlesoptions.
5 Sélectionnezuneconfigurationdeserveurdanslaliste,puiscliquezsurModifier.
6 CliquezsurConnexion,puissaisissezunevaleurdanslechamp«L’ouverture/fermeture
expireaprès__secondes».
Lavaleurpardéfautest15secondes.
ModificationdudélaiderequêtepouruneconnexionLDAP
L’UtilitairederépertoirepermetdespécifiercombiendetempsOpenDirectorydoit
attendreavantd’annulerunerequêteenvoyéeàl’annuaireLDAP.
PourdéfinirledélaiderequêtepouruneconnexionLDAP:
1 Ouvrezl’UtilitairederépertoireetcliquezsurServices.
2 Sil’icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret
tapezlenometlemotdepassed’unadministrateur.
3 Danslalistedesservices,sélectionnezLDAPv3,puiscliquezsurleboutonModifier(/).
4 Silalistedesconfigurationsdeserveurestmasquée,cliquezsurAfficherlesoptions.
5 Sélectionnezuneconfigurationdeserveurdanslaliste,puiscliquezsurModifier.
6 CliquezsurConnexion,puissaisissezunevaleurdanslechamp«Larequêteexpire
après__secondes».
Lavaleurpardéfautest120secondes.
178 Chapitre8Réglagesavancésdesclientsderépertoire

Modificationdudélaidetentativedereconnexionpour
uneconnexionLDAP
L’UtilitairederépertoirepermetdespécifiercombiendetempsattendreavantdetenterdesereconnectersiunserveurLDAPnerépondpas.Vouspouvezaugmentercette
valeurpouréviterdestentativesdereconnexioncontinues.
PourdéfinirledélaidetentativedereconnexionpourlesclientsLDAPinactifs:
1 Ouvrezl’UtilitairederépertoireetcliquezsurServices.
2 Sil’icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret
tapezlenometlemotdepassed’unadministrateur.
3 Danslalistedesservices,sélectionnezLDAPv3,puiscliquezsurleboutonModifier(/).
4 Silalistedesconfigurationsdeserveurestmasquée,cliquezsurAfficherlesoptions.
5 Sélectionnezuneconfigurationdeserveurdanslaliste,puiscliquezsurModifier.
6 CliquezsurConnexion,puissaisissezunevaleurdanslechamp«Tentativedereconnexionaprès__secondes».
Lavaleurpardéfautest120secondes.
Modificationdudélaid’inactivitépouruneconnexionLDAP
L’Utilitairederépertoirepermetdespécifierledélaid’inactivitéd’uneconnexionLDAP
avantqu’OpenDirectorynefermelaconnexion.Vouspouvezajusterceréglagepour
réduirelenombredeconnexionsouvertessurleserveurLDAP.
Pourdéfinirledélaid’inactivitépouruneconnexionLDAP:
1 Ouvrezl’UtilitairederépertoireetcliquezsurServices.
2 Sil’icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret
tapezlenometlemotdepassed’unadministrateur.
3 Danslalistedesservices,sélectionnezLDAPv3,puiscliquezsurleboutonModifier(/).
4 Silalistedesconfigurationsdeserveurestmasquée,cliquezsurAfficherlesoptions.
5 Sélectionnezuneconfigurationdeserveurdanslaliste,puiscliquezsurModifier.
6 CliquezsurConnexionetsaisissezunevaleurdanslechamp«Laconnexionexpirera
après__minutes».
Lavaleurpardéfautest1minute.
Chapitre8Réglagesavancésdesclientsderépertoire 179

Forçagedel’accèsLDAPv2enlectureseule
L’UtilitairederépertoirepermetdeforceruneconnexionàunserveurLDAPàl’aide
duprotocoleLDAPv2.CetteconnexionLDAPv2forcéeestenlectureseule(etnonen
lecture-écriture)etn’utilisepasSSL.
Pourforcerl’accèsLDAPv2enlectureseuleversunserveurLDAP:
1 Ouvrezl’UtilitairederépertoireetcliquezsurServices.
2 Sil’icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret
tapezlenometlemotdepassed’unadministrateur.
3 Danslalistedesservices,sélectionnezLDAPv3,puiscliquezsurleboutonModifier(/).
4 Silalistedesconfigurationsdeserveurestmasquée,cliquezsurAfficherlesoptions.
5 Sélectionnezlaconfigurationdeserveurdanslaliste,puiscliquezsurModifier.
6 CliquezsurConnexion,puiscochezlacase«UtiliserLDAPv2(lectureseule)».
IgnorancedesréférencesdeserveurLDAP
L’Utilitairederépertoirepermetdespécifiersil’ordinateurdoitignorerousuivreles
référencesd’unserveurLDAPpourrechercherdesinformationssurd’autresserveurs
LDAPoudesrépliques.
Lesréférencesduserveurpeuventaiderunordinateuràtrouverdesinformationsmais
peuventaussiralentirlesouverturesdesessionouprovoquerd’autresdélaissil’ordinateurdoitvérifierdesréférencesàd’autresserveursLDAP.
Pourspécifiers’ilfautignorerlesréférencesdeserveurLDAP:
1 Ouvrezl’UtilitairederépertoireetcliquezsurServices.
2 Sil’icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret
tapezlenometlemotdepassed’unadministrateur.
3 Danslalistedesservices,sélectionnezLDAPv3,puiscliquezsurleboutonModifier(/).
4 Silalistedesconfigurationsdeserveurestmasquée,cliquezsurAfficherlesoptions.
5 Sélectionnezuneconfigurationdeserveurdanslaliste,puiscliquezsurModifier.
6 CliquezsurConnexionetcochezlacase«Ignorerlesréférencesduserveur».
180 Chapitre8Réglagesavancésdesclientsderépertoire

Authentificationd’uneconnexionLDAP
L’Utilitairederépertoirepermetdeconfigureruneconnexionauthentifiéeàun
annuaireLDAP.Cetteauthentificationestunidirectionnelle.L’ordinateurprouveson
identitéauprèsd’unrépertoireLDAP,maislerépertoireLDAPneprouvepasson
authenticitéauprèsdel’ordinateur.Pouruneauthentificationmutuelle,consultezla
rubrique«ConfigurationdelaliaisonsécuriséepourunannuaireLDAP»àlapage176.
Remarque:silaliaisonsécuriséeestconfiguréeentrel’ordinateuretl’annuaireLDAP,une
connexionauthentifiéeseraitredondante;vousnepouvezdoncpasenconfigurerune.
PourconfigureruneconnexionLDAPv3authentifiée:
1 Ouvrezl’UtilitairederépertoireetcliquezsurServices.
2 Sil’icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret
tapezlenometlemotdepassed’unadministrateur.
3 Danslalistedesservices,sélectionnezLDAPv3,puiscliquezsurleboutonModifier(/).
4 Silalistedesconfigurationsdeserveurestmasquée,cliquezsurAfficherlesoptions.
5 Sélectionnezuneconfigurationdeserveurdanslaliste,puiscliquezsurModifier.
6 CliquezsurSécurité.
7 Cochezlacase«Utiliserl’authentificationlorsdelaconnexion»,puissaisissezlenom
distinctifetlemotdepassed’unutilisateur.
Lenomdistinctifpeutspécifiertoutcompted’utilisateurayantl’autorisationdevoir
lesdonnéesdurépertoire.Parexemple,uncompted’utilisateurdontlenomabrégé
est«authentificateur»surunserveurLDAPdontl’adresseestods.exemple.comporte
lenomdistinctifuid=authentificateur,cn=utilisateurs,dc=ods,dc=exemple,dc=com.
Important:silenomdistinctifoulemotdepasseestincorrect,personnenepeut
ouvrirunesessionsurl’ordinateuràl’aidedecomptesd’utilisateurprovenantde
l’annuaireLDAP.
Modificationdumotdepasseutilisépourauthentifierune
connexionLDAP
L’UtilitairederépertoirepermetdemettreàjouruneconnexionLDAPauthentifiée
pourqu’elleutiliseunmotdepassequiaétémodifiésurleserveurLDAP.(Tousles
ordinateursdisposantd’uneconnexionauthentifiéeàunserveurLDAPdoiventêtremis
àjoursilemotdepasseutilisépourauthentifierlaconnexionLDAPestmodifiésur
leserveur).
Chapitre8Réglagesavancésdesclientsderépertoire 181

PourmodifierlemotdepassepouruneconnexionLDAP:
1 Ouvrezl’UtilitairederépertoireetcliquezsurServices.
2 Sil’icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret
tapezlenometlemotdepassed’unadministrateur.
3 Danslalistedesservices,sélectionnezLDAPv3,puiscliquezsurleboutonModifier(/).
4 Silalistedesconfigurationsdeserveurestmasquée,cliquezsurAfficherlesoptions.
5 Sélectionnezuneconfigurationdeserveurdanslaliste,puiscliquezsurModifier.
6 CliquezsurSécurité,puismodifiezleréglageMotdepasse:
 SileréglageMotdepasseestestompéparcequelacase«Utiliserl’authentification
lorsdelaconnexion»estdécochée,consultezlarubrique«Authentificationd’une
connexionLDAPȈlapage181.
 SileréglageMotdepasseestestompéparcequelacase«Reliéàl’annuaireentant
que»estcochée(maisestompée),celasignifiequelaconnexionn’estpasauthentifiéeavecunmotdepassed’utilisateur.Laconnexionutilisealorsplutôtunefiche
d’ordinateurauthentifiéoulaliaisonsécurisée.
Mappaged’attributsd’enregistrementdeconfigurationpour
répertoiresLDAP
PourstockerdesinformationspourlesutilisateursMacOSXgérésdansunannuaire
LDAPnon-Apple,vousdevezmapperlesattributssuivantsdutypedefiche
Config:RealNameetDataStamp.
Sivousnemappezpascesattributs,lemessaged’erreursuivants’afficheralorsque
vousutiliserezGestionnairedegroupedetravailpourmodifierunefiched’utilisateur
situéedansl’annuaireLDAP:
L’attributnommé“dsRecTypeStandard:Config”n’estpasmappé.
Vouspouvezignorercemessagesivousn’utilisezpaslagestiondeclientMacOSX,qui
dépenddesattributsRealNameetDataStampdutypeEnregistrementdeconfigurationpourlamémoirecache.
182 Chapitre8Réglagesavancésdesclientsderépertoire

ModificationdumappageRFC2307pouractiverlacréation
d’utilisateurs
PourpouvoirutiliserGestionnairedegroupedetravailpourcréerdesutilisateurssurun
serveurLDAPnon-ApplequiutilisedesmappagesRFC2307(UNIX),vousdevezmodifiezlemappagedutypedeficheUtilisateurs.Vousdevezpourcelautiliserl’Utilitaire
derépertoire.
Pouractiverlacréationd’enregistrementsd’utilisateursdansunrépertoireLDAP
avecmappagesRFC2307:
1 Ouvrezl’UtilitairederépertoireetcliquezsurServices.
2 Sil’icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret
tapezlenometlemotdepassed’unadministrateur.
3 Danslalistedesservices,sélectionnezLDAPv3,puiscliquezsurleboutonModifier(/).
4 Silalistedesconfigurationsdeserveurestmasquée,cliquezsurAfficherlesoptions.
5 SélectionnezlaconfigurationderépertoireavecmappagesRFC2307,puiscliquezsur
Modifier.
6 CliquezsurRechercheetmappages.
7 SélectionnezUtilisateursdanslalistedegauche.
Pardéfaut,«Mappersur__élémentslistés»estdéfinisurQuelconqueetlalistede
droitecontientposixAccount,inetOrgPersonetshadowAccount.
8 Définissez«Mappersur__élémentslistés»surTout,puismodifiezlalistededroite
pourn’inclurequelesclassesd’objetsLDAPverslesquellesvousvoulezmapperletype
deficheUtilisateurs.
SupprimezparexempleshadowAccountdelalistedesortequeletypedeficheUtilisateursnesoitmappéqueversposixAccountetinetOrgPerson.Vouspouvezégalement
mapperletypedeficheUtilisateursversaccount,posixAccountetshadowAccount.
Pourmodifierunélémentdelaliste,double-cliquezdessus.Pourajouterunélémentà
laliste,cliquezsurAjouter.Poursupprimerl’élémentsélectionnédelaliste,cliquezsur
Supprimer.Pourmodifierl’ordredesélémentsrépertoriés,faites-lesglisserverslehaut
oulebasdelaliste.Vouspouvezrechercherlesclassesd’objetsdesfichesd’utilisateur
setrouvantdansl’annuaireLDAPàl’aidedel’outilUNIXldapsearch dansTerminal.
Parexemple,lecodesuivantrecherchelesclassesd’objetsd’unefiched’utilisateurdont
l’attributcnest«LéonarddeVinci»:
$ ldapsearch -x -h ldapserver.exemple.com -b "dc=exemple, dc=com"
’cn=Léonard de Vinci’ objectClass
Cetexemplerenverraitlesrésultatssuivants:
# Léonard de Vinci, exemple.com
dn: cn=Léonard de Vinci, dc=exemple, dc=com
objectClass: inetOrgPerson
objectClass: posixAccount
Chapitre8Réglagesavancésdesclientsderépertoire 183

Préparationd’unrépertoireLDAPenlectureseulepourMacOSX
Sivoussouhaitezqu’unordinateurMacOSXpuisseliredesdonnéesadministratives
dansunannuaireLDAPenlectureseule,cesdonnéesdoiventêtreauformatrequispar
MacOSX.Ilvousfaudrapeut-êtreajouter,modifierouréorganiserlesdonnéesdans
l’annuaireLDAPenlectureseule.
DanslamesureoùMacOSXnepeutpasécrirededonnéesdansunrépertoireen
lectureseule,vousdevezutiliserd’autresoutilspourapportercesmodifications.
Cesoutilsdoiventrésidersurleserveurquihébergel’annuaireLDAPenlectureseule.
PourpréparerunrépertoireLDAPenlectureseulepourMacOSX:
1 AccédezauserveurquihébergelerépertoireLDAPenlectureseuleetconfigurez-le
pourqu’ilgèrel’authentificationLDAPetlavérificationdesmotsdepasse.
2 Modifiezcommeilsedoitlesclassesd’objetsetattributsdel’annuaireLDAPafinde
fournirlesdonnéesnécessairesàMacOSX.
Pourobtenirdesspécificationssurlesdonnéesrequisesparlesservicesderépertoire
deMacOSX,consultezl’annexe,«DonnéesderépertoireMacOSX».
Remplissaged’annuairesLDAPavecdesdonnéespourMacOSX
Aprèsavoirconfigurél’accèsauxdomainesderépertoireLDAPetconfiguréleur
mappagededonnées,vouspouvezlesrempliravecdesfichesetdesdonnéespour
MacOSX.PourlesannuairesLDAPquiautorisentl’administrationàdistance(accèsen
lecture/écriture),vouspouvezutiliserl’applicationGestionnairedegroupedetravail,
livréeavecMacOSXServer,delamanièresuivante:
 Lespointsdepartaged’identitéetlesdomainespartagésquevoussouhaitezmonterautomatiquementdanslesnavigateursdeRéseaudesutilisateurs(cequelesutilisateursvoientlorsqu’ilscliquentsurRéseaudanslabarrelatéraled’unefenêtredu
Finder).
UtilisezlemodulePartaged’AdminServeuretlemoduleRéseaudeGestionnairede
groupedetravail.Pourensavoirplus,consultezlasectionAdministrationdesservices
defichier.
 Définissezlesfichesd’utilisateuretdegroupe,puisconfigurez-les.
UtilisezlemoduleComptesdeGestionnairedegroupedetravail.Pourensavoirplus,
consultezlasectionGestiondesutilisateurs.
 Définissezleslistesd’ordinateurspartageantlesmêmesréglagesdepréférenceset
disponiblespourlesmêmesutilisateursetgroupes.
UtilisezlemoduleOrdinateursdeGestionnairedegroupedetravail.Pourensavoir
plus,consultezlasectionGestiondesutilisateurs.
184 Chapitre8Réglagesavancésdesclientsderépertoire

Danstouslescas,cliquezsurlapetiteicônedeglobeau-dessusdelalistedesutilisateurs,puischoisissezuneoptiondumenulocaldeGestionnairedegroupedetravail
pourouvrirledomainederépertoireLDAP.SilerépertoireLDAPnefigurepasdans
lemenulocal,choisissezAutrepourlesélectionner.
Remarque:pourajouterdesfichesetdesdonnéesàunannuaireLDAPenlectureseule,
vousdevezutiliserdesoutilsrésidantsurleserveurquihébergecetannuaireLDAP.
UtilisationdesréglagesavancésdesservicesActiveDirectory
VouspouvezconfigurerunserveuréquipédeMacOSXServerouunordinateur
dotédeMacOSXpouraccéderàundomaineActiveDirectorysurunserveur
Windows2000ouWindows2003.
Pourtrouverlesdescriptionsdestâchesetdesinstructions,reportez-vousà:
 «Àproposdel’accèsàActiveDirectory»àlapage186
 «Configurationdel’accèsàundomaineActiveDirectory»àlapage188
 «Configurationdecomptesd’utilisateurmobilesdansActiveDirectory»àlapage191
 «Configurationdedossiersdedépartpourdescomptesd’utilisateurActiveDirectory»
àlapage192
 «Configurationd’unshellUNIXpourdescomptesd’utilisateurActiveDirectory»àla
page193
 «Associationdel’UIDàunattributActiveDirectory»àlapage194
 «Mappagedel’identifiantdegroupeprincipalversunattributActiveDirectory»àla
page195
 «Mappagedel’identifiantdegroupedescomptesdegroupeversunattributActive
DirectoryȈlapage196
 «Spécificationd’unserveurActiveDirectorypréféré»àlapage197
 «ModificationdesgroupesActiveDirectoryautorisésàadministrerl’ordinateur»àla
page198
 «Contrôledel’authentificationàpartirdetouslesdomainesdelaforêtActiveDirectory»
àlapage199
 «RupturedelaliaisonavecleserveurActiveDirectory»àlapage200
 «Modificationdecomptesd’utilisateuretd’autresenregistrementsdansActive
DirectoryȈlapage200
Pourcertainsréseaux,d’autresméthodess’avèrentappropriéespourl’accèsàun
domaineActiveDirectory.Consultezlarubrique«Configurationdel’accèsLDAPaux
domainesActiveDirectoryȈlapage201.
Chapitre8Réglagesavancésdesclientsderépertoire 185

Àproposdel’accèsàActiveDirectory
VouspouvezconfigurerMacOSXpourqu’ilaccèdeàdesinformationsdecompted’utilisateurélémentairesdansundomaineActiveDirectoryd’unserveurWindows2000
ouultérieur.CelaestpossiblegrâceaumoduleActiveDirectorydel’Utilitairede
répertoire.CemoduleActiveDirectoryfiguredanslasous-fenêtreServicesdel’Utilitaire
derépertoire.
Iln’estpasnécessaired’apporterdesmodificationsdeschémaaudomaineActiveDirectorypourobtenirdesinformationsdecompted’utilisateurélémentaires.Vousdevrez
éventuellementmodifierlalistedecontrôled’accès(ACL)pardéfautdecertainsattributspourquelescomptesd’ordinateurpuissentlirelespropriétésd’utilisateur.
LemoduleexterneActiveDirectorygénèretouslesattributsrequispourl’authentificationMacOSXàpartird’attributsstandarddanslescomptesd’utilisateurActiveDirectory.Lemoduleprendégalementenchargelesrèglementsd’authentificationActive
Directory,ycomprislamodification,l’expirationetlechangementforcédemotde
passe,ainsiquelesoptionsdesécurité.
MacOSX10.5prendenchargelesoptionsdechiffrementetdesignaturedespaquets
pourtouslesdomainesWindowsActiveDirectory.Cettefonctionnalitéestdéfiniepar
défautsur«autoriser».Vouspouvezmodifierceréglagepardéfautpourledéfinirsur
«désactivé»ou«requispar»àl’aidedel’outildelignedecommandedsconfigad.
Lesoptionsdechiffrementetdesignaturedespaquetsgarantissentlaprotectionde
touteslesdonnéestransitantentrel’ordinateuretledomaineActiveDirectorylors
desrecherchesdefiche.
LemoduleexterneActiveDirectorygénèredemanièredynamiqueunidentifiant
d’utilisateuruniqueetunidentifiantdegroupeprincipal,baséssurl’identifiantGUID
(GloballyUniqueID)ducompted’utilisateurdansledomaineActiveDirectory.L’identifiantd’utilisateuretl’identifiantdegroupeprincipalgénéréssontlesmêmespour
chaquecompted’utilisateur,mêmesilecompteestutilisépourouvrirunesessionsur
différentsordinateursMacOSX.
VouspouvezégalementforcerlemoduleexterneActiveDirectoryàassocierl’identifiantd’utilisateuràdesattributsActiveDirectoryquevousspécifiez.
LemoduleActiveDirectorygénèreunidentifiantdegrouped’aprèsleGUIDducompte
degroupeActiveDirectory.Vouspouvezaussiforcerlemoduleexterneàmapper
l’identifiantdegroupepourlescomptesdegroupeversdesattributsActiveDirectory
quevousspécifiez.
186 Chapitre8Réglagesavancésdesclientsderépertoire

Lorsquequelqu’unouvreunesessionMacOSXàl’aided’uncompted’utilisateurActive
Directory,lemoduleActiveDirectorypeutmonterledossierdedépartréseauWindows
définicommedossierdedépartMacOSXdel’utilisateurdanslecompted’utilisateur
ActiveDirectory.Vouspouvezindiquers’ilfaututiliserledossierdedépartréseaudéfini
parl’attributhomeDirectorystandardd’ActiveDirectoryouparl’attributhomeDirectory
deMacOSX(sileschémaActiveDirectoryaétéétendupourl’inclure).
Vouspouvezaussiconfigurerlemoduleexternepourqu’ilcréeundossierdedépart
localsurlevolumededémarragedel’ordinateurclientMacOSX.Danscecas,le
modulemonteaussiledossierdedépartréseauWindowsdel’utilisateur(définidans
lecompted’utilisateurActiveDirectory)entantquevolumeréseau,commeunpoint
departage.Àl’aideduFinder,l’utilisateurpeutalorscopierdesfichiersentrelevolume
réseaududossierdedépartWindowsetledossierdedépartMacOSXlocal.
LemoduleexterneActiveDirectorypeutaussicréerdescomptesmobilespourles
utilisateurs.Uncomptemobiledisposed’undossierdedépartlocalsurlevolumede
démarragedel’ordinateurclientMacOSX.(L’utilisateurdisposed’undossierdedépart
réseau,commespécifiédanssoncompteActiveDirectory).
Uncomptemobilemetlesinformationsd’authentificationActiveDirectorydel’utilisateurenmémoirecachesurl’ordinateurclientMacOSX.Lesinformationsd’authentificationmisesenmémoirecachepermettentàl’utilisateurd’ouvrirunesessionàl’aide
dunometdumotdepasseActiveDirectorylorsquel’ordinateurclientestdéconnecté
duserveurActiveDirectory.
Uncomptemobiledisposed’undossierdedépartlocalsurlevolumededémarrage
del’ordinateurclientMacOSX.(L’utilisateurdisposed’undossierdedépartréseau,
commespécifiédanslecompteActiveDirectorydel’utilisateur).
SileschémaActiveDirectoryaétéétendupourinclurelestypesdefiches(classes
d’objets)etlesattributsMacOSX,lemoduleActiveDirectorylesdétecteetyaccède.
Parexemple,leschémaActiveDirectorypourraitêtremodifiéàl’aided’outilsd’administrationWindowspourincluredesattributsdeclientgéréMacOSX.CettemodificationduschémapermetaumoduleActiveDirectorydeprendreenchargelesréglages
declientgérédéfinisàl’aidedel’applicationGestionnairedegroupedetravailde
MacOSXServer.
LesclientsMacOSXbénéficientd’unaccèsenlecturecompletauxattributsajoutés
aurépertoire.C’estpourquoiilpeuts’avérernécessairedemodifierlalistedecontrôle
d’accèsdecesattributspourautoriserdesgroupesd’ordinateursàlirecesattributs
ajoutés.
Chapitre8Réglagesavancésdesclientsderépertoire 187

LemoduleActiveDirectorydétectetouslesdomainesd’uneforêtActiveDirectory.
Vouspouvezconfigurerlemodulepourqu’ilautoriselesutilisateursden’importe
queldomainedelaforêtàs’authentifiersurunordinateurMacOSX.Vouspouvez
égalementautoriserl’authentificationdecertainsdomainesuniquementsurleclient.
LemoduleexterneActiveDirectoryprendentièrementenchargelaréplicationet
lebasculementActiveDirectory.Ildétecteplusieurscontrôleursdedomaineetdétermineleplusproche.Siuncontrôleurdedomainedevientindisponible,lemodule
basculesurunautrecontrôleurdedomaineproche.
LemoduleActiveDirectoryutiliseLDAPpouraccéderauxcomptesd’utilisateurActive
DirectoryetKerberospourlesauthentifier.LemoduleexterneActiveDirectoryn’utilise
pasl’interfacepropriétaireADSI(ActiveDirectoryServicesInterface)deMicrosoftpour
accéderauxservicesderépertoireoud’authentification.
Configurationdel’accèsàundomaineActiveDirectory
Àl’aidedumoduleActiveDirectorydel’Utilitairederépertoire,vouspouvezconfigurer
MacOSXpourqu’ilaccèdeauxinformationsdecompted’utilisateurélémentairesdans
undomaineActiveDirectorysurunserveurWindows.
LemoduleexterneActiveDirectorygénèretouslesattributsrequispourl’authentificationMacOSX.AucunemodificationduschémaActiveDirectoryn’estnécessaire.
LemoduleActiveDirectorydétecteetaccèdeauxtypesdefichesetauxattributs
MacOSXstandard(telsquelesattributsrequispourlagestiondesclientsMacOSX),
sileschémaActiveDirectoryaétéétendupourlesinclure.
AVERTISSEMENT:lesoptionsavancéesdumoduleActiveDirectorypermettentde
mapperl’identifiantd’utilisateurunique(UID),l’identifiantdegroupe(GID)principal
etl’attributd’identifiantdegroupeMacOSXverslesattributsappropriésquiontété
ajoutésauschémaActiveDirectory.Sivousmodifiezultérieurementleréglagedeces
optionsdemappage,lesutilisateursrisquentdeperdrel’accèsauxfichierscréés
précédemment.
Important:silenomdevotreordinateurcontientuntraitd’union,vousrisquezdene
paspouvoirrejoindreouvouslieràundomainederépertoiretelqueLDAPouActive
Directory.Pourétablirlaliaison,utilisezunnomd’ordinateurnecontenantpasdetrait
d’union.
188 Chapitre8Réglagesavancésdesclientsderépertoire

Pourconfigurerl’accèsàundomaineActiveDirectory:
1 Ouvrezl’UtilitairederépertoireetcliquezsurServices.
2 Sil’icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret
tapezlenometlemotdepassed’unadministrateur.
3 Danslalistedesservices,sélectionnezActiveDirectory,puiscliquezsurlebouton
Modifier(/).
4 SaisissezlenomDNSdudomaineActiveDirectoryauquelvoussouhaitezlierl’ordinateurquevousêtesentraindeconfigurer.
L’administrateurdudomaineActiveDirectorypeutvouscommuniquerlenomDNSà
saisir.
5 Sinécessaire,modifiezl’identifiantdel’ordinateur.
L’identifiantdel’ordinateurestlenomsouslequelcetordinateurseraconnudansle
domaineActiveDirectory;pardéfaut,ils’agitdunomdel’ordinateur.Ilsepeutque
vousdeviezlemodifierpourvousconformerauschémadéfiniparvotreorganisation
pourl’attributiondesnomsd’ordinateurdansledomaineActiveDirectory.Sivous
n’êtespassûrdunomàsaisir,consultezl’administrateurdudomaineActiveDirectory.
6 (Facultatif)Définissezlesoptionsavancées.
Silesoptionsavancéessontmasquées,cliquezsurAfficherlesoptionsavancéesetdéfinissezdesoptionsdanslessous-fenêtresExpérienceutilisateur,MappagesetAdministratif.Vouspouvezaussimodifierultérieurementlesréglagesdesoptionsavancées.
Pourensavoirplussurlesoptionsavancées,consultezlesrubriquessuivantes:
 «Configurationdecomptesd’utilisateurmobilesdansActiveDirectory»àlapage191
 «Configurationdedossiersdedépartpourdescomptesd’utilisateurActiveDirectory»à
lapage192
 «Configurationd’unshellUNIXpourdescomptesd’utilisateurActiveDirectory»àla
page193
 «Associationdel’UIDàunattributActiveDirectory»àlapage194
 «Mappagedel’identifiantdegroupeprincipalversunattributActiveDirectory»àla
page195
 «Mappagedel’identifiantdegroupedescomptesdegroupeversunattributActive
DirectoryȈlapage196
 «Spécificationd’unserveurActiveDirectorypréféré»àlapage197
 «ModificationdesgroupesActiveDirectoryautorisésàadministrerl’ordinateur»àla
page198
 «Contrôledel’authentificationàpartirdetouslesdomainesdelaforêtActiveDirectory»
àlapage199
Chapitre8Réglagesavancésdesclientsderépertoire 189

7 CliquezsurLiaison,utilisezleschampssuivantspourvousauthentifierentantqu’utilisateurayantledroitderelierunordinateuraudomaineActiveDirectory,sélectionnez
lesrèglesderechercheauxquellesvoussouhaitezajouterActiveDirectory(voirci-dessous),puiscliquezsurOK:
 Nomd’utilisateuretmotdepasse:vouspouvezvousauthentifierensaisissantles
nometmotdepassedevotrecompted’utilisateurActiveDirectory;sinon,ilsepeut
quel’administrateurdudomaineActiveDirectorydoivevousfournirunnometun
motdepasse.
 CléOUordinateur:saisissezl’unitéorganisationnelle(UO)del’ordinateurquevous
êtesentraindeconfigurer.
 Utiliserpourl’authentification:permetdedéterminersiActiveDirectorydoitêtre
ajoutéàlarèglederecherched’authentificationdel’ordinateur.
 Utiliserpourlescontacts:permetdedéterminersiActiveDirectorydoitêtreajouté
àlarèglederecherchedecontactsdel’ordinateur.
LorsquevouscliquezsurOK,l’Utilitairederépertoireconfigurelaliaisonsécurisée
entrel’ordinateurquevousêtesentraindeconfigureretleserveurActiveDirectory.
Lesrèglesderecherchedel’ordinateursontconfiguréesenfonctiondesoptionsque
vousavezsélectionnéeslorsquevousvousêtesauthentifiéetActiveDirectoryest
activédanslasous-fenêtreServicesdel’Utilitairederépertoire.
Aveclesréglagespardéfautdesoptionsavancéesd’ActiveDirectory,laforêtActive
Directoryestajoutéeauxrèglesderecherched’authentificationetdecontactsde
l’ordinateursivousavezsélectionnél’option«Utiliserpourl’authentification»ou
«Utiliserpourlescontacts».
Toutefois,sivousdésélectionnezl’option«Autoriserl’authentificationdepuisn’importe
queldomainedelaforêt»danslasous-fenêtred’optionsavancéesAdministratifavant
decliquersurLiaison,c’estledomaineActiveDirectoryleplusprochequiestajouté,
etnonlaforêt.
VouspouvezmodifierlesrèglesderechercheultérieurementenajoutantouensupprimantlaforêtActiveDirectoryoudesdomainesindividuels.Pourensavoirplus,consultezlarubrique«Définitiondepolitiquesderecherchepersonnalisées»àlapage153.
8 (Facultatif)ReliezleserveurauroyaumeKerberosActiveDirectory.
Surleserveurousurunordinateuradministrateurquipeutseconnecterauserveur,
ouvrezAdminServeuretsélectionnezOpenDirectorypourleserveur.Cliquezsur
Réglages,puissurGénéral.CliquezsurSeconnecteràKerberos,puischoisissezle
royaumeKerberosActiveDirectorydanslemenulocaletsaisissezlesinformations
d’authentificationd’unadministrateurlocalsurceserveur.
Pourensavoirplus,consultezlarubrique«Connecterunserveuràunroyaume
KerberosȈlapage119.
190 Chapitre8Réglagesavancésdesclientsderépertoire

Configurationdecomptesd’utilisateurmobilesdansActiveDirectory
Vouspouvezactiveroudésactiverdescomptesd’utilisateurActiveDirectorymobiles
surunordinateurconfigurépourutiliserlemoduleActiveDirectorydel’Utilitairede
répertoire.Lesutilisateursquidisposentdecomptesmobilespeuventouvrirunesessionàl’aidedeleursinformationsd’authentificationActiveDirectorylorsquel’ordinateurn’estpasconnectéauserveurActiveDirectory.
LemoduleexterneActiveDirectorymetenmémoirecachelesinformationsd’authentificationd’uncomptemobiled’utilisateurlorsquel’utilisateurouvreunesessionalors
quel’ordinateurestconnectéaudomaineActiveDirectory.Cettemiseencachedes
informationsd’authentificationnerequiertaucunemodificationduschémaActive
Directory.
SileschémaActiveDirectoryaétéétendupourinclurelesattributsdeclientgéré
MacOSX,cesréglagesdecomptemobileserontutilisésàlaplacedesréglagesde
comptemobiledumoduleActiveDirectory.
Vouspouvezfaireensortequelescomptesmobilessoientcréésautomatiquementou
obligerlesutilisateursActiveDirectoryàconfirmerlacréationdescomptesmobiles.
PouractiveroudésactiverlescomptesmobilesdansundomaineActiveDirectory:
1 Ouvrezl’UtilitairederépertoireetcliquezsurServices.
2 Sil’icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret
tapezlenometlemotdepassed’unadministrateur.
3 Danslalistedesservices,sélectionnezActiveDirectory,puiscliquezsurlebouton
Modifier(/).
4 Silesoptionsavancéessontmasquées,cliquezsurAfficherlesoptionsavancées.
5 CliquezsurExpérienceutilisateur,puissur«Créeruncomptemobilelorsdel’ouverturedesession»et,éventuellement,sur«Exigeruneconfirmationavantdecréerun
comptemobile».
6 Sivoussélectionnezlesdeuxoptions,chaqueutilisateurdécidedecréerounon
uncomptemobileàl’ouverturedesession.Lorsqu’unutilisateurouvreunesession
MacOSXàl’aided’uncompted’utilisateurActiveDirectory,oulorsqu’ilouvreunesessionentantqu’utilisateurréseau,ilvoitapparaîtreunezonededialoguecontenantdes
commandespermettantdecréerimmédiatementuncomptemobile.Silapremière
optionestsélectionnéeetquelasecondenel’estpas,lescomptesmobilessontcréés
lorsquelesutilisateursouvrentunesession.Silapremièreoptionn’estpassélectionnée,lasecondeestdésactivée.CliquezsurOK.
Chapitre8Réglagesavancésdesclientsderépertoire 191

Configurationdedossiersdedépartpourdescomptesd’utilisateur
ActiveDirectory
SurunordinateurconfigurépourutiliserlemoduleActiveDirectorydel’Utilitairede
répertoire,vouspouvezactiveroudésactiverlesdossiersdedépartréseauoulocaux
pourlescomptesd’utilisateurActiveDirectory.
Aveclesdossiersdedépartréseau,ledossierdedépartréseauWindowsd’unutilisateurestmontécommeledossierdedépartMacOSXlorsquel’utilisateurouvre
unesession.
Vouspouvezspécifiers’ilfaututiliserledossierdedépartréseaudéfiniparl’attribut
homeDirectorystandardd’ActiveDirectoryouparl’attributhomeDirectoryde
MacOSX,sileschémaActiveDirectoryaétéétendupourl’inclure.
Aveclesdossiersdedépartlocaux,chaqueutilisateurActiveDirectoryquiouvreune
sessiond’undossierdedépartsurledisquededémarragedeMacOSX.Deplus,le
dossierdedépartréseaudel’utilisateurestmontécommeunvolumeréseau,comme
unpointdepartage.L’utilisateurpeutcopierdesfichiersentrecevolumeréseauet
ledossierdedépartlocal.
Pourconfigurerdesdossiersdedépartpourdescomptesd’utilisateurActiveDirectory:
1 Ouvrezl’UtilitairederépertoireetcliquezsurServices.
2 Sil’icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret
tapezlenometlemotdepassed’unadministrateur.
3 Danslalistedesservices,sélectionnezActiveDirectory,puiscliquezsurlebouton
Modifier(/).
4 Silesoptionsavancéessontmasquées,cliquezsurAfficherlesoptionsavancées.
5 CliquezsurExpérienceutilisateur.
6 Cliquezsur«Forcerl’utilisationdurépertoirededépartlocalsurledisquededémarrage»
sivoussouhaitezquelescomptesd’utilisateurActiveDirectoryaientdesdossiersde
départlocauxdansledossier/Utilisateursdel’ordinateur.
Cetteoptionn’estpasdisponiblesilacase“Créeruncomptemobilelorsdel’ouverture
desession”estcochée.
7 Pourutiliserl’attributstandardd’ActiveDirectorypourl’emplacementdudossierde
départ,sélectionnez«UtiliserlecheminUNCdepuisActiveDirectorypourdéduire
l’emplacementdurépertoirededépartréseau»,puischoisissezl’undesprotocoles
suivantspouraccéderaudossierdedépart:
 PourutiliserleprotocoleSMBstandarddeWindows,choisissezsmbdanslemenu
local«Protocoleréseauàutiliser».
 PourutiliserleprotocoleAFPstandarddeMacintosh,choisissezafpdanslemenu
local«Protocoleréseauàutiliser».
192 Chapitre8Réglagesavancésdesclientsderépertoire

8 Pourutiliserl’attributMacOSXpourl’emplacementdudossierdedépart,décochez
lacase«UtiliserlecheminUNCdepuisActiveDirectorypourdéduirel’emplacement
durépertoirededépartréseau».
Pourutiliserl’attributMacOSX,leschémaActiveDirectorydoitêtreétendupour
l’inclure.
9 CliquezsurOK.
Sivousmodifiezlenomd’uncompted’utilisateurdansledomaineActiveDirectory,
leserveurcréeraunnouveaudossierdedépart(etdessous-dossiers)pourcecompte
d’utilisateurlaprochainefoisqu’ilserautilisépourl’ouverturedesessionàunordinateurMacOSX.L’utilisateurpeuttoujoursatteindrel’anciendossierdedépartetvoir
soncontenudansleFinder.
Vouspouvezempêcherlacréationd’unnouveaudossierdedépartenrenommant
l’anciendossieravantlaprochaineouverturedesessiondel’utilisateur.
Configurationd’unshellUNIXpourdescomptesd’utilisateur
ActiveDirectory
SurunordinateurconfigurépourutiliserlemoduleActiveDirectorydel’Utilitaire
derépertoire,vouspouvezdéfinirleshelldelignedecommandequelesutilisateurs
disposantd’uncompteActiveDirectoryutiliserontpardéfautlorsqu’ilsinteragiront
avecMacOSXdansl’applicationTerminal.
Leshellpardéfautestaussiutilisépourl’interactionàdistanceviaSSH(SecureShell)
ouTelnet.ChaqueutilisateurpeutredéfinirleshellpardéfautenchangeantunepréférencedeTerminal.
PourdéfinirunshellUNIXpourdescomptesd’utilisateurActiveDirectory:
1 Ouvrezl’UtilitairederépertoireetcliquezsurServices.
2 Sil’icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret
tapezlenometlemotdepassed’unadministrateur.
3 Danslalistedesservices,sélectionnezActiveDirectory,puiscliquezsurlebouton
Modifier(/).
4 Silesoptionsavancéessontmasquées,cliquezsurAfficherlesoptionsavancées.
5 CliquezsurExpérienceutilisateur.
6 Sélectionnez«Shellutilisateurpardéfaut»,puissaisissezlechemindushellutilisateur
pardéfaut.
7 CliquezsurOK.
Chapitre8Réglagesavancésdesclientsderépertoire 193

Associationdel’UIDàunattributActiveDirectory
SurunordinateurconfigurépourutiliserlemoduleActiveDirectorydel’Utilitairede
répertoire,vouspouvezspécifierl’attributActiveDirectoryàmapperversl’attribut
d’identifiantd’utilisateurunique(UID)deMacOSX.
Généralement,leschémaActiveDirectorydoitêtreétendupourinclureunattributqui
convienneaumappageversl’UID:
 Sil’administrateurActiveDirectoryétendleschémaActiveDirectoryeninstallant
lesservicespourUNIXdeMicrosoft,vouspouvezmapperl’UIDversl’attribut
msSFU-30-Uid-Number.
 Sil’administrateurActiveDirectoryétendmanuellementleschémaActiveDirectory
pourqu’ilcontiennelesattributsRFC2307,vouspouvezmapperl’UIDversuidNumber.
 Sil’administrateurActiveDirectoryétendmanuellementleschémaActiveDirectory
pourqu’ilcontiennel’attributUniqueIDdeMacOSX,vouspouvezmapperl’UIDvers
cedernier.
Silemappagedel’UIDestdésactivé,lemoduleActiveDirectorygénèreunUIDen
fonctiondel’attributGUIDstandardd’ActiveDirectory.
AVERTISSEMENT:sivousmodifiezultérieurementlemappagedel’UID,lesutilisateurs
risquentdeperdrel’accèsauxfichierscréésprécédemment.
Pourmapperl’UIDàunattributd’unschémaActiveDirectoryétendu:
1 Ouvrezl’UtilitairederépertoireetcliquezsurServices.
2 Sil’icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret
tapezlenometlemotdepassed’unadministrateur.
3 Danslalistedesservices,sélectionnezActiveDirectory,puiscliquezsurlebouton
Modifier(/).
4 Silesoptionsavancéessontmasquées,cliquezsurAfficherlesoptionsavancées.
5 CliquezsurMappages.
6 Sélectionnez«MappageUIDàattribuer»,puissaisissezlenomdel’attributActive
Directoryàmapperversl’UID.
7 CliquezsurOK.
194 Chapitre8Réglagesavancésdesclientsderépertoire

Mappagedel’identifiantdegroupeprincipalversunattribut
ActiveDirectory
SurunordinateurconfigurépourutiliserlemoduleActiveDirectorydel’Utilitairede
répertoire,vouspouvezspécifierl’attributActiveDirectoryàmapperversl’attribut
d’identifiantdegroupeprincipal(GID)deMacOSXdanslescomptesd’utilisateur.
Généralement,leschémaActiveDirectorydoitêtreétendupourinclureunattributqui
convienneaumappageversleGIDprincipal:
 Sil’administrateurActiveDirectoryétendleschémaActiveDirectoryeninstallantles
servicespourUNIXdeMicrosoft,vouspouvezmapperleGIDprincipalversl’attribut
msSFU-30-Gid-Number.
 Sil’administrateurActiveDirectoryétendmanuellementleschémaActiveDirectory
pourqu’ilcontiennelesattributsRFC2307,vouspouvezmapperleGIDprincipalvers
gidNumber.
 Sil’administrateurActiveDirectoryétendmanuellementleschémaActiveDirectory
pourqu’ilcontiennel’attributPrimaryGroupIDdeMacOSX,vouspouvezmapperle
GIDprincipalverscedernier.
SilemappageduGIDprincipalestdésactivé,lemoduleActiveDirectorygénèreunGID
principalenfonctiondel’attributGUIDstandardd’ActiveDirectory.
AVERTISSEMENT:sivousmodifiezultérieurementlemappageduGIDprincipal,
lesutilisateursrisquentdeperdrel’accèsauxfichierscréésprécédemment.
Chapitre8Réglagesavancésdesclientsderépertoire 195

PourmapperleGIDprincipalàunattributd’unschémaActiveDirectoryétendu:
1 Ouvrezl’UtilitairederépertoireetcliquezsurServices.
2 Sil’icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret
tapezlenometlemotdepassed’unadministrateur.
3 Danslalistedesservices,sélectionnezActiveDirectory,puiscliquezsurlebouton
Modifier(/).
4 Silesoptionsavancéessontmasquées,cliquezsurAfficherlesoptionsavancées.
5 CliquezsurMappages.
6 Sélectionnez«MappageduGIDd’utilisateuràattribuer»,puissaisissezlenomde
l’attributActiveDirectoryàmapperversl’identifiantdegroupeprincipaldansles
comptesd’utilisateur.
7 CliquezsurOK.
Mappagedel’identifiantdegroupedescomptesdegroupeversun
attributActiveDirectory
SurunordinateurconfigurépourutiliserlemoduleActiveDirectorydel’Utilitairede
répertoire,vouspouvezspécifierl’attributActiveDirectoryàmapperversl’attribut
d’identifiantdegroupe(GID)deMacOSXdanslescomptesdegroupe.
Généralement,leschémaActiveDirectorydoitêtreétendupourinclureunattributqui
convienneaumappageversleGID:
 Sil’administrateurActiveDirectoryétendleschémaActiveDirectoryeninstallantles
servicespourUNIXdeMicrosoft,vouspouvezmapperleGIDversl’attributmsSFU-
30-Gid-Number.
 Sil’administrateurActiveDirectoryétendmanuellementleschémaActiveDirectory
pourqu’ilincluelesattributsRFC2307,vouspouvezmapperleGIDversgidNumber.
 Sil’administrateurActiveDirectoryétendmanuellementleschémaActiveDirectory
pourqu’ilincluel’attributgidNumberdeMacOSX,vouspouvezmapperleGIDvers
cedernier.
SilemappageduGIDestdésactivé,lemoduleActiveDirectorygénèreunGIDen
fonctiondel’attributGUIDstandardd’ActiveDirectory.
AVERTISSEMENT:sivousmodifiezultérieurementlemappageduGID,lesutilisateurs
risquentdeperdrel’accèsauxfichierscréésprécédemment.
196 Chapitre8Réglagesavancésdesclientsderépertoire

PourmapperleGIDàunattributd’unschémaActiveDirectoryétendu:
1 Ouvrezl’UtilitairederépertoireetcliquezsurServices.
2 Sil’icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret
tapezlenometlemotdepassed’unadministrateur.
3 Danslalistedesservices,sélectionnezActiveDirectory,puiscliquezsurlebouton
Modifier(/).
4 Silesoptionsavancéessontmasquées,cliquezsurAfficherlesoptionsavancées.
5 CliquezsurMappages.
6 Sélectionnez«MappageduGIDdegroupeàattribuer»,puissaisissezlenomde
l’attributActiveDirectoryàmapperversleGIDdanslescomptesdegroupe.
7 CliquezsurOK.
Spécificationd’unserveurActiveDirectorypréféré
SurunordinateurconfigurépourutiliserlemoduleActiveDirectorydel’Utilitairede
répertoire,vouspouvezspécifierlenomDNSduserveurdudomaineActiveDirectory
auquell’ordinateurdoitaccéderpardéfaut.
Sileserveurdevientindisponible,lemoduleActiveDirectorybasculesurunautre
serveurprochedanslaforêt.
Sicetteoptionn’estpassélectionnée,lemoduleActiveDirectorydéterminele
domaineActiveDirectoryleplusprochedanslaforêt.
PourspécifierunserveurauquellemoduleActiveDirectorydoitaccéderpardéfaut:
1 Ouvrezl’UtilitairederépertoireetcliquezsurServices.
2 Sil’icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret
tapezlenometlemotdepassed’unadministrateur.
3 Danslalistedesservices,sélectionnezActiveDirectory,puiscliquezsurlebouton
Modifier(/).
4 Silesoptionsavancéessontmasquées,cliquezsurAfficherlesoptionsavancées.
5 CliquezsurAdministratif.
6 Sélectionnez«Préférerceserveurdedomaine»,puissaisissezlenomDNSduserveur
ActiveDirectory.
7 CliquezsurOK.
Chapitre8Réglagesavancésdesclientsderépertoire 197

ModificationdesgroupesActiveDirectoryautorisésàadministrer
l’ordinateur
SurunordinateurconfigurépourutiliserlemoduleActiveDirectorydel’Utilitaire
derépertoire,vouspouvezidentifierlescomptesdegroupeActiveDirectorydont
lesmembresdoiventavoirdesautorisationsd’administrateurpourl’ordinateur.
LesutilisateursquisontmembresdecescomptesdegroupeActiveDirectorypeuvent
effectuerdestâchesadministrativescomme,parexemple,installerdeslogicielssur
l’ordinateurMacOSXquevousêtesentraindeconfigurer.
PourajouterousupprimerdescomptesdegroupeActiveDirectorydont
lesmembresontdesautorisationsd’administrateur:
1 Ouvrezl’UtilitairederépertoireetcliquezsurServices.
2 Sil’icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret
tapezlenometlemotdepassed’unadministrateur.
3 Danslalistedesservices,sélectionnezActiveDirectory,puiscliquezsurlebouton
Modifier(/).
4 Silesoptionsavancéessontmasquées,cliquezsurAfficherlesoptionsavancées.
5 CliquezsurAdministratif.
6 Sélectionnez«Permettrel’administrationpar»,puismodifiezlalistedescomptes
degroupeActiveDirectorydontlesmembresdoiventavoirdesautorisations
d’administrateur:
 Pourajouterungroupe,cliquezsurleboutonAjouter(+)etsaisissezlenomde
domaineActiveDirectory,unebarreobliqueinverseetlenomducomptedegroupe
(parexemple,ADS\DomainAdmins,IL2\DomainAdmins).
 Poursupprimerungroupe,sélectionnez-ledanslaliste,puiscliquezsurlebouton
Supprimer(–).
7 CliquezsurOK.
198 Chapitre8Réglagesavancésdesclientsderépertoire

Contrôledel’authentificationàpartirdetouslesdomainesdelaforêt
ActiveDirectory
SurunordinateurconfigurépourutiliserlemoduleActiveDirectorydel’Utilitairede
répertoire,vouspouvezautoriserlesutilisateursdelaforêtActiveDirectoryàs’authentifieràpartirdetouslesdomaines,ouvouspouvezlimiterl’authentificationauxutilisateursdedomainesspécifiques.
Pourcontrôlersilesutilisateurspeuvents’authentifierdepuistouslesdomainesde
laforêt:
1 Ouvrezl’UtilitairederépertoireetcliquezsurServices.
2 Sil’icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret
tapezlenometlemotdepassed’unadministrateur.
3 Danslalistedesservices,sélectionnezActiveDirectory,puiscliquezsurlebouton
Modifier(/).
4 Silesoptionsavancéessontmasquées,cliquezsurAfficherlesoptionsavancées.
5 CliquezsurAdministratif.
6 Sélectionnez«Autoriserl’authentificationdepuisn’importequeldomainedelaforêt».
Sivouscochezlacase“Autoriserl’authentificationdepuisn’importequeldomainedela
forêt”,vouspouvezajouterlaforêtActiveDirectoryauxpolitiquesderecherchepersonnaliséespourl’authentificationetlescontactsdel’ordinateur.Lorsquevousajoutezuneforêt
ActiveDirectoryàunerèglederecherchepersonnalisée,laforêtapparaîtdanslaliste
desdomainesderépertoiredisponiblessouslaforme«/ActiveDirectory/AllDomains».
(Ils’agitduréglagepardéfaut).
Sivousdésélectionnezlacase«Autoriserl’authentificationdepuisn’importequel
domainedelaforêt»,vouspouvezajouterdesdomainesActiveDirectoryauxpolitiquesderecherchepersonnaliséespourl’authentificationetlescontactsdel’ordinateur
individuellement.LorsquevousajoutezdesdomainesActiveDirectoryàunerèglede
recherchepersonnalisée,chacund’euxapparaîtséparémentdanslalistedesdomaines
derépertoiredisponibles.
7 CliquezsurOK.
8 Aprèsavoirsélectionné«Autoriserl’authentificationdepuisn’importequeldomainede
laforêt»,modifiezlarèglederecherchepersonnaliséedanslessous-fenêtresAuthentificationetContactspourinclurelaforêtActiveDirectoryoulesdomainessélectionnés.
Pourensavoirplussurlamodificationdesrèglesderecherchepersonnalisées,consultezlarubrique«Définitiondepolitiquesderecherchepersonnalisées»àlapage153.
Chapitre8Réglagesavancésdesclientsderépertoire 199

RupturedelaliaisonavecleserveurActiveDirectory
Sil’ordinateurutiliselemoduleActiveDirectorydel’Utilitairederépertoirepourselier
àunserveurActiveDirectory,vouspouvezromprecetteliaison.
Vouspouvezforcerlarupturedelaliaisonsil’ordinateurneparvientpasàcontacter
leserveurousilafiched’ordinateuraétésuppriméeduserveur.
Pourromprelaliaisondel’ordinateuravecleserveurActiveDirectory:
1 Ouvrezl’UtilitairederépertoireetcliquezsurServices.
2 Sil’icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret
tapezlenometlemotdepassed’unadministrateur.
3 Danslalistedesservices,sélectionnezActiveDirectory,puiscliquezsurlebouton
Modifier(/).
4 CliquezsurRomprelaliaison,authentifiez-vousentantqu’utilisateurdisposant
desdroitsnécessairespourrompreuneconnexionaudomaineActiveDirectory,
puiscliquezsurOK.
Siunavertissements’affichepourindiquerquelesinformationsd’authentificationne
sontpasacceptéesouquel’ordinateurneparvientpasàcontacterActiveDirectory,
cliquezsur«Forceràromprelelien»pourforcerlarupturedelaconnexion.
Sivousforcezlarupturedelaliaison,ActiveDirectorydisposeratoujoursd’unefiche
d’ordinateurpourcetordinateur.Prévenezl’administrateurActiveDirectorypourqu’il
supprimelafiched’ordinateur.
5 Danslasous-fenêtreServices,désélectionnezleréglageActiverd’ActiveDirectory,
puiscliquezsurAppliquer.
Modificationdecomptesd’utilisateuretd’autresenregistrements
dansActiveDirectory
VouspouvezutiliserGestionnairedegroupedetravailpourmodifierlescomptesd’utilisateur,lescomptesdegroupe,lesgroupesd’ordinateursetd’autresfichesdansun
domaineActiveDirectory.VouspouvezégalementutiliserGestionnairedegroupede
travailpoursupprimerdesfichesdansundomaineActiveDirectory.
SileschémaActiveDirectoryaétéétendupourinclurelestypesdefiches(classes
d’objets)etlesattributsMacOSXstandard,vouspouvezutiliserGestionnairede
groupedetravailpourcréeretmodifierdesgroupesd’ordinateursdansledomaine
ActiveDirectory.
Pourensavoirplussurl’utilisationdescomptesd’utilisateur,descomptesdegroupeet
desgroupesd’ordinateurs,consultezleguideGestiondesutilisateurs.
Pourcréerdescomptesd’utilisateuroudegroupedansundomaineActiveDirectory,
utilisezlesoutilsd’administrationActiveDirectorydeMicrosoftsurunordinateur
d’administrationserveurWindows.
200 Chapitre8Réglagesavancésdesclientsderépertoire

Configurationdel’accèsLDAPauxdomainesActiveDirectory
L’UtilitairederépertoirevouspermetdedéfiniruneconfigurationLDAPv3afind’accéderàundomaineActiveDirectorysituésurunserveurWindows.Uneconfiguration
LDAPv3vousdonneuncontrôletotalsurlemappagedestypesdefichesetdesattributsMacOSXverslesclassesd’objets,basesderechercheetattributsActiveDirectory.
Lemappagedecertainstypesdefichesetd’attributsMacOSXimportants,telsque
l’UID(identifiantd’utilisateurunique),nécessitel’extensionduschémaActiveDirectory.
LesfonctionnalitéssuivantesdumoduleActiveDirectorydel’Utilitairederépertoirene
sontpasinclusesdanslesconfigurationsLDAPv3:
 générationdynamiqued’unidentifiantd’utilisateuruniqueetd’unidentifiantde
groupeprincipal;
 créationd’undossierdedépartMacOSXlocal;
 montageautomatiqued’undossierdedépartWindows;
 comptesd’utilisateurmobilesavecmiseencachedesinformations
d’authentification;
 détectiondetouslesdomainesd’uneforêtActiveDirectory;
 priseenchargedelaréplicationetdubasculementActiveDirectory.
Pourensavoirplus,consultezlarubrique«Àproposdel’accèsàActiveDirectory»àla
page186.
PourcréeruneconfigurationdeserveurActiveDirectory:
1 Ouvrezl’UtilitairederépertoireetcliquezsurServices.
2 Sil’icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret
tapezlenometlemotdepassed’unadministrateur.
3 Danslalistedesservices,sélectionnezLDAPv3,puiscliquezsurleboutonModifier(/).
4 CliquezsurNouveauetsaisissezlenomDNSoul’adresseIPduserveurActiveDirectory.
5 Sélectionnezuneouplusieursdesoptionssuivantespourl’accèsaurépertoire,
puiscliquezsurContinuerpourquel’Utilitairederépertoireobtiennedesinformations
auprèsduserveurActiveDirectory.
 Sélectionnez«ChiffrerviaSSL»sivoussouhaitezqu’OpenDirectoryutiliseleprotocoleSSLpourlesconnexionsavecleserveurActiveDirectory.Avantdecocherlacase
SSL,demandezàvotreadministrateurOpenDirectorysileprotocoleSSLestrequis.
 Sélectionnez«Utiliserpourl’authentification»sicerépertoirecontientdescomptes
d’utilisateurquequelqu’unvautiliserpourl’ouverturedesessionoul’authentificationàdesservices.
 Cochezlacase«Utiliserpourlescontacts»sicerépertoirecontientdesadresses
électroniquesetd’autresinformationsquevoussouhaitezutiliserdansCarnet
d’adresses.
Chapitre8Réglagesavancésdesclientsderépertoire 201

Sil’UtilitairederépertoireneparvientpasàcontacterleserveurActiveDirectory,un
messages’afficheetvousdevezalorsconfigurerl’accèsmanuellementouannulerle
processusdeconfiguration.Pourensavoirplus,consultezlarubrique«Configuration
manuelledel’accèsàunrépertoireLDAP»àlapage163.
Sivousavezsélectionnél’option«Utiliserpourl’authentification»ou«Utiliserpour
lescontacts»,laconnexionLDAPv3audomaineActiveDirectoryestajoutéeàune
règlederecherchepersonnaliséedanslasous-fenêtreAuthentificationouContacts
del’Utilitairederépertoire.
Assurez-vousqueLDAPv3estactivédanslasous-fenêtreServicesafinquel’ordinateur
utiliselaconnexionquevousconfigurez.Pourensavoirplus,consultezlarubrique
«ActivationoudésactivationdesservicesderépertoiresLDAP»àlapage156.
6 Silazonededialoguesedéveloppepourafficherdesoptionsdemappage,choisissez
ActiveDirectorydanslemenulocal,saisissezlabasederecherche,puiscliquezsur
Continuer.
LemodèledemappageActiveDirectorypouruneconfigurationLDAPv3mappecertainsattributsettypesd’enregistrementsMacOSXversdesclassesd’objetsetdesattributsquinefontpaspartied’unschémaActiveDirectorystandard.Ilestpossiblede
modifierlesmappagesdéfinisparlemodèleoud’étendreleschémaActiveDirectory.
VouspouvezégalementaccéderàvotredomaineActiveDirectoryvialemoduleActive
DirectoryetnonviaLDAPv3.Pourensavoirplus,consultez«Configurationdel’accèsà
undomaineActiveDirectory».
7 Lorsquelazonededialoguesedéveloppepourafficherdesoptionsdeconnexion,
saisissezlenomdistinctifetlemotdepassed’uncompted’utilisateurActiveDirectory.
8 CliquezsurOKpourterminerlacréationdelaconnexionLDAP.
9 CliquezsurOKpourterminerlaconfigurationdesoptionsLDAPv3.
DéfinitiondesréglagesNIS
L’Utilitairederépertoirepermetdecréeruneconfigurationdéfinissantlamanièredont
MacOSXaccèdeàundomaineNIS(NetworkInformationService).
Pourcréeruneconfigurationd’accèsàundomaineNIS:
1 Ouvrezl’UtilitairederépertoireetcliquezsurServices.
2 Sil’icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret
tapezlenometlemotdepassed’unadministrateur.
3 Danslalistedesservices,sélectionnez«FichierplatBSDetNIS»,puiscliquezsur
leboutonModifier(/).
202 Chapitre8Réglagesavancésdesclientsderépertoire

4 SaisissezlenomdudomaineNIS,oulenomDNSoul’adresseIPduserveursurlequel
setrouveledomaineNIS.
Incluezlenomd’hôteoul’adresseIPduserveurNISs’ilestnécessairepourdesraisons
desécuritéousileserveurn’estpassurlemêmesous-réseauquel’ordinateurquevous
êtesentraindeconfigurer.
Sivousnespécifiezpasdeserveur,NISutiliseunprotocoleBroadcastpourdétecterun
serveurNISsurlesous-réseau.
5 Cochezlacase“UtiliserledomaineNISpourl’authentification”,puiscliquezsurOK.
LedomaineNISestajoutéàlarèglederecherched’authentificationdel’ordinateur
souslaforme/BSD/domaine,oùdomainecorrespondaunomquevousavezsaisià
l’étape4.
DéfinitiondesréglagesdefichierdeconfigurationBSD
LesordinateursUNIXstockenttraditionnellementlesdonnéesadministrativesdans
desfichiersdeconfigurationtelsque/etc/master.passwd,/etc/groupet/etc/hosts.
MacOSXestbasésuruneversionBSDd’UNIX,maisreçoitlesdonnéesadministratives
normalementdesystèmesderépertoire.
MacOSXServerprendenchargeunjeufixedefichiersdeconfigurationBSD.Vousne
pouvezpasspécifierlesfichiersdeconfigurationàutiliser,nimapperleurcontenuvers
desattributsettypesd’enregistrementsMacOSX.
DansMacOSX10.2ouultérieur(ycomprisMacOSXServer10.2ouultérieur),Open
DirectorypeutliredesdonnéesadministrativesàpartirdefichiersdeconfigurationBSD.
CettefonctionpermetauxorganisationsdisposantdefichiersdeconfigurationBSD
d’utiliserdescopiesdesfichiersexistantssurlesordinateursMacOSX.Lesfichiersde
configurationBSDpeuventêtreutilisésseulsouavecd’autresdomainesderépertoire.
PourutiliserdesfichiersdeconfigurationBSD:
1 Assurez-vousquelesfichiersdeconfigurationBSDcontiennentlesdonnéesrequises
parlesservicesderépertoireMacOSX.
Pourensavoirplus,consultezlarubrique«Configurationdedonnéesdansdesfichiers
deconfigurationBSDȈlapage204.
2 Ouvrezl’UtilitairederépertoireetcliquezsurServices.
3 Sil’icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret
tapezlenometlemotdepassed’unadministrateur.
4 Danslalistedesservices,sélectionnez«FichierplatBSDetNIS»,puiscliquezsur
leboutonModifier(/).
Chapitre8Réglagesavancésdesclientsderépertoire 203

5 Sélectionnez«UtiliserlesfichierslocauxBSD(/etc)pourl’authentification»,puiscliquez
surOK.
LedomainedesfichiersdeconfigurationBSDestajoutéàlapolitiquederecherche
d’authentificationdel’ordinateurcomme/BSD/local.
ConfigurationdedonnéesdansdesfichiersdeconfigurationBSD
Sivousvoulezqu’unordinateurMacOSXlisedesdonnéesadministrativesàpartirde
fichiersdeconfigurationBSD,cesdonnéesdoiventêtreprésentesdanscesfichierset
doiventêtreauformatrequisparMacOSX.
Vouspouvezêtreamenéàajouter,modifierouréorganiserdesdonnéesdansles
fichiers.Gestionnairedegroupedetravailnepouvantmodifierlesdonnéesdesfichiers
deconfigurationBSD,vousdevezprocéderauxmodificationsnécessairesàl’aided’un
éditeurdetexteoud’unautreoutil.
Letableausuivantrépertorielesnomsdesfichiersetdécritleurcontenu.
FichierdeconfigurationBSD
/etc/master.passwd;
/etc/group;
/etc/fstab.
/etc/hosts;
/etc/networks
/etc/services
/etc/protocols
/etc/rpcs
/etc/printcap
/etc/bootparams
/etc/bootp
/etc/aliases
/etc/netgroup
Contient
Nomsd’utilisateur,motsdepasse,identifiants,identifiantsde
groupeprincipal,etc.
Nomsdegroupe,identifiantsetmembres
MontagesNFS
Nomsetadressesd’ordinateur
Nomsetadressesderéseau
Nomsdeservice,portsetprotocoles
NomsetnumérosdesprotocolesIP
ServeursRPCOpenNetworkComputing
Nomsetfonctionnalitésd’imprimante
RéglagesBootparam
RéglagesBootp
AliasetlistesdedistributiondeMail
Nomsdegroupeetmembresàl’échelleduréseau
PourensavoirplussurlesdonnéesrequisesparlesservicesderépertoiredeMacOSX,
consultezl’annexe«DonnéesderépertoireMacOSX».
204 Chapitre8Réglagesavancésdesclientsderépertoire

9 Maintenancedesservices
OpenDirectory
9
VouspouvezcontrôlerlesservicesOpenDirectory,afficher
etmodifierlesdonnéesbrutesdesdomainesOpenDirectory
eteffectuerunesauvegardedesfichiersOpenDirectory.
Voicilesprincipalestâchesquevousaurezàeffectuerrégulièrementdanslecadrede
lagestiondesservicesOpenDirectory:
 «Contrôledel’accèsauxserveursetservicesOpenDirectory»àlapage205
 «Contrôled’OpenDirectory»àlapage209
 «Affichageetmodificationdesdonnéesderépertoire»àlapage212
 «Importationd’enregistrementsdetoustypes»àlapage217
 «Définitiondesoptionsd’unserveurOpenDirectory»àlapage217
 «GestiondelaréplicationOpenDirectory»àlapage224
 «Archivaged’unmaîtreOpenDirectory»àlapage230
 «Restaurationd’unmaîtreOpenDirectory»àlapage231
PourobtenirdesinformationssurlarésolutiondesproblèmesliésàOpenDirectory,
consultezlarubrique«RésolutiondeproblèmesliésàOpenDirectory»àlapage235.
Contrôledel’accèsauxserveursetservicesOpenDirectory
Vouspouvezcontrôlerl’accèsàunmaîtreouàunerépliqueOpenDirectoryencontrôlantquellespersonnespeuventouvrirunesessionàl’aidedelafenêtred’ouverturede
sessionoudel’outildelignedecommandessh.Pourensavoirplus,consultez:
 «Contrôledel’accèsàlafenêtred’ouverturedesessiond’unserveur»àlapage206
 «Contrôledel’accèsauserviceSSH»àlapage206
 «Configurationducontrôled’accèsàunservice»àlapage207
 «Configurationdeprivilègesdefiche»àlapage208
205

Contrôledel’accèsàlafenêtred’ouverturedesessiond’unserveur
VouspouvezutiliserAdminServeurpourcontrôlerquelsutilisateurspeuventouvrir
unesessionMacOSXServeràl’aidedelafenêtred’ouverturedesession.Lesutilisateursdisposantd’autorisationsd’administrateurdeserveursonttoujoursautorisésà
ouvrirunesessionsurleserveur.
Pourcontrôlerl’utilisationdelafenêtred’ouverturedesessionsurunserveur:
1 OuvrezAdminServeuretconnectez-vousauserveur.
2 CliquezsurRéglages,puissurAccès.
3 CliquezsurServices.
4 Sélectionnez«Pourlesservicessélectionnés»,puischoisissez«Fenêtred’ouverturede
session»danslalistedegauche.
5 Sélectionnez«Autoriserlesutilisateursetgroupesci-dessous»,puismodifiezlaliste
desutilisateursetdesgroupesquevoussouhaitezautoriseràouvrirunesessionà
l’aidedelafenêtred’ouverturedesessionduserveur:
 Ajoutezlesutilisateursougroupesquipeuventutiliserlafenêtred’ouverturedesessionencliquantsurleboutonAjouter(+)etenfournissantlesinformationsrequises.
 Supprimezdesutilisateursoudesgroupesdelalisteenensélectionnantunou
plusieurs,puisencliquantsurleboutonSupprimer(–).
6 CliquezsurEnregistrer.
Silacase«Autorisertouslesutilisateursetgroupes»estcochéelorsquevoussélectionnez«Pourlesservicessélectionnés»àl’étape4,touslesservicesàl’exceptionde
lafenêtred’ouverturedesessionserontaccessiblesàtouslesutilisateursetgroupes.
Sivoussouhaitezrestreindrel’accèsàunserviceénumérédanslalisteenplusdela
fenêtred’ouverturedesession,sélectionnez-le,cochezlacase«Autoriserlesutilisateursetgroupesci-dessous»,puisajoutezdesutilisateursetdesgroupesàlaliste.
Sivoussouhaitezquetouslesutilisateurspuissentouvrirunesessionàl’aidede
lafenêtred’ouverturedesessionduserveur,sélectionnez«Fenêtred’ouverture
desession»,puiscochezlacase«Autorisertouslesutilisateursetgroupes».
Contrôledel’accèsauserviceSSH
VouspouvezutiliserAdminServeurpourcontrôlerlesutilisateursquipeuventouvrir
uneconnexionparlalignedecommandeàMacOSXServeràl’aidedelacommande
sshdansTerminal.Lesutilisateursdisposantd’autorisationsd’administrateurdeserveursonttoujoursautorisésàseconnecteràl’aidedelacommandessh.
LacommandesshutiliseleserviceSSH(SecureShell).Pourensavoirplussurl’utilisationdelacommandessh,consultezledocumentAdministrationdelignedecommande.
206 Chapitre9MaintenancedesservicesOpenDirectory

Pourcontrôlerl’ouvertured’uneconnexionSSHàunserveurdistant:
1 OuvrezAdminServeuretconnectez-vousauserveur.
2 CliquezsurRéglages,puissurAccès.
3 CliquezsurServices.
4 Sélectionnez«Pourlesservicessélectionnés»,puischoisissezSSHdanslalistedegauche.
5 Sélectionnez«Autoriserlesutilisateursetgroupesci-dessous»,puismodifiezlaliste
desutilisateursetdesgroupesquevoussouhaitezautoriseràseconnecterauserveur
viaSSH:
 AjoutezlesutilisateursougroupesautorisésàouvrirdesconnexionsSSHencliquant
surleboutonAjouter(+)etenfournissantlesinformationsrequises.
 Supprimezdesutilisateursoudesgroupesdelalisteenensélectionnantunou
plusieurs,puisencliquantsurleboutonSupprimer(–).
6 CliquezsurEnregistrer.
Silacase«Autorisertouslesutilisateursetgroupes»estcochéelorsquevoussélectionnez«Pourlesservicessélectionnés»àl’étape4,touslesservicesàl’exceptionde
SSHserontaccessiblesàtouslesutilisateursetgroupes.
Sivoussouhaitezrestreindrel’accèsàunserviceénumérédanslalisteenplusdeSSH,
sélectionnez-le,cochezlacase«Autoriserlesutilisateursetgroupesci-dessous»,
puisajoutezdesutilisateursetdesgroupesàlaliste.
SivoussouhaitezquetouslesutilisateurspuissentouvriruneconnexionSSHavec
leserveur,sélectionnezSSH,puiscochezlacase«Autorisertouslesutilisateurset
groupes».
Configurationducontrôled’accèsàunservice
Vouspouvezconfigurerdeslistesdecontrôled’accèsàunservice(SACL)àl’aide
d’AdminServeur.LesSACLvouspermettentdespécifierquelsadministrateursont
accèsàOpenDirectory.
LesSACLoffrentuneplusgrandesouplessepourladéfinitiondesadministrateurs
autorisésàcontrôleretàgérerleservice.SeulslesutilisateursetlesgroupesquifigurentdansuneSACLontaccèsauserviceenquestion.Parexemple,sivoussouhaitez
accorderunaccèsadministrateuràdesutilisateursougroupespourleserviceOpen
Directorysurvotreserveur,vouspouvezlesajouteràlaSACLOpenDirectory.
Chapitre9MaintenancedesservicesOpenDirectory 207

Pourdéfinirdesautorisationsd’administrateurSACLpourleserviceOpenDirectory:
1 OuvrezAdminServeuretconnectez-vousauserveur.
2 CliquezsurRéglages,puissurAccès.
3 CliquezsurAdministrateurs.
4 Sélectionnezleniveauderestrictionsouhaitépourlesservices.
Pourrestreindrel’accèsàtouslesservices,sélectionnez«Pourtouslesservices».
Pourdéfinirdesautorisationsd’accèspourdesservicesindividuels,sélectionnez«Pour
lesservicessélectionnés»,puischoisissezOpenDirectorydanslalistedesservices.
5 CliquezsurleboutonAjouter(+)pourouvrirlevoletUtilisateursetgroupes.
6 FaitesglisserdesutilisateursetdesgroupesduvoletUtilisateursetgroupesverslaliste.
7 Définissezl’autorisationdesutilisateurs.
Pouraccorderunaccèsadministrateur,choisissezAdministrateurdanslemenulocal
Autorisationsituéenregarddunomd’utilisateur.
Pouraccorderunaccèsdecontrôle,choisissezSurveillerdanslemenulocalAutorisation
situéenregarddunomd’utilisateur.
8 CliquezsurEnregistrer.
Configurationdeprivilègesdefiche
Vouspouvezconfigurerdesprivilègesdeficheàl’aided’AdminServeur.Cesprivilèges
vouspermettentdespécifierlesutilisateursougroupesautorisésàadministrerles
typesdefichesetlesattributsdanslabasededonnéesdudomainederépertoire.
Pourconfigurerdesprivilègespourdestypesdefichesetdesattributs:
1 OuvrezAdminServeuretconnectez-vousauserveur.
2 Cliquezsurletrianglesetrouvantàgaucheduserveur.
Lalistedesservicesapparaît.
3 DanslalisteServeursdéveloppée,sélectionnezOpenDirectory.
4 CliquezsurRéglages,puissurAutorisations.
5 DanslalisteEnregistrement,sélectionnezlestypesdefichesetlesattributsque
lesutilisateursougroupespourrontadministrer.
Administrersignifiequel’utilisateurpeutmodifierlescaractéristiquesd’uneficheexistante.
Pourautoriserlesutilisateurssélectionnésàadministrertouteslesfiches,sélectionnez
«Pourtouteslesfiches».
Pourautoriserlesutilisateurssélectionnésàadministrerdesfichesspécifiques,
sélectionnez«Pourlesfichessélectionnées»,puischoisissezlesfichesquevos
utilisateurspourrontadministrer.
6 CliquezsurleboutonAjouter(+)pourouvrirlevoletUtilisateursetgroupes.
208 Chapitre9MaintenancedesservicesOpenDirectory

7 FaitesglisserdesutilisateursetdesgroupesduvoletUtilisateursetgroupesverslaliste.
Lesutilisateursquevousajoutezàlalisteaurontl’autorisationd’administrerlaficheen
question.
8 DanslalisteEnregistrement,sélectionnezlestypesdefichesetlesattributsque
lesutilisateursougroupespourrontcréer.
Créersignifiequel’utilisateurpourracréerletypedeficheenquestion(parexemple,
créerunesalledeconférence).
Pourautoriserlesutilisateurssélectionnésàcréertouteslesfiches,sélectionnez
«Pourtouteslesfiches».
Pourautoriserlesutilisateurssélectionnésàcréerdesfichesspécifiques,sélectionnez
«Pourlesfichessélectionnées»,puischoisissezlesfichesquevosutilisateurspourront
créer.
9 CliquezsurleboutonAjouter(+)pourouvrirlevoletUtilisateursetgroupes.
10 FaitesglisserdesutilisateursetdesgroupesduvoletUtilisateursetgroupesverslaliste.
Lesutilisateursquevousajoutezàlalisteaurontl’autorisationdecréerlaficheenquestion.
11 CliquezsurEnregistrer.
Contrôled’OpenDirectory
Vouspouvezafficherlesétatsetleshistoriquesd’OpenDirectory.Vouspouvezégalementexaminerleshistoriquesd’authentificationOpenDirectorypourychercherdes
tracesd’activitéssuspectes.
Pourobtenirdesinstructions,consultezlesrubriquessuivantes:
 «Contrôledel’étatd’unserveurOpenDirectory»àlapage210
 «Contrôledesrépliquesetdesrelaisd’unmaîtreOpenDirectory»àlapage210
 «AffichagedesétatsetdeshistoriquesOpenDirectory»àlapage211
 «Contrôledel’authentificationOpenDirectory»àlapage211
Chapitre9MaintenancedesservicesOpenDirectory 209

Contrôledel’étatd’unserveurOpenDirectory
VouspouvezcontrôlerlebonfonctionnementdumaîtreOpenDirectoryàl’aide
d’AdminServeur.
Pourcontrôlerl’étatd’unserveurOpenDirectory:
1 OuvrezAdminServeuretconnectez-vousauserveur.
2 Cliquezsurletrianglesetrouvantàgaucheduserveur.
Lalistedesservicesapparaît.
3 DanslalisteServeursdéveloppée,sélectionnezOpenDirectory.
4 CliquezsurVued’ensemble.
5 Assurez-vousquel’étatdetouslesélémentsrépertoriésdanslasous-fenêtred’aperçu
OpenDirectoryestbien«Enservice».
Sil’unoul’autredesélémentsestarrêté,cliquezsurRéactualiser(ouchoisissez
Présentation>Réactualiser).SiKerberosrestearrêté,consultezlarubrique
«SiKerberosestarrêtésurunmaîtreouunerépliqueOpenDirectory»àlapage235.
Contrôledesrépliquesetdesrelaisd’unmaîtreOpenDirectory
GrâceàAdminServeur,vouspouvezcontrôlerl’étatdelacréationderépliquesetde
laréplicationencours.
Pourcontrôlerlesrépliquesetlesrelaisd’unmaîtreOpenDirectory:
1 OuvrezAdminServeuretconnectez-vousauserveur.
2 Cliquezsurletrianglesetrouvantàgaucheduserveur.
Lalistedesservicesapparaît.
3 DanslalisteServeursdéveloppée,sélectionnezOpenDirectory.
4 CliquezsurRéglagespuissurGénéralpourafficherlalistedesrépliquesetl’étatde
chacuned’elles.
L’étatd’unenouvellerépliqueindiquesisacréationaréussi.Ensuite,l’étatindiquesi
ladernièretentativederéplicationaréussi.
210 Chapitre9MaintenancedesservicesOpenDirectory

AffichagedesétatsetdeshistoriquesOpenDirectory
VouspouvezutiliserAdminServeurpourafficherlesinformationsd’étatetleshistoriques
desservicesOpenDirectory.Leshistoriquessuivantssontdisponibles:
 Historiqueduserveurdeservicesderépertoires
 Historiquedeserreursdesservicesderépertoires
 Historiquekadmin
 Historiquekdc
 LDAPhistorique
 Historiqueduserveurduservicedemotdepasse
 Historiquedeserreursduservicedemotdepasse
 Historiquederéplicationduservicedemotdepasse
 Historiqueslapconfig
Pourvisualiserdeshistoriquesoudesétatsdeservicesderépertoires:
1 OuvrezAdminServeuretconnectez-vousauserveur.
2 Cliquezsurletrianglesetrouvantàgaucheduserveur.
Lalistedesservicesapparaît.
3 DanslalisteServeursdéveloppée,sélectionnezOpenDirectory.
4 CliquezsurVued’ensemblepourafficherlesinformationsd’état.
5 CliquezsurHistoriquesetutilisezlemenulocalAfficherpourchoisirl’historiqueque
voussouhaitezconsulter.
Lechemind’accèsaufichierd’historiqueestaffichéau-dessusdel’historique.
6 Sivouslesouhaitez,vouspouvezsaisirdutextedanslechampFiltreetappuyersur
Retourpourn’afficherqueleslignescontenantletextequevousavezsaisi.
Contrôledel’authentificationOpenDirectory
Vouspouvezutiliserleshistoriquesduservicedemotdepasse,quevouspouvezconsulteràl’aided’AdminServeur,pourcontrôlerlestentativesd’ouverturedesession
ayantéchouéetainsiidentifierlesactivitéssuspectes.
OpenDirectoryconsigneleséchecsd’authentificationdansdeshistoriques,ycompris
lesadressesIPquilesontgénérés.Réexaminezrégulièrementleshistoriquesafinde
déterminers’ilexisteungrandnombredetentativesinfructueusespourunmême
identifiantdemotdepasse,cequiindiqueraitqu’unepersonneestpeut-êtreentrain
d’essayerdedevinerdesmotsdepasse.
Chapitre9MaintenancedesservicesOpenDirectory 211

Pourafficherleshistoriquesd’authentificationOpenDirectory:
1 OuvrezAdminServeuretconnectez-vousauserveur.
2 Cliquezsurletrianglesetrouvantàgaucheduserveur.
Lalistedesservicesapparaît.
3 DanslalisteServeursdéveloppée,sélectionnezOpenDirectory.
4 CliquezsurHistoriques,puischoisissezl’historiquekdcouunhistoriqueduservicede
motdepassedanslemenulocalAfficher.
Affichageetmodificationdesdonnéesderépertoire
Vouspouvezafficheroumodifierlesdonnéesderépertoirebrutesàl’aidedel’InspecteurdansGestionnairedegroupedetravail.Àl’aidedel’Inspecteur,vouspouvezafficherlesdonnéesderépertoirequevousnepouvezpasconsulterautrementdans
Gestionnairedegroupedetravail.
L’Inspecteurvouspermetdemodifierlesdonnéesderépertoirequevousnepouvez
pasmodifierautrementdansGestionnairedegroupedetravail.Vouspouvez,par
exemple,utiliserl’Inspecteurpourmodifierlenomabrégéd’unutilisateur.
Pourensavoirplus,consultez:
 «Affichagedel’Inspecteurderépertoire»àlapage212
 «Masquagedel’inspecteurderépertoire»àlapage213
 «Définitiondecontrôlesd’accèsauxrépertoires(DAC,DirectoryAccessControls)»à
lapage213
 «Suppressiond’enregistrements»àlapage214
 «Suppressiond’utilisateursoud’ordinateursàl’aidedel’Inspecteuroudelalignede
commandeȈlapage215
 «Modificationdunomabrégéd’unutilisateur»àlapage216
Affichagedel’Inspecteurderépertoire
Vouspouvezafficherl’InspecteurdansGestionnairedegroupedetravailensélectionnantuneoptiondanslesPréférencesdeGestionnairedegroupedetravail.Vouspouvezensuiteaccéderàl’Inspecteurpourvisualiseroumodifierdesdonnéesde
répertoirebrutes.
AVERTISSEMENT:lamodificationdedonnéesderépertoirebrutespeutavoirdes
conséquencesimprévisiblesetindésirables.Vouspourriezinvolontairement
désactiverunutilisateurouunordinateur,ouautoriserlesutilisateursàaccéderà
unnombreplusélevéderessourcesqueprévu.
212 Chapitre9MaintenancedesservicesOpenDirectory

Pourafficherl’Inspecteur:
1 OuvrezGestionnairedegroupedetravail.
2 ChoisissezGestionnairedegroupedetravail>Préférences.
3 Sélectionnez“Afficherl’inspecteuretl’ongletTouteslesfiches”,puiscliquezsurOK.
4 Pourafficherlesattributsd’utilisateur,degroupe,d’ordinateuroudegrouped’ordinateurs,cliquezsurleboutonUtilisateurs,Groupe,OrdinateurouGrouped’ordinateurs,
puissurInspecteur(àdroite).
5 Pourafficherd’autrestypesdefiches,cliquezsurleboutonTouteslesfichesenregard
duboutonGrouped’ordinateurs,puischoisissezuntypedefichedanslemenulocal
situéenhautdelaliste.
Lemenulocalaffichetouslestypesd’enregistrementstandardquiexistentdansle
domainederépertoire.VouspouvezégalementchoisirNatifdanslemenulocal,puis
saisirlenomd’unefiched’originedanslechampquiapparaîtsouslemenulocal.La
listeaffichetouteslesfiches,ycomprislesfichesprédéfinies,dutypedefichesélectionné.
Masquagedel’inspecteurderépertoire
Sil’InspecteurestvisibledansGestionnairedegroupedetravail,vouspouvezlemasquer
enmodifiantuneoptiondanslesPréférencesdeGestionnairedegroupedetravail.
Pourmasquerl’Inspecteur:
1 OuvrezGestionnairedegroupedetravail.
2 ChoisissezGestionnairedegroupedetravail>Préférences.
3 Désélectionnez“Afficherl’inspecteuretl’ongletTouteslesfiches”,puiscliquezsurOK.
Définitiondecontrôlesd’accèsauxrépertoires(DAC,Directory
AccessControls)
OpenDirectorypermetdedéfinirdescontrôlesd’accèsauxrépertoires(DAC)pour
touteslespartiesdel’annuaireLDAP;vouspouvezainsispécifierquelsutilisateurs
sontautorisésàapporterdesmodificationsetcequ’ilssontautorisésàmodifier.
OpenDirectorystockelescontrôlesd’accèsauxrépertoiresdansuneficheapple-acl
quevouspouvezmodifieràl’aidedel’InspecteurdeGestionnairedegroupedetravail.
Pourmodifierlescontrôlesd’accèsauxrépertoires:
1 OuvrezGestionnairedegroupedetravailetaffichezl’Inspecteurs’ilestmasqué.
Pourensavoirplus,consultezlarubrique«Affichagedel’Inspecteurderépertoire»àla
page212.
2 Ouvrezledomainederépertoirepourlequelvoussouhaitezdéfinirdescontrôles
d’accèsetauthentifiez-vouscommeadministrateurdudomaine.
Pourouvrirundomainederépertoire,cliquezsurl’icônedeglobeau-dessusdelaliste
desutilisateurs,puischoisissezundomainedanslemenulocal.
Chapitre9MaintenancedesservicesOpenDirectory 213

3 CliquezsurleboutonTouteslesfiches(enregardduboutonGrouped’ordinateurs),
puischoisissezAccessControlsdanslemenulocalsituéenhautdelaliste.
4 Sélectionnez«pardéfaut»danslalistedesfiches.
5 SélectionnezAccessControlEntrydanslalistedesattributs;siuntriangleestvisible
enregardd’AccessControlEntry,cliquezdessuspouraffichertouteslesentréesde
contrôled’accès.
6 SélectionnezAccessControlEntry,puiscliquezsurModifierpourchangerlavaleurou
cliquezsurNouvellevaleurpourajouterunevaleurAccessControlEntry.
Vouspouvezaussidouble-cliquersurunevaleurpourlamodifier.
7 CliquezsurEnregistrer.
Suppressiond’enregistrements
Vouspouvezutiliserl’InspecteurdeGestionnairedegroupedetravailpoursupprimer
unefiche.
AVERTISSEMENT:aprèsavoirutilisél’Inspecteurpoursupprimerunefiched’utilisateur
oud’ordinateur,utilisezlesoutilsdelignedecommandepoursupprimerl’identité
Kerberosetlelogementdeserveurdemotsdepassecorrespondants.Sivous
conservezuneidentitéKerberosouunlogementdeserveurdemotsdepasseaprès
avoirsupprimélafichecorrespondante,desconflitspeuventseproduire
ultérieurementlorsdelacréationd’unefiched’utilisateuroud’ordinateur.
AVERTISSEMENT:lasuppressiond’enregistrementspeutprovoquerun
comportementdésordonnéduserveurousonarrêt.Nesupprimezunefichequesi
vousêtessûrqu’ellen’estpasrequisepourlebonfonctionnementduserveur.
Poursupprimerdesenregistrementsavecl’Inspecteur:
1 OuvrezGestionnairedegroupedetravailetaffichezl’Inspecteurs’ilestmasqué.
Pourensavoirplus,consultezlarubrique«Affichagedel’Inspecteurderépertoire»àla
page212.
2 Ouvrezledomainederépertoiredanslequelvoussouhaitezsupprimerunefiche,
puisauthentifiez-vousentantqu’administrateurdudomaine.
Pourouvrirundomainederépertoire,cliquezsurl’icônedeglobeau-dessusdelaliste
desutilisateurs,puischoisissezundomainedanslemenulocal.
3 CliquezsurleboutonTouteslesfiches(enregardduboutonGrouped’ordinateurs),
puischoisissezuntypedefichedanslemenulocalsituéenhautdelaliste.
4 Sélectionnezlaoulesfichesàsupprimerdanslalistedesfiches.
5 CliquezsurSupprimer(ouchoisissezServeur>Supprimerlesfichessélectionnées).
214 Chapitre9MaintenancedesservicesOpenDirectory

Suppressiond’utilisateursoud’ordinateursàl’aidedel’Inspecteurou
delalignedecommande
Sivousutilisezl’InspecteurdansGestionnairedegroupedetravailoulesoutilsdeligne
decommandedansTerminalpoursupprimerunefiched’utilisateuroud’ordinateur
dontl’attributAuthenticationAuthorityinclutunevaleurKerberosoudeserveurde
motsdepasse,vousdevezsupprimerl’identitéKerberosetlelogementdeserveurde
motsdepassecorrespondants.
SivousconservezuneidentitéKerberosdanslecentrededistributiondeclésKerberos
ouunlogementdeserveurdemotsdepasseaprèsavoirsupprimélafichecorrespondante,desconflitspeuventseproduireultérieurementlorsdelacréationd’unefiche
d’utilisateuroud’ordinateur.
Sil’attributAuthenticationAuthorityinclutunevaleurcommençantpar;Kerberosv5;,
utilisezlacommandedelete_principaldel’outildelignedecommandekadmin.local
dansTerminalpoursupprimerl’identitéKerberoscorrespondanteducentrededistributiondeclésKerberos.Pourensavoirplus,consultezlapagemandekadmin.local.
Sil’attributAuthenticationAuthorityinclutunevaleurcommençantpar;ApplePasswordServer;,utilisezlacommande-deleteslotdel’outildelignedecommande
mkpassdbdansTerminalpoursupprimerlelogementdeserveurdemotsdepassec
orrespondant.Pourensavoirplus,consultezlapagemandemkpassdb.
Sivoussupprimezuncompted’utilisateurdansGestionnairedegroupedetravailencliquantsurleboutonUtilisateur(etnonsurleboutonTouteslesfiches)situéàgauche,
ensélectionnantlecompted’utilisateur,puisencliquantsurSupprimerdanslabarre
d’outilsdeGestionnairedegroupedetravail(ouenchoisissantServeur>Supprimer
l’utilisateursélectionné),Gestionnairedegroupedetravailsupprimeautomatiquement
lelogementdeserveurdemotsdepasseetl’identitéKerberosducompted’utilisateur.
Demême,sivoussupprimezunefiched’ordinateurenlasélectionnantdansungroupe
d’ordinateurspuisencliquantsurleboutonSupprimer(–),Gestionnairedegroupede
travailsupprimeautomatiquementlelogementdeserveurdemotsdepasseetl’identitéKerberosducompted’utilisateur.
Chapitre9MaintenancedesservicesOpenDirectory 215

Modificationdunomabrégéd’unutilisateur
Pourmodifierlepremiernomabrégéd’unutilisateur,vouspouvezutiliserl’outilde
lignedecommandeldapmodrdndansTerminal.Touslesnomsabrégésàl’exception
dupremierpeuventêtremodifiésdanslasous-fenêtreÉlémentairesd’unefenêtre
d’utilisateurGestionnairedegroupedetravail.
AVERTISSEMENT:lamodificationdunomabrégéd’unutilisateurpeutavoirdes
conséquencesinattenduesetindésirables.D’autresservicesutilisentlenomabrégé
desutilisateurspourlesidentifierdemanièreuniqueetpersistante.
Ainsi,lamodificationdupremiernomabrégéd’unutilisateurn’affectepaslenom
desondossierdedépart.L’utilisateurdisposedumêmedossierdedépart(bienque
lenomdecederniernecorrespondeplusaunouveaunomabrégédel’utilisateur)
saufs’ilaccèdeàsondossierdedépartentantquemembred’ungroupe.
L’exemplesuivantexpliquecommentmodifierlenomabrégéd’uncompted’utilisateur
àl’aidedeldapmodrdn:
$ ldapmodrdn -U adminrép n -Y "cram-md5" -W -r "uid=anciennomabrégé,
cn=utilisateurs,dc=exemple,dc=com" "uid=nouveaunomabrégé"
CetexemplesupposequevousutilisiezTerminalsurleserveurmaîtreOpenDirectory
ouquevousayezétabliuneconnexionSSHauserveurmaîtreOpenDirectoryàl’aide
deTerminalsurunautreordinateur.
Danscetexemple,vousdevezremplaceradminrépparlenomd’unadministrateurde
répertoire,anciennomabrégéparlenomabrégéàmodifieretnouveaunomabrégépar
lenouveaunomabrégé.
Vousdevezégalementremplacerdc=exemple,dc=comparlesuffixedebasederechercheduserveur.LesuffixedebasederechercheduserveurestindiquédanslasousfenêtrederéglagesProtocolesduserviceOpenDirectorydansAdminServeur.
Sivousutilisez ldapmodrdnpourmodifierlepremiernomabrégéd’unefiched’utilisateurcontenantplusieursnomsabrégés,lesecondnomabrégédelafichedevient
lepremieretlenouveaunomabrégé,ledernier.
Pourréorganiserlesnomsabrégés,utilisezl’outildelignedecommandeldapmodify.
Pourensavoirplus,consultezlapagemandeldapmodify.
216 Chapitre9MaintenancedesservicesOpenDirectory

Importationd’enregistrementsdetoustypes
Gestionnairedegroupedetravailpeutimportertouslestypesd’enregistrementsdans
lerépertoireLDAPd’unmaîtreOpenDirectory.Celacouvrelesutilisateurs,lesgroupes,
lesgroupesd’ordinateurs,lesordinateursettouslesautrestypesdefichesMacOSX
standard.
Important:sivousimportezdesfichesd’utilisateuroudegroupedepuisunfichier
exportéparMacOSXServer10.3ouantérieur,chaqueficheimportéesevoitattribuer
unidentifiantglobalunique(GUID).
PourvousassurerquelesGUIDetleurrelationavecdesutilisateursetgroupesspécifiquesrestentinchangés(encasderéimportationdesmêmesutilisateursetgroupes),
créezunfichierd’exportationàl’aidedeGestionnairedegroupedetravaildans
MacOSXServer10.5.Utilisezlefichierd’exportationdelaversion10.5aulieudecelui
crééàl’aidedelaversionantérieureduserveur.
Pourobtenirunelistedestypesd’enregistrementsetdesattributsquipeuventêtre
importés,consultezlefichiersuivant:
/Système/Bibliothèque/Frameworks/DirectoryService.framework/Headers/DirServicesConst.h
Pourobtenirdesinformationssurlestypesdefichesetlesattributslespluscourants,
consultezlarubrique«typesd’enregistrementsetattributsOpenDirectorystandard»
àlapage293.
Pourensavoirplussurl’exportationd’utilisateursetdegroupesàl’aidedeGestionnaire
degroupedetravailetsurl’importationdefichesdetouttype,consultezledocument
Gestiondesutilisateurs.
Définitiondesoptionsd’unserveurOpenDirectory
Vouspouvezdéfinirdespolitiquesdeliaison,desécuritéetdemotdepassepourun
maîtreOpenDirectoryetsesrépliques.Vouspouvezaussidéfinirplusieursoptions
LDAPpourunmaîtreouunerépliqueOpenDirectory.Pourensavoirplus,consultez
cequisuit:
 «Configurationd’unepolitiquedeliaisonpourunserveurOpenDirectory»àlapage218
 «Configurationd’unrèglementdesécuritépourunserveurOpenDirectory»àla
page219
 «Changementdepolitiquedemotdepasseglobale»àlapage129
 «Modificationdel’emplacementd’unebasededonnéesLDAP»àlapage220
 «LimitationdesrésultatsdelarecherchepourleserviceLDAP»àlapage221
 «DéfinitiondudélaiderechercheautorisépourleserviceLDAP»àlapage221
 «ConfigurationdeSSLpourleserviceLDAP»àlapage222
 «Créationd’uneconfigurationSSLpersonnaliséepourLDAP»àlapage222
Chapitre9MaintenancedesservicesOpenDirectory 217

Configurationd’unepolitiquedeliaisonpourunserveurOpenDirectory
Àl’aided’AdminServeur,vouspouvezconfigurerunmaîtreOpenDirectorypourqu’il
autoriseouexigeuneliaisonsécuriséeentrel’annuaireLDAPetlesordinateursquiy
accèdent.Lesrépliquesd’unmaîtreOpenDirectoryhéritentautomatiquementdesa
politiquedeliaison.
UneliaisonLDAPsécuriséeestauthentifiéemutuellement.L’ordinateurprouveson
identitéenutilisantlenometlemotdepassed’unadministrateurdurépertoireLDAP
pours’authentifierauprèsdurépertoireLDAP.L’annuaireLDAPprouvesonauthenticité
aumoyend’unefiched’ordinateurauthentifiéquiestcrééedanslerépertoirelorsque
vousconfigurezlaliaisonsécurisée.
LesclientsnepeuventpasêtreconfiguréspourutiliseràlafoislaliaisonLDAPsécurisée
etunserveurLDAPfourniparleDHCP(connuaussisouslenomd’optionDHCP95).
LaliaisonLDAPsécuriséeestenréalitéuneliaisonstatique,alorsqueleLDAPfournile
DHCPestuneliaisondynamique.Pourensavoirplus,consultezlarubrique«Activation
oudésactivationd’unrépertoireLDAPfourniviaDHCP»àlapage158.
Remarque:pourpouvoirutiliserlaliaisonLDAPsécurisée,lesclientsontbesoinde
laversion10.4ouultérieuredeMacOSXouMacOSXServer.Lesclientssous10.3ou
antérieurnepeuventpasconfigurerdeliaisonsécurisée.
PourconfigurerlapolitiquedeliaisonpourunmaîtreOpenDirectory:
1 OuvrezAdminServeuretconnectez-vousauserveurmaîtreOpenDirectory.
2 Cliquezsurletrianglesetrouvantàgaucheduserveur.
Lalistedesservicesapparaît.
3 DanslalisteServeursdéveloppée,sélectionnezOpenDirectory.
4 CliquezsurRéglages,puissurRèglement.
5 CliquezsurLiaison,puisdéfinissezlesoptionsdeliaisonderépertoiresouhaitées.
 Pourautoriserlaliaisonsécurisée,sélectionnez«Activerlaliaisonderépertoire
authentifiée».
 Pourexigerlaliaisonsécurisée,sélectionnezégalement«Requiertuneliaison
authentifiéeentrel’annuaireetlesclients».
6 CliquezsurEnregistrer.
Important:sivousactivezlesoptions«Cryptertouslespaquets(requiertSSLou
Kerberos)»et«Activerlaliaisonderépertoireauthentifiée»,assurez-vousquevos
utilisateursutilisentl’uneoul’autrepourlaliaison,maispaslesdeux.
218 Chapitre9MaintenancedesservicesOpenDirectory

Configurationd’unrèglementdesécuritépourunserveur
OpenDirectory
Àl’aided’AdminServeur,vouspouvezconfigurerunepolitiquedesécuritépouraccéder
aurépertoireLDAPd’unmaîtreOpenDirectory.
LesrépliquesdumaîtreOpenDirectoryhéritentautomatiquementdesonrèglement
desécurité.
Remarque:sivousmodifiezlerèglementdesécuritédel’annuaireLDAPd’unmaître
OpenDirectory,vousdevezdéconnecterpuisreconnecter(romprepuisrétablirlaliaison
de)chaqueordinateurconnecté(lié)àcetannuaireLDAP.Utilisezl’Utilitairederépertoirecommedécritdans«Suppressiond’uneconnexionàunserveurderépertoire»àla
page142et«Ajoutd’uneconnexionàunserveurOpenDirectory»àlapage142.
PourconfigurerlapolitiquedesécuritépourunmaîtreOpenDirectory:
1 OuvrezAdminServeuretconnectez-vousauserveurmaîtreOpenDirectory.
2 Cliquezsurletrianglesetrouvantàgaucheduserveur.
Lalistedesservicesapparaît.
3 DanslalisteServeursdéveloppée,sélectionnezOpenDirectory.
4 CliquezsurRéglages,puissurRèglement.
5 CliquezsurLiaison,puisdéfinissezlesoptionsdesécuritésouhaitées:
 «Désactiverlesmotsdepasseenclair»déterminesilesclientspeuventenvoyer
lesmotsdepasseenclairsilesmotsdepassenepeuventpasêtrevalidésàl’aide
d’uneméthoded’authentificationquienvoiedesmotsdepassecryptés.Pourensavoir
plus,consultezlesrubriques«Sélectiondeméthodesd’authentificationpourdesutilisateursdemotsdepasseshadow»àlapage132et«Sélectiondeméthodesd’authentificationpourdesutilisateursdemotsdepasseOpenDirectory»àlapage133.
 «Signertouslespaquetsnumériquement(requiertKerberos)»permetdes’assurerquelesdonnéesderépertoireprovenantduserveurLDAPneserontpasinterceptéesetmodifiéesparunautreordinateurpendantleurtransitverslesordinateurs
clients.
 «Cryptertouslespaquets(requiertSSLouKerberos)»obligeleserveurLDAPà
crypterlesdonnéesderépertoireàl’aideduprotocoleSSLoudeKerberosavantde
lesenvoyerauxordinateursclients.
 «Bloquerlesattaques«Man-in-the-Middle»(requiertKerberos)»empêcheunserveurmalveillantdesefairepasserpourleserveurLDAP.Plusefficaceavecl’option
“Signertouslespaquetsnumériquement”.
 «Désactiverlamiseencacheduclient»empêchelesordinateursclientsdemettre
encachelesdonnéesLDAPenlocal.
 «Autoriserlesutilisateursàmodifierleursinformationsdecontactpersonnelles»
autoriselesutilisateursàmodifierleursinformationsdecontactsurleserveurLDAP.
Chapitre9MaintenancedesservicesOpenDirectory 219

6 CliquezsurEnregistrer.
Important:sivousactivezlesoptions«Cryptertouslespaquets(requiertSSLou
Kerberos)»et«Activerlaliaisonderépertoireauthentifiée»,assurez-vousquevos
utilisateursutilisentl’uneoul’autrepourlaliaison,maispaslesdeux.
Enfonctiondesréglagesdéfinisici,lesoptionsdesécuritépeuventaussiêtreconfiguréessurlesdifférentsclientsd’unmaîtreoud’unerépliqueOpenDirectory.Sivous
sélectionnezuneoptionici,ellenepourrapasêtredésélectionnéepourunclient.Pour
ensavoirplussurlaconfigurationdecesoptionssurunclient,consultezlarubrique
«ModificationdelapolitiquedesécuritépouruneconnexionLDAP»àlapage171.
Modificationdel’emplacementd’unebasededonnéesLDAP
Àl’aided’AdminServeur,vouspouvezspécifierl’emplacementdudisquedelabasede
donnéesquistockelesfichesd’utilisateuretd’autresinformationsdansundomainede
répertoireLDAPd’unmaîtreoud’unerépliqueOpenDirectory.Labasededonnées
LDAPestgénéralementsituéesurlevolumededémarrage,maisellepeutsetrouver
surunautrevolumelocal.
Remarque:pourdesraisonsdesécurité,lesbasesdedonnéesquicontiennentles
informationsd’authentificationpourOpenDirectoryetKerberossonttoujoursplacées
surlevolumededémarrage,quelquesoitl’emplacementdelabasededonnéesLDAP.
Pourmodifierl’emplacementd’unebasededonnéesLDAP:
1 OuvrezAdminServeuretconnectez-vousaumaîtreouàunerépliqueOpenDirectory.
2 Cliquezsurletrianglesetrouvantàgaucheduserveur.
Lalistedesservicesapparaît.
3 DanslalisteServeursdéveloppée,sélectionnezOpenDirectory.
4 CliquezsurRéglages,puissurLDAP.
5 ChoisissezRéglagesLDAPdanslemenulocalConfigurer,puisspécifiezlechemin
d’accèsaudossierdanslequelvousvoulezplacerlabasededonnéesLDAP.
Vouspouvezsaisirlechemind’accèsàundossierdanslechampBasededonnéesou
sélectionnerl’emplacementd’undossierencliquantsurChoisirpuisennaviguant
jusqu’àl’emplacementdanslequelvousvoulezplacerledossier.
6 CliquezsurEnregistrer.
220 Chapitre9MaintenancedesservicesOpenDirectory

LimitationdesrésultatsdelarecherchepourleserviceLDAP
AdminServeurvouspermetd’empêcheruntyped’attaqueparsaturationsur
leMacOSXServerenlimitantlenombrederésultatsderechercherenvoyés
parledomainederépertoireLDAPpartagéduserveur.Celaempêcheunutilisateur
malveillantdebloquerleserveurenluienvoyantdesrequêtesderecherchesLDAP
multiplesetcomplexes.
PourlimiterlesrésultatsdelarechercheLDAP:
1 OuvrezAdminServeuretconnectez-vousaumaîtreouàunerépliqueOpenDirectory.
2 Cliquezsurletrianglesetrouvantàgaucheduserveur.
Lalistedesservicesapparaît.
3 DanslalisteServeursdéveloppée,sélectionnezOpenDirectory.
4 CliquezsurRéglages,puissurLDAP.
5 ChoisissezRéglagesLDAPdanslemenulocalConfigurer,puissaisissezlenombremaximumderésultatsderechercheàrenvoyerdanslechamp«Renvoyerunmaximumde
__résultatsdelarecherche».
6 CliquezsurEnregistrer.
DéfinitiondudélaiderechercheautorisépourleserviceLDAP
Àl’aided’AdminServeur,vouspouvezempêcheruntyped’attaqueparsaturationsur
leserveurMacOSXServerenlimitantletempsallouéauserveurpoureffectuerune
recherchesursondomainederépertoireLDAPpartagé.
Celaempêcheunutilisateurmalveillantdebloquerleserveurenluienvoyantune
requêtederechercheLDAPexceptionnellementcomplexe.
PourdéfinirundélaiderecherchepourleserviceLDAP:
1 OuvrezAdminServeuretconnectez-vousaumaîtreouàunerépliqueOpenDirectory.
2 Cliquezsurletrianglesetrouvantàgaucheduserveur.
Lalistedesservicesapparaît.
3 DanslalisteServeursdéveloppée,sélectionnezOpenDirectory.
4 CliquezsurRéglages,puissurLDAP.
5 ChoisissezRéglagesLDAPdanslemenulocalConfigurer,puisdéfinissezundélaide
recherchedanslechamp«Larechercheexpiredans__».
Définissezledélaiàl’aidedumenulocal.
6 CliquezsurEnregistrer.
Chapitre9MaintenancedesservicesOpenDirectory 221

Pourobtenirdesinformationsdétailléessurladéfinition,l’obtentionetl’installation
decertificatssurvotreserveur,consultezledocumentConfigurationdelasécuritéde
MacOSXServer.
LescommunicationsSSLpourLDAPutilisentleport636.SiSSLestdésactivépour
leserviceLDAP,lescommunicationssontenvoyéesenclairsurleport389.
PourconfigurerdescommunicationsSSLpourleserviceLDAP:
1 OuvrezAdminServeuretconnectez-vousaumaîtreouàunerépliqueOpenDirectory.
2 Cliquezsurletrianglesetrouvantàgaucheduserveur.
Lalistedesservicesapparaît.
ConfigurationdeSSLpourleserviceLDAP
Àl’aided’AdminServeur,vouspouvezactiverSecureSocketsLayer(SSL)pourlescommunicationscryptéesentreundomainederépertoireLDAPd’unserveurOpenDirectoryetlesordinateursquiyaccèdent.SSLutilisedescertificatsnumériquespour
fourniruneidentitécertifiéepourleserveur.Vouspouvezutiliseruncertificatautosignéouuncertificatprovenantd’uneautoritédecertification.
3 DanslalisteServeursdéveloppée,sélectionnezOpenDirectory.
4 CliquezsurRéglages,puissurLDAP.
5 ChoisissezRéglagesLDAPdanslemenulocalConfigurer,puissélectionnezActiverSSL.
6 UtilisezlemenulocalCertificatpourchoisirlecertificatSSLquevoussouhaitezvoir
utiliserparleserviceLDAP.
LemenudresselalistetouslescertificatsSSLquisontinstalléssurleserveur.Pourutiliseruncertificatquinefigurepasdanslaliste,choisissezConfigurationpersonnalisée
danslemenulocal.
7 CliquezsurEnregistrer.
Créationd’uneconfigurationSSLpersonnaliséepourLDAP
SSLutilisedescertificatsnumériquespourfourniruneidentitécertifiéepourleserveur.
VouspouvezutiliserdescertificatsnumériquespersonnaliséspourconfigurerleprotocoleSSLpourvotreenvironnementréseau.Lesétapessuivantesexpliquentcomment
créerdescertificatspersonnalisésàl’aidedelalignedecommandeetfournissentdes
instructionspourlesimplémenterdansAdminServeur.
PourcréeruncertificatpourleserviceOpenDirectory:
1 Générezunecléprivéepourleserveurdansledossier/usr/share/certs/:
Siledossier/usr/share/certsn’existepas,créez-le.
$ sudo openssl genrsa -out ldapserver.key 2048
222 Chapitre9MaintenancedesservicesOpenDirectory

2 Générezunedemandedesignaturedecertificat(CSR)pourlasignaturedel’autoritéde
certificat(AC):
$ sudo openssl req -new -key ldapserver.key -out ldapserver.csr
3 Renseignezleschampssuivantsenétantaussiexhaustifquepossible,envousassurant
quelechampNomcommuncorrespondexactementaunomdedomaineduserveur
LDAPetenlaissantleschampsréservésaumotdepasseChallengeetaunomde
sociétéfacultatifvierges:
Pays :
Unité d’organisation :
Région/Province :
Nom commun :
Localité (ville) :
Adresse électronique :
Nom de l’organisation :
4 Signezlademandeldapserver.csràl’aidedelacommandeopenssl.
$ sudo openssl ca -in ldapserver.csr -out ldapserver.crt
5 Lorsquevousyêtesinvité,saisissezlaphrasecléACpourpoursuivreetterminer
leprocessus.
LesfichiersdecertificatrequispouractiverleprotocoleSSLsurleserveurLDAP
setrouventdésormaisdansledossier/usr/share/certs/.
6 OuvrezAdminServeuretconnectez-vousaumaîtreouàunerépliqueOpenDirectory.
7 Cliquezsurletrianglesetrouvantàgaucheduserveur.
Lalistedesservicesapparaît.
8 DanslalisteServeursdéveloppée,sélectionnezOpenDirectory.
9 CliquezsurRéglages,puissurLDAP.
10 ChoisissezRéglagesLDAPdanslemenulocalConfigurer.
11 Sélectionnez«ActiverSSL(SecureSocketsLayer)».
12 UtilisezlemenulocalCertificatpourchoisirlecertificatSSLquevoussouhaitezvoir
utiliserparleserviceLDAP.
LemenudresselalistetouslescertificatsSSLquisontinstalléssurleserveur.Pourutiliseruncertificatquinefigurepasdanslaliste,choisissezConfigurationpersonnalisée
danslemenulocal.
13 CliquezsurEnregistrer.
Chapitre9MaintenancedesservicesOpenDirectory 223

GestiondelaréplicationOpenDirectory
VouspouvezplanifierlaréplicationOpenDirectoryourépliqueràlademande,
promouvoirunerépliqueenmaîtreoumettreunerépliquehorsservice.
Pourensavoirplus,consultez:
 «Planificationdelaréplicationd’unmaîtreOpenDirectoryoud’uncontrôleurde
domaineprincipal(PDC)Ȉlapage224
 «Synchronisationd’unerépliqueOpenDirectoryoud’uncontrôleurdedomaine
secondaireàlademande»àlapage225
 «Conversiond’unerépliqueOpenDirectoryenunrelais»àlapage226
 «Promotiond’unerépliqueOpenDirectory»àlapage226
 «Misehorsserviced’unerépliqueOpenDirectory»àlapage229
Planificationdelaréplicationd’unmaîtreOpenDirectoryou
d’uncontrôleurdedomaineprincipal(PDC)
Àl’aided’AdminServeur,vouspouvezspécifierlafréquenceàlaquellelemaîtreOpen
Directorymetàjoursesrépliquesenyintégrantlesmodificationsapportéesauxrépertoiresetauxinformationsd’authentification.Lemaîtrepeutmettreàjourlesrépliques
dèsqu’unemodificationalieudanssondomainederépertoireouenfonctiond’un
calendrierquevousdéfinissez.
LaprocédureestlamêmesivousconfigurezvotreserveurMacOSXServerentantque
contrôleurdedomaineprincipal(PDC).Vousdéfinissezlecalendrierderéplicationdu
contrôleurdedomaineprincipalverslecontrôleurdedomainesecondaire(BDC)en
planifiantlaréplicationd’OpenDirectory.
PourdéfinirlafréquenceàlaquelleunmaîtreOpenDirectoryouuncontrôleurde
domaineprincipalmetàjoursesrépliquesousescontrôleursdedomainesecondaires:
1 OuvrezAdminServeuretconnectez-vousaumaîtreOpenDirectoryouauserveurdu
contrôleurdedomaineprincipal.
2 Cliquezsurletrianglesetrouvantàgaucheduserveur.
Lalistedesservicesapparaît.
3 DanslalisteServeursdéveloppée,sélectionnezOpenDirectory.
4 CliquezsurRéglages,puissurGénéral.
224 Chapitre9MaintenancedesservicesOpenDirectory

5 Spécifiezunefréquencederéplication:
 «Répliquerverslesclientschaquefoisquelerépertoireestmodifié»:gardeles
répliquesàjourentempsréel,maisaugmentelachargesurleréseau.Peutaffecter
lesperformancesdumaîtresiunerépliqueestconnectéeviauneliaisonréseau
lente.
 «Répliquerverslesclientstous/toutesles__»:permetdeplanifierdesmisesà
jourmoinsfréquentes(enspécifiantunintervallepluslong).Lesmisesàjourmoins
fréquentesprésententl’inconvénientdegénérerdesrépliquesmoinsexactesmais
offrentl’avantagederéduirelenombredeconnexionsréseauentrelemaîtreetses
répliques.Ladiminutiondunombredeconnexionspeuts’avérersouhaitablesiles
répliquesnefontpastoutespartiedumêmeréseaulocalquelemaître.
6 CliquezsurEnregistrer.
Synchronisationd’unerépliqueOpenDirectoryoud’uncontrôleurde
domainesecondaireàlademande
Bienqu’unmaîtreOpenDirectoryouuncontrôleurdedomaineprincipalsynchronise
automatiquementsesdonnéesderépertoireetd’authentificationaveclesrépliquesou
lescontrôleursdedomainesecondairesenregistrés,vouspouvezutiliserAdminServeur
poursynchroniserlesdonnéesavecunerépliqueouuncontrôleurdedomainesecondairesélectionnéàlademande.
PoursynchroniserunerépliqueOpenDirectoryouuncontrôleurdedomaine
secondaireàlademande:
1 OuvrezAdminServeuretconnectez-vousaumaîtreOpenDirectoryouauserveurdu
contrôleurdedomaineprincipal.
2 Cliquezsurletrianglesetrouvantàgaucheduserveur.
Lalistedesservicesapparaît.
3 DanslalisteServeursdéveloppée,sélectionnezOpenDirectory.
4 CliquezsurRéglages,puissurGénéral.
5 Sélectionnezunerépliqueouuncontrôleurdedomainesecondairedanslaliste,
puiscliquezsurRépliquer.
Chapitre9MaintenancedesservicesOpenDirectory 225

Conversiond’unerépliqueOpenDirectoryenunrelais
Ilyapeudedifférencesentreunrelaisetuneréplique.Lesdeuxcontiennentunecopie
enlectureseuledudomainederépertoireLDAPdumaîtreOpenDirectory,ainsiqu’une
copieenlectureetécritureduserveurdemotsdepasseOpenDirectoryetducentre
dedistributiondeclés(KDC)Kerberos.
Unrelaisestunerépliquedirected’unmaîtreOpenDirectoryetpossèdesespropres
répliques.
VouspouvezconvertirunerépliqueOpenDirectoryenrelaissilesconditionssuivantes
sontréunies:
 LarépliquedoitêtreunerépliquedirectedumaîtreOpenDirectory(premierniveau).
 Larépliquedoitavoirsespropresrépliques(jusqu’à32répliquesprisesencharge).
Pourensavoirplussurlesrelais,consultez«Réplicationencascade»àlapage72.
Promotiond’unerépliqueOpenDirectory
SiunmaîtreOpenDirectorytombeenpanneetquevousnepouvezpaslerécupérer
àpartird’unecopiedesauvegarde,vouspouveztransformerunerépliqueenmaître.
Lenouveaumaître(répliquepromue)utiliselerépertoireetlesbasesdedonnées
d’authentificationdelaréplique.
Unefoislatransformationeffectuée,vousdevezconvertirtouteslesautresrépliques
del’ancienmaîtreenservicesderépertoireautonomes,puisenfairedesrépliquesdu
nouveaumaître.
Important:n’utilisezcetteprocédurequepourremplacerunmaîtreOpenDirectory
parsaréplique.PourconserverlemaîtreOpenDirectoryenserviceetfairedesarépliqueunautremaître,n’utilisezpascetteprocédure.Mettezplutôtlerépliquehorsservice,puistransformez-laenmaîtrecommedécritdanslesrubriques«Misehorsservice
d’unerépliqueOpenDirectory»àlapage229et«Configurationd’unmaîtreOpen
DirectoryȈlapage95.
PourpromouvoirunerépliqueOpenDirectory:
1 OuvrezAdminServeuretconnectez-vousauserveurdelarépliquequevoussouhaitez
convertirenmaître.
2 Cliquezsurletrianglesetrouvantàgaucheduserveur.
Lalistedesservicesapparaît.
3 DanslalisteServeursdéveloppée,sélectionnezOpenDirectory.
4 CliquezsurRéglages,puissurGénéral.
5 CliquezsurModifier.
L’Assistantdeconfigurationdeservices’ouvre.
6 SélectionnezMaîtreOpenDirectory,puiscliquezsurContinuer.
226 Chapitre9MaintenancedesservicesOpenDirectory

7 Saisissezlesinformationsd’administrateurdedomainemaîtresuivantes,puiscliquez
surContinuer.
 Nom,nomabrégé,identifiantd’utilisateur,motdepasse:vousdevezcréerun
compted’utilisateurpourl’administrateurprincipaldel’annuaireLDAP.Cecompte
n’estpasunecopieducompted’administrateurdansledomainederépertoirelocal
duserveur.Utilisezpourl’administrateurdel’annuaireLDAPdesnomsetunidentifiantd’utilisateurdifférentsdesnomsetdesidentifiantsd’utilisateurdescomptes
d’utilisateurquifigurentdansledomainederépertoirelocal.
Remarque:sivousenvisagezdeconnectervotremaîtreOpenDirectoryàd’autres
domainesderépertoire,choisissezunnometunidentifiantd’utilisateuruniquespour
chaquedomaine.N’utilisezpasl’identifiantd’utilisateurdiradminsuggéré.Utilisezun
nomvouspermettantd’identifierfacilementledomainederépertoirequel’administrateurderépertoirecontrôle.
8 Saisissezlesinformationsdedomainemaîtresuivantes,puiscliquezsurContinuer.
 RoyaumeKerberos:cechampestdéfinipardéfautsurlenomDNSduserveur,
convertienlettresmajuscules.Ils’agitd’uneconventionpournommerlesroyaumes
Kerberos.Vouspouvezsaisirunautrenom,sinécessaire.
 Basederecherche:cechampestpréréglésurunsuffixedebasederecherchepour
lenouveaurépertoireLDAP,dérivédelapartieréservéeaudomainedunomDNSdu
serveur.Vouspouvezsaisirunautresuffixedebasederechercheoulaissezlechamp
vide.Sivouslaissezcechampvide,lesuffixedebasederecherchepardéfautde
l’annuaireLDAPserautilisé.
9 Vérifiezlesréglages,puiscliquezsurFermer.
Vosréglagessontalorsenregistrésetleserviceestredémarré.
10 DansAdminServeur,connectez-vousàuneautrerépliquedel’ancienmaître.
11 Cliquezsurletrianglesetrouvantàgaucheduserveur.
Lalistedesservicesapparaît.
12 DanslalisteServeursdéveloppée,sélectionnezOpenDirectory.
13 CliquezsurRéglages,puissurGénéral.
14 CliquezsurModifier.
L’Assistantdeconfigurationdeservices’ouvre.
15 ChoisissezAutonome,puiscliquezsurContinuer.
16 VérifiezlaconfigurationOpenDirectory,puiscliquezsurContinuer.
17 Sivousêtessûrquelesutilisateursetlesservicesn’ontplusbesoind’accéderauxdonnéesderépertoireenregistréesdansledomainederépertoirepartagéqueleserveur
hébergeaitouauquelilétaitconnecté,cliquezsurFermer.
Vosréglagessontalorsenregistrésetleserviceestredémarré.
Chapitre9MaintenancedesservicesOpenDirectory 227

18 CliquezsurModifier.
L’Assistantdeconfigurationdeservices’ouvre.
19 ChoisissezRépliqueOpenDirectory,puiscliquezsurContinuer.
20 Saisissezlesinformationssuivantes:
 «AdresseIPounomDNSdumaîtreOpenDirectory»:saisissezl’adresseIPou
lenomDNSduserveurjouantlerôledemaîtreOpenDirectory.
 «MotdepasserootsurlemaîtreOpenDirectory»:saisissezlemotdepassede
l’utilisateurrootdusystèmemaîtreOpenDirectory(nomd’utilisateurdel’administrateursystème).
 «Nomabrégédel’administrateurdedomaine»:saisissezlenomd’uncompte
d’administrateurdedomainederépertoireLDAP.
 «Motdepassedel’administrateurdedomaine»:saisissezlemotdepassedu
compted’administrateurdontvousavezsaisilenom.
21 CliquezsurContinuer.
22 VérifiezlesréglagesdelaconfigurationOpenDirectory,puiscliquezsurContinuer.
23 CliquezsurFermer.
Vosréglagessontalorsenregistrésetleserviceestredémarré.
24 Répétezlesétapes14à23pourchaquerépliquedel’ancienmaître.
25 Assurez-vousqueladate,l’heureetlefuseauhorairesontexactssurlesrépliquesetsur
lemaître.
Lesrépliquesetlemaîtredoiventutiliserlemêmeserviced’horlogederéseaupour
queleurshorlogesrestentsynchronisées.
Sid’autresordinateursétaientconnectésàl’annuaireLDAPdel’ancienmaîtreOpen
Directory,vousdevezreconfigurerleurconnexionpourqu’ilsutilisentl’annuaireLDAP
dunouveaumaître.
ChaqueordinateurMacOSXetMacOSXServerdisposantd’unerèglederecherche
personnaliséequicontenaitl’annuaireLDAPdel’ancienmaîtredoitêtrereconfiguré
pourseconnecteràl’annuaireLDAPdunouveaumaître.Utilisezlessous-fenêtresServicesetAuthentificationdel’Utilitairederépertoire.
Pourensavoirplus,reportez-vousauxrubriques«Suppressiond’uneconfiguration
pourl’accèsàunrépertoireLDAP»àlapage169et«Configurationdel’accèsàun
répertoireLDAP»àlapage160.
SileserviceDHCPfournissaitl’URLLDAPdel’ancienmaîtreauxordinateursdisposant
derèglesderechercheautomatique,vousdevezreconfigurerleserviceDHCPpour
qu’ilfournissel’URLLDAPdunouveaumaître.
228 Chapitre9MaintenancedesservicesOpenDirectory

LesordinateursMacOSXetMacOSXServerdisposantderèglesderechercheautomatiquen’ontpasbesoind’êtrereconfigurés.LeserviceDHCPmisàjourleurfournira
labonneURLLDAPlorsdeleurprochaindémarrage.
Pourensavoirplus,consultezlechapitreDHCPdudocumentAdministrationdesservices
deréseau.
Misehorsserviced’unerépliqueOpenDirectory
Vouspouvezmettreleserveurd’unerépliqueOpenDirectoryhorsserviceenletransformantenserveurautonomeouenleconnectantàunautresystèmepourlesservicesderépertoireetd’authentification.
PourmettrehorsserviceunerépliqueOpenDirectory:
1 VérifiezquelaconnexionréseaufonctionneentrelemaîtreOpenDirectoryet
larépliqueàmettrehorsservice.
Leport389ou636doitêtreouvertentrelemaîtreetlarépliquependantlamisehors
servicedelaréplique.LDAPutiliseleport389siSSLestdésactivéouleport636siSSL
estactivésurlemaître.(Leport22,utilisépourSSH,nedoitpasêtreouvertpourmettrehorsserviceuneréplique).
Important:sivousmettezunerépliquehorsservicealorsqu’iln’yapasdeconnectivitéréseauentrelarépliqueetlemaître,larépliquemisehorsserviceresteradansla
listederépliquesdumaître.Lemaîtretenteradeserépliquerverslarépliquemise
horsservicespécifiéedanslasous-fenêtrederéglagesGénéralpourleserviceOpen
Directorysurleserveurmaître.
2 DansAdminServeur,connectez-vousàlarépliqueàmettrehorsservice.
3 Cliquezsurletrianglesetrouvantàgaucheduserveur.
Lalistedesservicesapparaît.
4 DanslalisteServeursdéveloppée,sélectionnezOpenDirectory.
5 CliquezsurRéglages,puissurGénéral.
6 CliquezsurModifier.
L’Assistantdeconfigurationdeservices’ouvre.
7 ChoisissezAutonomeou«Connectéàunsystèmederépertoire»,puissaisissez
lesinformationssuivantes.
 «MotdepasserootsurlemaîtreOpenDirectory»:saisissezlemotdepassede
l’utilisateurrootdusystèmemaîtreOpenDirectory(nomd’utilisateurdel’administrateursystème).
 «Nomabrégédel’administrateurdedomaine»:saisissezlenomd’uncompte
d’administrateurdedomainederépertoireLDAP.
 «Motdepassedel’administrateurdedomaine»:saisissezlemotdepassedu
compted’administrateurdontvousavezsaisilenom.
Chapitre9MaintenancedesservicesOpenDirectory 229

8 CliquezsurContinuer.
9 VérifiezlaconfigurationOpenDirectory,puiscliquezsurContinuer.
10 Sivousêtessûrquelesutilisateursetlesservicesn’ontplusbesoind’accéderauxdonnéesderépertoireenregistréesdansledomainederépertoirepartagéqueleserveur
hébergeaitouauquelilétaitconnecté,cliquezsurFermer.
Vosréglagessontalorsenregistrésetleserviceestredémarré.
Ensupposantqu’ilyaituneconnexionréseauentrelemaîtreOpenDirectoryet
laréplique,lemaîtreestmisàjourpourneplusseconnecteràlaréplique.
11 Sivousavezchoisi«Connectéàunsystèmederépertoire»danslemenulocalRôle,
cliquezsurlebouton«OuvrirUtilitairederépertoire»pourconfigurerl’accèsàunou
plusieurssystèmesderépertoire.
Pourensavoirplussurlaconfigurationdel’accèsàunservicederépertoire,consultez
lechapitre7,«Gestiondesclientsderépertoire.»
Archivaged’unmaîtreOpenDirectory
VouspouvezutiliserAdminServeurpourarchiverunecopiededonnéesderépertoire
etd’authentificationd’unmaîtreOpenDirectory.Vouspouvezarchiverunecopiedes
donnéespendantquelemaîtreOpenDirectoryestenservice.
Lesfichierssuivantssontarchivés:
 BasededonnéesderépertoiresetfichiersdeconfigurationLDAP
 BasededonnéesduserveurdemotsdepasseOpenDirectory
 BasededonnéesetfichiersdeconfigurationKerberos
 DomainederépertoirelocaletbasededonnéesdemotsdepasseShadow
Sivousdisposezd’unearchivefiabled’unmaîtreOpenDirectory,vousdisposezde
faitd’unearchivedetoutessesrépliques.Encasdeproblèmeavecuneréplique,
vouspouvezmodifiersonrôleOpenDirectorypourlatransformerenserveurautonome,
puisconfigurercederniercommes’ils’agissaitd’unnouveauserveur,avecunnouveau
nomd’hôte,etledéfinircommerépliquedumêmemaîtrecommeauparavant.
Important:protégezsoigneusementlesupportd’archivagecontenantunecopiede
labasededonnéesdemotsdepasseOpenDirectory,delabasededonnéesKerberos
etdufichierkeytabdeKerberos.Cettearchivecontientlesmotsdepassedetousles
utilisateursquipossèdentunmotdepasseOpenDirectory,tantdansledomainede
répertoireLDAPpartagéquedansledomainederépertoirelocal.Lesmesuresdesécuritéquevousprenezpourlesupportd’archivagedoiventêtreaussistrictesquecelles
prisespourleserveurmaîtreOpenDirectory.
230 Chapitre9MaintenancedesservicesOpenDirectory

PourarchiverunmaîtreOpenDirectory:
1 OuvrezAdminServeuretconnectez-vousauserveurmaîtreOpenDirectory.
2 Cliquezsurletrianglesetrouvantàgaucheduserveur.
Lalistedesservicesapparaît.
3 DanslalisteServeursdéveloppée,sélectionnezOpenDirectory.
4 CliquezsurArchive.
5 DanslechampArchiverdans,saisissezlechemind’accèsaudossierdanslequelvous
souhaitezarchiverlesdonnéesOpenDirectory,puiscliquezsurleboutonArchiver.
Vouspouveztaperlechemind’accèsaudossieroucliquersurleboutonChoisirpour
lesélectionner.
6 Saisissezlenometlemotdepasseàutiliserpourcrypterl’archive,puiscliquezsurOK.
Restaurationd’unmaîtreOpenDirectory
VouspouvezutiliserAdminServeuroul’outildelignedecommandeslapconfigpour
restaurerlesdonnéesderépertoireetd’authentificationd’unmaîtreOpenDirectoryà
partird’unearchive.
SivousutilisezAdminServeur,vouspouvezrestaurerlesdonnéessurunserveurjouant
lerôledemaîtreOpenDirectory.Lesfichierssuivantssontrestaurésenfusionnant
l’archiveaveclemaîtreexistant:
 BasededonnéesderépertoiresetfichiersdeconfigurationLDAP
 BasededonnéesduserveurdemotsdepasseOpenDirectory
 BasededonnéesetfichiersdeconfigurationKerberos
Encasdeconflitpendantlafusion,laficheexistanteprimesurlesdonnéesdel’archive.
Lafichedel’archiveestignorée.Lesconflitssontconsignésdanslefichierd’historique
slapconfig(/Bibliothèque/Logs/slapconfig.log),quevouspouvezvisionneràl’aide
d’AdminServeur.Consultezlarubrique«AffichagedesétatsetdeshistoriquesOpen
DirectoryȈlapage211.
Important:sivousavezunearchived’unserveurOpenDirectoryMacOSX10.4,
vousnepouvezquelarestaurersurunserveurMacOSX10.5.Vousnepouvezpas
fusionnerunearchiveMacOSX10.4avecunserveurOpenDirectoryMacOSX10.5.
PlutôtquederestaurerunmaîtreOpenDirectoryàpartird’unearchive,vouspouvez
obtenirdemeilleursrésultatsentransformantunerépliqueenmaître.Ilsepeuten
effetquelarépliqueaitdesdonnéesderépertoireetd’authentificationplusrécentes
quel’archive.
AprèsavoirrestauréunmaîtreOpenDirectoryàpartird’unearchive,vousdevez
recréerlesrépliquesOpenDirectory.
Chapitre9MaintenancedesservicesOpenDirectory 231

Important:ilnefautpasutiliserlarestaurationd’unearchivecommeunmoyen
deporterdesdonnéesderépertoireetd’authentificationd’unsystèmeàunautre.
Exportezplutôtlesdonnéesdurépertoiresourceetimportez-lesdanslerépertoire
cible.Pourensavoirplussurl’exportationetl’importationdedonnéesderépertoire,
consultezledocumentGestiondesutilisateurs.
PourfusionnerunearchiveavecunmaîtreOpenDirectoryexistant:
1 OuvrezAdminServeuretconnectez-vousauserveurmaîtreOpenDirectory.
LeserveurcibledoitporterlemêmenomderoyaumeKerberosquelemaîtreàpartir
duquell’archiveaétécréée.
2 Cliquezsurletrianglesetrouvantàgaucheduserveur.
Lalistedesservicesapparaît.
3 DanslalisteServeursdéveloppée,sélectionnezOpenDirectory.
4 CliquezsurArchive.
5 Danslechamp«Restaurationàpartirdu»,saisissezlechemind’accèsaufichierde
l’archiveOpenDirectory,puiscliquezsurleboutonRestaurer.
Vouspouveztaperlechemind’accèsoucliquersurleboutonChoisirpoursélectionner
lefichierdel’archive.
6 Saisissezlemotdepassequiaétéutilisépourcrypterl’archivelorsqu’elleaétécréée,
puiscliquezsurOK.
7 Unefoislarestaurationterminée,consultezl’historiquedel’outilslapconfigpourvérifiersidesconflitsoud’autresévénementssesontproduitspendantl’opération.
8 ConvertisseztouslesserveursderépliqueOpenDirectoryenserveursOpenDirectory
autonomes,puisfaites-endesrépliquesdunouveaumaître.
Pourensavoirplus,consultezlesrubriques«Configurationd’unservicederépertoire
autonome»àlapage94et«Configurationd’unerépliqueOpenDirectory»àlapage102.
Àpartirdelalignedecommande
Aulieud’effectuerlarestaurationsurunserveurjouantlerôledemaîtreOpenDirectory,vouspouvezl’effectuersurunserveurautonomeàl’aidedel’outildelignede
commandeslapconfig.LeserveurdevientalorsunmaîtreOpenDirectorycontenant
lesdonnéesderépertoireetd’authentificationprovenantdel’archive.
LesdonnéesrestauréesincluentlesfichiersLDAP,Kerberosetdeserveurdemotsde
passementionnésplushaut,ainsiqueledomainederépertoirelocaletlesfichiersde
motdepasseShadowassociés.
Enoutre,slapconfig conservelecompted’utilisateurlocalquevousutilisiezdans
lafenêtred’ouverturedesession.Aprèslarestauration,lemaîtrecontientlesfichesde
compted’utilisateurprovenantdel’archive,ainsiquelecomptequevousutilisiezdans
lafenêtred’ouverturedesession.
232 Chapitre9MaintenancedesservicesOpenDirectory

Sil’archivecontientuncompted’utilisateurentrantenconflitavecceluiquevousutilisiezdanslafenêtred’ouverturedesession,lecomptefigurantdansl’archiveestignoré.
AVERTISSEMENT:sivouseffectuezunerestaurationsurunserveurautonome,
lesfichesderépertoireetlesdonnéesd’authentificationpré-existantesnesontpas
conservées,àl’exceptionducompted’utilisateurquevousutilisiezdanslafenêtre
d’ouverturedesession.
Pourremplacerlesdonnéesderépertoireetd’authentificationsurunserveurautonome
parlesdonnéesd’unearchiveOpenDirectory,tapezlacommandesuivantedansTerminal,
enremplaçantchemin-archive parlechemind’accèsaufichierdel’archive:
$ sudo slapconfig -restoredb chemin-archive
Lacommandeslapconfigrequiertdesprivilègesroot,d’oùl’utilisationdesudodans
cettelignedecommande.Pourensavoirplussurslapconfig,consultezsapageman.
Pourensavoirplussursudoetlesprivilègesroot,consultezAdministrationdeligne
decommande.
Chapitre9MaintenancedesservicesOpenDirectory 233

10 Résolutiondeproblèmesliésà
OpenDirectory
10
Leprésentchapitrefournitdessolutionspermettantde
résoudredesproblèmescommunsquevouspourriez
rencontrerlorsdel’utilisationd’OpenDirectory.
LaprésentesectioncontientdessolutionsauxproblèmescourantsliésàOpenDirectory.
Résolutiondeproblèmesliésauxmaîtresetauxrépliques
OpenDirectory
Utilisezl’aidesuivantepourrésoudredesproblèmesliésauxmaîtresetauxrépliques
OpenDirectory.
SiKerberosestarrêtésurunmaîtreouunerépliqueOpenDirectory
UnmaîtreOpenDirectoryrequiertunDNSconfigurécorrectementpourfournirune
authentificationKerberosparsignatureunique.
PourvérifierqueleDNSestconfigurécorrectementpourKerberos:
1 Assurez-vousqueleserviceDNSestconfigurépourrésoudrelesnomsDNScompletset
fournirlesrecherchesinversescorrespondantes.
LeserviceDNSdoitrésoudredesnomsDNScompletsetfournirlesrecherchesinverses
auserveurmaîtreOpenDirectory,auxserveursrépliquesetauxautresserveursqui
sontmembresduroyaumeKerberos.
PourfaireunerechercheDNSd’unnomDNSd’unserveuretunerechercheinversede
l’adresseIPduserveur,vouspouvezutiliserlasous-fenêtreRecherched’Utilitairede
réseau(dans/Applications/Utilitaires/).
PourensavoirplussurlaconfigurationduserviceDNS,consultezleguideAdministration
desservicesderéseau.
2 Assurez-vousquelenomd’hôteduserveurmaîtreOpenDirectoryestbienlenomDNS
completcorrect,etnonlenomd’hôtelocalduserveur.
Parexemple,lenomd’hôtepourraitêtreods.exemple.com,maisnepeutpasêtre
ods.local.
235

Vouspouvezvoirlenomd’hôteenouvrantTerminaletentapanthostname.
Silenomd’hôteduserveurOpenDirectoryn’estpassonnomDNScomplet,effacez
temporairementlalistedesserveursDNSetcliquezsurAppliquerdanslespréférences
RéseauduserveurOpenDirectory.SaisissezensuiteànouveauuneouplusieursadressesIPdeserveurDNS,encommençantparleserveurDNSprincipalquirésoutlenom
duserveurOpenDirectory,puisencliquantsurAppliquerdanslespréférencesRéseau.
Silenomd’hôteduserveurOpenDirectoryn’esttoujourspassonnomDNScomplet,
redémarrezleserveur.
3 Assurez-vousquelespréférencesRéseauduserveurmaîtreOpenDirectorysont
configuréespourutiliserleserveurDNSquirésoutlenomduserveur.
SileserveurmaîtreOpenDirectoryfournitsonpropreserviceDNS,lespréférences
Réseauduserveurdoiventêtreconfiguréespours’utiliserlui-mêmecommeserveurDNS.
4 AprèsvousêtreassuréquelaconfigurationDNSpourleserveurestcorrecte,
démarrezKerberos.
Consultezlarubrique«DémarragedeKerberosaprèslaconfigurationd’unmaître
OpenDirectoryȈlapage116.
SivousnepouvezpascréerunerépliqueOpenDirectory
Sivousessayezdecréerdeuxrépliquessimultanément,unetentativevaréussir,l’autre
vaéchouer.Unenouvelletentativedecréationdelaseconderépliquedevraitréussir.Si
vousnepouveztoujourspascréerlaseconderéplique,allezdansledossier/var/run/,
localisezlefichierslapconfig.locketsupprimez-les’ilexiste.Vouspouvezaussiredémarrerleserveur.
SivousnepouvezpascréerunmaîtreouunerépliqueOpenDirectory
àpartird’unfichierdeconfiguration
VousnepouvezpasfairedeMacOSXServerunmaîtreOpenDirectoryouunerépliqueOpenDirectoryenfaisantglisserunfichierdeconfigurationdelistesdepropriétés
verslasous-fenêtreRéglagesOpenDirectorydansAdminServeur.Suivezplutôtlesinstructionsdelarubrique«Configurationd’unmaîtreOpenDirectory»àlapage95ou
«Configurationd’unerépliqueOpenDirectory»àlapage102.
Pourcréerunfichierdeconfigurationdelistesdepropriétés,faitesglisserlafenêtre
miniatureducoininférieurdroitdelasous-fenêtreRéglagesdansServerAdmin.
Sivousnepouvezpasconnecterunerépliqueàunrelais
Assurez-vousquevotrerépliquen’apasatteintsacapacitémaximalede32répliques.
Assurez-vousaussiquevousnevousconnectezpasàunerépliquedesecondniveau
aulieud’unrelaisdepremierniveau.
236 Chapitre10RésolutiondeproblèmesliésàOpenDirectory

SivousnepouvezpasconnecterunerépliqueOpenDirectoryàun
OpenDirectoryquiestlesubordonnéd’unserveurActiveDirectory
AvantdetenterdetransformerleserveurenrépliqueduserveurOpenDirectorysubordonné,n’oubliezded’abordconnecterleserveuraumêmeserveurActiveDirectory
queleserveurmaîtreOpenDirectoryauquelvoustentezdevousconnecter.VosrépliquesdoiventavoiraccèsauserveurActiveDirectorypourqueKerberosfonctionne.
Résolutiondeproblèmesdesconnexionàdesrépertoires
Lesproblèmesd’accèsauxservicesderépertoirelorsdudémarragepeuventavoir
plusieurscauses.
Siunralentissementseproduitlorsdudémarrage
Siunralentissementseproduitunralentissementseproduitaudémarragede
MacOSXoudeMacOSXServeralorsqu’unmessagerelatifàLDAPouauxservices
derépertoireapparaîtau-dessusdelabarredeprogression,ilsepeutquel’ordinateur
tented’accéderàunrépertoireLDAPquin’estpasdisponiblesurvotreréseau.Tenez
comptedespointssuivants:
 Unepauseestnormaleaucoursdudémarragesiunordinateurportablen’estpas
connectéauréseauauquelleserveurLDAPestconnecté.
 UtilisezUtilitairederépertoirepourvousassurerquelesconfigurationsdedomaine
derépertoirelocaletLDAPsontcorrectes.
 UtilisezletableauRéseaudesPréférencesSystèmepourvousassurerquelaconfigurationréseaudel’ordinateuretlesautresparamètresderéseausontcorrects.
 Examinezleréseauphysiquepourdétecterd’éventuelsproblèmesdeconnexion.
Résolutiondesproblèmesd’authentification
Utilisezcequisuitpourvousaideràrésoudredesproblèmesd’authentification.
SivousnepouvezpasmodifierlemotdepasseOpenDirectoryd’un
utilisateur
PourmodifierlemotdepassedetypeOpenDirectoryd’unutilisateur,vousdevezêtre
unadministrateurdudomainederépertoiredanslequellafichedel’utilisateurréside.
Deplus,lecomptedevotreutilisateurdoitprésenterunmotdepassedetypeOpen
Directory.
Normalement,lecompted’utilisateurspécifiélorsdelaconfigurationdumaîtreOpen
Directory(àl’aided’AssistantduserveuroudesréglagesdeservicesOpenDirectory
dansAdminServeur)êtredotéd’unmotdepasseOpenDirectory.Vouspouvezutiliser
cecomptepourconfigurerd’autrescomptesd’utilisateurentantqu’administrateursde
domainederépertoireavecdesmotsdepasseOpenDirectory.
Chapitre10RésolutiondeproblèmesliésàOpenDirectory 237

Sitoutleresteéchoue,utilisezlecompted’utilisateurrootpourconfigureruncompte
d’utilisateurentantqu’administrateurderépertoireavecunmotdepasseOpenDirectory.(Lenomducompted’utilisateurrootest«root»etlemotdepasseestgénéralementlemêmequelemotdepasseattribuéaucompted’administrateurcréépendant
laconfigurationinitialeduserveur.)
Sicelarésoutleproblème,celasignifiequelemotdepasseprécédentdel’utilisateur
contenaitdescaractèresquin’étaientpasreconnuspartouslesservices.Parexemple,
certainsservicesacceptentlesespacesdanslesmotsdepasse,d’autrespas.
Siunutilisateurneparvientpasàs’authentifierpourleserviceVPN
Lesutilisateurs,dontlescomptessontstockéssurunserveursousMacOSXServer10.2
nepeuventpass’authentifierpourleserviceVPNfourniparMacOSXServer10.3–10.5.
LeserviceVPNrequiertlaméthoded’authentificationMS-CHAPv2,quin’estpasprise
enchargeparMacOSXServer10.2.
Siunutilisateurnepeutpasaccéderàcertainsservices
Siunutilisateurpeutaccéderàcertainsservicesquirequièrentuneauthentification,
maispasàd’autres,essayezdechangertemporairementlemotdepassedel’utilisateurenunesuitedecaractèressimples,comme,parexemple,«mdp».
Pourpermettreauxutilisateursconcernésd’ouvrirunesession,transférezleurscomptesd’utilisateursurunserveursousMacOSXServer10.3–10.5.UneautresolutionconsisteàmettreàniveaulesanciensserveursàMacOSXServer10.5ouultérieur.
Sivousnepouvezpaschangerletypedemotdepassed’unutilisateurentypeOpenDirectory
Pourmodifierletypedemotdepassed’unutilisateurenauthentificationOpenDirectory,vousdevezêtreunadministrateurdudomainederépertoiresurlequellafichede
l’utilisateurréside.Deplus,lecomptedevotreutilisateurdoitêtreconfigurépour
l’authentificationOpenDirectory.
Lecompted’utilisateurspécifiélorsdelaconfigurationdumaîtreOpenDirectory(à
l’aided’AssistantduserveuroudesréglagesdeservicesOpenDirectorydansAdmin
Serveur)possèdeunmotdepasseOpenDirectory.Vouspouvezutilisercecompte
pourconfigurerd’autrescomptesd’utilisateurentantqu’administrateursdedomaine
derépertoireavecdesmotsdepasseOpenDirectory.
238 Chapitre10RésolutiondeproblèmesliésàOpenDirectory

Silesutilisateursexploitantunserveurdemotsdepassenepeuvent
pasouvrirdesession
SivotreréseaucontientunserveursousMacOSXServer10.2,ilpeutêtreconfiguré
pourobtenirl’authentificationd’unserveurdemotsdepasseOpenDirectoryhébergé
parunautreserveur.
Sil’ordinateurduserveurdemotsdepasseestdéconnectéduréseau,parexemple
parcequevousavezdébranchélacâbleduportEthernetdel’ordinateur,lesutilisateursdontlesmotsdepassesontvalidésàl’aideduServeurdemotsdepassene
peuventpasouvrirdesessionparcequel’adresseIPn’estpasaccessible.
LesutilisateurspeuventouvrirunesessionàMacOSXServersivousreconnectezau
réseaul’ordinateurduserveurdemotsdepasse.Pendantquel’ordinateurduserveur
demotsdepasseesthorsligne,lesutilisateurspeuventaussiouvrirunesessionavec
descomptesd’utilisateurdontlemotdepasseestdetypecryptéouShadow.
Silesutilisateursnepeuventpasouvrirdesessionsousuncompte
issud’undomainederépertoirepartagé
Lesutilisateursnepeuventpasouvrirdesessionsousuncompteissud’undomainede
répertoirepartagésileserveurhébergeantl’annuairen’estpasaccessible.Unserveur
peutdevenirinaccessibleenraisond’unproblèmederéseau,dulogicieloudumatérielduserveur.
Lesproblèmesliésaumatérielouaulogicielduserveuraffectentlesutilisateursqui
tententd’ouvrirunesessionsurdesordinateursMacOSXetlesutilisateursquitentent
d’ouvrirunesessionsurundomaineWindowsd’unPDCMacOSXServer.Lesproblèmesderéseaupeuventaffecterseulementcertainsutilisateurs,selonlalocalisationdu
problèmesurleréseau.
Lesutilisateursquidisposentdecomptesd’utilisateurmobilespeuventtoujoursouvrir
unesessionsurlesordinateursMacOSXqu’ilsontutiliséauparavantetlesutilisateurs
affectésparcesproblèmespeuventouvrirunesessionàl’aided’uncompted’utilisateurlocaldéfinisurl’ordinateur,comme,parexemple,lecompted’utilisateurcréé
pendantlaconfigurationinitiale,aprèsl’installationdeMacOSX.
Sivousnepouvezpasouvrirunesessioncommeutilisateur
ActiveDirectory
AprèsavoirconfiguréuneconnexionversundomaineActiveDirectorydanslasousfenêtreServicedeUtilitairederépertoireetaprèsl’avoirajoutéàunepolitiquede
recherchepersonnaliséedanslasous-fenêtreAuthentification,vousdevezattendre10
ou15secondespourquelechangemententreenvigueur.Lestentativesd’ouverture
desessionimmédiatesavecuncompteActiveDirectoryéchoueront.
Chapitre10RésolutiondeproblèmesliésàOpenDirectory 239

Sidesutilisateursnepeuventpass’authentifierparKerberoset
lasignatureunique
Encasd’échecdel’authentificationd’unutilisateuroud’unserviceutilisantKerberos,
essayezlessolutionssuivantes:
 L’authentificationKerberosestbaséesurdeshorodatagescryptés.S’ilexisteunécart
deplusde5minutesentrelecentrededistributiondeclés,l’ordinateurclientet
l’ordinateurduservice,l’authentificationpeutéchouer.Assurez-vousqueleshorlogesdetouslesordinateurssontsynchroniséesàl’aideduserviceNetworkTime
Protocol(NTP)etMacOSXServeroudetoutautreserveurhorlogederéseau.
PourensavoirplussurleserviceNTPdeMacOSXServer,consultezlasection
Administrationdesservicesderéseau.
 Assurez-vousqueKerberosestexécutésurlemaîtreOpenDirectoryetlesrépliques.
Consultezlarubrique«SiKerberosestarrêtésurunmaîtreouunerépliqueOpen
DirectoryȈlapage235.
 SiunserveurKerberosservantàlavalidationdemotdepasseestindisponible,
réinitialisezlemotdepassedel’utilisateurafinderecouriràunserveurdisponible.
 Assurez-vousqueleserveurfournissantleservicekerbérisédisposed’unaccèsau
domainederépertoireduserveurKerberosetquecedomainederépertoirecontientlescomptesdesutilisateursquitententdes’authentifieràl’aidedeKerberos.
Pourensavoirplussurlaconfigurationdel’accèsàdesdomainesderépertoire,
consultezlechapitre7,«Gestiondesclientsderépertoire».
 PourunroyaumeKerberosd’unserveurOpenDirectory,assurez-vousquel’ordinateurduclientestconfigurépouraccéderaurépertoireLDAPduserveurOpenDirectoryàl’aidedubonsuffixedebasederecherche.Leréglagedusuffixedebasede
rechercheLDAPv3duclientdoitcorrespondreauréglagedebasederecherchedu
répertoireLDAP.LesuffixedebasederechercheLDAPv3duclientpeutêtrevides’il
reçoitsesmappagesLDAPduserveur.Sic’estlecas,leclientutiliselesuffixedebase
derecherchepardéfautdurépertoireLDAP.
 Pourvérifierleréglageenmatièredesuffixedebasederecherche,ouvrezUtilitairederépertoire,affichezlalistedesconfigurationsLDAPv3etchoisissezl’élémentdanslemenulocalMappagesLDAPquiestdéjàsélectionnédanslemenu.
Pourensavoirplus,consultezlarubrique«Modificationd’uneconfigurationpour
l’accèsàunrépertoireLDAP»àlapage165.
 PourcontrôlerlesréglagesdebasederecherchedurépertoireLDAP,ouvrezAdmin
ServeuretrecherchezleserviceOpenDirectorydanslasous-fenêtreProtocolede
lasous-fenêtreRéglages.
 Pourobtenirdesinformationspouvantvousaideràrésoudredesproblèmes,
consultezl’historiqueducentrededistributiondeclés.Consultezlarubrique
«AffichagedesétatsetdeshistoriquesOpenDirectory»àlapage211.
240 Chapitre10RésolutiondeproblèmesliésàOpenDirectory

 SiKerberosnetournaitpasquandlesenregistrementsd’utilisateurontétécréés,
importésoumisàjouràpartird’uneversiondeMacOSXplusancienne,ilsepeut
qu’ilsnesoientpasactivéspourl’authentificationKerberos:
 Unenregistrementn’estpasactivépourKerbeross’ilmanquelavaleur
;Kerberosv5;àsonattributd’autoritéd’authentification.Utilisezl’Inspecteurde
Gestionnairedegroupedetravailpourvoirlesvaleursd’unattributd’autorité
d’authentificationd’unenregistrementd’utilisateur.Pourensavoirplus,consultez
larubrique«Affichagedel’Inspecteurderépertoire»àlapage212.
 ActivezKerberospourunenregistrementd’utilisateurenchangeantsontypede
motdepasse.Réglezd’abordletypedemotdepassesurMotdepassecrypté,
puisréglez-lesurOpenDirectory.Pourensavoirplus,consultezlesrubriques
«ChangementdutypedemotenMotdepassecrypté»àlapage127et«Choix
dutypedemotdepasseOpenDirectoryȈlapage125.
 Sidesutilisateursnepeuventpass’authentifieràl’aidedelasignatureuniqueoude
KerberospourdesservicesfournisparunserveurconnectéàunroyaumeKerberos
d’unmaîtreOpenDirectory,l’enregistrementd’ordinateurduserveurestpeut-être
malconfigurédanslerépertoireLDAPdumaîtreOpenDirectory.Enparticulier,le
nomduserveurquifiguredanslecomptedegrouped’ordinateursdoitêtrelenom
DNScompletduserveur,etpasjustelenomd’hôteduserveur.Parexemple,lenom
pourraitêtreserveur2.exemple.com,maispasjusteserveur2.
Pourreconfigurerunenregistrementd’ordinateurd’unserveurpourl’authentificationKerberosàsignatureunique:
1 Supprimezleserveurducomptedegrouped’ordinateursdanslerépertoireLDAP.
Pourensavoirplussurcetteétape-cietlasuivante,consultezleguide
Gestiondesutilisateurs.
2 Ajoutezànouveauleserveuraugrouped’ordinateurs.
3 Déléguezànouveaul’autoritépourconnecterleserveurauroyaumeKerberosdu
maîtreOpenDirectory.
Pourensavoirplus,consultezlarubrique«Délégationd’autoritépourconnecterdes
serveursàunroyaumeKerberosOpenDirectory»àlapage117.
4 ConnectezànouveauleserveurauroyaumeKerberosOpenDirectory.
Pourensavoirplus,consultezlarubrique«Connecterunserveuràunroyaume
KerberosȈlapage119.
Chapitre10RésolutiondeproblèmesliésàOpenDirectory 241

Silesutilisateursn’arriventpasàmodifierleurmotdepasse
LesutilisateursdontlescomptesrésidentdansunrépertoireLDAPquin’estpas
hébergéparMacOSXServeretquiontunmotdepassedetypecrypténepeuvent
paschangerleurmotdepasseaprèss’êtreconnectéàpartird’unordinateurclient
sousMacOSX10.3.
Cesutilisateurspeuventchangerleurmotdepassesivousutilisezlasous-fenêtre
AvancédeGestionnairedegroupedetravailpourchangerleréglageTypedumot
depassedeleurcompteenOpenDirectory.
Eneffectuantcettemodification,vousdevezégalementsaisirunautremotdepasse.
Ensuite,indiquezauxutilisateursqu’ilsdoiventouvrirunesessionàl’aidedecenouveau
motdepassepuislemodifierdanslasous-fenêtreComptesdesPréférencesSystème.
SivousnepouvezpasconnecterunserveuràunroyaumeKerberos
OpenDirectory
SiunutilisateurpossédantuneautoritéKerberosdéléguénepeutpasconnecterun
serveuràunroyaumeKerberosd’unmaîtreOpenDirectory,ilsepeutquel’enregistrementd’ordinateurduserveursoitmalconfigurédanslerépertoireLDAPdumaître
OpenDirectory.
L’adresseduserveurdanslecomptedegrouped’ordinateursdoitêtrel’adresseEthernet
principaleduserveur.L’adresseEthernetprincipaleduserveurestl’identifiantEthernetdu
premierportEthernetquiapparaîtdanslalistedesconfigurationsdeportsréseauquiest
affichéedanslasous-fenêtredespréférencesRéseauduserveur.
Pourreconfigurerunenregistrementd’ordinateurd’unserveurpourseconnecterà
unroyaumeKerberos:
1 Supprimezleserveurducomptedegrouped’ordinateursdanslerépertoireLDAP.
Pourensavoirplussurcetteétape-cietlasuivante,consultezleguide
Gestiondesutilisateurs.
2 Ajoutezànouveauleserveuraugrouped’ordinateurs.
3 Déléguezànouveaul’autoritépourconnecterleserveurauroyaumeKerberosdu
maîtreOpenDirectory.
Passezcetteétapesivouspouvezutiliseruncompted’administrateurKerberos(un
compted’administrateurderépertoireLDAP)pourconnecterànouveauleserveurau
royaumeKerberos.
Pourensavoirplus,consultezlarubrique«Délégationd’autoritépourconnecterdes
serveursàunroyaumeKerberosOpenDirectory»àlapage117.
4 ConnectezànouveauleserveurauroyaumeKerberosOpenDirectory.
Pourensavoirplus,consultezlarubrique«Connecterunserveuràunroyaume
KerberosȈlapage119.
242 Chapitre10RésolutiondeproblèmesliésàOpenDirectory

Sivousdevezréinitialiserunmotdepassed’administrateur
Ledisqued’installationdeMacOSXServervouspermetdechangerlemotdepasse
d’uncompted’utilisateurdisposantd’autorisationsd’administrateur,ycomprisle
comptedel’Administrateursystème(rootousuperuser).
Important:commeunutilisateurdisposantdudisqued’installationpeutaccédersans
restrictionàvotreserveur,ilestconseillédelimiterl’accèsphysiqueàl’ordinateur
hébergeantlelogicieldeserveur.
Pourréinitialiserunmotdepassed’administrateur:
1 Démarrezàpartirdudisqued’installation1deMacOSXServer.
2 Dansleprogrammed’installation,choisissezInstallation>Réinitialiserlemotdepasse.
3 Sélectionnezlevolumededisquedurcontenantlecompted’administrateurdontvous
voulezréinitialiserlemotdepasse.
4 Danslemenulocal,tapezunnouveaumotdepasse,choisissezlecompted’administrateur,puiscliquezsurEnregistrer.
Lecompted’administrateursystèmeestlecomptedel’utilisateurroot(superuser).
Neconfondezpascecompteavecuncompted’administrateurnormal.
Évitezdemodifierlesmotsdepassedescomptesd’utilisateurprédéfinis.Pourensavoir
plussurlescomptesd’utilisateurprédéfinis,consultezleguideGestiondesutilisateurs.
Remarque:cetteprocéduremodifielemotdepasseducompted’administrateurdu
domainederépertoirelocalduserveur.Ilnemodifiepaslemotdepassed’uncompte
d’administrateurdudomainederépertoirepartagéduserveur,sileserveurdispose
d’unteldomaine.
Sivousconnaissezlemotdepassed’uncompted’administrateurdudomainelocal,
vouspouvezmodifierlemotdepassedetouslesautrescomptesd’administrateurdu
domainederépertoirelocalenutilisantGestionnairedegroupedetravailplutôtque
cetteprocédure.Pourensavoirplus,consultezlarubrique«Modificationdumotde
passed’unutilisateur»àlapage123.
Chapitre10RésolutiondeproblèmesliésàOpenDirectory 243

DonnéesderépertoireMacOSX
Annexe
LaconnaissanceduschémaLDAPOpenDirectoryetdes
attributsettypesd’enregistrementsdesdomainesderépertoireMacOSXvousaiderapourlemappagesurd’autres
domainesderépertoire,ainsiquepourl’importationou
l’exportationdescomptesd’utilisateuretdegroupe.
LaprésenteannexelistelesextensionsOpenDirectoryauschémaLDAP,lesmappages
d’attributsOpenDirectorysurdesattributsLDAPetActiveDirectoryetlesattributs
standarddediverstypesd’enregistrements.Utilisezcesinformationspour:
 Mapperdesclassesd’objetsetdesattributsderépertoiresLDAPnon-Appleou
desdomainesActiveDirectorysurdestypesetattributsd’enregistrementsOpen
Directory,commedécritdanslarubrique«Configurationdesrecherchesetmappages
LDAPȈlapage173.
 Importerouexporterdescomptesd’utilisateuroudegroupeversundomaine
OpenDirectory,commedécritdansGestiondesutilisateurs.
 Travaillerdanslasous-fenêtreInspecteurdeGestionnairedegroupedetravail,
commedécritdanslarubrique«Affichageetmodificationdesdonnéesde
répertoire»àlapage212.
Remarque:lestableauxsuivantsnefournissentpasdesinformationscomplètessur
l’extensiondevotreschéma.Letableauindiquelesenregistrementsetlesattributs
qu’OpenDirectoryutiliseàpartirdeschémasActiveDirectoryetUnixRFC2307existants.Ilindiqueaussilesattributsetlesenregistrementsquinepossèdentpasde
mappagedirect.
Pourplusdedétails,consultezlesrubriquessuivantes:
 «ExtensionsOpenDirectoryauschémaLDAP»àlapage246
 «Classesd’objetsduschémaLDAPOpenDirectory»àlapage247
 «AttributsduschémaLDAPOpenDirectory»àlapage256
 «Mappagedetypesd’enregistrementsetd’attributsstandardversLDAPet
ActiveDirectoryȈlapage276
245

 «Mappagesd’utilisateurs(Users)»àlapage277
 «Mappagesdegroupes(Groups)»àlapage280
 «Mappagesdemontages(Mounts)»àlapage282
 «Mappagesd’ordinateurs(Computers)»àlapage282
 «Mappagesdelistesd’ordinateurs(ComputerLists)»àlapage284
 «Mappagesdeconfigurations(Config)»àlapage285
 «Mappagesdepersonnes(People)»àlapage286
 «Mappagesdelistesd’ordinateurspréréglés(PresetComputerLists)»àlapage287
 «Mappagesdegroupespréréglés(PresetGroups)»àlapage288
 «Mappagesd’utilisateurspréréglés(PresetUsers)»àlapage289
 «Mappagesd’imprimantes(Printers)»àlapage290
 «Mappagesdeconfigurationsautomatiquesdeserveur(AutoServerSetup)»
àlapage292
 «Mappagesd’emplacements(Locations)»àlapage292
 «typesd’enregistrementsetattributsOpenDirectorystandard»àlapage293
 «Attributsstandarddanslesenregistrementsd’utilisateurs»àlapage293
 «Attributsstandarddanslesenregistrementsdegroupes»àlapage299
 «Attributsstandarddanslesenregistrementsd’ordinateurs»àlapage300
 «Attributsstandarddanslesenregistrementsdegroupesd’ordinateurs»
àlapage301
 «Attributsstandarddanslesenregistrementsdemontages»àlapage302
 «Attributsstandarddanslesenregistrementsdeconfigurations»àlapage303
ExtensionsOpenDirectoryauschémaLDAP
LeschémadesrépertoiresLDAPOpenDirectoryestbasésurlesattributsetclasses
d’objetsstandarddéfinisdanslesdocumentsRFC(RequestforComments)del’IETF
(InternetEngineeringTaskForce):
 RFC2307“AnApproachforUsingLDAPasaNetworkInformationService”
 RFC2798“DefinitionoftheinetOrgPersonLDAPObjectClass”
LesdéfinitionsdeschémaLDAPspécifientlesidentifiantsdesyntaxeetlesrègles
correspondantesquisontdéfinisdansledocumentRFC2252,«AttributsLDAPv3».
CesRFCsontdisponiblessurlesiteWebdel’IETF(enanglais):www.ietf.org/rfc.html.
Lesattributsetclassesd’objetsdéfinisdanscesRFCformentlabaseduschémaLDAP
OpenDirectory.
246 AnnexeDonnéesderépertoireMacOSX

LeschémaétendupourlesrépertoiresLDAPOpenDirectoryinclutlesattributset
classesd’objetsdéfinisdans:
 «Classesd’objetsduschémaLDAPOpenDirectory»àlapage247
 «AttributsduschémaLDAPOpenDirectory»àlapage256
Remarque:Appleestsusceptibled’étendreleschémaLDAPOpenDirectoryàl’avenir,
parexemple,pourprendreenchargedenouvellesversionsdeMacOSXetMacOSX
Server.Leschémaleplusrécentestdisponiblesousformedefichierstextesurtout
ordinateurdotédeMacOSXServer.Lesfichiersdeschémasetrouventdanslerépertoire/etc/openldap/schema.Lefichierapple.schemacontientlesdernièresextensions
deschémapourlesrépertoiresLDAPOpenDirectory.
Classesd’objetsduschémaLDAPOpenDirectory
Cettesectiondéfinitlesclassesd’objetsOpenDirectoryLDAPquiétendentleschéma
LDAPstandard.
Classed’objetsstructurelledeconteneur(container)
Containerestuneclassed’objetsstructurelleutiliséepourlesconteneursd’enregistrementsdepremierniveaucommecn=users,cn=groupsetcn=mounts.Iln’existepasde
servicesderépertoiresanaloguesàcetteclassed’objets,maislenomdeconteneurfait
partiedelabasederecherchepourchaquetyped’enregistrement.
#objectclass (
# 1.2.840.113556.1.3.23
# NAME ’container’
# SUP top
# STRUCTURAL
# MUST ( cn ) )
Classed’objetsdeduréedevie(TimeToLive)
objectclass (
1.3.6.1.4.1.250.3.18
NAME ’cacheObject’
AUXILIARY
SUP top
DESC ’Auxiliary object class to hold TTL caching information’
MAY ( ttl ) )
AnnexeDonnéesderépertoireMacOSX 247

Classed’objetsd’utilisateur(User)
Laclassed’objetsapple-userestuneclasseauxiliaireservantàstockerdesattributs
MacOSXquinefontpaspartied’inetOrgPersonoudeposixAccount.Cetteclasse
d’objetsestutiliséeaveclesenregistrementskDSStdRecordTypeUsers.
objectclass (
1.3.6.1.4.1.63.1000.1.1.2.1
NAME ’apple-user’
SUP top
AUXILIARY
DESC ’compte d’utilisateur apple’
MAY ( apple-user-homeurl $ apple-user-class $
apple-user-homequota $ apple-user-mailattribute $
apple-user-printattribute $ apple-mcxflags $
apple-mcxsettings $ apple-user-adminlimits $
apple-user-picture $ apple-user-authenticationhint $
apple-user-homesoftquota $ apple-user-passwordpolicy $
apple-keyword $ apple-generateduid $ apple-imhandle $
apple-webloguri $ authAuthority $ acctFlags $ pwdLastSet $
logonTime $ logoffTime $ kickoffTime $ homeDrive $ scriptPath $
profilePath $ userWorkstations $ smbHome $ rid $
primaryGroupID $ sambaSID $ sambaPrimaryGroupSID $
userCertificate $ jpegPhoto $ apple-nickname $
apple-namesuffix $ apple-birthday $ apple-relationships $
apple-organizationinfo $ apple-phonecontacts $
apple-emailcontacts $ apple-postaladdresses $
apple-mapcoordinates $ apple-mapuri $ apple-mapguid $
apple-serviceslocator) )
Classed’objetsauxiliairedegroupe(group)
Laclassed’objetsapple-groupestuneclasseauxiliaireutiliséepourstockerdesattributsMacOSXquinefontpaspartiedeposixGroup.Cetteclassed’objetsestutilisée
aveclesenregistrementskDSStdRecordTypeGroups.
objectclass (
1.3.6.1.4.1.63.1000.1.1.2.14
NAME ’apple-group’
SUP top
AUXILIARY
DESC ’compte de groupe’
MAY ( apple-group-homeurl $
apple-group-homeowner $
apple-mcxflags $
apple-mcxsettings $
apple-group-realname $
apple-user-picture $
apple-keyword $
apple-generateduid $
248 AnnexeDonnéesderépertoireMacOSX

apple-group-nestedgroup $
apple-group-memberguid $
mail $
rid $
sambaSID $
ttl $
jpegPhoto $
apple-group-services $
apple-contactguid $
apple-ownerguid $
labeledURI $
apple-serviceslocator) )
Classed’objetsauxiliairedemachine(machine)
objectclass (
1.3.6.1.4.1.63.1000.1.1.2.3
NAME ’apple-machine’
SUP top
AUXILIARY
MAY ( apple-machine-software $
apple-machine-hardware $
apple-machine-serves $
apple-machine-suffix $
apple-machine-contactperson ) )
Classed’objetsdemontage(mount)
objectclass (
1.3.6.1.4.1.63.1000.1.1.2.8
NAME ’mount’
SUP top STRUCTURAL
MUST ( cn )
MAY ( mountDirectory $
mountType $
mountOption $
mountDumpFrequency $
mountPassNo ) )
Classed’objetsd’imprimante(printer)
objectclass (
1.3.6.1.4.1.63.1000.1.1.2.9
NAME ’apple-printer’
SUP top STRUCTURAL
MUST ( cn )
MAY ( apple-printer-attributes $
apple-printer-lprhost $
apple-printer-lprqueue $
apple-printer-type $
apple-printer-note ) )
AnnexeDonnéesderépertoireMacOSX 249

Classed’objetsd’ordinateur(computer)
objectclass (
1.3.6.1.4.1.63.1000.1.1.2.10
NAME ’apple-computer’
DESC ’ordinateur’
SUP top STRUCTURAL
MUST ( cn )
MAY ( apple-realname $
description $
macAddress $
apple-category $
apple-computer-list-groups $
apple-keyword $
apple-mcxflags $
apple-mcxsettings $
apple-networkview $
apple-xmlplist $
apple-service-url $
apple-serviceinfo $
apple-primarycomputerlist $
authAuthority $
uidNumber $ gidNumber $ apple-generateduid $ ttl $
acctFlags $ pwdLastSet $ logonTime $
logoffTime $ kickoffTime $ rid $ primaryGroupID $
sambaSID $ sambaPrimaryGroupSID
owner $ apple-ownerguid $ apple-contactguid $
ipHostNumber $ bootFile) )
Classed’objetsdelisted’ordinateurs(ComputerList)
objectclass (
1.3.6.1.4.1.63.1000.1.1.2.11
NAME ’apple-computer-list’
DESC ’liste d’ordinateurs’
SUP top STRUCTURAL
MUST ( cn )
MAY ( apple-mcxflags $
apple-mcxsettings $
apple-computer-list-groups $
apple-computers $
apple-generateduid $
apple-keyword ) )
250 AnnexeDonnéesderépertoireMacOSX

Classed’objetsdeconfiguration(Configuration)
objectclass (
1.3.6.1.4.1.63.1000.1.1.2.12
NAME ’apple-configuration’
DESC ’configuration’
SUP top STRUCTURAL
MAY ( cn $ apple-config-realname $
apple-data-stamp $ apple-password-server-location $
apple-password-server-list $ apple-ldap-replica $
apple-ldap-writable-replica $ apple-keyword $
apple-kdc-authkey $ apple-kdc-configdata $ apple-xmlplist $
ttl ) )
Classed’objetsdelisted’ordinateurspréréglés(PresetComputerList)
objectclass (
1.3.6.1.4.1.63.1000.1.1.2.13
NAME ’apple-preset-computer-list’
DESC ’liste d’ordinateurs préréglés’
SUP top STRUCTURAL
MUST ( cn )
MAY ( apple-mcxflags $
apple-mcxsettings $
apple-computer-list-groups $
apple-keyword ) )
Classed’objetsd’ordinateurpréréglé(PresetComputer)
objectclass (
1.3.6.1.4.1.63.1000.1.1.2.25
NAME ’apple-preset-computer’
DESC ’preset computer’
SUP top STRUCTURAL
MUST ( cn )
MAY ( apple-mcxflags $
apple-mcxsettings $
apple-computer-list-groups $
apple-primarycomputerlist $
description $
apple-networkview $
apple-keyword ) )
AnnexeDonnéesderépertoireMacOSX 251

Classed’objetsdegrouped’ordinateurspréréglés(PresetComputerGroup)
objectclass (
1.3.6.1.4.1.63.1000.1.1.2.26
NAME ’apple-preset-computer-group’
DESC ’preset computer group’
SUP top STRUCTURAL
MUST ( cn )
MAY ( gidNumber $
memberUid $
apple-mcxflags $
apple-mcxsettings $
apple-group-nestedgroup $
description $
jpegPhoto $
apple-keyword ) )
Classed’objetsdegroupepréréglé(PresetGroup)
objectclass (
1.3.6.1.4.1.63.1000.1.1.3.14
NAME ’apple-preset-group’
DESC ’groupe préréglé’
SUP top STRUCTURAL
MUST ( cn )
MAY ( memberUid $
gidNumber $
description $
apple-group-homeurl $
apple-group-homeowner $
apple-mcxflags $
apple-mcxsettings $
apple-group-realname $
apple-keyword $
apple-group-nestedgroup $
apple-group-memberguid $
ttl $
jpegPhoto $
apple-group-services $
labeledURI) )) )
252 AnnexeDonnéesderépertoireMacOSX

Classed’objetsd’utilisateurpréréglé(PresetUser)
objectclass (
1.3.6.1.4.1.63.1000.1.1.2.15
NAME ’apple-preset-user’
DESC ’utilisateur préréglé’
SUP top STRUCTURAL
MUST ( cn )
MAY ( uid $
memberUid $
gidNumber $
homeDirectory $
apple-user-homeurl $
apple-user-homequota $
apple-user-homesoftquota $
apple-user-mailattribute $
apple-user-printattribute $
apple-mcxflags $
apple-mcxsettings $
apple-user-adminlimits $
apple-user-passwordpolicy $
userPassword $
apple-user-picture $
apple-keyword $
loginShell $
description $
shadowLastChange $
shadowExpire $
authAuthority $
homeDrive $ scriptPath $ profilePath $ smbHome $
apple-preset-user-is-admin
jpegPhoto $
apple-relationships $ apple-phonecontacts $ apple-emailcontacts $
apple-postaladdresses $ apple-mapcoordinates ) )
Classed’objetsd’autoritéd’authentification(AuthenticationAuthority)
objectclass (
1.3.6.1.4.1.63.1000.1.1.2.16
NAME ’authAuthorityObject’
SUP top STRUCTURAL
MAY ( authAuthority ) )
AnnexeDonnéesderépertoireMacOSX 253

Classed’objetsdeconfigurationd’assistantduserveur
(ServerAssistantConfiguration)
objectclass (
1.3.6.1.4.1.63.1000.1.1.2.17
NAME ’apple-serverassistant-config’
SUP top STRUCTURAL
MUST ( cn )
MAY ( apple-xmlplist ) )
Classed’objetsd’emplacement(Location)
objectclass (
1.3.6.1.4.1.63.1000.1.1.2.18
NAME ’apple-location’
SUP top AUXILIARY
MUST ( cn )
MAY ( apple-dns-domain $ apple-dns-nameserver ) )
Classed’objetsdeservice(Service)
objectclass (
1.3.6.1.4.1.63.1000.1.1.2.19
NAME ’apple-service’
SUP top STRUCTURAL
MUST ( cn $
apple-service-type )
MAY ( ipHostNumber $
description $
apple-service-location $
apple-service-url $
apple-service-port $
apple-dnsname $
apple-keyword ) )
Classed’objetsdevoisinage(Neighborhood)
objectclass (
1.3.6.1.4.1.63.1000.1.1.2.20
NAME ’apple-neighborhood’
SUP top STRUCTURAL
MUST ( cn )
MAY ( description $
apple-generateduid $
apple-category $
apple-nodepathxml $
apple-neighborhoodalias $
apple-computeralias $
apple-keyword $
apple-realname $
apple-xmlplist $
ttl ) )
254 AnnexeDonnéesderépertoireMacOSX

Classed’objetsdelistedecontrôled’accès(ACL)
objectclass (
1.3.6.1.4.1.63.1000.1.1.2.21
NAME ’apple-acl’
SUP top STRUCTURAL
MUST ( cn $
apple-acl-entry ) )
Classed’objetsderessource(Resource)
objectclass (
1.3.6.1.4.1.63.1000.1.1.2.23
NAME ’apple-resource’
SUP top STRUCTURAL
MUST ( cn )
MAY ( apple-realname $ description $ jpegPhoto $ apple-keyword $
apple-generateduid $ apple-contactguid $ apple-ownerguid $
apple-resource-info $ apple-resource-type $ apple-capacity $
labeledURI $ apple-mapuri $ apple-serviceslocator $
apple-phonecontacts $ c $ apple-mapguid $ apple-mapcoordinates ) )
Classed’objetsd’augmentation(Augment)
objectclass (
1.3.6.1.4.1.63.1000.1.1.2.24
NAME ’apple-augment’
SUP top
STRUCTURAL
MUST ( cn ) )
Classed’objetsdemappagedemontageautomatique(AutomountMap)
objectclass (
1.3.6.1.1.1.2.16
NAME ’automountMap’
SUP top STRUCTURAL
MUST ( automountMapName )
MAY description )
Classed’objetsdemontageautomatique(Automount)
objectclass (
1.3.6.1.1.1.2.17
NAME ’automount’
SUP top STRUCTURAL
DESC ’Automount’
MUST ( automountKey $ automountInformation )
MAY description )
AnnexeDonnéesderépertoireMacOSX 255

AttributsduschémaLDAPOpenDirectory
CettesectiondéfinitlesattributsLDAPOpenDirectoryquiétendentleschémaLDAP
standard.
Attributdeduréedevie(Time-to-Live,TTL)
attributetype (
1.3.6.1.4.1.250.1.60
NAME ’ttl’
EQUALITY integerMatch
SYNTAX ’1.3.6.1.4.1.1466.115.121.1.27’ SINGLE-VALUE )
Attributsd’utilisateur(User)
apple-user-homeurl
Stockelesinformationsdedossierdedépartsouslaformed’uneURLetd’un
chemind’accès.Permetd’établirunecorrespondanceavecletyped’attribut
kDS1AttrHomeDirectorydesservicesderépertoires.
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.1.6
NAME ’apple-user-homeurl’
DESC ’URL du dossier de départ ’
EQUALITY caseExactIA5Match
SUBSTR caseExactIA5SubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )
apple-user-class
Inutilisé.
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.1.7
NAME ’apple-user-class’
DESC ’classe d’utilisateur’
EQUALITY caseExactIA5Match
SUBSTR caseExactIA5SubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )
apple-user-homequota
Spécifielequotadudossierdedépartenkilo-octets.
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.1.8
NAME ’apple-user-homequota’
DESC ’quota du dossier de départ ’
EQUALITY caseExactIA5Match
SUBSTR caseExactIA5SubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )
apple-user-mailattribute
StockelesréglagesdecourrierauformatXML.
256 AnnexeDonnéesderépertoireMacOSX

attributetype (
1.3.6.1.4.1.63.1000.1.1.1.1.9
NAME ’apple-user-mailattribute’
DESC ’attribut de courrier’
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE )
apple-mcxflags
Stockelesinformationsdeclientgéré.Cetattributsetrouvedanslesenregistrements
d’utilisateur,degroupe,d’ordinateuretdegrouped’ordinateurs.
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.1.10
NAME ’apple-mcxflags’
DESC ’indicateurs mcx’
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE )
apple-mcxsettings
Stockelesinformationsdeclientgéré.Cetattributsetrouvedanslesenregistrements
d’utilisateur,degroupe,d’ordinateuretdegrouped’ordinateurs.
#attributetype (
# 1.3.6.1.4.1.63.1000.1.1.1.1.11
# NAME ’apple-mcxsettings’
# DESC ’réglages mcx’
# EQUALITY caseExactMatch
# SUBSTR caseExactSubstringsMatch
# SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE )
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.1.16
NAME ( ’apple-mcxsettings’ ’apple-mcxsettings2’ )
DESC ’réglages mcx’
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )
apple-user-picture
Stockeunchemind’accèsdusystèmedefichiersversl’imageàafficherpourcetenregistrementd’utilisateurdanslafenêtred’ouverturedesession.Utilisélorsquel’utilisateurréseauestaffichédanslalistedéroulantedelafenêtred’ouverturedesession
(surlesréseauxgérés).
Pardéfaut,lesutilisateurspeuventmodifierleursphotos.
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.1.12
NAME ’apple-user-picture’
DESC ’image’
AnnexeDonnéesderépertoireMacOSX 257

EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE )
apple-user-printattribute
Stockelesréglagesdequotad’impressionsousformedeplistXML.
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.1.13
NAME ’apple-user-printattribute’
DESC ’attribut d’impression’
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE )
apple-user-adminlimits
UtiliséparGestionnairedegroupedetravailpourstockerunfichierplistXMLdécrivant
lescompétencesd’unadministrateur.Cesréglagessontrespectésetactualiséspar
Gestionnairedegroupedetravail,maisn’affectentpaslesautresélémentsdusystème.
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.1.14
NAME ’apple-user-adminlimits’
DESC ’capacités d’administrateur’
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE )
apple-user-authenticationhint
Utiliséparlafenêtred’ouverturedesessionpourfournirunindicesil’utilisateurfait
troistentativesd’ouverturedesessioninfructueusesdesuite.Pardéfaut,chaque
utilisateurpeutmodifiersonindiced’authentification.
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.1.15
NAME ’apple-user-authenticationhint’
DESC ’indice de mot de passe’
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE )
apple-user-homesoftquota
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.1.17
NAME ’apple-user-homesoftquota’
DESC ’quota (soft) du dossier de départ ’
EQUALITY caseExactIA5Match
SUBSTR caseExactIA5SubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )
258 AnnexeDonnéesderépertoireMacOSX

apple-user-passwordpolicy
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.1.18
NAME ’apple-user-passwordpolicy’
DESC ’options de politique de mot de passe’
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE )
apple-keyword
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.1.19
NAME ( ’apple-keyword’ )
DESC ’mots clés’
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )
apple-generateduid
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.1.20
NAME ( ’apple-generateduid’ )
DESC ’identifiant unique généré’
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE )
apple-imhandle
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.1.21
NAME ( ’apple-imhandle’ )
DESC ’IM handle (service:account name)’
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )
apple-webloguri
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.1.22
NAME ( ’apple-webloguri’ )
DESC ’Weblog URI’
EQUALITY caseExactIA5Match
SUBSTR caseExactIA5SubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )
apple-mapcoordinates
attributetype (
AnnexeDonnéesderépertoireMacOSX 259

1.3.6.1.4.1.63.1000.1.1.1.1.23
NAME ( ’apple-mapcoordinates’ )
DESC ’Map Coordinates’
EQUALITY caseExactIA5Match
SUBSTR caseExactIA5SubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )
apple-postaladdresses
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.1.24
NAME ( ’apple-postaladdresses’ )
DESC ’Postal Addresses’
EQUALITY caseExactIA5Match
SUBSTR caseExactIA5SubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )
apple-phonecontacts
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.1.25
NAME ( ’apple-phonecontacts’ )
DESC ’Phone Contacts’
EQUALITY caseExactIA5Match
SUBSTR caseExactIA5SubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )
apple-emailcontacts
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.1.26
NAME ( ’apple-emailcontacts’ )
DESC ’EMail Contacts’
EQUALITY caseExactIA5Match
SUBSTR caseExactIA5SubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )
apple-birthday
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.1.27
NAME ( ’apple-birthday’ )
DESC ’Birthday’
EQUALITY generalizedTimeMatch
SUBSTR caseExactIA5SubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.24 SINGLE-VALUE )
apple-relationships
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.1.28
NAME ( ’apple-relationships’ )
DESC ’Relationships’
260 AnnexeDonnéesderépertoireMacOSX

EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )
apple-company
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.1.29
NAME ( ’apple-company’ )
DESC ’company’
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )
apple-nickname
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.1.30
NAME ( ’apple-nickname’ )
DESC ’nickname’
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )
apple-mapuri
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.1.31
NAME ( ’apple-mapuri’ )
DESC ’Map URI’
EQUALITY caseExactIA5Match
SUBSTR caseExactIA5SubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )
apple-mapguid
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.1.32
NAME ( ’apple-mapguid’ )
DESC ’map GUID’
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE )
apple-serviceslocator
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.1.33
NAME ( ’apple-serviceslocator’ )
DESC ’Calendar Principal URI’
EQUALITY caseExactIA5Match
SUBSTR caseExactIA5SubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )
AnnexeDonnéesderépertoireMacOSX 261

apple-organizationinfo
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.1.34
NAME ’apple-organizationinfo’
DESC ’Originization Info data’
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )
apple-namesuffix
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.1.35
NAME ( ’apple-namesuffix’ )
DESC ’namesuffix’
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )
apple-primarycomputerlist
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.1.36
NAME ( ’apple-primarycomputerlist’ )
DESC ’primary computer list’
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE )
apple-user-homeDirectory
NonutiliséparleserveurOpenDirectory,maisfournicommeexempled’OIDetd’attributàemployercommealternativeàl’attributhomeDirectorypourlaRFC2307.Ilest
surtoutintéressantpourlesadministrateursActiveDirectoryparcequ’ActiveDirectory
utiliseunattributhomeDirectorydifférentdeceluidelaRFC2307.
#attributetype (
# 1.3.6.1.4.1.63.1000.1.1.1.1.100
# NAME ’apple-user-homeDirectory’
# DESC ’Le chemin d’accès absolu au dossier de départ ’
# EQUALITY caseExactIA5Match
# SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )
262 AnnexeDonnéesderépertoireMacOSX

Attributsdegroupe(Group)
apple-group-homeurl
Spécifieledossierdedépartassociéàungroupedetravaildeclientsgérés.Cedernier
estmontéàl’ouverturedesessionpartoututilisateurfaisantpartiedecegroupede
travail.
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.14.1
NAME ’apple-group-homeurl’
DESC ’url du dossier de départ du groupe’
EQUALITY caseExactIA5Match
SUBSTR caseExactIA5SubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )
apple-group-homeowner
Déterminelepropriétairedudossierdedépartdugroupedetravaillorsqu’ilestcréé
danslesystèmedefichiers.Legroupedurépertoireestlegroupedetravailauquel
ilestassocié.
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.14.2
NAME ’apple-group-homeowner’
DESC ’réglages du propriétaire du dossier de départ du groupe’
EQUALITY caseExactIA5Match
SUBSTR caseExactIA5SubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )
apple-group-realname
Utilisépourassocierunnomd’utilisateurpluslongetplusconvivialauxgroupes.Ce
nomapparaîtdansGestionnairedegroupedetravailetpeutcontenirdescaractères
non-ASCII.
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.14.5
NAME ’apple-group-realname’
DESC ’nom réel du groupe’
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE )
apple-group-nestedgroup
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.14.6
NAME ’apple-group-nestedgroup’
DESC ’nom réel du groupe’
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )
AnnexeDonnéesderépertoireMacOSX 263

apple-group-memberguid
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.14.7
NAME ’apple-group-memberguid’
DESC ’nom réel du groupe’
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )
apple-group-services
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.14.8
NAME ’apple-group-services’
DESC ’group services’
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )
apple-group-memberUid
NonutiliséparleserveurOpenDirectory,maisdéfinicommeexempled’attributet
d’OIDpouvantêtreajoutésàunautreserveurLDAPpourgérerlesclientsMacOSX.
# Alternative à l’emploi de l’attribut memberUid de la RFC 2307.
#attributetype (
# 1.3.6.1.4.1.63.1000.1.1.1.14.1000
# NAME ’apple-group-memberUid’
# DESC ’liste des membres du groupe’
# EQUALITY caseExactIA5Match
# SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )
# can also use OID 1.3.6.1.4.1.63.1000.1.1.2.1000
apple-contactguid
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.14.9
NAME ( ’apple-contactguid’ )
DESC ’contact GUID’
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE )
apple-ownerguid
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.14.10
NAME ( ’apple-ownerguid’ )
DESC ’owner GUID’
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE )
264 AnnexeDonnéesderépertoireMacOSX

apple-primarycomputerguid
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.14.11
NAME ( ’apple-primarycomputerguid’ )
DESC ’primary computer GUID’
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE )
apple-group-expandednestedgroup
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.14.12
NAME ’apple-group-expandednestedgroup’
DESC ’expanded nested group list’
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )
Attributsdemachine(Machine)
apple-machine-software
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.3.8
NAME ’apple-machine-software’
DESC ’logiciel système installé’
EQUALITY caseIgnoreIA5Match
SUBSTR caseIgnoreIA5SubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )
apple-machine-hardware
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.3.9
NAME ’apple-machine-hardware’
DESC ’description matérielle du système’
EQUALITY caseIgnoreIA5Match
SUBSTR caseIgnoreIA5SubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )
apple-machine-serves
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.3.10
NAME ’apple-machine-serves’
DESC ’Liaison de serveur de domaine NetInfo’
EQUALITY caseExactIA5Match
SUBSTR caseExactIA5SubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )
AnnexeDonnéesderépertoireMacOSX 265

apple-machine-suffix
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.3.11
NAME ’apple-machine-suffix’
DESC ’suffixe DIT’
EQUALITY caseIgnoreMatch
SUBSTR caseIgnoreSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )
apple-machine-contactperson
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.3.12
NAME ’apple-machine-contactperson’
DESC ’Name of contact person/owner of this machine’
EQUALITY caseIgnoreMatch
SUBSTR caseIgnoreSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )
attributeTypesConfig
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.22.1
NAME ’attributeTypesConfig’
DESC ’RFC2252: attribute types’
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )
objectClassesConfig
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.22.2
NAME ’objectClassesConfig’
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )
Attributsdemontage
mountDirectory
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.8.1
NAME ’mountDirectory’
DESC ’chemin d’accès de montage’
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE )
266 AnnexeDonnéesderépertoireMacOSX

mountType
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.8.2
NAME ’mountType’
DESC ’type VFS du montage’
EQUALITY caseIgnoreIA5Match
SUBSTR caseIgnoreIA5SubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )
mountOption
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.8.3
NAME ’mountOption’
DESC ’options de montage’
EQUALITY caseIgnoreIA5Match
SUBSTR caseIgnoreIA5SubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )
mountDumpFrequency
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.8.4
NAME ’mountDumpFrequency’
DESC ’fréquence de vidage du montage’
EQUALITY caseIgnoreIA5Match
SUBSTR caseIgnoreIA5SubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )
mountPassNo
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.8.5
NAME ’mountPassNo’
DESC ’passno du montage’
EQUALITY caseIgnoreIA5Match
SUBSTR caseIgnoreIA5SubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )
apple-mount-name
# Alternative to using ’cn’ when adding mount record schema to other LDAP
servers
#attributetype (
# 1.3.6.1.4.1.63.1000.1.1.1.8.100
# NAME ( ’apple-mount-name’ )
# DESC ’mount name’
# SUP name )
AnnexeDonnéesderépertoireMacOSX 267

Attributsd’imprimante(Printer)
apple-printer-attributes
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.9.1
NAME ’apple-printer-attributes’
DESC ’attributs d’imprimante au format /etc/printcap’
EQUALITY caseIgnoreIA5Match
SUBSTR caseIgnoreIA5SubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )
apple-printer-lprhost
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.9.2
NAME ’apple-printer-lprhost’
DESC ’nom d’hôte LPR d’imprimante’
EQUALITY caseIgnoreMatch
SUBSTR caseIgnoreSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )
apple-printer-lprqueue
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.9.3
NAME ’apple-printer-lprqueue’
DESC ’liste d’attente LPR d’imprimante’
EQUALITY caseIgnoreMatch
SUBSTR caseIgnoreSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )
apple-printer-type
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.9.4
NAME ’apple-printer-type’
DESC ’type d’imprimante’
EQUALITY caseIgnoreMatch
SUBSTR caseIgnoreSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )
apple-printer-note
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.9.5
NAME ’apple-printer-note’
DESC ’note d’imprimante’
EQUALITY caseIgnoreMatch
SUBSTR caseIgnoreSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )
268 AnnexeDonnéesderépertoireMacOSX

Attributsd’ordinateur(Computer)
apple-realname
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.10.2
NAME ’apple-realname’
DESC ’nom réel’
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )
apple-networkview
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.10.3
NAME ’apple-networkview’
DESC ’Network view for the computer’
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )
apple-category
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.10.4
NAME ’apple-category’
DESC ’Category for the computer or neighborhood’
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )
Attributsdelisted’ordinateurs(ComputerList)
apple-computers
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.11.3
NAME ’apple-computers’
DESC ’ordinateurs’
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )
apple-computer-list-groups
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.11.4
NAME ’apple-computer-list-groups’
DESC ’groupes’
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )
AnnexeDonnéesderépertoireMacOSX 269

AttributdePlistXML
apple-xmlplist
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.17.1
NAME ’apple-xmlplist’
DESC ’données de plist XML’
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE )
Attributsd’URLdeservice(ServiceURL)
apple-service-url
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.19.2
NAME ’apple-service-url’
DESC ’URL of service’
EQUALITY caseExactIA5Match
SUBSTR caseExactIA5SubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )
Attributd’informationdeservice
apple-serviceinfo
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.19.6
NAME ’apple-serviceinfo’
DESC ’service related information’
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )
Attributsdeconfiguration(Configuration)
apple-password-server-location
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.12.1
NAME ’apple-password-server-location’
DESC ’emplacement du serveur de mots de passe’
EQUALITY caseExactIA5Match
SUBSTR caseExactIA5SubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )
270 AnnexeDonnéesderépertoireMacOSX

apple-data-stamp
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.12.2
NAME ’apple-data-stamp’
DESC ’data stamp’
EQUALITY caseExactIA5Match
SUBSTR caseExactIA5SubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )
apple-config-realname
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.12.3
NAME ’apple-config-realname’
DESC ’nom réel de configuration’
EQUALITY caseExactIA5Match
SUBSTR caseExactIA5SubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )
apple-password-server-list
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.12.4
NAME ’apple-password-server-list’
DESC ’plist de duplication de serveur de mots de passe’
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE )
apple-ldap-replica
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.12.5
NAME ’apple-ldap-replica’
DESC ’liste de duplication LDAP’
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )
apple-ldap-writable-replica
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.12.6
NAME ’apple-ldap-writable-replica’
DESC ’liste de duplication LDAP modifiable’
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )
AnnexeDonnéesderépertoireMacOSX 271

apple-kdc-authkey
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.12.7
NAME ’apple-kdc-authkey’
DESC ’clé maîtresse KDC cryptée au format RSA avec clé publique de
royaume’
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )
apple-kdc-configdata
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.12.8
NAME ’apple-kdc-configdata’
DESC ’Contenu du fichier kdc.conf’
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE )
Attributd’utilisateurpréréglé(PresetUser)
apple-preset-user-is-admin
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.15.1
NAME ’apple-preset-user-is-admin’
DESC ’indicateur signalant si l’utilisateur préréglé est un administrateur’
EQUALITY caseExactIA5Match
SUBSTR caseExactIA5SubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )
Attributsd’autoritéd’authentification(AuthenticationAuthority)
authAuthority
#attributetype (
# 1.3.6.1.4.1.63.1000.1.1.2.16.1
# NAME ’authAuthority’
# DESC ’autorité d’authentification du serveur de mots de passe’
# EQUALITY caseExactIA5Match
# SUBSTR caseExactIA5SubstringsMatch
# SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )
authAuthority2
#attributetype (
# 1.3.6.1.4.1.63.1000.1.1.2.16.2
# NAME ( ’authAuthority’ ’authAuthority2’ )
# DESC ’autorité d’authentification du serveur de mots de passe’
# EQUALITY caseExactMatch
# SUBSTR caseExactSubstringsMatch
# SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )
272 AnnexeDonnéesderépertoireMacOSX

Attributsd’emplacement(Location)
apple-dns-domain
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.18.1
NAME ’apple-dns-domain’
DESC ’domaine DNS’
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )
apple-dns-nameserver
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.18.2
NAME ’apple-dns-nameserver’
DESC ’liste de serveurs de noms DNS’
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )
Attributsdeservice(Service)
apple-service-type
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.19.1
NAME ’apple-service-type’
DESC ’type of service’
EQUALITY caseExactIA5Match
SUBSTR caseExactIA5SubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )
apple-service-url
#attributetype (
# 1.3.6.1.4.1.63.1000.1.1.1.19.2
# NAME ’apple-service-url’
# DESC ’URL of service’
# EQUALITY caseExactIA5Match
# SUBSTR caseExactIA5SubstringsMatch
# SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )
apple-service-port
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.19.3
NAME ’apple-service-port’
DESC ’Service port number’
EQUALITY integerMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.27 )
AnnexeDonnéesderépertoireMacOSX 273

apple-dnsname
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.19.4
NAME ’apple-dnsname’
DESC ’DNS name’
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )
apple-service-location
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.19.5
NAME ’apple-service-location’
DESC ’Service location’
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )
Attributsdevoisinage(Neighborhood)
apple-nodepathxml
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.20.1
NAME ’apple-nodepathxml’
DESC ’XML plist of directory node path’
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )
apple-neighborhoodalias
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.20.2
NAME ’apple-neighborhoodalias’
DESC ’XML plist referring to another neighborhood record’
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )
apple-computeralias
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.20.3
NAME ’apple-computeralias’
DESC ’XML plist referring to a computer record’
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )
274 AnnexeDonnéesderépertoireMacOSX

Attributdelistedecontrôled’accès(ACL)
apple-acl-entry
#attributetype (
# 1.3.6.1.4.1.63.1000.1.1.1.21.1
# NAME ’apple-acl-entry’
# DESC ’acl entry’
# EQUALITY caseExactMatch
# SUBSTR caseExactSubstringsMatch
# SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )
Attributsdeschéma(Schema)
attributeTypesConfig
#attributetype (
# 1.3.6.1.4.1.63.1000.1.1.1.22.1
# NAME ’attributeTypesConfig’
# DESC ’attribute type configuration’
# EQUALITY objectIdentifierFirstComponentMatch
# SYNTAX 1.3.6.1.4.1.1466.115.121.1.3 )
objectClassesConfig
#attributetype (
# 1.3.6.1.4.1.63.1000.1.1.1.22.2
# NAME ’objectClassesConfig’
# DESC ’object class configuration’
# EQUALITY objectIdentifierFirstComponentMatch
# SYNTAX 1.3.6.1.4.1.1466.115.121.1.37 )
Attributderessource
apple-resource-type
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.23.1
NAME ’apple-resource-type’
DESC ’resource type’
EQUALITY caseExactIA5Match
SUBSTR caseExactIA5SubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )
apple-resource-info
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.23.2
NAME ’apple-resource-info’
DESC ’resource info’
EQUALITY caseExactIA5Match
SUBSTR caseExactIA5SubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )
AnnexeDonnéesderépertoireMacOSX 275

apple-capacity
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.23.3
NAME ’apple-capacity’
DESC ’capacity’
EQUALITY integerMatch
SYNTAX ’1.3.6.1.4.1.1466.115.121.1.27’ SINGLE-VALUE )
Attributdemontageautomatique
automountMapName
attributetype (
1.3.6.1.1.1.1.31
NAME ’automountMapName’
DESC ’automount Map Name’
EQUALITY caseExactMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15
SINGLE-VALUE )
automountKey
attributetype (
1.3.6.1.1.1.1.32
NAME ’automountKey’
DESC ’Automount Key value’
EQUALITY caseExactMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15
SINGLE-VALUE )
automountInformation
attributetype (
1.3.6.1.1.1.1.33
NAME ’automountInformation’
DESC ’Automount information’
EQUALITY caseExactMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15
SINGLE-VALUE )
Mappagedetypesd’enregistrementsetd’attributsstandard
versLDAPetActiveDirectory
Cettesectiondécritlemappagedestypesd’enregistrementsetattributsOpenDirectoryverslesclassesd’objetsetattributsLDAP.Elledécritégalementlemappagede
certainescatégoriesetdecertainsattributsd’objetActiveDirectoryverslestypes
d’enregistrementsetattributsOpenDirectory,etcommentlespremierssontgénérés
àpartirdesderniers.
276 AnnexeDonnéesderépertoireMacOSX

AnnexeDonnéesderépertoireMacOSX 277
Lestableauxsuivantsnefournissentpasdecorrespondancespourl’extensiondevotre
schéma.Letableauindiquelesenregistrementsetlesattributsqu’OpenDirectoryutiliseàpartirdeschémasActiveDirectoryetUnixRFC2307existants.Ilindiqueaussiles
attributsetlesenregistrementsquinepossèdentpasdemappagesdirects.
Mappagesd’utilisateurs(Users)
LestableauxsuivantsdécriventlamanièredontlemoduleLDAPv3d’Utilitairederépertoiremappeletyped’enregistrementetlesattributsUsersOpenDirectoryverslesclassesd’objetsetlesattributsLDAP.
LestableauxspécifientégalementlamanièredontlemoduleActiveDirectoryd’Utilitairederépertoiremappeetgénèredesattributsetdescatégoriesd’objetsActive
Directoryàpartird’attributsetdetypesd’enregistrementsOpenDirectory.
Mappagesdestypesd’enregistrementsd’utilisateurs
Mappagesdesattributsd’utilisateurs
NomOpenDirectory,
RFC/classe
OIDdenomdeclassed’objets
LDAP
Moduleexterne
ActiveDirectory
Users,
RFC2798
inetOrgPerson
2.16.840.1.113730.3.2.2
ObjectCategory=Person
Users,
RFC2307
posixAccount
1.3.6.1.1.1.2.0
Users,
RFC2307
shadowAccount
1.3.6.1.1.1.2.1
Users,
enregistréparApple
apple-user
1.3.6.1.4.1.63.1000.1.1.2.1
schémaétenduApple
NomOpenDirectory,
RFC/classe,
emploispécial
OIDdenomd’attributLDAP
Moduleexterne
ActiveDirectory
HomeDirectory,
enregistréparApple
apple-user-homeurl
1.3.6.1.4.1.63.1000.1.1.1.1.6
GénéréàpartirdehomeDirectory
HomeDirectoryQuota,
enregistréparApple
apple-user-homequota
1.3.6.1.4.1.63.1000.1.1.1.1.8
schémaétenduApple
HomeDirectorySoftQuota,
enregistréparApple
apple-user-homesoftquota
1.3.6.1.4.1.63.1000.1.1.1.1.17
schémaétenduApple
MailAttribute,
enregistréparApple
apple-user-mailattribute
1.3.6.1.4.1.63.1000.1.1.1.1.9
schémaétenduApple
PrintServiceUserData,
enregistréparApple
apple-user-printattribute
1.3.6.1.4.1.63.1000.1.1.1.1.13
schémaétenduApple
MCXFlags,
enregistréparApple
apple-mcxflags
1.3.6.1.4.1.63.1000.1.1.1.1.10
schémaétenduApple

278 AnnexeDonnéesderépertoireMacOSX
MCXSettings,
enregistréparApple
apple-mcxsettings
1.3.6.1.4.1.63.1000.1.1.1.1.16
schémaétenduApple
AdminLimits,
enregistréparApple
apple-user-adminlimits
1.3.6.1.4.1.63.1000.1.1.1.1.14
schémaétenduApple
AuthenticationAuthority,
enregistréparApple
authAuthority
1.3.6.1.4.1.63.1000.1.1.2.16.1
Généréentantqu’autoritéKerberos
AuthenticationHint,
enregistréparApple
apple-user-authenticationhint
1.3.6.1.4.1.63.1000.1.1.1.1.15
schémaétenduApple
PasswordPolicyOptions,
enregistréparApple
apple-user-passwordpolicy
1.3.6.1.4.1.63.1000.1.1.1.1.18
schémaétenduApple
Keywords,
enregistréparApple
apple-keyword
1.3.6.1.4.1.63.1000.1.1.1.1.19
schémaétenduApple
Picture,
enregistréparApple
apple-user-picture
1.3.6.1.4.1.63.1000.1.1.1.1.12
schémaétenduApple
GeneratedUID,
enregistréparApple
apple-generateduid
1.3.6.1.4.1.63.1000.1.1.1.1.20
ÀpartirdeGUID—formaté
RecordName,
RFC2256
cn
2.5.4.3
Généréàpartirdecn,userPrincipal,mail,sAMAccountName
RecordName,
RFC1274
uid
0.9.2342.19200300.100.1.1
Indisponible
EMailAddress,
RFC1274
mail
0.9.2342.19200300.100.1.3
StandardRFC
RealName,
RFC2256
cn
2.5.4.3
1.2.840.113556.1.2.13(Microsoft)
Password,
RFC2256
userPassword
2.5.4.35
Pasdemappage
Comment,
RFC2256
description
2.5.4.13
StandardRFC
LastName,
RFC2256
sn
2.5.4.4
StandardRFC
FirstName,
RFC2256
givenName
2.5.4.42
StandardRFC
PhoneNumber,
RFC2256
telephoneNumber
2.5.4.20
StandardRFC
AddressLIne1,
RFC2256
street
2.5.4.9
StandardRFC
PostalAddress,
RFC2256
postalAddress
2.5.4.16
StandardRFC
PostalCode,
RFC2256
postalCode
2.5.4.17
StandardRFC
NomOpenDirectory,
RFC/classe,
emploispécial
OIDdenomd’attributLDAP
Moduleexterne
ActiveDirectory

AnnexeDonnéesderépertoireMacOSX 279
OrganizationName,
RFC2256
o
2.5.4.10
1.2.840.113556.1.2.146(Microsoft)
UserShell,
RFC2307
loginShell
1.3.6.1.1.1.1.4
Étenduàl’aidedeRFC
Change,
RFC2307
shadowLastChange
1.3.6.1.1.1.1.5
Pasdemappage
Expire,
RFC2307
shadowExpire
1.3.6.1.1.1.1.10
Pasdemappage
UniqueID,
RFC2307
uidNumber
1.3.6.1.1.1.1.0
GénéréàpartirdeGUID
NFSHomeDirectory,
RFC2307
homeDirectory
1.3.6.1.1.1.1.3
GénéréàpartirdehomeDirectory
PrimaryGroupID,
RFC2307
gidNumber
1.3.6.1.1.1.1.1
Étenduàl’aidedeRFCou
généréàpartirdeGUID
SMBAccountFlags,
enregistréparSamba,
ApplePDC
acctFlags
1.3.6.1.4.1.7165.2.1.4
1.2.840.113556.1.4.302(Microsoft)
SMBPasswordLastSet,
enregistréparSamba,
ApplePDC
pwdLastSet
1.3.6.1.4.1.7165.2.1.3
1.2.840.113556.1.4.96(Microsoft)
SMBLogonTime,
enregistréparSamba,
ApplePDC
logonTime
1.3.6.1.4.1.7165.2.1.5
1.2.840.113556.1.4.52(Microsoft)
SMBLogoffTime,
enregistréparSamba,
ApplePDC
logoffTime
1.3.6.1.4.1.7165.2.1.6
1.2.840.113556.1.4.51(Microsoft)
SMBKickoffTime,
enregistréparSamba,
ApplePDC
kickoffTime
1.3.6.1.4.1.7165.2.1.7
Pasdemappage
SMBHomeDrive,
enregistréparSamba,
ApplePDC
homeDrive
1.3.6.1.4.1.7165.2.1.10
1.2.840.113556.1.4.45(Microsoft)
SMBScriptPath,
enregistréparSamba,
ApplePDC
scriptPath
1.3.6.1.4.1.7165.2.1.11
1.2.840.113556.1.4.62(Microsoft)
SMBProfilePath,
enregistréparSamba,
ApplePDC
profilePath
1.3.6.1.4.1.7165.2.1.12
1.2.840.113556.1.4.139(Microsoft)
SMBUserWorkstations,
enregistréparSamba,
ApplePDC
userWorkstations
1.3.6.1.4.1.7165.2.1.13
1.2.840.113556.1.4.86(Microsoft)
NomOpenDirectory,
RFC/classe,
emploispécial
OIDdenomd’attributLDAP
Moduleexterne
ActiveDirectory

280 AnnexeDonnéesderépertoireMacOSX
Mappagesdegroupes(Groups)
LestableauxsuivantsspécifientlamanièredontlemoduleLDAPv3d’Utilitairederépertoiremappeletyped’enregistrementsetlesattributsdegroupesOpenDirectorysur
lesclassesd’objetsLDAP.
LestableauxspécifientégalementlamanièredontlemoduleActiveDirectoryd’Utilitairederépertoiremappeetgénèredesattributsetdescatégoriesd’objetsActive
Directoryàpartird’attributsetdetypesd’enregistrementsOpenDirectory.
SMBHome,
enregistréparSamba,
ApplePDC
smbHome
1.3.6.1.4.1.7165.2.1.17
1.2.840.113556.1.4.44(Microsoft)
SMBRID,
enregistréparSamba,
ApplePDC
rid
1.3.6.1.4.1.7165.2.1.14
1.2.840.113556.1.4.153(Microsoft)
SMBGroupRID,
enregistréparSamba,
ApplePDC
primaryGroupID
1.3.6.1.4.1.7165.2.1.15
1.2.840.113556.1.4.98(Microsoft)
FaxNumber,
RFC2256
fax
2.5.4.23
StandardRFC
MobileNumber,
RFC1274
mobile
0.9.2342.19200300.100.1.41
StandardRFC
PagerNumber,
RFC1274
pager
0.9.2342.19200300.100.1.42
StandardRFC
Department,
RFC2798,
departmentNumber
2.16.840.1.113730.3.1.2
1.2.840.113556.1.2.141(Microsoft)
NickName,
MicrosoftAttribute
1.2.840.113556.1.2.447(Microsoft)
JobTitle,
RFC2256
title
2.5.4.12
StandardRFC
Building,
RFC2256
buildingName
2.5.4.19
StandardRFC
Country,
RFC2256
c
2.5.4.6
StandardRFC
Street,
RFC2256
street
2.5.4.9
1.2.840.113556.1.2.256(Microsoft)
City,
RFC2256
locality
2.5.4.7
StandardRFC
State,
RFC2256
st
2.5.4.8
StandardRFC
NomOpenDirectory,
RFC/classe,
emploispécial
OIDdenomd’attributLDAP
Moduleexterne
ActiveDirectory

AnnexeDonnéesderépertoireMacOSX 281
Mappagesdestypesd’enregistrementsdegroupes(Groups)
Mappagedesattributsdegroupes(Groups)
NomOpenDirectory,
RFC/classe
OIDdenomdeclassed’objets
LDAP
ModuleexterneActive
Directory
Groups,
RFC2307
posixGroup
1.3.6.1.1.1.2.2
objectCategory=Group
Groups,
enregistréparApple
apple-group
1.3.6.1.4.1.63.1000.1.1.2.14
schémaétenduApple
NomOpenDirectory,
RFC/classe
OIDdenomd’attributLDAP
ModuleexterneActive
Directory
RecordName,
RFC2256
cn
2.5.4.3
StandardRFC
HomeDirectory,
enregistréparApple
apple-group-homeurl
1.3.6.1.4.1.63.1000.1.1.1.14.1
schémaétenduApple
HomeLocOwner,
enregistréparApple
apple-group-homeowner
1.3.6.1.4.1.63.1000.1.1.1.14.2
schémaétenduApple
MCXFlags,
enregistréparApple
apple-mcxflags
1.3.6.1.4.1.63.1000.1.1.1.1.10
schémaétenduApple
MCXSettings,
enregistréparApple
apple-mcxsettings
1.3.6.1.4.1.63.1000.1.1.1.1.16
schémaétenduApple
RealName,
enregistréparApple
apple-group-realname
1.3.6.1.4.1.63.1000.1.1.1.14.5
1.2.840.113556.1.2.13(Microsoft)
Picture,
enregistréparApple
apple-user-picture
1.3.6.1.4.1.63.1000.1.1.1.1.12
schémaétenduApple
Keywords,
enregistréparApple
apple-keyword
1.3.6.1.4.1.63.1000.1.1.1.1.19
schémaétenduApple
GeneratedUID,
enregistréparApple
apple-generateduid
1.3.6.1.4.1.63.1000.1.1.1.1.20
ÀpartirdeGUID—formaté
GroupMembership,
RFC2307
memberUid
1.3.6.1.1.1.1.12
Généréàpartirdemember
Member,
RFC2307
memberUid
1.3.6.1.1.1.1.12
IdemGroupMembership
PrimaryGroupID,
RFC2307
gidNumber
1.3.6.1.1.1.1.1
Étenduàl’aidedeRFCou
généréàpartirdeGUID

282 AnnexeDonnéesderépertoireMacOSX
Mappagesdemontages(Mounts)
LestableauxsuivantsdécriventlamanièredontlemoduleLDAPv3d’Utilitairede
répertoiremappeletyped’enregistrementetlesattributsOpenDirectoryMounts
verslesclassesd’objetsetlesattributsLDAP.
LestableauxspécifientégalementlamanièredontlemoduleActiveDirectoryd’Utilitaire
derépertoiremappeetgénèredesattributsetdescatégoriesd’objetsActiveDirectoryà
partird’attributsetdetypesd’enregistrementsOpenDirectory.
Mappagesdestypesd’enregistrementsdemontages(Mounts)
Mappagesdesattributsdemontages(Mounts)
Mappagesd’ordinateurs(Computers)
LestableauxsuivantsspécifientlamanièredontlemoduleLDAPv3d’Utilitairederépertoiremappeletyped’enregistrementsetlesattributsOpenDirectoryComputerssur
lesclassesd’objetsLDAP.
LestableauxspécifientégalementlamanièredontlemoduleActiveDirectoryd’Utilitairederépertoiremappeetgénèredesattributsetdescatégoriesd’objetsActive
Directoryàpartird’attributsetdetypesd’enregistrementsOpenDirectory.
NomOpenDirectory,
RFC/classe
OIDdenomdeclassed’objets
LDAP
ModuleexterneActive
Directory
Mounts,
enregistréparApple
mount
1.3.6.1.4.1.63.1000.1.1.2.8
schémaétenduApple
NomOpenDirectory,
RFC/classe
OIDdenomd’attributLDAP
ModuleexterneActive
Directory
RecordName,
RFC2256
cn
2.5.4.3
StandardRFC
VFSLinkDir,
enregistréparApple
mountDirectory
1.3.6.1.4.1.63.1000.1.1.1.8.1
schémaétenduApple
VFSOpts,
enregistréparApple
mountOption
1.3.6.1.4.1.63.1000.1.1.1.8.3
schémaétenduApple
VFSType,
enregistréparApple
mountType
1.3.6.1.4.1.63.1000.1.1.1.8.2
schémaétenduApple
VFSDumpFreq,
enregistréparApple
mountDumpFrequency
1.3.6.1.4.1.63.1000.1.1.1.8.4
schémaétenduApple
VFSPassNo,
enregistréparApple
mountPassNo
1.3.6.1.4.1.63.1000.1.1.1.8.5
schémaétenduApple

AnnexeDonnéesderépertoireMacOSX 283
Mappagesdestypesd’enregistrementsd’ordinateurs(Computers)
Mappagesdesattributsd’ordinateurs(Computers)
NomOpenDirectory,
RFC/classe
OIDdenomdeclassed’objets
LDAP
Moduleexterne
ActiveDirectory
Computers,
enregistréparApple
apple-computer
1.3.6.1.4.1.63.1000.1.1.2.10
objectCategory=Computer
NomOpenDirectory,
RFC/classe,
emploispécial
OIDdenomd’attributLDAP
Moduleexterne
ActiveDirectory
RecordName,
RFC2256
cn
2.5.4.3
StandardRFC
RealName,
enregistréparApple
apple-realname
1.3.6.1.4.1.63.1000.1.1.1.10.2
1.2.840.113556.1.2.13(Microsoft)
MCXFlags,
enregistréparApple
apple-mcxflags
1.3.6.1.4.1.63.1000.1.1.1.1.10
schémaétenduApple
MCXSettings,
enregistréparApple
apple-mcxsettings
1.3.6.1.4.1.63.1000.1.1.1.1.16
schémaétenduApple
Group,
enregistréparApple
apple-computer-list-groups
1.3.6.1.4.1.63.1000.1.1.1.11.4
schémaétenduApple
AuthenticationAuthority,
enregistréparApple
authAuthority
1.3.6.1.4.1.63.1000.1.1.2.16.1
Indisponible
GeneratedUID,
enregistréparApple
apple-generateduid
1.3.6.1.4.1.63.1000.1.1.1.1.20
ÀpartirdeGUID—formaté
XMLPlist,
enregistréparApple
apple-xmlplist
1.3.6.1.4.1.63.1000.1.1.1.17.1
schémaétenduApple
Comment,
RFC2256
description
2.5.4.13
StandardRFC
ENetAddress,
RFC2307
macAddress
1.3.6.1.1.1.1.22
Étenduàl’aidedeRFC
UniqueID,
RFC2307
uidNumber
1.3.6.1.1.1.1.0
GénéréàpartirdeGUID
PrimaryGroupID,
RFC2307
gidNumber
1.3.6.1.1.1.1.1
Étenduàl’aidedeRFCou
généré
SMBAccountFlags,
enregistréparSamba,
ApplePDC
acctFlags
1.3.6.1.4.1.7165.2.1.4
1.2.840.113556.1.4.302(Microsoft)
SMBPasswordLastSet,
enregistréparSamba,
ApplePDC
pwdLastSet
1.3.6.1.4.1.7165.2.1.3
1.2.840.113556.1.4.96(Microsoft)
SMBLogonTime,
enregistréparSamba,
ApplePDC
logonTime
1.3.6.1.4.1.7165.2.1.5
1.2.840.113556.1.4.52(Microsoft)

284 AnnexeDonnéesderépertoireMacOSX
Mappagesdelistesd’ordinateurs(ComputerLists)
LestableauxsuivantsspécifientlamanièredontlemoduleLDAPv3d’Utilitairederépertoiremappeletyped’enregistrementsetlesattributsOpenDirectoryComputerLists
verslesclassesd’objetsLDAP.
LestableauxspécifientégalementlamanièredontlemoduleActiveDirectoryd’Utilitairederépertoiremappeetgénèredesattributsetdescatégoriesd’objetsActive
Directoryàpartird’attributsetdetypesd’enregistrementsOpenDirectory.
Mappagesdestypesd’enregistrementsdelistesd’ordinateurs(ComputerLists)
Mappagesdesattributspourlistesd’ordinateurs(ComputerLists)
SMBLogoffTime,
enregistréparSamba,
ApplePDC
logoffTime
1.3.6.1.4.1.7165.2.1.6
1.2.840.113556.1.4.51(Microsoft)
SMBKickoffTime,
enregistréparSamba,
ApplePDC
kickoffTime
1.3.6.1.4.1.7165.2.1.7
Pasdemappage
SMBRID,
enregistréparSamba,
ApplePDC
rid
1.3.6.1.4.1.7165.2.1.14
1.2.840.113556.1.4.153(Microsoft)
SMBGroupID,
enregistréparSamba,
ApplePDC
primaryGroupID
1.3.6.1.4.1.7165.2.1.15
1.2.840.113556.1.4.98(Microsoft)
NomOpenDirectory,
RFC/classe,
emploispécial
OIDdenomd’attributLDAP
Moduleexterne
ActiveDirectory
NomOpenDirectory,
RFC/classe
OIDdenomdeclassed’objets
LDAP
ModuleexterneActive
Directory
ComputerLists,
enregistréparApple
apple-computer-list
1.3.6.1.4.1.63.1000.1.1.2.11
schémaétenduApple
NomOpenDirectory,
RFC/classe
OIDdenomd’attributLDAP
ModuleexterneActive
Directory
RecordName,
RFC2256
cn
2.5.4.3
StandardRFC
MCXFlags,
enregistréparApple
apple-mcxflags
1.3.6.1.4.1.63.1000.1.1.1.1.10
schémaétenduApple
MCXSettings,
enregistréparApple
apple-mcxsettings
1.3.6.1.4.1.63.1000.1.1.1.1.16
schémaétenduApple
Computers,
enregistréparApple
apple-computers
1.3.6.1.4.1.63.1000.1.1.1.11.3
schémaétenduApple

AnnexeDonnéesderépertoireMacOSX 285
Mappagesdeconfigurations(Config)
LestableauxsuivantsspécifientlamanièredontlemoduleLDAPv3d’Utilitairede
répertoiremappeletyped’enregistrementsetlesattributsOpenDirectoryConfig
verslesclassesd’objetsLDAP.
LestableauxspécifientégalementlamanièredontlemoduleActiveDirectoryd’Utilitaire
derépertoiremappeetgénèredesattributsetdescatégoriesd’objetsActiveDirectoryà
partird’attributsetdetypesd’enregistrementsOpenDirectory.
Mappagesdestypesd’enregistrementsdeconfigurations(Config)
Mappagesdesattributsdeconfigurations(Config)
Group,
enregistréparApple
apple-computer-list-groups
1.3.6.1.4.1.63.1000.1.1.1.11.4
schémaétenduApple
Keywords,
enregistréparApple
apple-keyword
1.3.6.1.4.1.63.1000.1.1.1.1.19
schémaétenduApple
NomOpenDirectory,
RFC/classe
OIDdenomd’attributLDAP
ModuleexterneActive
Directory
NomOpenDirectory,
RFC/classe
OIDdenomdeclassed’objets
LDAP
ModuleexterneActive
Directory
Config,
enregistréparApple
apple-configuration
1.3.6.1.4.1.63.1000.1.1.2.12
schémaétenduApple
NomOpenDirectory,
RFC/classe,
emploispécial
OIDdenomd’attributLDAP
ModuleexterneActiveDirectory
RecordName,
RFC2256
cn
2.5.4.3
StandardRFC
RealName,
enregistréparApple
apple-config-realname
1.3.6.1.4.1.63.1000.1.1.1.12.3
1.2.840.113556.1.2.13(Microsoft)
DataStamp,
enregistréparApple
apple-data-stamp
1.3.6.1.4.1.63.1000.1.1.1.12.2
schémaétenduApple
KDCAuthKey,
enregistréparApple,
AppleKDC
apple-kdc-authkey
1.3.6.1.4.1.63.1000.1.1.1.12.7
Pasdemappage
KDCConfigData,
enregistréparApple,
AppleKDC
apple-kdc-configdata
1.3.6.1.4.1.63.1000.1.1.1.12.8
Pasdemappage
Keywords,
enregistréparApple
apple-keyword
1.3.6.1.4.1.63.1000.1.1.1.1.19
schémaétenduApple
LDAPReadReplicas,
enregistréparApple,
AppleLDAPServer
apple-ldap-replica
1.3.6.1.4.1.63.1000.1.1.1.12.5
Pasdemappage

286 AnnexeDonnéesderépertoireMacOSX
Mappagesdepersonnes(People)
LestableauxsuivantsspécifientlamanièredontlemoduleLDAPv3d’Utilitairederépertoiremappeletyped’enregistrementsetlesattributsOpenDirectoryPeopleavecles
classesd’objetsLDAP.
LestableauxspécifientégalementlamanièredontlemoduleActiveDirectoryd’Utilitairederépertoiremappeetgénèredesattributsetdescatégoriesd’objetsActive
Directoryàpartird’attributsetdetypesd’enregistrementsOpenDirectory.
Mappagesdestypesd’enregistrementsdepersonnes(People)
Mappagedesattributsdepersonnes(People)
LDAPWriteReplicas,
enregistréparApple,
AppleLDAPServer
apple-ldap-writable-replica
1.3.6.1.4.1.63.1000.1.1.1.12.6
Pasdemappage
PasswordServerList,
enregistréparApple,
Serveurdemotsdepasse
apple-password-server-list
1.3.6.1.4.1.63.1000.1.1.1.12.4
Pasdemappage
PasswordServerLocation,
enregistréparApple,
Serveurdemotsdepasse
apple-password-server-location
1.3.6.1.4.1.63.1000.1.1.1.12.1
Pasdemappage
XMLPlist,
enregistréparApple
apple-xmlplist
1.3.6.1.4.1.63.1000.1.1.1.17.1
schémaétenduApple
NomOpenDirectory,
RFC/classe,
emploispécial
OIDdenomd’attributLDAP
ModuleexterneActiveDirectory
NomOpenDirectory,
RFC/classe
OIDdenomdeclassed’objets
LDAP
ModuleexterneActive
Directory
People,
RFC2798
inetOrgPerson
2.16.840.1.113730.3.2.2
StandardRFC
NomOpenDirectory,
RFC/classe
OIDdenomd’attributLDAP
ModuleexterneActive
Directory
RecordName,
RFC2256
cn
2.5.4.3
StandardRFC
EMailAddress,
RFC1274
mail
0.9.2342.19200300.100.1.3
StandardRFC
RealName,
RFC2256
cn
1.2.840.113556.1.3.23
StandardRFC
LastName,
RFC2256
sn
2.5.4.4
StandardRFC
FirstName,
RFC2256
givenName
2.5.4.42
StandardRFC

AnnexeDonnéesderépertoireMacOSX 287
Mappagesdelistesd’ordinateurspréréglés(PresetComputerLists)
LestableauxsuivantsspécifientlamanièredontlemoduleLDAPv3d’Utilitairederéper-
toiremappeletyped’enregistrementsetlesattributsOpenDirectoryPresetComputer-
Listsaveclesclassesd’objetsLDAP.
LestableauxspécifientégalementlamanièredontlemoduleActiveDirectoryd’Utilitairederépertoiremappeetgénèredesattributsetdescatégoriesd’objetsActive
Directoryàpartird’attributsetdetypesd’enregistrementsOpenDirectory.
FaxNumber,
RFC2256
fax
2.5.4.23
StandardRFC
MobileNumber,
RFC1274
mobile
0.9.2342.19200300.100.1.41
StandardRFC
PagerNumber,
RFC1274
pager
0.9.2342.19200300.100.1.42
StandardRFC
Department,
RFC2798,
departmentNumber
2.16.840.1.113730.3.1.2
1.2.840.113556.1.2.141(Microsoft)
JobTitle,
RFC2256
title
2.5.4.12
StandardRFC
PhoneNumber,
RFC2256
telephoneNumber
2.5.4.20
StandardRFC
AddressLine1,
RFC2256
street
2.5.4.9
StandardRFC
Street,
RFC2256
street
2.5.4.9
StandardRFC
PostalAddress,
RFC2256
postalAddress
2.5.4.16
StandardRFC
City,
RFC2256
locality
2.5.4.7
StandardRFC
State,
RFC2256
st
2.5.4.8
StandardRFC
Country,
RFC2256
c
2.5.4.6
StandardRFC
PostalCode,
RFC2256
postalCode
2.5.4.17
StandardRFC
OrganizationName,
RFC2256
o
2.5.4.10
1.2.840.113556.1.2.146(Microsoft)
NomOpenDirectory,
RFC/classe
OIDdenomd’attributLDAP
ModuleexterneActive
Directory

288 AnnexeDonnéesderépertoireMacOSX
Mappagesdestypesd’enregistrementsdelistesd’ordinateurspréréglés
(PresetComputerLists)
Mappagesdesattributsdelistesd’ordinateurspréréglés(PresetComputerLists)
Mappagesdegroupespréréglés(PresetGroups)
LestableauxsuivantsspécifientlamanièredontlemoduleLDAPv3d’Utilitairederépertoiremappeletyped’enregistrementsetlesattributsOpenDirectoryPresetGroups
aveclesclassesd’objetsLDAP.
LestableauxspécifientégalementlamanièredontlemoduleActiveDirectoryd’Utilitairederépertoiremappeetgénèredesattributsetdescatégoriesd’objetsActive
Directoryàpartird’attributsetdetypesd’enregistrementsOpenDirectory.
Mappagesdestypesd’enregistrementsdegroupespréréglés(PresetGroups)
Mappagesdesattributsdegroupespréréglés(PresetGroups)
NomOpenDirectory,
RFC/classe
OIDdenomdeclassed’objets
LDAP
ModuleexterneActive
Directory
PresetComputerLists,
enregistréparApple
apple-preset-computer-list
1.3.6.1.4.1.63.1000.1.1.2.13
schémaétenduApple
NomOpenDirectory,
RFC/classe
OIDdenomd’attributLDAP
ModuleexterneActive
Directory
RecordName,
RFC2256
cn
2.5.4.3
StandardRFC
MCXFlags,
enregistréparApple
apple-mcxflags
1.3.6.1.4.1.63.1000.1.1.1.1.10
schémaétenduApple
MCXSettings,
enregistréparApple
apple-mcxsettings
1.3.6.1.4.1.63.1000.1.1.1.1.16
schémaétenduApple
Keywords,
enregistréparApple
apple-keyword
1.3.6.1.4.1.63.1000.1.1.1.1.19
schémaétenduApple
NomOpenDirectory,
RFC/classe
OIDdenomdeclassed’objets
LDAP
ModuleexterneActive
Directory
PresetGroups,
enregistréparApple
apple-preset-group
1.3.6.1.4.1.63.1000.1.1.3.14
schémaétenduApple
NomOpenDirectory,
RFC/classe
OIDdenomd’attributLDAP
ModuleexterneActive
Directory
HomeDirectory,
enregistréparApple
apple-group-homeurl
1.3.6.1.4.1.63.1000.1.1.1.1.6
schémaétenduApple
HomeLocOwner,
enregistréparApple
apple-group-homeowner
1.3.6.1.4.1.63.1000.1.1.1.14.2
schémaétenduApple

AnnexeDonnéesderépertoireMacOSX 289
Mappagesd’utilisateurspréréglés(PresetUsers)
LestableauxsuivantsspécifientlamanièredontlemoduleLDAPv3d’Utilitairederépertoiremappeletyped’enregistrementsetlesattributsOpenDirectoryPresetUsersavec
lesclassesd’objetsLDAP.
LestableauxspécifientégalementlamanièredontlemoduleActiveDirectoryd’Utilitairederépertoiremappeetgénèredesattributsetdescatégoriesd’objetsActive
Directoryàpartird’attributsetdetypesd’enregistrementsOpenDirectory.
Mappagesdestypesd’enregistrementsd’utilisateurspréréglés(PresetUsers)
Mappagesdesattributsd’utilisateurspréréglés(PresetUsers)
MCXFlags,
enregistréparApple
apple-mcxflags
1.3.6.1.4.1.63.1000.1.1.1.1.10
schémaétenduApple
MCXSettings,
enregistréparApple
apple-mcxsettings
1.3.6.1.4.1.63.1000.1.1.1.1.16
schémaétenduApple
RealName,
enregistréparApple
apple-group-realname
1.3.6.1.4.1.63.1000.1.1.1.14.5
schémaétenduApple
Keywords,
enregistréparApple
apple-keyword
1.3.6.1.4.1.63.1000.1.1.1.1.19
schémaétenduApple
RecordName,
RFC2256
cn
2.5.4.3
StandardRFC
GroupMembership,
RFC2307
memberUid
1.3.6.1.1.1.1.12
Étenduàl’aidedeRFC
PrimaryGroupID,
RFC2307
gidNumber
1.3.6.1.1.1.1.1
Étenduàl’aidedeRFC
NomOpenDirectory,
RFC/classe
OIDdenomd’attributLDAP
ModuleexterneActive
Directory
NomOpenDirectory,
RFC/classe
OIDdenomdeclassed’objets
LDAP
ModuleexterneActive
Directory
PresetUsers,
enregistréparApple
apple-preset-user
1.3.6.1.4.1.63.1000.1.1.2.15
ObjectCategory=Person
NomOpenDirectory,
RFC/classe
OIDdenomd’attributLDAP
ModuleexterneActive
Directory
HomeDirectory,
enregistréparApple
apple-user-homeurl
1.3.6.1.4.1.63.1000.1.1.1.1.6
Indisponible
HomeDirectoryQuota,
enregistréparApple
apple-user-homequota
1.3.6.1.4.1.63.1000.1.1.1.1.8
schémaétenduApple
HomeDirectorySoftQuota,
enregistréparApple
apple-user-homesoftquota
1.3.6.1.4.1.63.1000.1.1.1.1.17
schémaétenduApple
MailAttribute,
enregistréparApple
apple-user-mailattribute
1.3.6.1.4.1.63.1000.1.1.1.1.9
schémaétenduApple

290 AnnexeDonnéesderépertoireMacOSX
Mappagesd’imprimantes(Printers)
LestableauxsuivantsspécifientlamanièredontlemoduleLDAPv3d’Utilitairederépertoiremappeletyped’enregistrementsetlesattributsOpenDirectoryPrintersavecles
classesd’objetsLDAP.
PrintServiceUserData,
enregistréparApple
apple-user-printattribute
1.3.6.1.4.1.63.1000.1.1.1.1.13
schémaétenduApple
MCXFlags,
enregistréparApple
apple-mcxflags
1.3.6.1.4.1.63.1000.1.1.1.1.10
schémaétenduApple
MCXSettings,
enregistréparApple
apple-mcxsettings
1.3.6.1.4.1.63.1000.1.1.1.1.16
schémaétenduApple
AdminLimits,
enregistréparApple
apple-user-adminlimits
1.3.6.1.4.1.63.1000.1.1.1.1.14
schémaétenduApple
Picture,
enregistréparApple
apple-user-picture
1.3.6.1.4.1.63.1000.1.1.1.1.12
schémaétenduApple
AuthenticationAuthority,
enregistréparApple
authAuthority
1.3.6.1.4.1.63.1000.1.1.2.16.1
Indisponible
PasswordPolicyOptions,
enregistréparApple
apple-user-passwordpolicy
1.3.6.1.4.1.63.1000.1.1.1.1.18
schémaétenduApple
PresetUserIsAdmin,
enregistréparApple
apple-preset-user-is-admin
1.3.6.1.4.1.63.1000.1.1.1.15.1
schémaétenduApple
Keywords,
enregistréparApple
apple-keyword
1.3.6.1.4.1.63.1000.1.1.1.1.19
schémaétenduApple
RecordName,
RFC1274
cn
2.5.4.3
StandardRFC
RealName,
RFC2256
cn
2.5.4.3
StandardRFC
Password,
RFC2256
userPassword
2.5.4.35
Indisponible
GroupMembership,
RFC2307
memberUid
1.3.6.1.1.1.1.12
Étenduàl’aidedeRFC
PrimaryGroupID,
RFC2307
gidNumber
1.3.6.1.1.1.1.1
Étenduàl’aidedeRFC
NFSHomeDirectory,
RFC2307
homeDirectory
1.3.6.1.1.1.1.3
Indisponible
UserShell,
RFC2307
loginShell
1.3.6.1.1.1.1.4
Étenduàl’aidedeRFC
Change,
RFC2307
shadowLastChange
1.3.6.1.1.1.1.5
Indisponible
Expire,
RFC2307
shadowExpire
1.3.6.1.1.1.1.10
Indisponible
NomOpenDirectory,
RFC/classe
OIDdenomd’attributLDAP
ModuleexterneActive
Directory

AnnexeDonnéesderépertoireMacOSX 291
LestableauxspécifientégalementlamanièredontlemoduleActiveDirectoryd’Utilitairederépertoiremappeetgénèredesattributsetdescatégoriesd’objetsActive
Directoryàpartird’attributsetdetypesd’enregistrementsOpenDirectory.
Mappagesdestypesd’enregistrementsd’imprimantes(Printers)
Mappagesdesattributsd’imprimantes(Printers)
NomOpenDirectory,
RFC/classe
OIDdenomdeclassed’objets
LDAP
ModuleexterneActive
Directory
Printers,
enregistréparApple
apple-printer
1.3.6.1.4.1.63.1000.1.1.2.9
ObjectCategory=Print-Queue
Printers,
IETF-Draft-IPP-LDAP
printerIPP
1.3.18.0.2.6.256
NomOpenDirectory,
RFC/classe,
emploispécial
OIDdenomd’attributLDAP
ModuleexterneActiveDirectory
RecordName,
RFC2256
cn
2.5.4.3
StandardRFC
RealName,
RFC2256
Nonprémappé
1.2.840.113556.1.4.300(Microsoft)
PrinterLPRHost,
enregistréparApple,
gestionhéritée
apple-printer-lprhost
1.3.6.1.4.1.63.1000.1.1.1.9.2
Indisponible
PrinterLPRQueue,
enregistréparApple,
gestionhéritée
apple-printer-lprqueue
1.3.6.1.4.1.63.1000.1.1.1.9.3
Indisponible
PrinterType,
enregistréparApple,
gestionhéritée
apple-printer-type
1.3.6.1.4.1.63.1000.1.1.1.9.4
Indisponible
PrinterNote,
enregistréparApple,
gestionhéritée
apple-printer-note
1.3.6.1.4.1.63.1000.1.1.1.9.5
Indisponible
Location,
IETF-Draft-IPP-LDAP
Nonprémappé;pourraitêtre
mappévers:printer-location
1.3.18.0.2.4.1136
1.2.840.113556.1.4.222(Microsoft)
Comment,
RFC2256
Nonprémappé;pourraitêtre
mappévers:description
2.5.4.13
StandardRFC
PrinterMakeAndModel,
IETF-Draft-IPP-LDAP
Nonprémappé;pourraitêtre
mappévers:printer-make-andmodel
1.3.18.0.2.4.1138
1.2.840.113556.1.4.229(Microsoft)
PrinterURI,
IETF-Draft-IPP-LDAP
Nonprémappé;pourraitêtre
mappévers:printer-uri
1.3.18.0.2.4.1140
GénéréàpartirdeuNCName

292 AnnexeDonnéesderépertoireMacOSX
Mappagesdeconfigurationsautomatiquesdeserveur
(AutoServerSetup)
LestableauxsuivantsspécifientlamanièredontlemoduleLDAPv3d’Utilitairederépertoiremappeletyped’enregistrementsetlesattributsOpenDirectoryAutoServerSetup
aveclesclassesd’objetsLDAP.
LestableauxspécifientégalementlamanièredontlemoduleActiveDirectoryd’Utilitairederépertoiremappeetgénèredesattributsetdescatégoriesd’objetsActive
Directoryàpartird’attributsetdetypesd’enregistrementsOpenDirectory.
Mappagesdestypesd’enregistrementsdeconfigurationsautomatiquesdeserveur(AutoServerSetup)
Mappagesdesattributsd’enregistrementsdeconfigurationsautomatiques
deserveur(AutoServerSetup)
Mappagesd’emplacements(Locations)
LestableauxsuivantsspécifientlamanièredontlemoduleLDAPv3d’Utilitairederépertoiremappeletyped’enregistrementsetlesattributsOpenDirectoryLocationsavec
lesclassesd’objetsLDAP.
PrinterXRISupported,
IETF-Draft-IPP-LDAP
Nonprémappé;pourraitêtre
mappévers:printer-xri-supported
1.3.18.0.2.4.1107
GénéréàpartirdeportName/
uNCName
Printer1284DeviceID,
enregistréparApple
Nonprémappé;pourraitêtre
mappévers:printer-1284-
device-id
1.3.6.1.4.1.63.1000.1.1.1.9.6
schémaétenduApple
NomOpenDirectory,
RFC/classe,
emploispécial
OIDdenomd’attributLDAP
ModuleexterneActiveDirectory
NomOpenDirectory,
RFC/classe
OIDdenomdeclassed’objets
LDAP
ModuleexterneActive
Directory
AutoServerSetup,
enregistréparApple
apple-serverassistant-config
1.3.6.1.4.1.63.1000.1.1.2.17
schémaétenduApple
NomOpenDirectory,
RFC/classe
OIDdenomd’attributLDAP
ModuleexterneActive
Directory
RecordName,
RFC2256
cn
2.5.4.3
StandardRFC
XMLPlist,
enregistréparApple
apple-xmlplist
1.3.6.1.4.1.63.1000.1.1.1.17.1
schémaétenduApple

LestableauxspécifientégalementlamanièredontlemoduleActiveDirectoryd’Utilitairederépertoiremappeetgénèredesattributsetdescatégoriesd’objetsActive
Directoryàpartird’attributsetdetypesd’enregistrementsOpenDirectory.
Mappagesdestypesd’enregistrementsd’emplacements(Locations)
NomOpenDirectory,
RFC/classe
Locations,
enregistréparApple
OIDdenomdeclassed’objets
LDAP
apple-location
1.3.6.1.4.1.63.1000.1.1.2.18
ModuleexterneActive
Directory
schémaétenduApple
Mappagesdesattributsd’emplacements(Locations)
NomOpenDirectory,
RFC/classe
RecordName,
RFC2256
DNSDomain,
enregistréparApple
DNSNameServer,
enregistréparApple
OIDdenomd’attributLDAP
cn
2.5.4.3
apple-dns-domain
1.3.6.1.4.1.63.1000.1.1.1.18.1
apple-dns-nameserver
1.3.6.1.4.1.63.1000.1.1.1.18.2
ModuleexterneActive
Directory
StandardRFC
schémaétenduApple
schémaétenduApple
typesd’enregistrementsetattributsOpenDirectorystandard
Pourensavoirplussurlestypesd’enregistrementsetlesattributsstandarddansles
domainesOpenDirectory,consultezlesrubriquessuivantes:
 «Attributsstandarddanslesenregistrementsd’utilisateurs»àlapage293
 «Attributsstandarddanslesenregistrementsdegroupes»àlapage299
 «Attributsstandarddanslesenregistrementsd’ordinateurs»àlapage300
 «Attributsstandarddanslesenregistrementsdegroupesd’ordinateurs»
àlapage301
 «Attributsstandarddanslesenregistrementsdemontages»àlapage302
 «Attributsstandarddanslesenregistrementsdeconfigurations»àlapage303
Pourobtenirunelistecomplètedestypesd’enregistrementsetdesattributsstandard,
consultezlefichiersuivant:
/System/Library/Frameworks/DirectoryService.framework/Headers/DirServicesConst.h
Attributsstandarddanslesenregistrementsd’utilisateurs
Letableausuivantdécritlesattributsstandardfigurantdanslesenregistrementsd’utilisateursOpenDirectory.UtilisezcesinformationslorsquevoustravaillezdanslasousfenêtreInspecteurdeGestionnairedegroupedetravailoulorsquevousmappezdes
attributsd’enregistrementsd’utilisateursavecUtilitairederépertoire.
AnnexeDonnéesderépertoireMacOSX 293

294 AnnexeDonnéesderépertoireMacOSX
Important:lorsdumappagedesattributsd’utilisateursMacOSXsurundomainede
répertoireLDAPenlecture/écriture(undomaineLDAPquin’estpasenlectureseule),
nemappezpasl’attributRealNameetlepremierattributRecordNamesurlemême
attributLDAP.
Parexemple,nemappezpasàlafoisRealNameetRecordNamesurl’attributcn.SiReal-
NameetRecordNamesontmappéssurlemêmeattributLDAP,desproblèmesseproduirontlorsquevousessaierezdemodifierlenomcompletoulepremiernomabrégé
dansGestionnairedegroupedetravail.
Attributd’utilisateurMacOSX Format Exemplesdevaleurs
Nomdel’entrée:
Unelistedenomsassociésàun
utilisateur.Lepremiernomestle
nomabrégédel’utilisateurainsi
quelenomdudossierdedépart
decedernier.
IMPORTANTTouslesattributs
utiliséspourl’authentification
doiventêtremappéssurRecord-
Name.
Premièrevaleur:caractères
ASCIIdeAàZ,aàz,0à9,_,-
Deuxièmevaleur:texteromain
UTF-8
Jean
JeanD.
J.Dupont
Longueurnonnulle,de1à16
valeurs.Maximum255octets
(de85caractèrestripleoctetsà
255caractèresd’unoctet)par
instance.
Lapremièrevaleurdoitêtre1à
8octetspourlesclientsquiutilisentMacOSX10.1ouantérieur.
Nomréel:
Unnom,habituellementlenom
completdel’utilisateur;nonutilisépourl’authentification.
TexteUTF-8
JeanDupont.
Longueurnonnulle,d’unmaximumde255octets(soit85
caractèrestripleoctetsou255
caractèresd’unoctet).
Identifiantunique:
Identifiantutilisateurunique,utilisépourlagestiondesautorisationsd’accès.
ChaîneASCIIsignéeà32bits,
composéedechiffresde0à9
Lesvaleursinférieuresà500
peuventavoirunesignification
particulière.Lesvaleursinférieuresà100sontgénéralement
attribuéesauxcomptesdesystème.Zéroestréservéausystème.
Normalementuniqueparrapportauxautresutilisateursmais
parfoisendouble.
Avertissement:unevaleurnon
entièreestinterprétéecomme
un0,c’est-à-direl’identificateur
uniqueducomptedel’’utilisateurroot.
Identifiantdegroupeprincipal:
Associationdegroupeprincipal
d’utilisateur
ChaîneASCIIsignéeà32bits,
composéedechiffresde0à9
Plagede1à2.147.483.648
Normalementuniquedanstous
lesenregistrementsdegroupe.
Sivide,lavaleursupposéeest
20.

AnnexeDonnéesderépertoireMacOSX 295
Répertoired’accueilNFS:
Chemind’accèsaudossierde
départdel’utilisateur,dansle
systèmedefichierslocal.
TexteUTF-8
/Network/Servers/example/
Users/K-M/TomKing
Longueurnonnulle.Maximum
255octets.
Répertoired’accueil
Emplacementd’undossierde
départAFP.
TexteXMLUTF-8
afp://server/sharept
usershomedir
Dansl’exempleci-dessous,le
dossierdedépartdeTomKing
estK-M/TomKing,quirésideen
dessousdurépertoiredupoint
departageUtilisateurs:
afp://example.com/
Users
K-M/TomKing
HomeDirectoryQuota:
Quotadedisquedudossierde
départdel’utilisateur.
Texteindiquantlenombre
d’octetsautorisés
Silequotaestde10Mo,la
valeurseralachaînedetexte
«1048576».
Attributdecourrier:
Configurationduservicede
courrierd’unutilisateur.
TexteXMLUTF-8
PrintServiceUserData:
Statistiquesduquotad’impressiond’unutilisateur.
plistXMLUTF-8,valeurunique .
MCXFlags:
S’ilestprésent,MCXSettingsest
chargé;danslecascontraire,il
nel’estpas.Obligatoirepourun
utilisateurgéré.
plistXMLUTF-8,valeurunique
RéglagesMCX:
Préférencesgéréesd’unutilisateur.
plistXMLUTF-8,valeursmultiples
AdminLimits:
AutorisationsaccordéesparGestionnairedegroupedetravailà
unutilisateurquipeutadministrerledomainederépertoire.
plistXMLUTF-8,valeurunique
Motdepasse:
Motdepassedel’utilisateur.
CryptageUNIX
Attributd’utilisateurMacOSX Format Exemplesdevaleurs

296 AnnexeDonnéesderépertoireMacOSX
Image:
Chemind’accèsàunfichier
d’imagereconnuàafficherpour
l’utilisateur.
TexteUTF-8
Maximum255octets.
Commentaires:
Toutedocumentationdevotre
choix.
TexteUTF-8
Jeanestresponsabledumarketing
Maximum32676octets.
Shellutilisateur:
Emplacementdushellpar
défautpourl’envoidecommandesauserveur.
Chemind’accès
/bin/tcsh
/bin/sh
Aucun.Cettevaleurempêcheles
utilisateurspossédantdes
comptesdansledomainede
répertoired’accéderauserveur
àdistanceviaunelignedecommande.
Longueurnonnulle.
Change:
NonutiliséparMacOSXmais
correspondàunepartiedu
schémaLDAPstandard.
Nombre
Expire:
NonutiliséparMacOSXmais
correspondàunepartiedu
schémaLDAPstandard.
Nombre
Droitd’authentification:
Décritlesméthodesd’authentificationdel’utilisateur,comme,
parexemple,OpenDirectory,
MotdepasseshadowouMotde
passecrypté.
Facultatifpourunutilisateurne
possédantqu’unmotdepasse
crypté.
L’absencedecetattributsignifiel’authentificationhéritée
(cryptéeavecGestionnaire
d’authentification,lecas
échéant).
TexteASCII
Lesvaleursdécriventlesméthodesd’authentificationd’utilisateur.
Peutêtremultivalué(parexemple;ApplePasswordServer;et
;Kerberosv5;).
Chaquevaleuraleformatvers;
balise;données(oùversetdonnéespeuventêtrevides).
Motdepassecrypté:;basic;
MotdepasseOpenDirectory
:;ApplePasswordServer;HexID,
clépubliqueduserveurIPaddress:port;Kerberosv5;données
Kerberos
Motdepasseshadow(domaine
derépertoirelocaluniquement)
:
 ;ShadowHash;
 ;ShadowHash;
Attributd’utilisateurMacOSX Format Exemplesdevaleurs

AnnexeDonnéesderépertoireMacOSX 297
Indiced’authentification:
Textedéfiniparl’utilisateurpour
êtreaffichéàtitred’indicede
motdepasse.
TexteUTF-8
Vousavezvujuste.
Maximum255octets.
FirstName:
UtiliséparCarnetd’adresseset
d’autresapplicationsutilisantla
règlederecherchedecontacts.
LastName:
UtiliséparCarnetd’adresseset
d’autresapplicationsutilisantla
règlederecherchedecontacts.
Adressedecourrierélectronique:
Adresseélectroniqueàlaquelle
lecourrierélectroniquedoitêtre
réexpédiélorsqu’unutilisateura
unattributnoMaildéfini.
UtiliséparCarnetd’adresses,
Mailetd’autresapplicationsutilisantlapolitiquederecherche
decontacts.
Touteadresseélectronique
légaleselonRFC822
utilisateur@exemple.com
PhoneNumber:
UtiliséparCarnetd’adresseset
d’autresapplicationsutilisant
lapolitiquederecherchede
contacts.
AddressLine1:
UtiliséparCarnetd’adresseset
d’autresapplicationsutilisant
lapolitiquederecherchede
contacts.
PostalAddress:
UtiliséparCarnetd’adresseset
d’autresapplicationsutilisant
lapolitiquederecherchede
contacts.
PostalCode:
UtiliséparCarnetd’adresseset
d’autresapplicationsutilisantla
politiquederecherchedecontacts.
OrganizationName:
UtiliséparCarnetd’adresseset
d’autresapplicationsutilisant
lapolitiquederecherchede
contacts.
Attributd’utilisateurMacOSX Format Exemplesdevaleurs

Donnéesd’utilisateurutiliséesparMacOSXServer
LetableausuivantdécritlamanièredontvotreserveurMacOSXServerutiliselesdonnéesdesenregistrementsd’utilisateursdesdomainesderépertoire.Consultezce
tableaupoursavoirquelssontlesattributs(outypesdedonnées)quelesservicesde
votreserveurs’attendentàtrouverdanslesenregistrementsd’utilisateursdesdomainesderépertoire.
Danslacolonnesituéeleplusàgauche,«Touslesservices»couvreAFP,SMB,FTP,
HTTP,NFS,WebDAV,POP,IMAP,Gestionnairedegroupedetravail,AdminServeur
etlafenêtred’ouverturedesessiondeMacOSX.
Composantduserveur Attributd’utilisateurMacOSX Dépendance
Touslesservices RecordName Requispourl’authentification
Touslesservices Nomréel Requispourl’authentification
Touslesservices AuthenticationAuthority Utilisépourl’authentification
Kerberos,parserveurdemots
depasseetparmotdepasse
shadow
Touslesservices Password Utilisépourl’authentification
élémentaire(motdepasse
crypté)ouLiaisonLDAP
Touslesservices Identifiantunique Nécessairepourl’autorisation
(parexemple,permissionsde
fichieretcomptesdecourrier)
Touslesservices PrimaryGroupID Nécessairepourl’autorisation
(parexemple,permissionsde
fichieretcomptesdecourrier)
ServiceFTP
Serviceweb
ServicedefichiersApple
ServiceNFS
Fenêtred’ouverturedesession
deMacOSX
Préférencesdel’applicationet
préférencessystème
Répertoired’accueil
Répertoired’accueilNFS
Facultatif
Servicedecourrier Attributdecourrier Obligatoirepourouvrirunesessiondansleservicedemessageriedevotreserveur
Servicedecourrier Adresseélectronique Facultatif
298 AnnexeDonnéesderépertoireMacOSX

AnnexeDonnéesderépertoireMacOSX 299
Attributsstandarddanslesenregistrementsdegroupes
Letableausuivantdécritlesattributsstandardfigurantdanslesenregistrementsde
groupesOpenDirectory.UtilisezcesinformationslorsquevoustravaillezdanslasousfenêtreInspecteurdeGestionnairedegroupedetravailoulorsquevousmappezdes
attributsdegroupesavecUtilitairederépertoire.
AttributdegroupeMacOSX Format Exemplesdevaleurs
Nomdel’entrée:
Nomassociéàungroupe
caractèresASCIIAàZ,aàz,
0à9,_
Sciences
Dépt_Sciences
Prof.Sciences
Longueurnonnulle,maximum
255octets(de85caractèrestripleoctetsà255caractèresd’un
octet).
Nomréel:
Habituellementlenomcomplet
dugroupe
TexteUTF-8
Professeursdudépartementde
sciences
Longueurnonnulle,maximum
255octets(de85caractèrestripleoctetsà255caractèresd’un
octet).
Identifiantdegroupeprincipal:
Unidentifiantuniquepourle
groupe
ChaîneASCIIsignéeà32bits,
composéedechiffresde0à9
Normalementuniquedanstous
lesenregistrementsdegroupe.
Membresdugroupe:
Listedenomsabrégésd’enregistrementsd’utilisateursconsidéréscommefaisantpartiedu
groupe
CaractèresASCIIAàZ,aàz,
0à9,_,-
bsmith,jdoe
Peutêtreunelistevide(normalementpourlegroupeprincipal
desutilisateurs).
Répertoired’accueil
Emplacementd’undossierde
départAFPdugroupe
TexteUTF-8structuré
afp://server/sharept
grouphomedir
Dansl’exempleci-dessous,le
dossierdedépartdugroupe
SciencesestK-M/Science,qui
résideendessousdurépertoire
depointdepartageGroupes:
afp://exemple.com/Groupes
K-M/Science
Member:
MêmedonnéesquepourGroupMembershipmaischacune
étantutiliséepardifférentsservicesdeMacOSXServer
CaractèresASCIIAàZ,aàz,
0à9,_,-
bsmith,jdoe
Peutêtreunelistevide(normalementpourlegroupeprincipal
desutilisateurs).

300 AnnexeDonnéesderépertoireMacOSX
Attributsstandarddanslesenregistrementsd’ordinateurs
Letableausuivantdécritlesattributsstandardfigurantdanslesenregistrementsd’ordinateursOpenDirectory.
Lesenregistrementsd’ordinateursassocientl’adressematérielledel’interfaceEthernet
principaled’unordinateuràunnomattribuéàcetordinateur.Lenomfaitpartied’unenregistrementdegrouped’ordinateurs(similaireàlanotiond’utilisateurdansungroupe).
Utilisezcesinformationslorsquevoustravaillezdanslasous-fenêtreInspecteurdeGestionnairedegroupedetravailoulorsquevousmappezdesattributsd’enregistrements
d’ordinateursavecUtilitairederépertoire.
HomeLocOwner:
Nomabrégédel’utilisateurqui
possèdeledossierdedépartdu
groupe
CaractèresASCIIAàZ,aàz,0à
9,_,-
MCXFlags:
S’ilestprésent,MCXSettingsest
chargé;s’ilestabsent,MCXSettingsn’estpaschargé;requis
pourunutilisateurgéré.
plistXMLUTF-8,valeurunique
RéglagesMCX:
Préférencesd’ungroupedetravail(groupegéré)
plistXMLUTF-8,valeursmultiples
AttributdegroupeMacOSX Format Exemplesdevaleurs
Attributd’ordinateurMacOSX Format Exemplesdevaleurs
Nomdel’entrée:
Nomassociéàunordinateur.
TexteUTF-8
iMac1
Commentaires:
Toutedocumentationdevotre
choix.
TexteUTF-8
EnetAddress:
Lavaleurdecetattributdoit
êtrel’adresseEthernet(appelée
aussiadresseMAC)del’interfaceEthernetintégréedel’ordinateur,mêmesil’ordinateurse
connecteaurépertoireàl’aide
d’uneautreinterfaceréseau,
tellequ’AirPort.
Notationhexa,séparationpar
deux-points;leszérosinitiaux
peuventêtreignorés
00:05:02:b7:b5:88

AnnexeDonnéesderépertoireMacOSX 301
Attributsstandarddanslesenregistrementsdegroupesd’ordinateurs
Letableausuivantdécritlesattributsstandardfigurantdanslesenregistrementsde
groupesd’ordinateursOpenDirectory.Unenregistrementdegrouped’ordinateurs
identifieungrouped’ordinateurs(trèssimilaireàlafaçondontunenregistrement
degroupeidentifieunensembled’utilisateurs).
Utilisezcesinformationslorsquevoustravaillezdanslasous-fenêtreInspecteurdeGestionnairedegroupedetravailoulorsquevousmappezdesattributsd’enregistrements
degroupesd’ordinateursavecUtilitairederépertoire.
MCXFlags:
Utiliséuniquementdansl’enregistrementd’ordinateur
«guest»(invité);s’ilestprésent,MCXSettingsestchargé;
danslecascontraire,ilnel’est
pas;obligatoirepourunordinateurgéré.
plistXMLUTF-8,valeurunique
RéglagesMCX:
Utiliséuniquementdansl’enregistrementd’ordinateur
«guest»(invité);préférences
d’unordinateurgéré.
plistXMLUTF-8,valeursmultiples
Attributd’ordinateurMacOSX Format Exemplesdevaleurs
Attributdegrouped’ordinateursMacOSX
Format Exemplesdevaleurs
Nomdel’entrée:
Nomassociéàungroupe
d’ordinateurs
TexteUTF-8
Ordinateursdelaboratoire
Longueurnonnulle,maximum
255octets(de85caractèrestripleoctetsà255caractèresd’un
octet).
MCXFlags
plistXMLUTF-8,valeurunique
RéglagesMCX:
Stockelespréférences
d’unordinateurgéré
plistXMLUTF-8,valeursmultiples
Computers
Listeàvaleursmultiplesde
nomsd’enregistrementsd’ordinateurs
iMac1,iMac2
Groupe
Listedesgroupesdontlesmembrespeuventouvrirunesession
surlesordinateursdecegroupe
d’ordinateurs
Listeàvaleursmultiplesde
nomsabrégésdegroupes
herbivores,omnivores

Attributsstandarddanslesenregistrementsdemontages
Letableausuivantdécritlesattributsstandardfigurantdanslesenregistrementsde
montagesOpenDirectory.UtilisezcesinformationslorsquevoustravaillezdanslasousfenêtreInspecteurdeGestionnairedegroupedetravailoulorsquevousmappezdes
attributsd’enregistrementsdemontageavecUtilitairederépertoire.
Attributsdemontages
MacOSX Format Exemplesdevaleurs
Nomdel’entrée:
TexteUTF-8
Hôteetchemind’accèsaupoint
departage
VFSLinkDir
TexteUTF-8
Chemind’accèspourlemontagesurunclient
hostname:/chemind’accèssurle
serveur
indigo:/Volumes/home2
/Network/Servers
VFSType TexteASCII PourAFP:
url
PourNFS:
nfs
VFSOpts TexteUTF-8 PourAFP(deuxvaleurs):
net
url==afp://
;AUTH=NO%20USER%20
AUTHENT@serveur/pointdepartage/
PourNFS:
net
VFSDumpFreq
VFSPassNo
302 AnnexeDonnéesderépertoireMacOSX

Attributsstandarddanslesenregistrementsdeconfigurations
Letableausuivantdécritlesattributsstandardfigurantdanslesenregistrementsde
configurationOpenDirectorysuivants:
 L’enregistrementmcx_cacheportetoujourslenomRecordNamedemcx_cache.
IlutiliseaussiRealNameetDataStamppourdéterminersilamémoirecachedoit
êtreactualiséeousilesréglagesdeserveurdoiventêtreignorés.Sivousvoulez
desclientsgérés,vousdevezavoirunenregistrementdeconfigurationmcx_cache.
 L’enregistrementpasswordserverpossèdel’attributPasswordServerLocation.
Utilisezcesinformationslorsquevoustravaillezdanslasous-fenêtreInspecteurdeGestionnairedegroupedetravailoulorsquevousmappezdesattributsd’enregistrements
deconfigurationavecUtilitairederépertoire.
Attributsdeconfigurations
MacOSX Format Exemplesdevaleurs
Nomdel’entrée:
Nomassociéàuneconfiguration
PasswordServerLocation:
Identifiel’hôteduserveurde
motsdepasseassociéau
domainederépertoire
Nomréel
DataStamp
CaractèresASCIIAàZ,aàz,
0à9,_,-,.
adresseIPounomd’hôte 192.168.1.90
mcx_cache
passwordserver
Longueurnonnulle,d’unmaximumde255octets(soit85
caractèrestripleoctetsou255
caractèresd’unoctet).
Pourl’enregistrementdeconfigurationmcx_cache,RealName
estunGUID.
Pourl’enregistrementdeconfigurationmcx_cache,DataStampestunGUID.
AnnexeDonnéesderépertoireMacOSX 303

Glossaire
Glossaire
ActiveDirectoryServicederépertoireetd’authentificationdeMicrosoftWindows
2000Server,WindowsServer2003etWindowsServer2003R2.
administrateurUtilisateurdisposantd’autorisationsd’administrationdeserveurou
dedomainederépertoires.Lesadministrateurssonttoujoursmembresdugroupe
«admin»prédéfini.
AdresseIPAdressenumériqueuniquequiidentifieunordinateursurInternet.
AFPAppleFilingProtocol.Protocoleclient/serveurutiliséparleservicedefichiers
Applepourpartagerdesfichiersetdesservicesréseau.AFPexploiteTCP/IPetd’autres
protocolespourprendreenchargelescommunicationsentrelesordinateursd’un
réseau.
attributÉlémentdedonnéesnommécontenantuntyped’informationspécifique
etappartenantàuneentrée(uneficheouunobjet)dansundomainederépertoire.
Lesdonnéesqu’unattributcontients’appellentlavaleurdel’attribut.
attributd’autoritéd’authentificationValeurquiidentifielesystèmedevalidation
demotdepassespécifiépourunutilisateuretfournit,sinécessaire,desinformations
supplémentaires.
authentificationProcessusdevérificationdel’identitéd’unutilisateur,généralement
envalidantsonnomd’utilisateuretsonmotdepasse.L’authentificationalieu
généralementavantqueleprocessusd’autorisationdétermineleniveaud’accèsde
l’utilisateuràuneressource.Exemple:leservicedefichiersautorisel’accèstotalaux
dossiersetauxfichiersqu’unutilisateurauthentifiépossède.
autorisationProcessusparlequelunservicedétermines’ilfautaccorderàun
utilisateurl’accèsàuneressourceetquelestleniveaud’accèsaccordéàl’utilisateur.
L’autorisationseproduitgénéralementaprèsqu’unprocessusd’authentificationait
vérifiél’identitédel’utilisateur.Exemple:leservicedefichiersautorisel’accèstotalaux
dossiersetauxfichiersqu’unutilisateurauthentifiépossède.
basederechercheNomdistinctifpermettantd’identifierlepointdedépartd’une
recherched’informationsdanslahiérarchied’entréesd’unrépertoireLDAP.
305

idouilleurPersonnequiaimelaprogrammationetquiexploredesfaçonsde
programmerdenouvellesfonctionnalitésetd’étendrelespossibilitésd’unsystème
informatique.Voiraussipirate.
BSDInitialesde«BerkeleySoftwareDistribution»(familledesystèmesd’exploitation
développésàl’UniversitédeBerkeley).VersiondeUNIXsurlaquellereposelelogiciel
MacOSX.
cheminderechercheVoirpolitiquederecherche.
CIFSCommonInternetFileSystem.VoirSMB.
classeVoirclassed’objets.
classed’objetsEnsemblederèglesquidéfinissentdesobjetssemblablesdansun
domainederépertoireenspécifiantlesattributsquedoitposséderchaqueobjet,
ainsiqued’autresattributspossiblespourl’objet.
clientgéréUtilisateur,groupeouordinateurdontlesautorisationsd’accèset/ou
lespréférencessontsouslecontrôled’unadministrateur.
compted’ordinateurUncompted’ordinateurcontientdesdonnéespermettantà
MacOSXServerd’identifieretdegérerunordinateurparticulier.Vousdevezcréerun
compted’ordinateurpourchaqueordinateurquevouscomptezajouteràungroupe
d’ordinateurs.
DHCPInitialesde«DynamicHostConfigurationProtocol»(protocoledeconfiguration
dynamiqued’hôtes).Protocoleutilisépourdistribuerdemanièredynamiquedes
adressesIPàdesordinateursclients.Chaquefoisqu’unordinateurclientdémarre,le
protocolerechercheunserveurDHCP,puisdemandeuneadresseIPauserveurDHCP
qu’iltrouve.LeserveurrecherchealorsuneadresseIPdisponibleetlatransmetà
l’ordinateurclientenl’accompagnantd’une«duréedebail»,duréependantlaquelle
l’ordinateurclientpeututiliserl’adresse.
domainederépertoireBasededonnéesspécialiséedanslaquellesontstockées
desinformationsautoriséesconcernantlesutilisateursetlesressourcesréseau;ces
informationssontnécessairesaulogicielsystèmeetauxapplications.Cettebasede
donnéesestoptimiséepourgérerdenombreusesdemandesd’informationsetpour
rechercheretrécupérerrapidementdesinformations.Connueégalementsouslenom
denœudderépertoireousimplementrépertoire.
domainelocalDomainederépertoireaccessibleuniquementparl’ordinateursur
lequelilréside.
dossierdegroupeDossierservantàorganiserdesdocumentsetdesapplications
présentantunintérêtparticulierpourlesmembresdugroupeetpermettantàces
derniersdepartagerdesinformations.
306 Glossaire

enfantOrdinateurquihéritedesinformationsdeconfigurationprovenantdudomaine
derépertoirepartagéd’unparent.
entréeArticlepubliésurunblog.Leslecteurspeuventajouterdescommentairesà
l’entrée,maislecontenuassociéàcelle-cinepeutêtremodifiéqueparlepropriétaire
dublog.DansunrépertoireLDAP,uneentréeestunecollectiond’attributs(d’éléments
dedonnées)quiporteunnomdistinctifunique.Voiraussinomdistinctif.
FTPInitialesde«FileTransferProtocol»(protocoledetransfertdefichiers).Protocole
permettantàdesordinateursdetransférerdesfichierssurunréseau.LesclientsFTP,
utilisanttoutsystèmed’exploitationcapabledeprendreenchargeleprotocoleFTP,
peuventseconnecteràunserveurdefichiersettéléchargerdesfichiers,enfonction
deleursautorisationsd’accès.LaplupartdesnavigateursInternetetuncertainnombre
degraticielspermettentd’accéderauxserveursFTP.
groupeEnsembled’utilisateursayantdesbesoinssemblables.Lesgroupessimplifient
l’administrationderessourcespartagées.
groupeprincipalGroupepardéfautd’unutilisateur.Lesystèmedefichiersutilise
l’identifiantdugroupeprincipallorsqu’unutilisateuraccèdeàunfichierdontiln’est
paslepossesseur.
hachageFormebrouillée,oucryptée,d’unmotdepasseoud’untexte.
hiérarchiededomainesderépertoireManièred’organiserdesdomainesde
répertoireslocauxetpartagés.Unehiérarchieprésenteunestructured’arborescence
inversée:domaineracineausommetetdomaineslocauxenbas.
identifiantdegroupeprincipalNumérouniqueidentifiantungroupeprincipal.
IPInternetProtocol.ÉgalementdésignéparIPv4.Méthodeutiliséeconjointement
avecleprotocoleTCP(TransmissionControlProtocol)pourenvoyerdesdonnées
d’unordinateuràunautreviaunréseaulocalouviaInternet.LeprotocoleIPenvoie
lespaquetsdedonnées,alorsqueleprotocoleTCPsechargedeleursuivi.
KDCInitialesde«KerberosKeyDistributionCenter»(centrededistributiondeclés
Kerberos).Serveurdeconfiancechargéd’émettredesticketsKerberos.
KerberosSystèmed’authentificationréseausécurisé.Kerberosutilisedesticketsqui
sontémispourunutilisateur,unserviceetuneduréespécifiques.Aprèsavoirété
authentifié,l’utilisateurpeutaccéderàd’autresservicessansavoiràsaisirànouveau
sonmotdepasse(onparlealorsdesignatureunique)pourlesservicesconfigurés
pouraccepterlesticketsKerberos.MacOSXServerutiliseKerberos5.
LDAPInitialesde«LightweightDirectoryAccessProtocol».Protocoleclient-serveur
standardpermettantl’accèsàundomainederépertoire.
Glossaire 307

liaisonConnexionentreunordinateuretundomainederépertoiredansle
butd’obtenirdesdonnéesd’identification,d’autorisationetd’autresdonnées
administratives.(verbe)Désigneégalementleprocessusd’établissementd’unetelle
connexion.Voiraussiliaisonsécurisée.
liaisonsécuriséeConnexionauthentifiéemutuellemententreunordinateuret
undomainederépertoire.L’ordinateurfournitdesinformationsd’authentification
pourprouversonidentitéetledomainederépertoirefournitdesinformations
d’authentificationpourprouversonauthenticité.
listed’ordinateursEnsembled’ordinateursrecevantlesréglagesdespréférences
géréesdéfinispourlalisteetmisàladispositiond’unensembleparticulier
d’utilisateursetdegroupes.Unordinateurnepeutappartenirqu’àuneseuleliste
d’ordinateurs.Leslistesd’ordinateurssontcrééessousMacOSXServer10.4ou
antérieur.
MacOSXLadernièreversiondusystèmed’exploitationd’Apple.MacOSXallie
lafiabilitéd’UNIXàlafacilitéd’emploideMacintosh.
MacOSXServerPlate-formedeserveurpuissante,capabledegérerimmédiatement
lesclientsMac,Windows,UNIXetLinuxetoffrantunensembledeservicesderéseauet
degroupesdetravailextensible,ainsiquedesoutilsperfectionnésdegestionàdistance.
maîtreOpenDirectoryServeurfournissantunservicederépertoireLDAP,unservice
d’authentificationKerberosetunserveurdemotsdepasseOpenDirectory.
motdepasseChaînealphanumériqueutiliséepourauthentifierl’identitéd’un
utilisateuroupourautoriserl’accèsàdesfichiersouàdesservices.
motdepassecryptéTypedemotdepassequieststockésouslaformed’un
hachage(àl’aidedel’algorithmedecryptageUNIXstandard)directementdans
unenregistrementd’utilisateur.
motdepasseOpenDirectoryMotdepassestockédansunebasededonnées
sécuriséesurleserveuretquipeutêtreauthentifiéàl’aideduserveurdemotsde
passeOpenDirectoryoudeKerberos(siKerberosestdisponible).
motdepasseshadowMotdepassestockédansunfichiersécurisésurleserveuret
quipeutêtreauthentifiéàl’aidedediversesméthodesd’authentification
conventionnellesrequisesparlesdifférentsservicesdeMacOSXServer.Parmiles
méthodesd’authentification,ilyaAPOP,CRAM-MD5,DHX,LANManager,NTLMv1,
NTLMv2etWebDAV-Digest.
308 Glossaire

multidiffusionDNSProtocoledéveloppéparApplepourladécouverteautomatique
d’ordinateurs,depériphériquesetdeservicessurlesréseauxIP.Appelé«Bonjour»
(auparavant«Rendezvous»)parApple,ceprotocole,proposécommestandard
Internet,estparfoisappeléZeroConfoumultidiffusionDNS.Pourensavoirplus,
rendez-voussurwww.apple.com/fr/ouwww.zeroconf.org(enanglais).Poursavoir
commentceprotocoleestutilisésousMacOSXServer,reportez-vousànomd’hôte
local.
NetInfoAncienprotocoleApplepermettantl’accèsàundomainederépertoire.
nœudderépertoireVoirdomainederépertoire.
nomabrégéAbréviationdunomd’unutilisateur.MacOSXutiliselenomabrégépour
lesdossiersdedépart,l’authentificationetlesadressesélectroniques.
nomcompletFormedéveloppéedunomd’unutilisateuroud’ungroupe.Voiraussi
nomd’utilisateur.
nomd’hôtelocalNomquidésigneunordinateursurunsous-réseaulocal.Ilpeutêtre
utilisésanssystèmeDNSglobalpourconvertirlesnomsenadressesIP.Ilestconstitué
delettresminuscules,denombresoudetirets(saufpourlederniercaractère)etse
terminepar«.local»(parexemple,ordinateur-jean.local).Bienquelenompardéfaut
soitdérivédunomd’ordinateur,unutilisateurpeutreprendrecenomdanslasousfenêtrePartagedesPréférencesSystème.Ilpeutaussiêtreaisémentmodifiéetutilisé
danstouslescasoùunnomDNSouunnomdedomainecompletestutilisé.Ilnepeut
êtreconvertiquesurlemêmesous-réseauquel’ordinateurquil’utilise.
nomd’utilisateurNomcompletd’unutilisateur,parfoisappelénomréelde
l’utilisateur.Voiraussinomabrégé.
nomdistinctifIlidentifieuneentrée(unobjet)dansunrépertoireLDAP.Ilest
représentésouslaformed’uneséquenced’entréesderépertoireséparéespardes
virgules,commençantparl’entréeelle-mêmeetsuivieparchaqueentréequicontient
l’entréeprécédentedanslaséquence.Exemple:“cn=utilisateurs,dc=exemple,
dc=com.”
OpenDirectoryArchitecturedeservicesderépertoireApple,capabled’accéderàdes
informationsautoriséesconcernantdesutilisateursetdesressourcesréseauàpartir
dedomainesderépertoireutilisantlesprotocolesLDAPouActiveDirectory,oudes
fichiersdeconfigurationBSDetdesservicesderéseau.
OpenSourceTermedésignantledéveloppementcoopératifdelogicielsparla
communautéInternet.Leprincipedebaseconsisteàimpliquerlemaximumde
personnesdansl’écritureetlamiseaupointducodeenpubliantlecodesource
etenencourageantlaformationd’unelargecommunautédedéveloppeursqui
ferontpartdeleursmodificationsetaméliorations.
Glossaire 309

ordinateuradministrateurOrdinateurMacOSXsurlequelvousavezinstalléles
applicationsd’administrationduserveuràpartirduCDMacOSXServerAdmin.
parentOrdinateurdontledomainederépertoirepartagéfournitdesinformationsde
configurationàunautreordinateur.
pirateUtilisateurmalveillantquitented’accéderàunsystèmeinformatiquesans
yêtreautorisédanslebutdesaboterdesordinateursetdesréseauxoudevoler
desinformations.Compareràbidouilleur.
pointdepartageDossier,disquedur(oupartitiondedisquedur)oudisqueoptique
accessiblevialeréseau.Unpointdepartageconstituelepointd’accèssituéaupremier
niveaud’ungrouped’élémentspartagés.Lespointsdepartagepeuventêtrepartagés
àl’aidedesprotocolesAFP,SMB,NFS(exportation)ouFTP.
politiquederechercheListedesdomainesderépertoireparmilesquelsunordinateur
MacOSXnécessitantdesinformationsdeconfigurationeffectuesesrecherches.
Également,ordredanslequellesdomainessontinterrogés.Parfoisappeléechemin
derecherche.
possesseurLepropriétaired’unélémentpeutmodifierlesautorisationsd’accèsà
l’élément.Ilpeutégalementremplacerl’entréedegroupeparn’importequelgroupe
dontilestmembre.Lepropriétairedisposepardéfautd’autorisationsLectureetécriture.
préférencesgéréesPréférencesdusystèmeoud’applicationcontrôléesparles
administrateurs.Gestionnairedegroupedetravailpermetauxadministrateursde
contrôlerlesréglagesdecertainespréférencessystèmepourlesclientsgérésMacOSX.
principal,KerberosNometautresinformationsd’identificationd’unclientouservice
queKerberospeutauthentifier.Leprincipald’unutilisateurestgénéralementconstitué
dunomdel’utilisateuroubiendunomdel’utilisateuretduroyaumeKerberos.Le
principald’unserviceestgénéralementconstituédunomduservice,dunomDNS
completduserveuretduroyaumeKerberos.
protocoleEnsemblederèglesquidéterminentlamanièredontlesdonnéessont
échangéesentredeuxapplications.
royaumeKerberosDomained’authentificationcomprenantlesutilisateursetles
servicesenregistrésauprèsdumêmeserveurKerberos.Lesutilisateursetservices
enregistrésdélèguentauserveurKerberoslavérificationdel’identitédechacun.
royaumeWebDAVPartied’unsiteweb,généralementundossierouunrépertoire,
définipourfournirl’accèsàdesutilisateursetdesgroupesWebDAV.
schémaEnsembled’attributsetdetypesd’enregistrementsoudeclassesservantde
planpourlesinformationsd’undomainederépertoire.
310 Glossaire

serveurautonomeServeurquifournitdesservicessurunréseau,maisquin’obtient
pasdeservicesderépertoireauprèsd’unautreserveur,ninefournitdesservicesde
répertoireàd’autresordinateurs.
serveurdemotsdepasseVoirserveurdemotsdepasseOpenDirectory.
serveurdemotsdepasseOpenDirectoryServiced’authentificationquivalidedes
motsdepasseàl’aidedediversesméthodesd’authentificationconventionnelles
requisesparlesdifférentsservicesdeMacOSXServer.Parmilesméthodes
d’authentification,ilyaAPOP,CRAM-MD5,DHX,LANManager,NTLMv1,NTLMv2et
WebDAV-Digest.
servicesderépertoireServicesfournissantaulogicielsystèmeetauxapplications
unaccèsuniformeauxdomainesderépertoireetàd’autressourcesd’informations
relativesauxutilisateursetauxressources.
signatureuniqueStratégied’authentificationquiéviteauxutilisateursdedevoirsaisir
unnometunmotdepassepourchaqueservicederéseau.MacOSXServerutilise
Kerberospourpermettrelasignatureunique.
SLPDAInitialesde«ServiceLocationProtocolDirectoryAgent».Protocolequi
enregistrelesservicesdisponiblessurunréseauetpermetauxutilisateursd’yaccéder
aisément.Lorsqu’unserviceestajoutéauréseau,ilutiliseleprotocoleSLPpour
s’enregistrer.SLPDAutiliseunpointdedépôtcentralisépourlesservicesréseau
enregistrés.
SMBProtocoleSMB(ServerMessageBlock).Protocolepermettantàdesordinateurs
clientsd’accéderàdesfichiersetàdesservicesderéseau.IlpeutêtreutiliséviaTCP/IP,
Internetoud’autresprotocoles.LesservicesSMButilisentceprotocolepourfournir
l’accèsauxserveurs,auximprimantesetàd’autresressourcesréseau.
SSLInitialesde«SecureSocketsLayer»(couchesécuriséepoursocketsréseau).
ProtocoleInternetpermettantd’envoyerdesinformationsauthentifiéesetchiffréesà
traversInternet.LesversionslesplusrécentesdeSSLsontconnuessouslenomdeTLS
(TransportLevelSecurity).
ticketd’octroideticketsTicketKerberosspécialquipermetàunclientd’obtenirdes
ticketspourdesservicesauseindumêmeroyaume.Unclientreçoitunticketd’octroi
deticketsenprouvantsonidentité,parexempleensaisissantunnometunmotde
passevalidelorsdel’ouverturedesession.
Glossaire 311

ticket,KerberosInformationsd’authentificationtemporairesquiprouventl’identité
d’unclientKerberosàunservice.
utilisateurinvitéUtilisateurautoriséàouvrirunesessionsurunserveursansnom
d’utilisateuretmotdepasse.
WebDAVWeb-basedDistributedAuthoringandVersioning.Environnementde
créationendirectpermettantàdesutilisateursclientsdeprendredespagesweb,
delesmodifier,puisdelesrendreàleursited’originesansinterruptiondecedernier.
312 Glossaire

313
Index
Index
A
accès
administrateur85,207
attributs208
contrôled’accèsauxrépertoires(DAC)213
domainesActiveDirectory188,201
dossier25
fenêtred’ouverturedesession206
fiche208
fichier25
groupe206
listesdecontrôled’accès(ACL)44,83,85,207
répliques102
serveur30,206
servicederépertoire155,156,157
SSH206
utilisateur186,205,206,238
utilisateursdesdomainesderépertoire25
VoiraussiLDAP;autorisations
accèsenlectureseule,LDAP180,184
accèsLDAPv2180
accèsLDAPv386,104,156,160,201
ACE(entréesdecontrôled’accès)85
ACL,classed'objets255
ActiveDirectory
accès188
accèsLDAP201
activationduservice156
attributdeshellUNIX193
authentification199
autorisationinter-domaines78
comptesmobiles187,191
configurationd’OpenDirectory68
configurationduserveur111
conflitsKerberos80
connexionsclient141
définition26
dépannage237,239
désactivationduservice156
désignationduserveurpréféré197
dossiersdedépart187,192
groupesd’administrateurs198
identifiantsd’utilisateur194
identifiantsdegroupe195,196
liaisonà190,200
modificationdefiches200
réglagesavancés155,156,185
rupturedelaliaisonavecleserveur200
Voiraussimappages
administrateur
autoritéd’authentification134,135
autoritépourl’authentification99,101,107
comptes96,198
contrôled’accès85,207
Kerberos53,113
limites258
motsdepassed’50,129,130,237,243
planificationdesdomaines39
politiquesderecherche39
privilègesd’85,86
servicesderépertoire19
administrationparniveaux85
AdminServeur79,87
adresses.VoiridentifiantEthernet
adressesIP95,142
aide,utilisation15
annuaires.Voirservicesderépertoire;domaines,
répertoire;dossiers
APOP(AuthenticatedPOP)59,63
archivagedumaîtreOpenDirectory230,231
attaqueDoS(attaqueparsaturation)50,221
attaqueparsaturation.Voirattaquepars
attaqueshorsligne47
attributdelistedecontrôled’accès(ACL)275
attributdeshellUNIX193
attributs
ActiveDirectory196
ajout79,175
authentification258,272
configuration182,270,303
contrôled’accès208
emplacement(Location)273
grouped'ordinateurs301
groupes263
importation217
imprimantes258,268

314 Index
informationsdecontact260
introduction26
LDAP173
listedecontrôled’accès(ACL)275
listesd’ordinateurs269
machine265
montageautomatique276
montages266,302
motsdepasse270
ordinateurs269,300
plistxml270
répertoire186
réplication271
ressource275
schéma(Schema)275
service270,273
servicesderépertoire175
shellUNIX193
standard293
Time-to-Live(TTL)256
URLdeservice270
utilisateurs256,272,293,298
voisinage(Neighborhood)274
Voiraussimappages
attributsd’emplacement(Location)273
attributsd’imprimante(Printer)258,268
attributsd’ordinateur(Computer)269,300
attributsd’utilisateur256,272,293,298
attributsdeconfiguration(Configuration)270,303
attributsdegroupes263,299
attributsdegroupesd'ordinateurs301
attributsdelisted’ordinateurs(ComputerList)269
attributsdemachine(Machine)265
attributsdemontage(Mount)266,302
attributsdeservice(Service)270,273
attributsdevoisinage(Neighborhood)274
augment,classed'objets255
authentification
ActiveDirectory199
administrateur99,101,107,134,135
attributs258,272
clients54,57
contrôledel’211
définition44
dépannage235,237,238,239,240,242,243
domainesderépertoire24,69
encache46
LDAP64,135,162,181,182
liaison64,135,162
maîtreOpenDirectory32,115
méthodes46,59,60,62,64,109
parinformationsd'authentification45,54
règlesderecherche42,150
réplication71
SASL12,59
serveur55,83
servicesdefichiers59
utilisateur44,49,51
vued’ensemble12,21,43,121
VoiraussiKerberos;motsdepasse
authentificationbaséesurdesinformations
utilisateur
VoiraussiKerberos
authentificationCRAM-MD559
authentificationdebase.Voirmotsdepassecryptés
authentificationDHX46,59
authentificationDigest-MD559
authentificationLANManager46,59
authentificationMS-CHAPv259,109
authentificationNTLM46,59,109
authentificationparinformations
d'authentification45,54
authentificationparsignatureunique12,51,54,55,
80
VoiraussiKerberos
authentificationparticket54
VoiraussiKerberos
authentificationWebDAV-Digest59,63
automount,classesd’objets255
autorisation44,78,83,85,207
Voiraussiauthentification
autorisationinter-domaines78
autorisations
accès207
administrateur86
administrationparniveaux85
fiche208
utilisateur86,180,184
AutoServerSetup,typed'enregistrement292
B
basculement
configuration107
contrôleurdedomaineprincipal34
contrôleurdedomainesecondaire34,98,106
contrôleurdedomainesecondaire(BDC)225
répartitiondelacharge74
basededonnées
LDAP220
serveurdemotsdepasseOpenDirectory61,63
basederecherche,LDAP28,97,174,240
C
cache,authentificationen46
Carnetd’adresses42,150,158
certificats78,222
chiffrement48,49,59,186
classed’objetsd’autoritéd’authentification
(authenticationauthority)253
classed’objetsd’emplacement(Location)254
classed’objetsd’imprimante(printer)249

Index 315
classed’objetsd’ordinateur(computer)250
classed’objetsd’utilisateurpréréglé(preset
user)253
classed’objetsdeconteneur(container)247
classed’objetsdegroupepréréglé(preset
group)252
classed’objetsdelisted’ordinateurs(computer
list)250
classed’objetsdelisted’ordinateurspréréglés
(presetcomputerlist)251
classed’objetsdemontage(mount)249
classed’objetsdeservice(Service)254
Classed’objetsdevoisinage(Neighborhood)254
classesd’objets
ACL255
ajoutàdesschémas79
augment255
authenticationauthority253
automount255
computer250,251
computergroup252
computerlist250
configuration251,254
container247
group248,252
introduction26
location254
machine(auxiliaire)249
mount249
neighborhood254
printer249
resource255
service254
TTL247
user248,253
vued247
Voiraussiattributs
clients,authentification54,57
clients,authentificationdes
Voiraussiordinateursclients;Comptesdegroupe;
utilisateurs
compteroot144
comptes
administrateur96,198
root144
Voiraussicomptesdegroupe;comptesmobiles;
comptesd'utilisateur;Gestionnairede
groupedetravail
comptesd'utilisateur
Voiraussicomptesdegroupe;motsdepasse;
utilisateurs
comptesd’utilisateur
accès186
domainesd’annuaire94
domainesderépertoire66,80
exportation136
importation136,217
modification200
motsdepasse63,237,238
nomsd’utilisateur96
recherche29,30
root144
sécurité47
suppression215
comptesdegroupe
entantqu’administrateurs198
identifiantdegroupe186,196
importation217
mappagesdeGID195
préréglages252,288
Voiraussigroupes
comptesmobiles
ActiveDirectory187,191
LDAP155
ouverturedesession75
politiquesdemotdepasse50,130
politiquesderecherche41
serviceVPN75
computergroup,classed'objets252
condensé,motdepasse45,60,62
configuration
attributsde303
autorisationinter-domaines78
basculement107
connexion108,110,111,142,143
domainederépertoirelocal94
domaineWindow98
domaineWindows100,101
ensemblesderépliques72
fichiersBSD203,204
fichiersUNIX21,23,26
Kerberos113,115,116,119
LDAP159,160,163,165,167,169
liaisonsécurisée176
maîtreOpenDirectory95,98
ordinateursclients140,141,303
outilsdelignedecommande186
planification68
répliqueOpenDirectory102,105
serveur110,111,292
serveurdemotsdepasseOpenDirectory95
servicesderépertoire147,148
vued’ensemble91,93
vued’ensembledesdomainesderépertoire66
configuration,classesd’objets251
configurationdeWindowsXP100,101
contacts,règlesderecherche42,150
contrôled’accèsauxrépertoires.VoirDAC
contrôlesd’accèsauxrépertoires(DAC)213
contrôleurdedomaineprincipal(PDC)
planificationdelaréplication224
contrôleurdedomaineprincipal.VoirPDC

316 Index
contrôleurdedomainesecondaire(BDC)34,98,
106,225
contrôleurdedomainesecondaire.VoirBDC
contrôleurs,BDC
VoiraussiPDC
contrôleurs,contrôleurdedomainesecondaire34,
98,106
contrôleurs,contrôleurdedomainesecondaire
(BDC)225
conventionsdenom
nomabrégé216
nomd’utilisateur96
nomdel’ordinateur99,106,135,176
nomslongs263,271
coupe-feu,limitations54
D
délaid’inactivité,connexionLDAP179
délaid’ouverture/defermeture,connexion
LDAP178
délaiderequête,LDAP178
délaidetentativedereconnexion,LDAP179
démarrage,problèmes237
dépannage
ActiveDirectory237
authentification235,237,238,239,240,242,243
connexions237
réplication235,236
documentation15,17,18
domaines,annuaire
règlesderecherche150,152,153,154
VoiraussiLDAP;domainesderépertoirelocaux;
OpenDirectory;domaineWindows
domaines,répertoire
authentification24,69
capacitédestockage69
identificationdesserveurs70
intégration78
liaisonde218
NetInfo33,127,138
NIS26,202
nonApple31
organisationdes20,24,26
planification39,65,66,93
ports83
réplication67
schémas27,79,187,245,246,247
domainesderépertoirelocaux
configuration94
fichesdemontage148,149,150
introduction27,29
planification66
politiquederecherche36,38,40
règlederecherche154
typesdemotdepasse44,46
utilisateursWindows33
domainesderépertoirepartagés
dépannagerelatifàl’ouverturedesession239
identificationdesserveurs70
informationssurlesutilisateurs94
introduction29,30
NetInfo33,127,138
planification65,66
politiquesderecherche36,38
VoiraussiLDAP
domainesNetInfo33,127,138
domaineWindows
VoiraussiActiveDirectory;SMB
configurationd’OpenDirectory98,100,101
contrô106
contrôleurdedomaineprincipal32,98,100,101
contrôleurdedomainesecondaire34,98
motsdepasse32,46,47,48,49
DomainNameSystem.VoirDNS
dossiers,contrôled’accès25
Voiraussifichiers;dossiersdedépart
dossiersdedépart
ActiveDirectory187,192
attributsdegroupe263
attributsuser256,258,262
réseau192
utilisateurlocal192
utilisateursdesdomainesderépertoire25
dossiersdedépartlocaux192
dossiersdedépartréseau192
dsconfigad, outil186
dsconfigldap, outil186
duréedevie(TTL),classed'objets247
DynamicHostConfigurationProtocol.VoirDHCP
E
enregistrements
activationpourKerberos241
ajoutàdesschémas79
capacitédudomainederépertoire69
introduction26
typesstandard293
Voiraussiattributs;mappages
entrées,classed’objets26,28
entréesdecontrôled’accès.VoirACE
exportationd’utilisateurs136
Voiraussiimportation
F
fiches
autorisations208
contrôled’accès208
importation217
mappageversdesservicesderépertoire174,182
modificationdefichesd’ActiveDirectory200

Index 317
réglagesdescontrôlesd’accèsauxrépertoires
(DAC)213
suppression214,215
fichierdelistesdepropriétés236
fichiers
BSD26,203,204
configurationUNIX21,23,26
contrôled’accès25
listesdepropriétés236
fichiersBSD(BerkeleySystemDistribution)26,203,
204
G
Gestionna213
Gestionnaired’authentification33,46,137
Gestionnairedegroupedetravail
annuairesLDAP184
fonctions88
Inspecteur212,213,214,215
modificationdesdonnéesderépertoire212
etOpenDirectory20
rôled’authentification121
suppressiondecomptesd’utilisateur215
group,classed'objetsauxiliaire248
groupes
administrationparniveaux85
connexionàunroyaumeKerberos117
contrôledel’accès206
mappages195,280,281,288
recherche29,30
stockaged’informations25
GUID(identifiantglobalunique)217
H
historiques,OpenDirectory82,211
I
identifiantdegroupe78,186,195,196
identifiantdegroupe.VoirGID
identifiantEthernet242
identifiantglobalunique.VoirGUID
identifiantsd’uti
image,ouverturedesessionutilisateur257
importation
attributs217
fiches217
groupes217
utilisateurs136,217
informationsdecontact,attributs260
Initialesde«BerkeleySoftwareDistribution»(famille
desystèmesd’exploitationdéveloppésà
l’UniversitédeBerkeley).VoirBSD
Inspecteur212,213,214,215
K
Kerberos
activation129,241
administrateur53,113
attributs272
autorisationinter-domaines78
configuration113,115,116,119
conflitsentredomainesderépertoire80
connexion117,119
dépannage235,240
DNS95,113,115,236
fonctionnalités12,45,51,53,54,55,56
LDAP79
motsdepasse51
principaux57
processusd’authentification57
réplication71
royaumes57,119,242
sécurité54,55,230
suppressiond’identités215
utilisateurs52,116
L
LDAP(LightweightDirectoryAccessProtocol)
délais179
réglagesdeconnexion179
ldapmodrdn, outil216
ldapsearch outil183
LeopardServer.VoirMacOSXServer
liaison
ActiveDirectory200
authentificationLDAP64,135,162,179
délaidetentativedereconnexion179
serveurOpenDirectory218
Voiraussiliaisonsécurisée
liaisonsécurisée
ActiveDirectory190
arrêt169,177
configuration176
définition158
optionsde161
politiques218
listedecontrôled’accèsàunservice(SACL)44,83,
207
listesd'ordinateurs,mappages284,287,288
listesdecontrôled’accès(ACL)44,83,85,207
listesdecontrôled’accès.VoirACL
listesdecontrôled’accèsàunservice.VoirSACL
Locations,typed'enregistrement292,293
M
MacOSX
accèsLDAPenlectureseule184
fichiersBSD203,204
remplissagedesrépertoires184

318 Index
MacOSXServer
fichiersBSD203
importationdefiches217
liaisonsécurisée218
restaurationdumaîtreOpenDirectory231
machine,classed'objetsauxiliaire249
MacOSX
dépannagerelatifàl’ouverturedesession239
motsdepasseOpenDirectory45
MacOSXServer
ajoutdeconnexions142
authentificationsprisesencharge33,51,52,60,
109
contrôleurdedomainesecondaire34
migrationdesmotsdepasse137
miseàniveau76,137
problèmesdebasculement107
maîtreOpenDirectory
archivage230,231
authentification32,115
basculement107
configuration95,98
contrôledel’état210
définition71
dépannage235,236
etDNS95,115
introduction27
liaison218
miseàniveau76
motsdepasse123
règlementdesécurité219
etrépliques69,72,74,75,76,95,224,225,226,
229
restauration231
mappages
ActiveDirectory187,194,195,196
groupes195,280,281,288
imprimantes290,291
LDAP160,163,173,175
listesd'ordinateurs284,287,288
montages282
ordinateurs282,283
servicesderépertoire174,182
typed'enregistrementAutoServerSetup292
typed'enregistrementConfig285
typed'enregistrementLocations292,293
typed'enregistrementPeople286
utilisateurs194,277,289
vued'ensemble245
mediaaccesscontrol(contrôled’accèsausupport).
VoirIdentifiantEthern
migration
deNetInfoversLDAP33,138
motdepasse137
miseàniveaudeMacOSXServer76,137
modèles,mappageLDAP175
modules11,186
modulesopensource11
VoiraussiKerberos;OpenDirectory
montage,automatique25,255,276
montageautomatique,attribut276
montageautomatiquedepointsdepartage25
motdepasseshadow
définition45
motsdepasse
Voiraussimotsdepassecryptés;serveurdemots
depasseOpenDirectory;motsdepasse
shadow
administrateur50,129,130,237,243
attributs270
compteroot144
comptesd’utilisateur237,238
conseils47
création122,136,137
dépannage237,238,239,242
domaineWindows32,46,47,48,49
exportation136
hachage45,60,62
importation136
LDAP182
migrationdes137
OpenDirectory45,46,47,49,59,107,125,133
politiques43,50,129,130,259
réinitialisation60,124,243
surdesrépliques71
types44,45,46,125,127
ousignatureunique51
motsdepassecryptés
changementen127
chiffrement48,49
définition46
limitesdeWindows32,46
migrationdescomptesd’utilisateur137
problèmesdesécurité47
motsdepasseShadow
changementen128
désactivation62
fonctionnalités49
limitesdeWindows33,46
méthodesd’authentification59,132
problèmesdesécurité47
N
NAT
NAT(NetworkAddressTranslation)75
NeST,outil134
NetworkAddressTranslation.VoirNAT
NetworkFileSystem.VoirNFS
NetworkInformationService.VoirNIS
NetworkTimeProtocol.VoirNTP
NFS(NetworkFileSystem)148,149,150

Index 319
NIS(NetworkInformationService)26,202
nomabrégé216
nomcomplet263,271
Voiraussinomabrégé;nomd’utilisateur
nomcomplet.Voirnomcomplet
nomd’ordinateur99,106,135,176
nomd’utilisateur96
nomdistinctif(DN)28,162
nomdistinctifrelatif.VoirRDN
nomNetBios106
Nomréel173
nomréel.Voirnomcomplet
NTP(networktimeprotocol)240
O
OpenDirectory
activation94
affichagedesdonnées212
améliorationdesperformances82
configuration68,91,93
configurationdeDNS95,115
configurationdelaconnexion108,110,111,142
contrôled’209,210,211
contrôledel’état209,210,211
etuncontrôleurdedomainesecondaire34,106
fonctions20
histoire21,23
etInspecteur212,213,214
etKerberos12,45,80
etLDAP11,246,247
maintenance205
modificationdesdonnées212,213,214,215,216
outilsd’accès26,205,206,207,208
outilsdegestion86,87,88,89
etuncontrôleurdedomaineprincipal32,98,
100,101
politiquedeliaison218
priseenchargedesordinateursclients70
réglagesdesoptions217,218
règlementdesécurité219
réplicationd’224
serveursdistants93
serviceautonome94
servicesSMB31
etGestionnairedegroupedetravail20
utilisations24
vued’ensemble11,19
VoiraussiActiveDirectory;domaines,répertoire;
mappages
OpenLDAP.VoirOpenDirectory
Option95,DHCP40
option95,DHCP218
optionsdedélaidereconnexion,LDAP179
ordinateurs
connexionsderépliques104
mappages282,283
politiquesderecherche40,41
suppression215
synchronisationdeshorloges113
Voiraussiordinateursclients
ordinateursclient
pointsdepartage25
ordinateursclients
basculement107
configuration140,141,147,148
connexions70,139,141,142,143
fichesdemontage148,149,150
fichiersBSD26,203,204
NIS26,202
priseencharged’OpenDirectory70
règlesderecherche38,150,152,153,154
Voiraussiservicesderépertoire
ordinateursportables,politiquesderecherche41
Voiraussicomptesmobiles
outilsdelignedecommande
configurationdesrépertoires186
motsdepasse130,134
restaurationdeserveurs231,232
SSH206
outilsenlignedecommande
modificationdenomsabrégés216
vued’ensemble89
ouverturedesession
accélération72
autoritépourlaconfigurationWindows99
comptesmobiles75
contrôled’accès206
dépannage239
domainesderépertoire24,70
imagepourunutilisateur257
instructionsauxutilisateurs98
motsdepasse46
tentativesayantéchoué211
P
PAC(PrivilegeAttributeCertificate)78
paquets,données186
PDC(contrôleurdedomaineprincipal)
basculement34
configurationduserveur110
OpenDirectorycomme32,98,100,101
pointsdepartage25,148,149
politiquedemotdepasseglobale129
politiquesderecherche
administrateur39
automatiques40,152
définition31,35
LDAP40
modification154
niveaux35,36,38

320 Index
ordinateurs40,41
personnalisées41,153
politiquesderechercheàdeuxniveaux36
ports
attributsdeservice273
réplication229
serveurdedomainederépertoire83
présentationsderéseaugérées25
presetcomputer,classed'objets251
presetcomputergroup,classed'objets252
principaux,Kerberos57
PrivilegeAttributeCertificate.VoirPAC
privilèges,administrateur
Voiraussiautorisations
privilègesadministrateur86
problèmes.Voirdépannage
procéduresdeconfiguration.Voirconfiguration
processusdedémarrage.Voirdémarrage
protocoles
NTP240
SMB31
VoiraussiDHCP;LDAP
ProtocoleSMB(ServerMessageBlock).VoirSMB
pwpolicy,outil130
R
RAID(matriceredondantededisques
indépendants)83
RDN(nomdistinctifrelatif)28
recherche
LDAP28,97,173,221,240
utilisateursetgroupes29,30
recherched’utilisateursetdegroupes29,30
recherched’utilisateursetgroupes
Voiraussirecherche
RedundantArrayofIndependentDisks.VoirRAID
références,serveur180
règlesderecherche
authentification42,150
contacts42,150
DHCP154
local154
réglagesavancés150
relais105,226,236
répartitiondelacharge68,74
réplication
contrôledela210
domainesderépertoire67
encascade69,72,74,105
gestiondela224,225,226,229
plusieursbâtiments74
ports229
sécurité84
serveurssubordonnés78
VoiraussirépliqueOpenDirectory
réplicationencascade69,72,74,105
répliqueOpenDirectory
etmaître225
attributs271
authentification71
basculement107
configuration102,105
contrôled’accès102
etuncontrôleurdedomainesecondaire34
conversionenrelais226
dépannage235,236
ensemblesderépliques72
hébergement103
introduction12,27
etmaître69,72,74,75,76,95,224,226,229
miseàjour82
misehorsserviced’une229
motsdepasse71,123
NAT75
promotiond’une226
synchronisationd’une225
réseauprivé59,75,238
réseaupublic75
réseaux
configuration108,110,111,142,143
connexionsclient139,141,142,143
connexionsclients70
connexionsderépliques104
connexionsLDAP108,177,178,179
dépannage237
présentationsgérées25
privés75
publics75
royaumeKerberos242
resource,classed'objets255
ressource,attribut275
royaumes.VoirKerberos
S
SASL(SimpleAuthenticationandSecurityLayer)12,
59
VoiraussiserveurdemotsdepasseOpen
Directory
schémaattributs275
schémas,domainederépertoire27,79,187,245,
246,247
Voiraussiattributs;classesd’objets;
enregistrements
SecureSHell.VoirSSH
SecureSocketsLayer.VoirSSL
sécurité
certificats78,222
comptesd’utilisateur47
comptesroot144
coupe-feu54,83

Index 321
désactivatiiondeméthodesd’authentification60,
62
DHCP154
Kerberos54,230
LDAP44,123,171,182,219,221,222
politiquesderecherche41
pratiquesd’excellence83
réglagesdurèglementduserveur219
SASL12,59
SSL64,142,222
Voiraussiauthentification;motsdepasse;
autorisations
ServerAssistantconfiguration,classed'objets254
Serveurdemotsdepasse.Voirserveurdemotsde
passeOpenDirectory
serveurdemotsdepasseOpenDirectory
archivage230
authentification32,45,59
basededonnées61,63
configuration95
dépannage239
politiquedemotdepasse50
réplication71
sécurité83
serveurpseudo-maître78
serveurs
accès30,206
ajout142
authentification55,83
configuration110,111,292
connexionsàdesroyaumesKerberos119,242
contrôle143
distants93,148,206
hébergementderépliques103
identification70
liaisonaux218
modification143
ports83
pseudo-maître78
références180
règlementdesécurité219
restauration231,232
rupturedelaliaisonavecles200
subordonnés78
suppression142
VoiraussiOpenDirectory
serveursdistants93,148,206
serveursubordonné78
servicedecoupe-feu83
servicedecoupe-feuIP83
servicedemessagerie25,59,158,256
servicedeprotocoleSMB(ServerMessageBlock)31,
59
servicederépertoireautonome.Voirdomainesde
répertoirelocaux
serviceDHCP(DynamicHostConfigurationProtocol)
comptesmobiles155
LDAP40,152,158
option9540,218
sécurité154
serviceDNS(DomainNameSystem)
attributs273,274
configurationd’OpenDirectory95,115
Kerberos95,113,115,236
utilisateursWindows99
serviceLDAP(LightweightDirectoryAccess
Protocol)
accèsdirectau152
accèsenlectureseule180
activation156,158
ActiveDirectory201
authentification64,135,162,179,181,182
conditionsrequisespourlesadministrateurs99
configuration104,159,160,163,165,167,169
définition26
délais178,221
dépannage237,240
désactivation156,158
DHCP40,152,158
emplacementdelabasededonnées220
Kerberos79
MacOSX184
Mail158
NetInfo,migrationàpartirde33
NetInfo,migrationdepuis138
OpenDirectory11,246,247
outilsdelignedecommande186,216
politiquesderecherche40
privilègesd’utilisateur86,180,184
recherche28,97,173,221,240
référencesdeserveur180
réglagesavancés156,157
réglagesdeconnexion108,177,178,179
réplication71
schémas246,247
sécurité44,123,171,182,219,221,222
structure28
Voiraussiattributs;mappages;classesd’objets;
liaisonsécurisée
servicesdefichiers
authentification59
NFS148,149,150
pointsdepartage25,148,149
SMB31,59
servicesderépertoire
accès155,156,157
administrateursde19
attributs175
avantages19
configuration147,148
disponibilitédeKerberos114
mappagede174,182

322 Index
organisationdes20
problèmesdeconnexion237
réglagesavancés147,155,156
VoiraussiActiveDirectory;domaines,répertoire;
OpenDirectory
servicesderépertoires
planification39
servicesréseau
adressesIP95,142
NAT75
servicedecoupe-feuIP83
VPN59,75,238
VoiraussiDHCP;DNS
SimpleAuthenticationandSecurityLayer.VoirSASL
slapconfig, outil231,232
SSH(secureSHellhost)84,103,206
ssh, outil206
SSL(SecureSocketsLayer)64,142,222
synchronisationdeshorloges58,71,113,240
T
Time-to-Live(TTL),attribut256
TTL,attribut.Voirduréedevie,attributde
typed'enregistrementConfig285
typed'enregistrementdemontage282,302
typed'enregistrementPeople286
typed'enregistrementPresetComputerLists287,
288
typed'enregistrementPresetGroups288
typed'enregistrementPresetUsers289
typed'enregistrementPrinters290,291
typedeficheConfig182
typedefichedemontage148,149,150
U
UID(identifiantsd’utilisateur)78,96,186,194
UNIX
fichiersdeconfiguration21,23
mappagedesidentifiantsdegroupe195
motsdepassecryptés127
problèmesdesécurité47
URL(UniformResourceLocators)270
user,classesd’objets248
users
classesd’objets248,253
utilisateurpréréglé,attribut272
utilisateurs
authentification44,49,51,116
autorisationinter-domaines78
autorisations85,180,184
avantagesdesservicesderépertoire19
contrôledel’accès186,205,206,238
dépann239
dépannageenmatièred’authentification238,
239,240,242
mappages183,194,277,289
migrationdes138
ouverturedesession98,257
stockagedespréférences25
typesd'enregistrement289
utilisationsdesdomainesderépertoire24,29,30
Windows31,32,99
Voiraussiclients;dossiersdedépart;comptes
d'utilisateur;Gestionnairedegroupede
travail
utilisationdesressources25
Utilitairederépertoire79,88,139,147,148
V
VPN(virtualprivatenetwork)59,75,238
W
Windows2000,configuration101
X
XMLplist,attribut270