Apple Mac OS X Server v10.5 - Administration d’Open Directory - Mac OS X Server v10.5 - Administration d’Open Directory
Apple Mac OS X Server v10.5 - Administration d’Open Directory - Mac OS X Server v10.5 - Administration d’Open Directory
Apple Mac OS X Server v10.5 - Administration d’Open Directory - Mac OS X Server v10.5 - Administration d’Open Directory
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
<strong>Mac</strong> <strong>OS</strong> X <strong>Server</strong><br />
<strong>Administration</strong> d’<strong>Open</strong> <strong>Directory</strong><br />
Pour Leopard version 10.5
apple<strong>Apple</strong>Inc.<br />
©2007<strong>Apple</strong>Inc.Tousdroitsréservés.<br />
Lepropriétaireoul’utilisateurautoriséd’unexemplaire<br />
validedulogiciel<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>peutreproduirela<br />
présentepublicationàdesfinsd’apprentissagedudit<br />
logiciel.Laprésentepublicationnepeutêtrereproduite<br />
outransmiseentotalitéouenpartieàdesfinscommerciales,tellesquelaventedecopiesoulaprestationd’un<br />
serviced’assistancepayant.<br />
Tousleseffortsnécessairesontétémisenœuvrepour<br />
quelesinformationscontenuesdanscemanuelsoient<br />
lesplusexactespossibles.<strong>Apple</strong>Inc.n’estpasresponsabledeserreursd’écritureetd’impression.<br />
<strong>Apple</strong><br />
1InfiniteLoop<br />
CupertinoCA95014-2084<br />
www.apple.com<br />
Lelogo<strong>Apple</strong>estunemarqued’<strong>Apple</strong>Inc.,déposée<br />
*auxÉtats-Unisetdansd’autrespays.Enl’absence<br />
duconsentementécritd’<strong>Apple</strong>,l’utilisationàdesfins<br />
commercialesdecelogovialeclavier(Option+1)<br />
pourraconstituerunactedecontrefaçonet/oude<br />
concurrencedéloyale.<br />
<strong>Apple</strong>,lelogo<strong>Apple</strong>,<strong>Mac</strong>,<strong>Mac</strong>intosh,XgridetXserve<br />
sontdesmarquesd’<strong>Apple</strong>Inc.déposéesauxÉtats-Unis<br />
etdansd’autrespays.Finderestunemarqued’<strong>Apple</strong>Inc.<br />
AdobeetPostScriptsontdesmarquesd’AdobeSystems<br />
Incorporated.<br />
UNIXestunemarquedéposéedeThe<strong>Open</strong>Group.<br />
Lesautresnomsdesociétésetdeproduitsmentionnés<br />
icisontdesmarquesdeleursdétenteursrespectifs.La<br />
mentiondeproduitstiersn’esteffectuéequ’àdesfins<br />
informativesetneconstitueenaucuncasuneapprobationniunerecommandation.<strong>Apple</strong>n’assumeaucune<br />
responsabilitévis-à-visdesperformancesoudel’utilisationdecesproduits.<br />
F019-0935/01-09-2007
1 Tabledesmatières<br />
Préface 11 Àproposdeceguide<br />
12 Nouveautésdelaversion10.5<br />
13 Contenudeceguide<br />
14 Utilisationdeceguide<br />
15 Utilisationdel’aideàl’écran<br />
15 Guidesd’administrationde<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong><br />
17 VisualisationdeguidesPDFàl’écran<br />
17 ImpressiondesguidesPDF<br />
18 Obtenirdesmisesàjourdedocumentation<br />
18 Pourobtenirdesinformationssupplémentaires<br />
Chapitre1 19 Servicesderépertoireavec<strong>Open</strong><strong>Directory</strong><br />
19 Avantagesdel’utilisationdeservicesderépertoire<br />
20 Servicesetdomainesderépertoire<br />
21 Pointdevuehistorique<br />
21 Consolidationdesdonnées<br />
23 Répartitiondesdonnées<br />
24 Utilisationdesdonnéesdesrépertoires<br />
26 Accèsauxservicesderépertoires<br />
26 Auseind’undomainederépertoire<br />
28 StructuredesinformationsderépertoireLDAP<br />
29 Domainesderépertoirelocauxetpartagés<br />
29 Àproposdudomainederépertoirelocal<br />
30 Àproposdesdomainesderépertoirepartagés<br />
31 Donnéespartagéesdansdesdomainesderépertoireexistants<br />
31 ServicesSMBet<strong>Open</strong><strong>Directory</strong><br />
32 <strong>Open</strong><strong>Directory</strong>commecontrôleurdedomaineprincipal<br />
34 <strong>Open</strong><strong>Directory</strong>commecontrôleurdedomainesecondaire<br />
Chapitre2 35 Politiquesderecherche<strong>Open</strong><strong>Directory</strong><br />
35 Niveauxdepolitiquederecherche<br />
36 Politiquederecherchedansledomainederépertoirelocal<br />
36 Politiquesderechercheàdeuxniveaux<br />
3
38 Politiquesderecherchemultiniveaux<br />
40 Politiquesderechercheautomatiques<br />
41 Politiquesderecherchepersonnalisées<br />
42 Politiquesderecherched’authentificationetdecontacts<br />
Chapitre3 43 Authentification<strong>Open</strong><strong>Directory</strong><br />
44 Typesdemotsdepasse<br />
44 Authentificationetautorisation<br />
45 Motsdepasse<strong>Open</strong><strong>Directory</strong><br />
45 Motsdepasseshadow<br />
46 Motsdepassecryptés<br />
46 Fournitured’authentificationsécuriséeauxutilisateursWindows<br />
47 Attaqueshorslignesurdesmotsdepasse<br />
48 Déterminationdel’optiond’authentificationàutiliser<br />
50 Politiquesdemotdepasse<br />
51 Authentificationparsignatureunique<br />
51 AuthentificationKerberos<br />
53 SurmonterlesobstaclesdudéploiementdeKerberos<br />
54 Expérienceenmatièredesignatureunique<br />
54 Authentificationsécurisée<br />
55 Prêtàallerau-delàdesmotsdepasse<br />
55 Authentificationmultiplateforme<br />
55 Authentificationcentralisée<br />
56 Serviceskerbérisés<br />
56 ConfigurationdeservicespourKerberosaprèslamiseàniveau<br />
57 PrincipauxetroyaumesKerberos<br />
57 Processusd’authentificationKerberos<br />
59 Méthodesd’authentificationparserveurdemotsdepasse<strong>Open</strong><strong>Directory</strong>etparmot<br />
depasseshadow<br />
60 Désactivationdesméthodesd’authentification<strong>Open</strong><strong>Directory</strong><br />
62 Désactivationdesméthodesd’authentificationdemotsdepasseshadow<br />
63 Contenudelabasededonnéesduserveurdemotsdepasse<strong>Open</strong><strong>Directory</strong><br />
64 AuthentificationparliaisonLDAP<br />
Chapitre4 65 Outilsdeplanificationetdegestion<strong>Open</strong><strong>Directory</strong><br />
66 Directivesgénéralesdeplanification<br />
69 Évaluationdesbesoinsenmatièrederépertoiresetd’authentification<br />
70 Identificationdeserveurspourl’hébergementdedomainespartagés<br />
71 Duplicationdeservices<strong>Open</strong><strong>Directory</strong><br />
72 Ensemblederépliques<br />
72 Réplicationencascade<br />
74 Planificationdelamiseàniveaudeplusieursrépliques<strong>Open</strong><strong>Directory</strong><br />
74 Répartitiondelachargedanslespetits,moyensetgrandsenvironnements<br />
4 Tabledesmatières
74 Réplicationdansuncampuscomprenantplusieursbâtiments<br />
75 Utilisationd’unmaître,d’unerépliqueoud’unrelais<strong>Open</strong><strong>Directory</strong>avecNAT<br />
76 Compatibilitéentremaîtreetrépliques<strong>Open</strong><strong>Directory</strong><br />
76 MélangedeservicesdemaîtresetrépliquesActive<strong>Directory</strong>et<strong>Open</strong><strong>Directory</strong><br />
78 Intégrationavecdesdomainesderépertoireexistants<br />
79 Intégrationsansmodificationsauschéma<br />
79 Intégrationavecmodificationsauschéma<br />
80 ÉvitementdeconflitsKerberosavecplusieursrépertoires<br />
82 Améliorationdesperformancesetdelaredondance<br />
83 Sécuritéd’<strong>Open</strong><strong>Directory</strong><br />
85 Listesdecontrôled’accèsàunservice(SACL)<br />
85 <strong>Administration</strong>parniveaux<br />
86 Outilspourlagestiondesservicesderépertoire<strong>Open</strong><strong>Directory</strong><br />
87 AdminServeur<br />
88 Utilitairederépertoire<br />
88 Gestionnairedegroupedetravail<br />
89 Utilitairesdelignedecommande<br />
Chapitre5 91 Configurationdesservices<strong>Open</strong><strong>Directory</strong><br />
91 Vued’ensembledelaconfiguration<br />
93 Avantdecommencer<br />
93 Gestiond’<strong>Open</strong><strong>Directory</strong>surunserveurdistant<br />
94 Activationd’<strong>Open</strong><strong>Directory</strong><br />
94 Configurationd’unservicederépertoireautonome<br />
95 Configurationd’unmaître<strong>Open</strong><strong>Directory</strong><br />
98 Explicationdelafaçond’ouvrirunesession<br />
98 Configurationd’uncontrôleurdedomaineprincipal<br />
100 ConfigurationdeWindowsVistapourl’ouverturedesessiondedomaine<br />
101 ConfigurationdeWindowsXPpourl’ouverturedesessiondedomaine<br />
101 ConfigurationdeWindows2000pourl’ouverturedesessiondedomaine<br />
102 Configurationd’uneréplique<strong>Open</strong><strong>Directory</strong><br />
105 Créationdeplusieursrépliquesd’unmaître<strong>Open</strong><strong>Directory</strong><br />
105 Configurationderelais<strong>Open</strong><strong>Directory</strong>pourlaréplicationencascade<br />
106 Configurationd’unserveurcommecontrôleurdedomainesecondaire<br />
107 Configurationdubasculement<strong>Open</strong><strong>Directory</strong><br />
108 Configurationd’uneconnexionàunserveurderépertoire<br />
110 Configurationd’unserveurcommemembred’undomainedecontrôleurde<br />
domaineprincipal<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong><br />
111 Configurationd’unserveurcommemembred’undomaineActive<strong>Directory</strong><br />
113 Configurationdel’authentificationKerberosparsignatureunique<br />
115 Configurationd’unroyaumeKerberos<strong>Open</strong><strong>Directory</strong><br />
116 DémarragedeKerberosaprèslaconfigurationd’unmaître<strong>Open</strong><strong>Directory</strong><br />
Tabledesmatières 5
117 Délégationd’autoritépourconnecterdesserveursàunroyaume<br />
Kerberos<strong>Open</strong><strong>Directory</strong><br />
119 ConnecterunserveuràunroyaumeKerberos<br />
Chapitre6 121 Gestiondel’authentificationd’utilisateur<br />
122 Compositiond’unmotdepasse<br />
123 Modificationdumotdepassed’unutilisateur<br />
124 Réinitialisationdesmotsdepassedeplusieursutilisateurs<br />
125 Modificationdutypedemotdepassed’unutilisateur<br />
125 Choixdutypedemotdepasse<strong>Open</strong><strong>Directory</strong><br />
127 ChangementdutypedemotenMotdepassecrypté<br />
128 Choixdutypedemotdepasseshadow<br />
129 Activationdel’authentificationKerberosparsignatureuniquepourunutilisateur<br />
129 Changementdepolitiquedemotdepasseglobale<br />
130 Configurationdespolitiquesdemotdepassed’utilisateursindividuels<br />
132 Sélectiondeméthodesd’authentificationpourdesutilisateursdemotsdepasse<br />
shadow<br />
133 Sélectiondeméthodesd’authentificationpourdesutilisateursdemotsdepasse<br />
<strong>Open</strong><strong>Directory</strong><br />
134 Attributiondedroitsd’administrateurpourl’authentification<strong>Open</strong><strong>Directory</strong><br />
135 Synchronisationdesmotsdepassed’administrateurprincipaux<br />
135 Activationdel’authentificationparliaisonLDAPpourunutilisateur<br />
136 Configurationdemotsdepassed’utilisateursexportésouimportés<br />
137 Migrationdemotsdepasseàpartirde<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>10.1ouantérieur<br />
Chapitre7 139 Gestiondesclientsderépertoire<br />
139 Connexiondeclientsauxserveursderépertoire<br />
139 Àproposdesconnexionsauxserveursderépertoire<br />
140 Configurationautomatiquedesclients<br />
141 Ajoutd’uneconnexionàunserveurActive<strong>Directory</strong><br />
142 Ajoutd’uneconnexionàunserveur<strong>Open</strong><strong>Directory</strong><br />
142 Suppressiond’uneconnexionàunserveurderépertoire<br />
143 Modificationd’uneconnexionàunserveurderépertoire<br />
143 Contrôledesconnexionsauxserveursderépertoire<br />
143 Gestionducompted’utilisateurroot<br />
144 Activationducompted’utilisateurroot<br />
144 Modificationdumotdepasseducompted’utilisateurroot<br />
Chapitre8 147 Réglagesavancésdesclientsderépertoire<br />
147 Àproposdesréglagesavancésdesservicesderépertoire<br />
148 Configurationdel’Utilitairederépertoiresurunserveurdistant<br />
148 Configurationdefichesdemontagepourledomainederépertoirelocal<br />
d’unordinateur<br />
6 Tabledesmatières
149 Ajoutd’unefichedemontageaudomainederépertoirelocal<br />
150 Suppressiond’unefichedemontagedudomainederépertoirelocal<br />
150 Modificationd’unefichedemontagedansledomainederépertoirelocal<br />
150 Utilisationdesréglagesavancésdesrèglesderecherche<br />
152 Définitiondepolitiquesderechercheautomatiques<br />
153 Définitiondepolitiquesderecherchepersonnalisées<br />
154 Définitiondepolitiquesderecherchederépertoirelocal<br />
154 Attentedel’entréeenvigueurd’unemodificationdelapolitiquederecherche<br />
154 ProtectiondesordinateurscontreunserveurDHCPmalveillant<br />
155 Utilisationdesréglagesavancésdesservicesderépertoire<br />
156 ActivationoudésactivationduserviceActive<strong>Directory</strong><br />
156 ActivationoudésactivationdesservicesderépertoiresLDAP<br />
157 UtilisationdesréglagesavancésdesservicesLDAP<br />
158 AccèsàdesrépertoiresLDAPdansMailetCarnetd’adresses<br />
158 Activationoudésactivationd’unrépertoireLDAPfourniviaDHCP<br />
159 AffichageoumasquagedeconfigurationspourserveursLDAP<br />
160 Configurationdel’accèsàunrépertoireLDAP<br />
163 Configurationmanuelledel’accèsàunrépertoireLDAP<br />
165 Modificationd’uneconfigurationpourl’accèsàunrépertoireLDAP<br />
167 Duplicationd’uneconfigurationpourl’accèsàunrépertoireLDAP<br />
169 Suppressiond’uneconfigurationpourl’accèsàunrépertoireLDAP<br />
170 Modificationdesréglagesdeconnexiond’unrépertoireLDAP<br />
171 ModificationdelapolitiquedesécuritépouruneconnexionLDAP<br />
173 ConfigurationdesrecherchesetmappagesLDAP<br />
176 ConfigurationdelaliaisonsécuriséepourunannuaireLDAP<br />
177 ArrêtdelaliaisonsécuriséeavecunannuaireLDAP<br />
178 Modificationdudélaid’ouverture/defermeturepouruneconnexionLDAP<br />
178 ModificationdudélaiderequêtepouruneconnexionLDAP<br />
179 ModificationdudélaidetentativedereconnexionpouruneconnexionLDAP<br />
179 Modificationdudélaid’inactivitépouruneconnexionLDAP<br />
180 Forçagedel’accèsLDAPv2enlectureseule<br />
180 IgnorancedesréférencesdeserveurLDAP<br />
181 Authentificationd’uneconnexionLDAP<br />
181 ModificationdumotdepasseutilisépourauthentifieruneconnexionLDAP<br />
182 Mappaged’attributsd’enregistrementdeconfigurationpourrépertoiresLDAP<br />
183 ModificationdumappageRFC2307pouractiverlacréationd’utilisateurs<br />
184 Préparationd’unrépertoireLDAPenlectureseulepour<strong>Mac</strong><strong>OS</strong>X<br />
184 Remplissaged’annuairesLDAPavecdesdonnéespour<strong>Mac</strong><strong>OS</strong>X<br />
185 UtilisationdesréglagesavancésdesservicesActive<strong>Directory</strong><br />
186 Àproposdel’accèsàActive<strong>Directory</strong><br />
188 Configurationdel’accèsàundomaineActive<strong>Directory</strong><br />
191 Configurationdecomptesd’utilisateurmobilesdansActive<strong>Directory</strong><br />
192 Configurationdedossiersdedépartpourdescomptesd’utilisateurActive<strong>Directory</strong><br />
Tabledesmatières 7
193 Configurationd’unshellUNIXpourdescomptesd’utilisateurActive<strong>Directory</strong><br />
194 Associationdel’UIDàunattributActive<strong>Directory</strong><br />
195 Mappagedel’identifiantdegroupeprincipalversunattributActive<strong>Directory</strong><br />
196 Mappagedel’identifiantdegroupedescomptesdegroupeversunattributActive<br />
<strong>Directory</strong><br />
197 Spécificationd’unserveurActive<strong>Directory</strong>préféré<br />
198 ModificationdesgroupesActive<strong>Directory</strong>autorisésàadministrerl’ordinateur<br />
199 Contrôledel’authentificationàpartirdetouslesdomainesdelaforêt<br />
Active<strong>Directory</strong><br />
200 RupturedelaliaisonavecleserveurActive<strong>Directory</strong><br />
200 Modificationdecomptesd’utilisateuretd’autresenregistrementsdansActive<strong>Directory</strong><br />
201 Configurationdel’accèsLDAPauxdomainesActive<strong>Directory</strong><br />
202 DéfinitiondesréglagesNIS<br />
203 DéfinitiondesréglagesdefichierdeconfigurationBSD<br />
204 ConfigurationdedonnéesdansdesfichiersdeconfigurationBSD<br />
Chapitre9 205 Maintenancedesservices<strong>Open</strong><strong>Directory</strong><br />
205 Contrôledel’accèsauxserveursetservices<strong>Open</strong><strong>Directory</strong><br />
206 Contrôledel’accèsàlafenêtred’ouverturedesessiond’unserveur<br />
206 Contrôledel’accèsauserviceSSH<br />
207 Configurationducontrôled’accèsàunservice<br />
208 Configurationdeprivilègesdefiche<br />
209 Contrôled’<strong>Open</strong><strong>Directory</strong><br />
210 Contrôledel’étatd’unserveur<strong>Open</strong><strong>Directory</strong><br />
210 Contrôledesrépliquesetdesrelaisd’unmaître<strong>Open</strong><strong>Directory</strong><br />
211 Affichagedesétatsetdeshistoriques<strong>Open</strong><strong>Directory</strong><br />
211 Contrôledel’authentification<strong>Open</strong><strong>Directory</strong><br />
212 Affichageetmodificationdesdonnéesderépertoire<br />
212 Affichagedel’Inspecteurderépertoire<br />
213 Masquagedel’inspecteurderépertoire<br />
213 Définitiondecontrôlesd’accèsauxrépertoires(DAC,<strong>Directory</strong>AccessControls)<br />
214 Suppressiond’enregistrements<br />
215 Suppressiond’utilisateursoud’ordinateursàl’aidedel’Inspecteuroudelalignede<br />
commande<br />
216 Modificationdunomabrégéd’unutilisateur<br />
217 Importationd’enregistrementsdetoustypes<br />
217 Définitiondesoptionsd’unserveur<strong>Open</strong><strong>Directory</strong><br />
218 Configurationd’unepolitiquedeliaisonpourunserveur<strong>Open</strong><strong>Directory</strong><br />
219 Configurationd’unrèglementdesécuritépourunserveur<strong>Open</strong><strong>Directory</strong><br />
220 Modificationdel’emplacementd’unebasededonnéesLDAP<br />
221 LimitationdesrésultatsdelarecherchepourleserviceLDAP<br />
221 DéfinitiondudélaiderechercheautorisépourleserviceLDAP<br />
8 Tabledesmatières
222 ConfigurationdeSSLpourleserviceLDAP<br />
222 Créationd’uneconfigurationSSLpersonnaliséepourLDAP<br />
224 Gestiondelaréplication<strong>Open</strong><strong>Directory</strong><br />
224 Planificationdelaréplicationd’unmaître<strong>Open</strong><strong>Directory</strong>oud’uncontrôleurde<br />
domaineprincipal(PDC)<br />
225 Synchronisationd’uneréplique<strong>Open</strong><strong>Directory</strong>oud’uncontrôleurdedomainesecondaireàlademande<br />
226 Conversiond’uneréplique<strong>Open</strong><strong>Directory</strong>enunrelais<br />
226 Promotiond’uneréplique<strong>Open</strong><strong>Directory</strong><br />
229 Misehorsserviced’uneréplique<strong>Open</strong><strong>Directory</strong><br />
230 Archivaged’unmaître<strong>Open</strong><strong>Directory</strong><br />
231 Restaurationd’unmaître<strong>Open</strong><strong>Directory</strong><br />
Chapitre10 235 Résolutiondeproblèmesliésà<strong>Open</strong><strong>Directory</strong><br />
235 Résolutiondeproblèmesliésauxmaîtresetauxrépliques<strong>Open</strong><strong>Directory</strong><br />
235 SiKerberosestarrêtésurunmaîtreouuneréplique<strong>Open</strong><strong>Directory</strong><br />
236 Sivousnepouvezpascréeruneréplique<strong>Open</strong><strong>Directory</strong><br />
236 Sivousnepouvezpascréerunmaîtreouuneréplique<strong>Open</strong><strong>Directory</strong>àpartird’un<br />
fichierdeconfiguration<br />
236 Sivousnepouvezpasconnecterunerépliqueàunrelais<br />
237 Sivousnepouvezpasconnecteruneréplique<strong>Open</strong><strong>Directory</strong>àun<strong>Open</strong><strong>Directory</strong><br />
quiestlesubordonnéd’unserveurActive<strong>Directory</strong><br />
237 Résolutiondeproblèmesdesconnexionàdesrépertoires<br />
237 Siunralentissementseproduitlorsdudémarrage<br />
237 Résolutiondesproblèmesd’authentification<br />
237 Sivousnepouvezpasmodifierlemotdepasse<strong>Open</strong><strong>Directory</strong>d’unutilisateur<br />
238 Siunutilisateurnepeutpasaccéderàcertainsservices<br />
238 Siunutilisateurneparvientpasàs’authentifierpourleserviceVPN<br />
238 Sivousnepouvezpaschangerletypedemotdepassed’unutilisateurentype<br />
<strong>Open</strong><strong>Directory</strong><br />
239 Silesutilisateursexploitantunserveurdemotsdepassenepeuventpasouvrirde<br />
session<br />
239 Silesutilisateursnepeuventpasouvrirdesessionsousuncompteissud’un<br />
domainederépertoirepartagé<br />
239 SivousnepouvezpasouvrirunesessioncommeutilisateurActive<strong>Directory</strong><br />
240 Sidesutilisateursnepeuventpass’authentifierparKerberosetlasignatureunique<br />
242 Silesutilisateursn’arriventpasàmodifierleurmotdepasse<br />
242 SivousnepouvezpasconnecterunserveuràunroyaumeKerberos<strong>Open</strong><strong>Directory</strong><br />
243 Sivousdevezréinitialiserunmotdepassed’administrateur<br />
Annexe 245 Donnéesderépertoire<strong>Mac</strong><strong>OS</strong>X<br />
246 Extensions<strong>Open</strong><strong>Directory</strong>auschémaLDAP<br />
247 Classesd’objetsduschémaLDAP<strong>Open</strong><strong>Directory</strong><br />
Tabledesmatières 9
Glossaire 305<br />
Index 313<br />
256 AttributsduschémaLDAP<strong>Open</strong><strong>Directory</strong><br />
276 Mappagedetypesd’enregistrementsetd’attributsstandardversLDAPet<br />
Active<strong>Directory</strong><br />
277 Mappagesd’utilisateurs(Users)<br />
280 Mappagesdegroupes(Groups)<br />
282 Mappagesdemontages(Mounts)<br />
282 Mappagesd’ordinateurs(Computers)<br />
284 Mappagesdelistesd’ordinateurs(ComputerLists)<br />
285 Mappagesdeconfigurations(Config)<br />
286 Mappagesdepersonnes(People)<br />
287 Mappagesdelistesd’ordinateurspréréglés(PresetComputerLists)<br />
288 Mappagesdegroupespréréglés(PresetGroups)<br />
289 Mappagesd’utilisateurspréréglés(PresetUsers)<br />
290 Mappagesd’imprimantes(Printers)<br />
292 Mappagesdeconfigurationsautomatiquesdeserveur(Auto<strong>Server</strong>Setup)<br />
292 Mappagesd’emplacements(Locations)<br />
293 typesd’enregistrementsetattributs<strong>Open</strong><strong>Directory</strong>standard<br />
293 Attributsstandarddanslesenregistrementsd’utilisateurs<br />
299 Attributsstandarddanslesenregistrementsdegroupes<br />
300 Attributsstandarddanslesenregistrementsd’ordinateurs<br />
301 Attributsstandarddanslesenregistrementsdegroupesd’ordinateurs<br />
302 Attributsstandarddanslesenregistrementsdemontages<br />
303 Attributsstandarddanslesenregistrementsdeconfigurations<br />
10 Tabledesmatières
Àproposdeceguide<br />
Préface<br />
Ceguidedécritlesservicesderépertoireetd’authentificationquevouspouvezconfigureràl’aidede<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>.<br />
Ilexpliqueégalementcommentconfigurerlesordinateurs<br />
clients<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>et<strong>Mac</strong><strong>OS</strong>Xpourlesservicesde<br />
répertoire.<br />
<strong>Open</strong><strong>Directory</strong>de<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>fournitdesservicesderépertoireetd’authentification<br />
pourréseauxmixtesd’ordinateurs<strong>Mac</strong><strong>OS</strong>X,WindowsetUNIX.<br />
<strong>Open</strong><strong>Directory</strong>utilise<strong>Open</strong>LDAP,l’implémentationopensourceduprotocole<br />
Lightweight<strong>Directory</strong>AccessProtocol(LDAP),pourfournirdesservicesderépertoire.<br />
<strong>Open</strong>LDAPestcompatibleavecd’autresserveursLDAPbaséssurdesstandardset<br />
peutêtreintégréàdesservicespropriétairescomme,parexemple,Active<strong>Directory</strong><br />
deMicrosoftete<strong>Directory</strong>deNovell.<br />
PourlabasededonnéesLDAPprincipale,<strong>Open</strong><strong>Directory</strong>utiliselabasededonnées<br />
Berkeleyopensource.C’estunebasededonnéestrèsextensiblepourl’indexation<br />
àhautesperformancesdecentainesdemilliersdecomptesd’utilisateuretd’autres<br />
enregistrements.<br />
Lemoduleexterne<strong>Open</strong><strong>Directory</strong>permetàunclient<strong>Mac</strong><strong>OS</strong>Xou<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong><br />
delireetd’écriredesinformationsfaisantautoritésurlesressourcesd’utilisateuretde<br />
réseauprovenantden’importequelserveurLDAP,mêmeActive<strong>Directory</strong>,lesystème<br />
propriétairedeMicrosoft.Leserveurpeutaussiaccéderàdesfichessetrouvantdans<br />
desrépertoireshéritéstelsqueNISetdesfichiersdeconfigurationBSDlocaux(/etc).<br />
11
<strong>Open</strong><strong>Directory</strong>fournitaussiunserviced’authentification.Ilpeutstockeretvalideren<br />
toutesécuritélesmotsdepassedesutilisateursdésireuxd’ouvrirunesessionsurdes<br />
ordinateursclientsdevotreréseauoud’utiliserd’autresressourcesréseauquinécessitentuneauthentification.<strong>Open</strong><strong>Directory</strong>permetégalementd’appliquercertaines<br />
politiquesconcernantnotammentl’expirationdesmotsdepasseouleurlongueur<br />
minimale.<strong>Open</strong><strong>Directory</strong>peutenoutreauthentifierdesutilisateursd’ordinateurs<br />
Windowspourl’ouverturedesessionsurdesdomaines,leservicedefichiersetd’autres<br />
servicesWindows(servicesSMB)fournispar<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>.<br />
Uncentrededistributiondeclés(KDC)KerberosMITestentièrementintégréà<strong>Open</strong><br />
<strong>Directory</strong>etfournituneauthentificationsécuriséequiprendenchargelasignature<br />
unique.Celasignifiequelesutilisateursnedoivents’authentifierqu’uneseulefois,<br />
avecuneseuleetuniquepairenomd’utilisateur/motdepasse,pouraccéderàl’ensembledesservicesréseaupourlesquelsKerberosaétéactivé.<br />
Pourlesservicesquin’acceptentpasl’authentificationKerberos,leserviceSecure<br />
AuthenticationandServiceLayer(SASL)intégrénégocielemécanismed’authentificationleplussûrpossible.<br />
Deplus,laréplicationderépertoiresetd’authentificationoptimiseladisponibilitéet<br />
l’extensibilité.Encréantdesrépliquesdesserveurs<strong>Open</strong><strong>Directory</strong>,vouspouvezaisémentmaintenirdesserveursdebasculementetdesserveursdistantspourl’interaction<br />
rapideaveclesclientssurdesréseauxdistribués.<br />
Nouveautésdelaversion10.5<br />
<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>10.5offrelesaméliorationsmajeuressuivantesdans<strong>Open</strong><strong>Directory</strong>:<br />
 Configurationsimplifiéedel’accèsLDAPv3:l’Utilitairederépertoirevousaideà<br />
configureruneconnexionàunannuaireLDAP.<br />
 Interfaced’AdminServeuraméliorée:AdminServeurdisposed’uneinterfaceplus<br />
ergonomique.<br />
 Autorisationaméliorée:vouspouvezrelierunserveur<strong>Open</strong><strong>Directory</strong><strong>Mac</strong><strong>OS</strong>Xà<br />
unserveurActive<strong>Directory</strong>etutiliseruneautorisationcouvrantplusieursdomaines.<br />
 ServeurLDAPamélioré:<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>10.5utilise<strong>Open</strong>LDAP2.3.xetBerkeley<br />
DB4.2.52.<br />
 Domainelocalamélioré:<strong>Mac</strong><strong>OS</strong>Xutiliseundomainederépertoirelocalpour<br />
l’authentificationdel’ordinateurlocal.<br />
 Réplicationaméliorée:vouspouvezavoiruneréplicationàdeuxniveauxd’un<br />
mêmemaître(égalementappeléeréplicationencascade).Celavouspermetd’avoir<br />
jusqu’à1056répliquesd’unmêmemaître<strong>Open</strong><strong>Directory</strong>etdesensemblesderépliquesouunesélectionderépliqueplusefficacespourleserveurdemotsdepasse,<br />
LDAPetKerberos.<br />
12 PréfaceÀproposdeceguide
 <strong>Administration</strong>améliorée:vouspouvezbénéficierd’uneplusgrandeextensibilité<br />
enmatièred’administrationdesdomainesderépertoireenfaisantappelàuneadministrationàplusieursniveaux.<br />
 Meilleurepriseenchargedesapplications:vouspouvezutiliser<strong>Open</strong><strong>Directory</strong><br />
avecdesapplicationstellesqu’<strong>Apple</strong>Wiki.<br />
Contenudeceguide<br />
Ceguidecomprendleschapitressuivants:<br />
 Lechapitre1,«Servicesderépertoireavec<strong>Open</strong><strong>Directory</strong>»présentelesdomaines<br />
derépertoire,lafaçondontilssontorganisésetutilisés.<br />
 Lechapitre2,«Politiquesderecherche<strong>Open</strong><strong>Directory</strong>»présentelespolitiquesde<br />
recherchepourunouplusieursdomainesderépertoireetdécritlespolitiquesde<br />
rechercheautomatisées,personnaliséesoulocalesuniquement.<br />
 Lechapitre3,«Authentification<strong>Open</strong><strong>Directory</strong>»décritl’authentification<br />
<strong>Open</strong><strong>Directory</strong>,lesmotsdepasseshadowetcryptés,Kerberos,laliaisonLDAP<br />
etlasignatureunique.<br />
 Lechapitre4,«Outilsdeplanificationetdegestion<strong>Open</strong><strong>Directory</strong>»vousaideà<br />
déterminervosbesoinsenmatièrededomainesderépertoire,àestimervosexigencesenmatièrederépertoiresetd’authentification,àidentifierlesserveurspour<br />
l’hébergementdesdomainespartagés,àaméliorerlesperformancesetlaredondance,àgérerlaréplicationdansuncampusmultiliaisonetàsécuriservosservices<br />
<strong>Open</strong><strong>Directory</strong>.Cechapitreprésenteégalementlesoutilsdegestiondesservices<br />
<strong>Open</strong><strong>Directory</strong>.<br />
 Lechapitre5,«Configurationdesservices<strong>Open</strong><strong>Directory</strong>»expliquecommentconfigurerunserveur<strong>Open</strong><strong>Directory</strong>etdécritlesconfigurationsetlesrôlesquevous<br />
pouvezdéfinir.Cechapitrevousexpliqueégalementcommentdéfinirlesoptionsdu<br />
serviceLDAPd’unmaîtreoud’uneréplique<strong>Open</strong><strong>Directory</strong>etcommentconfigurer<br />
l’authentificationKerberosparsignatureuniquesurunmaître<strong>Open</strong><strong>Directory</strong>.<br />
 Lechapitre6,«Gestiondel’authentificationd’utilisateur»montrecommentdéfinir<br />
despolitiquesdemotdepasse,modifierletypedemotdepassed’unutilisateur,<br />
attribuerdesdroitsd’administrateurpourl’authentification<strong>Open</strong><strong>Directory</strong>,réinitialiserlesmotsdepassedecomptesd’utilisateursimportésetfairemigrerdesmotsde<br />
passeversl’authentification<strong>Open</strong><strong>Directory</strong>.<br />
 Lechapitre7,«Gestiondesclientsderépertoire»expliquecommentutiliser<br />
l’Utilitairederépertoirepourconfigureretgérerlamanièredontlesordinateurs<br />
<strong>Mac</strong><strong>OS</strong>Xaccèdentauxservicesderépertoire.<br />
 LeChapitre8,«Réglagesavancésdesclientsderépertoire»,expliquecommentutiliserl’applicationUtilitairederépertoirepouractiver,désactiveretconfigurerlesprotocolesdedétectiondeservices.Ilexpliqueégalementcommentconfigurerlesrègles<br />
derecherched’authentificationetdecontacts,ainsiquel’accèsauxdomainesde<br />
répertoire,notammentLDAP,Active<strong>Directory</strong>,NISetlesfichiersdeconfigurationBSD.<br />
PréfaceÀproposdeceguide 13
 Lechapitre9,«Maintenancedesservices<strong>Open</strong><strong>Directory</strong>»expliquecommentcontrôlerlesservices<strong>Open</strong><strong>Directory</strong>,visualiseretmodifierlesdonnéesderépertoireà<br />
l’aidedel’Inspecteur,archiverunmaître<strong>Open</strong><strong>Directory</strong>eteffectuerd’autresopérationsdemaintenancederépertoire.<br />
 LeChapitre10,«Résolutiondeproblèmesliésà<strong>Open</strong><strong>Directory</strong>»,décritlesproblèmescourantsetfournitdesinformationssurlamarcheàsuivreencasdeproblème<br />
lorsdel’utilisationd’<strong>Open</strong><strong>Directory</strong>.<br />
Enoutre,l’annexe,«Donnéesderépertoire<strong>Mac</strong><strong>OS</strong>X»présentelalistedesextensions<br />
<strong>Open</strong><strong>Directory</strong>auschémaLDAPetspécifielestypesdefichesetattributsstandardde<br />
<strong>Mac</strong><strong>OS</strong>X.Enfin,leglossairedéfinitlestermesquevousrencontrerezlorsdelalecture<br />
deceguide.<br />
Remarque:étantdonnéqu’<strong>Apple</strong>publierégulièrementdenouvellesversionsetmises<br />
àjourdeseslogiciels,lesillustrationsdecedocumentpeuventêtredifférentesde<br />
cellesquis’affichentàl’écran.<br />
Utilisationdeceguide<br />
Leschapitresdeceguidesontclassésdansl’ordrecorrespondantprobablementle<br />
mieuxàvosbesoinsdeconfigurationetdegestiond’<strong>Open</strong><strong>Directory</strong>survotreserveur.<br />
 Lisezlechapitre1jusqu’auchapitre3pourvousfamiliariseraveclesconcepts<br />
d’<strong>Open</strong><strong>Directory</strong>:servicesderépertoires,politiquesderechercheetauthentification.<br />
 Lisezlechapitre4lorsquevousêtesprêtàplanifierlesservicesderépertoireset<br />
l’authentificationdesmotsdepassepourvotreréseau.<br />
 Aprèscetteétapedeplanification,utilisezlesinstructionsduchapitre5pour<br />
configurerlesservices<strong>Open</strong><strong>Directory</strong>.<br />
 Sivousdevezdéfinirdespolitiquesdemotdepasseoumodifierlesréglagesdemot<br />
depassed’uncompted’utilisateur,reportez-vousauxinstructionsduchapitre6.<br />
 Pourconfigureroumodifierlafaçondontunordinateur<strong>Mac</strong><strong>OS</strong>Xou<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong><br />
accèdeauxdomainesderépertoire,suivezlesinstructionsduchapitre7.<br />
 Pourconfigurerlesréglagesavancésdesutilisateursàl’aidedel’Utilitairede<br />
répertoire,reportez-vousauChapitre8.<br />
 Pourlamaintenancecourantedesservicesderépertoiresetd’authentification,<br />
consultezlechapitre9.<br />
 Sivousrencontrezdesproblèmesavec<strong>Open</strong><strong>Directory</strong>,reportez-vousauchapitre10<br />
pourconnaîtrelessolutionspossibles.<br />
14 PréfaceÀproposdeceguide
Utilisationdel’aideàl’écran<br />
Vouspouvezobtenirdesinstructionsàl’écrandansVisualisationAidependantque<br />
vousutilisezLeopard<strong>Server</strong>.L’aidepeutêtreaffichéesurunserveurousurunordinateuradministrateur(Unordinateuradministrateurestunordinateur<strong>Mac</strong><strong>OS</strong>Xsur<br />
lequelestinstallélelogicield’administrationdeserveurLeopard<strong>Server</strong>.)<br />
Pourobtenirdel’aidedanslecasd’uneconfigurationavancéedeLeopard<strong>Server</strong>:<br />
m OuvrezAdminServeurouGestionnairedegroupedetravail,puis:<br />
 UtilisezlemenuAidepourrechercherunetâcheàexécuter.<br />
 ChoisissezAide>AideAdminServeurouAide>AideGestionnairedegroupede<br />
travailavantd’explorerlesrubriquesd’aideetd’effectuerdesrecherches.<br />
L’aideàl’écrancontientdesinstructionsissuesduguide<strong>Administration</strong>duserveur,ainsi<br />
qued’autresguidesd’administrationavancéedécritsdans«Guidesd’administrationde<br />
<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>Ȉlapage15.<br />
Pourvisualiserlesrubriquesd’aidelesplusrécentesconcernantlesserveurs:<br />
m Assurez-vousqueleserveuroul’ordinateuradministrateurestconnectéàInternet<br />
pendantquevousconsultezl’Aide.<br />
VisualisationAideextraitautomatiquementlesrubriquesd’aidelesplusrécentes<br />
depuisInternetetlesstockeenmémoirecache.Lorsquevousn’êtespasconnecté<br />
àInternet,VisualisationAideaffichelesrubriquesd’aidemisesencache.<br />
Guidesd’administrationde<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong><br />
Premierscontactstraitedel’installationetdelaconfigurationdesconfigurationsstandardetdegroupedetravailde<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>.Pourlesconfigurationsavancées,<br />
consultez<strong>Administration</strong>duserveur,quiregroupelaplanification,l’installation,laconfigurationetl’administrationduserveurengénéral.Unesériedeguidessupplémentaires,énumérésci-dessous,décritlaplanification,laconfiguration,ainsiquelagestion<br />
avancéedesservicesindividuels.VouspouvezobtenircesguidesauformatPDFsur<br />
lesitewebdedocumentationde<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>:<br />
www.apple.com/fr/server/documentation<br />
Ceguide...<br />
Premierscontactset<br />
Feuilled’opérationd’installation<br />
etdeconfiguration<br />
<strong>Administration</strong>deligne<br />
decommande<br />
<strong>Administration</strong>desservices<br />
defichier<br />
<strong>Administration</strong>duserviceiCal<br />
expliquecomment:<br />
Installer<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>etleconfigurerpourlapremièrefois.<br />
Installer,configureretgérer<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>àl’aidedefichiersde<br />
configurationetd’outilsdelignedecommandeUNIX.<br />
Partagercertainsvolumesoudossiersdeserveurentrelesclients<br />
duserveur,àl’aidedesprotocolesAFP,NFS,FTPetSMB.<br />
Configureretgérerleservicedecalendrierpartagéd’iCal.<br />
PréfaceÀproposdeceguide 15
16 PréfaceÀproposdeceguide<br />
<br />
<strong>Administration</strong>duserviceiChat<br />
Configureretgérerleservicedemessagerieinstantanéed’iChat.<br />
Configurationdelasécurité<br />
de<strong>Mac</strong><strong>OS</strong>X<br />
Renforcerlasécuritédesordinateurs(clients)<strong>Mac</strong><strong>OS</strong>X,comme<br />
l’exigentlesentreprisesetlesorganismespublics.<br />
Configurationdelasécurité<br />
de<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong><br />
Renforcerlasécuritéde<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>etdel’ordinateur<br />
surlequelilestinstallé,commel’exigentlesentrepriseset<br />
lesorganismespublics.<br />
<strong>Administration</strong>duservice<br />
demessagerie<br />
ConfigureretgérerlesservicesdemessagerieIMAP,POPetSMTP<br />
surleserveur.<br />
<strong>Administration</strong>desservices<br />
deréseau<br />
Installer,configureretadministrerlesservicesDHCP,DNS,VPN,NTP,<br />
coupe-feuIP,NATetRADIUSsurleserveur.<br />
<strong>Administration</strong>d’<strong>Open</strong><strong>Directory</strong><br />
Configureretgérerlesservicesderépertoireetd’authentification<br />
etconfigurerlesclientsautorisésàaccéderauxservicesderépertoire.<br />
<strong>Administration</strong>dePodcastProducer ConfigureretgérerleservicePodcastProducerdestinéàenregistrer,traiteretdistribuerdespodcasts.<br />
<strong>Administration</strong>duservice<br />
d’impression<br />
Hébergerlesimprimantespartagéesetgérerlesfilesd’attenteet<br />
travauxd’impressionassociés.<br />
<strong>Administration</strong>deQuickTime<br />
StreamingetBroadcasting<br />
CaptureretencoderducontenuQuickTime.Configureretgérer<br />
leserviceQuickTimeStreamingenvuedediffuserdesdonnées<br />
multimédiasentempsréelouàlademande.<br />
<strong>Administration</strong>duserveur<br />
Réaliserl’installationetlaconfigurationavancéesdulogicielserveuretgérerdesoptionsquis’appliquentàplusieursservicesouà<br />
l’intégralitéduserveur.<br />
<strong>Administration</strong>deMiseàjour<br />
delogicielsetd’Imageriesystème<br />
UtiliserNetBoot,NetInstalletMiseàjourdelogicielspourautomatiserlagestiondusystèmed’exploitationetdesautreslogiciels<br />
utilisésparlesordinateursclients.<br />
Miseàniveauetmigration<br />
Utiliserdesréglagesdedonnéesetdeservicescorrespondantà<br />
uneversionantérieurede<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>oudeWindowsNT.<br />
Gestiondesutilisateurs<br />
Créeretgérerdescomptesutilisateur,desgroupesetdesordinateurs.Configurerlespréférencesgéréesdesclients<strong>Mac</strong><strong>OS</strong>X.<br />
<strong>Administration</strong>destechnologies<br />
web<br />
Configureretgérerdestechnologieswebtellesquelesblogs,<br />
WebMail,wiki,MySQL,PHP,RubyonRails(RoR)etWebDAV.<br />
InformatiqueàhauteperformanceetadministrationXgrid<br />
ConfigureretgérerdesgrappesdecalculdesystèmesXserveet<br />
d’ordinateurs<strong>Mac</strong>.<br />
Glossaire<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong><br />
Savoiràquoicorrespondentlestermesutiliséspourlesproduitsde<br />
serveuretlesproduitsdestockage.<br />
Ceguide...<br />
expliquecomment:
VisualisationdeguidesPDFàl’écran<br />
LorsquevouslisezlaversionPDFd’unguideàl’écran,vouspouvez:<br />
 Afficherlessignetspourvisualiserleplanduguideetcliquersurunsignetpour<br />
accéderdirectementàlasectioncorrespondante.<br />
 Rechercherunmotouunephrasepourafficherunelistedesendroitsoùcemotou<br />
cettephraseapparaîtdansledocument.Cliquezsurundecesendroitspourafficher<br />
lapagecorrespondante.<br />
 Cliquersuruneréférencecroiséepouraccéderdirectementàlarubriqueréférencée.<br />
Cliquezsurunlienpourvisiterlesitewebdansvotrenavigateur.<br />
ImpressiondesguidesPDF<br />
Sivousdevezimprimerunguide,procédezcommesuitpouréconomiserdupapieret<br />
del’encre:<br />
 Économisezdel’encreoudutonerenévitantd’imprimerlacouverture.<br />
 Sivousdisposezd’uneimprimantecouleur,économisezdel’encreenchoisissantune<br />
optiond’impressionenniveauxdegrisouennoiretblancdansunedessectionsde<br />
lazonededialogueImprimer.<br />
 Réduisezlevolumedudocumentimpriméetéconomisezdupapierenimprimant<br />
plusieurspagesparfeuille.DanslazonededialogueImprimer,réglezÉchellesur115%<br />
(155%pourPremierscontacts).ChoisissezensuiteMiseenpagedanslemenulocal<br />
sanstitre.Sivotreimprimanteprendenchargel’impressionrectoverso(duplex),<br />
sélectionnezl’unedesoptionsproposées.Sinon,choisissez2danslemenulocal<br />
Pagesparfeuilleet,sivouslesouhaitez,SimpleextrafinedanslemenuBordure.<br />
(Sivousutilisez<strong>Mac</strong><strong>OS</strong>X10.4ouantérieur,leréglageÉchellesetrouvedanslazone<br />
dedialogueFormatd’impressionetlesréglagesrelatifsàlamiseenpagedanslazone<br />
dedialogueImprimer.)<br />
Ilpeuts’avérerutiled’agrandirlespagesimpriméesmêmesivousn’imprimezpasen<br />
rectoverso,carlatailledespagesPDFestinférieureàcelledupapierd’imprimante<br />
standard.DanslazonededialogueImprimeroudanslazonededialogueFormat<br />
d’impression,essayezderéglerÉchellesur115%(155%pourPremierscontactsqui<br />
possèdedespagesdelatailled’unCD).<br />
PréfaceÀproposdeceguide 17
Obtenirdesmisesàjourdedocumentation<br />
<strong>Apple</strong>publierégulièrementdespagesd’aideréviséesainsiquedenouvelleséditions<br />
desesguides.Certainespagesd’aideréviséessontdesmisesàjourdesdernières<br />
éditionsdecesguides.<br />
 Pourafficherlesnouvellesrubriquesd’aideàl’écrand’uneapplicationdeserveur,<br />
assurez-vousquevotreserveurouvotreordinateuradministrateurestconnectéà<br />
Internetetcliquezsurleliendesdernièresrubriquesd’aideoudemiseàjourdans<br />
lapaged’aideprincipaledel’application.<br />
 PourtéléchargerlesguideslesplusrécentsenformatPDF,rendez-voussurlesite<br />
webdedocumentationde<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>:<br />
www.apple.com/fr/server/documentation/<br />
Pourobtenirdesinformationssupplémentaires<br />
Pourensavoirplus,consultezlesressourcessuivantes:<br />
 DocumentsOuvrez-moi:misesàjourimportantesetinformationsspécifiques.<br />
Recherchez-lessurlesdisquesduserveur.<br />
 Sitewebde<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>(www.apple.com/fr/server/macosx):passerelleversdes<br />
informationsdétailléessurdenombreuxproduitsettechnologies.<br />
 Sitewebdeserviceetd’assistance<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>(www.apple.com/fr/support/<br />
macosxserver):accèsàdescentainesd’articlesduserviced’assistanced’<strong>Apple</strong>.<br />
 Sitewebdeserviceetd’assistance<strong>Apple</strong>(www.apple.com/fr/support):accèsàdes<br />
centainesd’articlesduserviced’assistanced’<strong>Apple</strong>.<br />
 Siteweb<strong>Apple</strong>formation(www.apple.com/fr/training):coursensalleetautoformationsafindedéveloppervoscompétencesentermesd’administrationdeserveur.<br />
 Groupesdediscussions<strong>Apple</strong>,(discussions.apple.com):unmoyende<br />
partagerquestions,connaissancesetconseilsavecd’autresadministrateurs.<br />
 Sitewebdeslistesd’envoi<strong>Apple</strong>,(www.lists.apple.com):abonnez-vousàdeslistes<br />
d’envoiafindepouvoircommuniquerparcourrierélectroniqueavecd’autresadministrateurs.<br />
 Sitewebd’<strong>Open</strong>LDAP(www.openldap.org):découvrezlelogicielopensourceutilisé<br />
par<strong>Open</strong><strong>Directory</strong>pourfournirleservicederépertoireLDAP.<br />
 SitewebdeKerberosMIT(web.mit.edu/kerberos/www):obtenezdesinformations<br />
élémentairesetdesspécificationssurleprotocoleutilisépar<strong>Open</strong><strong>Directory</strong>pour<br />
fourniruneauthentificationparsignatureuniquerobuste.<br />
 SitewebdeBerkeleyDB(www.sleepycat.com):consultezlesdescriptionsdesfonctionnalitésetdeladocumentationtechniquesurlabasededonnéesopensourceutiliséepar<strong>Open</strong><strong>Directory</strong>pourstockerlesdonnéesderépertoireLDAP.<br />
 RFC3377,“Lightweight<strong>Directory</strong>AccessProtocol(v3):Spécificationtechnique”<br />
(www.rfc-editor.org/rfc/rfc3377.txt)—accédezàhuitautresdocumentsRFC(Request<br />
forComment)quicontiennentdesinformationsd’ensembleetdesspécifications<br />
détailléessurleprotocoleLDAPv3.<br />
18 PréfaceÀproposdeceguide
1 Servicesderépertoireavec<br />
<strong>Open</strong><strong>Directory</strong><br />
1<br />
Unservicederépertoireestunlieudestockagecentralisé<br />
d’informationsconcernantlesutilisateursd’ordinateurset<br />
lesressourcesréseaud’uneorganisation.<br />
Avantagesdel’utilisationdeservicesderépertoire<br />
Lefaitdecentraliserlesdonnéesadministrativesenunseulendroitprésenteplusieurs<br />
avantages:<br />
 Réductiondunombrededonnéesàsaisir.<br />
 Touslesclientsetlesservicesréseaudisposentd’informationscohérentesàpropos<br />
desutilisateursetdesressources.<br />
 Simplifiel’administrationdesutilisateursetdesressources.<br />
 Fournitdesinformationsd’identification,d’authentificationetd’autorisationà<br />
d’autresservicesderéseau.<br />
Danslesécolesoulesentreprisesparexemple,ilssontparfaitspourgérerlesutilisateursetlesressourcesinformatiques.Mêmeuneorganisationdemoinsdedixpersonnespeutbénéficierdesavantagesdudéploiementd’unservicederépertoire.<br />
Lesservicesderépertoiresontdoublementutiles:ilssimplifientd’unepartl’administrationdusystèmeetduréseau,etd’autrepartl’usageduréseaupourlesutilisateurs.<br />
Grâceauxservicesderépertoire,lesadministrateurspeuventconserverdesinformations<br />
surtouslesutilisateurs,comme,parexemple,leurnom,leurmotdepasseetlesemplacementsdesrépertoiresdedépartréseau,defaçoncentraleplutôtquesurlesdifférents<br />
ordinateurs.Lesservicesderépertoirepermettentaussidecentraliserlesinformations<br />
concernantlesimprimantes,lesordinateursetlesautresressourcesenréseau.<br />
Lacentralisationd’informationssurlesutilisateursetlesressourcespermetderéduire<br />
lachargedetravailenmatièredegestiondesinformationspourl’administrateursystèmeetàchaqueutilisateurdedisposerd’uncompted’utilisateurcentralisépermettantd’ouvrirunesessionsurtoutordinateurautoriséduréseau.<br />
19
Servicesetdomainesderépertoire<br />
Leservicederépertoireagitcommeunintermédiaireentrelesprocessusd’application<br />
etdelogicielsystème,quiontbesoind’informationssurlesutilisateursetlesressources,<br />
etlesdirectorydomainsquistockentlesinformations.<br />
Commeillustréci-dessous,<strong>Open</strong><strong>Directory</strong>fournitdesservicesderépertoirepour<br />
<strong>Mac</strong><strong>OS</strong>Xet<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>.<br />
Utilisateurs<br />
Groupes<br />
Imprimantes<br />
Ordinateurs<br />
Montages<br />
Domaines<br />
de répertoire<br />
<strong>Open</strong><br />
<strong>Directory</strong><br />
Processus d’applications<br />
et de logiciels système<br />
<strong>Open</strong><strong>Directory</strong>peutaccéderauxinformationsquifigurentdansunouplusieurs<br />
domainesderépertoire.Undomainederépertoirestockedesinformationsdans<br />
unebasededonnéesspécialiséeetoptimiséepourrechercher,extraireettraiter<br />
rapidementungrandnombrededemandesd’informations.<br />
Avecleservicederépertoireetleservicedefichierscentralisésconfiguréspourhébergerlesdossiersdedépartréseau,unutilisateurobtientpartoutlesmêmesdossierde<br />
départ,bureaupersonnaliséetpréférencesindividuelles,quelquesoitl’ordinateursur<br />
lequelilouvreunesession.L’utilisateurpeutdonctoujoursaccéderàsesfichierspersonnelsmisenréseaupourrechercheretutiliseraisémentlesressourcesréseauautorisées.<br />
Lesprocessusexécutéssous<strong>Mac</strong><strong>OS</strong>Xutilisentlesservices<strong>Open</strong><strong>Directory</strong>pourenregistrerdesinformationsdanslesdomainesderépertoire.Siparexemplevouscréez<br />
uncompted’utilisateuràl’aidedeGestionnairedegroupedetravail,cetteapplication<br />
demandeà<strong>Open</strong><strong>Directory</strong>destockerlenomdel’utilisateuretlesautresinformations<br />
ducomptedansundomainederépertoire.Vouspouvezensuitepasserenrevue<br />
lesinformationsdescomptesd’utilisateurdansGestionnairedegroupedetravail,<br />
quiutilise<strong>Open</strong><strong>Directory</strong>pourextrairelesinformationssurlesutilisateursàpartir<br />
d’undomainederépertoire.<br />
20 Chapitre1Servicesderépertoireavec<strong>Open</strong><strong>Directory</strong>
D’autresprocessusdelogicielssystèmeetd’applicationspeuventégalementaccéder<br />
auxinformationsdescomptesd’utilisateurstockéesdansdesdomainesderépertoire.<br />
Quandunutilisateurouvreunesessionsurunordinateur<strong>Mac</strong><strong>OS</strong>X,leprocessus<br />
d’ouverturedesessionutiliselesservices<strong>Open</strong><strong>Directory</strong>pourvaliderlenomd’utilisateuretlemotdepasse.<br />
Domaine<br />
de<br />
répertoire<br />
Gestionnaire de<br />
groupe de travail<br />
<strong>Open</strong><br />
<strong>Directory</strong><br />
Pointdevuehistorique<br />
Toutcomme<strong>Mac</strong><strong>OS</strong>X,<strong>Open</strong><strong>Directory</strong>trouvesesoriginesdansUNIX.Eneffet,<br />
<strong>Open</strong><strong>Directory</strong>fournitl’accèsauxdonnéesadministrativesquelessystèmesUNIX<br />
conserventgénéralementdansdesfichiersdeconfiguration,cequirequiertuntravail<br />
demaintenanceplusminutieux(certainssystèmesUNIXreposenttoujourssurdes<br />
fichiersdeconfiguration).<strong>Open</strong><strong>Directory</strong>consolidecesdonnées,puislesrépartit<br />
pourfaciliterlesaccèscommelamaintenance.<br />
Consolidationdesdonnées<br />
Pendantdesannées,lessystèmesUNIXontstockélesinformationsadministratives<br />
dansunecollectiondefichierssituésdanslerépertoire/etc,commeillustréci-dessous.<br />
/etc/group<br />
/etc/hosts<br />
Processus UNIX<br />
/etc/master.passwd<br />
Chapitre1Servicesderépertoireavec<strong>Open</strong><strong>Directory</strong> 21
CeschémaexigequechaqueordinateurUNIXdisposedesapropresériedefichiers.<br />
Ainsi,lesprocessusexécutéssurunordinateurUNIXlisentsesfichiers,lorsqu’ilsont<br />
besoind’informationsadministratives.<br />
Sivousmaîtrisezl’environnementUNIX,vousconnaissezsansaucundoutelesfichiers<br />
durépertoire/etc:group,hosts,hosts.equiv,master.passwdetbiend’autres.Ainsi,<br />
unprocessusUNIXayantbesoind’unmotdepassed’utilisateurconsulteralefichier<br />
/etc/master.passwd.Lefichier/etc/master.passwdcontientunenregistrementpour<br />
chaquecompted’utilisateur.UnautreprocessusUNIXnécessitantdesinformations<br />
surlesgroupesutiliseplutôtlefichier/etc/group.<br />
<strong>Open</strong><br />
<strong>Directory</strong><br />
Processus <strong>Mac</strong> <strong>OS</strong> X<br />
<strong>Open</strong><strong>Directory</strong>consolidelesinformationsadministratives,cequisimplifielesinteractionsentrelesprocessusetlesdonnéesadministrativesqu’ilscréentetutilisent.<br />
Lesprocessusn’ontdésormaisplusbesoindesavoiroùetcommentlesdonnéesadministrativessontstockées.<strong>Open</strong><strong>Directory</strong>s’occuped’obtenircesdonnéespourleur<br />
compte.Siunprocessusdoitconnaîtrel’emplacementdudossierdedépartd’unutilisateur,ilfaitensortequ’<strong>Open</strong><strong>Directory</strong>obtiennecetteinformation.<strong>Open</strong><strong>Directory</strong><br />
trouvel’informationdemandéepuislarenvoie,évitantainsiauprocessustousles<br />
détailsconcernantlestockagedel’information,commeillustréci-dessous.<br />
Domaine<br />
de<br />
répertoire<br />
Domaine<br />
de<br />
répertoire<br />
<strong>Open</strong><br />
<strong>Directory</strong><br />
Processus <strong>Mac</strong> <strong>OS</strong> X<br />
Sivousconfigurez<strong>Open</strong><strong>Directory</strong>pouraccéderauxdonnéesadministrativesàpartir<br />
deplusieursdomainesderépertoire,<strong>Open</strong><strong>Directory</strong>lesconsulteencasdebesoin.<br />
22 Chapitre1Servicesderépertoireavec<strong>Open</strong><strong>Directory</strong>
CertainesdesdonnéesstockéesdansundirectorydomainsontidentiquesàdesdonnéesstockéesdanslesfichiersdeconfigurationUNIX.Parexemple,l’emplacementdu<br />
dossierdedépart,lenomréel,l’identifiantd’utilisateuretl’identifiantdegroupesont<br />
stockésdansl’enregistrementd’utilisateurd’undirectorydomainplutôtquedansle<br />
fichier/etc/passwdstandard.<br />
Toutefois,undirectorydomainstockebeaucoupplusd’informationspourgérerdes<br />
fonctionspropresà<strong>Mac</strong><strong>OS</strong>X,commelapriseenchargedelagestiond’ordinateurs<br />
clients<strong>Mac</strong><strong>OS</strong>X.<br />
Répartitiondesdonnées<br />
UnedescaractéristiquesdesfichiersdeconfigurationUNIX,estquelesdonnéesadministrativesqu’ilscontiennentsontdisponiblesuniquementsurl’ordinateursurlequel<br />
ellessontstockées.ChaqueordinateurcomportedoncsespropresfichiersdeconfigurationUNIX.<br />
AveclesfichiersdeconfigurationUNIX,toutordinateursurlequelunutilisateurenvisagedetravaillerdoitposséderlesréglagesducomptedecetutilisateur.Demanière<br />
plusgénérale,toutordinateurdoitdoncposséderlesréglagesdescomptesdesutilisateursautorisésàlesutiliser.Pourconfigurerlesréglagesderéseaud’unordinateur,<br />
l’administrateurdoitsedéplacerjusqu’àcetordinateur,puisentrerl’adresseIPettoute<br />
informationidentifiantcetordinateursurleréseau.<br />
Demême,lorsquedesinformationssurunutilisateurouleréseaudoiventêtremodifiéesdansdesfichiersdeconfigurationUNIX,l’administrateurdoitapportercesmodificationssurl’ordinateursurlequelsontsituéscesfichiers.Certainschangements,<br />
commelesréglagesderéseau,nécessitentquel’administrateurprocèdeauxmêmes<br />
opérationssurplusieursordinateurs.Cetteapprochedevientdeplusenpluscompliquéealorsquelesréseauxgagnententailleetencomplexité.<br />
Chapitre1Servicesderépertoireavec<strong>Open</strong><strong>Directory</strong> 23
<strong>Open</strong><strong>Directory</strong>résoutceproblèmeenvouspermettantdestockerdesdonnéesadministrativesdansundomainederépertoirequipeutêtregéréparunadministrateur<br />
réseauàpartird’unemplacementunique.<strong>Open</strong><strong>Directory</strong>vouspermetdedistribuer<br />
cesinformationsafinqu’ellessoientaccessiblesenréseaupourtouslesordinateursqui<br />
enontbesoinetpourl’administrateurquilesgère,commeillustréci-dessous.<br />
Domaine<br />
de<br />
répertoire<br />
Administrateur<br />
système<br />
<strong>Open</strong><br />
<strong>Directory</strong><br />
Utilisateurs<br />
Utilisationdesdonnéesdesrépertoires<br />
<strong>Open</strong><strong>Directory</strong>permetderegrouperetdegéreraisémentlesinformationssur<br />
leréseaudansundirectorydomain,maiscesinformationsn’ontdevaleurquesi<br />
lesprocessusdulogicielsystèmeetdesapplicationsexécutéssurlesordinateurs<br />
duréseauyaccèdentréellement.<br />
Voiciquelquesexemplesd’utilisationdesdonnéesderépertoireparlelogicielsystème<br />
etlesapplications<strong>Mac</strong><strong>OS</strong>X:<br />
 Ouverturedesession:Gestionnairedegroupedetravailpeutcréerdesenregistrementsd’utilisateursdansundirectorydomainetcesenregistrementspeuventservir<br />
àauthentifierdesutilisateursouvrantunesessionsurdesordinateurs<strong>Mac</strong><strong>OS</strong>Xet<br />
Windows.Lorsqu’unutilisateursaisitunnometunmotdepassedanslafenêtre<br />
d’ouverturedesession<strong>Mac</strong><strong>OS</strong>X,leprocessusd’ouverturedesessiondemandeà<br />
<strong>Open</strong><strong>Directory</strong>d’authentifiercenometcemotdepasse.<strong>Open</strong><strong>Directory</strong>utilise<br />
lenompourtrouverl’enregistrementducomptedel’utilisateurdansundirectory<br />
domainetvalideensuitelemotdepasseàl’aided’autresinformationsquifigurent<br />
dansl’enregistrementd’utilisateur.<br />
24 Chapitre1Servicesderépertoireavec<strong>Open</strong><strong>Directory</strong>
 Accèsauxdossiersetauxfichiers:unefoisqu’ilaouvertunesession,l’utilisateur<br />
peutaccéderauxdossiersetauxfichiers.<strong>Mac</strong><strong>OS</strong>Xutilised’autresdonnéesprovenantdel’enregistrementd’utilisateurpourdéterminerlesautorisationsd’accèsde<br />
l’utilisateurpourchaquefichieroudossier.<br />
 Dossiersdedépart:chaqueenregistrementd’utilisateur,dansundirectorydomain,<br />
stockel’emplacementdudossierdedépartdel’utilisateur.Ils’agitdel’endroitoù<br />
sontstockéslesfichiers,dossiersetpréférencesdel’utilisateurLedossierdedépart<br />
d’unutilisateurpeutsetrouversurl’ordinateursurlequeliltravailleousurunserveurdefichiersderéseau.<br />
 Montageautomatiquedepointsdepartage:lespointsdemontagepeuventêtre<br />
configuréspourlemontageautomatique(ilsapparaissentautomatiquement)dans<br />
ledossier/Network(leglobeRéseau)desfenêtresduFinderdesordinateursclients.<br />
Lesinformationsconcernantcespointsdepartageàmonterautomatiquementsont<br />
stockéesdansundomainederépertoire.Lespointsdepartagesontdesdossiers,<br />
desdisquesoudespartitionsdedisquerendusaccessiblessurleréseau.<br />
 Réglagedescomptesdemessagerie:chaqueenregistrementd’utilisateur,dansun<br />
domainederépertoire,indiquesil’utilisateurconcernédisposeduservicedemessagerieet,lecaséchéant,spécifielesprotocolesdecourrieràutiliser,lemodedeprésentationdesmessagesentrants,l’activationéventuelled’unealerteencasde<br />
réceptiondemessage,etc.<br />
 Utilisationdesressources:lesquotasdedisque,d’impressionetdecourrierpeuvent<br />
êtrestockésdanschaqueenregistrementd’utilisateurd’undomainederépertoire.<br />
 Informationssurlesclientsgérés:l’administrateurpeutgérerl’environnement<br />
<strong>Mac</strong><strong>OS</strong>Xdesutilisateursdontlescomptessontstockésdansundomainederépertoire.L’administrateurchoisitlesréglagesdepréférencesimposésquisontstockés<br />
dansledomainederépertoireetquisontprioritairesparrapportauxpréférences<br />
personnellesdesutilisateurs.<br />
 Gestiondegroupes:outredesenregistrementsd’utilisateurs,undomainederépertoirecontientégalementdesenregistrementsdegroupes..Chaquefichedegroupe<br />
affectetouslesutilisateursmembresdecegroupe.Lesinformationsquifigurent<br />
danslesenregistrementsdegroupeindiquentlesréglagesenmatièredepréférencesdesmembres.Lesenregistrementsdegroupepermettentégalementdedéterminerl’accèsauxfichiers,auxdossiersetauxordinateurs.<br />
 Présentationsderéseaugérées:l’administrateurpeutconfigurerdesprésentations<br />
personnaliséesquelesutilisateursvoientlorsqu’ilssélectionnentl’icôneRéseaudans<br />
labarrelatéraled’unefenêtreduFinder.Commecesprésentationsderéseaugérées<br />
sontstockéesdansundomainederépertoire,ellessontautomatiquementdisponibleslorsqu’unutilisateurouvreunesession.<br />
Chapitre1Servicesderépertoireavec<strong>Open</strong><strong>Directory</strong> 25
Accèsauxservicesderépertoires<br />
<strong>Open</strong><strong>Directory</strong>peutaccéderauxdomainesderépertoirepourlestypesdeservicesde<br />
répertoiressuivants:<br />
 Lightweight<strong>Directory</strong>AccessProtocol(LDAP),unenormecommunedanslesenvironnementsmixtesdesystèmes<strong>Mac</strong>intosh,UNIXetWindows.LDAPestleservice<br />
derépertoirenatifpourlesrépertoirespartagésde<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>.<br />
 Domainederépertoirelocal,leservicederépertoirepourtout<strong>Mac</strong><strong>OS</strong>Xet<br />
<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>10.5ouultérieur.<br />
 Active<strong>Directory</strong>,leservicederépertoiredesserveursMicrosoftWindows2000et2003.<br />
 NetworkInformationSystem(NIS),leservicederépertoiredenombreuxserveursUNIX.<br />
 FichiersplatsBSD,leservicederépertoirehéritédessystèmesUNIX.<br />
Auseind’undomainederépertoire<br />
Lesinformations,dansundomainederépertoire,sontorganiséesd’aprèsletyped’enregistrement.Lestypesd’enregistrementsontdescatégoriesspécifiquesd’informations,<br />
comme,parexemple,lesutilisateurs,lesgroupesetlesordinateurs.Undomainede<br />
répertoirepeutcontenirunnombredifférentd’enregistrementspourchaquetype<br />
d’enregistrements.Chaqueenregistrementestconstituéd’unensembled’attributset<br />
chaqueattributcomporteuneouplusieursvaleurs.<br />
Sivousimaginezuntyped’enregistrementcommeunefeuilledecalculdédiéeàune<br />
certainecatégoried’informations,lesenregistrementssontalorsleslignesdelafeuille,<br />
lesattributssontlescolonnesetchaquecellulecontientuneouplusieursvaleurs.<br />
Parexemple,lorsquevousdéfinissezuncompted’utilisateuràl’aidedeGestionnaire<br />
degroupedetravail,vouscréezunenregistrementd’utilisateur(unenregistrementde<br />
typeutilisateur).Lesréglagesdéfinispourcecompted’utilisateur(sonnomabrégé,<br />
sonnomcomplet,l’emplacementdesondossierdedépart,etc.)deviennentdes<br />
valeursdesattributsquifigurentdansl’enregistrement.Lafiched’utilisateurcomme<br />
lesvaleursdesesattributssontstockéesdansundomainederépertoire.<br />
Danscertainsservicesderépertoire,comme,parexemple,LDAPetActive<strong>Directory</strong>,<br />
lesinformationsderépertoiresontorganiséesparclassed’objets.Commelestypes<br />
d’enregistrement,lesclassesd’objetsdéfinissentdescatégoriesd’informations.<br />
Uneclassed’objetsdéfinitdesinformationssimilairesappelésentréesenspécifiant<br />
lesattributsqu’uneentréepeutoudoitcontenir.<br />
Pourunemêmeclassed’objets,undomainederépertoirepeutcontenirplusieurs<br />
entrées,chacunedecesentréespouvantcontenirplusieursattributs.Certainsattributs<br />
ontuneseulevaleur,alorsqued’autresenontplusieurs.Parexemple,laclassed’objets<br />
inetOrgPersondéfinitdesentréesquicontiennentdesattributsd’utilisateur.<br />
26 Chapitre1Servicesderépertoireavec<strong>Open</strong><strong>Directory</strong>
LaclasseinetOrgPersonestuneclasseLDAPstandarddéfinieparledocumentRFC<br />
2798.D’autresclassesd’objetsetattributsLDAPstandardsontdéfinisparledocument<br />
RFC2307.Lesclassesd’objetsetlesattributspardéfautd’<strong>Open</strong><strong>Directory</strong>sefondent<br />
surcesdocumentsRFC.<br />
L’ensembledesattributsetdestypesd’enregistrements(ouclassesd’objets)définissentlastructuredesinformationsd’undomainederépertoire.Cettestructureestappeléeschémadudomainederépertoire.<strong>Open</strong><strong>Directory</strong>utilisetoutefoisunschémaà<br />
basederépertoirequidiffèreduschémastockébaséenlocal.<br />
Lorsdel’utilisationd’unfichierdeconfigurationdeschémabaséenlocalavecunmaître<strong>Open</strong><strong>Directory</strong>quisertdesserveursrépliqués,leproblèmeestquesil’onmodifie<br />
ouajouteunattributauschémabaséenlocald’unmaître<strong>Open</strong><strong>Directory</strong>,ilfautaussi<br />
apportercettemodificationsurchacunedesrépliques.S’ilyabeaucoupderépliques,<br />
lamiseàjourmanuellepeutprendreénormémentdetemps.<br />
Sivousn’apportezpaslamêmemodificationauschémaenlocalsurchacunedesrépliques,vosserveursrépliquésvontprovoquerdeserreursetdeséchecslorsdel’envoi<br />
devaleurspourlenouvelattributauxserveursrépliqués.<br />
Pouréviterlesproblèmes,<strong>Mac</strong><strong>OS</strong>Xutiliseunschémaàbasederépertoirequiest<br />
stockédanslabasededonnéesderépertoiresetmisàjourautomatiquementpour<br />
chaqueserveurrépliquéàpartirdelabasededonnéesderépertoiresrépliquée.<br />
Celapermetdesynchroniserleschémapourtouteslesrépliquesetdonneuneplus<br />
grandeflexibilitépourapporterdesmodificationsauschéma.<br />
Chapitre1Servicesderépertoireavec<strong>Open</strong><strong>Directory</strong> 27
StructuredesinformationsderépertoireLDAP<br />
DansunrépertoireLDAP,lesentréessontorganiséesdansunestructurearborescente<br />
hiérarchique.DanscertainsrépertoiresLDAP,cettestructureestbaséesurdesfrontièresgéographiquesetorganisationnelles.D’unefaçonplusgénérale,lastructureest<br />
baséesurlesnomsdedomaineInternet.<br />
Dansuneorganisationderépertoiresimple,lesentréesreprésentantlesutilisateurs,<br />
lesgroupes,lesordinateursetlesautresclassesd’objetssontimmédiatementsous<br />
leniveauracinedelahiérarchie,commeillustréici.<br />
dc=com<br />
dc=exemple<br />
cn=utilisateurs cn=groupes cn=ordinateurs<br />
uid=anne<br />
cn=Anne Robin<br />
uid=vincent<br />
cn=Vincent Foucault<br />
Uneentréeestréférencéeparsonnomdistinctif(DN,DistinguishedName),quiest<br />
construitàpartirdunomdel’entréeproprementdite,appelélenomdistinctifrelatif<br />
(RND,RelativeDistinguishedName),etparconcaténationdesnomsdesentréesancêtres.Parexemple,l’entréed’AnneJacquespourraitavoirleRDNuid=anneetlenom<br />
distinctifuid=anne,cn=utilisateurs,dc=exemple,dc=com.<br />
LeserviceLDAPextraitlesdonnéesenfaisantunerecherchedanslahiérarchie<br />
d’entrées.Larecherchepeutcommenceràn’importequelleentrée.L’entréeà<br />
laquellelarecherchecommenceestappeléelabasederecherche.<br />
Vouspouvezspécifierunebasederechercheendonnantlenomdistinctifd’uneentrée<br />
danslerépertoireLDAP.Parexemple,labasederecherchecn=utilisateurs,dc=exemple,<br />
dc=comspécifiequeleserviceLDAPcommenceralarechercheàl’entréedontl’attribut<br />
cnalavaleur«utilisateurs».<br />
VouspouvezaussispécifierdanscombiendeniveauxdelahiérarchieLDAPsousla<br />
basederechercheilfautchercher.Ledomainederecherchepeutcouvrirtoutesles<br />
sous-branchessouslabasederechercheouuniquementlepremierniveaud’entrées<br />
souslabasederecherche.Sivousutilisezdesoutilsdelignedecommandepourfaire<br />
unerecherchedansunrépertoireLDAP,vouspouvezaussirestreindreledomainede<br />
rechercheàlaseuleentréedelabasederecherche.<br />
28 Chapitre1Servicesderépertoireavec<strong>Open</strong><strong>Directory</strong>
Domainesderépertoirelocauxetpartagés<br />
L’emplacementdestockagedesinformationsconcernantlesutilisateursetautresdonnéesadministrativesnécessairesàvotreserveurdiffèreselonquelesdonnéesdoivent<br />
êtrepartagéesounon.Cesinformationspeuventêtrestockéesdansledomainede<br />
répertoirelocalduserveuroudansundomainederépertoirepartagé.<br />
Lorsqu’unutilisateurouvreunesessionsurunordinateur<strong>Mac</strong><strong>OS</strong>X,<strong>Open</strong><strong>Directory</strong><br />
recherchel’enregistrementdecetutilisateurdansledomainederépertoirelocalde<br />
l’ordinateur.Siledomainederépertoirelocalcontientl’enregistrementdel’utilisateur<br />
(etquel’utilisateuraentréunmotdepassecorrect),l’ouverturedesessionsepoursuit<br />
etl’utilisateursevoitdonnerl’accèsàl’ordinateur.<br />
Aprèsl’ouverturedesession,l’utilisateurpeutchoisir“Seconnecteràunserveur”<br />
danslemenuAller,puisseconnecteràunserveur<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>pouraccéderà<br />
unservicedefichiers.Danscecas,<strong>Open</strong><strong>Directory</strong>surleserveurrecherchelafiche<br />
decetutilisateurdansledomainederépertoirelocalduserveur.<br />
Àproposdudomainederépertoirelocal<br />
Toutordinateur<strong>Mac</strong><strong>OS</strong>Xdisposed’undomainederépertoirelocal.Lesdonnéesadministrativesquifigurentdansundomainederépertoirelocalsontvisiblesuniquement<br />
parlesapplicationsetlelogicielsystèmeexécutéssurl’ordinateursurlequelle<br />
domaineenquestionsetrouve.Ils’agitdupremierdomaineconsultélorsquel’utilisateurouvreunesessionouexécutecertainesopérationsnécessitantdesdonnéesstockéesdansundomainederépertoire.<br />
Siledomainederépertoirelocalduserveurcontientunenregistrementpourl’utilisateur(etsil’utilisateurasaisilebonmotdepasse),leserveurdonneàl’utilisateurl’accès<br />
auxservicesdefichiers,commeillustréci-dessous.<br />
Ouverture<br />
de session<br />
<strong>Mac</strong> <strong>OS</strong> X<br />
Domaine de<br />
répertoire local<br />
Connexion à <strong>Mac</strong> <strong>OS</strong> X <strong>Server</strong><br />
pour le service de fichiers<br />
Domaine de<br />
répertoire local<br />
Lorsquevousconfigurezunordinateur<strong>Mac</strong><strong>OS</strong>X,sondomainederépertoirelocalest<br />
crééetpourvud’enregistrementsautomatiquement.Parexemple,unefiched’utilisateurestcrééepourl’utilisateurquis’estchargédel’installation.Cetenregistrement<br />
d’utilisateurcontientlenomd’utilisateuretlemotdepassesaisisaucoursdelaconfiguration,ainsiqued’autresinformations,tellesquel’identifiantuniquedel’utilisateur<br />
etl’emplacementdesondossierdedépart.<br />
Chapitre1Servicesderépertoireavec<strong>Open</strong><strong>Directory</strong> 29
Àproposdesdomainesderépertoirepartagés<br />
Bienqu’<strong>Open</strong><strong>Directory</strong>puissestockerdesdonnéesadministrativesdansledomainede<br />
répertoirelocaldel’ordinateursurtoutordinateur<strong>Mac</strong><strong>OS</strong>X,sonatoutmajeurestde<br />
permettreàplusieursordinateurs<strong>Mac</strong><strong>OS</strong>Xdepartagerdesdonnéesadministratives<br />
enlesstockantdansdesdomainesderépertoirepartagés.<br />
Si<strong>Open</strong><strong>Directory</strong>netrouvepasl’enregistrementd’unutilisateurdansledomainede<br />
répertoirelocald’unordinateur<strong>Mac</strong><strong>OS</strong>X,ilpeutrecherchel’enregistrementdanstous<br />
lesdomainespartagésauxquelscetordinateuraaccès.<br />
Dansl’exemplesuivant,l’utilisateurpeutaccéderauxdeuxordinateurs,carledomaine<br />
partagé,accessibleàpartirdesdeuxordinateurs,contientunenregistrementpourcet<br />
utilisateur.<br />
Domaine de<br />
répertoire<br />
partagé<br />
Ouverture<br />
de session<br />
<strong>Mac</strong> <strong>OS</strong> X<br />
Domaine de<br />
répertoire local<br />
Connexion à <strong>Mac</strong> <strong>OS</strong> X <strong>Server</strong><br />
pour le service de fichiers<br />
Domaine de<br />
répertoire local<br />
Lorsqu’unordinateurestconfigurépourutiliserundomainepartagé,touteslesdonnéesadministrativescontenuesdanscedomainesontégalementvisiblesparlesapplicationsetlelogicielsystèmedecetordinateur.<br />
Lesdomainespartagéssetrouventgénéralementsurdesserveursparcequelesinformationsdedomainesderépertoirecontiennentdesinformationsextrêmementimportantestelleslesdonnéesd’authentificationdesutilisateurs.<br />
L’accèsauxserveursestgénéralementtrèsrestreintpourprotégerlesdonnéesqu’ils<br />
contiennent.Enoutre,lesdonnéesderépertoiresdoiventdemeurerdisponibles.Les<br />
serveursdisposentsouventdefonctionsmatériellessupplémentairesquiaugmentent<br />
leurfiabilitéetilsbénéficienthabituellementdedispositifsd’alimentationélectrique<br />
sansinterruption.<br />
30 Chapitre1Servicesderépertoireavec<strong>Open</strong><strong>Directory</strong>
Donnéespartagéesdansdesdomainesderépertoireexistants<br />
Certainesorganisations(lesuniversitésoulesmultinationales,parexemple)conserventlesinformationsrelativesauxutilisateursetd’autresdonnéesadministrativesdans<br />
desdomainesderépertoiresituéssurdesserveursUNIXouWindows.<strong>Open</strong><strong>Directory</strong><br />
peuteffectuerunerecherchedanscesdomainesnon<strong>Apple</strong>etdanslesdomaines<br />
<strong>Open</strong><strong>Directory</strong>partagésdesystèmes<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>,commeillustréci-dessous.<br />
Domaine de<br />
répertoire<br />
local<br />
Domaine de<br />
répertoire<br />
partagé<br />
<strong>Mac</strong> <strong>OS</strong> X <strong>Server</strong><br />
Serveur Windows<br />
Domaine<br />
Active<br />
<strong>Directory</strong><br />
Domaine de<br />
répertoire<br />
local<br />
Utilisateur <strong>Mac</strong> <strong>OS</strong> X Utilisateur <strong>Mac</strong> <strong>OS</strong> X Utilisateur Windows<br />
L’ordredanslequel<strong>Mac</strong><strong>OS</strong>Xeffectuedesrecherchesdanslesdomainesderépertoire<br />
estconfigurable.Lapolitiquederecherchedéterminel’ordredanslequel<strong>Mac</strong><strong>OS</strong>X<br />
effectuelesrecherchesdanslesdomainesderépertoire.Lespolitiquesderecherche<br />
sontexpliquéesauchapitre2,«Politiquesderecherche<strong>Open</strong><strong>Directory</strong>».<br />
ServicesSMBet<strong>Open</strong><strong>Directory</strong><br />
Vouspouvezconfigurervotre<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>avec<strong>Open</strong><strong>Directory</strong>etlesservicesSMB<br />
pourservirdesstationsdetravailWindows.Enutilisantcesdeuxservicesensemble,<br />
vouspouvezconfigurervotre<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>commecontrôleurdedomaineprincipal(PDC)oucontrôleurdedomainesecondaire(BDC).<br />
Chapitre1Servicesderépertoireavec<strong>Open</strong><strong>Directory</strong> 31
<strong>Open</strong><strong>Directory</strong>commecontrôleurdedomaineprincipal<br />
<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>peutêtreconfigurécommecontrôleurdedomaineprincipal(PDC)<br />
Windows,cequipermetauxutilisateursdestationsdetravailcompatiblesavec<br />
WindowsNTd’ouvrirunesessionàl’aidedecomptesdedomaine.Uncontrôleurde<br />
domaineprincipaldonneàchaqueutilisateurWindowsunnomd’utilisateuretunmot<br />
depassepourl’ouverturedesessionàpartirdetoutestationdetravailWindowsNT<br />
4.x,Windows2000,WindowsXPetWindowsVistasurleréseau.Aulieud’ouvrirune<br />
sessionàl’aided’unnomd’utilisateuretd’unmotdepassedéfinisenlocalsurune<br />
stationdetravail,chaqueutilisateurpeutalorsouvrirunesessionàl’aidedunom<br />
d’utilisateuretdumotdepassedéfinissurlecontrôleurdedomaineprincipal.<br />
Lecompted’utilisateurquipeutêtreutilisépourouvrirunesessionàpartird’une<br />
stationdetravailpeutaussiêtreutilisépourouvrirunesessionàpartird’unordinateur<br />
<strong>Mac</strong><strong>OS</strong>X.Quelqu’unquiutiliselesdeuxplates-formespeutavoirlesmêmesdossier<br />
dedépart,comptedecourrierélectroniqueetquotasd’impressionsurlesdeuxplatesformes.Lesutilisateurspeuventchangerdemotdepasselorsdel’ouverturede<br />
sessionsurledomaineWindows.<br />
Lescomptesd’utilisateursontstockésdanslerépertoireLDAPduserveuraccompagnésdugroupe,del’ordinateuretd’autresinformations.Lecontrôleurdedomaine<br />
principalaaccèsauxinformationsdecerépertoireparcequevousavezconfiguré<br />
lecontrôleurdedomaineprincipalsurunserveurquiestunmaître<strong>Open</strong><strong>Directory</strong>,<br />
c’est-à-direquihébergeunrépertoireLDAP.<br />
Deplus,lecontrôleurdedomaineprincipalutiliseleserveurdemotsdepassedumaître<strong>Open</strong><strong>Directory</strong>pourl’authentificationdesutilisateurslorsqu’ilsouvrentunesession<br />
dansledomaineWindows.Leserveurdemotsdepassepeutvaliderlesmotsdepasse<br />
àl’aidedeNTLMv2,NTLMv1,LANManageretd’autresméthodesd’authentification.<br />
Lemaître<strong>Open</strong><strong>Directory</strong>peutaussiavoiruncentrededistributiondeclésKerberos.Le<br />
contrôleurdedomaineprincipaln’utilisepasKerberospourauthentifierlesutilisateurs<br />
pourlesservicesWindows,maisleservicedecourrierélectroniqueetd’autresservices<br />
peuventêtreconfiguréspourutiliserKerberospourl’authentificationdesutilisateursde<br />
stationsdetravailWindowsquidisposentdecomptesdanslerépertoireLDAP.<br />
Pourquesonmotdepassesoitvalidéparleserveurdemotsdepasse<strong>Open</strong><strong>Directory</strong><br />
etparKerberos,uncompted’utilisateurdoitavoirunmotdepassedetype<strong>Open</strong><br />
<strong>Directory</strong>.Uncompted’utilisateuravecunmotdepassedetypecrypténepeutpas<br />
êtreutilisépourlesservicesWindowsparcequ’unmotdepassecryptén’estpasvalidé<br />
àl’aidedesméthodesd’authentificationNTLMv2,NTLMv1ouLANManager.<br />
32 Chapitre1Servicesderépertoireavec<strong>Open</strong><strong>Directory</strong>
Leserveurpeutaussiavoirdescomptesd’utilisateurdanssondomainederépertoire<br />
local.Chaque<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>enaun.Lecontrôleurdedomaineprincipaln’utilise<br />
pascescomptespourl’ouverturedesessionpardomaineWindows,maislecontrôleur<br />
dedomaineprincipalpeututilisercescomptespourauthentifierlesutilisateurspour<br />
leservicedefichiersWindowsetd’autresservices.<br />
Lescomptesd’utilisateur,dansledomainederépertoirelocal,quiontunmotdepasse<br />
detypeMotdepasseShadowpeuventêtreutiliséspourlesservicesWindowsparce<br />
quelesmotsdepasseShadowpeuventêtrevalidésàl’aidedesméthodesd’authentificationNTLMv2,NTLMv1,LANManageretautres.<br />
Àdesfinsdecompatibilité,<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>prendenchargelescomptesd’utilisateur<br />
configuréspourutiliserlatechnologieGestionnaired’authentificationhéritéepourla<br />
validationdesmotsdepassedans<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>10.0–10.2.Aprèslamiseàniveau<br />
d’unserveurà<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>10.5,lesutilisateursexistantspeuventcontinueràutiliserleursmotsdepasse.<br />
Uncompted’utilisateurutiliseGestionnaired’authentificationsilecompteestun<br />
domainederépertoirelocalpourlequelGestionnaired’authentificationaétéactivé<br />
etsilecompteestconfigurépourutiliserunmotdepassecrypté.<br />
SivousmigrezunrépertoiredeNetInfoversLDAP,touslescomptesd’utilisateurqui<br />
utilisaientGestionnaired’authentificationpourlavalidationdesmotsdepassesont<br />
convertispouravoirunmotdepassedetype<strong>Open</strong><strong>Directory</strong>.<br />
Lorsdelaconfigurationde<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>commecontrôleurdedomaineprincipal,<br />
assurez-vousqu’iln’yapas,survotreréseau,unautrecontrôleurdedomaineprincipal<br />
possédantlemêmenomdedomaine.Unréseaupeutavoirplusieursmaîtres<strong>Open</strong><br />
<strong>Directory</strong>,maisunseulcontrôleurdedomaineprincipal.<br />
Chapitre1Servicesderépertoireavec<strong>Open</strong><strong>Directory</strong> 33
<strong>Open</strong><strong>Directory</strong>commecontrôleurdedomainesecondaire<br />
Configurer<strong>Mac</strong><strong>OS</strong>Xcommecontrôleurdedomainesecondairefournitpermet<br />
lebasculementetlasauvegardeducontrôleurdedomaineprincipal.Lecontrôleurde<br />
domaineprincipaletlecontrôleurdedomainesecondairepartagentlesdemandesdes<br />
clientsWindowsenmatièred’ouverturedesessiondedomaineetd’autresservicesde<br />
répertoireetd’authentification.Encasd’indisponibilitéducontrôleurdedomaineprincipal<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>,lecontrôleurdedomainesecondaire<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>fournit<br />
alorsdesservicesd’ouverturedesessiondedomaineetd’autresservicesderépertoire<br />
etd’authentification.<br />
Lecontrôleurdedomainesecondairedisposed’unecopiesynchroniséedesdonnées<br />
relativesauxutilisateurs,groupes,ordinateursetautresdonnéesderépertoireducontrôleurdedomaineprincipal.Lecontrôleurdedomaineprincipaletlecontrôleurde<br />
domainesecondairedisposentaussidecopiessynchroniséesdesdonnéesd’authentification.<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>synchroniseautomatiquementdesdonnéesrelativesaux<br />
répertoiresetàl’authentification.<br />
Avantdeconfigurer<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>commecontrôleurdedomainesecondaire,<br />
vousdevezconfigurerleserveurcommeuneréplique<strong>Open</strong><strong>Directory</strong>.Lecontrôleur<br />
dedomainesecondaireutiliselerépertoireLDAP,lecentrededistributiondeclés<br />
Kerberosetleserveurdemotsdepassedelaréplique<strong>Open</strong><strong>Directory</strong>enlectureseule.<br />
<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>synchroniselecontrôleurdedomaineprincipaletlecontrôleurde<br />
domainesecondaireenmettantàjourautomatiquementlaréplique<strong>Open</strong><strong>Directory</strong><br />
aveclesmodificationsapportéesaumaître<strong>Open</strong><strong>Directory</strong>.<br />
UtilisezAdminServeuraprèsl’installationpourfairede<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>uneréplique<br />
<strong>Open</strong><strong>Directory</strong>etuncontrôleurdedomainesecondaire.Vouspouvezconfigurer<br />
plusieurscontrôleursdedomainesecondaire,chacunsurunserveurderéplique<br />
<strong>Open</strong><strong>Directory</strong>distinct.<br />
Important:vousnepouvezpasavoirplusieurscontrôleursdedomaineprincipal<br />
dupliquéssurunmêmeréseau.<br />
34 Chapitre1Servicesderépertoireavec<strong>Open</strong><strong>Directory</strong>
2 Politiquesderecherche<br />
<strong>Open</strong><strong>Directory</strong><br />
2<br />
Chaqueordinateurdisposed’unepolitiquederecherchequi<br />
spécifiedesdomainesderépertoireetl’ordredanslequel<br />
<strong>Open</strong><strong>Directory</strong>yeffectuesesrecherchesauseindeces<br />
derniers.<br />
Chaqueordinateur<strong>Mac</strong><strong>OS</strong>Xasaproprepolitiquederecherche,appeléeaussipluscommunémentcheminderecherche,quispécifieàqueldomainesderépertoire<strong>Open</strong><strong>Directory</strong>peutaccéder,comme,parexemple,ledomainederépertoirelocaldel’ordinateur<br />
etunrépertoirepartagéparticulier.<br />
Lapolitiquederecherchespécifieégalementl’ordredanslequel<strong>Open</strong><strong>Directory</strong><br />
accèdeauxdomainesderépertoire.<strong>Open</strong><strong>Directory</strong>effectueunerecherchedans<br />
chaquedomainederépertoireets’arrêtelorsqu’iltrouveunélémentcorrespondant.<br />
Ainsi,<strong>Open</strong><strong>Directory</strong>stoppelarecherched’unenregistrementd’utilisateurlorsqu’il<br />
trouveunenregistrementdontlenomd’utilisateurcorrespondaunomrecherché.<br />
Niveauxdepolitiquederecherche<br />
Unepolitiquederecherchepeutnecontenirqueledomainederépertoirelocal,<br />
ledomainederépertoirelocaletunrépertoirepartagéouledomainederépertoire<br />
localetplusieursrépertoirespartagés.<br />
Surunréseaucomportantunrépertoirepartagé,plusieursordinateursaccèdent<br />
généralementaurépertoirepartagé.Cetteorganisationestunestructurearborescente,<br />
lerépertoirepartagéétantsituéausommetetlesrépertoireslocauxsetrouvantenbas.<br />
35
Politiquederecherchedansledomainederépertoirelocal<br />
Lapolitiquederecherchelaplussimplesecomposeuniquementdurépertoirelocal<br />
d’unordinateur.Danscecas,<strong>Open</strong><strong>Directory</strong>recherchelesdonnéesd’utilisateuret<br />
autresdonnéesadministrativesuniquementdansledomainederépertoirelocalde<br />
chaqueordinateur.<br />
Siunserveurduréseauhébergeunrépertoirepartagé,<strong>Open</strong><strong>Directory</strong>n’yrecherche<br />
pasd’informationsd’utilisateuroudedonnéesadministrativescarlerépertoirepartagénefaitpaspartiedelapolitiquederecherchedel’ordinateur.<br />
L’illustrationquisuitmontredeuxordinateursenréseauquinerecherchentdes<br />
donnéesadministrativesquedansleurdomainederépertoirelocal.<br />
Domaine de<br />
répertoire local<br />
Domaine de<br />
répertoire local<br />
Politique de recherche<br />
1<br />
Ordinateur de la<br />
classe de français<br />
Ordinateur de la<br />
classe de sciences<br />
Politiquesderechercheàdeuxniveaux<br />
Siundesserveursduréseauhébergeunrépertoirepartagé,touslesordinateursdu<br />
réseaupeuventinclurelerépertoirepartagédansleurspolitiquesderecherche.Dans<br />
cecas,<strong>Open</strong><strong>Directory</strong>recherchelesinformationsd’utilisateuretautresdonnéesadministrativesencommençantparledomainederépertoirelocal.Si<strong>Open</strong><strong>Directory</strong>ne<br />
trouvepaslesinformationsdontilabesoindansledomainederépertoirelocal,ilva<br />
lesrechercherdanslerépertoirepartagé.<br />
L’illustrationquisuitmontredeuxordinateursetundomainederépertoirepartagé<br />
surunréseau.Lesordinateurssontconnectésaudomainederépertoirepartagéet<br />
lepossèdentdansleurpolitiquederecherche.<br />
Domaine de<br />
répertoire local<br />
Domaine de<br />
répertoire partagé<br />
Domaine de<br />
répertoire local<br />
Politique de recherche<br />
1<br />
2<br />
Ordinateur de la classe de français<br />
Ordinateur de la classe de sciences<br />
36 Chapitre2Politiquesderecherche<strong>Open</strong><strong>Directory</strong>
Voiciunexempled’utilisationdepolitiquederechercheàdeuxniveaux:<br />
Domaine de<br />
répertoire local<br />
Domaine de<br />
répertoire partagé<br />
Domaine de<br />
répertoire local<br />
Politique de recherche<br />
1<br />
2<br />
Ordinateur de la classe de français<br />
Ordinateur de la classe de sciences<br />
Domaine de<br />
répertoire local<br />
Ordinateur de la classe de maths<br />
Chaqueclasse(français,mathématiques,sciences)possèdesonpropreordinateur.<br />
Lesélèvesdechaqueclassesontdéfinisentantqu’utilisateursdudomainelocalde<br />
l’ordinateurdecetteclasse.Cestroisdomaineslocauxontlemêmedomainepartagé,<br />
danslequeltouslesprofesseurssontdéfinis.<br />
Lesprofesseurs,entantquemembresdudomainepartagé,peuventouvrirunesessionsurn’importequelordinateurdelaclasse.Lesélèvesdechaquedomainelocal<br />
nepeuventouvrirunesessionquesurl’ordinateuroùsetrouveleurcomptelocal.<br />
Alorsquelesdomaineslocauxrésidentchacunsurleursordinateursrespectifs,un<br />
domainepartagérésidesurunserveuraccessibleàpartirdel’ordinateurd’undomaine<br />
local.Lorsqu’unprofesseurouvreunesessionsurn’importequelordinateurdestrois<br />
classesetqu’ilestintrouvabledansledomainelocal,<strong>Open</strong><strong>Directory</strong>recherchedans<br />
ledomainepartagé.<br />
Chapitre2Politiquesderecherche<strong>Open</strong><strong>Directory</strong> 37
Dansl’exemplequisuit,iln’yqu’unseuldomainepartagé,maisilpeutyenavoirplus<br />
surdesréseauxpluscomplexes.<br />
Domaine<br />
de répertoire<br />
local<br />
Domaine<br />
de répertoire<br />
partagé<br />
<strong>Mac</strong> <strong>OS</strong> X <strong>Server</strong><br />
de l’école<br />
Ordinateur de la<br />
classe de sciences<br />
Domaine<br />
de répertoire<br />
local<br />
Domaine<br />
de répertoire<br />
local<br />
Domaine<br />
de répertoire<br />
local<br />
Ordinateur de la<br />
classe de français<br />
Ordinateur de la<br />
classe de maths<br />
Politiquesderecherchemultiniveaux<br />
Siplusieursserveursduréseauhébergentunrépertoirepartagé,lesordinateursdu<br />
réseaupeuventinclureplusieursrépertoirespartagésdansleurspolitiquesderecherche.Commedanslespolitiquesderechercheplussimples,<strong>Open</strong><strong>Directory</strong>recherche<br />
toujourslesinformationsd’utilisateuretautresdonnéesadministrativesencommençantparledomainederépertoirelocal.Si<strong>Open</strong><strong>Directory</strong>netrouvepaslesinformationsdontilabesoindansledomainederépertoirelocal,illesrecherchetouràtour<br />
danschaquerépertoirepartagé,dansl’ordrespécifiéparlapolitiquederecherche.<br />
38 Chapitre2Politiquesderecherche<strong>Open</strong><strong>Directory</strong>
Voiciunexempled’utilisationdeplusieursrépertoirespartagés:<br />
Domaine de<br />
répertoire de maths<br />
Politique de recherche<br />
1<br />
2<br />
3<br />
Domaine de<br />
répertoire de français<br />
Domaine de<br />
répertoire de l’école<br />
Domaine de<br />
répertoire de sciences<br />
Chaqueclasse(français,mathématiques,sciences)possèdeunserveurquihéberge<br />
undomainederépertoirepartagé.Lapolitiquederecherchedechaqueordinateurde<br />
laclassespécifieledomainelocaldecetordinateur,ledomainepartagédelaclasseet<br />
ledomainepartagédel’école.<br />
Lesélèvesdechaqueclassesontdéfinisentantqu’utilisateursdudomainepartagédu<br />
serveurdecetteclasse,cequiautorisechaqueélèveàouvrirunesessionsurtoutordinateurdelaclasse.Commelesprofesseurssontdéfinisdansledomainepartagéduserveurdel’école,ilspeuventouvrirunesessionsurn’importequelordinateurdelaclasse.<br />
Ilestpossibled’affecterlatotalitéd’unréseauoujusteungrouped’ordinateurs,<br />
enchoisissantledomainedanslequelserontdéfinieslesdonnéesadministratives.<br />
Plusleniveaudesdonnéesadministrativesdansunepolitiquederechercheestélevé,<br />
moinsilestnécessairedelesmodifieraufuretàmesuredel’évolutiondesutilisateurs<br />
etdesressourcessystème.<br />
Pourlesadministrateursdeservicesderépertoire,l’aspectleplusimportantestsans<br />
doutelaplanificationdesdomainesderépertoireetdespolitiquesderecherche.Ces<br />
élémentsdoiventrefléterlesressourcesquevoussouhaitezpartager,lesutilisateurs<br />
entrelesquelsvoussouhaitezlespartageretmêmelemodedegestiondevosdonnéesderépertoire.<br />
Chapitre2Politiquesderecherche<strong>Open</strong><strong>Directory</strong> 39
Politiquesderechercheautomatiques<br />
Lesordinateurs<strong>Mac</strong><strong>OS</strong>Xpeuventêtreconfiguréspourdéfinirdespolitiquesde<br />
rechercheautomatiquement.Unepolitiquederechercheautomatiquesecompose<br />
detroiséléments,dontl’unestfacultatif:<br />
 Domainederépertoirelocal<br />
 RépertoireLDAPpartagé(facultatif)<br />
Lapolitiquederechercheautomatiqued’unordinateurcommencetoujoursparson<br />
domainederépertoirelocal.Lorsqu’unordinateur<strong>Mac</strong><strong>OS</strong>Xn’estpasconnectéàun<br />
réseau,ilrecherchelescomptesd’utilisateuretautresdonnéesadministrativesuniquementdanssondomainederépertoirelocal.<br />
Lapolitiquederechercheautomatiquedétermineensuitesil’ordinateurestconfiguré<br />
pourseconnecteràundomainederépertoirelocalpartagé.L’ordinateurpeutêtre<br />
connectéàundomainederépertoirelocalpartagé,qui,àsontour,peutêtreconnecté<br />
àunautredomainederépertoirelocalpartagé,etainsidesuite.<br />
Undomainederépertoirelocalestlasecondepartiedelapolitiquederecherche<br />
automatique.Pourensavoirplus,consultezlarubrique«Àproposdudomainede<br />
répertoirelocal»àlapage29.<br />
Enfin,unordinateurpossédantunepolitiquederechercheautomatiquepeutse<br />
connecteràunrépertoireLDAPpartagé.Lorsquel’ordinateurdémarre,ilpeutobtenir<br />
l’adressed’unserveurderépertoireLDAPàpartird’unserviceDHCP.LeserviceDHCP<br />
de<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>peutfourniruneadressedeserveurLDAPdelamêmefaçonqu’il<br />
fournitlesadressesdeserveursDNSetd’unrouteur.<br />
(UnserviceDHCPnon<strong>Apple</strong>peutaussifournirl’adressed’unserveurLDAP.<br />
CettefonctionnalitéestconnuedansDHCPsouslenomd’option95.)<br />
SivousvoulezqueserviceDHCPde<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>fournissel’adressed’unserveur<br />
LDAPauxclientspourlespolitiquesderechercheautomatiques,configurezlesoptions<br />
LDAPduserviceDHCP.Pourensavoirplus,consultezlechapitreconsacréàDHCPdans<br />
<strong>Administration</strong>desservicesréseau.<br />
Pourqu’unordinateur<strong>Mac</strong><strong>OS</strong>Xobtiennel’adressed’unserveurLDAPàpartirdu<br />
serviceDHCP:<br />
 L’ordinateurdoitêtreconfigurépourutiliserunepolitiquederechercheautomatique.Celainclutl’activationdel’optionpermettantd’ajouterdesrépertoiresLDAP<br />
fournisparleDHCP.Pourensavoirplus,consultezlesrubriques«Utilisationdes<br />
réglagesavancésdesrèglesderecherche»àlapage150et«Activationoudésactivationd’unrépertoireLDAPfourniviaDHCP»àlapage158.<br />
 Lespréférencesréseaudel’ordinateurdoiventêtreconfiguréespourutiliserDHCPou<br />
DHCPavecuneadresseIPmanuelle.<strong>Mac</strong><strong>OS</strong>Xestinitialementconfigurépourutiliser<br />
DHCP.Pourensavoirplussurlesréglagesdespréférencesréseau,consultezl’Aide<strong>Mac</strong>.<br />
40 Chapitre2Politiquesderecherche<strong>Open</strong><strong>Directory</strong>
Unepolitiquederechercheautomatiqueoffreconfortetsouplesse,particulièrement<br />
pourlesordinateursportables.Lorsqu’unordinateurdotéd’unepolitiquederecherche<br />
automatiqueestdéconnectéduréseau,connectéàunautreréseauouplacésurun<br />
autresous-réseau,lapolitiquederechercheautomatiquepeutchanger.<br />
Sil’ordinateurestdéconnectéduréseau,ilutilisesondomainederépertoirelocal.<br />
Sil’ordinateurestconnectéàunréseauousous-réseaudifférent,ilpeutchangerautomatiquementsaconnexiondedomainederépertoirelocaletobteniruneadressede<br />
serveurLDAPàpartirduserviceDHCPdusous-réseaucourant.<br />
Avecunepolitiquederechercheautomatique,iln’estpasnécessairedereconfigurerun<br />
ordinateurafinqu’ilpuisseobtenirlesservicesderépertoiresetd’authentificationdans<br />
sonnouvelemplacement.<br />
Important:sivousconfigurez<strong>Mac</strong><strong>OS</strong>Xpourqu’ilutiliseunepolitiquederecherche<br />
automatiqued’authentificationetunserveurLDAPfourniparDHCPouundomainede<br />
répertoirelocalfourniparDHCP,vousaugmenterezlerisquedevoirunattaquantprendrelecontrôledevotreordinateur.Lerisqueestencoreplusélevésivotreordinateurest<br />
configurépourseconnecteràréseauunsansfil.Pourensavoirplus,consultezlarubrique<br />
«ProtectiondesordinateurscontreunserveurDHCPmalveillant»àlapage154.<br />
Politiquesderecherchepersonnalisées<br />
Sivousnevoulezpasqu’unordinateur<strong>Mac</strong><strong>OS</strong>Xutiliselapolitiquederecherche<br />
automatiquefournieparDHCP,vouspouvezdéfinirunepolitiquederecherche<br />
personnaliséepourcetordinateur.<br />
Parexemple,unepolitiquederecherchepersonnaliséepourraitspécifierqu’ilfaut<br />
rechercherdansundomaineActive<strong>Directory</strong>avantderechercherdansundomainede<br />
répertoired’unserveur<strong>Open</strong><strong>Directory</strong>.Lesutilisateurspeuventconfigurerleursordinateurspourouvrirunesessionàl’aidedeleursenregistrementsd’utilisateurprovenant<br />
dudomaineActive<strong>Directory</strong>etd’avoirleurspréférencesgéréespargroupeetdes<br />
fichesd’ordinateurprovenantdudomaine<strong>Open</strong><strong>Directory</strong>.<br />
Unepolitiquederecherchepersonnaliséenefonctionnegénéralementpasdansplusieursemplacementsderéseau,nilorsquel’ordinateurn’estpasconnectéàunréseau,<br />
carellesebasesurladisponibilitédedomainesderépertoirespécifiquessurunréseau<br />
enparticulier.<br />
Siunordinateurportableestdéconnectédesonréseauhabituel,iln’aplusaccèsaux<br />
domainesderépertoirepartagésdesaproprepolitiquederecherchepersonnalisée.<br />
L’ordinateurdéconnectéatoutefoistoujoursaccèsàsonpropredomainederépertoire<br />
localcarcedernierestlepremierdomainederépertoiredanstouteslespolitiquesde<br />
recherche.<br />
Chapitre2Politiquesderecherche<strong>Open</strong><strong>Directory</strong> 41
L’utilisateurdel’ordinateurportablepeutouvrirunesessionàl’aided’unenregistrementd’utilisateurdudomainederépertoirelocal,quipeutcontenirdescomptes<br />
d’utilisateurmobiles.Ceux-cimettentenmiroirlescomptesd’utilisateurprovenant<br />
dudomainederépertoirepartagéauquell’ordinateurportableaccèdelorsqu’ilest<br />
connectéàsonréseauhabituel.<br />
Politiquesderecherched’authentificationetdecontacts<br />
Unordinateur<strong>Mac</strong><strong>OS</strong>Xpossèdeunepolitiquederecherchepourtrouverdesinformationsd’authentificationetuneautrepolitiquederecherchepourtrouverdesinformationsdecontacts.<br />
 <strong>Open</strong><strong>Directory</strong>utiliselapolitiquederecherched’authentificationpourlocaliseret<br />
récupérerlesdonnéesd’authentificationd’utilisateuretd’autresdonnéesadministrativesàpartirdesdomainesderépertoire.<br />
 Ilutiliselapolitiquederecherchedecontactspourlocaliseretrécupérerlesnoms,<br />
adressesetautresinformationsdecontactàpartirdesdomainesderépertoire.<br />
LeCarnetd’adressesde<strong>Mac</strong><strong>OS</strong>Xutilisecesinformationsdecontact.D’autres<br />
applicationspeuventêtreprogramméespourlesexploiter.<br />
Chaquepolitiquederecherchepeutêtreautomatique,personnaliséeous’exercersur<br />
ledomaineexclusivement.<br />
42 Chapitre2Politiquesderecherche<strong>Open</strong><strong>Directory</strong>
3 Authentification<strong>Open</strong><strong>Directory</strong><br />
3<br />
<strong>Open</strong><strong>Directory</strong>offreplusieursoptionsd’authentification<br />
desutilisateursdontlescomptessontstockésdansdes<br />
domainesderépertoirede<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>,ycompris<br />
Kerberosetlesméthodesd’authentificationtraditionnelles<br />
requisesparlesservicesderéseau.<br />
<strong>Open</strong><strong>Directory</strong>peutauthentifierlesutilisateursselonl’unedesméthodessuivantes:<br />
 AuthentificationKerberospourlasignatureunique<br />
 Méthodesd’authentificationtraditionnellesetmotdepassestockédefaçonsécurisée<br />
danslabasededonnéesduserveurdemotsdepasse<strong>Open</strong><strong>Directory</strong><br />
 Méthodesd’authentificationtraditionnellesetmotdepasseshadowstockédansun<br />
fichierdemotsdepassesécurisépourchaqueutilisateur<br />
 Motdepassecryptéstockédirectementdanslecomptedel’utilisateur,pourune<br />
compatibilitédescendanteaveclessystèmeshérités<br />
 ServeurLDAPnon<strong>Apple</strong>pouruneauthentificationparliaisonLDAP<br />
Deplus,<strong>Open</strong><strong>Directory</strong>permetdeconfigurerunepolitiquedemotdepassepourtous<br />
lesutilisateursetlespolitiquesdemotdepassespécifiquespourchacundesutilisateurs,tellesquel’arrivéeàexpirationautomatiqueetlalongueurminimaledesmots<br />
depasse.(Lespolitiquesdemotdepassenes’appliquentniauxadministrateurs,nià<br />
l’authentificationparmotdepassecrypté,niàl’authentificationparliaisonLDAP).<br />
43
Typesdemotsdepasse<br />
Chaquecompted’utilisateurauntypedemotdepassequidéterminelafaçondont<br />
lecompted’utilisateurestauthentifié.Dansundomainederépertoirelocal,letype<br />
demotdepassepardéfautestlemotdepasseshadow.Surunserveurmisàniveau<br />
àpartirde<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>10.3,lescomptesd’utilisateurdudomainederépertoire<br />
localpeuventaussidisposerd’unmotdepassedetype<strong>Open</strong><strong>Directory</strong>.<br />
Pourlescomptesd’utilisateurdurépertoireLDAPde<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>,letypedemot<br />
depassepardéfautestletype<strong>Open</strong><strong>Directory</strong>.Lescomptesd’utilisateurdurépertoire<br />
LDAPpeuventaussidisposerd’unmotdepassedetypemotdepassecrypté.<br />
Authentificationetautorisation<br />
Lesservicestelsquelafenêtred’ouverturedesessionetleservicedefichiers<strong>Apple</strong><br />
nécessitentuneauthentificationdel’utilisateuràpartird’<strong>Open</strong><strong>Directory</strong>.L’authentificationfaitpartieduprocessusparlequelunservicedétermines’ildoitaccorderàun<br />
utilisateurl’accèsàuneressource.Généralement,ceprocessusnécessiteégalement<br />
uneautorisation.<br />
Lorsquevousutilisezunecartedecrédit,vousfaitesl’expériencedeprocessus<br />
d’authentificationetd’autorisation.Lecommerçantvousidentifie(authentification)<br />
encomparantvotresignaturesurlafactureaveccellequifigureaudosdevotrecarte<br />
decrédit.Ilsoumetalorsvotrenumérodecartedecréditàlabanquequiautorise<br />
lepaiementenfonctiondusoldedevotrecompteetd’unelimitedecréditautorisé.<br />
<strong>Open</strong><strong>Directory</strong>authentifielescomptesd’utilisateuretleslistesdecontrôled’accès<br />
deservice(SACL:"serviceaccesscontrollist")autorisentl’utilisationdeservices.<br />
Si<strong>Open</strong><strong>Directory</strong>vousauthentifie,lalisteSACLdelafenêtred’ouverturedesession<br />
déterminesivouspouvezouvrirunesession,lalisteSACLduservice<strong>Apple</strong>Filing<br />
Protocol(AFP)déterminesivouspouvezvousconnecterauservicedefichiers<strong>Apple</strong>,<br />
etainsidesuite.<br />
L’authentificationprouvel’identitédel’utilisateur,tandisquel’autorisationdétermine<br />
cequel’utilisateurauthentifiéaledroitdefaire.Unutilisateurs’authentifiegénéralementenfournissantunnometunmotdepassevalides.Unservicepeutalorsautoriserl’utilisateurauthentifiéàaccéderàdesressourcesspécifiques.Exemple:leservice<br />
defichiersautorisel’accèstotalauxdossiersetauxfichiersqu’unutilisateurauthentifiépossède.<br />
Certainsservicesdéterminentaussisiunutilisateurestautoriséàaccéderàdesressourcesparticulières.Cetteautorisationpeutnécessiterl’extractiond’informationsde<br />
compted’utilisateursupplémentairesàpartirdudomainederépertoire.Parexemple,<br />
leserviceAFPabesoindel’identifiantd’utilisateuretd’informationssurl’adhésionde<br />
groupepourdéterminerlesdossiersetlesfichiersquel’utilisateurestautoriséàlireet<br />
àécrire.<br />
44 Chapitre3Authentification<strong>Open</strong><strong>Directory</strong>
Motsdepasse<strong>Open</strong><strong>Directory</strong><br />
Lorsqu’uncompted’utilisateurdisposed’untypedemotdepassed’<strong>Open</strong><strong>Directory</strong>,<br />
l’utilisateurpeutêtreauthentifiéviaKerberosouvialeserveurdemotsdepasse<strong>Open</strong><br />
<strong>Directory</strong>.Kerberosestunsystèmed’authentificationréseauquiutilisedesinformationsd’authentificationémisesparunserveursécurisé.Leserveurdemotsdepasse<br />
<strong>Open</strong><strong>Directory</strong>prendenchargelesméthodesd’authentificationdemotsdepasse<br />
traditionnellesquecertainsclientsdeservicesderéseaurequièrent.<br />
NiKerberosnileserveurdemotsdepasse<strong>Open</strong><strong>Directory</strong>nestockentlemotdepasse<br />
danslecompted’utilisateur.TantKerberosqueleserveurdemotsdepasse<strong>Open</strong><br />
<strong>Directory</strong>stockentlesmotsdepassedansdesbasesdedonnéessécuriséesendehors<br />
dudomainederépertoireetlesmotsdepassenesontjamaislus.Lesmotsdepassene<br />
peuventêtrequedéfinisetvérifiés.<br />
Desutilisateursmalveillantspeuventtenterd’ouvrirunesessionvialeréseaudansl’espoir<br />
d’accéderàKerberosetauserveurdemotsdepasse<strong>Open</strong><strong>Directory</strong>.L’examendeshistoriquesd’<strong>Open</strong><strong>Directory</strong>permetdedétectercestentativesd’accèsinfructueuses(consultezlarubrique«Affichagedesétatsetdeshistoriques<strong>Open</strong><strong>Directory</strong>»àlapage211).<br />
Lescomptesd’utilisateurdanslesdomainesderépertoiresuivantspeuventdisposerde<br />
motsdepasse<strong>Open</strong><strong>Directory</strong>:<br />
 LerépertoireLDAPde<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong><br />
 Ledomainederépertoirelocalde<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong><br />
Remarque:lesmotsdepasse<strong>Open</strong><strong>Directory</strong>nepeuventpasêtreutiliséspourouvrir<br />
unesessiondans<strong>Mac</strong><strong>OS</strong>Xversion10.1ouantérieure.Lesutilisateursquidoiventouvrir<br />
unesessionàl’aidedelafenêtred’ouverturedesessionde<strong>Mac</strong><strong>OS</strong>X10.1ouantérieur<br />
doiventêtreconfiguréspourutiliserdesmotsdepassecryptés.Letypedemotde<br />
passen’apasd’importancepourlesautresservices.Parexemple,unutilisateurde<br />
<strong>Mac</strong><strong>OS</strong>X10.1pourraits’authentifierauprèsduservicedefichiers<strong>Apple</strong>àl’aided’un<br />
motdepasse<strong>Open</strong><strong>Directory</strong>.<br />
Motsdepasseshadow<br />
Lesmotsdepasseshadowprennentenchargelesmêmesméthodesd’authentificationtraditionnellesqueleserveurdemotsdepasse<strong>Open</strong><strong>Directory</strong>.Cesméthodes<br />
d’authentificationsontutiliséespourenvoyerdesmotsdepasseshadowvialeréseau<br />
sousuneformebrouillée,ouhachage.<br />
Unmotdepasseshadoweststockésousformedeplusieurscondensésdansunfichier<br />
situésurlemêmeordinateurqueledomainederépertoireaccueillantlecompted’utilisateur.Étantdonnéquelemotdepassen’estpasstockédanslecompted’utilisateur,<br />
sacapturevialeréseaus’avèredifficile.Chaquemotdepasseshadowd’utilisateurest<br />
stockédansunfichierdifférent,dénomméfichierdemotsdepasseshadow.Seulle<br />
compted’utilisateurracineestautoriséàlirecesfichiers.<br />
Chapitre3Authentification<strong>Open</strong><strong>Directory</strong> 45
Seulslescomptesd’utilisateurquisontstockésdansledomainederépertoirelocal<br />
d’unordinateurpeuventdisposerd’unmotdepasseshadow.Lescomptesd’utilisateur<br />
quisontstockésdansunrépertoirepartagénepeuventenbénéficier.<br />
Lesmotsdepasseshadowfournissentégalementuneauthentificationcachée<br />
pourlescomptesd’utilisateurmobiles.Pourobtenirdesinformationscomplètes<br />
surlescomptesd’utilisateurmobiles,consultezGestiondesutilisateurs.<br />
Motsdepassecryptés<br />
Unmotdepassecryptéeststockédansuncondensénumériquedanslecompted’utilisateur.Cettestratégie,historiquementappeléeauthentificationdebase,estprincipalementcompatibleavecleslogicielsquinécessitentunaccèsdirectauxenregistrements<br />
d’utilisateur.Parexemple,<strong>Mac</strong><strong>OS</strong>X10.1ouantérieurs’attendàtrouverunmotde<br />
passecryptéstockédanslecompted’utilisateur.<br />
L’authentificationcryptéeneprendenchargequelesmotsdepassed’unelongueur<br />
maximaledehuitoctets(huitcaractèresASCII).Siunmotdepassepluslongestsaisi<br />
danslecompted’unutilisateur,seulsleshuitpremiersoctetssontutiliséspourlavalidationdumotdepassecrypté.Lesmotsdepasseshadowet<strong>Open</strong><strong>Directory</strong>nesont<br />
passoumisàcettelimitedelongueur.<br />
Pourunetransmissionsécuriséedesmotsdepasseviaunréseau,lesmotsdepasse<br />
cryptéspeuventfonctionneraveclaméthoded’authentificationDHX.<br />
Fournitured’authentificationsécuriséeauxutilisateursWindows<br />
<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>offreaussilesmêmestypesdemotsdepassesécurisésauxutilisateursWindows:<br />
 Lesmotsdepasse<strong>Open</strong><strong>Directory</strong>sontnécessairespourl’ouverturedesessionde<br />
domaineàpartird’unestationdetravailWindowsversuncontrôleurdedomaine<br />
principal<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>etpeuventêtreutiliséspourl’authentificationauprèsdu<br />
servicedefichiersWindows.Cetypedemotdepassepeutêtrevalidéàl’aidede<br />
plusieursméthodesd’authentification,ycomprisNTLMv2,NTLMv1etLANManager.<br />
Lesmotsdepasse<strong>Open</strong><strong>Directory</strong>sontstockésdansunebasededonnéessécurisée,<br />
pasdanslescomptesd’utilisateur.<br />
 Lesmotsdepasseshadownepeuventpasêtreutiliséspourl’ouverturedesession<br />
dedomainemaisilspeuventêtreutiliséspourleservicedefichiersWindowset<br />
d’autresservices.Cetypedemotdepassepeutaussiêtrevalidéàl’aidedesméthodesd’authentificationNTLMv2,NTLMv1etLANManager.Lesmotsdepasseshadow<br />
sontstockésdansdesfichierssécurisés,etnonpasdanslescomptesd’utilisateur.<br />
 UnmotdepassecryptéavecleGestionnaired’authentificationactivéfournitlacompatibilitépourlescomptesd’utilisateursurunserveurquiaétémisàniveauàpartir<br />
de<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>10.1.Aprèslamiseàniveauduserveurvers<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>10.5,<br />
cescomptesd’utilisateurdoiventêtremodifiésdefaçonàutiliserdesmotsdepasse<br />
<strong>Open</strong><strong>Directory</strong>,quisontplussûrsqueleGestionnaired’authentificationhérité.<br />
46 Chapitre3Authentification<strong>Open</strong><strong>Directory</strong>
Attaqueshorslignesurdesmotsdepasse<br />
Dufaitquelesmotsdepassecryptéssontstockésdirectementdanslescomptes<br />
d’utilisateur,ilssontsusceptiblesd’êtrepiratés.<br />
Lescomptesd’utilisateurquisetrouventdansundomainederépertoirepartagésont<br />
accessiblessurleréseau.ToutepersonneconnectéeauréseauetdisposantdeGestionnairedegroupedetravailousachantutiliserlesoutilsàlignesdecommandespeutlirele<br />
contenudescomptesd’utilisateur,ycomprislesmotsdepassecryptésquiysontstockés.<br />
Lesmotsdepasse<strong>Open</strong><strong>Directory</strong>etlesmotsdepasseshadownesontpasstockés<br />
danslescomptesd’utilisateur;ilsnepeuventdoncpasêtrelusàpartirdesdomaines<br />
derépertoire.<br />
UnattaquantmalveillantouunpirateinformatiquepourraitutiliserGestionnairede<br />
groupedetravailoudescommandesUNIXpourcopierdesenregistrementsd’utilisateurdansunfichier.Lepiratepeutensuitetransférercefichierversunautresystèmeet<br />
utiliserdifférentestechniquespourdécoderlesmotsdepassecryptésstockésdansles<br />
enregistrementsd’utilisateur.Aprèsavoirdécodéunmotdepassecrypté,lepiratepeut<br />
ouvrirunesessionincognitoavecunnomd’utilisateuretunmotdepassecryptévalides.<br />
Aveccetyped’attaque«horsligne»,iln’estpasnécessaired’effectuerplusieurstentativesd’ouverturedesessionsuccessivespouraccéderàunsystème.<br />
Unefaçonefficacedeluttercontrelepiratagedemotsdepasseconsisteàutiliserde<br />
bonsmotsdepasseetd’éviterd’utiliserdesmotsdepassecryptés.Lesmotsdepasse<br />
doiventcontenirdeslettres,deschiffresetdessymbolesetformerdescombinaisons<br />
difficilesàdevinerparlesutilisateursnonautorisés.<br />
Ilsnedoiventpasêtreconstituésdemotsexistants.Ilspeuventcontenirdeschiffres<br />
etdessymboles(comme,parexemple,#ou$)ouêtrecomposésdelapremièrelettredetouslesmotsd’unephrase.Utilisezunecombinaisondelettresminusculeset<br />
majuscules.<br />
Lesmotsdepasseshadowetlesmotsdepasse<strong>Open</strong><strong>Directory</strong>sontbeaucoup<br />
moinssujetsàl’attaquehorslignecarilsnesontpasstockésdanslesenregistrementsd’utilisateur.<br />
Lesmotsdepasseshadowsontstockésdansdesfichiersséparés,uniquementlisiblesparunepersonnequiconnaîtlemotdepasseducomptedel’utilisateurracine<br />
(appeléaussiadministrateursystème).<br />
Lesmotsdepasse<strong>Open</strong><strong>Directory</strong>sontenregistrésdemanièresûredanslecentrede<br />
distributiondeclésKerberosetdanslabasededonnéesduserveurdemotsdepasse<br />
<strong>Open</strong><strong>Directory</strong>.Lemotdepasse<strong>Open</strong><strong>Directory</strong>d’unutilisateurnepeutêtrelupar<br />
d’autresutilisateurs,pasmêmeparunutilisateurdisposantd’autorisationsd’administrateurpourl’authentification<strong>Open</strong><strong>Directory</strong>.(Cetadministrateurnepeutchanger<br />
quelesmotsdepasse<strong>Open</strong><strong>Directory</strong>etlespolitiquesdemotdepasse.)<br />
Chapitre3Authentification<strong>Open</strong><strong>Directory</strong> 47
Lesmotsdepassecryptésnesontpasconsidéréscommesécurisés.Ilestrecommandé<br />
denelesutiliserquepourlescomptesd’utilisateurquidoiventêtrecompatiblesavec<br />
desclientsUNIXquilesrequièrentoupourdesclientssous<strong>Mac</strong><strong>OS</strong>X10.1.Commeils<br />
sontstockésdanslescomptesd’utilisateur,ilssontaussiaccessiblesetsusceptibles<br />
d’êtrelacibled’attaqueshorsligne(consultezlarubrique«Attaqueshorslignesurdes<br />
motsdepasse»).Bienquestockéssousuneformeencodée,ilssontrelativementfacilesàdécoder.<br />
Commentlesmotsdepassecryptéssontcryptés<br />
Lesmotsdepassecryptésnesontpasstockésenclair;ilssontdissimulésetrendus<br />
illisiblesparlecryptage.Leprocédédecryptaged’unmotdepassecryptéconsisteà<br />
introduirelemotdepasseenclairetunnombrealéatoiredansunefonctionmathématique(appeléefonctiondehachageunidirectionnelle).Unefonctiondehachageunidirectionnellegénèretoujourslamêmevaleurcryptéeàpartirdedonnéesenentrée<br />
spécifiques,maisnepeutêtreutiliséepourrecréerlemotdepasseoriginalàpartir<br />
desdonnéesensortiecryptéesqu’ellegénère.<br />
Pourvaliderunmotdepasseàl’aidedelavaleurcryptée,<strong>Mac</strong><strong>OS</strong>Xappliquelafonctionaumotdepassetapéparl’utilisateuretlacompareàlavaleurstockéedansle<br />
compted’utilisateuroulefichiershadow.Silesvaleurssecorrespondent,lemotde<br />
passeestconsidérévalide.<br />
Déterminationdel’optiond’authentificationàutiliser<br />
Pourauthentifierunutilisateur,<strong>Open</strong><strong>Directory</strong>doitd’aborddéterminerl’option<br />
d’authentificationàutiliser:Kerberos,leserveurdemotsdepasse<strong>Open</strong><strong>Directory</strong>,<br />
lemotdepasseshadowoulemotdepassecrypté.Lecomptedel’utilisateurcontient<br />
lesinformationsspécifiantl’optiond’authentificationàutiliser.Cesinformations<br />
portentlenomd’attributd’autoritéd’authentification.<br />
<strong>Open</strong><strong>Directory</strong>sesertdunomfourniparl’utilisateurpourtrouverlecomptedel’utilisateurdansledomainederépertoire.<strong>Open</strong><strong>Directory</strong>consultealorsl’attributd’autoritéd’authentificationprésentdanslecomptedel’utilisateurpourconnaîtrel’option<br />
d’authentificationàappliquer.<br />
48 Chapitre3Authentification<strong>Open</strong><strong>Directory</strong>
Vouspouvezchangerl’attributd’autoritéd’authentificationd’unutilisateurenchangeantletypedemotdepassedanslasous-fenêtreAvancédeGestionnairedegroupe<br />
detravail,commeillustrédansletableauquisuit.Pourensavoirplus,reportez-vousà<br />
larubrique«Modificationdutypedemotdepassed’unutilisateur»àlapage125.<br />
Typedemotdepasse<br />
<strong>Open</strong><strong>Directory</strong><br />
Motdepasseshadow<br />
Motdepassecrypté<br />
Autoritéd’authentification<br />
Serveurdemotsdepasse<strong>Open</strong><br />
<strong>Directory</strong>etKerberos 1<br />
Fichierdemotsdepassedechaqueutilisateur,lisibleuniquementparlecompted’utilisateur<br />
root<br />
Motdepasseencodédans<br />
l’enregistrementd’utilisateur<br />
Attributdansl’enregistrement<br />
d’utilisateur<br />
L’unoul’autre,oulesdeux:<br />
 ;<strong>Apple</strong>Password<strong>Server</strong>;<br />
 ;Kerberosv5;<br />
L’unoul’autre:<br />
L’unoul’autre:<br />
 ;basic;<br />
 pasd’attributdutout<br />
 ;ShadowHash; 2<br />
 ;ShadowHash;<br />
1Lescomptesd’utilisateurde<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>10.2doiventêtreréinitialiséspourqu’ilscontiennentl’attributd’autoritéd’authentificationKerberos.Consultezlarubrique«Activationdel’authentificationKerberosparsignature<br />
uniquepourunutilisateurȈlapage129.<br />
2Sil’attributquifiguredansl’enregistrementd’utilisateurest;ShadowHash;sanslistedeméthodesd’authentificationactivées,cesontlesméthodesd’authentificationpardéfautquisontactivées.Lalistedesméthodesd’authentificationpardéfautestdifférentepour<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>et<strong>Mac</strong><strong>OS</strong>X.<br />
L’attributd’autoritéd’authentificationpeutspécifierplusieursoptionsd’authentification.Parexemple,uncompted’utilisateuravecunmotdepassedetype<strong>Open</strong><strong>Directory</strong>possèdenormalementunattributd’autoritéd’authentificationquispécifietant<br />
Kerberosqueleserveurdemotsdepasse<strong>Open</strong><strong>Directory</strong>.<br />
Uncompted’utilisateurnedoitpasnécessairementcontenirunattributd’autorité<br />
d’authentification.Danscecas,<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>supposequ’unmotdepassecrypté<br />
estenregistrédanslecompted’utilisateur.Parexemple,lescomptesd’utilisateurcréés<br />
àl’aidedelaversion10.1ouantérieurede<strong>Mac</strong><strong>OS</strong>Xcontiennentunmotdepasse<br />
cryptémaispasd’attributd’autoritéd’authentification.<br />
Chapitre3Authentification<strong>Open</strong><strong>Directory</strong> 49
Politiquesdemotdepasse<br />
<strong>Open</strong><strong>Directory</strong>appliquelespolitiquesdemotdepassepourlesutilisateursdontle<br />
typedemotdepasseest<strong>Open</strong><strong>Directory</strong>ouMotdepasseShadow.Unepolitiquede<br />
motdepassed’utilisateurpeut,parexemple,spécifierundélaid’expirationdumotde<br />
passe.Si,aumomentoùl’utilisateurouvreunesession,<strong>Open</strong><strong>Directory</strong>constateque<br />
lemotdepasseaexpiré,l’utilisateurdevraremplacercemotdepasse.<strong>Open</strong><strong>Directory</strong><br />
pourraalorsauthentifierl’utilisateur.<br />
Lespolitiquesdemotdepassepeuventdésactiveruncompted’utilisateuràunedate<br />
donnée,aprèsuncertainnombredejours,aprèsunepérioded’inactivitéouaprèsun<br />
certainnombredetentativesd’ouverturedesessioninfructueuses.Ellespeuventaussi<br />
exigerquelemotdepassesoitcomposéauminimumd’uncertainnombredecaractères,qu’ilcontienneaumoinsunelettreouunchiffre,qu’ilsoitdifférentdunomd’utilisateur,qu’ildiffèredesmotsdepasseprécédemmentchoisisouqu’ilsoitmodifié<br />
régulièrement.<br />
Lapolitiquedemotdepassepouruncompted’utilisateurmobileestd’application<br />
lorsquelecompteestutiliséaussibienlorsqu’ilestdéconnectéduréseauquelorsqu’il<br />
estconnectéauréseau.Lapolitiquedemotdepassed’uncompted’utilisateurmobile<br />
estmiseenmémoirecachepoursonutilisationhorsligne.Pourensavoirplussurles<br />
comptesd’utilisateurmobiles,consultezGestiondesutilisateurs.<br />
Lespolitiquesdemotdepassen’affectentpaslescomptesd’administrateur.Lesadministrateurssontexclusdespolitiquesdemotdepassecarilspeuventmodifiercespolitiquescommeilslesouhaitent.Deplus,appliquerdespolitiquesdemotdepasseàdes<br />
administrateurspourraitenfairelacibled’attaquespardénideservice.<br />
Kerberosetleserveurdemotsdepasse<strong>Open</strong><strong>Directory</strong>maintiennentdespolitiquesde<br />
motdepasseséparées.Unserveur<strong>Open</strong><strong>Directory</strong>synchroniselesrèglesdepolitique<br />
demotdepasseKerberosaveclesrèglesdepolitiquedemotdepasseduserveurde<br />
motsdepasse<strong>Open</strong><strong>Directory</strong>.<br />
50 Chapitre3Authentification<strong>Open</strong><strong>Directory</strong>
Authentificationparsignatureunique<br />
<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>utiliseKerberospourl’authentificationparsignatureunique,cequipermetauxutilisateursdenepasdevoirtaperunnomd’utilisateuretunmotdepassedifférentspourchacundesservices.Aveclasignatureunique,unutilisateurtapetoujours<br />
unnomd’utilisateuretunmotdepassedanslafenêtred’ouverturedesession.Par<br />
contre,unefoislasessionouverte,ilnedoitplussaisirdenomd’utilisateurnidemot<br />
depassepouraccéderauservicedefichiers<strong>Apple</strong>,auservicedemessagerieniaux<br />
autresservicesquiutilisentl’authentificationKerberos.<br />
Pourpouvoirbénéficierdelasignatureunique,lesutilisateursetlesservicesdoivent<br />
êtreKerberisés,c’est-à-direconfiguréspourl’authentificationparKerberos,etutiliser<br />
lemêmeserveurdecentrededistributiondeclésKerberos.<br />
Cecentrededistributiondeclés<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>peutaussiauthentifierlesutilisateurs<br />
pourlesservicesfournispard’autresserveurs.Pourquedesserveurssupplémentaires<br />
sous<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>utilisentlecentrededistributiondeclésde<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>,<br />
trèspeudeconfigurationestnécessaire.<br />
AuthentificationKerberos<br />
Kerberosestunprotocoled’authentificationenréseaudéveloppéparleMITenvue<br />
defourniruneauthentificationetdescommunicationssûresenréseauxouverts,<br />
telsqu’Internet.Ilportelenomduchienàtroistêtesquigardaitl’accèsaumonde<br />
souterraindanslamythologiegrecque.<br />
Kerberosfournitdespreuvesd’identitéauxdeuxparties.Ilvouspermetdeprouver<br />
quivousêtesauprèsdesservicesréseauquevousvoulezutiliser.Ilprouveaussiàvos<br />
applicationsquelesservicesréseausontauthentiquesetn’ontpasfaitl’objetd’une<br />
opérationdespoofing(mystification).<br />
Lescomptesd’utilisateurquirésidentdansunrépertoireLDAPde<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>et<br />
quipossèdentunmotdepassedetype<strong>Open</strong><strong>Directory</strong>utilisentlecentrededistributiondeclésintégréduserveur.Cescomptesd’utilisateursontconfigurésautomatiquementpourKerberosetlasignatureunique.Lesserviceskerbérisésduserveurutilisent<br />
égalementlecentrededistributiondeclésintégréduserveuretsontconfigurésautomatiquementpourlasignatureunique.<br />
Commed’autressystèmesd’authentification,Kerberosnefournittoutefoispasd’autorisation.Chaqueserviceréseaudéterminecequevouspouvezfaireenfonctionde<br />
l’identitéquevousavezprouvée.<br />
Chapitre3Authentification<strong>Open</strong><strong>Directory</strong> 51
Kerberospermetàunclientetàunserveurdes’identifiermutuellementdefaçonnettementplussûrequelesméthodesd’authentificationparmotdepasseetparquestion-réponsetraditionnelles.Kerberosfournitaussiunenvironnementàsignature<br />
uniquedanslequellesutilisateursnedoivents’authentifierqu’unefoisparjour,<br />
parsemaineouparpériode,cequiallègelafréquencedesauthentifications.<br />
<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>offreunepriseenchargeintégréedeKerberosquevraimenttoutle<br />
mondepeutdéployer.Enfait,ledéploiementdeKerberosestàcepointautomatique<br />
quelesutilisateursetlesadministrateursneremarquerontpeut-êtremêmepasqu’ilest<br />
déployé.<br />
<strong>Mac</strong><strong>OS</strong>X10.3etultérieurutiliseKerberosautomatiquementlorsqu’unutilisateurouvre<br />
unesessionàl’aided’uncompteconfigurépourl’authentificationpar<strong>Open</strong><strong>Directory</strong>.<br />
Ils’agitduréglagepardéfautpourlescomptesd’utilisateurdanslerépertoireLDAP<br />
de<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>.D’autresservicesfournisparleserveurderépertoireLDAPcomme,<br />
parexemple,lesservicesAFPetceuxdecourrierélectronique,utilisentaussiKerberos<br />
automatiquement.<br />
Sivotreréseaucomported’autresserveurssous<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>10.5,ilestaiséde<br />
lesjoindreauserveurKerberos;laplupartdeleursservicesutilisentalorsKerberos<br />
automatiquement.<br />
D’unautrecôté,sivotreréseaudisposed’unsystèmeKerberoscomme,parexemple,<br />
MicrosoftActive<strong>Directory</strong>,vouspouvezconfigurervosordinateurs<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>et<br />
<strong>Mac</strong><strong>OS</strong>Xpourqu’ilsl’utilisentpourl’authentification.<br />
52 Chapitre3Authentification<strong>Open</strong><strong>Directory</strong>
<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>et<strong>Mac</strong><strong>OS</strong>X10.3ouultérieurprennentenchargeKerberos5.<br />
<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>et<strong>Mac</strong><strong>OS</strong>X10.5neprennentpasenchargeKerberos4.<br />
SurmonterlesobstaclesdudéploiementdeKerberos<br />
Jusqu’ilyapeu,Kerberosétaitunetechnologiedestinéeauxuniversitésetauxsites<br />
gouvernementaux.Iln’étaitpasutiliséàplusgrandeéchelleparcequecertainsobstaclesenmatièred’adoptiondevaitêtrelevés.<br />
<strong>Mac</strong><strong>OS</strong>Xet<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>10.3ouultérieuréliminentlesobstacleshistoriques<br />
suivantsàl’adoptiondeKerberos:<br />
 UnadministrateurdevaitconfigureruncentrededistributiondeclésKerberos.<br />
C’étaitdifficileàdéployeretàadministrer.<br />
 Iln’yavaitpasd’intégrationstandardavecunsystèmederépertoire.Kerberosne<br />
faitquedel’authentification.Ilnestockepasdedonnéesdecompted’utilisateur<br />
comme,parexemple,l’identifiantd’utilisateur(UID),l’emplacementdudossierde<br />
départoul’appartenanceàungroupe.L’administrateurdevaitarriveràcomprendrecommentintégrerKerberosàunsystèmederépertoire.<br />
 TouslesserveursdevaientêtreinscritsaucentrededistributiondeclésKerberos.<br />
Celaajoutaituneétapesupplémentaireauprocessusdeconfigurationduserveur.<br />
 AprèsavoirconfiguréunserveurKerberos,l’administrateurdevaitserendresur<br />
touslesordinateursclientsetlesconfigurerunàunpourl’utilisationdeKerberos.<br />
Celaprenaitbeaucoupdetempsetnécessitaitlamodificationdefichiersdeconfigurationetl’utilisationd’outilsdelignedecommande.<br />
 Ilfallaitdisposerd’unesuited’applicationskerbérisées(logicielsserveuretclient).<br />
Certainesdesapplicationsdebaseétaientdisponibles,maislesporteretlesadapterpourqu’ellesfonctionnentdansvotreenvironnementn’étaitpaschoseaisée.<br />
 Touslesprotocolesderéseauutiliséspourl’authentificationclient-serveurneprennentpasenchargeKerberos.Certainsprotocolesderéseaunécessitenttoujoursdes<br />
méthodesd’authentificationdéfi-réponsetraditionnellesetiln’yapasdefaçonstandardd’intégrerKerberosàcesméthodesd’authentificationréseaupatrimoniales.<br />
 LeclientKerberosprendenchargelebasculementdesorteque,siuncentrede<br />
distributiondeclésesthorsligne,ilpeututiliseruneréplique,maisl’administrateur<br />
devaitarriveràcomprendrecommentconfigurerunerépliqueKerberos.<br />
 Lesoutilsd’administrationn’ontjamaisétéintégrés.Lesoutilspourlacréationet<br />
lamodificationdecomptesd’utilisateurdansledomainederépertoirenesavaient<br />
riendeKerberosetlesoutilsKerberosnesavaientriendescomptesd’utilisateur<br />
danslesrépertoires.Configurerunenregistrementd’utilisateurétaituneopération<br />
spécifiqueausite,quidépendaitdelafaçondontlecentrededistributiondeclés<br />
étaitintégréausystèmederépertoire.<br />
Chapitre3Authentification<strong>Open</strong><strong>Directory</strong> 53
Expérienceenmatièredesignatureunique<br />
Kerberosestunsystèmed’informationsd’authentificationouunsystèmeàbasede<br />
tickets.L’utilisateurouvreunesessionsurlesystèmeKerberosetreçoitunticketavec<br />
unecertaineduréedevie.Pendantladuréedeviedeceticket,l’utilisateurnedoit<br />
jamaisseréauthentifierpouraccéderàunservicekerbérisé.<br />
Lelogicielclientkerbérisédel’utilisateur,comme,parexemple,l’applicationMailde<br />
<strong>Mac</strong><strong>OS</strong>X,présenteunticketKerberosvalidepourauthentifierl’utilisateurpourun<br />
servicekerbérisé.C’estcelalasignatureunique.<br />
UnticketKerberos,c’estcommeunecartedepressepourunfestivaldejazzquise<br />
tientdansdifférentesboîtesdenuitsurtroisjours.Vousdevezprouvervotreidentité<br />
unefoispourobtenirlacartedepresse.Jusqu’àsonexpiration,ilsuffitdelamontrer<br />
àunedesboîtesdenuitpourobtenirunticketpourunspectacle.Touteslesboîtesde<br />
nuitparticipantesacceptentvotrecartedepressesansvousdemanderdeprouverà<br />
nouveauvotreidentité.<br />
Authentificationsécurisée<br />
IntrinsèquementInternetn’estpassécuriséetpeudeprotocolesd’authentification<br />
fournissentunevéritablesécurité.Lespiratesinformatiquespeuventutiliserdesoutils<br />
logicielstoutprêtspourintercepterlesmotsdepassequitransitentparunréseau.<br />
Denombreusesapplicationsenvoient,eneffet,lesmotsdepasseenclair.Cesderniers<br />
sontprêtsàl’emploidèsqu’ilssontinterceptés.Mêmelesmotsdepassecryptésne<br />
sontpastoutàfaitsûrs.S’ildisposedetempsetdepuissancedecalcul,unpiratepeut<br />
aussicraquerlesmotsdepassecryptés.<br />
Pourisolerlesmotsdepassesurvotreréseauprivé,vouspouvezutiliseruncoupe-feu,<br />
maiscelanerésoutpastouslesproblèmes.Parexemple,uncoupe-feuneprotègepas<br />
contrelesinitiésmécontentsoumalveillants.<br />
Kerberosaétéconçupoursolutionnerlesproblèmesdesécuritéderéseau.Ilnetransmetjamaislemotdepassedel’utilisateursurleréseaunin’enregistrelemotdepasse<br />
danslamémoireousurledisquedel’ordinateurdel’utilisateur.Decettefaçon,même<br />
silesinformationsd’authentificationKerberossontcraquéesoucompromises,l’attaquantneconnaîtrapaslemotdepasseoriginaletnepourra,lecaséchéant,compromettrequ’unepetitepartieduréseauetnonl’ensembleduréseau.<br />
Enplusd’unegestiondesmotsdepasseplusefficace,Kerberosprocèdeaussià<br />
uneauthentificationmutuelle.Leclients’authentifieauprèsduserviceetleservice<br />
s’authentifieauprèsduclient.Uneattaque"man-in-the-middle"oudemystification<br />
estimpossiblelorsquevousutilisezdesserviceskerbérisés.Lesutilisateurspeuvent<br />
doncfaireconfianceauxservicesauxquelsilsaccèdent.<br />
54 Chapitre3Authentification<strong>Open</strong><strong>Directory</strong>
Prêtàallerau-delàdesmotsdepasse<br />
L’authentificationréseauestdifficile:pourdéployeruneméthoded’authentification<br />
réseau,leclientetleserveurdoiventsemettred’accordsurlaméthoded’authentification.Etbienqu’ilsoitpossiblepourn’importequelsprocessusclient-serveurdesemettred’accordsuruneméthoded’authentificationpersonnalisée,obteniruneadoption<br />
généraliséed’unemultitudedeprotocolesréseau,deplates-formesetdeclientsdifférentsestpresqueimpossible.<br />
Parexemple,imaginezquevoussouhaitiezdéployerdescartesàpuceintelligentes<br />
commeméthoded’authentificationréseau.SansKerberos,vousdevriezmodifierchaqueprotocoleclient-serveurpourqu’ilprenneenchargelanouvelleméthode.Laliste<br />
desprotocolesestlongue:SMTP,POP,IMAP,AFP,SMB,HTTP,FTP,IPP,SSH,QuickTime<br />
Streaming,DNS,LDAP,domainederépertoirelocal,RPC,NFS,AFS,WebDAV,LPRetainsi<br />
desuite.<br />
Sil’onconsidèretousleslogicielsquifontdel’authentificationréseau,déployerune<br />
nouvelleméthoded’authentificationparmil’ensembledesprotocolesréseauestune<br />
tâchetitanesque.Bienquecelasemblefaisablepourleslogicielsd’unseuletunique<br />
fournisseur,ilestpeuprobablequevousarriviezàconvaincretouslesfournisseursde<br />
modifierleurlogicielclientpourqu’ilutilisevotrenouvelleméthoded’authentification<br />
parcartesàpuceintelligentes.Deplus,vousvoudrezprobablementaussiquevotre<br />
authentificationfonctionnesurplusieursplates-formes(comme,parexemple,<br />
<strong>Mac</strong><strong>OS</strong>X,WindowsetUNIX).<br />
GrâceàlaconceptiondeKerberos,unbinaireouprotocoleclient-serveurprenant<br />
enchargeKerberosnesaitmêmepascommentl’utilisateurprouvesonidentité.<br />
C’estpourquoiilvoussuffitdemodifierleclientKerberosetleserveurKerberosde<br />
façonàcequ’ilsacceptentunenouvellepreuved’identitécomme,parexemple,<br />
unecarteintelligente.L’ensembledevotreréseauKerberosamaintenantadopté<br />
lanouvelleméthodedepreuved’identité,sansqu’ilsoitnécessairededéployerde<br />
nouvellesversionsdeslogicielsclientetserveur.<br />
Authentificationmultiplateforme<br />
Kerberosestdisponiblesurlesprincipalesplates-formes,ycompris<strong>Mac</strong><strong>OS</strong>X,<br />
Windows,Linuxetd’autresvariantesd’UNIX.<br />
Authentificationcentralisée<br />
Kerberosfournituneautoritéd’authentificationcentralepourleréseau.TouslesservicesettouslesclientscompatiblesavecKerberosutilisentcetteautoritécentrale.<br />
Lesadministrateurspeuventvérifieretcontrôlerlespolitiquesetlesopérations<br />
d’authentificationdefaçoncentralisée.<br />
Chapitre3Authentification<strong>Open</strong><strong>Directory</strong> 55
Serviceskerbérisés<br />
Kerberospeutauthentifierdesutilisateurspourlesservicessuivantsde<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>:<br />
 Fenêtred’ouverturedesession<br />
 Servicedemessagerie<br />
 ServicedefichiersAFP<br />
 ServicedefichiersFTP<br />
 ServicedefichiersSMB(entantquemembred’unroyaumeKerberosActive<strong>Directory</strong>)<br />
 ServiceVPN<br />
 ServiceWebApache<br />
 ServicederépertoireLDAP<br />
 ServiceiChat<br />
 Serviced’impression<br />
 ServicedefichiersNFS<br />
 Xgrid<br />
Cesservicesontétékerbérisés,qu’ilstournentounon.SeulscesservicespeuventutiliserKerberospourauthentifierunutilisateur.<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>contientdesoutilsde<br />
lignedecommandepourkerbériserd’autresservicesquisontcompatiblesavecle<br />
KerberosduMIT.Pourensavoirplus,consultezlechapitreconsacréà<strong>Open</strong><strong>Directory</strong><br />
du<strong>Administration</strong>delignedecommande.<br />
ConfigurationdeservicespourKerberosaprèslamiseàniveau<br />
Aprèslamiseàniveauà<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>10.5,ilsepeutquevousdeviezconfigurer<br />
certainsservicesdefaçonàcequ’ilsutilisentl’authentificationKerberosparsignature<br />
unique.Cesservicesn’étaientsoitpasconfigurésdefaçonàutiliserKerberosoune<br />
faisaientpaspartiedelaversionantérieurede<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>.<br />
Sicetteconditionexiste,unmessagesurcelle-ciapparaîtlorsquevousvousconnectez<br />
auserveurdansAdminServeur.Lemessageapparaîtdanslasous-fenêtreVued’ensemblelorsquevoussélectionnezleserveur(pasunservice)danslalistedesserveurs.<br />
Pourconfigurerlesnouveauxservicesetlesservicesmisàniveaudefaçonàcequ’ils<br />
utilisentKerberos:<br />
1 OuvrezAdminServeuretconnectez-vousauserveurmisàniveau.<br />
2 Cliquezsurletrianglesetrouvantàgaucheduserveur.<br />
Lalistedesservicesapparaît.<br />
3 DanslalisteServeursdéveloppée,sélectionnez<strong>Open</strong><strong>Directory</strong>.<br />
4 CliquezsurRéglages,puissurGénéral.<br />
5 CliquezsurKerbériserlesservices,puissaisissezlenometlemotdepassed’uncompte<br />
d’administrateurderépertoireLDAP.<br />
Lesservicesdéjàconfiguréspourl’utilisationdeKerberosnesontpasconcernés.<br />
56 Chapitre3Authentification<strong>Open</strong><strong>Directory</strong>
PrincipauxetroyaumesKerberos<br />
Lesserviceskerbériséssontconfiguréspourauthentifierlesprincipauxconnusd’un<br />
royaumedonné.UnroyaumeKerberospeutêtreconsidérécommeunebasededonnées<br />
ouundomained’authentificationKerberosspécifiquecontenantdesdonnéesdevalidationpourlesutilisateurs,lesservicesetparfoislesserveurs(tousappelésprincipaux).<br />
Parexemple,unroyaumecontientdescléssecrètesdeprincipauxquirésultentd’une<br />
fonctionunidirectionnelleappliquéeàdesmotsdepasse.<br />
Lesprincipauxdeservicesontgénéralementbaséssurdessecretsgénérésdefaçon<br />
aléatoiresplutôtquesurdesmotsdepasse.<br />
Voicidesexemplesdenomsderoyaumeetdeprincipal.Lesnomsderoyaumesont<br />
écritsenmajusculesparconventionpourlesdistinguerdesnomsdedomaineDNS:<br />
 Royaume:MONROYAUME.EXEMPLE.COM<br />
 Utilisateurprincipal:jsanchez@MONROYAUME.EXEMPLE.COM<br />
 Serviceprincipal:serveurafp/autrenom.exemple.com@MONROYAUME.EXEMPLE.COM<br />
Processusd’authentificationKerberos<br />
L’authentificationKerberossefaitenplusieursétapes.Lorsdelapremièreétape,<br />
leclientobtientdesinformationsd’authentificationservantàdemanderl’accès<br />
auxserviceskerbérisés.Lorsdeladeuxièmephase,leclientrequiertl’authentification<br />
pourunservicedonné.Lorsdeladernièreétape,leclientprésentelesinformations<br />
d’authentificationauservice.<br />
L’illustrationsuivanteschématisecesactivités.Leserviceetleclientpeuventêtrela<br />
mêmeentité(comme,parexemple,lafenêtred’ouverturedesession)oudeuxentités<br />
différentes(comme,parexemple,unclientdemessagerieélectroniqueetleserveur<br />
demessagerie).<br />
Centre de<br />
distribution<br />
de clés (KDC)<br />
2<br />
4<br />
3<br />
6<br />
Service<br />
kerbérisé<br />
1<br />
Client<br />
5<br />
Chapitre3Authentification<strong>Open</strong><strong>Directory</strong> 57
1 Leclients’authentifieauprèsd’uncentrededistributiondeclésKerberos,quicommuniqueaveclesroyaumespouraccéderauxdonnéesd’authentification.C’estlaseule<br />
étapeàlaquellelesmotsdepasseetlesinformationsdepolitiquedemotdepassequi<br />
ysontassociéessontvérifiées.<br />
2 Lecentrededistributiondeclésenvoieunticketd’octroideticketauclient.Ceticket<br />
constituelesinformationsd’authentificationrequiseslorsqueleclientveututiliserles<br />
serviceskerbérisésetsontvalablespourunepériodeconfigurable,maispeuventêtre<br />
révoquéesavantl’expiration.Ilssontplacéssurleclientjusqu’àleurexpiration.<br />
3 Leclientcontactelecentrededistributiondeclésavecleticketd’octroideticket<br />
lorsqu’ilsouhaiteutiliserunservicekerbérisédonné.<br />
4 Lecentredélivreunticketpourceservice.<br />
5 Leclientprésenteleticketauservice.<br />
6 Leserviceauthentifieleclientenvérifiantqueleticketestvalide.<br />
Aprèsavoirauthentifiéleclient,leservicedéterminesileclientestautoriséàutiliser<br />
leservice.<br />
Kerberosnefaitqu’authentifierlesclients,ilnelesautorisepasàutiliserdesservices.<br />
Parexemple,denombreuxservicesutilisentleslistesdecontrôled’accèsàunservice<br />
(SACL)de<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>pourdéterminersiunclientestautoriséàutiliserleservice.<br />
Kerberosn’envoiejamaisdemotdepassenid’informationsdepolitiquedemotde<br />
passeàunservice.Unefoisqu’unticketd’octroideticketestobtenu,plusaucune<br />
informationdemotdepassen’estfournie.<br />
LanotiondetempsesttrèsimportantepourKerberos.Sileclientetlecentrededistributiondeclésnesontpassynchronisésàquelquesminutesprès,leclientneréussira<br />
pasàs’authentifieraveclecentre.Lesinformationsconcernantladate,l’heureetle<br />
fuseauhorairedoiventêtrecorrectessurleserveurducentrededistributiondecléset<br />
surlesclients.Ilestrecommandéqueleserveuretlesclientsutilisenttouslemême<br />
serviced’horlogeréseaupourqueleurshorlogesrestentsynchronisées.<br />
PourensavoirplussurKerberos,allezsurlesitewebduMITconsacréàKerberos,<br />
àl’adresseweb.mit.edu/kerberos/www/index.html.<br />
58 Chapitre3Authentification<strong>Open</strong><strong>Directory</strong>
Méthodesd’authentificationparserveurdemotsdepasse<br />
<strong>Open</strong><strong>Directory</strong>etparmotdepasseshadow<br />
Àdesfinsdecompatibilitéavecdifférentsservices,<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>peututiliserplusieursméthodesd’authentificationpourvaliderlesmotsdepasse<strong>Open</strong><strong>Directory</strong>et<br />
lesmotsdepasseshadow.<br />
Pourlesmotsdepasseshadow,l’utilisationdeSASLdépendduprotocolederéseau.<br />
Lesméthodesd’authentificationsuivantessontprisesencharge:<br />
Méthode Sécuritéduréseau Sécuritédustockage Utilise<br />
APOP<br />
Crypté,avecsolutionde Texteenclair<br />
ServicedecourrierPOP<br />
secoursàtexteenclair<br />
CRAM-MD5<br />
Crypté,avecsolutionde<br />
secoursàtexteenclair<br />
Crypté<br />
Servicedecourrier<br />
IMAP,serviceLDAP<br />
DHX Crypté Crypté ServicedefichiersAFP,<br />
administration<strong>Open</strong><br />
<strong>Directory</strong><br />
Digest-MD5 Crypté Crypté Fenêtred’ouverturede<br />
session,servicedemessagerie<br />
MS-CHAPv2 Crypté Crypté ServiceVPN<br />
NTLMv1etNTLMv2 Crypté Crypté ServicesSMB(WindowsNT/98ouultérieur)<br />
LANManager Crypté Crypté ServicesSMB<br />
(Windows95)<br />
WebDAV-Digest Crypté Texteenclair Servicedefichiers<br />
WebDAV(iDisk)<br />
<strong>Open</strong><strong>Directory</strong>prendenchargedenombreusesméthodesd’authentificationparce<br />
quetouslesservicesquirequièrentdel’authentificationutilisentcertainesméthodes<br />
etpasd’autres.Parexemple,lesservicesdefichiersutilisentunensembledeméthodes<br />
d’authentification,leserviceWebenutiliseunautre,leservicedecourrierencoreun<br />
autre,etc.<br />
Pourlesmotsdepasse<strong>Open</strong><strong>Directory</strong>,<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>utiliselaméthodestandard<br />
SimpleAuthenticationandSecurityLayer(SASL)pournégocieruneméthoded’authentificationentreunclientetunservice.<br />
Certainesméthodesd’authentificationsontplussûres.Lesméthodeslesplussûresutilisentdesalgorithmesplusrobustespourencoderlesdonnéestransmisesentreleclient<br />
etleserveur.Lesméthodesd’authentificationlesplussûresstockentenoutrelesmots<br />
depassesouslaformedecondensésnumériques,difficilesàrécupéreràpartirduserveur.Lesméthodeslesmoinssûresstockentlesmotsdepasseenclair,cequilesrend<br />
facilesàrécupérer.<br />
Chapitre3Authentification<strong>Open</strong><strong>Directory</strong> 59
Personne,pasmêmeunadministrateurniunutilisateurracine,nepeutrécupérerdes<br />
motsdepassecryptésenleslisantdanslabasededonnées.Unadministrateurpeut<br />
utiliserGestionnairedegroupedetravailpourdéfinirlemotdepassed’unutilisateur,<br />
maisl’administrateurnepeutlireaucunmotdepassed’utilisateur.<br />
Sivousconnectez<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>10.4ouultérieuràundomainederépertoirede<br />
<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>10.3ouantérieur,sachezquelesutilisateursdéfinisdansledomaine<br />
derépertoireleplusanciennepeuventêtreauthentifiésparlaméthodeNTLMv2.Cette<br />
méthodepeuts’avérernécessairepourauthentifierdefaçonsûrecertainsutilisateurs<br />
WindowspourlesservicesWindowsde<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>10.4etultérieur.<br />
Leserveurdemotsdepasse<strong>Open</strong><strong>Directory</strong>de<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>10.4ouultérieur<br />
prendenchargel’authentificationNTLMv2,maisleserveurdemotsdepassede<br />
<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>10.3ouantérieurneprendpasenchargeNTLMv2.<br />
Sivousconnectez<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>10.3ouultérieuràundomainederépertoirede<br />
<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>10.2ouantérieur,lesutilisateursdéfinisdansledomainederépertoire<br />
leplusanciennepeuventêtreauthentifiésparlaméthodeMS-CHAPv2.Orcette<br />
méthodepeuts’avérernécessairepourauthentifierdefaçonsûredesutilisateurspour<br />
leserviceVPNde<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>10.3ouultérieur.<br />
Leserveurdemotsdepasse<strong>Open</strong><strong>Directory</strong>de<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>10.3ouultérieur<br />
prendenchargel’authentificationMS-CHAPv2,maisleserveurdemotsdepassede<br />
<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>10.2ouantérieurneprendpasenchargeMS-CHAPv2.<br />
Désactivationdesméthodesd’authentification<strong>Open</strong><strong>Directory</strong><br />
Pourrenforcerlasécuritédustockagedesmotsdepasse<strong>Open</strong><strong>Directory</strong>surleserveur,vouspouvezdésactiverdesméthodesd’authentificationdemanièresélective.<br />
Parexemple,siaucunclientnevautiliserlesservicesWindows,vouspouvezdésactiver<br />
lesméthodesd’authentificationNTLMv1,NTLMv2etLANManagerafind’empêcher<br />
lestockagedemotsdepassesurleserveuràl’aidedecesméthodes.Ainsi,toutepersonnequiaccéderaitàvotrebasededonnéesdemotsdepassesansautorisation<br />
nepourraitpasexploiterlesvulnérabilitésdecesméthodesd’authentificationpour<br />
craquerdesmotsdepasse.<br />
Important:sivousdésactivezuneméthoded’authentification,soncondensénumériqueestsupprimédelabasededonnéesdemotsdepasseàlaprochaineauthentificationdel’utilisateur.Sivousactivezuneméthoded’authentificationquiétaitdésactivée,<br />
chaquemotdepasse<strong>Open</strong><strong>Directory</strong>doitêtreréinitialisépourajouterlecondensé<br />
numériquedelaméthodenouvellementactivéeàlabasededonnéesdemotsde<br />
passe.Lesutilisateurspeuventréinitialiserleurspropresmotsdepasseouunadministrateurderépertoirepeutlefairepoureux.<br />
60 Chapitre3Authentification<strong>Open</strong><strong>Directory</strong>
Désactiveruneméthoded’authentificationrendlabasededonnéesduserveurde<br />
motsdepasse<strong>Open</strong><strong>Directory</strong>plussûreaucasoùunutilisateurnonautoriséaurait<br />
accèsphysiquementàunserveur<strong>Open</strong><strong>Directory</strong>(maîtreouréplique)ouàunsupport<br />
contenantunecopiedesauvegardedumaître<strong>Open</strong><strong>Directory</strong>.<br />
Unepersonnequiarriveraitàaccéderàlabasededonnéesdemotsdepassepeuttenterdecraquerlemotdepassed’unutilisateurenattaquantlecondensénumérique<br />
ouletexterécupérablestockédanslabasededonnéesdemotsdepasseàl’aidede<br />
n’importequelleméthoded’authentification.Rienn’eststockédanslabasededonnéesdemotsdepasseparuneméthoded’authentificationdésactivée,cequilaisse<br />
unevoiedepénétrationdemoinsouverteàunpiratequiauraitaccèsphysiquement<br />
auserveur<strong>Open</strong><strong>Directory</strong>ouàunecopiedesauvegardedecedernier.<br />
Certainscondensésnumériquesstockésdanslabasededonnéesdemotsdepassesont<br />
plusfacilesàcraquerqued’autres.Lesméthodesd’authentificationrécupérablesstockentdutexteenclair(parfaitementlisible).Désactiverlesméthodesd’authentification<br />
quistockentdutexteenclairoudescondensésnumériquesplusfaiblesaugmenteplus<br />
lasécuritédelabasededonnéesdemotsdepassequedésactiverdesméthodesqui<br />
stockentdescondensésnumériquesplusforts.<br />
Sivouspensezquevotremaître,répliquesetsauvegardes<strong>Open</strong><strong>Directory</strong>sontsûres,<br />
sélectionneztouteslesméthodesd’authentification.Sivousvoussouciezdelasécurité<br />
physiqued’unserveur<strong>Open</strong><strong>Directory</strong>oudesessupportsdecopiesdesauvegarde,<br />
vousdevriezdésactivercertainesméthodes.<br />
Remarque:désactiverdesméthodesd’authentificationn’améliorepaslasécurité<br />
desmotsdepassependantqu’ilstransitentparleréseau.Seulelasécuritédelabase<br />
dedonnéesdemotsdepasseestconcernée.Enfait,désactivercertainesméthodes<br />
d’authentificationpeutcontraindrecertainsclientsàconfigurerleurlogicielpourqu’il<br />
envoielesmotsdepasseparleréseausouslaformedetexteenclair,cequirisquede<br />
compromettrelasécuritédesmotsdepassed’uneautrefaçon.<br />
Chapitre3Authentification<strong>Open</strong><strong>Directory</strong> 61
Désactivationdesméthodesd’authentificationdemotsdepasseshadow<br />
Lesméthodesd’authentificationpeuventêtredésactivéesdemanièresélectiveafin<br />
derendreplussûrlestockagedesmotsdepassedansdesfichiersdemotsdepasse<br />
shadow.Parexemple,siunutilisateurn’utilisenileservicedecourrierélectroniqueni<br />
leserviceWeb,vouspouvezdésactiverlesméthodesWebDAV-DigestetAPOPpourcet<br />
utilisateur.Ainsi,toutepersonnequiaccéderaitauxfichiersdemotsdepasseshadow<br />
surunserveurd’unemanièreoud’uneautrenepourraitpasrécupérerlemotdepasse<br />
del’utilisateur.<br />
Important:sivousdésactivezuneméthoded’authentificationdemotsdepasseshadow,soncondensénumériqueestsupprimédufichierdemotsdepassedel’utilisateuràlaprochaineauthentificationdel’utilisateur.Sivousactivezuneméthode<br />
d’authentificationquiétaitdésactivée,lecondensénumériquedelaméthodenouvellementactivéeestajoutéaufichierdemotsdepasseshadowdel’utilisateuràlaprochaineauthentificationdel’utilisateurpourunservicequipeututiliserunmotdepasse<br />
enclaircomme,parexemple,lafenêtred’ouverturedesessionouAFP.D’unautrecôté,<br />
lemotdepassedel’utilisateurpeutêtreréinitialisépourajouterlecondensénumériquedelaméthodenouvellementactivée.Lesutilisateurspeuventréinitialiserleurs<br />
propresmotsdepasseouunadministrateurderépertoirepeutlefairepoureux.<br />
Désactiveruneméthoded’authentificationrendlemotdepasseshadowplussûrsiun<br />
utilisateurmalveillantavaitaccèsphysiquementauxfichiersdemotsdepasseshadow<br />
d’unserveurouàunsupportcontenantunecopiedesauvegardedesfichiersdemots<br />
depasseshadow.Unepersonnequiarriveraitàaccéderauxfichiersdemotsdepasse<br />
peuttenterdecraquerlemotdepassed’unutilisateurenattaquantlecondensé<br />
numériqueouletexterécupérablestockédanslabasededonnéesdemotsdepasse<br />
àl’aideden’importequelleméthoded’authentification.<br />
Rienn’eststocképaruneméthoded’authentificationdésactivée,cequilaisseunevoie<br />
depénétrationdemoinsouverteàunpiratequiauraitaccèsphysiquementaufichier<br />
demotsdepasseshadowouàunecopiedesauvegardedecedernier.<br />
Lescondensésnumériquesstockésparcertainesméthodesd’authentificationsontplus<br />
facilesàcraquerqueceuxd’autresméthodes.Aveclesméthodesd’authentification<br />
récupérables,lemotdepasseenclairoriginalpeutêtrereconstruitàpartirdecequi<br />
eststockédanslefichier.Désactiverlesméthodesd’authentificationquistockent<br />
descondensésnumériquesrécupérablesouplusfaiblesaugmentepluslasécurité<br />
dufichierdemotsdepasseshadowquedésactiverdesméthodesquistockentdes<br />
condensésnumériquesplusforts.<br />
Sivouspensezquelesfichiersmotdepasseshadowetlessauvegardesd’unserveur<br />
sontsûres,sélectionneztouteslesméthodesd’authentification.Sivousvoussouciez<br />
delasécuritéphysiqueduserveuroudesessupportsdesauvegarde,désactivez<br />
lesméthodesquevousn’utilisezpas.<br />
62 Chapitre3Authentification<strong>Open</strong><strong>Directory</strong>
Remarque:désactiverdesméthodesd’authentificationn’améliorepaslasécuritédes<br />
motsdepassependantqu’ilstransitentparleréseau;seulelasécuritédustockagedes<br />
motsdepasseestconcernée.Désactivercertainesméthodesd’authentificationpeut<br />
contraindrecertainsclientsàconfigurerleurlogicielpourqu’ilenvoielesmotsdepasse<br />
parleréseausouslaformedetexteenclair,cequirisquedecompromettrelasécurité<br />
desmotsdepassed’uneautrefaçon.<br />
Contenudelabasededonnéesduserveurdemotsdepasse<br />
<strong>Open</strong><strong>Directory</strong><br />
Leserveurdemotsdepasse<strong>Open</strong><strong>Directory</strong>tientàjourunebasededonnées<br />
d’authentificationdistinctedudomainederépertoirede.<strong>Open</strong><strong>Directory</strong>restreint<br />
trèsfortl’accèsàlabasededonnéesd’authentification.<br />
Leserveurdemotsdepasse<strong>Open</strong><strong>Directory</strong>stockelesinformationssuivantesdanssa<br />
basededonnéesd’authentificationpourchaquecompted’utilisateurpossédantun<br />
motdepassedetype<strong>Open</strong><strong>Directory</strong>.<br />
 L’identifiantdemotdepassedel’utilisateur,unevaleur128bitsattribuéelorsdela<br />
créationdumotdepasse.Ilestégalementenregistrédansl’enregistrementdel’utilisateur,dansledomainederépertoire,etestutilisécommecléd’accèsàl’enregistrement<br />
d’utilisateurdanslabasededonnéesduserveurdemotdepasse<strong>Open</strong><strong>Directory</strong>.<br />
 Lemotdepassestockésousuneformerécupérable(enclair)ousouslaformed’un<br />
condensénumérique(crypté).Laformevarieenfonctiondelaméthoded’authentification.Unmotdepasserécupérableestenregistrépourlesméthodesd’authentificationAPOPetWebDAV.Pourtouteslesautresméthodes,l’enregistrementsefaitsous<br />
laformed’unmotdepassecrypté.Siaucuneméthoded’authentificationexigeant<br />
unmotdepasseenclairn’estactivée,labasededonnéesd’authentificationd’<strong>Open</strong><br />
<strong>Directory</strong>enregistrelesmotsdepassesousformecryptéeuniquement.<br />
 Lenomabrégédel’utilisateur(utilisédanslesmessagesd’historiquesconsultables<br />
dansAdminServeur).<br />
 Desdonnéesdepolitiquedemotdepasse.<br />
 Deshorodatagesetautresinformationssurl’utilisationcomme,parexemple,<br />
l’heuredeladernièreouverturedesession,l’heuredeladernièrevalidationéchouée,<br />
lenombredevalidationséchouéesetdesinformationsderéplication.<br />
AuthentificationparliaisonLDAP<br />
Pourlescomptesd’utilisateurquirésidentdansunrépertoireLDAPsurunserveurnon<br />
<strong>Apple</strong>,<strong>Open</strong><strong>Directory</strong>tented’utiliserl’authentificationparliaisonLDAP.<strong>Open</strong><strong>Directory</strong><br />
envoieauserveurderépertoireLDAPlenometlemotdepassefournisparl’utilisateur<br />
encoursd’authentification.L’authentificationestréussiesileserveurLDAPtrouveun<br />
enregistrementd’utilisateuretunmotdepassecorrespondants.<br />
Chapitre3Authentification<strong>Open</strong><strong>Directory</strong> 63
SileserviceLDAPetlaliaisondel’ordinateurclientàcederniersontconfiguréspour<br />
l’envoidesmotsdepassesurleréseauenclair,ilsepeutquel’authentificationpar<br />
liaisonLDAPnesoitpassûre.<br />
<strong>Open</strong><strong>Directory</strong>tented’utiliseruneméthoded’authentificationsûreaveclerépertoire<br />
LDAP.SilerépertoireneprendpasenchargelaliaisonLDAPsécuriséeetsilaconnexionLDAPv3duclientautorisel’envoid’unmotdepasseenclair,<strong>Open</strong><strong>Directory</strong><br />
serabatsurlaliaisonLDAPsimple.<br />
Pourempêcherl’authentificationpardutexteenclair,assurez-vousquevosserveurs<br />
LDAPn’acceptentpaslesmotsdepasseenclair.<br />
Danscecas,vouspouvezsécurisercetteauthentificationenconfigurantunaccèsau<br />
répertoireLDAPàl’aideduprotocoleSSL(SecureSocketsLayer).SSLsécurisel’accès<br />
encryptanttouteslescommunicationsaveclerépertoireLDAP.Pourensavoirplus,<br />
consultezlesrubriques«Modificationdelapolitiquedesécuritépouruneconnexion<br />
LDAP»àlapage171et«Modificationdesréglagesdeconnexiond’unrépertoire<br />
LDAPȈlapage170.<br />
64 Chapitre3Authentification<strong>Open</strong><strong>Directory</strong>
4 Outilsdeplanificationet<br />
degestion<strong>Open</strong><strong>Directory</strong><br />
4<br />
Cechapitrefournitdesindicationsgénéralespourlaplanificationdesservices<strong>Open</strong><strong>Directory</strong>etdécritlesoutilsnécessaires<br />
pourlesgérer.Toutcommel’installationélectriqueoules<br />
canalisationsd’unbâtiment,lesservicesderépertoired’un<br />
réseaudoiventêtreplanifiésàl’avanceplutôtqu’improvisés<br />
augrédescirconstances.<br />
Lestockaged’informationsdansdesdomainesderépertoirepartagésaméliorelecontrôle<br />
duréseau,permetàunnombreplusimportantd’utilisateursd’accéderauxinformations<br />
etsimplifielagestiondesinformations.Leniveaudecontrôleetdeconvivialitédépend<br />
toutefoisdel’effortquevousconsacrezàlaplanificationdevosdomainespartagés.<br />
L’objectifdelaplanificationd’undomainederépertoireestdeconcevoirladisposition<br />
dedomainespartagéslaplussimplequifournitàvosutilisateurs<strong>Mac</strong><strong>OS</strong>Xunaccès<br />
aiséauxressourcesréseaudontilsontbesoinetquiminimiseletempsconsacréà<br />
lagestiondesenregistrementsd’utilisateursetd’autresdonnéesadministratives.<br />
65
Directivesgénéralesdeplanification<br />
Sivousnepartagezpard’informationssurlesutilisateursetlesressourcesentreplusieursordinateurs<strong>Mac</strong><strong>OS</strong>X,laplanificationdedomainesderépertoireesttrèsréduite<br />
cartoutestaccessibleàpartird’undomainederépertoirelocal.<br />
Assurez-voussimplementquetouteslespersonnesquidoiventutiliseruncertain<br />
ordinateur<strong>Mac</strong><strong>OS</strong>Xdisposentdecomptesd’utilisateursurcedernier.Cescomptes<br />
d’utilisateurrésidentdansledomainederépertoirelocal,surl’ordinateur.<br />
Deplus,toutepersonnequiabesoind’utiliserleservicedefichiers,leservicedecourrieroutoutautreservicequirequiertuneauthentificationde<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>,doit<br />
disposerd’uncompted’utilisateurdansledomainederépertoirelocalduserveur.<br />
Delasorte,chaqueutilisateuradeuxcomptes:l’unpourouvrirunesessionsurun<br />
ordinateuretl’autrepouraccéderàdesservicesde<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>,commeillustré<br />
ci-dessous.L’utilisateurouvreunesessiondansledomainederépertoirelocaldel’ordinateur<strong>Mac</strong><strong>OS</strong>Xpuisutiliseunautrecomptepourouvrirunesessiondansledomaine<br />
derépertoirelocalduserveurdesservicesdefichiers.<br />
Ouverture<br />
de session<br />
<strong>Mac</strong> <strong>OS</strong> X<br />
Domaine de<br />
répertoire local<br />
Connexion à <strong>Mac</strong> <strong>OS</strong> X <strong>Server</strong><br />
pour le service de fichiers<br />
Domaine de<br />
répertoire local<br />
Pourpartagerdesinformationsentredesordinateursetdesserveurs<strong>Mac</strong><strong>OS</strong>X,<br />
vousdevezconfigureraumoinsundomainederépertoirepartagé.Delasorte,chaque<br />
utilisateurn’abesoinqued’unseulcomptedansledomainederépertoirepartagé.<br />
Aveccecompteunique,l’utilisateurpeutouvrirunesession<strong>Mac</strong><strong>OS</strong>Xsurtoutordinateurconfigurépouraccéderaudomainederépertoirepartagé.L’utilisateurpeutaussi<br />
utiliserlemêmecomptepouraccéderàdesservicesdetout<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>configurépouraccéderaudomainederépertoirepartagé.<br />
66 Chapitre4Outilsdeplanificationetdegestion<strong>Open</strong><strong>Directory</strong>
Domaine de<br />
répertoire<br />
partagé<br />
Ouverture<br />
de session<br />
<strong>Mac</strong> <strong>OS</strong> X<br />
Domaine de<br />
répertoire local<br />
Connexion à <strong>Mac</strong> <strong>OS</strong> X <strong>Server</strong><br />
pour le service de fichiers<br />
Domaine de<br />
répertoire local<br />
L’illustrationquisuitmontreuneconfigurationavecundomainederépertoirepartagé<br />
L’illustrationmontreunutilisateurouvrantunesessionsurunordinateur<strong>Mac</strong><strong>OS</strong>Xà<br />
l’aided’uncomptededomainederépertoirepartagé.Lecomptededomainederépertoirepartagéestensuiteaussiutilisépouraccéderàunservicedefichiers.Lorsquel’utilisateurtented’accéderauservicedefichiers,leserveurdeservicesdefichiersaccède<br />
audomainederépertoirepartagépourvérifierlecompted’utilisateur.Commetant<br />
l’ordinateurdel’utilisateurquel’ordinateurdesservicesdefichierssontconnectésau<br />
domainederépertoirepartagé,lecompted’utilisateurdansledomainederépertoire<br />
partagéestutilisépouraccéderàlafoisàl’ordinateuretauxservicessansdevoirutiliseruncomptelocalsurchacundesordinateurs.<br />
Dansdenombreusesorganisations,undomainederépertoirepartagéuniqueconvientparfaitement.Ilpeutgérerdescentainesdemilliersd’utilisateursetdesmilliers<br />
d’ordinateursquipartagentlesmêmesressources,comme,parexemple,lesmêmes<br />
filesd’attented’impression,pointsdepartagepourrépertoiresdedépart,pointsde<br />
partagepourapplicationsetpointsdepartagepourdocuments.<br />
Laréplicationdudomainederépertoirepartagépeutaugmenterlescapacitésou<br />
lesperformancedusystèmederépertoireenconfigurantplusieursserveursdefaçon<br />
àcequ’ilstraitentlachargedusystèmederépertoirepourleréseau.<br />
Chapitre4Outilsdeplanificationetdegestion<strong>Open</strong><strong>Directory</strong> 67
Pourlesorganisationsplusgrandesetpluscomplexes,ilpeutêtreutiledemettre<br />
enplacedesdomainesderépertoirepartagéssupplémentaires.L’illustrationquisuit<br />
montrecommentunetelleorganisationpourraitorganisersesdomainesderépertoire.<br />
Domaine de<br />
répertoire<br />
local<br />
Domaine de<br />
répertoire<br />
partagé<br />
<strong>Mac</strong> <strong>OS</strong> X <strong>Server</strong><br />
Serveur Windows<br />
Domaine<br />
Active<br />
<strong>Directory</strong><br />
Domaine de<br />
répertoire<br />
local<br />
Utilisateur <strong>Mac</strong> <strong>OS</strong> X<br />
Utilisateur Windows<br />
Sivotreorganisationestgrandeetsivoulezaugmenterlesperformancesetlacapacité<br />
devotredomainederépertoireréseau,vouspouvezajouterplusieursdomainesde<br />
répertoireàvotreréseau.Deplus,utiliserplusieursdomainesderépertoirepermetde<br />
répartirlachargedevotredomainederépertoired’entreprise.<br />
Ilyaplusieursméthodespourconfigurerplusieursdomainesderépertoire.Enanalysantlatopologiedevotreréseau,vouspouvezdéterminerlaméthodequiconvient<br />
lemieuxàvotreréseau.Voicidesconfigurationsfacultativesdeplusieursdomaines<br />
derépertoire:<br />
 <strong>Open</strong><strong>Directory</strong>avecundomainepréexistant.Vouspouvezconfigurerunserveur<br />
<strong>Open</strong><strong>Directory</strong><strong>Mac</strong><strong>OS</strong>Xsurunréseauquidisposed’undomainederépertoire<br />
préexistantcomme,parexemple,undomaineActive<strong>Directory</strong>ou<strong>Open</strong><strong>Directory</strong>.<br />
Parexemple,sivotreorganisationdisposed’unserveurActive<strong>Directory</strong>préexistant<br />
quiprendenchargelesordinateursclientsWindowset<strong>Mac</strong><strong>OS</strong>X,vouspouvezajouterunserveur<strong>Open</strong><strong>Directory</strong><strong>Mac</strong><strong>OS</strong>Xpourmieuxprendreenchargevosutilisateurs<strong>Mac</strong>.Lesdeuxserveurspeuventcoexistersurlemêmeréseauetfournirdes<br />
domainesderépertoireredondantspourlesclientsWindowsetlesclients<strong>Mac</strong><strong>OS</strong>X.<br />
Vouspouvezaussiconfigurerleserveur<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>defaçonàcequ’ilprenne<br />
enchargel’autorisationinter-domainesencasd’existenced’unroyaumeKerberos.<br />
Sivousavezconfigurévotreserveur<strong>Mac</strong><strong>OS</strong>Xaveclaconfigurationdegroupedetravail,vouspouvezaisémentl’ajouteràvotredomainederépertoirepréexistant.Àl’aide<br />
delaconfigurationdegroupedetravailde<strong>Mac</strong><strong>OS</strong>X,vouspouvezaisémentimporter<br />
desutilisateursdevotredomainederépertoirepréexistantdansvotreserveurde<br />
groupedetravail.Cesutilisateursimportéssontappelésdesutilisateursajoutés.<br />
68 Chapitre4Outilsdeplanificationetdegestion<strong>Open</strong><strong>Directory</strong>
Pourensavoirplussurlesutilisateursajoutésetlaconfigurationsstandardoude<br />
groupedetravaild’unserveur<strong>Mac</strong><strong>OS</strong>X,consultezPremierscontactsetGestiondes<br />
utilisateurs.<br />
 Serveurmaître<strong>Open</strong><strong>Directory</strong>avecrépliques.Vouspouvezaussicréerunserveurmaître<strong>Open</strong><strong>Directory</strong><strong>Mac</strong><strong>OS</strong>Xavecdesrépliques.Lesserveursrépliquéscontiennent<br />
unecopiedudomainederépertoiredumaître<strong>Open</strong><strong>Directory</strong>pourlarépartition<br />
delachargeetlaredondance.<br />
 Votreorganisationpourrait,parexemple,disposerd’unmaître<strong>Open</strong><strong>Directory</strong><br />
ausiègesocialetplacerdesrépliquesdeceserveurdanschacunedesfiliales.<br />
Celapermetauxutilisateursdessitesdistantsdenepassubirderetardslorsdes<br />
ouverturesdesession.<br />
 Réplicationencascade.Vouspouvezaussiutiliserleréplicationencascade,dans<br />
laquellelesrépliquesd’unmaître<strong>Open</strong><strong>Directory</strong>ontdesrépliquesàleurtour.<br />
Lorsqu’unerépliqueestunmembredirectdumaître<strong>Open</strong><strong>Directory</strong>etasespropres<br />
répliques,onparlederelais.<br />
Parexemple,sivotreorganisationdisposede32répliquesetvousdevezajouterd’autres<br />
réplique,vouspouvezréorganiserlatopologieduréseauafinquelesrépliquesdeviennentdesrelaisenajoutantdesrépliquesauxrépliques(ourelais).<br />
Laréplicationencascadepermetderépartirlachargedumaître<strong>Open</strong><strong>Directory</strong>en<br />
réduisantlenombrederépliquesquecedernierdoitgérerdirectement.<br />
Évaluationdesbesoinsenmatièrederépertoireset<br />
d’authentification<br />
Outrelemodederépartitiondesdifférentesdonnéesderépertoiresentrelesdifférentsdomaines,vousdevezégalementtenircomptedescapacitésdechaquedomaine<br />
derépertoire.Latailledevotredomainederépertoiredépenddevosbesoinsen<br />
matièrederéseau.<br />
Parmicesfacteurs,onpeutciterlesperformancesdelabasededonnéesquistockeles<br />
informationsderépertoire.LedomainederépertoireLDAPde<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>utilise<br />
labasededonnéesBerkeleyDB,quiresteperformanteavec200000enregistrements.<br />
Unserveurhébergeantundomainederépertoiredecettetailledoitdisposerd’un<br />
espacedisquesuffisantpourstockertouslesenregistrements.<br />
Lenombredeconnexionsqu’unservicederépertoirepeutgérerestplusdifficileà<br />
évaluercarlesconnexionsdesservicesderépertoiressurviennentdansuncontexte<br />
quienglobelesconnexionsdel’ensembledesservicesfournisparceserveur.Sous<br />
<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>,unserveurdédiéà<strong>Open</strong><strong>Directory</strong>peutaccepteraumaximum<br />
1000connexionsd’ordinateursclientssimultanées.<br />
Chapitre4Outilsdeplanificationetdegestion<strong>Open</strong><strong>Directory</strong> 69
Leserveur<strong>Open</strong><strong>Directory</strong>peutfournirdesservicesLDAPetd’authentificationàplus<br />
d’ordinateursclients,parcequetouslesordinateurn’ontpasbesoindecesservices<br />
enmêmetemps.ChaqueordinateurclientseconnecteaurépertoireLDAPpendant<br />
uneduréemaximumdedeuxminutesetlesconnexionsauserveurdemotsdepasse<br />
<strong>Open</strong><strong>Directory</strong>sontencoreplusbrèves.<br />
Ilpeutnéanmoinss’avérerdifficiled’évaluerleurnombre,autrementditlepourcentage<br />
d’ordinateursclientsseconnectantaumêmemoment.<br />
Parexemple,lesordinateursutiliséàlongueurdejournéeparunemêmepersonnequi<br />
travaillesurdesfichiersd’imagesn’auraquerarementbesoindesservices<strong>Open</strong><strong>Directory</strong>.<br />
Enrevanche,lesnombreuxutilisateursd’unordinateursituédansunlaboratoire<br />
ouvrentetfermentdessessionstoutaulongdelajournée,chacund’entreeuxutilisantdifférentsréglagesdepréférencesdeclientgéré.Untelordinateurreprésente<br />
unechargerelativementlourdepourlesservices<strong>Open</strong><strong>Directory</strong>.<br />
Engénéral,l’utilisationd’<strong>Open</strong><strong>Directory</strong>estproportionnelleaunombred’ouvertures<br />
etdefermeturesdesessions.Cesactivitéssonthabituellementmajoritairesdans<br />
lesservicesderépertoiresetd’authentificationden’importequelsystème.<br />
Pluslesutilisateursouvrentetfermentdessessions,moinsleserveur<strong>Open</strong><strong>Directory</strong><br />
(outoutautreserveurderépertoiresetd’authentification)pourragérerd’ordinateurs<br />
clients.Silesouverturesetfermeturesdesessionssonttrèsfréquentes,vousdevrez<br />
ajouterdesserveurs<strong>Open</strong><strong>Directory</strong>.Enrevanche,silessessionsdetravailsontplus<br />
longuesetquelesouverturesdesessionsontplusrares,vouspourrezvouscontenter<br />
d’unpluspetitnombredeserveurs<strong>Open</strong><strong>Directory</strong>.<br />
Identificationdeserveurspourl’hébergementdedomaines<br />
partagés<br />
Sivousavezbesoindeplusd’undomainepartagé,identifiezlesserveurssurlesquels<br />
lesdomainespartagésdoiventrésider.Lesdomainespartagésconcernentdenombreuxutilisateurs,ilestdoncconseillédelesplacersurdesordinateurs<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong><br />
présentantlescaractéristiquessuivantes:<br />
 Accèsphysiquelimité<br />
 Accèsréseaulimité<br />
 Technologiespourlahautedisponibilité,comme,parexemple,lessystèmes<br />
d’alimentationssanscoupure<br />
Sélectionnezdesordinateursquineserontpasfréquemmentremplacésetquisont<br />
dotésdescapacitésadéquatespouraccueillirunnombrecroissantdedomainesde<br />
répertoire.Bienqu’ilsoitpossiblededéplacerundomainepartagéaprèssaconfiguration,vousdevrezpeut-êtrereconfigurerlespolitiquesderecherchedesordinateurs<br />
quiseconnectentàcedomainepartagéafinquelesutilisateurspuissentcontinuer<br />
àyouvrirdessessions.<br />
70 Chapitre4Outilsdeplanificationetdegestion<strong>Open</strong><strong>Directory</strong>
Duplicationdeservices<strong>Open</strong><strong>Directory</strong><br />
<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>gèreladuplicationduservicederépertoireLDAP,duserveurdemots<br />
depasse<strong>Open</strong><strong>Directory</strong>etducentrededistributiondeclésKerberos.<br />
Laduplicationdevosservicesderépertoiresetd’authentificationvouspermet:<br />
 Derapprocherlesinformationsderépertoiresd’ungrouped’utilisateursauseind’un<br />
réseaudistribuégéographiquement,cequiaméliorelesperformancesdesservices<br />
derépertoiresetd’authentificationpourcesutilisateurs.<br />
 D’obtenirlaredondancedesservices,afinquelesutilisateursnesoientquetrèspeu<br />
affectésencasdedéfaillanceoud’inaccessibilitéd’unsystèmederépertoire.<br />
L’undesserveursdisposed’unecopieprincipaledudomainederépertoireLDAPpartagé,duserveurdemotsdepasse<strong>Open</strong><strong>Directory</strong>etducentrededistributiondeclés<br />
Kerberos.Onappelleceserveurunmaître<strong>Open</strong><strong>Directory</strong>.Chaqueréplique<strong>Open</strong><strong>Directory</strong>constitueunserveurdistinctcontenantunecopiedurépertoireLDAPmaître,du<br />
serveurdemotsdepasse<strong>Open</strong><strong>Directory</strong>etducentrededistributiondeclésKerberos.<br />
Unserveur<strong>Open</strong><strong>Directory</strong><strong>Mac</strong><strong>OS</strong>Xpeutavoirjusqu’à32répliques.Chaqueréplique<br />
peutavoiràsontour32répliques,cequidonnedéjà1056répliquesdansunehiérarchieàdeuxniveaux.<br />
L’accèsaurépertoireLDAPsurunerépliques’effectueenlectureseule.Lesmodificationsdesenregistrementsd’utilisateuretàd’autresinformationsdurépertoireLDAP<br />
nepeuventêtreapportéesquesurlemaître<strong>Open</strong><strong>Directory</strong>.<br />
Lemaître<strong>Open</strong><strong>Directory</strong>répercuteautomatiquementsursesrépliqueslorsquedes<br />
modificationsontétéapportéesaurépertoireLDAP.Lemaîtrepeutmettredesrépliquesàjoursoitdèsqu’unemodificationsurvient,soitàintervallesréguliers.L’option<br />
desintervallesdetempsprogrammésestlameilleuresilesrépliquessontconnectées<br />
aumaîtreparl’intermédiaired’unréseauàfaibledébit.<br />
Lesmotsdepasseetlespolitiquesdemotsdepassepeuventêtremodifiéssurn’importe<br />
quelleréplique.Silemotdepasseoulapolitiquedemotdepassed’unutilisateurest<br />
modifiésurplusieursrépliques,c’estlamodificationlaplusrécentequiprévaut.<br />
Lamiseàjourdesrépliquesdépenddelasynchronisationdeshorlogesdumaîtreet<br />
detouteslesrépliques.Silesrépliquesetlemaîtreontdesheuresdifférentes,lamiseà<br />
jourpeutêtrearbitraire.Lesinformationsdedate,d’heureetdefuseauhorairedoivent<br />
êtrecorrectessurlemaîtreetlesrépliquesetellesdoivent,sipossible,utiliserlemême<br />
serviced’horlogeréseaupourdemeurersynchronisées.<br />
Évitezden’avoirqu’uneseulerépliqueàunedesdeuxextrémitésd’unlienréseaulent.<br />
Siunerépliqueestséparéedetouteslesautresrépliquesparunlienréseaulentetsi<br />
cetterépliquetombeenpanne,lesclientsdelarépliquevontbasculerversunerépliquequisetrouveàl’autreextrémitédulienréseaulent.Lesservicesderépertoire<br />
pourraients’entrouvernettementralentis.<br />
Chapitre4Outilsdeplanificationetdegestion<strong>Open</strong><strong>Directory</strong> 71
Sivotreréseaucontientunmélangedeversions10.4etdeversions10.5de<strong>Mac</strong><strong>OS</strong>X<br />
<strong>Server</strong>,sachezqu’uneversionnepeutpasêtrelarépliqued’unmaîtredel’autreversion.Unmaître<strong>Open</strong><strong>Directory</strong>enversion10.5neserapasrépliquéenversion10.4et<br />
unmaître<strong>Open</strong><strong>Directory</strong>enversion10.4neserapasrépliquéenversion10.5:<br />
Versiondelaréplique<br />
Répliquesous<br />
<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>10.5<br />
Répliquesous<br />
<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>10.4<br />
Maîtresous<br />
<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>10.5<br />
Oui<br />
Non<br />
Maîtresous<br />
<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>10.4<br />
Non<br />
Oui<br />
Ensemblederépliques<br />
Unensemblederépliquesestuneconfigurationautomatiquequinécessitequetous<br />
lesservicesqu’<strong>Open</strong><strong>Directory</strong>gère(LDAP,serveurdemotsdepasseetKerberos)<br />
recherchentetutilisentlemêmeserveurrépliqué.Celapermetdes’assurerqueles<br />
ordinateursclientschoisissentlemêmeserveurrépliquélorsdel’utilisationdeservices<br />
<strong>Open</strong><strong>Directory</strong>etd’empêcherlesouverturesdesessionlentes.<br />
Réplicationencascade<br />
<strong>Mac</strong><strong>OS</strong>X10.4utiliseunmodèleenétoilepourlaréplicationdesserveursmaître<br />
<strong>Open</strong><strong>Directory</strong>.Chaquemaître<strong>Open</strong><strong>Directory</strong>doitmaintenirunenregistrement<br />
detransactionpourchacundesserveursrépliqués.<br />
L’illustrationquisuitmontrelemodèleenétoileutilisépourlaréplicationdans<br />
<strong>Mac</strong><strong>OS</strong>X10.4.<br />
Réplique<br />
Réplique<br />
Maître<br />
<strong>Open</strong> <strong>Directory</strong><br />
Réplique<br />
Réplique<br />
Réplique<br />
Réplique<br />
Deplus,iln’yavaitaucunelimitequantaunombredeserveursrépliquésqu’unmaître<br />
<strong>Open</strong><strong>Directory</strong>pouvaitgérer.<br />
72 Chapitre4Outilsdeplanificationetdegestion<strong>Open</strong><strong>Directory</strong>
Siunmaître<strong>Open</strong><strong>Directory</strong>avait1000répliquesàgérer,ilpouvaitavoirdesproblèmes<br />
deperformancessil’oncontinuaitàajouterdesrépliques.Onpeutcomparercettesituationàcelled’uncadredevantgérer1000salariés,cequiestunesituationingérable.<br />
<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>10.5utiliselaréplicationencascadepouraméliorerl’extensibilitéet<br />
résoudrelesproblèmesdeperformancesquisurvenaitavecl’ancienmodèleenétoile<br />
pourlaréplication.L’utilisationdelaréplicationencascadepermetdelimiterlenombredeserveursrépliquéspouvantêtreprisenchargeparunseuletmêmeserveur<br />
maître<strong>Open</strong><strong>Directory</strong>.<br />
Unseuletmêmeserveurmaître<strong>Open</strong><strong>Directory</strong>peutavoirjusqu’à32répliqueset<br />
chacunedecesrépliquespeutavoiràsontourjusqu’à32répliques,cequidonne<br />
1056répliquesd’unseuletmêmeserveurmaître<strong>Open</strong><strong>Directory</strong>.<br />
Celacréeunehiérarchieàdeuxniveauxdesserveursrépliqués.Lepremierniveaude<br />
répliques,lesmembresdirectsdumaître<strong>Open</strong><strong>Directory</strong>,sontappelésdesrelaiss’ilont<br />
àleurtourdesrépliques,parcequ’ilsrelaientlesdonnéesverslesecondniveaude<br />
répliques.<br />
Deplus,danslecasdelaréplicationencascade,iln’estpasnécessairequeleserveur<br />
maître<strong>Open</strong><strong>Directory</strong>maintienneunenregistrementdetransactionpourchaqueserveurrépliqué.Leserveurmaîtrenegèrequemaximum32enregistrementsdetransactionderépliques,cequiaméliorelesperformances.<br />
L’illustrationquisuitmontrelahiérarchieàdeuxniveauxdumodèledelaréplication<br />
encascade.<br />
Maître<br />
<strong>Open</strong> <strong>Directory</strong><br />
Relais<br />
(réplique)<br />
Relais<br />
(réplique)<br />
Relais<br />
(réplique)<br />
Relais<br />
(réplique)<br />
Réplique<br />
Réplique<br />
Réplique<br />
Réplique<br />
Réplique<br />
Réplique<br />
Réplique<br />
Réplique<br />
Chapitre4Outilsdeplanificationetdegestion<strong>Open</strong><strong>Directory</strong> 73
Planificationdelamiseàniveaudeplusieursrépliques<strong>Open</strong><strong>Directory</strong><br />
Sivotremaître<strong>Open</strong><strong>Directory</strong>gèreplusde32répliques,votreorganisationdoit<br />
passeràlaréplicationencascade.Lemodèledelaréplicationencascadeaméliorera<br />
lesperformancesdevotreserveur<strong>Open</strong><strong>Directory</strong>.<br />
Lorsquevousplanifiezlamigration,pensezàl’emplacementdevosserveursrépliqués<br />
etàlatopologiedevotreréseaupourdéterminerlameilleuremanièrederéorganiser<br />
vosrépliquesdansunestructurehiérarchique.<br />
Parexemple,ilfautéviterd’avoirunmaître<strong>Open</strong><strong>Directory</strong>situésurlacôteOuestdes<br />
États-UnisquiserépliquesurunerépliquesituéesurlacôteEst.<br />
Remarque:sivotremaître<strong>Open</strong><strong>Directory</strong>amoinsde32répliques,lamigrationn’est<br />
pasnécessaire.<br />
Répartitiondelachargedanslespetits,moyensetgrands<br />
environnements<br />
N’utilisezpasdelogicielderépartitiondelachargedeservicesdetiersavecdes<br />
serveurs<strong>Open</strong><strong>Directory</strong>.<br />
Unlogicielderépartitiondelachargepeutprovoquerdesproblèmesimprévisibles<br />
pourlesordinateurs<strong>Open</strong><strong>Directory</strong>.Ilpourrait,parexemple,interféreraveclarépartitiondelachargeetlecomportementenmatièredebasculementautomatiques<br />
d’<strong>Open</strong><strong>Directory</strong>dans<strong>Mac</strong><strong>OS</strong>Xet<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>.<br />
Lesordinateurs<strong>Mac</strong><strong>OS</strong>Xrecherchentleserveur<strong>Open</strong><strong>Directory</strong>disponibleleplusproche,qu’ils’agissedumaîtreoud’uneréplique.Lemaîtreoularéplique<strong>Open</strong><strong>Directory</strong><br />
leplusproched’unordinateurestceluiquirépondleplusrapidementàlademande<br />
deconnexion<strong>Open</strong><strong>Directory</strong>del’ordinateur.<br />
Réplicationdansuncampuscomprenantplusieursbâtiments<br />
Quandunréseaus’étendsurplusieursbâtiments,lesconnexionsentrebâtiments<br />
peuvents’avérerpluslentesquelesconnexionsauseindesdifférentsbâtiments.<br />
Ilpeutarriverégalementquelesconnexionsentrebâtimentssoientsaturées.<br />
Cessituationspeuventnuireauxperformancesdesordinateursquibénéficientde<br />
services<strong>Open</strong><strong>Directory</strong>provenantd’unserveursituédansunautrebâtiment.Parconséquent,ilestrecommandéd’installeruneréplique<strong>Open</strong><strong>Directory</strong>danschaquebâtiment.<br />
Selonvosbesoins,ilpeutmêmes’avérerintéressantd’installeruneréplique<strong>Open</strong><br />
<strong>Directory</strong>àchacundesétagesd’unbâtimentquiencompteplusieurs.Chaquerépliqueoffreainsidesservicesderépertoiresetd’authentificationefficacesauxordinateursclientssituésàproximité.Lesordinateursn’ontplusbesoind’établirdeconnexion<br />
avecunserveur<strong>Open</strong><strong>Directory</strong>vialalignepluslentequirelielesbâtimentsentreeux.<br />
74 Chapitre4Outilsdeplanificationetdegestion<strong>Open</strong><strong>Directory</strong>
Lefaitd’avoirplusderépliquesprésenteundésavantage.Lesrépliquescommuniquent<br />
entreellesetaveclemaîtrevialeréseau.Cescommunicationsreprésententunecharge<br />
pourleréseau,quiaugmenteenproportiondunombrederépliques.L’ajoutd’untrop<br />
grandnombrederépliquespeutaccroîtreletraficentrebâtiments(dufaitdesmisesà<br />
jourderépliques)plusqu’ilneréduitlescommunicationsclientes<strong>Open</strong><strong>Directory</strong>.<br />
Lorsquevousdécidezdunombrederépliquesàdéployer,pensezàl’intensitédel’utilisationdesservices<strong>Open</strong><strong>Directory</strong>parlesordinateurs.Silesordinateursn’ontque<br />
relativementpeurecoursauxservices<strong>Open</strong><strong>Directory</strong>etquevosbâtimentssont<br />
reliésentreeuxpardesconnexionsrapides(Ethernetà100Mbits/s,parexemple),<br />
vousn’avezsansdoutepasbesoind’installerunerépliquedanschaquebâtiment.<br />
Vouspouvezréduirelachargedescommunicationsentrerépliquesetmaître<strong>Open</strong><br />
<strong>Directory</strong>enprogrammantlafréquencedemiseàjourdesrépliquesparlemaître<br />
<strong>Open</strong><strong>Directory</strong>.Ainsi,iln’estpeut-êtrepasnécessairequelesrépliquessoientmises<br />
àjouràchaquemodificationapportéeaumaître.Opterpourunefréquencedemise<br />
àjourmoinsélevée,améliorelesperformancesduréseau.<br />
Utilisationd’unmaître,d’unerépliqueoud’unrelais<strong>Open</strong><strong>Directory</strong><br />
avecNAT<br />
Sivotreréseaudisposed’unserveur<strong>Open</strong><strong>Directory</strong>ducôtéduréseauprivéd’unrouteur(oud’unepasserelle)detraductiond’adressesréseau(NAT),ycomprislerouteur<br />
NATde<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>,seulslesordinateursquisetrouventducôtéduréseauprivé<br />
durouteurNATpeuventseconnecteraudomainederépertoireLDAPduserveur<br />
<strong>Open</strong><strong>Directory</strong>.<br />
LesordinateursquisetrouventducôtéduréseaupublicdurouteurNATnepeuvent<br />
passeconnecteraudomainederépertoireLDAPd’unmaîtreoud’uneréplique<br />
<strong>Open</strong><strong>Directory</strong>quisetrouveducôtéduréseauprivé.<br />
Siunserveur<strong>Open</strong><strong>Directory</strong>setrouveducôtépublicduréseaud’unrouteurNAT,<br />
tantlesordinateursquisetrouventducôtéduréseauprivéquelesordinateursquise<br />
trouventducôtéduréseaupublicdurouteurNATpeuventseconnecteraurépertoire<br />
LDAPduserveur<strong>Open</strong><strong>Directory</strong>.<br />
Sivotreréseauprendenchargelesclientsmobilecomme,parexemple,les<strong>Mac</strong>Book<br />
quivontsedéplacerentreleréseaulocalprivédevotrepasserelleNATetInternet,vous<br />
devezconfigurerleserviceVPNpourlesutilisateursmobilesafinquecesdernierspuissentutiliserunVPNpourseconnecterauréseauprivéetaudomaine<strong>Open</strong><strong>Directory</strong>.<br />
Chapitre4Outilsdeplanificationetdegestion<strong>Open</strong><strong>Directory</strong> 75
Compatibilitéentremaîtreetrépliques<strong>Open</strong><strong>Directory</strong><br />
Lemaître<strong>Open</strong><strong>Directory</strong>etsesrépliquesdoiventutiliserlamêmeversionde<br />
<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>.Deplus:<br />
 Unmaître<strong>Open</strong><strong>Directory</strong>sous<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>10.5nepeutpasserépliquervers<br />
<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>10.4.<br />
 <strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>10.5nepeutpasêtreunerépliqued’unmaître<strong>Open</strong><strong>Directory</strong>sous<br />
<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>10.4.<br />
 Unmaître<strong>Open</strong><strong>Directory</strong>sous<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>10.5nepeutpasserépliquervers<br />
uneréplique<strong>Open</strong><strong>Directory</strong>sous<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>10.5.<br />
Sivousdisposezd’unmaîtreetderépliques<strong>Open</strong><strong>Directory</strong>quiutilisent<br />
<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>10.4,vousdevezlesmettreàniveauà10.5ensemble.Mettez<br />
d’abordàniveaulemaître,puismettezàniveaulesrépliques.Lesclientsdumaîtreet<br />
lesrépliquescontinuerontàrecevoirdesservicesderépertoireetd’authentification<br />
pendantlamiseàniveau.<br />
Pendantlamiseàniveaudumaître,sesclientsbasculerontautomatiquement<br />
verslarépliquelaplusproche.Pendantlamiseàniveaudesdifférentesrépliques,<br />
lesclientsbasculerontverslemaîtremisàniveau.<br />
Lamiseàniveaud’unmaître<strong>Open</strong><strong>Directory</strong>àpartirde<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>10.4à10.5<br />
rompralesliaisonsaveclesrépliquesexistantes.Aprèslamiseàniveaud’uneréplique<br />
<strong>Open</strong><strong>Directory</strong>à<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>10.5,celle-ciseraunserveurderépertoireautonome;<br />
vousdevrezlaretransformerànouveauenréplique.<br />
Pourensavoirplussurlamiseàniveauà<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>10.5,consultezMiseàniveau<br />
etmigration.<br />
MélangedeservicesdemaîtresetrépliquesActive<strong>Directory</strong><br />
et<strong>Open</strong><strong>Directory</strong><br />
Ilyadesconsidérationsspécialeslorsdel’introductiondeserveur<strong>Open</strong><strong>Directory</strong>dans<br />
unenvironnementActive<strong>Directory</strong>.Sivousneprenezpascertainesprécautions,vous<br />
obtiendrezdesrésultatsmitigésenmatièred’expérienceclientetdefonctionnalités<br />
serveur.<br />
Deplus,évitezdemélangerlaliaisonderépertoireauthentifiéeetActive<strong>Directory</strong>sur<br />
lemêmeclientouserveur.LaliaisonauthentifiéeutiliseKerberostoutcommeActive<br />
<strong>Directory</strong>lefait.Utiliserlesdeuxprovoquerauncomportementimprévuoulenonfonctionnementdesservicesd’authentificationàmoinsquevousnepreniezlesprécautionsdétailléesci-dessous.<br />
76 Chapitre4Outilsdeplanificationetdegestion<strong>Open</strong><strong>Directory</strong>
Lorsquel’onmélange<strong>Open</strong><strong>Directory</strong>etActive<strong>Directory</strong>,l’onnepeututiliserlesinformationsd’authentificationKerberosd’unoul’autresystèmepourlasignatureunique.<br />
VousnepouvezpasavoirdesutilisateursdansActive<strong>Directory</strong>etdans<strong>Open</strong><strong>Directory</strong><br />
etutiliserlesdeuxinformationsd’authentificationKerberospourlasignatureuniquesur<br />
unserveurquiestkerbérisépourunserveurparticulier.End’autresmots,vousnepouvezpasouvrirunesessionàl’aided’uncompteActive<strong>Directory</strong>etespérerutiliserla<br />
signatureuniqueavecunserveurquifaitpartieduroyaumeKerberos<strong>Open</strong><strong>Directory</strong>.<br />
Kerberosestutilisédansl’environnementActive<strong>Directory</strong>etdansl’environnement<br />
<strong>Open</strong><strong>Directory</strong>.Kerberosfaitcertainessuppositionsausujetdeladéterminationdu<br />
royaumed’unserveurparticulierlorsquedesticketsKerberosdoiventêtreutilisés.<br />
Voiciunexempledemélanged’unroyaumeKerberosActive<strong>Directory</strong>avecun<br />
royaumeKerberosmaître<strong>Open</strong><strong>Directory</strong>:<br />
 DomaineActive<strong>Directory</strong>=entreprise.com<br />
 RoyaumeKerberosActive<strong>Directory</strong>=ENTREPRISE.COM<br />
 Maîtreduserveur<strong>Open</strong><strong>Directory</strong>=serveur1.entreprise.com<br />
 RoyaumeKerberos<strong>Open</strong><strong>Directory</strong>=SERVEUR1.ENTREPRISE.COM<br />
LorsqueKerberostented’obtenirunTGSpourl’utilisationdeLDAPauprèsde<br />
serveur1.entreprise.com,ildemande«ldap/serveur1.entreprise.com@ENTREPRISE.COM»<br />
àmoinsquedomain_realmnesoitprésentdanslaconfiguration.Le«domain_realm»<br />
pour<strong>Open</strong><strong>Directory</strong>assumequel’ensemblede«.entreprise.com»appartientà<br />
«SERVEUR1.DEMOTREE.COM».CelaempêchetouteconnectivitéaudomaineActive<br />
<strong>Directory</strong>nommé«entreprise.com».<br />
SivoussouhaitezmélangerlaliaisonderépertoireauthentifiéeetActive<strong>Directory</strong>,<br />
vosroyaumesetserveursdedomaineActive<strong>Directory</strong>et<strong>Open</strong><strong>Directory</strong>doiventse<br />
trouverdansdeshiérarchiesdifférentes.Parexemple:<br />
 DomaineActive<strong>Directory</strong>=entreprise.com<br />
 RoyaumeKerberosActive<strong>Directory</strong>=ENTREPRISE.COM<br />
 Maîtreduserveur<strong>Open</strong><strong>Directory</strong>=serveur1.od.entreprise.com<br />
 Royaumeduserveur<strong>Open</strong><strong>Directory</strong>=OD.ENTREPRISE.COM<br />
ou<br />
 DomaineActive<strong>Directory</strong>=ads.entreprise.com<br />
 RoyaumeKerberosActive<strong>Directory</strong>=ADS.ENTREPRISE.COM<br />
 Maîtreduserveur<strong>Open</strong><strong>Directory</strong>=serveur1.od.entreprise.com<br />
 RoyaumeKerberos<strong>Open</strong><strong>Directory</strong>=OD.ENTREPRISE.COM<br />
Chapitre4Outilsdeplanificationetdegestion<strong>Open</strong><strong>Directory</strong> 77
Danscesdeuxexemples,unenouvellezonededomaineDNSdoitêtrecrééeettant<br />
lesentréesDNSdirectesetlesentréesDNSinversesdoiventexisterpourlesserveurs<br />
afinque,siuneadresseIPestutiliséepourleserveur<strong>Open</strong><strong>Directory</strong>,ellereçoive<br />
lenomprévu.Parexemple,l’adresseIP«serveur1.od.entreprise.com»=10.1.1.1.<br />
Larecherchede10.1.1.1devraitdoncêtreidentiqueà«serveur1.od.entreprise.com»et<br />
nonà«serveur1.entreprise.com».<br />
Intégrationavecdesdomainesderépertoireexistants<br />
Sivotreréseauadéjàundomainederépertoire,vouspouvezajouterunautreserveur<br />
dedomainederépertoireauréseauquiutiliselabasededonnéesdevotredomaine<br />
derépertoireexistantpourgérerlesautorisationsd’accèsdesutilisateurs.Onappelle<br />
cetteconfigurationl’autorisationinter-domaines.Ellerequiertlapriseenchargede<br />
Kerberosparlesserveurs.<br />
Sivousutilisezl’autorisationinter-domaines,unserveurseraunserveurpseudo-maître<br />
tandisquel’autreseraunserveursubordonné.Touslesutilisateurss’authentifieront<br />
auprèsduserveurpseudo-maîtreàl’aided’uneméthoded’authentification.Tout<br />
utilisateurquis’authentifierarecevraunticketKerberos.Lorsquecetutilisateurtente<br />
d’accéderàunservicefourniparleserveursubordonné,cedernieraccepteetvalidele<br />
ticketKerberosdel’utilisateurqueluiadonnéleserveurpseudo-maîtrepourautoriser<br />
l’utilisateur.<br />
LeticketKerberoscontientdesinformationsPrivilegeAttributeCertificate(PAC),qui<br />
contiennentlenomd’utilisateur,lesidentifiantsdel’utilisateur(UID)etdesidentifiants<br />
d’appartenancedegroupe(GID).Leserveursubordonnéutilisecesinformationspour<br />
vérifierquel’utilisateurestautoriséàutiliserleserviceencomparantl’UIDouleGIDà<br />
lalistedecontrôled’accès(ACL)duserviceauquell’utilisateurdemandel’accès.<br />
Enutilisantl’autorisationinter-domaines,vousévitezdedevoircréerdifférentsnoms<br />
d’utilisateuretmotsdepassepourvotreserveurdedomainederépertoiresubordonné.<br />
Vouspouvezutiliserlesmêmesnomsd’utilisateuretmotsdepasseprovenantdu<br />
domainederépertoired’entrepriseaveclesinformationsPACpourdonnerauxutilisateursl’autorisationd’accès.<br />
L’autorisationinter-domainesestlaconfigurationidéalesivousnepouvezpasmodifierdirectementlesgroupesauseindudomainederépertoired’entreprise.<br />
Vouspouvezutiliserl’autorisationinter-domainesentreunserveurActive<strong>Directory</strong>et<br />
unserveur<strong>Open</strong><strong>Directory</strong>sous<strong>Mac</strong><strong>OS</strong>X10.5ouentredeuxserveurs<strong>Open</strong><strong>Directory</strong><br />
sous<strong>Mac</strong><strong>OS</strong>X10.5.L’autorisationinter-domainesnefonctionnepassurunserveur<br />
sous<strong>Mac</strong><strong>OS</strong>X10.4.PourutiliserlesinformationsPAC,leserveurpseudo-maîtredoit<br />
posséderunroyaumeKerberosauquelleserveursubordonnépeuts’inscrire.<br />
78 Chapitre4Outilsdeplanificationetdegestion<strong>Open</strong><strong>Directory</strong>
Pourcréerunserveursubordonnédansunsystèmederépertoire,vousdevezutiliser<br />
Utilitairederépertoirepourinscrirevotreserveurauprèsd’unserveurActive<strong>Directory</strong><br />
ou<strong>Open</strong><strong>Directory</strong>surlequelKerberosestconfiguréettourne.Puis,àl’aided’Admin<br />
Serveur,vousdeveztransformervotreserveur<strong>Open</strong><strong>Directory</strong>enunmaître<strong>Open</strong><br />
<strong>Directory</strong>.Leserveursubordonnédétermineautomatiquementqu’ilestsubordonnéà<br />
unserveurActive<strong>Directory</strong>ou<strong>Open</strong><strong>Directory</strong>etseconfigureenconséquence.<br />
Vouspouvezaussidisposerd’unerépliquedevotreserveur<strong>Open</strong><strong>Directory</strong>subordonné.Pourcréerunerépliqued’unserveurderépertoiresubordonné,inscrivezvotre<br />
serveurauprèsduserveurpseudo-maîtreetduserveursubordonnéàl’aided’Utilitaire<br />
derépertoire.Configurezensuiteleserveurcommerépliqueduserveursubordonné.<br />
Sivousn’inscrivezpasleserveurauprèsduserveurpseudo-maîtreetduserveur<br />
subordonné,ilserabloquéounedeviendrapasuneréplique.<br />
Lorsquevousintégrezdesordinateurssous<strong>Mac</strong><strong>OS</strong>Xavecvotreserveurderépertoire,<br />
vousvoudrezpeut-êtreajouterunnouveautyped’enregistrementouunenouvelle<br />
classed’objetsauschémaderépertoireafindemieuxgéreretprendreenchargevos<br />
ordinateursclientssous<strong>Mac</strong><strong>OS</strong>X.<br />
Parexemple,pardéfaut,ilsepeutqu’iln’yaitpasdetyped’enregistrementPicture<br />
dansvotreschémaderépertoirepourvosutilisateurs<strong>Mac</strong><strong>OS</strong>X,maisvouspouvezen<br />
ajouterunàvotreschémaderépertoireafinquelesenregistrementsPicturepuissent<br />
êtrestockésdanslabasededonnéesderépertoires.<br />
Sivousvoulezajouterdesenregistrementsoudesattributsàvotreschémaderépertoire,<br />
consultezvotreadministrateurdedomainederépertoirepourobtenirdesinstructions.<br />
Intégrationavecmodificationsauschéma<br />
Sivousajoutezdesordinateurs<strong>Mac</strong><strong>OS</strong>Xàvotredomainederépertoireexistant,<br />
vouspouvezapporterdesmodificationsauschémadevotreserveurdedomainede<br />
répertoireafindemieuxprendreenchargelesordinateursclientssous<strong>Mac</strong><strong>OS</strong>X.<br />
Intégrationsansmodificationsauschéma<br />
<strong>Mac</strong><strong>OS</strong>Xet<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>s’intègrentaveclaplupartdesrépertoiresbaséssurLDAP<br />
sansqu’ilsoitnécessaired’apporterdesmodificationsauschémadevotreserveurde<br />
répertoire.Ilsepeuttoutefoisquecertainstypesd’enregistrementnesoientpasreconnusoumaintenusparleschémasderépertoiredevotreserveur.<br />
Lorsquevousajoutezuntyped’enregistrementouunattributàvotreschéma,regardezd’abords’ilyadéjàuntyped’enregistrementouunattributauquelvouspouvez<br />
aisémentlefairecorrespondredansvotreschémaderépertoireexistant.S’iln’yapas<br />
encoredetyped’enregistrementoud’attributauquelvouspouvezlefairecorrespondre,vouspouvezajouterletyped’enregistrementoul’attributàvotreschéma.<br />
Onparled’étendreleschéma.<br />
Chapitre4Outilsdeplanificationetdegestion<strong>Open</strong><strong>Directory</strong> 79
Lorsquevousétendezvotreschéma,ilsepeutquevousdeviezchangerlalistedecontrôled’accès(ACL)pardéfautdecertainsattributsafinquelescomptesd’ordinateur<br />
puissentlirelespropriétésutilisateur.Parexemple,vouspouvezconfigurer<strong>Mac</strong><strong>OS</strong>X<br />
demanièreàcequ’ilaccèdeauxinformationsdecompted’utilisateurélémentaires<br />
dansundomaineActive<strong>Directory</strong>d’unserveurWindows2000ouWindows2003ou<br />
ultérieur.<br />
Pourensavoirplussurl’extensiondevotreschéma,consultezl’Annexe«Donnéesde<br />
répertoire<strong>Mac</strong><strong>OS</strong>X».<br />
ÉvitementdeconflitsKerberosavecplusieursrépertoires<br />
Sivousconfigurezunmaître<strong>Open</strong><strong>Directory</strong>surunréseauquidisposed’undomaine<br />
Active<strong>Directory</strong>,votreréseaudisposeradedeuxroyaumesKerberos:unroyaume<br />
Kerberos<strong>Open</strong><strong>Directory</strong>etunroyaumeKerberosActive<strong>Directory</strong>.<br />
Pourdesraisonspratiques,lesautresserveurssurleréseaunepeuventutiliserqu’un<br />
royaumeKerberos.Lorsquevousconfigurezunserveurdefichiers,unserveurdecourrieroutoutautreserveurquipeututiliserl’authentificationKerberos,vousdevezdonc<br />
choisirundesroyaumesKerberos.<br />
<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>doitapparteniraumêmeroyaumeKerberosquesesutilisateursclients.<br />
Leroyaumen’aqu’unseulserveurKerberosfaisantautorité,quiestresponsabledetoute<br />
l’authentificationKerberosauseinduroyaume.Eneffet,leserveurKerberosnepeut<br />
authentifierdesclientsetdesserveursqu’auseindesonroyaume.LeserveurKerberosne<br />
peutpasauthentifierdesclientsoudesservicesquiappartiennentàunautreroyaume.<br />
Seulslescomptesd’utilisateurduroyaumeKerberoschoisipourrontbénéficierde<br />
lasignatureunique.Lescomptesd’utilisateurdansl’autreroyaumepeuventtoujours<br />
s’authentifier,maisilsnebénéficierontpasdelasignatureunique.<br />
Sivousconfigurezunserveurpourqu’ilaccèdeàplusieurssystèmesderépertoiredisposantchacundeleurpropreroyaumeKerberos,planifiezsoigneusementlescomptes<br />
d’utilisateurquiutiliserontdesserviceskerbérisés.Vousdevezconnaîtrel’intentionqui<br />
peutprésiderl’accèsàdeuxservicesderépertoire.Vousdevezconnecterleserveurau<br />
royaumedontledomainederépertoirecompagnoncontientlescomptesd’utilisateur<br />
quidoiventutiliserKerberosetbénéficierdelasignatureunique.<br />
Parexemple,ilsepeutquevoussouhaitiezconfigurerl’accèsàunroyaumeActive<br />
<strong>Directory</strong>poursesenregistrementsd’utilisateuretunrépertoireLDAP<strong>Open</strong><strong>Directory</strong><br />
pourlesenregistrementsetlesattributs<strong>Mac</strong><strong>OS</strong>XquinesontpasdansActive<strong>Directory</strong>,comme,parexemple,lesenregistrementsdegroupeetd’ordinateur.D’autresserveurspourraientseconnecterauroyaumeKerberosActive<strong>Directory</strong>ouauroyaume<br />
Kerberos<strong>Open</strong><strong>Directory</strong>.<br />
80 Chapitre4Outilsdeplanificationetdegestion<strong>Open</strong><strong>Directory</strong>
Danscecas,ilestrecommandéquecesautresserveursseconnectentauroyaume<br />
KerberosActive<strong>Directory</strong>afinquelescomptesd’utilisateurActive<strong>Directory</strong>bénéficientdelasignatureunique.<br />
Sivousavezaussidescomptesd’utilisateurdanslerépertoireLDAPduserveur<strong>Open</strong><br />
<strong>Directory</strong>,lesutilisateurspeuventtoujourss’authentifierauprèsd’eux,maislescomptesd’utilisateur<strong>Open</strong><strong>Directory</strong>n’utiliserontpasKerberosetnebénéficierontpasde<br />
lasignatureunique.Ilsutiliserontdesméthodesd’authentificationduserveurdemots<br />
depasse<strong>Open</strong><strong>Directory</strong>.<br />
Vouspourriezmettretouslesutilisateurs<strong>Mac</strong>dansledomaine<strong>Open</strong><strong>Directory</strong>et<br />
touslesutilisateursWindowsdansledomaineActive<strong>Directory</strong>,etilspourraienttous<br />
s’authentifier,maisunseulgroupepourraitutiliserKerberos.<br />
Important:neconfigurezpasunmaîtreouuneréplique<strong>Open</strong><strong>Directory</strong>pourqu’il<br />
accèdeaussiàundomaineActive<strong>Directory</strong>(ouàtoutautredomainederépertoire<br />
ayantunroyaumeKerberos).Sivouslefaites,leroyaumeKerberos<strong>Open</strong><strong>Directory</strong>etle<br />
royaumeKerberosActive<strong>Directory</strong>tenterontd’utiliserlesmêmesfichiersdeconfigurationsurleserveur<strong>Open</strong><strong>Directory</strong>,cequiperturberaprobablementl’authentification<br />
Kerberos<strong>Open</strong><strong>Directory</strong>.<br />
PourévitertoutconflitdefichiersdeconfigurationKerberos,n’utilisezpasdeserveur<br />
<strong>Open</strong><strong>Directory</strong>commestationdetravailpourlagestiondesutilisateursdansle<br />
domainederépertoired’unautreserveurKerberos,comme,parexemple,dansun<br />
domaineActive<strong>Directory</strong>.Utilisezplutôtunordinateuradministrateur(unordinateur<br />
<strong>Mac</strong><strong>OS</strong>Xsurlequellesoutilsd’administrationdeserveursontinstallés)configurépour<br />
accéderauxdomainesderépertoireliés.<br />
Sivousdevezutiliserunserveur<strong>Open</strong><strong>Directory</strong>pourgérerlesutilisateursdudomaine<br />
derépertoired’unautreserveur,assurez-vousquel’autredomainederépertoirenefait<br />
paspartiedelapolitiquederecherched’authentificationduserveur<strong>Open</strong><strong>Directory</strong>.<br />
PouréviterunconflitdefichiersdeconfigurationKerberos,n’utilisezpasnonplusun<br />
serveur<strong>Open</strong><strong>Directory</strong>pourfournirdesservicesquiaccèdentaudomainederépertoired’unautreserveurKerberos.<br />
Parexemple,sivousconfigurezleservicedefichiersAFPpourqu’ilaccèdetantà<strong>Open</strong><br />
<strong>Directory</strong>qu’àActive<strong>Directory</strong>,n’utilisezpasunserveur<strong>Open</strong><strong>Directory</strong>pourfournir<br />
leservicedefichiers.Utilisezunautreserveuretconnectez-leauroyaumeKerberos<br />
del’unoudel’autreservicederépertoire.<br />
Chapitre4Outilsdeplanificationetdegestion<strong>Open</strong><strong>Directory</strong> 81
Enthéorie,lesserveursetlesclientspeuventapparteniràdeuxroyaumesKerberos,<br />
comme,parexemple,àunroyaume<strong>Open</strong><strong>Directory</strong>etàunroyaumeActive<strong>Directory</strong>.<br />
L’authentificationKerberosmultiroyaumerequierttoutefoisuneconfigurationtrèsavancée,quicomprendnotammentlaconfigurationdesserveursetdesclientsKerberospour<br />
l’authentificationinter-royaumeetlarévisiondulogicieldesserviceskerbérisésafinqu’il<br />
puisseapparteniràplusieursroyaumes.<br />
Améliorationdesperformancesetdelaredondance<br />
Vouspouvezaméliorerlesperformancesdesservices<strong>Open</strong><strong>Directory</strong>enajoutantde<br />
lamémoireauserveuretenlimitantlesservicesqu’ilfournit.Cettestratégieestégalementvalablepourtouslesautresservicesde<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>.Plusvouslimitezle<br />
nombredeservicesoffertsparunserveur,meilleuressontsesperformances.<br />
Au-delàdecettestratégiegénérale,vouspouvezaussiaméliorerlesperformancesdes<br />
serveurs<strong>Open</strong><strong>Directory</strong>enassignantlabasededonnéesLDAPàunvolumequiluiest<br />
propreetleshistoriques<strong>Open</strong><strong>Directory</strong>àunautrevolume.<br />
Sivotreréseaucontientdesrépliquesd’unmaître<strong>Open</strong><strong>Directory</strong>,vouspouvezaméliorerlesperformancesduréseauenréduisantlafréquencedemiseàjourdesrépliques.<br />
Desmiseàjourmoinsfréquentessignifientquelesrépliquesontdesdonnéesde<br />
répertoiremoinsàjour.Vousdevezdonctrouverunjustemilieuentredesperformancesréseauélevéesetdesrépliquesprécises.<br />
Pouruneplusgranderedondancedesservices<strong>Open</strong><strong>Directory</strong>,configurezdesserveurs<br />
supplémentairescommerépliques<strong>Open</strong><strong>Directory</strong>ouutilisezdesserveursavecdes<br />
ensemblesRAID.<br />
82 Chapitre4Outilsdeplanificationetdegestion<strong>Open</strong><strong>Directory</strong>
Sécuritéd’<strong>Open</strong><strong>Directory</strong><br />
Avec<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>,unserveuravecundomainederépertoireLDAPpartagéfournit<br />
aussil’authentification<strong>Open</strong><strong>Directory</strong>.Ilestimportantdeprotégerlesdonnées<br />
d’authentificationstockéespar<strong>Open</strong><strong>Directory</strong>.Cesdonnéesd’authentificationcomprennentlabasededonnéesduserveurdemotsdepasse<strong>Open</strong><strong>Directory</strong>ainsique<br />
labasededonnéesKerberos,quidoitaussiêtreprotégée.Parconséquent,vousdevez<br />
vousassurerquelemaître<strong>Open</strong><strong>Directory</strong>ettouteslesrépliques<strong>Open</strong><strong>Directory</strong>sont<br />
bienprotégésensuivantlesinstructionsci-dessous:<br />
 Lasécuritéphysiqued’unserveurmaîtreouréplique<strong>Open</strong><strong>Directory</strong>estessentielle.<br />
Protégez-enl’accèsparuneporteverrouilléeetfermeztoujourscelle-ciàclé.<br />
 Gardezenlieusûrlessupportsdesauvegardedelabasededonnéesduserveurde<br />
motsdepasse<strong>Open</strong><strong>Directory</strong>etdelabasededonnéesKerberos.Lefaitdeplacer<br />
vosserveurs<strong>Open</strong><strong>Directory</strong>dansunepièceferméeàcléneprotégerapaslabande<br />
desauvegardequevouslaissezsurvotrebureau.<br />
 N’utilisezpaslesserveurs<strong>Open</strong><strong>Directory</strong>,maîtreourépliques,pourfournird’autres<br />
services.S’ilvousestimpossibledeconsacrerexclusivementvosserveursauxrôles<br />
demaîtresouderépliques<strong>Open</strong><strong>Directory</strong>,essayezdelimiterlenombredeservices<br />
qu’ilsfournissent.<br />
L’undecesautresservicespourraitcomporterunefailledesécuritépermettantun<br />
accèsilliciteauxbasesdedonnéesKerberosouduserveurdemotsdepasse<strong>Open</strong><br />
<strong>Directory</strong>.L’emploideserveursdédiésauxservices<strong>Open</strong><strong>Directory</strong>estunesolution<br />
idéalemaispasobligatoire.<br />
 Configurezdeslistesdecontrôled’accèsauxservices(SACL)pourlafenêtred’ouverturedesessionetSecureShell(SSH)afindedéterminerquelsutilisateurspeuvent<br />
ouvrirunesessionsurunmaîtreouuneréplique<strong>Open</strong><strong>Directory</strong>.<br />
 Évitezd’utiliserunvolumeRAIDpartagéavecd’autresordinateurscommevolume<br />
dedémarraged’unserveurquiestmaîtreouréplique<strong>Open</strong><strong>Directory</strong>.Unefaillede<br />
sécuritésurl’undesautresordinateursreprésenteunemenacepotentiellepour<br />
lasécuritédesinformationsd’authentification<strong>Open</strong><strong>Directory</strong>.<br />
 Configurezleservicedecoupe-feuIPpourqu’ilbloquetouslesportsàl’exceptionde<br />
ceuxutiliséspourlesprotocolesderépertoire,d’authentificationetd’administration<br />
suivants:<br />
 Leserveurdemotsdepasse<strong>Open</strong><strong>Directory</strong>utiliselesports106et3659.<br />
 LecentrededistributiondeclésKerberosutiliseleportTCP/UDP88etleport<br />
TCP/UDP749estutilisépourl’administrationKerberos.<br />
 LerépertoirepartagéLDAPutiliseleportTCP389pourlesconnexionsnormaleset<br />
leportTCP636pourlesconnexionsSSL.<br />
Chapitre4Outilsdeplanificationetdegestion<strong>Open</strong><strong>Directory</strong> 83
 Lorsdelacréationd’uneréplique<strong>Open</strong><strong>Directory</strong>,gardezleport22ouvertentre<br />
lemaîtreetlafutureréplique.Ceportestutilisépourlestransfertsdedonnées<br />
SecureShell(SSH),leprotocoleutilisépourtransférerunecopiecomplèteetà<br />
jourdelabasededonnéesLDAP.Aprèslaconfigurationinitialedelaréplique,<br />
seulleportLDAP(389ou636)estutilisépourlaréplication.<br />
 GestionnairedegroupedetravailutiliselesportsTCP311et625.<br />
 AdminServeurutiliseleportTCP311.<br />
 SMButiliselesportsTCP/UDP137,138,139et445.<br />
 Équipezl’ordinateurmaître<strong>Open</strong><strong>Directory</strong>d’unsystèmed’alimentationsans<br />
coupure(onduleur).<br />
Enrésumé,pourunmaximumdesécurité,faitescequisuit:<br />
 Dédieztouslesserveurs<strong>Open</strong><strong>Directory</strong>,maîtreouréplique,àlafournituredeservices<br />
<strong>Open</strong><strong>Directory</strong>.<br />
 Configurezuncoupe-feusurcesserveurspournefournirquecequisuit:protocoles<br />
d’accèsauxrépertoires,d’authentificationetd’administration(LDAP,serveurdemots<br />
depasse,Kerberos,GestionnairedegroupedetravailetGestionnairedeserveur).<br />
 Protégezphysiquementchaqueserveur<strong>Open</strong><strong>Directory</strong>ainsiqueleurssupportsde<br />
sauvegarde.<br />
Laréplicationdedonnéesderépertoireetd’authentificationsurleréseaureprésente<br />
unrisqueminimepourlasécurité.Eneffet,lesdonnéesdemotdepassesontrépliquéesdefaçonsécuriséeàl’aidedeclésaléatoiresnégociéeslorsdechaquesessionde<br />
réplication.Lapartiedutraficdeduplicationconcernantl’authentification(leserveur<br />
demotsdepasse<strong>Open</strong><strong>Directory</strong>etlecentrededistributiondeclésKerberos)est<br />
entièrementcryptée.<br />
Pourplusdesécuritéencore,configurezlesconnexionsréseauentreserveurs<br />
<strong>Open</strong><strong>Directory</strong>afinqu’ellesutilisentdescommutateursréseauplutôtquedes<br />
concentrateurs.Celaisoleletraficderéplicationd’authentificationsurdessegments<br />
deréseausûrs.<br />
84 Chapitre4Outilsdeplanificationetdegestion<strong>Open</strong><strong>Directory</strong>
Listesdecontrôled’accèsàunservice(SACL)<br />
<strong>Mac</strong><strong>OS</strong>XutilisedesSACLpourdonnerauxutilisateursl’autorisationd’accèsàunservice.LesSACLsontcomposéesd’entréesdecontrôled’accès(ACE)quisontutilisées<br />
pourdéterminerlesautorisationsprivilègesd’accèsàservicequ’unutilisateurpossède.<br />
VouspouvezutiliserdesSACLpourautoriserourefuserl’accèsàunmaîtreouune<br />
réplique<strong>Open</strong><strong>Directory</strong>endéfinissantdesSACLpourlafenêtred’ouverturedesessionetSSH.Celarestreintl’accèsauservice.<br />
VouspouvezaussiutiliserdesSACLpourdéfinirl’accèsdesadministrateursà<strong>Open</strong><br />
<strong>Directory</strong>.Celanerestreintpasl’accèsauservice,maisspécifiequipeutadministrerou<br />
surveillerleservice.PourensavoirplussurladéfinitiondeSACLpouradministrateurs,<br />
consultez«Configurationducontrôled’accèsàunservice»àlapage207.<br />
LesSACLvousdonneplusdecontrôlesurlaspécificationdesadministrateursquiont<br />
accèspourlasurveillanceetlagestionduservice.Seulslesutilisateursetlesgroupes<br />
quifigurentdansuneSACLontaccèsauserviceenquestion.Parexemple,sivousvoulezdonnerunaccèscommeadministrateurauxutilisateursougroupesauservice<strong>Open</strong><br />
<strong>Directory</strong>survotreserveur,ajoutez-lesàlaSACL<strong>Open</strong><strong>Directory</strong>souslaformed’ACE.<br />
<strong>Administration</strong>parniveaux<br />
<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>n’utilisepasdesunitésorganisationnelles(UO)pourlesprivilègesutilisateurougroupedanslesservicesderépertoire.Lesautorisationssontindépendantes<br />
delamanièredontvousorganisezvotrebasededonnéesderépertoires.<strong>Mac</strong><strong>OS</strong>X<br />
<strong>Server</strong>10.5utilisel’administrationparniveauxpouruneplusgrandegranularitédes<br />
privilègesdelectureetd’écrituredesutilisateurssurlesenregistrementsdanslabase<br />
dedonnéesderépertoires.<br />
LesprivilègesdesutilisateurssontcontrôlésenorganisantlesutilisateursoulesgroupesenuneACLetendonnantauxutilisateursdesprivilègesdelectureetd’écrituresur<br />
lesenregistrements.Lesentréesdesutilisateursougroupes,danslesACL,sontappeléesdesACE.Grâceàl’administrationparniveaux,vouspouvezorganiserfacilement<br />
vosutilisateursauseindegroupesetspécifierlesenregistrementsqu’ungroupepeut<br />
administrer.<br />
Chapitre4Outilsdeplanificationetdegestion<strong>Open</strong><strong>Directory</strong> 85
Sivousutilisezl’administrationparniveaux,considérezlespointssuivants:<br />
 Quiferapartiedugroupe<br />
 Lesprivilègesquevoussouhaitezdonneràchaquegroupe<br />
 Lesenregistrementsquevoussouhaitezfaireadministrerparvotregroupe<br />
Vouspouvezdonnerauxutilisateursougroupesuncontrôlecompletoulimitésur<br />
l’administrationdesdomaines.Lorsquevousdonnezuncontrôleadministratiflimité,<br />
vouspouvezchoisirquelsutilisateursetgroupesunutilisateurougroupepeutadministrer.Vouspouvezaussispécifierlescontrôlesquel’utilisateurasurcesutilisateurset<br />
groupes.Parexemple,donneràunutilisateurlecontrôlecompletdonneàcetutilisateuruncontrôleillimitésurledomainederépertoire.<br />
Vousnepouvezmodifierquelesprivilègesdedomained’unutilisateurpourlesdomainesLDAPv3.Vousnepouvezpasmodifierlesprivilègesd’uncomptededomainede<br />
répertoirelocaloud’uncomptestockédansundomainederépertoirenon-LDAPv3.<br />
LesadministrateursintégrauxetlimitésdoiventutiliserleGestionnairedegroupe<br />
detravailpouradministreretgérerlesutilisateurs.Pourensavoirplus,consultez<br />
lasectionGestiondesutilisateurs.<br />
Outilspourlagestiondesservicesderépertoire<strong>Open</strong><strong>Directory</strong><br />
LesapplicationsAdminServeur,UtilitairederépertoireetGestionnairedegroupede<br />
travailfournissentdesinterfacesgraphiquespourlagestiondesservices<strong>Open</strong><strong>Directory</strong>sous<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>.Deplus,vouspouvezgérerlesservices<strong>Open</strong><strong>Directory</strong>à<br />
partirdelalignedecommandesdeTerminal.<br />
Toutescesapplicationssontlivréesavec<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>etpeuventêtreinstallées<br />
surunautreordinateursous<strong>Mac</strong><strong>OS</strong>X10.5ouultérieurpourfairedecetordinateur<br />
unordinateuradministrateur.Pourensavoirplussurlaconfigurationd’unordinateur<br />
administrateur,lisezlechapitresurl’administrationdeserveurdanslePremierscontacts.<br />
86 Chapitre4Outilsdeplanificationetdegestion<strong>Open</strong><strong>Directory</strong>
AdminServeur<br />
L’applicationAdminServeurdonneaccèsàdesoutilsdestinésàlaconfiguration,la<br />
gestionetlecontrôledesservices<strong>Open</strong><strong>Directory</strong>etd’autresservices.Adminserveur<br />
vouspermetde:<br />
 Configurer<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>entantquemaîtreouréplique<strong>Open</strong><strong>Directory</strong>,entant<br />
queserveurconnectéàunsystèmederépertoireouentantqueservicederépertoireautonomenecomportantqu’undomainederépertoirelocal.Pourensavoir<br />
plus,consultezlechapitre5,«Configurationdesservices<strong>Open</strong><strong>Directory</strong>».<br />
 Configurerdessystèmes<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>supplémentairesdetellemanièrequ’ils<br />
puissentutiliserlecentrededistributiondeclésKerberosd’unmaîtreoud’une<br />
réplique<strong>Open</strong><strong>Directory</strong>.Pourensavoirplus,consultezlechapitre5.<br />
 ConfigurerlesoptionsLDAPd’unmaître<strong>Open</strong><strong>Directory</strong>.Pourensavoirplus,<br />
consultezlechapitre5.<br />
 ConfigurerleserviceDHCPpourqu’ilfournissel’adressed’unserveurLDAPàdes<br />
ordinateurs<strong>Mac</strong><strong>OS</strong>Xutilisantdespolitiquesderechercheautomatiques.Pouren<br />
savoirplus,consultezlechapitreconsacréàDHCPde<strong>Administration</strong>desservicesde<br />
réseau.<br />
 Définirdespolitiquesdemotdepasses’appliquantàtouslesutilisateursquinedisposentpasdepolitiquedemotdepasseparticulières.Pourensavoirplus,consultez<br />
lechapitre6,«Gestiondel’authentificationd’utilisateur».(Pourdéfinirdespolitiquesdemotdepasse,utilisezGestionnairedegroupedetravail.Voiràcepropos<br />
lechapitre6).<br />
 Contrôlerlesservices<strong>Open</strong><strong>Directory</strong>.Pourensavoirplus,consultezlechapitre9,<br />
«Maintenancedesservices<strong>Open</strong><strong>Directory</strong>».<br />
Pourdesinformationsdebasesurl’utilisationd’AdminServeur,consultezlechapitre<br />
consacréàl’administrationdeserveursdansPremierscontacts.Cechapitreexpliquece<br />
quisuit:<br />
 Ouverturedel’applicationAdminServeuretauthentification<br />
 Utilisationdeserveurs<br />
 <strong>Administration</strong>desservices<br />
 Contrôledel’accèsauxservices<br />
 UtilisationdeSSLpourl’administrationàdistancedesserveurs<br />
 Personnalisationdel’environnementd’AdminServeur<br />
AdminServeursetrouvedans/Applications/<strong>Server</strong>/.<br />
Chapitre4Outilsdeplanificationetdegestion<strong>Open</strong><strong>Directory</strong> 87
Utilitairederépertoire<br />
Utilitairederépertoiredéterminecommentunordinateur<strong>Mac</strong><strong>OS</strong>Xutiliselesservices<br />
derépertoire,détectelesservicesderéseauetrecherchentdesinformationsd’authentificationetdecontactsdanslesservicesderépertoire.Utilitairederépertoirepermetde:<br />
 Configurerl’accèsàdesrépertoiresLDAP,àundomaineActive<strong>Directory</strong>etàun<br />
domaineNetworkInformationServices(NIS)<br />
 ConfigurerlemappagededonnéespourlesrépertoiresLDAP<br />
 Définirdespolitiquesderecherched’informationsd’authentificationetdecontacts<br />
dansplusieursservicesderépertoire<br />
 Activeroudésactiverdestypesdeservicesderépertoiresetdestypesdedétections<br />
deservicesderéseau<br />
Utilitairederépertoirepeutseconnecteràd’autresserveurssurvotreréseauafinque<br />
vouspuissiezlesconfigureràdistance.<br />
Pourensavoirplussurl’utilisationd’Utilitairederépertoire,consultezlechapitre7,<br />
«Gestiondesclientsderépertoire»..<br />
Utilitairederépertoireestinstallé,surtouslesordinateurs<strong>Mac</strong><strong>OS</strong>X,dansledossier<br />
/Applications/Utilitaires/.<br />
Gestionnairedegroupedetravail<br />
L’applicationGestionnairedegroupedetravailpermetunegestioncomplètedes<br />
clientsde<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>.Gestionnairedegroupedetravailvouspermetde:<br />
 Configureretgérerlescomptesd’utilisateur,lescomptesdegroupeetlesgroupes<br />
d’ordinateurs.Pourensavoirplussurlagestiondel’authentificationutilisateur,consultezlechapitre6,«Gestiondel’authentificationd’utilisateur».Pourensavoirplus<br />
surd’autressujetsliésàlagestiondesutilisateurs,desgroupesetdesordinateurs,<br />
consultezlasectionGestiondesutilisateurs.<br />
 Gérerlespointsdepartagepourlesservicesdefichiersetlesdossiersdedépartdes<br />
utilisateurs.Pourensavoirplus,consultezleschapitresconsacrésauxpointsdepartageetauxservicesSMBdans<strong>Administration</strong>desservicesdefichieretlechapitreconsacréauxdossiersdedépartdansGestiondesutilisateurs.<br />
 Contrôlercequelesutilisateurs<strong>Mac</strong><strong>OS</strong>Xvoientlorsqu’ilssélectionnentleglobe<br />
RéseaudansunebarrelatéraleduFinder.Pourensavoirplus,consultezlechapitre<br />
consacréàlagestiondeprésentationsderéseaudansGestiondesutilisateurs.<br />
 Visionnerdesentréesderépertoiresousuneformebruteàl’aidedel’Inspecteur.<br />
Pourensavoirplus,consultezlarubrique«Affichageetmodificationdesdonnéesde<br />
répertoire»àlapage212.<br />
88 Chapitre4Outilsdeplanificationetdegestion<strong>Open</strong><strong>Directory</strong>
Pourdesinformationsdebasesurl’utilisationdeGestionnairedegroupedetravail,<br />
consultezlechapitreconsacréàl’administrationd’unserveurdansPremierscontacts.<br />
Cechapitreexpliquecequisuit:<br />
 OuvertureetauthentificationdansGestionnairedegroupedetravail<br />
 <strong>Administration</strong>descomptes<br />
 Personnalisationdel’environnementdeGestionnairedegroupedetravail<br />
Gestionnairedegroupedetravailsetrouvedansledossier/Applications/<strong>Server</strong>/.<br />
Utilitairesdelignedecommande<br />
Touteuneséried’outilsdelignedecommandeestdisponiblepourlesadministrateurs<br />
quipréfèrentutiliserl’administrationdeserveuràl’aidedecommandes.<br />
Pourlagestiondeserveuràdistance,soumettezlescommandesdansunesession<br />
SecureShell(SSH).<br />
Vouspouvezsaisirdescommandessurdesserveursetdesordinateurs<strong>Mac</strong><strong>OS</strong>Xà<br />
l’aidedel’applicationTerminal,quisetrouvedansledossier/Applications/Utilitaires/.<br />
Pourensavoirplus,consultez<strong>Administration</strong>delignedecommande.<br />
Chapitre4Outilsdeplanificationetdegestion<strong>Open</strong><strong>Directory</strong> 89
5 Configurationdesservices<br />
<strong>Open</strong><strong>Directory</strong><br />
5<br />
Lesservices<strong>Open</strong><strong>Directory</strong>(servicesderépertoireset<br />
d’authentification)constituentunepartieessentielle<br />
del’infrastructured’unréseau.Cesservicesaffectent<br />
considérablementlesautresservicesetutilisateurs<br />
duréseau.C’estpourquoi<strong>Open</strong><strong>Directory</strong>doitêtre<br />
configurécorrectementdèsledébut.<br />
Vued’ensembledelaconfiguration<br />
Résumédestâchesprincipalesàréaliserpourconfigurerlesservices<strong>Open</strong><strong>Directory</strong>.<br />
Pourobtenirdesinformationsdétailléessurchaqueétape,consultezlespagesindiquées.<br />
Étape1:Avantdecommencer,élaborezunprogramme<br />
Pourobtenirlalistedesélémentsàprendreenconsidérationavantdeconfigurer<br />
<strong>Open</strong><strong>Directory</strong>sur<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>,consultez«Avantdecommencer»àlapage93.<br />
Étape2:Activezleservice<strong>Open</strong><strong>Directory</strong><br />
UtilisezAdminServeurpouractiverleservice<strong>Open</strong><strong>Directory</strong>.Unefoisqueleservice<br />
estactivé,vouspouvezleconfigurer.Pourensavoirplussurl’activationduservice<br />
<strong>Open</strong><strong>Directory</strong>,consultezlarubrique«Activationd’<strong>Open</strong><strong>Directory</strong>»àlapage94.<br />
Étape3:Configurezunservicederépertoireautonome<br />
Pourconfigurerdesserveursquinerecevrontpasd’informationsd’authentificationou<br />
d’autresinformationsadministrativesd’unservicederépertoires,consultezlarubrique<br />
«Configurationd’unservicederépertoireautonome»àlapage94.<br />
Étape4:Configurezunmaître<strong>Open</strong><strong>Directory</strong><br />
Pourconfigurerunserveurpourqu’ilfournissedesservicesderépertoireetd’authentification,consultezlesrubriques«Compatibilitéentremaîtreetrépliques<strong>Open</strong><strong>Directory</strong>»<br />
àlapage76et«Configurationd’unmaître<strong>Open</strong><strong>Directory</strong>»àlapage95.<br />
91
Étape5:Configurezuncontrôleurdedomaineprincipal<br />
Pourconfigurerunserveurpourfournirdesservicesderépertoireetd’authentification<br />
pourlesplates-formesWindowset<strong>Mac</strong><strong>OS</strong>X,consultezlarubrique«Configuration<br />
d’uncontrôleurdedomaineprincipal»àlapage98.<br />
Étape6:Configurezuneréplique<strong>Open</strong><strong>Directory</strong><br />
Pourconfigurerunouplusieursserveurspourqu’ilsfournissentdesservicesderépertoiredebasculementetd’authentificationoudesservicesderépertoireàdistance<br />
etd’authentificationpourl’interactionrapideentreclientssurdesréseauxdistribués,<br />
consultezlarubrique«Configurationd’uneréplique<strong>Open</strong><strong>Directory</strong>»àlapage102.<br />
Étape7:Configurezdesrelais<strong>Open</strong><strong>Directory</strong>pourlaréplicationencascade<br />
Pourconfigurerunserveurcommerépliqueourelaisd’unmaître<strong>Open</strong><strong>Directory</strong><br />
pourfournirdesinformationssurlesrépertoiresetdesinformationsd’authentification<br />
auxordinateurs,consultezlarubrique«Configurationderelais<strong>Open</strong><strong>Directory</strong>pourla<br />
réplicationencascade»àlapage105.<br />
Étape8:Configurezunserveurcommecontrôleurdedomainesecondaire<br />
Pourconfigurerdesserveurspourfournirunepriseenchargedubasculementpour<br />
votrecontrôleurdedomaineprincipal,consultezlarubrique«Configurationd’unserveurcommecontrôleurdedomainesecondaire»àlapage106.<br />
Étape9:Configurezlesserveursquiseconnectentàd’autressystèmesderépertoire<br />
Sivousdisposezdeserveursdefichiersoud’autresserveursquiaccèdentàdesservicesderépertoireetd’authentification,consultezlarubrique«Configurationd’uneconnexionàunserveurderépertoire»àlapage108.<br />
Étape10:Configurezl’authentificationKerberosparsignatureunique<br />
Sivousavezunmaître<strong>Open</strong><strong>Directory</strong>,vouspouvezconfigurerd’autresserveurspour<br />
qu’ilsseconnectentàsonroyaumeKerberos.Sivousconfigurezunmaître<strong>Open</strong><strong>Directory</strong>sansKerberos,vouspouvezconfigurerKerberosplustard.Pourensavoirplus,consultezlarubrique«Configurationdel’authentificationKerberosparsignatureunique»<br />
àlapage113.<br />
Étape11:Configurezdesordinateursclientspourqu’ilsseconnectentàdesservices<br />
derépertoire<br />
Sivousavezunmaître<strong>Open</strong><strong>Directory</strong>,vousdevezconfigurerlesordinateursclients<br />
pourqu’ilsaccèdentàsondomainederépertoire.Vouspouvezaussiconfigurerles<br />
clientspourqu’ilsaccèdentàd’autresservicesderépertoirecomme,parexemple,<br />
MicrosoftActive<strong>Directory</strong>.Consultezlechapitre7,«Gestiondesclientsderépertoire.»<br />
etlechapitre8,«Réglagesavancésdesclientsderépertoire.».<br />
Étape12:Expliquezauxutilisateurscommentouvrirunesession<br />
Consultezlarubrique«Explicationdelafaçond’ouvrirunesession»àlapage98.<br />
92 Chapitre5Configurationdesservices<strong>Open</strong><strong>Directory</strong>
Avantdecommencer<br />
Avantdeconfigurerdesservices<strong>Open</strong><strong>Directory</strong>pourlapremièrefois:<br />
 Comprenezlesutilisationsdesdonnéesderépertoireetévaluezvosbesoinsen<br />
répertoires.<br />
Identifiezlesservicesquinécessitentdesdonnéesissuesdedomainesderépertoire<br />
etdéterminezquelsutilisateursdoiventaccéderàcesservices.<br />
Lesutilisateursdontlesinformationspeuventêtreaisémentgéréessurunserveur<br />
doiventêtredéfinisdanslerépertoireLDAPpartagéd’un<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>quiest<br />
unmaître<strong>Open</strong><strong>Directory</strong>.Certainsdecesutilisateurspourrontêtredéfinisdansdes<br />
domainesderépertoired’autresserveurs,telsqu’undomaineActive<strong>Directory</strong>sur<br />
unserveurWindows.<br />
Cesconceptssontprésentésauchapitre1,«Servicesderépertoireavec<br />
<strong>Open</strong><strong>Directory</strong>.»<br />
 Évaluezs’ilvousfautplusieursdomainespartagés.Sic’estlecas,choisissezlesutilisateurs<br />
àdéfinirdanschaquedomainepartagé.Pourensavoirplus,consultezlarubrique<br />
«Politiquesderecherchemultiniveaux»àlapage38.<br />
 Déterminezquellessontlesoptionsd’authentificationnécessairesauxutilisateurs.<br />
Pourobtenirlesoptionsdisponibles,consultezlechapitre3,«Authentification<strong>Open</strong><br />
<strong>Directory</strong>.»Optezpourdesrépliquesdevotremaître<strong>Open</strong><strong>Directory</strong>oupourun<br />
contrôleurdedomainesecondairedevotrecontrôleurdedomaineprincipal.<br />
Lechapitre4,«Outilsdeplanificationetdegestion<strong>Open</strong><strong>Directory</strong>,»contientdes<br />
instructionsàcesujet.<br />
 Sélectionnezlesadministrateursdesserveursavecsoin.Nedonnezunmotdepasse<br />
d’administrateurqu’auxpersonnesenquivousavezentièreconfiance.Limitezau<br />
maximumlenombred’administrateurs.N’attribuezàaucunutilisateurdedroits<br />
d’accèsd’administrateurpourprocéderàdestâchesmineures,tellequelamodificationderéglagesdansunefiched’utilisateur.<br />
Lesinformationsderépertoireontunegrandeincidencesurtouteslespersonnesdont<br />
l’ordinateurlesutilisent.<br />
Gestiond’<strong>Open</strong><strong>Directory</strong>surunserveurdistant<br />
VouspouvezinstallerAdminServeursurunordinateursous<strong>Mac</strong><strong>OS</strong>X10.4ouultérieur<br />
etl’utiliserpourgérer<strong>Open</strong><strong>Directory</strong>surn’importequelserveursurvotreréseaulocal<br />
ouau-delà.Vouspouvezaussigérer<strong>Open</strong><strong>Directory</strong>àdistanceenvousservantdes<br />
outilsàlignedecommandesurunordinateur<strong>Mac</strong><strong>OS</strong>Xousurunordinateurnon-<br />
<strong>Mac</strong>intosh.<br />
Pourensavoirplus,consultezlechapitreconsacréàl’administrationdeserveurde<br />
Premierscontacts.<br />
Chapitre5Configurationdesservices<strong>Open</strong><strong>Directory</strong> 93
Activationd’<strong>Open</strong><strong>Directory</strong><br />
Pourpouvoirconfigurer<strong>Open</strong><strong>Directory</strong>,vousdevezactiverleservice<strong>Open</strong><strong>Directory</strong><br />
dansAdminServeur.<br />
Pouractiverleservice<strong>Open</strong><strong>Directory</strong>:<br />
1 OuvrezAdminServeuretconnectez-vousauserveur.<br />
2 CliquezsurRéglages.<br />
3 CliquezsurServices.<br />
4 Sélectionnezlacase<strong>Open</strong><strong>Directory</strong>.<br />
5 CliquezsurEnregistrer.<br />
Configurationd’unservicederépertoireautonome<br />
Al’aided’AdminServeur,vouspouvezconfigurer<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>pourutiliseruniquementledomainederépertoirelocalduserveur.Leserveurnefournitaucuneinformationsurlesrépertoiresauxautresordinateursetn’enobtientpasd’unsystèmeexistant.<br />
(Ledomainederépertoirelocalnepeutêtrepartagé.)<br />
Sivousmodifiez<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>pourobtenirdesinformationsderépertoiresuniquementàpartirdesondomainederépertoirelocal,lesenregistrementsd’utilisateurs<br />
etlesautresinformationsqueleserveuravaitrécupérésurundomainederépertoire<br />
partagédeviennentinaccessibles:lesenregistrementsd’utilisateuretlesautresinformationsquifigurentdansledomainederépertoirepartagésontsupprimés.<br />
Lesfichiersetdossiersduserveurpeuventdevenirinaccessiblesauxutilisateursdont<br />
lescomptessetrouventdansledomainederépertoirepartagé.<br />
Sileserveurétaitunmaître<strong>Open</strong><strong>Directory</strong>etd’autresserveursyétaientconnectés,<br />
cequisuitpeutseproduire:<br />
 Desservicespeuventêtreinterrompussurlesserveursconnectéssilescomptes<br />
d’utilisateuretlesautresinformationsdudomainederépertoirepartagédeviennent<br />
inaccessibles.<br />
 Lesutilisateursdontlescomptessetrouventdansledomainederépertoirepartagé<br />
peuventnepaspouvoiraccéderauxfichiersetdossierssituéssurlemaître<strong>Open</strong><br />
<strong>Directory</strong>etsurlesautresserveursquiétaientconnectésàsondomainederépertoireLDAPpartagé.<br />
Vouspouvezarchiverunecopiedesdonnéesderépertoireetd’authentificationdu<br />
maître<strong>Open</strong><strong>Directory</strong>avantdeletransformerenservicederépertoireautonome.<br />
Pourensavoirplus,consultezlarubrique«Archivaged’unmaître<strong>Open</strong><strong>Directory</strong>»à<br />
lapage230.<br />
Vouspouvezaussiexporterdesutilisateurs,desgroupesetdesgroupesd’ordinateursàpartirdumaître<strong>Open</strong><strong>Directory</strong>avantdeletransformerenservicederépertoireautonome.Pourensavoirplus,reportez-vousàlasectionGestiondesutilisateurs.<br />
94 Chapitre5Configurationdesservices<strong>Open</strong><strong>Directory</strong>
Pourconfigurerunserveurafinqu’ilutiliseuniquementsonpropredomainede<br />
répertoirelocalnonpartagé:<br />
1 OuvrezAdminServeuretconnectez-vousauserveur.<br />
2 Cliquezsurletriangleàgaucheduserveur.<br />
Lalistedesservicesapparaît.<br />
3 Danslalistedesserveursdéveloppée,sélectionnez<strong>Open</strong><strong>Directory</strong>.<br />
4 CliquezsurRéglages,puissurGénéral.<br />
5 CliquezsurModifier.<br />
L’Assistantdeconfigurationdeservices’ouvre.<br />
6 ChoisissezAutonome,puiscliquezsurContinuer.<br />
7 Confirmezleréglagedeconfiguration<strong>Open</strong><strong>Directory</strong>,puiscliquezsurContinuer.<br />
8 Sivousêtessûrquelesutilisateursetlesservicesn’ontplusbesoind’accéderauxdonnéesderépertoireenregistréesdansledomainederépertoirepartagéqueleserveura<br />
hébergéouauquelilétaitconnecté,cliquezsurFermer.<br />
Configurationd’unmaître<strong>Open</strong><strong>Directory</strong><br />
Àl’aided’AdminServeur,vouspouvezconfigurer<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>commemaître<strong>Open</strong><br />
<strong>Directory</strong>afinqu’ilpuissefournirdesinformationsderépertoiresetd’authentificationà<br />
d’autressystèmes.<br />
<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>fournitdesinformationsderépertoiresenhébergeantundomainede<br />
répertoireLDAPpartagé.Deplus,leserveurauthentifielesutilisateursdontlescomptessontenregistrésdansledomainederépertoireLDAPpartagé.<br />
Unmaître<strong>Open</strong><strong>Directory</strong>disposed’unserveurdemotsdepasse<strong>Open</strong><strong>Directory</strong>qui<br />
prendenchargetouteslesméthodesd’authentificationconventionnellesrequisespar<br />
lesservices<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>.Deplus,unmaître<strong>Open</strong><strong>Directory</strong>peutfournirl’authentificationKerberospourlasignatureunique.<br />
Sivoussouhaitezquelemaître<strong>Open</strong><strong>Directory</strong>fournissel’authentificationKerberos<br />
pourlasignatureunique,leDNSdoitêtredisponiblesurleréseauetdoitêtreconfiguré<br />
correctementpourrésoudrelenomDNScompletduserveurdumaître<strong>Open</strong><strong>Directory</strong><br />
etleconvertirensonadresseIP.DNSdoitaussiêtreconfigurépourrésoudrel’adresseIP<br />
etlaconvertirdanslenomDNScompletduserveur.<br />
Important:sivoustransformezuneréplique<strong>Open</strong><strong>Directory</strong>enunmaître<strong>Open</strong><strong>Directory</strong>,<br />
laprocédureàsuivredépenddesavoirsilarépliquedoitremplacerlemaîtrepourdevenir<br />
unmaîtresupplémentaire.<br />
 Pourpromouvoirunerépliquepourqu’elleremplaceunmaîtrenonopérationnel,<br />
suivezlesinstructionsquifigurentdanslarubrique«Promotiond’uneréplique<strong>Open</strong><br />
<strong>Directory</strong>»àlapage226plutôtquelesinstructionsci-dessous.<br />
Chapitre5Configurationdesservices<strong>Open</strong><strong>Directory</strong> 95
 Pourfaired’unerépliqueunmaîtresupplémentaire,déclassezd’abordlaréplique<br />
commedécritdans«Misehorsserviced’uneréplique<strong>Open</strong><strong>Directory</strong>»àla<br />
page229,puisfaites-enunmaîtreensuivantlesétapesdecetterubrique.<br />
Remarque:si<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>étaitconnectéàunsystèmederépertoireetquevous<br />
transformezleserveurenmaître<strong>Open</strong><strong>Directory</strong>,ilresteconnectéàl’autresystèmede<br />
répertoire.Leserveurrechercheralesfichesd’utilisateuretd’autresinformationsdans<br />
sondomainederépertoireLDAPpartagéavantderechercherdansd’autressystèmes<br />
derépertoireauxquelsilestconnecté.<br />
Pourconfigurerunserveurenmaître<strong>Open</strong><strong>Directory</strong>:<br />
1 OuvrezAdminServeuretconnectez-vousauserveur.<br />
2 Cliquezsurletriangleàgaucheduserveur.<br />
Lalistedesservicesapparaît.<br />
3 Danslalistedesserveursdéveloppée,sélectionnez<strong>Open</strong><strong>Directory</strong>.<br />
4 CliquezsurRéglages,puissurGénéral.<br />
Sil’optionRôleestrégléesurRéplique<strong>Open</strong><strong>Directory</strong>etquevoussouhaitezcréerun<br />
nouveaumaître<strong>Open</strong><strong>Directory</strong>,vousdevezchangerlerôleduserveurenAutonome.<br />
Pourensavoirplus,consultezlarubrique«Configurationd’unservicederépertoire<br />
autonomeȈlapage94.<br />
Sivousnetransformezpasuneréplique<strong>Open</strong><strong>Directory</strong>enserveurautonomeavant<br />
d’enfaireunmaître,vouspromouvezlarépliqueenmaîtreaulieudecréerunnouveaumaître.Pourensavoirplus,consultezlarubrique«Promotiond’uneréplique<br />
<strong>Open</strong><strong>Directory</strong>Ȉlapage226.<br />
5 CliquezsurModifier.<br />
L’Assistantdeconfigurationdeservices’ouvre.<br />
6 SélectionnezMaître<strong>Open</strong><strong>Directory</strong>,puiscliquezsurContinuer.<br />
7 Saisissezlesinformationssuivantessurl’administrateurdedomainemaître,puiscliquezsurContinuer.<br />
 Nom,nomabrégé,identifiantd’utilisateur,motdepasse:vousdevezcréerunnouveau<br />
compted’utilisateurpourl’administrateurprincipaldurépertoireLDAP.Cecompte<br />
n’estpasunecopieducompted’administrateurdansledomainederépertoirelocal<br />
duserveur.Utilisez,pourl’administrateurderépertoireLDAP,desnomsetunidentifiantd’utilisateurdifférentsdesnomsetdesidentifiantsd’utilisateurdescomptes<br />
d’utilisateurquifigurentdansledomainederépertoirelocal.Deplus,sivousvoulez<br />
empêcherlecompted’administrateurderépertoired’apparaîtredanslafenêtre<br />
d’ouverturedesession,assignezaucompted’administrateurderépertoireunidentifiantd’utilisateurinférieurà100.Lescomptesquipossèdentdesidentifiantsd’utilisateurinférieursà100n’apparaissentpasdanslafenêtred’ouverturedesession.<br />
96 Chapitre5Configurationdesservices<strong>Open</strong><strong>Directory</strong>
Remarque:sivousprévoyezdeconnectervotremaître<strong>Open</strong><strong>Directory</strong>àd’autres<br />
domainesderépertoire,choisissezunnometunidentifiantd’utilisateuruniquesdans<br />
chaquedomaine.N’utilisezpasl’identifiantd’utilisateurdiradminproposépardéfaut.<br />
Utilisezunnomquivousaideàdistinguerledomainederépertoirequel’administrateurderépertoirecontrôle.<br />
8 Saisissezlesinformationssuivantessurledomainemaître,puiscliquezsurContinuer.<br />
 RoyaumeKerberos:cechampestpréréglépourêtreidentiqueaunomDNSdu<br />
serveurconvertienlettresmajuscules.Ils’agitd’uneconventionpournommer<br />
lesroyaumesKerberos.Vouspouvezsaisirunautrenom,sinécessaire.<br />
 Basederecherche:cechampestpréréglésurunsuffixedebasederecherchepour<br />
lenouveaurépertoireLDAP,dérivédelapartieréservéeaudomainedunomDNSdu<br />
serveur.Vouspouvezsaisirunautresuffixedebasederechercheoulaissezlechamp<br />
vide.Sivouslaissezcechampvide,c’estlesuffixedebasederecherchepardéfaut<br />
durépertoireLDAPquiestutilisé.<br />
9 Confirmezlesréglages,puiscliquezsurFermer.<br />
10 Assurez-vousquelemaître<strong>Open</strong><strong>Directory</strong>fonctionnecorrectementencliquantsur<br />
Vued’ensemble(danslehautdelafenêtred’AdminServeur,avec<strong>Open</strong><strong>Directory</strong><br />
sélectionnédanslalisteServeurs).<br />
L’étatdetouslesélémentslistésdanslasous-fenêtredevued’ensembled’<strong>Open</strong><strong>Directory</strong>doitêtre«Enservice».SiKerberosrestearrêtéalorsquevoussouhaitezledémarrer,consultezlarubrique«SiKerberosestarrêtésurunmaîtreouuneréplique<strong>Open</strong><br />
<strong>Directory</strong>Ȉlapage235.<br />
Aprèsavoirconfiguréunordinateur<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>pourqu’ilsoitunmaître<strong>Open</strong><br />
<strong>Directory</strong>,vouspouvezmodifiersapolitiquedeliaison,sapolitiquedesécurité,sapolitiquedemotdepasse,lafréquencederéplicationetdesoptionsdeprotocoleLDAP.<br />
Pourensavoirplus,reportez-vousàlarubrique«Définitiondesoptionsd’unserveur<br />
<strong>Open</strong><strong>Directory</strong>Ȉlapage217.<br />
Vouspouvezconfigurerd’autresordinateurssous<strong>Mac</strong><strong>OS</strong>Xou<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>pour<br />
qu’ilsaccèdentaudomainederépertoireLDAPpartagéduserveur.Pourensavoirplus,<br />
reportez-vousàlarubrique«UtilisationdesréglagesavancésdesservicesLDAP»àla<br />
page157.<br />
Chapitre5Configurationdesservices<strong>Open</strong><strong>Directory</strong> 97
Explicationdelafaçond’ouvrirunesession<br />
Lorsqu’unordinateur<strong>Mac</strong><strong>OS</strong>Xestconnectéàundomainederépertoireetestconfigurépourqu’ilafficheunelisted’utilisateursdanslafenêtred’ouverturedesession<br />
<strong>Mac</strong><strong>OS</strong>X,lalistepeutcontenir«Autre».Ditesauxutilisateursquin’ontjamaisouvert<br />
desessionavecuncompteréseauqu’ilsdoiventcliquersurAutre,puissaisirlenomdu<br />
compteetlemotdepasse.<br />
Lesutilisateurspeuventconfigurerleurordinateurspourquecesderniersn’affichent<br />
pasunelisted’utilisateursdanslafenêtred’ouverturedesession.Lesutilisateurschangentceréglagedanslasous-fenêtreComptesdesPréférencesSystèmeencliquantsur<br />
Optionsd’ouverturedesession.<br />
Vouspouvezafficherlesutilisateursréseaudanslafenêtred’ouverturedesessiond’un<br />
ordinateurounepasaffichercettelistedanslespréférencesdel’ordinateur.Utilisez<br />
Gestionnairedegroupedetravailpourconfigurerdesréglagesdepréférencesd’ouverturedesessionpourlecomptedegrouped’ordinateursquicontientl’ordinateur.Pour<br />
gérerdesordinateursquinefontpaspartied’uncomptedegrouped’ordinateursparticulier,configurezdesréglagesdepréférencesd’ouverturedesessionpourlecompte<br />
Ordinateurshôtes.<br />
Pourensavoirplus,consultezGestiondesutilisateurs.<br />
Configurationd’uncontrôleurdedomaineprincipal<br />
Àl’aided’AdminServeur,vouspouvezconfigurer<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>commecontrôleur<br />
dedomaineprincipal(PrimaryDomainControllerouPDC)Windows.LePDChéberge<br />
undomaineWindowsetfournitdesservicesd’authentificationauxautresmembresdu<br />
domaine,ycomprisl’authentificationpourl’ouverturedesessiondedomainesurdes<br />
stationsdetravailWindows.<br />
Siaucunserveurmembredudomainen’estdisponible,leserveurPDCpeutfournirdes<br />
servicesdefichiersetd’impressionWindowsethébergerdesprofilsd’utilisateuretdes<br />
dossiersdedépartpourlesutilisateursquidisposentdecomptesd’utilisateursurlePDC.<br />
Important:lorsdelaconfigurationde<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>commecontrôleurdedomaine<br />
principal,assurez-vousqu’iln’yapas,survotreréseau,unautrecontrôleurdedomaine<br />
principalpossédantlemêmenomdedomaine.Pourconfigurerd’autrescontrôleursde<br />
domaine,faites-endescontrôleursdedomainesecondaire(BackupDomainControllers<br />
ouBDC).<br />
98 Chapitre5Configurationdesservices<strong>Open</strong><strong>Directory</strong>
PourconfigurerunPDCWindows:<br />
1 Assurez-vousqueleserveurestunmaître<strong>Open</strong><strong>Directory</strong>.<br />
Pourdéterminersiunserveurestunmaître<strong>Open</strong><strong>Directory</strong>,ouvrezAdminServeur,<br />
cliquezsurletriangle(àgaucheduserveur),sélectionnez<strong>Open</strong><strong>Directory</strong>danslaliste<br />
desservicesdéveloppée,puiscliquezsurVued’ensemble.<br />
Lapremièrelignedesinformationsd’étatindiquelerôleduserveur<strong>Open</strong><strong>Directory</strong>.<br />
2 OuvrezAdminServeuretconnectez-vousauserveur.<br />
3 CliquezsurRéglages,puissurServices.<br />
4 SélectionnezlacaseSMB,puiscliquezsurEnregistrer.<br />
5 Cliquezsurletriangleàgaucheduserveur.<br />
Lalistedesservicesapparaît.<br />
6 DanslalisteServeurs,sélectionnezSMB.<br />
7 CliquezsurRéglages,puissurGénéral.<br />
8 DanslemenulocalRôle,sélectionnezContrôleurdedomaineprincipal(PDC),<br />
puissaisissezceci:<br />
 Description:cettedescriptionapparaîtdanslafenêtreFavorisréseaudesordinateurs<br />
Windowsetestfacultative.<br />
 Nomdel’ordinateur:saisissezlenomquevousvoulezmontrerutilisateursWindows<br />
lorsqu’ilsseconnectentauserveur.Ils’agitdunomNetBI<strong>OS</strong>duserveur.Cenomne<br />
peutcomporterplusde15caractères,aucuncaractèrespécialetaucunsignede<br />
ponctuation.Sic’estpossible,utilisezcommenomdeserveurlenomd’hôteDNSnon<br />
complet.Parexemple,sivotreserveurDNSpossèdel’entrée«serveur.exemple.com»<br />
pourvotreserveur,nommezsimplementvotreserveur«serveur».<br />
 Domaine:saisissezlenomdudomaineWindowsqueleserveurvahéberger.Lenom<br />
dedomainenepeutpascomporterplusde15caractèresetdoitêtredifférentde<br />
«workgroup».<br />
9 CliquezsurEnregistrer.<br />
10 Saisissezlenometlemotdepassed’uncompted’administrateurderépertoireLDAP,<br />
puiscliquezsurOK.<br />
Lorsdel’authentification,vousdevezutiliseruncompted’administrateurderépertoire<br />
LDAP.Vousnepouvezpasutiliseruncompted’administrateurlocal,comme,parexemple,lecompted’administrateurduserveurprincipal(identifiantd’utilisateur501),<br />
pourcréeruncontrôleurdedomaineprincipal(PDC).<br />
Chapitre5Configurationdesservices<strong>Open</strong><strong>Directory</strong> 99
Unefoisquevousavezconfiguréuncontrôleurdedomaineprincipal,vouspouvez<br />
modifierlesrestrictionsenmatièred’accès,leniveaudedétailpourlajournalisation,<br />
lecodedelapage,lanavigationdansledomaineoul’enregistrementWINS.Ensuite,<br />
silesservicesWindowsnetournentpas,vouspouvezlesdémarrer.Pourensavoirplus,<br />
consultezlasection<strong>Administration</strong>desservicesderéseau.<br />
ConfigurationdeWindowsVistapourl’ouverturedesessionde<br />
domaine<br />
Vouspouvezactiverl’ouverturedesessiondedomainesurunordinateursous<br />
WindowsVistaenleconnectantaudomaineWindowsd’uncontrôleurdedomaine<br />
principal<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>.PourseconnecteraudomaineWindows,ilfautdisposer<br />
dunometdumotdepassed’uncompted’administrateurderépertoireLDAP.<br />
Vouspouvezdéléguercettetâcheàunepersonnedisposantd’uncompted’administrateurlocalsurl’ordinateurWindows.Danscecas,vouspouvezcréeruncompte<br />
d’administrateurderépertoireLDAPtemporairepossédantdesprivilègeslimités.<br />
Pourensavoirplus,consultezlasectionGestiondesutilisateurs.<br />
Remarque:seulsWindowsVistaUltimateetBusinesspeuventêtreconnectésàun<br />
domaine.<br />
PourconnecterunordinateursousWindowsVistaàundomaineWindows:<br />
1 OuvrezunesessiondansWindowsVistaàl’aided’uncompted’administrateurlocal.<br />
2 OuvrezlaPanneaudeconfiguration,puisSystème.<br />
3 CliquezsurModifierlesparamètres.<br />
4 CliquezsurNomdel’ordinateur,puissurModifier.<br />
5 Saisissezunnomd’ordinateur,saisirDomaine,saisissezlenomdedomaineducontrôleurdedomaineprincipal<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>,puiscliquezsurOK.<br />
Pourrechercherlenomdedomaineduserveur,ouvrezAdminServeursurleserveur<br />
ouunordinateuradministrateur,sélectionnezSMBdanslalisteServeurs,cliquezsur<br />
Réglages,puissurGénéral.<br />
6 Saisissezlenometlemotdepassed’unadministrateurderépertoireLDAP,<br />
puiscliquezsurOK.<br />
100 Chapitre5Configurationdesservices<strong>Open</strong><strong>Directory</strong>
ConfigurationdeWindowsXPpourl’ouverturedesessiondedomaine<br />
Vouspouvezactiverl’ouverturedesessiondedomainesurunordinateursous<br />
WindowsXPenleconnectantaudomaineWindowsd’uncontrôleurdedomaine<br />
principal<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>.PourseconnecteraudomaineWindows,ilfautdisposer<br />
dunometdumotdepassed’uncompted’administrateurderépertoireLDAP.<br />
Vouspouvezdéléguercettetâcheàunepersonnedisposantd’uncompted’administrateurlocalsurl’ordinateurWindows.Danscecas,vouspouvezcréeruncompte<br />
d’administrateurderépertoireLDAPtemporairepossédantdesprivilègeslimités.<br />
Pourensavoirplus,consultezlasectionGestiondesutilisateurs.<br />
PourconnecterunordinateursousWindowsXPàundomaineWindows:<br />
1 OuvrezunesessiondansWindowsXPàl’aided’uncompted’administrateurlocal.<br />
2 OuvrezlaPanneaudeconfiguration,puisSystème.<br />
3 CliquezsurNomdel’ordinateur,puissurModifier.<br />
4 Saisissezunnomd’ordinateur,saisirDomaine,saisissezlenomdedomaineducontrôleur<br />
dedomaineprincipal<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>,puiscliquezsurOK.<br />
Pourrechercherlenomdedomaineduserveur,ouvrezAdminServeursurleserveur<br />
ouunordinateuradministrateur,sélectionnezSMBdanslalisteServeurs,cliquezsur<br />
Réglages,puissurGénéral.<br />
5 Saisissezlenometlemotdepassed’unadministrateurderépertoireLDAP,<br />
puiscliquezsurOK.<br />
ConfigurationdeWindows2000pourl’ouverturedesessiondedomaine<br />
Vouspouvezactiverl’ouverturedesessiondedomainesurunordinateursous<br />
Windows2000enleconnectantaudomaineWindowsd’uncontrôleurdedomaine<br />
principal<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>.PourseconnecteraudomaineWindows,ilfautdisposer<br />
dunometdumotdepassed’uncompted’administrateurderépertoireLDAP.<br />
Vouspouvezdéléguercettetâcheàunepersonnedisposantd’uncompted’administrateurlocalsurl’ordinateurWindows.Danscecas,vouspouvezcréeruncompte<br />
d’administrateurderépertoireLDAPtemporairepossédantdesprivilègeslimités.<br />
Pourensavoirplus,consultezleguideGestiondesutilisateurs.<br />
PourconnecterunordinateursousWindows2000àundomaineWindows:<br />
1 OuvrezunesessiondansWindows2000àl’aided’uncompted’administrateurlocal.<br />
2 OuvrezlaPanneaudeconfiguration,puisSystème.<br />
3 CliquezsurIdentificationréseau,puissurPropriétés.<br />
Chapitre5Configurationdesservices<strong>Open</strong><strong>Directory</strong> 101
4 Saisissezunnomd’ordinateur,saisirDomaine,saisissezlenomdedomaineducontrôleur<br />
dedomaineprincipal<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>,puiscliquezsurOK.<br />
Pourrechercherlenomdedomaineduserveur,ouvrezAdminServeursurleserveur<br />
ouunordinateuradministrateur,sélectionnezSMBdanslalisteServeurs,cliquezsur<br />
Réglages,puissurGénéral.<br />
5 Saisissezlenometlemotdepassed’unadministrateurderépertoireLDAP,<br />
puiscliquezsurOK.<br />
Configurationd’uneréplique<strong>Open</strong><strong>Directory</strong><br />
Àl’aided’AdminServeur,vouspouvezconfigurer<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>commeréplique<br />
d’unmaître<strong>Open</strong><strong>Directory</strong>afinqu’ilpuissefournirlesmêmesinformationsderépertoiresetd’authentificationquelemaîtreàd’autressystèmes.<br />
LeserveurrépliquehébergeunecopieenlectureseuledudomainederépertoireLDAP<br />
dumaître.Leserveurrépliquehébergeaussiunecopieenlecture/écritureduserveur<br />
demotsdepasse<strong>Open</strong><strong>Directory</strong>etducentrededistributiondeclésKerberos(KDC).<br />
Lesrépliques<strong>Open</strong><strong>Directory</strong>offrentlesavantagessuivants:<br />
 Dansunréseauétendu(WAN)deréseauxlocaux(LAN)interconnectéspardes<br />
liaisonslentes,lesrépliquessituéessurlesréseauxlocauxfournissentauxserveurs<br />
etauxordinateursclientsunaccèsrapideauxcomptesd’utilisateuretauxautres<br />
informationsderépertoires.<br />
 Unerépliquefournitlaredondance.Encasdedéfaillancedumaître<strong>Open</strong><strong>Directory</strong>,<br />
lesordinateursquiluisontconnectésbasculentversunerépliquesituéeàproximité.<br />
Cebasculementautomatiqueestunefonctionnalitéde<strong>Mac</strong><strong>OS</strong>Xetde<strong>Mac</strong><strong>OS</strong>X<br />
<strong>Server</strong>10.4et10.5.<br />
Remarque:sivotreréseaucontientunmélangedeversions10.4etdeversions10.5<br />
de<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>,sachezqu’uneversionnepeutpasêtrelarépliqued’unmaître<br />
del’autreversion.Unmaître<strong>Open</strong><strong>Directory</strong>enversion10.5neserapasrépliquévers<br />
<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>10.4etunmaître<strong>Open</strong><strong>Directory</strong>sous<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>10.4nesera<br />
pasrépliquévers<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>10.5:<br />
Lorsquevousconfigurezuneréplique<strong>Open</strong><strong>Directory</strong>pourlapremièrefois,toutes<br />
lesdonnéesderépertoiresetd’authentificationdoiventêtrecopiéessurcelle-cià<br />
partirdumaître<strong>Open</strong><strong>Directory</strong>.Laduplicationpeutdurerplusieurssecondesou<br />
plusieursminutesselonlatailledudomainederépertoire.Siladuplicationest<br />
effectuéeviauneliaisonréseaulente,ellepeutdurerlongtemps.<br />
Pendantladuplication,lemaîtrenepeutpasfournirlesservicesderépertoireset<br />
d’authentification.Vousnepouvezpasutiliserdescomptesd’utilisateurdurépertoire<br />
LDAPmaîtrepourvousouvrirunesessionauprèsdesservicesouvousauthentifier<br />
avantlafindeladuplication.<br />
102 Chapitre5Configurationdesservices<strong>Open</strong><strong>Directory</strong>
Pourminimiserl’interruptiondesservicesderépertoires,configurezunerépliqueavant<br />
quelerépertoireLDAPdumaîtrenesoitcomplètementrempliouàunmomentdela<br />
journéeoùleservicederépertoiren’estpasutilisé.Lefaitdedisposerd’uneautrerépliqueconfiguréepermettraauxclientsduservicederépertoiredenepasêtreaffectéssi<br />
lemaîtredevientindisponible.<br />
Sivousmodifiezunordinateur<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>quiétaitconnectéàunautresystème<br />
derépertoirepourqu’ildevienneuneréplique<strong>Open</strong><strong>Directory</strong>,leserveurresteconnectéàl’autresystèmederépertoire.Leserveurrecherchelesfichesd’utilisateuret<br />
d’autresinformationsdanssondomainederépertoireLDAPpartagéavantderechercherdansd’autressystèmesderépertoireauxquelsilestconnecté.<br />
Pourconfigurerunserveurafinqu’ilhébergeunerépliqued’unmaître<strong>Open</strong><strong>Directory</strong>:<br />
1 Assurez-vousquelemaître,lafuturerépliqueettouslescoupe-feuentreeuxsont<br />
configuréspourautoriserlescommunicationsSSH(port22).<br />
VouspouvezactiverSSHpour<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>dansAdminServeur.Sélectionnezle<br />
serveurdanslalisteServeurs,cliquezsurRéglages,puissurGénéral,puissélectionnez<br />
l’optionConnexionàdistance(SSH).<br />
Assurez-vousquel’accèsSSHn’estpasrestreintàcertainsutilisateursougroupes<br />
(àl’aidedeSACL)surlefuturmaître.CelapriveraitAdminServeurdesautorisations<br />
nécessaireslorsdelacréationdelaréplique.Vouspouvezdésactivertemporairement<br />
lesSACLdansAdminServeursousRéglages>Accès.<br />
PourensavoirplussurSSH,consultezPremiercontacts.Pourensavoirplussurl’autorisationdecommunicationsSSHautraversducoupe-feu<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>,consultez<br />
<strong>Administration</strong>desservicesréseau.<br />
2 OuvezAdminServeuretconnectez-vousauserveur.<br />
3 Cliquezsurletriangleàgaucheduserveur.<br />
Lalistedesservicesapparaît.<br />
4 Danslalistedesserveursdéveloppée,sélectionnez<strong>Open</strong><strong>Directory</strong>.<br />
5 CliquezsurRéglages,puissurGénéral.<br />
6 CliquezsurModifier.<br />
L’Assistantdeconfigurationdeservices’ouvre.<br />
7 SélectionnezRéplique<strong>Open</strong><strong>Directory</strong>,puiscliquezsurContinuer.<br />
Chapitre5Configurationdesservices<strong>Open</strong><strong>Directory</strong> 103
Unefoisquevousayezconfiguréuneréplique<strong>Open</strong><strong>Directory</strong>,lesautresordinateurs<br />
s’yconnecterontselonleursbesoins.<br />
8 Saisissezlesinformationsobligatoiressuivantes:<br />
 AdresseIPounomDNSdumaître<strong>Open</strong><strong>Directory</strong>:saisissezl’adresseIPoulenomDNS<br />
duserveurquifaitofficedemaître<strong>Open</strong><strong>Directory</strong>.<br />
 Motdepasserootsurlemaître<strong>Open</strong><strong>Directory</strong>:saisissezlemotdepassedel’utilisateurrootdusystèmemaître<strong>Open</strong><strong>Directory</strong>(nomd’utilisateurdel’administrateur<br />
système).<br />
 Nomabrégédel’administrateurdedomaine:saisissezlenomd’uncompted’administrateurdedomainederépertoireLDAP.<br />
 Motdepassedel’administrateurdedomaine:saisissezlemotdepasseducompte<br />
d’administrateurdontvousavezsaisilenom.<br />
9 CliquezsurContinuer.<br />
10 Confirmezlesréglagesdeconfiguration<strong>Open</strong><strong>Directory</strong>,puiscliquezsurContinuer.<br />
11 CliquezsurFermer.<br />
12 Assurez-vousqueladate,l’heureetlefuseauhorairesontexactssurlarépliqueetsur<br />
lemaître.<br />
Larépliqueetlemaîtredoiventutiliserlemêmeservicehorairederéseaupourque<br />
leurshorlogesrestentsynchronisées.<br />
Lesordinateurssouslesversions10.3ou10.4de<strong>Mac</strong><strong>OS</strong>Xoude<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>conserventunelistedesrépliques<strong>Open</strong><strong>Directory</strong>.Sil’undecesordinateursneparvient<br />
pasàcontacterlemaître<strong>Open</strong><strong>Directory</strong>pourdesservicesderépertoiresetd’authentification,ilseconnecteàlarépliquedumaîtrelaplusproche.<br />
Vouspouvezconfigurerlesordinateurs<strong>Mac</strong><strong>OS</strong>Xpourqu’ilsseconnectentàuneréplique<strong>Open</strong><strong>Directory</strong>plutôtqu’aumaître<strong>Open</strong><strong>Directory</strong>pourlesservicesderépertoiresetd’authentification.Surchaqueordinateur<strong>Mac</strong><strong>OS</strong>X,vouspouvezutiliserUtilitaire<br />
derépertoirepourcréeruneconfigurationLDAPv3afind’accéderaurépertoireLDAP<br />
delaréplique.<br />
VouspouvezégalementconfigurerunserviceDHCPpourqu’ilfournisselerépertoire<br />
LDAPdelarépliqueauxordinateurs<strong>Mac</strong><strong>OS</strong>Xquiobtiennentl’adressed’unserveur<br />
LDAPparleserviceDHCP.Consultezlesrubriques«Utilisationdesréglagesavancésdes<br />
servicesLDAP»àlapage157et«Définitiondepolitiquesderechercheautomatiques»<br />
àlapage152.<br />
104 Chapitre5Configurationdesservices<strong>Open</strong><strong>Directory</strong>
Lemaître<strong>Open</strong><strong>Directory</strong>metlarépliqueàjour.Vouspouvezconfigurerlemaîtrepour<br />
qu’ileffectuecesmisesàjoursoitàintervallesdetempsprogrammés,soitdèsquele<br />
répertoiremaîtreestmodifié.Pourensavoirplus,consultezlarubrique«Planification<br />
delaréplicationd’unmaître<strong>Open</strong><strong>Directory</strong>oud’uncontrôleurdedomaineprincipal<br />
(PDC)Ȉlapage224.<br />
Créationdeplusieursrépliquesd’unmaître<strong>Open</strong><strong>Directory</strong><br />
Sivoussouhaitezcréerplusd’unerépliqued’unmaître<strong>Open</strong><strong>Directory</strong>,créezunerépliqueàlafois.Sivousessayezdecréerdeuxrépliquessimultanément,unetentativeva<br />
réussir,l’autrevaéchouer.Unenouvelletentativedecréationdelaseconderéplique<br />
devraitréussir.<br />
Vouspouvezavoirjusqu’à32répliquesd’unmaître<strong>Open</strong><strong>Directory</strong>.Cesmembres<br />
directsduserveurmaître<strong>Open</strong><strong>Directory</strong>sontappelésdesrelais.Chaquerelaispeut<br />
avoiràsontour32répliquesdelui-même,cequidonne1056répliquesdansune<br />
hiérarchieàdeuxniveaux.<br />
Configurationderelais<strong>Open</strong><strong>Directory</strong>pourlaréplication<br />
encascade<br />
Àl’aided’AdminServeur,vouspouvezconfigurer<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>commeréplique<br />
ourelaisd’unmaître<strong>Open</strong><strong>Directory</strong>afinqu’ilpuissefournirlesmêmesinformations<br />
derépertoiresetd’authentificationquelemaîtreàd’autresordinateurs.<br />
Unrelaisdoitrépondreauxdeuxconditionssuivantes:<br />
 Êtrelarépliqued’unmaître<strong>Open</strong><strong>Directory</strong>(unmembredirect).<br />
 Avoirdesrépliques(prendenchargejusqu’à32répliques).<br />
Laconfigurationd’unerépliqued’unrelaisestidentiqueàlaconfigurationd’une<br />
répliqued’unmaître<strong>Open</strong><strong>Directory</strong>.Pourensavoirplus,consultezlarubrique<br />
«Configurationd’uneréplique<strong>Open</strong><strong>Directory</strong>»àlapage102.<br />
Chapitre5Configurationdesservices<strong>Open</strong><strong>Directory</strong> 105
Configurationd’unserveurcommecontrôleurdedomaine<br />
secondaire<br />
Àl’aided’AdminServeur,vouspouvezconfigurer<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>commecontrôleur<br />
dedomainesecondaireWindows.Lecontrôleurdedomainesecondairefournitle<br />
basculementautomatiqueetlasauvegardepourl’ouverturedesessiondedomaine<br />
Windowsetd’autresdemandesadresséespardesclientsWindowsenmatièrede<br />
servicesd’authentificationetderépertoire.<br />
Leserveurcontrôleurdedomainesecondairepeutfournird’autresservicesWindows<br />
(servicesSMB),ycomprisdesservicesdefichiers,d’impression,d’accèsàdesfichiers<br />
etWindowsInternetNameService(WINS).Lecontrôleurdedomainesecondairepeut<br />
hébergerdesdossiersdedépartd’utilisateursquidisposentdecomptesd’utilisateur<br />
surlecontrôleurdedomaineprincipal/secondaire.<br />
PourconfigurerunBDCWindows:<br />
1 Assurez-vousqueleserveurestuneréplique<strong>Open</strong><strong>Directory</strong>.<br />
Pourdéterminersiunserveurestuneréplique<strong>Open</strong><strong>Directory</strong>,ouvrezAdminServeur<br />
etconnectez-vousauserveur,cliquezsurletriangleàgaucheduserveur(pourdévelopperlaliste),sélectionnez<strong>Open</strong><strong>Directory</strong>danslalistedesservicesdéveloppée,<br />
puiscliquezsurVued’ensemble.Lapremièrelignedesinformationsd’étatindique<br />
lerôle<strong>Open</strong><strong>Directory</strong>duserveur.<br />
2 OuvrezAdminServeuretconnectez-vousauserveur.<br />
3 Cliquezsurletriangleàgaucheduserveur.<br />
Lalistedesservicesapparaît.<br />
4 DanslalisteServeursdéveloppées,sélectionnezSMB.<br />
5 CliquezsurRéglages,puissurGénéral.<br />
6 DanslemenulocalRôle,sélectionnezContrôleurdedomainesecondaire(BDC),<br />
puissaisissezceci:<br />
 Description:cettedescriptionapparaîtdanslafenêtreFavorisréseaudesordinateurs<br />
Windowsetestfacultative.<br />
 Nomdel’ordinateur:saisissezlenomquevousvoulezmontrerutilisateursWindows<br />
lorsqu’ilsseconnectentauserveur.Ils’agitdunomNetBI<strong>OS</strong>duserveur.Cenomne<br />
peutcomporterplusde15caractères,aucuncaractèrespécialetaucunsignede<br />
ponctuation.Sic’estpossible,utilisezcommenomdeserveurlenomd’hôteDNSnon<br />
complet.Parexemple,sivotreserveurDNSpossèdel’entrée«serveur.exemple.com»<br />
pourvotreserveur,nommezsimplementvotreserveur«serveur».<br />
 Domaine:saisissezlenomdudomaineWindowsqueleserveurvahéberger.<br />
Lenomdedomainenepeutpascomporterplusde15caractèresetdoitêtre<br />
différentde«workgroup».<br />
7 CliquezsurEnregistrer.<br />
106 Chapitre5Configurationdesservices<strong>Open</strong><strong>Directory</strong>
8 Saisissezlenometlemotdepassed’uncompted’utilisateurpouvantadministrer<br />
lerépertoireLDAPsurleserveur,puiscliquezsurOK.<br />
Lorsdel’authentification,vousdevezutiliseruncompted’administrateurderépertoire<br />
LDAP.Vousnepouvezpasutiliseruncompted’administrateurlocal,comme,parexemple,lecompted’administrateurduserveurprincipal(identifiantd’utilisateur501),<br />
pourcréeruncontrôleurdedomainesecondaire(BDC).<br />
Unefoisquevousavezconfiguréuncontrôleurdedomainesecondaire,vouspouvez<br />
modifierlesrestrictionsenmatièred’accès,leniveaudedétailpourlajournalisation,<br />
lecodedelapage,lanavigationdansledomaineoul’enregistrementWINS.Ensuite,<br />
silesservicesWindowsnetournentpas,vouspouvezlesdémarrer.Pourensavoirplus,<br />
reportez-vousàlasection<strong>Administration</strong>desservicesderéseau.<br />
Configurationdubasculement<strong>Open</strong><strong>Directory</strong><br />
Siunmaître<strong>Open</strong><strong>Directory</strong>oul’unedesesrépliquesdevientindisponible,sesordinateursclientssous<strong>Mac</strong><strong>OS</strong>Xou<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>10.3–10.5trouverontautomatiquementunerépliquedisponibleets’yconnecteront.<br />
Lesrépliquespermettentseulementauxclientsdelirelesinformationsderépertoires.<br />
Cesinformationsenregistréessurlarépliquenepeuventêtremodifiéesaveclesoutils<br />
d’administrationtelsqueGestionnairedegroupedetravail.<br />
Lesutilisateursdontletypedemotdepasseest<strong>Open</strong><strong>Directory</strong>peuventmodifierleurs<br />
motsdepassesurlesordinateursconnectésauxrépliques<strong>Open</strong><strong>Directory</strong>.Lesrépliquessynchronisentlesmodificationsdemotsdepasseaveclemaître.Silemaîtreest<br />
indisponiblependantuncertaintemps,lesrépliquessynchronisentlesmodifications<br />
demotsdepasseaveclemaîtreunefoisquecedernierestdenouveaudisponible.<br />
Silemaître<strong>Open</strong><strong>Directory</strong>estenpannedefaçonpermanenteetquevousdisposez<br />
d’unearchiveàjourdesesdonnées,vouspouvezrestaurerlesdonnéessurunnouveaumaître.Ousinon,vouspouvezpromouvoirunerépliqueenmaître.Pourensavoir<br />
plus,consultezlesrubriques«Restaurationd’unmaître<strong>Open</strong><strong>Directory</strong>»àlapage231<br />
et«Promotiond’uneréplique<strong>Open</strong><strong>Directory</strong>»àlapage226.<br />
Remarque:siunmaîtreouuneréplique<strong>Open</strong><strong>Directory</strong>avaitdesordinateursclients<br />
sous<strong>Mac</strong><strong>OS</strong>Xou<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>10.2ouantérieur,lesordinateursetlesserveursde<br />
version10.2nebasculerontpasautomatiquementversuneautreréplique.<br />
Chapitre5Configurationdesservices<strong>Open</strong><strong>Directory</strong> 107
Sivousremplacezunmaîtreenpanneenpromouvantunerépliqueenmaître,vous<br />
reconfigurezmanuellementchaqueordinateuretserveurpourqu’ilsseconnectentà<br />
cenouveaumaîtreouàunedesesrépliques.CelasefaitenutilisantUtilitairederépertoiresurchaqueordinateuretserveurdeversion10.2pourcréeruneconfiguration<br />
LDAPv3quispécifielafaçondontl’ordinateuraccèdeaunouveaumaîtreouàunede<br />
sesrépliques.<br />
Pourensavoirplus,consultezlarubrique«Utilisationdesréglagesavancésdesservices<br />
LDAPȈlapage157.<br />
Configurationd’uneconnexionàunserveurderépertoire<br />
Àl’aided’AdminServeur,vouspouvezconfigurer<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>pourobtenir<br />
desenregistrementsd’utilisateuretd’autresinformationsderépertoiresàpartirdu<br />
domainederépertoirepartagéd’unautreserveur.Cetautreserveurfournitégalement<br />
l’authentificationpoursesinformationsderépertoires.<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>continueà<br />
recevoirdesinformationsderépertoiredesonpropredomainederépertoirelocalet<br />
fourniradel’authentificationpourcesinformationsderépertoirelocal.<br />
Important:modifier<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>afinqu’ilsoitconnectéàunautresystèmede<br />
répertoireetqu’ilnesoitplusunmaître<strong>Open</strong><strong>Directory</strong>entraîneladésactivationde<br />
sondomainederépertoireLDAPpartagé,aveclesconséquencessuivantes:<br />
 Lesenregistrementsd’utilisateuretlesautresinformationsquifigurentdans<br />
ledomainederépertoirepartagésontsupprimés.<br />
 Sid’autresserveursétaientconnectésaudomainederépertoiredumaître,leursservicesrisquentd’êtreinterrompussilescomptesd’utilisateuretd’autresinformations<br />
dudomainederépertoiredésactivédeviennentinaccessibles.<br />
 Lesutilisateursdontlescomptessetrouvaientdansledomainederépertoiredésactivénepourrontplusaccéderàdesfichiersetdossiersdumaître<strong>Open</strong><strong>Directory</strong>et<br />
desautresserveursquiétaientconnectésaudomainederépertoiremaître.<br />
Pourconfigurerunserveurafinqu’ilobtiennedesservicesderépertoiresàpartir<br />
d’unsystèmeexistant:<br />
1 OuvrezAdminServeuretconnectez-vousauserveur.<br />
2 Cliquezsurletriangleàgaucheduserveur.<br />
Lalistedesservicesapparaît.<br />
3 Danslalistedesserveursdéveloppée,sélectionnez<strong>Open</strong><strong>Directory</strong>.<br />
4 CliquezsurRéglages,puissurGénéral.<br />
5 CliquezsurModifier.<br />
L’Assistantdeconfigurationdeservices’ouvre.<br />
6 Sélectionnez«Connectéàunserveurderépertoire»,puiscliquezsurContinuer.<br />
108 Chapitre5Configurationdesservices<strong>Open</strong><strong>Directory</strong>
7 Confirmezlesréglagesdeconfiguration<strong>Open</strong><strong>Directory</strong>,puiscliquezsurContinuer.<br />
8 Sileserveurétaitunmaître<strong>Open</strong><strong>Directory</strong>etquevousêtessûrquelesutilisateurset<br />
lesservicesn’ontplusbesoind’accéderauxdonnéesderépertoiresenregistréesdans<br />
ledomainederépertoirepartagéqueleserveurahébergé,cliquezsurFermer.<br />
9 CliquezsurleboutonUtilitaire<strong>Open</strong><strong>Directory</strong>pourconfigurerl’accèsàl’un<br />
(ouàplusieurs)dessystèmesderépertoire.<br />
Pourensavoirplussurlaconfigurationdel’accèsàuntypedeservicederépertoire,<br />
consultezlechapitre7,«Gestiondesclientsderépertoire.»<br />
Sivousconnectez<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>10.4ouultérieuràundomainederépertoirede<br />
<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>10.3ouantérieur,sachezquelesutilisateursdéfinisdansledomaine<br />
derépertoireleplusanciennepeuventêtreauthentifiésparlaméthodeNTLMv2.Cette<br />
méthodepeuts’avérernécessairepourauthentifierdefaçonsûrecertainsutilisateurs<br />
WindowspourlesservicesWindowsde<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>10.4etultérieur.<br />
Leserveurdemotsdepasse<strong>Open</strong><strong>Directory</strong>de<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>10.4ouultérieur<br />
prendenchargel’authentificationNTLMv2,maisleserveurdemotsdepassede<br />
<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>10.3ouantérieurneprendpasenchargeNTLMv2.<br />
Delamêmefaçon,sivousconfigurez<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>10.4ouultérieurpourqu’il<br />
accèdeàundomainederépertoirede<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>10.2ouantérieur,lesutilisateurs<br />
définisdansledomainederépertoireleplusanciennepeuventêtreauthentifiéspar<br />
laméthodeMS-CHAPv2.Orcetteméthodepeuts’avérernécessairepourauthentifierde<br />
façonsûredesutilisateurspourleserviceVPNde<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>10.4ouultérieur.<br />
<strong>Open</strong><strong>Directory</strong>de<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>10.4prendenchargel’authentificationMS-CHAPv2,<br />
maisleserveurdemotsdepassede<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>10.2neprendpasenchargeMS-<br />
CHAPv2.<br />
10 Sileserveurquevousconfigurezaaccèsàunsystèmederépertoirequihébergeaussi<br />
unroyaumeKerberos,vouspouvezconnecterleserveurauroyaumeKerberos.<br />
PourleconnecterauroyaumeKerberos,vousdevezconnaîtrelenometlemotde<br />
passed’unadministrateurKerberosoud’unutilisateuràquil’onadéléguél’autoritéde<br />
connecterdesserveursauroyaume.Pourensavoirplus,consultezlarubrique<br />
«ConnecterunserveuràunroyaumeKerberos»àlapage119.<br />
Chapitre5Configurationdesservices<strong>Open</strong><strong>Directory</strong> 109
Configurationd’unserveurcommemembred’undomainede<br />
contrôleurdedomaineprincipal<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong><br />
Àl’aided’AdminServeur,vouspouvezconfigurer<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>pourconnecter<br />
leserveuràundomaineWindowshébergésuruncontrôleurdedomaineprincipal<br />
<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>.UnserveurquiseconnecteàundomaineWindowspeutfournir<br />
desservicesdefichiers,d’impressionetd’autresservicesauxutilisateursquidisposent<br />
decomptesurlecontrôleurdedomaineprincipal.<br />
Leserveurmembrededomainereçoitdesservicesd’authentificationdelapartdu<br />
contrôleurdedomaineprincipaloud’uncontrôleurdedomainesecondaire.Leserveur<br />
peuthébergerdesprofilsd’utilisateuretdesdossiersdedépartd’utilisateursquidisposentdecomptesd’utilisateursurlecontrôleurdedomaineprincipal.Leserveurmembredudomainenefournitpasdeservicesd’authentificationàd’autresserveurs<br />
membrededomaine.<br />
Pourconnecter<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>audomaineWindowsd’uncontrôleurdedomaine<br />
principal<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>:<br />
1 OuvrezAdminServeuretconnectez-vousauserveur.<br />
2 Cliquezsurletriangleàgaucheduserveur.<br />
Lalistedesservicesapparaît.<br />
3 DanslalisteServeursdéveloppées,sélectionnezSMB.<br />
4 CliquezsurRéglages,puissurGénéral.<br />
5 DanslemenulocalRôle,sélectionnezMembredudomaine,puissaisissezceci:<br />
 Description:cettedescriptionapparaîtdanslafenêtreFavorisréseaudeWindowsXP<br />
et2000(lafenêtreVoisinageréseaudeWindows95,98ouME)etestfacultative.<br />
 Nomdel’ordinateur:saisissezlenomquevousvoulezmontrerutilisateursWindows<br />
lorsqu’ilsseconnectentauserveur.Ils’agitdunomNetBI<strong>OS</strong>duserveur.Cenomne<br />
peutcomporterplusde15caractères,aucuncaractèrespécialetaucunsignede<br />
ponctuation.<br />
Sic’estpossible,utilisezcommenomdeserveurlenomd’hôteDNSnoncomplet.<br />
Parexemple,sivotreserveurDNSpossèdel’entrée«serveur.exemple.com»pour<br />
votreserveur,nommezsimplementvotreserveur«serveur».<br />
 Domaine:saisissezlenomdudomaineWindowsauquelleserveurvaseconnecter.<br />
Ledomainedoitêtrehébergéparuncontrôleurdedomaineprincipal<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>.<br />
Lenomnepeutpascomporterplusde15caractèresetdoitêtredifférentde<br />
«workgroup».<br />
6 CliquezsurEnregistrer.<br />
110 Chapitre5Configurationdesservices<strong>Open</strong><strong>Directory</strong>
7 Saisissezlenometlemotdepassed’uncompted’administrateurderépertoireLDAP,<br />
puiscliquezsurOK.<br />
Lorsdel’authentification,vousdevezutiliseruncompted’administrateurderépertoire<br />
LDAP.Vousnepouvezpasutiliseruncompted’administrateurlocal,comme,parexemple,lecompted’administrateurduserveurprincipal(identifiantd’utilisateur501),<br />
pourconnecterunserveuràundomaineWindows.<br />
UnefoisquevousavezconfiguréunmembrededomaineWindows,vouspouvez<br />
modifierlesrestrictionsenmatièred’accès,leniveaudedétailpourlajournalisation,<br />
lecodedelapage,lanavigationdansledomaineoul’enregistrementWINS.Ensuite,<br />
silesservicesWindowsnetournentpas,vouspouvezlesdémarrer.<br />
Pourensavoirplus,consultezlasection<strong>Administration</strong>desservicesderéseau.<br />
Configurationd’unserveurcommemembred’undomaine<br />
Active<strong>Directory</strong><br />
Àl’aided’AdminServeuretd’Utilitairederépertoire,vouspouvezconfigurer<strong>Mac</strong><strong>OS</strong>X<br />
<strong>Server</strong>defaçonàleconnecteràundomaineActive<strong>Directory</strong>hébergéparunserveur<br />
Windows2000ou2003.<br />
UnserveurquiseconnecteàundomaineActive<strong>Directory</strong>peutfournirdesservicesde<br />
fichiers,d’impressionetd’autresservicesauxutilisateursquidisposentdecomptedans<br />
ledomaineActive<strong>Directory</strong>.<br />
Leserveurmembredudomainereçoitdesservicesd’authentificationdelapart<br />
d’Active<strong>Directory</strong>.Leserveurmembredudomainenefournitpasdeservicesd’authentificationàd’autresserveursmembrededomaine.<br />
Pourconnecter<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>audomaineActive<strong>Directory</strong>d’unserveurWindows:<br />
1 OuvrezAdminServeuretconnectez-vousauserveur.<br />
2 Cliquezsurletriangleàgaucheduserveur.<br />
Lalistedesservicesapparaît.<br />
3 Danslalistedesserveursdéveloppée,sélectionnez<strong>Open</strong><strong>Directory</strong>.<br />
4 CliquezsurRéglage,puissurGénéral.<br />
5 CliquezsurModifier.<br />
L’Assistantdeconfigurationdeservices’ouvre.<br />
6 Sélectionnez«Connectéàunserveurderépertoire»,puiscliquezsurContinuer.<br />
7 Confirmezlesréglagesdeconfiguration<strong>Open</strong><strong>Directory</strong>,puiscliquezsurContinuer.<br />
8 CliquezsurFermer.<br />
9 CliquezsurOuvrirUtilitairederépertoire.<br />
Chapitre5Configurationdesservices<strong>Open</strong><strong>Directory</strong> 111
10 Danslecoininférieurgauched’Utilitairederépertoire,cliquezsurlecadenasetauthentifiez-vousquandvousyêtesinvité.<br />
11 CliquezsurAfficherlesréglagesavancés.<br />
12 CliquezsurServeursderépertoire(danslehaut).<br />
13 CliquezsurleboutonAjouter(+).<br />
14 Danslemenulocal«Ajouterunnouveaurépertoiredetype»,choisissezActive<strong>Directory</strong>,<br />
puissaisissezceci:<br />
 DomaineActive<strong>Directory</strong>:ils’agitdunomDNSoudel’adresseIPduserveurActive<br />
<strong>Directory</strong>.<br />
 Identifiantdel’ordinateur:modifiezéventuellementl’identifiantquevousvoulezvoir<br />
utiliséparActive<strong>Directory</strong>pourvotreserveur.Ils’agitdunomNetBI<strong>OS</strong>duserveur.<br />
Cenomnepeutcomporterplusde15caractères,aucuncaractèrespécialetaucun<br />
signedeponctuation.Sic’estpossible,utilisezcommenomdeserveurlenomd’hôte<br />
DNSnoncomplet.Parexemple,sivotreserveurDNSpossèdel’entrée<br />
«serveur.exemple.com»pourvotreserveur,nommezsimplementvotreserveur<br />
«serveur».<br />
 Nomd’utilisateuretmotdepassedel’administrateurAD:saisissezlenomd’utilisateur<br />
etlemotdepassedel’administrateurActive<strong>Directory</strong>.<br />
15 CliquezsurOKetfermezUtilitairederépertoire.<br />
16 CliquezsurSeconnecteràKerberospourconnecterleserveurauroyaumeKerberos<br />
Active<strong>Directory</strong>.<br />
17 Saisissezlesinformationssuivantes:<br />
 Nomd’administrateur:saisissezlenomd’utilisateurdel’administrateurduserveur<br />
Kerberos.<br />
 Motdepasse:saisissezlemotdepassedel’administrateurduserveurKerberos.<br />
 Nomderoyaume:saisissezlenomderoyaumeduserveurKerberos.<br />
 NomDNS/Bonjourducentrededistributiondeclés:saisissezlenomDNSouBonjour<br />
duserveurKerberos.<br />
18 CliquezsurOK.<br />
19 DanslalisteServeurs,sélectionnezSMB.<br />
20 CliquezsurRéglages,puissurGénéral.<br />
112 Chapitre5Configurationdesservices<strong>Open</strong><strong>Directory</strong>
21 VérifiezqueleserveurestmaintenantmembredudomaineActive<strong>Directory</strong>.<br />
Vouspouvezmodifierladescriptionfacultativeduserveurquiapparaîtdanslafenêtre<br />
FavorisréseaudesordinateursWindows.<br />
UnefoisquevousavezconfiguréunmembrededomaineActive<strong>Directory</strong>,vouspouvezmodifierlesrestrictionsenmatièred’accès,leniveaudedétailpourlajournalisation,lecodedelapage,lanavigationdansledomaineoul’enregistrementWINS.<br />
Ensuite,silesservicesWindowsnetournentpasencore,vouspouvezlesdémarrer.<br />
Pourensavoirplus,reportez-vousàlasection<strong>Administration</strong>desservicesderéseau.<br />
Configurationdel’authentificationKerberosparsignature<br />
unique<br />
Laconfigurationdel’authentificationKerberosàsignatureuniqueimpliquelestâches<br />
suivantes:<br />
 DNSdoitêtrerendudisponiblesurleréseauetdoitêtreconfigurépourrésoudre<br />
lenomDNScompletduserveurmaître<strong>Open</strong><strong>Directory</strong>(oud’unautreserveur<br />
Kerberos)etàleconvertirensonadresseIP.DNSdoitaussiêtreconfigurépour<br />
résoudrel’adresseIPetlaconvertirdanslenomDNScompletduserveur.<br />
 Unadministrateurdoitconfigurerunsystèmederépertoirepourqu’ilhébergeun<br />
royaumeKerberos.Pourensavoirplussurlaconfigurationde<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>de<br />
sortequ’ilhébergeunroyaumeKerberos,consultezlarubrique«Configurationd’un<br />
royaumeKerberos<strong>Open</strong><strong>Directory</strong>Ȉlapage115.<br />
 UnadministrateurKerberosd’unmaître<strong>Open</strong><strong>Directory</strong>peutdéléguerl’autoritéde<br />
connecterdesserveursauroyaumeKerberosdumaître<strong>Open</strong><strong>Directory</strong>.(L’administrateurn’apasbesoind’autoritédéléguée.UnadministrateurKerberosaimplicitement<br />
l’autoritédeconnectertoutserveurauroyaumeKerberos).Consultezlarubrique<br />
«Délégationd’autoritépourconnecterdesserveursàunroyaume<br />
Kerberos<strong>Open</strong><strong>Directory</strong>Ȉlapage117.<br />
 UnadministrateuroudesutilisateursKerberospossédantl’autoritédéléguéenécessairedoiventconnecterlesserveursauroyaumeKerberosquifournitalorsl’authentificationKerberosparsignatureuniquepourlesservicesfournisparlesserveursqui<br />
ontétéconnectés.Consultezlarubrique«Connecterunserveuràunroyaume<br />
KerberosȈlapage119.<br />
 TouslesordinateursquiutilisentKerberosdoiventêtrerégléssurladate,l’heureet<br />
lefuseauhorairecorrectsetdoiventêtreconfiguréspourutiliserlemêmeserveur<br />
d’horlogederéseau.LebonfonctionnementdeKerberosreposesurlasynchronisationdeshorlogesdetouslesordinateursparticipants.<br />
Chapitre5Configurationdesservices<strong>Open</strong><strong>Directory</strong> 113
Lorsquevousconfigurezunmaître<strong>Open</strong><strong>Directory</strong>,assurez-vousquevotreDNSest<br />
bienconfiguréettourneavantdedémarrerleservice<strong>Open</strong><strong>Directory</strong>pourlapremière<br />
fois.SileserveurDNSn’estpasbienconfiguréounetournepaslorsquevousdémarrez<strong>Open</strong><strong>Directory</strong>,Kerberosnefonctionnerapascorrectement.<br />
Lorsdupremierdémarraged’<strong>Open</strong><strong>Directory</strong>,KerberosutiliseleserviceDNSpour<br />
générerdesréglagesdeconfiguration.SivotreserveurDNSn’estpasdisponiblelors<br />
dupremierdémarragedeKerberos,sesconfigurationsneserontpasvalidesetilne<br />
fonctionnerapascorrectement.UnefoisqueKerberostourneetagénérésesfichiers<br />
deconfiguration,ilnedépendraplusentièrementduDNSetlesmodificationsapportéesauDNSn’affecterontplusKerberos.<br />
Lesdifférentsservicesde<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>nenécessitentaucuneconfigurationpour<br />
lasignatureuniqueoupourKerberos.<br />
Lesservicessuivantssontprêtspourl’authentificationKerberosparsignatureunique<br />
surtouslesserveurssous<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>10.5ouultérieurquisontconnectésouqui<br />
sontunmaîtreouuneréplique<strong>Open</strong><strong>Directory</strong>:<br />
 Fenêtred’ouverturedesession<br />
 Servicedemessagerie<br />
 AFP<br />
 FTP<br />
 SMB(entantquemembred’unroyaumeKerberosActive<strong>Directory</strong>)<br />
 iChat<br />
 Serviced’impression<br />
 NFS<br />
 ServiceXgrid<br />
 VPN<br />
 ServiceWebApache<br />
 ServicederépertoireLDAPv3(surunmaîtreouuneréplique<strong>Open</strong><strong>Directory</strong>)<br />
114 Chapitre5Configurationdesservices<strong>Open</strong><strong>Directory</strong>
Configurationd’unroyaumeKerberos<strong>Open</strong><strong>Directory</strong><br />
Vouspouvezfournirl’authentificationKerberosparsignatureuniquesurvotreréseau<br />
enconfigurantunmaître<strong>Open</strong><strong>Directory</strong>.<br />
Vouspouvezconfigurerunmaître<strong>Open</strong><strong>Directory</strong>pendantlaconfigurationinitialequi<br />
suitl’installationde<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>,maissivousconfigurez<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>pourun<br />
autrerôle<strong>Open</strong><strong>Directory</strong>,vouspouvezchangercerôleenmaître<strong>Open</strong><strong>Directory</strong>à<br />
l’aided’AdminServeur.<br />
Pourensavoirplus,consultezlesrubriques«Configurationd’unmaître<strong>Open</strong><strong>Directory</strong>»<br />
àlapage95et«DémarragedeKerberosaprèslaconfigurationd’unmaître<br />
<strong>Open</strong><strong>Directory</strong>Ȉlapage116.<br />
Unserveurjouantlerôledemaître<strong>Open</strong><strong>Directory</strong>nenécessiteaucuneautreconfigurationsupplémentairepourgérerl’authentificationKerberosparsignatureuniquepour<br />
touslesserviceskerbérisésqu’ilfournitlui-même.<br />
Leserveurpeutégalementgérerl’authentificationKerberosparsignatureuniquepour<br />
lesserviceskerbérisésd’autresserveursduréseau.Lesautresserveursdoiventêtre<br />
configuréspourseconnecterauroyaumeKerberos<strong>Open</strong><strong>Directory</strong>.<br />
Pourensavoirplus,reportez-vousauxrubriques«Délégationd’autoritépourconnecterdesserveursàunroyaumeKerberos<strong>Open</strong><strong>Directory</strong>»àlapage117et«Connecter<br />
unserveuràunroyaumeKerberos»àlapage119.<br />
Important:unmaître<strong>Open</strong><strong>Directory</strong>requiertunDNSconfigurécorrectementpour<br />
fourniruneauthentificationKerberosparsignatureunique.Deplus:<br />
 LeserviceDNSdoitêtreconfigurépourrésoudrelesnomsDNScompletsdetous<br />
lesserveurs,ycomprislemaître<strong>Open</strong><strong>Directory</strong>,enlesconvertissantenadressesIP<br />
etpourfournirlesrecherchesinversescorrespondantes.Pourensavoirplussurla<br />
configurationduserviceDNS,consultezleguide<strong>Administration</strong>desservicesréseau.<br />
 LespréférencesRéseauduserveurmaître<strong>Open</strong><strong>Directory</strong>doiventêtreconfigurées<br />
pourutiliserleserveurDNSquiconvertitlenomduserveur.(Sileserveurmaître<br />
<strong>Open</strong><strong>Directory</strong>fournitsonpropreserviceDNS,sespréférencesRéseaudoiventêtre<br />
configuréespours’utiliserlui-mêmecommeserveurDNS).<br />
Chapitre5Configurationdesservices<strong>Open</strong><strong>Directory</strong> 115
DémarragedeKerberosaprèslaconfigurationd’unmaître<br />
<strong>Open</strong><strong>Directory</strong><br />
SiKerberosnedémarrepaslorsquevousconfigurezunmaître<strong>Open</strong><strong>Directory</strong>,vous<br />
pouvezutiliserAdminServeurpourledémarrermanuellement,maisvousdevez<br />
d’abordrésoudreleproblèmequiempêcheKerberosdedémarrer.D’habitude,<br />
leproblèmevientdufaitqueleserviceDNSn’estpasconfigurécorrectementou<br />
netournepas.<br />
Remarque:unefoisquevousavezdémarréKerberosmanuellement,ilsepeutqueles<br />
utilisateursdontlescomptessontdotésdemotsdepasse<strong>Open</strong><strong>Directory</strong>etquiont<br />
étécréésdanslerépertoireLDAPdumaître<strong>Open</strong><strong>Directory</strong>alorsqueKerberosétait<br />
arrêtédoiventréinitialiserleursmotsdepasselaprochainefoisqu’ilsouvrentunesession.Uncompted’utilisateurn’estdoncaffectéquesitouteslesméthodesd’authentificationrécupérablespourlesmotsdepasse<strong>Open</strong><strong>Directory</strong>ontétédésactivées<br />
pendantqueKerberosétaitàl’arrêt.<br />
PourdémarrerKerberosmanuellementsurunmaître<strong>Open</strong><strong>Directory</strong>:<br />
1 OuvrezAdminServeuretconnectez-vousauserveur.<br />
2 Cliquezsurletriangleàgaucheduserveur.<br />
Lalistedesservicesapparaît.<br />
3 Danslalistedesserveursdéveloppée,sélectionnez<strong>Open</strong><strong>Directory</strong>.<br />
4 CliquezsurRafraîchir(ouchoisissezPrésentation>Rafraîchir)etvérifiezl’étatdeKerberos<br />
quiestaffichédanslasous-fenêtreVued’ensemble.<br />
SiKerberostourne,iln’yariend’autreàfaire.<br />
5 UtilisezUtilitairederéseau(dans/Applications/Utilitaires/)poureffectuerunerecherche<br />
DNSdunomDNSdumaître<strong>Open</strong><strong>Directory</strong>etunerechercheinversedel’adresseIP.<br />
SilenomDNSoul’adresseIPduserveurneserésoutpascorrectement:<br />
 Danslasous-fenêtreRéseaudesPréférencesSystème,regardezlesréglagesTCP/IP<br />
del’interfaceréseauprincipaleduserveur(généralement,Ethernetintégré).<br />
Assurez-vousquelepremierserveurDNSlistéestceluiquirésoutlenomdu<br />
serveur<strong>Open</strong><strong>Directory</strong>.<br />
 VérifiezlaconfigurationduserviceDNSetassurez-vousqu’iltourne.<br />
6 DansAdminServeur,sélectionnez<strong>Open</strong><strong>Directory</strong>pourleserveurmaître,cliquezsur<br />
Réglages,puissurGénéral.<br />
7 CliquezsurKerbériser,puissaisissezlesinformationssuivantes:<br />
 Nomd’administrateuretMotdepasse:vousdevezvousauthentifierentant<br />
qu’administrateurdurépertoireLDAPdumaître<strong>Open</strong><strong>Directory</strong>.<br />
 Nomderoyaume:cechampestpréréglépourêtreidentiqueaunomDNSdu<br />
serveurconvertienlettresmajuscules.Ils’agitd’uneconventionpournommer<br />
lesroyaumesKerberos.Vouspouvezsaisirunautrenom,sinécessaire.<br />
116 Chapitre5Configurationdesservices<strong>Open</strong><strong>Directory</strong>
Délégationd’autoritépourconnecterdesserveursàunroyaume<br />
Kerberos<strong>Open</strong><strong>Directory</strong><br />
Àl’aided’AdminServeur,vouspouvezdéléguerl’autoritédeconnecterunserveuràun<br />
serveurmaître<strong>Open</strong><strong>Directory</strong>pourl’authentificationKerberosparsignatureunique.<br />
Vouspouvezdéléguercetteautoritéàunouplusieurscomptesd’utilisateur.Lescomptesd’utilisateurauxquelsvousdéléguezcetteautoritédoiventêtredotésd’unmot<br />
depassedetype<strong>Open</strong><strong>Directory</strong>etrésiderdanslerépertoireLDAPduserveurmaître<br />
<strong>Open</strong><strong>Directory</strong>.Leserveurdépendantpourlequelvousdéléguezl’autoritédoittournersous<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>10.3ouultérieur.<br />
Remarque:siuncomptepossédantl’autoritéKerberosdéléguéeestsupprimé<br />
etrecréésurleserveurmaître<strong>Open</strong><strong>Directory</strong>,lenouveaucomptenepossédera<br />
pasl’autoritédeconnecterleserveurdépendantauroyaumeKerberosdumaître<br />
<strong>Open</strong><strong>Directory</strong>.<br />
UnadministrateurKerberos,c’est-à-direunadministrateurLDAP<strong>Open</strong><strong>Directory</strong>,<br />
n’apasbesoind’autoritédéléguéepourconnecterdesserveursdépendantsau<br />
royaumeKerberos<strong>Open</strong><strong>Directory</strong>.UnadministrateurKerberosaimplicitement<br />
l’autoritédeconnectertoutserveurauroyaumeKerberos.<br />
Pourdéléguerl’autoritédeseconnecteràunroyaumeKerberos<strong>Open</strong><strong>Directory</strong>:<br />
1 DansGestionnairedegroupedetravail,créezungrouped’ordinateursdansledomaine<br />
derépertoireLDAPduserveurmaître<strong>Open</strong><strong>Directory</strong>ousélectionnezungroupe<br />
d’ordinateursexistantdanscerépertoire.<br />
 Poursélectionnerungrouped’ordinateursexistantdansGestionnairedegroupe<br />
detravail,cliquezsurComptesouchoisissezPrésentation>Comptes,cliquezsur<br />
leboutonGrouped’ordinateurs(au-dessusdelalistedescomptes),puissélectionnezlegrouped’ordinateurssouhaité.<br />
 SileserveurLDAPn’apasencoredegrouped’ordinateursauquelvoussouhaitez<br />
ajouterleserveurdépendant,vouspouvezencréerun:<br />
CliquezsurComptes,puissurleboutonOrdinateurs(au-dessusdelalistedescomptes).<br />
Cliquezsurl’icônereprésentantunglobeau-dessusdelalistedescomptes,puis<br />
déroulezlemenulocalpourouvrirlerépertoireLDAPdumaître<strong>Open</strong><strong>Directory</strong>.<br />
Cliquezsurlecadenasetauthentifiez-vouscommeadministrateurdurépertoireLDAP.<br />
CliquezsurleboutonGrouped’ordinateurs(au-dessusdelalistedescomptes),<br />
puissurNouveaugrouped’ordinateursouchoisissezServeur>Nouveaugroupe<br />
d’ordinateurs.<br />
Saisissezlenomdugroupe,comme,parexemple,Serveurskerbérisés.<br />
Chapitre5Configurationdesservices<strong>Open</strong><strong>Directory</strong> 117
2 CliquezsurMembres,puissurleboutonAjouter(+)etsaisissezceci:<br />
 Adresse:saisissezl’adresseEthernetduportEthernetprincipalduserveurdépendant.LeportEthernetprincipalestlepremierportquiapparaîtdanslalistedela<br />
sous-fenêtreÉtatduréseaudel’adressedespréférencesRéseauduserveurdépendant.L’adressedeceportapparaîtdanslechampIdentifiantEthernetdelasousfenêtreEthernetdespréférencesRéseau.Sivousnesaisissezpasl’adresseEthernet<br />
correcte,leserveurdépendantnepourrapasseconnecteraumaître<strong>Open</strong><strong>Directory</strong><br />
pourl’authentificationKerberos.<br />
 Nom:saisissezlenomDNScompletduserveurdépendant,passeulementsonnom<br />
d’hôte.Parexemple,lenompourraitêtreserveur2.exemple.com,maispasserveur2.<br />
CenomestutilisépourcréerdesprincipauxKerberosdanslecentrededistribution<br />
declés.Silenomestincorrect,lesutilisateursnepeuventpass’authentifieràl’aidede<br />
Kerberos.VotresystèmeDNSdoitposséderuneentréepourlenomduserveurdépendantetuneentréederechercheinversepourl’adresseIPduserveurdépendant.<br />
 Utilisercenomcommenomd’ordinateur:n’affectepaslefonctionnementdeKerberos.<br />
 Commentaires:estfacultatifetpurementinformatif.<br />
3 CliquezsurEnregistrerpourenregistrerlesmodificationsapportéesaugroupe<br />
d’ordinateurs.<br />
4 CliquezsurPréférencesetassurez-vousquelegrouped’ordinateursn’apasderéglages<br />
depréférencesgérés.<br />
Siunepetiteflècheapparaîtenregarddel’icôned’undesélémentsdescatégoriesde<br />
préférences,l’élémentpossèdedesréglagesdepréférencesgérées.Poursupprimer<br />
lespréférencesgéréesd’unélément,cliquezsurl’élément,sélectionnezNongéré,<br />
puiscliquezsurAppliquer.Sil’élémentdisposedeplusieurssous-fenêtres,sélectionnez<br />
Nongérédanschacunedessous-fenêtres,puiscliquezsurAppliquer.<br />
5 Sivoussouhaitezdéléguerl’autoritéKerberosàunouplusieurscomptesd’utilisateur,<br />
créez-lescomptes:<br />
 Assurez-vousquevoustravaillezbiendanslerépertoireLDAPduserveurmaître<br />
<strong>Open</strong><strong>Directory</strong>.Sinécessaire,cliquezsurlepetitglobeetutilisezlemenulocal<br />
pourouvrircerépertoire.Cliquezensuitesurlecadenasetauthentifiez-vouscomme<br />
administrateurdecerépertoire.<br />
 CliquezsurleboutonUtilisateurs(àgauche),puissurNouvelutilisateurouchoisissez<br />
Serveur>Nouvelutilisateur.<br />
 Saisissezunnom,unnomabrégéetunmotdepasse.<br />
 Assurez-vousquelacase«L’utilisateurpeutaccéderaucompte»ou«L’utilisateur<br />
peutgérerceserveur»n’estpassélectionnée.<br />
Vouspouvezchangerdesréglagesdansd’autressous-fenêtres,maisnechangezpas<br />
letypedemotdepassed’utilisateurdanslasous-fenêtreAvancé.Toututilisateur<br />
avecautoritéKerberosdéléguéedoitposséderunmotdepasse<strong>Open</strong><strong>Directory</strong>.<br />
118 Chapitre5Configurationdesservices<strong>Open</strong><strong>Directory</strong>
6 CliquezsurEnregistrerpourenregistrerlenouveaucompted’utilisateur.<br />
7 OuvrezAdminServeuretconnectez-vousauserveurmaître<strong>Open</strong><strong>Directory</strong>.<br />
8 Cliquezsurletriangleàgaucheduserveur.<br />
Lalistedesservicesapparaît.<br />
9 Danslalistedesserveursdéveloppée,sélectionnez<strong>Open</strong><strong>Directory</strong>.<br />
10 CliquezsurRéglages,puissurGénéral.<br />
11 Confirmezlerôledemaître<strong>Open</strong><strong>Directory</strong>,cliquezsurAjouterunenregistrement<br />
Kerberos,puissaisissezlesinformationssuivantes:<br />
 Nomd’administrateur:saisissezlenomd’unadministrateurderépertoireLDAPsur<br />
leserveurmaître<strong>Open</strong><strong>Directory</strong>.<br />
 Motdepassed’administrateur:saisissezlemotdepasseducompted’administrateur<br />
quevousavezsaisi.<br />
 Nomdefichedeconfiguration:saisissezlenomDNScomplettelquevousl’avezsaisi<br />
lorsdel’ajoutduserveurdépendantaugrouped’ordinateursàl’étape2.<br />
 Administrateursdélégués:saisissezunnomabrégéouunnomlongpourchaque<br />
compted’utilisateurauquelvoussouhaitezdéléguerl’autoritéKerberospour<br />
leserveurspécifié.Pouréviterdesproblèmessicecompted’utilisateurdevaitêtre<br />
suppriméàl’avenir,saisissezaumoinsdeuxnoms.<br />
12 CliquezsurAjouter,puissurEnregistrerpourdéléguerl’autoritéKerberoscommespécifié.<br />
Pourdéléguerl’autoritépourplusd’unserveurdépendant,répétezcetteprocédure<br />
pourchacund’entreeux.<br />
Pourensavoirplussurlaconnexiond’unserveuràunroyaumeKerberos<strong>Open</strong><strong>Directory</strong>,<br />
consultezlarubrique«ConnecterunserveuràunroyaumeKerberos»àlapage119.<br />
ConnecterunserveuràunroyaumeKerberos<br />
AvecAdminServeur,unadministrateurKerberosouunutilisateurdontlecompte<br />
possèdel’autoritédéléguéecorrectementpeutconnecter<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>àun<br />
royaumeKerberos.<br />
Leserveurnepeutseconnecterqu’àunseulroyaumeKerberos.Ilpeuts’agird’un<br />
royaumeKerberos<strong>Open</strong><strong>Directory</strong>,d’unroyaumeKerberosActive<strong>Directory</strong>oud’un<br />
royaumeKerberosMITexistant.<br />
PourseconnecteràunroyaumeKerberos<strong>Open</strong><strong>Directory</strong>,vousdevezdisposerd’un<br />
compted’administrateurKerberosoud’uncompted’utilisateurpossédantl’autorité<br />
Kerberosdéléguée.Pourensavoirplus,consultezlarubrique«Délégationd’autorité<br />
pourconnecterdesserveursàunroyaumeKerberos<strong>Open</strong><strong>Directory</strong>»àlapage117.<br />
Chapitre5Configurationdesservices<strong>Open</strong><strong>Directory</strong> 119
PourconnecterunserveuràunroyaumeKerberos:<br />
1 Assurez-vousqueleserveurquevoussouhaitezconnecterauroyaumeKerberosest<br />
configurépouraccéderaudomainederépertoirepartagéduserveurKerberos.<br />
Pourconfirmer,ouvrezUtilitairederépertoiresurleserveurquevoussouhaitezconnecterauroyaumeKerberosouconnectez-vousauserveuràl’aided’UtilitaireFormat<br />
derépertoiresurunautreordinateur.CliquezsurPolitiquederecherche,puissur<br />
Authentificationetassurez-vousqueledomainederépertoireduserveurKerberos<br />
apparaîtbiendanslaliste.Sicen’estpaslecas,consultezlechapitre7,«Gestiondes<br />
clientsderépertoire,»pourobtenirdesinstructionssurlaconfigurationdel’accèsau<br />
répertoire.<br />
2 OuvrezAdminServeuretconnectez-vousauserveurquevousvoulezconnecterau<br />
royaumeKerberos.<br />
3 Cliquezsurletriangleàgaucheduserveur.<br />
Lalistedesservicesapparaît.<br />
4 Danslalistedesserveursdéveloppée,sélectionnez<strong>Open</strong><strong>Directory</strong>.<br />
5 CliquezsurRéglages,puissurGénéral.<br />
6 ConfirmezqueleRôleestbienConnectéàunserveurderépertoire,puiscliquezsur<br />
SeconnecteràKerberosetsaisissezlesinformationssuivantes:<br />
 PourunroyaumeKerberos<strong>Open</strong><strong>Directory</strong>ouunroyaumeKerberosActive<strong>Directory</strong>,<br />
choisissezleroyaumedanslemenulocaletsaisissezlenometlemotdepassed’un<br />
administrateurKerberosoud’unutilisateurpossédantl’autoritéKerberosdéléguée<br />
pourleserveur.<br />
 PourunroyaumeKerberosMIT,saisissezlenometlemotdepassed’unadministrateurKerberos,lenomduroyaumeKerberosetlenomDNSduserveurdecentrede<br />
distributiondeclésKerberos.<br />
120 Chapitre5Configurationdesservices<strong>Open</strong><strong>Directory</strong>
6 Gestiondel’authentification<br />
d’utilisateur<br />
6<br />
Découvrezcommentréinitialiserlesmotsdepassed’utilisateur,modifierlestypesdemotdepasse,définirlespolitiques<br />
demotdepasse,sélectionnerlesméthodesd’authentificationetréaliserd’autrestâchesàl’aidedeGestionnairede<br />
groupedetravail.<br />
Gestionnairedegroupedetravailoffreuneméthodecentraliséedegestiondesordinateurs<strong>Mac</strong><strong>OS</strong>Xpourcontrôlerl’accèsauxlogicielsetauxsupportsamoviblesetfournir<br />
unenvironnementcohérentpourdifférentsutilisateurs.Vouspouvezégalementutiliser<br />
Gestionnairedegroupedetravailpourgérerl’authentificationd’utilisateur.Pourensavoir<br />
plussurGestionnairedegroupedetravail,consultezleguideGestiondesutilisateurs.<br />
Vouspouvezgérerlesinformationsd’authentificationdesutilisateursstockéesdans<br />
lesdomainesderépertoire.Pourtrouverlesdescriptionsdestâchesetdesinstructions,<br />
reportez-vousà:<br />
 «Compositiond’unmotdepasse»àlapage122<br />
 «Modificationdumotdepassed’unutilisateur»àlapage123<br />
 «Réinitialisationdesmotsdepassedeplusieursutilisateurs»àlapage124<br />
 «Modificationdutypedemotdepassed’unutilisateur»àlapage125<br />
Cetterubriqueabordelechangementdutypedemotdepasseen<strong>Open</strong><strong>Directory</strong>,<br />
lechoixentrelemotdepasseshadowetlemotdepassecryptéetl’activationde<br />
l’authentificationparsignatureuniqueKerberos.<br />
 «Activationdel’authentificationKerberosparsignatureuniquepourunutilisateur»<br />
àlapage129<br />
 «Changementdepolitiquedemotdepasseglobale»àlapage129<br />
 «Configurationdespolitiquesdemotdepassed’utilisateursindividuels»àlapage130<br />
 «Sélectiondeméthodesd’authentificationpourdesutilisateursdemotsdepasse<br />
shadowȈlapage132<br />
 «Sélectiondeméthodesd’authentificationpourdesutilisateursdemotsdepasse<br />
<strong>Open</strong><strong>Directory</strong>Ȉlapage133<br />
121
 «Attributiondedroitsd’administrateurpourl’authentification<strong>Open</strong><strong>Directory</strong>»àla<br />
page134<br />
 «Synchronisationdesmotsdepassed’administrateurprincipaux»àlapage135<br />
 «Activationdel’authentificationparliaisonLDAPpourunutilisateur»àlapage135<br />
 «Configurationdemotsdepassed’utilisateursexportésouimportés»àlapage136<br />
 «Migrationdemotsdepasseàpartirde<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>10.1ouantérieur»àlapage137<br />
Compositiond’unmotdepasse<br />
Lemotdepasseassociéaucompted’unutilisateurdoitêtresaisiparcedernier<br />
lorsqu’ils’authentifiepourouvrirunesessionouutiliserd’autresservices.Lemot<br />
depasseestsensibleàlacasse(hormislesmotsdepasseLANManager-SMB).<br />
Ilestmasquéàl’écranpendantsasaisie.<br />
Quelquesoitletypedemotdepassechoisipourunutilisateur,voicilesdirectivesàsuivrepourlacompositiondesmotsdepassedescomptesd’utilisateurde<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>:<br />
 Lesmotsdepassedoiventcontenirdeslettres,deschiffresetdessymbolesetformerdescombinaisonsdifficilesàdevinerparlesutilisateursnonautorisés.Ilsne<br />
doiventpasêtreconstituésdemots.Lesbonsmotsdepasseassocientdeschiffres<br />
etdessymboles(telsque#ou$)ousontcomposésdelapremièrelettredechacun<br />
desmotsconstituantuneexpression.Utilisezunecombinaisondelettresminuscules<br />
etmajuscules.<br />
 Évitezlesespacesainsiquelescaractèresobtenusàl’aidedelatoucheOption.<br />
 Évitezlescaractèresimpossiblesàsaisirsurlesordinateursdontseserviral’utilisateurouquiréclament,surd’autresclaviersetplates-formes,l’emploid’unecombinaisondetouchesspéciale.<br />
 Certainsprotocolesréseaun’acceptentpaslesmotsdepassecontenantdesespaces<br />
initiaux,desespacesincorporésoudesespacesfinaux.<br />
 Iln’estpasrecommandéd’utiliserunmotdepassedelongueurnulle.<strong>Open</strong><strong>Directory</strong>etcertainssystèmes(telsquelaliaisonLDAP)neprennentpasenchargeles<br />
motsdepassedelongueurnulle.<br />
 Pourunecompatibilitéoptimaleaveclesordinateursetservicesauxquelsvosutilisateurssontsusceptiblesd’accéder,utilisezuniquementdescaractèresASCIIdans<br />
lesmotsdepasse.<br />
122 Chapitre6Gestiondel’authentificationd’utilisateur
Modificationdumotdepassed’unutilisateur<br />
VouspouvezutiliserGestionnairedegroupedetravailpourmodifierlemotdepasse<br />
d’uncompted’utilisateurdéfinidanstoutdomainederépertoireauquelvousavez<br />
accèsenlectureetécriture.Parexemple,vouspouvezmodifierlemotdepassed’un<br />
compted’utilisateurdansl’annuaireLDAPd’unmaître<strong>Open</strong><strong>Directory</strong>.<br />
Pourensavoirplus,consultezlesrubriques«Modificationdumotdepasseutilisépour<br />
authentifieruneconnexionLDAP»àlapage181ou«Configurationd’unepolitiquede<br />
liaisonpourunserveur<strong>Open</strong><strong>Directory</strong>»àlapage218et«Arrêtdelaliaisonsécurisée<br />
avecunannuaireLDAPȈlapage177.<br />
Important:sivousmodifiezlemotdepassed’uncompted’utilisateurutilisépour<br />
authentifierlaconnexionàl’annuaireLDAPd’unordinateur,vousdevezapporterla<br />
mêmemodificationauxréglagesdeconnexionLDAPdel’ordinateurconcernéouconfigurerl’annuaireLDAPettouteslesconnexionspourqu’ilsutilisentlaliaisonsécurisée.<br />
Pourchangerlemotdepassed’unutilisateur:<br />
1 OuvrezGestionnairedegroupedetravail,cliquezsurleboutonComptes,puissur<br />
leboutonUtilisateur.<br />
2 Ouvrezledomainederépertoirecontenantlecompted’utilisateurdontvousvoulez<br />
changerlemotdepasseetauthentifiez-vousentantqu’administrateurdudomaine.<br />
Pourouvrirundomainederépertoire,cliquezsurl’icônedeglobeau-dessusdelaliste<br />
desutilisateurs,puischoisissezundomainedanslemenulocal.<br />
Siletypedumotdepassedel’utilisateurest<strong>Open</strong><strong>Directory</strong>,vousdevezvousauthentifierentantqu’administrateurdontletypedemotdepasseest<strong>Open</strong><strong>Directory</strong>.<br />
3 Sélectionnezlecomptedumotdepasseàchanger.<br />
4 Tapezunmotdepassedanslasous-fenêtreÉlémentaire,puiscliquezsurEnregistrer.<br />
5 Indiquezàl’utilisateurlenouveaumotdepasseàemployerpourouvrirunesession.<br />
Unefoisquel’utilisateuraouvertunesessionsous<strong>Mac</strong><strong>OS</strong>Xàl’aidedunouveaumot<br />
depasse,ilpeutlemodifierencliquantsurComptesdansPréférencesSystème.<br />
Sivousmodifiezlemotdepassed’uncomptedontletypedemotdepasseest<strong>Open</strong><br />
<strong>Directory</strong>etquececompterésidedansl’annuaireLDAPd’unerépliqueoud’unmaître<br />
<strong>Open</strong><strong>Directory</strong>,lamodificationestsynchroniséeaveclemaîtreettoutessesrépliques.<br />
<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>synchroniselesmodificationsdemotsdepasse<strong>Open</strong><strong>Directory</strong>entre<br />
unmaîtreetsesrépliques.<br />
Chapitre6Gestiondel’authentificationd’utilisateur 123
Réinitialisationdesmotsdepassedeplusieursutilisateurs<br />
Àl’aidedeGestionnairedegroupedetravail,vouspouvezsélectionnerplusieurs<br />
comptesd’utilisateuretlesmodifierenmêmetempspourqu’ilsprennenttousle<br />
mêmetypedemotdepasseetlemêmemotdepassetemporaire.<br />
Pourchangerletypedemotdepasseetlemotdepassedeplusieurscomptes<br />
d’utilisateur:<br />
1 OuvrezGestionnairedegroupedetravail,cliquezsurleboutonComptes,puissur<br />
leboutonUtilisateur.<br />
2 Ouvrezledomainederépertoirecontenantlecompted’utilisateurdontvousvoulez<br />
réinitialiserlestypesdemotdepasseetlesmotsdepasse,puisauthentifiez-vousen<br />
tantqu’administrateurdudomaine.<br />
Pourouvrirundomainederépertoire,cliquezsurl’icônedeglobeau-dessusdelaliste<br />
desutilisateurs,puischoisissezundomainedanslemenulocal.<br />
Sivousvoulezréglerletypedemotdepassesur<strong>Open</strong><strong>Directory</strong>,vousdevezvous<br />
authentifierentantqu’administrateurdontletypedemotdepasseest<strong>Open</strong><strong>Directory</strong>.<br />
3 Cliquezsurlescomptesd’utilisateurenmaintenantlatoucheCommandeouMaj<br />
enfoncéepoursélectionnerceuxdontletypedemotdepassedoitêtremodifié.<br />
4 Tapezunmotdepassedanslasous-fenêtreÉlémentaire,puisdéfinissezletypedemot<br />
depassedanslasous-fenêtreAvancé.<br />
5 CliquezsurEnregistrer.<br />
6 Indiquezauxutilisateurslemotdepassetemporaire,desortequ’ilspuissentouvrirune<br />
session.<br />
Aprèsavoirouvertunesessionàl’aidedumotdepassetemporaire,unutilisateurpeut<br />
changerlemotdepasseencliquantsurComptesdansPréférencesSystème.<br />
Sivousmodifiezlemotdepassedecomptesdontletypedemotdepasseest<strong>Open</strong><br />
<strong>Directory</strong>etquecescomptesrésidentdansl’annuaireLDAPd’unerépliqueoud’un<br />
maître<strong>Open</strong><strong>Directory</strong>,lamodificationestsynchroniséeaveclemaîtreettoutesses<br />
répliques.<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>synchroniselesmodificationsdemotsdepasse<strong>Open</strong><br />
<strong>Directory</strong>entreunmaîtreetsesrépliques.<br />
124 Chapitre6Gestiondel’authentificationd’utilisateur
Modificationdutypedemotdepassed’unutilisateur<br />
Vouspouvezdéfinirletypedemotdepassedanslasous-fenêtreAvancédeGestionnairedegroupedetravail.Lestypesdemotdepassedisponiblessontlessuivants:<br />
 <strong>Open</strong><strong>Directory</strong>:activeplusieursméthodesd’authentificationhéritées,ainsique<br />
l’authentificationKerberosparsignatureuniquesilecomptedel’utilisateursetrouve<br />
dansl’annuaireLDAPd’unmaîtreoud’uneréplique<strong>Open</strong><strong>Directory</strong>.Lesmotsde<br />
passe<strong>Open</strong><strong>Directory</strong>sontstockésséparémentdelabasededonnéesduserveur<br />
demotsdepasse<strong>Open</strong><strong>Directory</strong>etducentrededistributiondeclésKerberos.<br />
Consultezlarubrique«Choixdutypedemotdepasse<strong>Open</strong><strong>Directory</strong>»àlapage125.<br />
 MotdepasseShadow:activeplusieursméthodesd’authentificationhéritéespour<br />
lescomptesd’utilisateursetrouvantdansledomainederépertoirelocal.Lesmots<br />
depasseShadowsontstockéshorsdudomainederépertoire,dansdesfichiersqui<br />
nesontlisiblesqueparlecompted’utilisateurroot.Consultezlarubrique«Choixdu<br />
typedemotdepasseshadowȈlapage128.<br />
 Motdepassecrypté:fournituneauthentificationélémentairepouruncompted’utilisateursetrouvantdansundomainederépertoirepartagé.Unmotdepassecrypté<br />
eststockédansl’enregistrementdecompted’utilisateur,dansledomainederépertoire.Unmotdepassecryptéestnécessairepourouvrirunesession<strong>Mac</strong><strong>OS</strong>X10.1<br />
ouantérieur.Consultezlarubrique«ChangementdutypedemotenMotdepasse<br />
crypté»àlapage127.<br />
Choixdutypedemotdepasse<strong>Open</strong><strong>Directory</strong><br />
AvecGestionnairedegroupedetravail,vouspouvezindiquerqu’uncompted’utilisateurdisposed’unmotdepasse<strong>Open</strong><strong>Directory</strong>stockédansdesbasesdedonnées<br />
sécuriséeshorsdudomainederépertoire.Lescomptesd’utilisateurdanslesdomaines<br />
derépertoiresuivantspeuventdisposerdemotsdepasse<strong>Open</strong><strong>Directory</strong>:<br />
 domainederépertoireLDAPsur<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>10.3–10.5<br />
 domainederépertoirelocalde<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>10.3ouserveurmisàniveauàpartir<br />
delaversion10.3<br />
 domainederépertoiresur<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>10.2configurépourutiliserunserveurde<br />
motsdepasse<br />
Letypedemotdepasse<strong>Open</strong><strong>Directory</strong>prendenchargelasignatureuniqueàl’aide<br />
del’authentificationKerberos.Ilprendaussienchargeleserveurdemotsdepasse<br />
<strong>Open</strong><strong>Directory</strong>,quioffredesprotocolesd’authentificationSimpleAuthenticationand<br />
SecurityLayer(SASL),notammentAPOP,CRAM-MD5,DHX,Digest-MD5,MS-CHAPv2,<br />
NTLMv2,NTLM(aussiappeléWindowsNTouSMB-NT),LANManager(LM)et<br />
WebDAV-Digest.<br />
Chapitre6Gestiondel’authentificationd’utilisateur 125
Remarque:pourréglerletypedemotdepassed’uncompted’utilisateursur<strong>Open</strong><br />
<strong>Directory</strong>,vousdevezposséderdesdroitsd’administrateurpourl’authentification<br />
<strong>Open</strong><strong>Directory</strong>dansledomainederépertoirecontenantlecompted’utilisateur.<br />
Celaveutdirequevousdevezvousauthentifierentantqu’administrateurdedomaine<br />
derépertoiredontletypedemotdepasseest<strong>Open</strong><strong>Directory</strong>.Pourensavoirplus,<br />
consultezlarubrique«Attributiondedroitsd’administrateurpourl’authentification<br />
<strong>Open</strong><strong>Directory</strong>Ȉlapage134.<br />
Pourindiquerqu’uncompted’utilisateurdoitavoirunmotdepasse<strong>Open</strong><strong>Directory</strong>:<br />
1 Assurez-vousquelecompterésidedansundomainederépertoirequigèrel’authentification<strong>Open</strong><strong>Directory</strong>.<br />
Lesdomainesderépertoirequiprennentenchargel’authentification<strong>Open</strong><strong>Directory</strong><br />
sontcitésplushautdanscetterubrique.<br />
2 DansGestionnairedegroupedetravail,ouvrezlecompteàutiliser(sicen’estdéjàfait).<br />
Pourouvriruncompte,cliquezsurleboutonComptes,puissurleboutonUtilisateurs.<br />
Cliquezsurl’icônedeglobesituéeau-dessusdelalistedesutilisateurs,puisutilisez<br />
lemenulocalpourouvrirledomainederépertoireoùrésidelecomptedel’utilisateur.<br />
Cliquezsurlecadenas,puisauthentifiez-vousentantqu’administrateurdedomaine<br />
derépertoiredontletypedemotdepasseest<strong>Open</strong><strong>Directory</strong>.Sélectionnezensuite<br />
l’utilisateurdanslaliste.<br />
3 CliquezsurAvancé.<br />
4 Danslemenulocal«Typedumotdepasse»,choisissez<strong>Open</strong><strong>Directory</strong>.<br />
5 Lorsquevousyêtesinvité,tapezetconfirmezunnouveaumotdepasse.<br />
Lemotdepassenedoitpascontenirplusde512octets(jusqu’à512caractèresd’aprèsla<br />
langue),bienqueleprotocoled’authentificationréseaupuisseimposerd’autreslimites,<br />
comme,parexemple,128caractèrespourNTLMv2etNTLM,et14pourLANManager.<br />
«Compositiond’unmotdepasse»àlapage122vousdonnedesindicationspour<br />
lechoixdemotsdepasse.<br />
6 Danslasous-fenêtreAvancé,cliquezsurOptionspourconfigurerlapolitiquedemot<br />
depassedel’utilisateur,puissurOKlorsquevousavezterminédechoisirvosoptions.<br />
Sivoussélectionnez«Désactiverl’ouverturedesession:àladatespécifiquedu»,<br />
utilisezlesflèchesverslehautetlebaspourdéfinirladate.<br />
Sivoussélectionnezuneoptionquinécessiteuneréinitialisation(unchangement)du<br />
motdepasse,souvenez-vousquetouslesprotocolesn’acceptentpaslechangement<br />
demotsdepasse.Parexemple,lesutilisateursnepeuventchangerleurmotdepasse<br />
lorsd’uneauthentificationauservicedecourrierIMAP.<br />
126 Chapitre6Gestiondel’authentificationd’utilisateur
L’identifiantdemotdepasseestunnombreuniqueà128bitsattribuélorsdelacréationdumotdepassedanslabasededonnéesduserveurdemotsdepasse<strong>Open</strong><br />
<strong>Directory</strong>.Ilpeuts’avérerutileencasdedépannage,carilapparaîtdansl’historiquedu<br />
serveurdemotsdepasselorsqu’unproblèmeseproduit.Pourensavoirplus,consultez<br />
larubrique«Affichagedesétatsetdeshistoriques<strong>Open</strong><strong>Directory</strong>»àlapage211.<br />
Pouraffichercethistorique<strong>Open</strong><strong>Directory</strong>,ouvrezAdminServeur.<br />
7 CliquezsurEnregistrer.<br />
ChangementdutypedemotenMotdepassecrypté<br />
Sinécessaire,vouspouvezutiliserGestionnairedegroupedetravailpourdéfinirun<br />
motdepassecryptépourlecompted’unutilisateur.Lesmotsdepassecryptésnepeuventêtreutilisésquepourlescomptesd’utilisateursetrouvantdansundomainede<br />
répertoirepartagé.Lecompted’utilisateurpeutapparteniràundomainederépertoire<br />
LDAPouàundomaineNetInfopartagéhérité(disponibleuniquementencasdeconnexionàunserveur<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>10.4,10.3ou10.2).<br />
Lescomptesd’utilisateurinutiliséssurlesordinateursquirequièrentunmotdepasse<br />
cryptédoiventavoirunmotdepasse<strong>Open</strong><strong>Directory</strong>ouunmotdepasseshadow.<br />
Unmotdepassecryptéestrequispourouvrirunesessionsurunordinateursous<br />
<strong>Mac</strong><strong>OS</strong>X10.1ouantérieuretsurlesordinateursexécutantcertainesvariantesd’UNIX.<br />
Unmotdepassecryptéeststockésouslaformed’unevaleurcryptée(ouhachage)dans<br />
laficheducompted’utilisateurdansledomainederépertoire.Lemotdepassecrypté<br />
étantfacilementaccessibleàpartirdudomainederépertoire,ilestsujetàdesattaques<br />
horsconnexion,cequilerendmoinssûrquelesautrestypesdemotdepasse.<br />
Pourindiquerqu’uncompted’utilisateurdoitêtredotéd’unmotdepassecrypté:<br />
1 DansGestionnairedegroupedetravail,ouvrezlecompteàutiliser(sicen’estdéjàfait).<br />
Pourouvriruncompte,cliquezsurleboutonComptes,puissurleboutonUtilisateurs.<br />
Cliquezsurl’icônedeglobesituéeau-dessusdelalistedesutilisateurs,puisutilisezle<br />
menulocalpourouvrirledomainederépertoireoùrésidelecomptedel’utilisateur.<br />
Cliquezsurlecadenasetauthentifiez-vousentantqu’administrateurdudomainede<br />
répertoire,puissélectionnezl’utilisateurdanslaliste.<br />
2 CliquezsurAvancé.<br />
3 Danslemenulocal«Typedumotdepasse»,choisissez«Motdepassecrypté».<br />
4 Lorsquevousyêtesinvité,tapezetconfirmezunmotdepasse.<br />
Lalongueurmaximaled’unmotdepassecryptéestdehuitoctets(huitcaractères<br />
ASCII).Sivoustapezunmotdepassepluslong,seulsleshuitpremiersoctetsseront<br />
utilisés.<br />
5 CliquezsurEnregistrer.<br />
Chapitre6Gestiondel’authentificationd’utilisateur 127
Choixdutypedemotdepasseshadow<br />
Gestionnairedegroupedetravailvouspermetd’indiquerqu’unutilisateurdispose<br />
d’unmotdepasseshadowstockédansunfichiersécuriséendehorsdudomainede<br />
répertoire.Seulslesutilisateursdontlescomptesrésidentdansledomainederépertoirelocalpeuventdisposerd’unmotdepasseshadow.<br />
Pourindiquerqu’uncompted’utilisateurdoitêtredotéd’unmotdepasseshadow:<br />
1 DansGestionnairedegroupedetravail,ouvrezlecompteàutiliser(sicen’estdéjàfait).<br />
Pourouvriruncompte,cliquezsurleboutonComptes,puissurleboutonUtilisateurs.<br />
Cliquezsurl’icônedeglobeau-dessusdelalistedesutilisateurs,puischoisissezdans<br />
lemenulocalledomainederépertoirelocaloùsetrouvelecomptedel’utilisateur.<br />
Cliquezsurlecadenasetauthentifiez-vousentantqu’administrateurdudomainede<br />
répertoire,puissélectionnezl’utilisateurdanslaliste.<br />
2 CliquezsurAvancé.<br />
3 Danslemenulocal«Typedumotdepasse»,choisissez«MotdepasseShadow».<br />
Remarque:vousnepouvezaffecterdesmotsdepasseShadowqu’àdescomptes<br />
d’utilisateurlocaux.<br />
4 Lorsquevousyêtesinvité,tapezetconfirmezunmotdepasse.<br />
Lesmotsdepasselongssonttronquéspourcertainesméthodesd’authentification.<br />
Les128premierscaractèresdumotdepassesontutiliséspourNTLMv2etNTLM,<br />
maisseulsles14premierscaractèressontutiliséspourLANManager.<br />
Larubrique«Compositiond’unmotdepasse»àlapage122fournitdesdirectives<br />
pourlechoixdesmotsdepasse.<br />
5 Danslasous-fenêtreAvancé,cliquezsurOptionspourconfigurerlapolitiquedemotde<br />
passedel’utilisateur,puissurOKlorsquevousavezterminédechoisirvosoptions.<br />
Sivoussélectionnez«Désactiverl’ouverturedesession:àladatespécifiquedu»,<br />
utilisezlesflèchesverslehautetlebaspourdéfinirladate.<br />
Sivousutilisezunepolitiquequinécessiteunchangementdemotdepassed’utilisateur,rappelonsquetouslesprotocolesn’acceptentpaslamodificationdemotsde<br />
passe.Parexemple,lesutilisateursnepeuventchangerleurmotdepasselorsd’une<br />
authentificationauservicedecourrierIMAP.<br />
6 Danslasous-fenêtreAvancé,cliquezsurSécuritépouractiveroudésactiverdesméthodes<br />
d’authentificationpourl’utilisateur,puissurOKlorsquevousavezterminé.<br />
Pourensavoirplus,consultezlarubrique«Configurationdespolitiquesdemotde<br />
passed’utilisateursindividuels»àlapage130.<br />
7 CliquezsurEnregistrer.<br />
128 Chapitre6Gestiondel’authentificationd’utilisateur
Activationdel’authentificationKerberosparsignature<br />
uniquepourunutilisateur<br />
L’activationdel’authentificationKerberosparsignatureuniquepouruncompted’utilisateurdansunannuaireLDAPde<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>sefaitendéfinissantletypedemot<br />
depasseducomptesur<strong>Open</strong><strong>Directory</strong>danslasous-fenêtreAvancédeGestionnaire<br />
degroupedetravail.<br />
Changementdepolitiquedemotdepasseglobale<br />
AdminServeurvouspermetdedéfinirunepolitiquedemotdepasseglobalepour<br />
lescomptesd’utilisateurd’undomainederépertoire<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>.<br />
Lapolitiquedemotdepasseglobaleaffectelescomptesd’utilisateurdudomainede<br />
répertoirelocalduserveur.Sileserveurestunmaîtreouuneréplique<strong>Open</strong><strong>Directory</strong>,<br />
lapolitiquedemotdepasseglobaleaffecteaussilescomptesd’utilisateurquiontun<br />
motdepassedetype<strong>Open</strong><strong>Directory</strong>dansledomainederépertoireLDAPduserveur.<br />
Sivousmodifiezlapolitiquedemotdepasseglobalesuruneréplique<strong>Open</strong><strong>Directory</strong>,<br />
lesréglagesdelapolitiquesontsynchronisésaveclemaîtreettouteslesautresrépliques.<br />
Lescomptesd’administrateurnesontpasaffectésparlespolitiquesdemotdepasse.<br />
Chaqueutilisateurpeutavoirunepolitiquedemotdepassedifférentequiredéfinit<br />
lesréglagesdelapolitiquedemotdepasseglobale.Pourensavoirplus,consultez<br />
larubrique«Configurationdespolitiquesdemotdepassed’utilisateursindividuels»à<br />
lapage130.<br />
Kerberosetleserveurdemotsdepasse<strong>Open</strong><strong>Directory</strong>maintiennentdespolitiquesde<br />
motdepasseséparées.<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>synchroniselesrèglesdelapolitiquedemot<br />
depassedeKerberosaveclesrèglesdelapolitiquedemotdepasseduserveurde<br />
motsdepasse<strong>Open</strong><strong>Directory</strong>.<br />
Pourchangerlapolitiquedemotdepasseglobaledescomptesd’utilisateurd’un<br />
mêmedomaine:<br />
1 OuvrezAdminServeuretconnectez-vousàunmaîtreouàuneréplique<strong>Open</strong><strong>Directory</strong>.<br />
2 Cliquezsurletrianglesetrouvantàgaucheduserveur.<br />
Lalistedesservicesapparaît.<br />
3 DanslalisteServeursdéveloppée,sélectionnez<strong>Open</strong><strong>Directory</strong>.<br />
4 CliquezsurRéglages,puissurRèglement.<br />
Chapitre6Gestiondel’authentificationd’utilisateur 129
5 CliquezsurMotsdepasse,puisdéfinissezlesoptionsdepolitiquedemotdepasse<br />
souhaitéespourlesutilisateursquinedisposentpasdeleurproprepolitiquedemot<br />
depasse.<br />
Sivoussélectionnezuneoptionquinécessiteuneréinitialisationdumotdepasse,<br />
souvenez-vousquecertainsprotocolesdeservicen’autorisentpaslamodification<br />
desmotsdepasse.Parexemple,lesutilisateursnepeuventchangerleurmotde<br />
passelorsd’uneauthentificationauservicedecourrierIMAP.<br />
6 CliquezsurEnregistrer.<br />
Lesrépliquesdumaître<strong>Open</strong><strong>Directory</strong>héritentautomatiquementdesapolitiquede<br />
motdepasseglobale.<br />
Àpartirdelalignedecommande<br />
Vouspouvezaussidéfinirdespolitiquesdemotdepasseàl’aidedelacommande<br />
pwpolicydansTerminal.Pourensavoirplus,consultezlechapitre<strong>Open</strong><strong>Directory</strong><br />
dudocument<strong>Administration</strong>delignedecommande.<br />
Configurationdespolitiquesdemotdepassed’utilisateurs<br />
individuels<br />
Àl’aidedeGestionnairedegroupedetravail,vouspouvezdéfinirdespolitiquesde<br />
motdepassepourlescomptesd’utilisateurdontletypedemotdepasseest<strong>Open</strong><br />
<strong>Directory</strong>ou«MotdepasseShadow».Lapolitiquedemotdepassed’unutilisateur<br />
primesurlapolitiquedemotdepasseglobaledéfiniedanslasous-fenêtreRéglages<br />
d’authentificationduservice<strong>Open</strong><strong>Directory</strong>dansAdminServeur.<br />
Lapolitiquedemotdepassepouruncompted’utilisateurmobiles’appliquelorsque<br />
lecompteestutiliséalorsquel’ordinateurportableestdéconnectéduréseau.<br />
Lapolitiquedemotdepasseprovenantducompted’utilisateurréseaucorrespondant<br />
s’appliquelorsquel’ordinateurportableestconnectéauréseau.<br />
Lescomptesd’administrateurnesontpasaffectésparlespolitiquesdemotdepasse.<br />
Pourdéfinirunepolitiquedemotdepassepouruncompted’utilisateurquidispose<br />
d’unmotdepasse<strong>Open</strong><strong>Directory</strong>,vousdevezposséderdesdroitsd’administrateur<br />
pourl’authentification<strong>Open</strong><strong>Directory</strong>dansledomainederépertoirecontenantle<br />
compted’utilisateur.Celaveutdirequevousdevezvousauthentifierentantqu’administrateurdedomainederépertoiredontletypedemotdepasseest<strong>Open</strong><strong>Directory</strong>.<br />
Pourensavoirplus,consultezlarubrique«Attributiondedroitsd’administrateurpour<br />
l’authentification<strong>Open</strong><strong>Directory</strong>»àlapage134.<br />
130 Chapitre6Gestiondel’authentificationd’utilisateur
Kerberosetleserveurdemotsdepasse<strong>Open</strong><strong>Directory</strong>maintiennentdespolitiquesde<br />
motdepasseséparées.<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>synchroniselesrèglesdelapolitiquedemot<br />
depasseKerberosaveclesrèglesdelapolitiquedemotdepasseduserveurdemots<br />
depasse<strong>Open</strong><strong>Directory</strong>.<br />
N’utilisezpasleboutonOptionsdelasous-fenêtreAvancépourconfigurerdespolitiquesdemotdepassepourdesadministrateursdedomainederépertoire.Lespolitiquesdemotdepassen’affectentpaslescomptesd’administrateur.Lesadministrateurs<br />
dedomainesderépertoiredoiventpouvoirchangerlespolitiquesdemotdepassedes<br />
comptesd’utilisateur.<br />
Pourchangerlapolitiquedemotdepassed’uncompted’utilisateur:<br />
1 DansGestionnairedegroupedetravail,ouvrezlecompteàutiliser(sicen’estdéjàfait).<br />
Pourouvriruncompte,cliquezsurleboutonComptes,puissurleboutonUtilisateurs.<br />
Cliquezsurl’icônedeglobesituéeau-dessusdelalistedesutilisateurs,puisutilisezle<br />
menulocalpourouvrirledomainederépertoireoùrésidelecomptedel’utilisateur.<br />
Cliquezsurlecadenas,puisauthentifiez-vousentantqu’administrateurdedomaine<br />
derépertoiredontletypedemotdepasseest<strong>Open</strong><strong>Directory</strong>.Sélectionnezensuite<br />
l’utilisateurdanslaliste.<br />
2 CliquezsurAvancé,puissurOptions.<br />
VousnepouvezcliquersurOptionsquesiletypedemotdepasseest<strong>Open</strong><strong>Directory</strong><br />
ouMotdepasseShadow.<br />
3 Modifiezlesoptionsdepolitiquedemotdepasse,puiscliquezsurOK.<br />
Sivoussélectionnezuneoptionquinécessiteuneréinitialisation(modification)dumot<br />
depasse,souvenez-vousquecertainsprotocolesdeservicen’autorisentpaslamodificationdesmotsdepasse.Parexemple,lesutilisateursnepeuventchangerleurmotde<br />
passelorsd’uneauthentificationauservicedecourrierIMAP.<br />
4 CliquezsurEnregistrer.<br />
Àpartirdelalignedecommande<br />
Vouspouvezaussidéfinirdespolitiquesdemotdepasseàl’aidedelacommande<br />
pwpolicydansTerminal.Pourensavoirplus,consultezlechapitre<strong>Open</strong><strong>Directory</strong>du<br />
document<strong>Administration</strong>delignedecommande.<br />
Chapitre6Gestiondel’authentificationd’utilisateur 131
Sélectiondeméthodesd’authentificationpourdesutilisateurs<br />
demotsdepasseshadow<br />
Àl’aidedeGestionnairedegroupedetravail,vouspouvezsélectionnerlesméthodes<br />
d’authentificationquiserontdisponiblespouruncompted’utilisateurdontletypede<br />
motdepasseestMotdepasseShadow.<br />
UnmotdepasseShadowprendenchargelesméthodesd’authentificationdisponibles<br />
pourlacompatibilitéaveccertainslogicielsclients.Sivoussavezquel’utilisateurn’utiliserajamaisunlogicielclientquirequiertuneméthoded’authentificationparticulière,<br />
vouspouvezdésactivercetteméthode.Pourensavoirplus,reportez-vousàlarubrique<br />
«Désactivationdesméthodesd’authentificationdemotsdepasseshadow»àlapage62.<br />
Sivousdésactivezuneméthoded’authentification,sonhachageserasupprimédu<br />
fichierdemotsdepasseShadowdel’utilisateuràlaprochaineauthentificationde<br />
celui-ci.<br />
Sivousactivezuneméthoded’authentificationquiétaitdésactivée,lehachagedela<br />
méthodeactivéeseraajoutéaufichierdemotsdepasseShadowdel’utilisateurlaprochainefoisquecelui-cis’authentifierapourutiliserunserviceprenantenchargeles<br />
motsdepasseenclaircomme,parexemple,unefenêtred’ouverturedesessionouAFP.<br />
D’unautrecôté,lemotdepassedel’utilisateurpeutêtreréinitialisépourajouterle<br />
condensénumériquedelaméthodenouvellementactivée.Lesutilisateurspeuvent<br />
réinitialiserleurspropresmotsdepasseouunadministrateurderépertoirepeut<br />
lefairepoureux.<br />
Pouractiveroudésactiverdesméthodesd’authentificationpourdescomptesd’utilisateurdontletypedemotdepasseest<strong>Open</strong><strong>Directory</strong>,consultezlarubriquesuivante.<br />
Pouractiveroudésactiverdesméthodesd’authentificationpourunutilisateurde<br />
motdepasseshadow:<br />
1 DansGestionnairedegroupedetravail,ouvrezlecompteàutiliser(sicen’estdéjàfait).<br />
Pourouvriruncompte,cliquezsurleboutonComptes,puissurleboutonUtilisateurs.<br />
Cliquezsurl’icônedeglobeau-dessusdelalistedesutilisateurs,puischoisissezdans<br />
lemenulocalledomainederépertoirelocaloùsetrouvelecomptedel’utilisateur.<br />
Cliquezsurlecadenasetauthentifiez-vousentantqu’administrateurdedomainede<br />
répertoire.Sélectionnezensuitel’utilisateurdanslaliste.<br />
2 CliquezsurAvancé,puissurSécurité.<br />
VousnepouvezcliquersurSécuritéquesiletypedemotdepasseest«Motdepasse<br />
Shadow».<br />
3 Sélectionnezlesméthodesd’authentificationquevoussouhaitezactiver,désélectionnez<br />
cellesquevoussouhaitezdésactiver,puiscliquezsurOK.<br />
4 CliquezsurEnregistrer.<br />
132 Chapitre6Gestiondel’authentificationd’utilisateur
Àpartirdelalignedecommande<br />
Vouspouvezaussiactiveroudésactiverdesméthodesd’authentificationpourun<br />
utilisateurpossédantunmotdepasseShadowàl’aidedelacommandepwpolicy<br />
dansTerminal.Pourensavoirplus,consultezlechapitre<strong>Open</strong><strong>Directory</strong>dudocument<br />
<strong>Administration</strong>delignedecommande.<br />
Sélectiondeméthodesd’authentificationpourdesutilisateurs<br />
demotsdepasse<strong>Open</strong><strong>Directory</strong><br />
Àl’aided’AdminServeur,vouspouvezsélectionnerlesméthodesd’authentification<br />
quiserontdisponiblespourlescomptesd’utilisateurdontletypedemotdepasse<br />
est<strong>Open</strong><strong>Directory</strong>.Lemotdepasse<strong>Open</strong><strong>Directory</strong>prendenchargelesméthodes<br />
d’authentificationdisponiblespourlacompatibilitéaveccertainslogicielsclients.<br />
Sivoussavezquelesutilisateursn’utiliserontjamaisunlogicielclientquirequiert<br />
uneméthoded’authentificationparticulière,vouspouvezdésactivercetteméthode.<br />
Pourensavoirplus,consultezlarubrique«Désactivationdesméthodesd’authentification<strong>Open</strong><strong>Directory</strong>»àlapage60.<br />
Important:sivousdésactivezuneméthoded’authentification,sonhachageserasupprimédelabasededonnéesdemotsdepasseàlaprochaineauthentificationdel’utilisateur.Sivousactivezuneméthoded’authentificationquiétaitdésactivée,chaquemot<br />
depasse<strong>Open</strong><strong>Directory</strong>doitêtreréinitialisépourajouterlehachagedelaméthode<br />
activéeàlabasededonnéesdemotsdepasse.Lesutilisateurspeuventréinitialiser<br />
leurspropresmotsdepasseouunadministrateurderépertoirepeutlefairepoureux.<br />
Pouractiveroudésactiverdesméthodesd’authentificationpourdescomptesd’utilisateurdontletypedemotdepasseest«MotdepasseShadow»,consultezlarubrique<br />
«Configurationdespolitiquesdemotdepassed’utilisateursindividuels»àlapage130.<br />
Pouractiveroudésactiverdesméthodesd’authentificationpourdesmotsdepasse<br />
<strong>Open</strong><strong>Directory</strong>:<br />
1 OuvrezAdminServeuretconnectez-vousàunmaître<strong>Open</strong><strong>Directory</strong>.<br />
2 Cliquezsurletrianglesetrouvantàgaucheduserveur.<br />
Lalistedesservicesapparaît.<br />
3 DanslalisteServeursdéveloppée,sélectionnez<strong>Open</strong><strong>Directory</strong>.<br />
4 CliquezsurRéglages,puissurRèglement.<br />
5 CliquezsurAuthentification,sélectionnezlesméthodesd’authentificationàactiveret<br />
désélectionnezcellesquevoussouhaitezdésactiver.<br />
6 CliquezsurEnregistrer.<br />
Lesrépliquesdumaître<strong>Open</strong><strong>Directory</strong>héritentdesréglagesdeméthoded’authentificationdesmotsdepasse<strong>Open</strong><strong>Directory</strong>figurantdansl’annuaireLDAP.<br />
Chapitre6Gestiondel’authentificationd’utilisateur 133
Àpartirdelalignedecommande<br />
Vouspouvezaussiactiveroudésactiverdesméthodesd’authentificationduserveurde<br />
motsdepassepourlesmotsdepasse<strong>Open</strong><strong>Directory</strong>àl’aidedelacommandeNeST<br />
aveclesarguments-getprotocolset-setprotocolsdansTerminal.Pourensavoirplus,<br />
consultezlechapitre<strong>Open</strong><strong>Directory</strong>dudocument<strong>Administration</strong>delignedecommande.<br />
Attributiondedroitsd’administrateurpourl’authentification<br />
<strong>Open</strong><strong>Directory</strong><br />
Àl’aidedeGestionnairedegroupedetravailetd’uncompted’administrateurpossédantlesdroitsnécessairespourdéfinirdesréglagesdemotdepasse<strong>Open</strong><strong>Directory</strong>,<br />
vouspouvezattribuercesdroitsàd’autrescomptesd’utilisateurdumêmedomaine<br />
derépertoire.<br />
Pourassignercesdroits,votrecompted’utilisateurdoitavoirunmotdepasse<strong>Open</strong><br />
<strong>Directory</strong>etlesautorisationsnécessairespouradministrerdescomptesd’utilisateur.<br />
Cetterestrictionrenforcelaprotectiondesmotsdepassestockésdanslecentrede<br />
distributiondeclésKerberosetdanslabasededonnéesduserveurdemotsdepasse<br />
<strong>Open</strong><strong>Directory</strong>.<br />
Pourattribuerdesdroitsd’administrateurpourl’authentification<strong>Open</strong><strong>Directory</strong>à<br />
uncompted’utilisateur:<br />
1 DansGestionnairedegroupedetravail,ouvrezlecompte,cliquezsurAvancéetassurez-vousqueletypedemotdepasseestbiendéfinisur<strong>Open</strong><strong>Directory</strong>.<br />
Pourensavoirplus,consultezlarubrique«Choixdutypedemotdepasse<strong>Open</strong><br />
<strong>Directory</strong>Ȉlapage125.<br />
2 CliquezsurPrivilèges,puischoisissezIntégraldanslemenulocalCapacitésd’administration.<br />
Pourlimiterlescapacitésd’administration,choisissezLimité.<br />
3 CliquezsurEnregistrer.<br />
Pourensavoirplussurladéfinitiondesautorisationsadministrateur,consultezleguide<br />
Gestiondesutilisateurs.<br />
134 Chapitre6Gestiondel’authentificationd’utilisateur
Synchronisationdesmotsdepassed’administrateurprincipaux<br />
Pour<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>10.3,avoirdesmotsdepassedifférentspourlecompted’administrateurlocaletlecompted’administrateurLDAP(identifiantd’utilisateur501)peut<br />
prêteràconfusion.C’estpourquoiilestrecommandédegarderlesmêmesmotsde<br />
passe.Surunserveur<strong>Open</strong><strong>Directory</strong>misàniveauàpartirde<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>10.3,<br />
lecompted’administrateurprincipalexiste,enprincipe,dansledomainederépertoire<br />
localduserveuretdanssonannuaireLDAP.Cecompteaétécopiédudomainede<br />
répertoirelocalversl’annuaireLDAPlorsdelacréationdumaître<strong>Open</strong><strong>Directory</strong>avec<br />
<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>10.3.<br />
Àl’origine,lesdeuxcopiesdececompteavaienttoutesdeuxl’identifiantd’utilisateur<br />
501,lemêmenometlemêmemotdepasse.Chaquecompteestunadministrateur<br />
desondomainederépertoireetlesdeuxsontdesadministrateursdeserveur.<br />
LorsquevousvousconnectezauserveurdansGestionnairedegroupedetravailàl’aide<br />
dunometdumotdepasseducompte,vousêtesauthentifiépourledomainede<br />
répertoirelocaletledomainederépertoireLDAP.<br />
Sivouschangezundesdeuxmotsdepasse,vousneserezplusauthentifiépourles<br />
deuxdomainesderépertoire.Parexemple,sivousutilisezlemotdepassedel’administrateurlocallorsquevousvousconnectezauserveurdansGestionnairedegroupede<br />
travail,vousnepouvezapporterdesmodificationsqu’audomainederépertoirelocal.<br />
Pourapporterdesmodificationsàl’annuaireLDAP,vousdevezcliquersurlecadenaset<br />
vousauthentifieràl’aidedumotdepassedel’administrateurLDAP.<br />
Remarque:unserveur<strong>Open</strong><strong>Directory</strong>crééavec<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>10.5possèdedes<br />
comptesd’administrateurdifférentspoursonrépertoirelocaletsonannuaireLDAP.<br />
Ilssontdotésdenomsetd’identifiantsd’utilisateurdifférents,cequipermetd’utiliser<br />
desmotsdepassedifférentssansprêteràconfusion.<br />
Activationdel’authentificationparliaisonLDAPpourun<br />
utilisateur<br />
Vouspouvezactiverl’utilisationdel’authentificationparliaisonLDAPpouruncompte<br />
d’utilisateurstockédansundomainederépertoireLDAP.Cettetechniquedevalidation<br />
demotdepassesefieauserveurLDAPcontenantlecompted’utilisateurpourauthentifierlemotdepassedel’utilisateur.<br />
Important:silenomdevotreordinateurcontientuntraitd’union,vousrisquezde<br />
nepaspouvoirrejoindreouvouslieràundomainederépertoiretelqueLDAPou<br />
Active<strong>Directory</strong>.Pourétablirlaliaison,utilisezunnomd’ordinateurnecontenantpas<br />
detraitd’union.<br />
Chapitre6Gestiondel’authentificationd’utilisateur 135
Pouractiverl’authentificationdesutilisateursparliaisonLDAP:<br />
1 Assurez-vousquel’ordinateur<strong>Mac</strong><strong>OS</strong>Xquidoitauthentifierlecompted’utilisateurdisposed’uneconnexionàl’annuaireLDAPdanslequellecompted’utilisateurrésideet<br />
quelapolitiquederecherchedel’ordinateurcontientlaconnexionàl’annuaireLDAP.<br />
PourensavoirplussurlaconfigurationdesconnexionsauserveurLDAPetdelapolitiquederecherche,consultezlarubrique«Utilisationdesréglagesavancésdesservices<br />
LDAPȈlapage157.<br />
2 SivousconfigurezuneconnexionLDAPquinemappepaslesattributsdemotde<br />
passeetd’autoritéd’authentification,l’authentificationdeliaisonseraautomatique.<br />
Pourensavoirplus,consultezlarubrique«Configurationdesrecherchesetmappages<br />
LDAPȈlapage173.<br />
3 Silaconnexionestconfiguréepourautoriserlesmotsdepasseenclair,elledoitaussi<br />
êtreconfiguréepourutiliserleprotocoleSSLdefaçonàprotégerlemotdepasseen<br />
clairpendantletransit.<br />
Pourensavoirplus,consultezlesrubriques«Modificationdelapolitiquedesécurité<br />
pouruneconnexionLDAP»àlapage171et«Modificationdesréglagesdeconnexion<br />
d’unrépertoireLDAP»àlapage170.<br />
Configurationdemotsdepassed’utilisateursexportésou<br />
importés<br />
Lorsquevousexportezdescomptesd’utilisateurdontletypedemotdepasseest<br />
<strong>Open</strong><strong>Directory</strong>ouMotdepasseshadow,lesmotsdepassenesontpasexportés.<br />
Celaprotègelabasededonnéesduserveurdemotsdepasse<strong>Open</strong><strong>Directory</strong>et<br />
lesfichiersdemotsdepasseshadow.<br />
Avantl’importation,vouspouvezouvrirlefichierdesutilisateursexportésdansun<br />
tableuretdéfinirleurmotdepasse,qu’ilspourrontmodifierlorsdeleurprochaine<br />
ouverturedesession.Pourobtenirdesinstructionssurl’utilisationdesfichiersd’utilisateursexportés,consultezleguideGestiondesutilisateurs.<br />
Aprèsl’importation,vousdisposezdespossibilitéssuivantespourdéfinirlesmotsde<br />
passedescomptesd’utilisateurimportés:<br />
 Vouspouvezaffecteràtouslescomptesd’utilisateurimportésunmotdepassetemporairequechaqueutilisateurpourramodifierlorsdesaprochaineouverturedesession.Pourensavoirplus,consultezlarubrique«Réinitialisationdesmotsdepassede<br />
plusieursutilisateursȈlapage124.<br />
 Vouspouvezdéfinirlemotdepassedechaquecompted’utilisateurimportédans<br />
lasous-fenêtreÉlémentairedeGestionnairedegroupedetravail.Pourensavoirplus,<br />
consultezlarubrique«Modificationdumotdepassed’unutilisateur»àlapage123.<br />
136 Chapitre6Gestiondel’authentificationd’utilisateur
Migrationdemotsdepasseàpartirde<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>10.1<br />
ouantérieur<br />
Ilestpossibledefairemigrerlescomptesd’utilisateurdeversionsantérieures<br />
de<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>enimportantlesfichesdescomptesouenmettantàniveau<br />
leserveuroùilsrésident.<br />
Lescomptesd’utilisateurcréésavec<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>10.1ouantérieurn’ontpasd’attributd’autoritéd’authentificationmaispossèdentdesmotsdepassecryptés.Pourconserverlacompatibilitéaveccescomptesd’utilisateur,<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>considèrequ’un<br />
compted’utilisateursansattributd’autoritéd’authentificationpossèdeunmotde<br />
passecrypté.<br />
Pourensavoirplussurl’importationdecomptesd’utilisateur,consultezleguide<br />
Gestiondesutilisateurs.<br />
Sivousimportezdescomptesd’utilisateurde<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>10.1ouantérieur,ilsne<br />
possèdentpasd’attributd’autoritéd’authentification.Parconséquent,ilssontconfigurésinitialementpourdisposerdemotsdepassecryptés.<br />
Sivousimportezcescomptesd’utilisateurdansledomainederépertoirelocalduserveur,ilssontconvertisd’unmotdepassecryptéenunmotdepasseShadowlorsque<br />
l’utilisateuroul’administrateurmodifielemotdepasseoulorsquel’utilisateur<br />
s’authentifiepourutiliserunserviceprenantenchargeuneméthoded’authentificationrécupérable.<br />
Demême,sivousréalisezunemiseàniveauàpartirde<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>10.1ouantérieur,lescomptesd’utilisateurcréésavantlamiseàniveaunepossèdentpasd’attribut<br />
d’autoritéd’authentification.Aprèsleurmiseàniveau,cescomptessontsupposés<br />
disposerdemotsdepassecryptés.<br />
Bienqu’ilsoitpossibledecontinueràutiliserlesmotsdepassecryptésexistantsaprès<br />
l’importationoulamiseàniveau,vouspouvezmodifierlescomptesd’utilisateurpour<br />
qu’ilsutilisentdesmotsdepasse<strong>Open</strong><strong>Directory</strong>oudesmotsdepasseShadow.<br />
Vouspouvezmodifierdescomptesd’utilisateurindividuelsouplusieurscomptesd’utilisateuràl’aidedeGestionnairedegroupedetravail.Lamodificationdutypedemot<br />
depassed’uncompted’utilisateurréinitialisesonmotdepasse.Pourensavoirplus,<br />
consultezlesrubriques«Choixdutypedemotdepasse<strong>Open</strong><strong>Directory</strong>»àlapage125<br />
et«Choixdutypedemotdepasseshadow»àlapage128.<br />
Certainscomptesd’utilisateurcréésavec<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>10.1ouantérieurpeuventutiliserGestionnaired’authentification.Ils’agitd’unetechnologiehéritéepourl’authentificationdesutilisateursdeservicedefichiersWindowset<strong>Apple</strong>dontlesordinateurs<br />
<strong>Mac</strong><strong>OS</strong>8n’ontpasétémisàniveauaveclelogicielclientAFPversion3.8.3ouultérieure.<br />
Chapitre6Gestiondel’authentificationd’utilisateur 137
Lorsdelamigrationd’utilisateursGestionnaired’authentification,vousdisposezdes<br />
possibilitéssuivantes:<br />
 Sivousmettezd’abordàniveauleserveur<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>delaversion10.1àlaversion10.2,puisàlaversion10.5,lesutilisateursexistantspeuventcontinueràutiliser<br />
leurmotdepasse.<br />
 Vouspouvezchangertoutoupartiedescomptesd’utilisateurmisàniveaupour<br />
qu’ilsutilisentdesmotsdepasse<strong>Open</strong><strong>Directory</strong>oudesmotsdepasseshadow,<br />
plussûrsquelesmotsdepassecryptés.Pourensavoirplus,consultezlasection<br />
<strong>Administration</strong>d’<strong>Open</strong><strong>Directory</strong>.<br />
 Sileserveurmisàniveaudisposed’undomaineNetInfopartagéetquevousle<br />
migrezversunannuaireLDAP,touslescomptesd’utilisateursontconvertisenmots<br />
depasse<strong>Open</strong><strong>Directory</strong>.<br />
 Chaquecompted’utilisateursetrouvantdansledomainederépertoirelocaldu<br />
serveurestconvertid’unmotdepassecryptéenunmotdepasseShadowlorsque<br />
l’utilisateuroul’administrateurmodifielemotdepasseoulorsquel’utilisateur<br />
s’authentifiepourutiliserunserviceprenantenchargeuneméthoded’authentificationrécupérable.<br />
 Sivousimportezdescomptesd’utilisateurquiutilisentGestionnaired’authentificationdansl’annuaireLDAP,ilssontconvertispourutiliserdesmotsdepasse<strong>Open</strong><br />
<strong>Directory</strong>pendantl’importation.<br />
138 Chapitre6Gestiondel’authentificationd’utilisateur
7 Gestiondesclientsderépertoire<br />
7<br />
Exécutezl’Utilitairederépertoirepourconfigureretgérer<br />
lemoded’accèsd’unordinateurdotéde<strong>Mac</strong><strong>OS</strong>Xou<br />
<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>auxservicesderépertoire.<br />
Aprèsavoirconfigurévotreserveurderépertoire,vouspouvezyconnecterdesordinateursclientsàl’aidedel’Utilitairederépertoire.Vouspouvezutiliserl’Utilitairede<br />
répertoirepourvousconnecteràdesordinateursdistantsetmodifierleursréglages,<br />
cequisimplifielagestiondesordinateurs.<br />
Connexiondeclientsauxserveursderépertoire<br />
Lesrubriquessuivantesexpliquentcommentajouter,supprimer,modifieretcontrôler<br />
desserveursderépertoiredanslalisteServeursderépertoiredel’Utilitairederépertoire.<br />
 «Àproposdesconnexionsauxserveursderépertoire»àlapage139<br />
 «Configurationautomatiquedesclients»àlapage140<br />
 «Ajoutd’uneconnexionàunserveurActive<strong>Directory</strong>»àlapage141<br />
 «Ajoutd’uneconnexionàunserveur<strong>Open</strong><strong>Directory</strong>»àlapage142<br />
 «Suppressiond’uneconnexionàunserveurderépertoire»àlapage142<br />
 «Modificationd’uneconnexionàunserveurderépertoire»àlapage143<br />
 «Contrôledesconnexionsauxserveursderépertoire»àlapage143<br />
Àproposdesconnexionsauxserveursderépertoire<br />
Vouspouvezutiliserl’Utilitairederépertoirepourconnecterdesordinateursauxserveursderépertoire.Lasous-fenêtreServeursderépertoiredel’Utilitairederépertoire<br />
répertorielesserveursderépertoireauxquelsvotreordinateurestconnecté.Votreordinateur<strong>Mac</strong><strong>OS</strong>Xaccèdeauxserveursdelalistepourrécupérerlesdonnéesd’utilisateuretautresdonnéesadministrativesstockéesdansledomainederépertoiredes<br />
serveursderépertoire.<br />
139
LorsquevousajoutezousupprimezunserveurdanslalisteServeursderépertoire,<br />
lesentréesassociéesàceserveurderépertoiresontajoutéesousuppriméesdansles<br />
listesServices,AuthentificationetContacts.Toutefois,sivoussupprimezlesentrées<br />
associéesauserveurdeslistesServices,AuthentificationetContacts,leserveurde<br />
répertoiren’estpassupprimédelalisteServeursderépertoire.<br />
Lesordinateurs<strong>Mac</strong><strong>OS</strong>X10.5peuventseconnecteràunserveurderépertoire<strong>Open</strong><br />
<strong>Directory</strong>,Active<strong>Directory</strong>ou<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>.Sivousnesavezpasàquelserveurvous<br />
connecter,demandezàvotreadministrateurréseau.<br />
Important:silenomdevotreordinateurcontientuntraitd’union,vousrisquezdene<br />
paspouvoirrejoindreouvouslieràundomainederépertoiretelqueLDAPouActive<br />
<strong>Directory</strong>.Pourétablirlaliaison,utilisezunnomd’ordinateurnecontenantpasdetrait<br />
d’union.<br />
Configurationautomatiquedesclients<br />
Lorsquevousvousconnectezàundomaine<strong>Open</strong><strong>Directory</strong>jouantlerôledeserveur<br />
deconfigurationstandardoudegroupedetravail<strong>Mac</strong><strong>OS</strong>X,l’Utilitairederépertoire<br />
vousaideàconfigurervotreordinateur.<br />
Pourvousconnecteràunserveurdeconfigurationstandardoudegroupedetravail:<br />
1 Ouvrezl’Utilitairederépertoire(dans/Applications/Utilitaires/).<br />
2 Sil’icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret<br />
tapezlenometlemotdepassed’unadministrateur.<br />
3 CliquezsurServeursderépertoire,puissurleboutonAjouter(+).<br />
4 Danslemenulocal«Ajouterunnouveaurépertoiredetype»,choisissez<strong>Open</strong><strong>Directory</strong>.<br />
5 Danslechamp«NomduserveurouadresseIP»,saisissezlenomoul’adresseIPdu<br />
serveur.<br />
6 (Sousréserve)Avantdecocherlacase«ChiffrerviaSSL»,demandezàvotreadministrateur<strong>Open</strong><strong>Directory</strong>sileprotocoleSSLestrequis.<br />
7 Danslasous-fenêtreIntroduction,lalistedesservicesoffertsparleserveurauquelvous<br />
vousconnectezs’affiche.CliquezsurDémarrerlaconfiguration.<br />
8 Saisissezlesinformationsd’authentificationduserveurauquelvousvousconnectez.<br />
DansleschampsNometMotdepasse,saisissezlenometlemotdepassedel’administrateurduserveurauquelvousvousconnectez.<br />
Saisissezlemotdepasseducompted’utilisateurquiapparaîtdans«Saisissezlemot<br />
depasseducomptenomd’utilisateursurcetordinateur».<br />
9 CliquezsurContinuer.<br />
140 Chapitre7Gestiondesclientsderépertoire
10 SousOptionsdeconfiguration,indiquezsivoussouhaitezlaisserl’Utilitairederépertoireconfigurervosapplications.<br />
SélectionnezOuisivoussouhaitezqueleserveurconfigurevotreapplicationpour<br />
qu’elleutiliselesservicesqu’iloffre.<br />
SélectionnezNonpourcontournercetteconfiguration.<br />
11 CliquezsurContinuer.<br />
12 CliquezsurTerminerlaconfiguration.<br />
L’Utilitairederépertoireconfigurevotreordinateur.<br />
13 CliquezsurFermerlasessionpourvousdéconnecterdel’ordinateur.<br />
Pourutiliserlesnouveauxservices,ouvrezunenouvellesession.<br />
Cliquezsur«Nepasfermerlasession»sivoussouhaitezresterconnectéauserveur.<br />
Ajoutd’uneconnexionàunserveurActive<strong>Directory</strong><br />
PourvousconnecteràunserveurActive<strong>Directory</strong>,vousdevezconnaîtresonnomou<br />
sonadresseIP,ainsiquelenomd’utilisateuretlemotdepassedel’administrateur<br />
Active<strong>Directory</strong>.<br />
PourajouterunserveurActive<strong>Directory</strong>:<br />
1 Ouvrezl’Utilitairederépertoire(dans/Applications/Utilitaires/).<br />
2 Sil’icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret<br />
tapezlenometlemotdepassed’unadministrateur.<br />
3 CliquezsurleboutonAjouter(+).<br />
4 Danslemenulocal«Ajouterunnouveaurépertoiredetype»,choisissezActive<strong>Directory</strong>,<br />
puissaisissezlesinformationssuivantes:<br />
 DomaineActive<strong>Directory</strong>:nomDNSouadresseIPduserveurActive<strong>Directory</strong>.<br />
 Identifiantdel’ordinateur:vouspouvezindiquerl’identifiantquevoussouhaitez<br />
qu’Active<strong>Directory</strong>utilisepourvotreserveur(facultatif).Ils’agitdunomNetBI<strong>OS</strong><br />
duserveur.Cenomnedoitpascomporterplusde15caractères,sanscaractères<br />
spéciauxniponctuation.Pourdesraisonspratiques,vouspouvezutiliserlenom<br />
d’hôteDNSabrégéduserveur.Parexemple,sivotreserveurDNSpossèdeuneentrée<br />
«serveur.exemple.com»pourvotreserveur,attribuezlenom«serveur»àvotreserveur.<br />
 Nomd’utilisateuretmotdepassedel’administrateurAD:saisissezlenomd’utilisateur<br />
etlemotdepassedel’administrateurActive<strong>Directory</strong>.<br />
5 CliquezsurOK.<br />
Chapitre7Gestiondesclientsderépertoire 141
Ajoutd’uneconnexionàunserveur<strong>Open</strong><strong>Directory</strong><br />
Pourajouterunserveur<strong>Open</strong><strong>Directory</strong>,vousdevezconnaîtresonnomousonadresse<br />
IPetsavoirs’ilutiliseleprotocoleSSL(SecureSocketLayer).<br />
Pourajouterunserveur<strong>Open</strong><strong>Directory</strong>:<br />
1 Ouvrezl’Utilitairederépertoire(dans/Applications/Utilitaires/).<br />
2 Sil’icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret<br />
tapezlenometlemotdepassed’unadministrateur.<br />
3 CliquezsurleboutonAjouter(+).<br />
4 Danslemenulocal«Ajouterunnouveaurépertoiredetype»,choisissez<strong>Open</strong><strong>Directory</strong>.<br />
5 Danslechamp«NomduserveurouadresseIP»,saisissezlenomoul’adresseIPdu<br />
serveur.<br />
6 (Sousréserve)Avantdecocherlacase«ChiffrerviaSSL»,demandezàvotreadministrateur<strong>Open</strong><strong>Directory</strong>sileprotocoleSSLestrequis.<br />
Important:sivousmodifiezvosadresseIPetnomd’ordinateuràl’aidedel’outilchangeipalorsquevousêtesconnectéàunserveurderépertoire,vousdevezvousdéconnecterpuisvousreconnecteràceserveurpourquelerépertoireprenneencompte<br />
lenouveaunometlanouvelleadresseIPdel’ordinateur.Sivousnevousdéconnecter<br />
puisreconnecterpasauserveurderépertoire,lerépertoireneserapasmisàjouret<br />
continuerad’utiliserl’anciennometl’ancienneadresseIPdel’ordinateur.<br />
Suppressiond’uneconnexionàunserveurderépertoire<br />
Avantdesupprimerunserveurderépertoiredel’Utilitairederépertoire,assurez-vous<br />
quevousn’utilisezpassesservicespourd’autresapplications.<br />
Parexemple,siMailestconfigurépourutiliserleserveurderépertoirepourlarecherchedepersonnesetquevoussupprimezceserveurderépertoire,vousnepourrez<br />
plusrechercherlespersonnesfigurantsurcedernier.<br />
Poursupprimerunserveurderépertoire:<br />
1 Ouvrezl’Utilitairederépertoire(dans/Applications/Utilitaires/).<br />
2 Sil’icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret<br />
tapezlenometlemotdepassed’unadministrateur.<br />
3 DanslalisteServeursderépertoire,sélectionnezleserveurderépertoireàsupprimer.<br />
4 CliquezsurleboutonSupprimer(–).<br />
5 Sivousêtessûrd’avoirsélectionnélebonserveurderépertoire,cliquezsur«Arrêter<br />
l’utilisationduserveur».<br />
142 Chapitre7Gestiondesclientsderépertoire
Modificationd’uneconnexionàunserveurderépertoire<br />
Vouspouvezutiliserl’Utilitairederépertoirepourmodifierlesserveursderépertoire<br />
auxquelsvousêtesconnecté.<br />
Pourmodifieruneconnexionàunserveurderépertoire:<br />
1 Ouvrezl’Utilitairederépertoire(dans/Applications/Utilitaires/).<br />
2 Sil’icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret<br />
tapezlenometlemotdepassed’unadministrateur.<br />
3 DanslalisteServeursderépertoire,sélectionnezleserveurderépertoireàmodifier.<br />
4 CliquezsurleboutonModifier(/).<br />
5 Modifiezlesréglagesduserveurderépertoire.<br />
6 CliquezsurOK.<br />
Contrôledesconnexionsauxserveursderépertoire<br />
VouspouvezutiliserlalisteServeursderépertoiredel’Utilitairederépertoirepour<br />
contrôlerl’étatdesserveursderépertoireauxquelsvotreordinateurestconnecté.<br />
Cesinformationspeuventvousaideràdéterminerpourquoivousneparvenezpas<br />
àvousconnecteràunserveurderépertoiredonné.<br />
Pourcontrôlerl’étatd’unserveurderépertoire:<br />
1 Ouvrezl’Utilitairederépertoire(dans/Applications/Utilitaires/).<br />
2 Sil’icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret<br />
tapezlenometlemotdepassed’unadministrateur.<br />
3 Vérifiezlacouleurdupointd’étatàgaucheduserveurderépertoire:<br />
 Vert:leserveurderépertoirerépondàl’Utilitairederépertoire.<br />
 Jaune:l’Utilitairederépertoireattendlaréponseduserveurderépertoire.<br />
 Rouge:leserveurderépertoirenerépondpasàl’Utilitairederépertoire.<br />
Gestionducompted’utilisateurroot<br />
Vouspouvezutiliserl’Utilitairederépertoirepourgérerlecompted’utilisateurrooten<br />
activantoudésactivantl’utilisateurroot.Sivousavezactivélecompted’utilisateurroot,<br />
vouspouvezégalementutiliserl’Utilitairederépertoirepourmodifiersonmotdepasse.<br />
Chapitre7Gestiondesclientsderépertoire 143
Activationducompted’utilisateurroot<br />
Vouspouvezutiliserl’Utilitairederépertoirepouractiverlecompted’utilisateurroot.<br />
Sivousactivezlecompted’utilisateurroot,utilisezunmotdepassecorrectement<br />
chiffrécomportantdescaractèresalphanumériquesetspéciauxpouréviterqu’ilne<br />
soitdécouvert.<br />
AVERTISSEMENT:lecompterootestuncompted’administrateurillimitépermettant<br />
demodifierlesfichierssystèmecritiques.Mêmesivousavezouvertunesessionen<br />
tantqu’administrateur,vousdevezutiliserlecompteroot,oul’outilsudo,pour<br />
réaliserdestâchessystèmecritiques.<br />
N’utilisezjamaislecompterootpourouvrirunesessionsurunordinateur(quecesoit<br />
àdistanceouenlocal).Utilisezplutôtl’outilsudopourréaliserdestâchesroot.Vous<br />
pouvezlimiterl’accèsàl’outilsudoenajoutantdesutilisateursaufichier/etc/sudoers/.<br />
Pourensavoirplussurlecompteroot,consultezleguideGestiondesutilisateurs.<br />
Pouractiverlecompted’utilisateurroot:<br />
1 Ouvrezl’Utilitairederépertoire(dans/Applications/Utilitaires/).<br />
2 Sil’icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret<br />
tapezlenometlemotdepassed’unadministrateur.<br />
3 ChoisissezÉdition>Activerl’utilisateurroot.<br />
Modificationdumotdepasseducompted’utilisateurroot<br />
Vouspouvezutiliserl’Utilitairederépertoirepourmodifierlemotdepasseducompte<br />
root.Lorsquevousmodifiezlemotdepasseroot,utilisezunmotdepassecorrectementchiffrécomportantdescaractèresalphanumériquesetspéciauxpouréviterqu’il<br />
nesoitdécouvert.<br />
AVERTISSEMENT:lecompterootestuncompted’administrateurillimitépermettant<br />
demodifierlesfichierssystèmecritiques.Mêmesivousavezouvertunesessionen<br />
tantqu’administrateur,vousdevezutiliserlecompteroot,oul’outilsudo,pour<br />
réaliserdestâchessystèmecritiques.<br />
N’utilisezjamaislecompterootpourouvrirunesessionsurunordinateur(quecesoit<br />
àdistanceouenlocal).Utilisezplutôtl’outilsudopourréaliserdestâchesroot.Vous<br />
pouvezlimiterl’accèsàl’outilsudoenajoutantdesutilisateursaufichier/etc/sudoers/.<br />
Pourensavoirplussurlecompteroot,consultezleguideGestiondesutilisateurs.<br />
144 Chapitre7Gestiondesclientsderépertoire
Pourmodifierlemotdepasseducompted’utilisateurroot:<br />
1 Ouvrezl’Utilitairederépertoire(dans/Applications/Utilitaires/).<br />
2 Sil’icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret<br />
tapezlenometlemotdepassed’unadministrateur.<br />
3 ChoisissezÉdition>Activerlemotdepasseroot.<br />
4 Lorsquevousyêtesinvité,saisissezlenouveaumotdepasserootdansleschamps<br />
MotdepasseetConfirmation.<br />
5 CliquezsurOK.<br />
Chapitre7Gestiondesclientsderépertoire 145
8 Réglagesavancésdesclients<br />
derépertoire<br />
8<br />
Utilisezl’Utilitairederépertoirepourconfigureretgérer<br />
lemoded’accèsd’unordinateurdotéde<strong>Mac</strong><strong>OS</strong>Xou<br />
<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>auxservicesderépertoire.<br />
Aprèsavoirconfigurévotreserveurderépertoire,vouspouvezpersonnaliserlesréglagesavancésdel’Utilitairederépertoirepourqu’ilfonctionneavecvotreordinateuret<br />
vosapplicationslogicielles.<br />
Pourlesdescriptionsetlesinstructionssurlestâchesdeconfigurationetdegestion,<br />
reportez-vousà:<br />
 «Configurationdel’Utilitairederépertoiresurunserveurdistant»àlapage148<br />
 «Configurationdefichesdemontagepourledomainederépertoirelocal<br />
d’unordinateur»àlapage148<br />
 «Utilisationdesréglagesavancésdesrèglesderecherche»àlapage151<br />
 «Utilisationdesréglagesavancésdesservicesderépertoire»àlapage155<br />
 «UtilisationdesréglagesavancésdesservicesLDAP»àlapage157<br />
 «UtilisationdesréglagesavancésdesservicesActive<strong>Directory</strong>»àlapage185<br />
 «DéfinitiondesréglagesNIS»àlapage202<br />
 «DéfinitiondesréglagesdefichierdeconfigurationBSD»àlapage203<br />
Àproposdesréglagesavancésdesservicesderépertoire<br />
Vouspouvezutiliserlesfonctionnalitésavancéesdel’UtilitairederépertoirepourconfigurerlesfichesdemontageNFS,lesservicesetlesrèglesderecherche.Vouspouvez<br />
égalementutiliserl’Utilitairederépertoirepourconfigurerunordinateurdistant.<br />
L’Utilitairederépertoireoffrelesfonctionnalitésavancéessuivantes:<br />
 Seconnecterpermetdeconfigureràdistanceunordinateurclientouunserveur.<br />
 PointsdemontagespermetdeconfigurerlespointsdemontagesNFSmontéslors<br />
duredémarragedel’ordinateur.<br />
147
 Servicespermetdeconfigurerlesserveursderépertoireauxquelspeuventaccéder<br />
lesutilisateurs.<br />
 Règlesderecherchepermetdeconfigurerlesemplacementsdanslesquelsl’ordinateurrecherchelesdonnéesd’authentificationetdecontactd’utilisateur.<br />
Configurationdel’Utilitairederépertoiresurunserveurdistant<br />
Vouspouvezutiliserl’applicationUtilitairederépertoiresurvotreordinateurpour<br />
configureretgérerlemoded’accèsauxservicesderépertoirede<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong><br />
surunserveurdistant.<br />
Pourconfigurerl’accèsàunrépertoiresurunserveurdistant:<br />
1 Ouvrezl’Utilitairederépertoiresurvotreordinateur,puischoisissezSeconnecterdans<br />
lemenuFichier.<br />
2 Saisissezlesinformationsdeconnexionetd’authentificationsuivantespourleserveurà<br />
configurer.<br />
Adresse:saisissezlenomDNSoul’adresseIPduserveuràconfigurer.<br />
Nomd’utilisateur:saisissezlenomd’utilisateurd’unadministrateurduserveur.<br />
Motdepasse:saisissezlemotdepassecorrespondantaunomd’utilisateurquevous<br />
avezsaisi.<br />
3 CliquezsurSeconnecter.<br />
4 CliquezsurlesongletsServeursd’annuaire,Pointsdemontages,ServicesetRèglesde<br />
recherchepourmodifierlesréglagesselonvosbesoins.<br />
Touteslesmodificationsapportéesaffectentleserveurdistantauquelvousvousêtes<br />
connectéaucoursdesétapesprécédentes.<br />
5 DanslemenuFichierdevotreordinateur,choisissezSedéconnecter.<br />
Configurationdefichesdemontagepourledomainede<br />
répertoirelocald’unordinateur<br />
Vouspouvezutiliserl’Utilitairederépertoirepourconfigurerdespointsdemontages<br />
NFSpourvotreordinateur.LespointsdemontagesNFSsontdespointsdepartage<br />
hébergésparunserveurNFS.LespointsdepartageNFSpermettentdepartagerdes<br />
informationsavecungrouped’utilisateurssurunréseauoupeuventêtreutilisés<br />
commedossierdedépartréseaud’unutilisateur.<br />
Sivousutilisezl’UtilitairederépertoirepourconfigurerdespointsdemontagesNFSsur<br />
votreordinateur,cespointsdemontagesserontmontésaudémarragedel’ordinateur.<br />
LespointsdemontagesNFSsontrépertoriésdanslasous-fenêtrePointsdemontages<br />
del’Utilitairederépertoire.Cettesous-fenêtreindiquel’URLduserveurNFSainsique<br />
l’emplacementdespointsdemontagesNFSsurl’ordinateur.<br />
148 Chapitre8Réglagesavancésdesclientsderépertoire
Ajoutd’unefichedemontageaudomainederépertoirelocal<br />
PourajouterunserveurNFS,vousdevezconnaîtresonURLetavoiraccèsaupointde<br />
partageNFS.<br />
Pourajouterunefichedemontage:<br />
1 Ouvrezl’Utilitairederépertoire(dans/Applications/Utilitaires/).<br />
2 Sil’icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret<br />
tapezlenometlemotdepassed’unadministrateur.<br />
3 Cliquezsur«Afficherlesréglagesavancés»(s’ilsnesontpasdéjàvisibles).<br />
4 CliquezsurPointsdemontages,puissurleboutonAjouter(+).<br />
5 DéfinissezlesréglagesdupointdemontageNFSenprocédantcommesuit:<br />
Danslechamp«URLduNFSdistant»,saisissezl’URLduserveurNFS.<br />
Danslechamp«Emplacementdemontage»,saisissezlepointdemontagelocaldu<br />
pointdemontageNFS.<br />
Pourajouterdesparamètresdemontage,cliquezsurletrianglesetrouvantàgauche<br />
de«Paramètresdemontageavancés»etsaisissezvosparamètres.<br />
PourmonterunvolumeNFSenlectureseule,cochezlacase«Monterenlecture<br />
seule».<br />
SivoussouhaitezquelepointdemontageNFSignorelesprivilègesd’identifiant<br />
utilisateur,cochezlacase«Ignorerprivilègesdéfinitiond’id.utilisateur».<br />
6 PourvérifierqueleserveurNFSrépond,cliquezsurVérifier;sinon,cliquezsurNepas<br />
vérifier.<br />
Sil’UtilitairederépertoirereçoituneréponseduserveurNFS,uneinviteindiquantque<br />
leserveurabienrépondus’affiche.<br />
Sil’UtilitairederépertoirenereçoitpasderéponseduserveurNFS,vouspouvezcréer<br />
lepointdemontageencliquantsurCréer.<br />
7 CliquezsurAppliquer.<br />
LespointsdemontagesNFSs’affichentdanslasous-fenêtrePointsdemontagesde<br />
l’Utilitairederépertoire.<br />
Chapitre8Réglagesavancésdesclientsderépertoire 149
Suppressiond’unefichedemontagedudomainederépertoirelocal<br />
LorsquevoussupprimezunpointdemontageNFSdel’Utilitairederépertoire,veillezà<br />
nepassupprimerlafichedemontagedevotredossierdedépartNFS.Vousnepourriezalorsplusaccéderàvosdonnées.<br />
Poursupprimerunefichedemontage:<br />
1 Ouvrezl’Utilitairederépertoire(dans/Applications/Utilitaires/).<br />
2 Sil’icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret<br />
tapezlenometlemotdepassed’unadministrateur.<br />
3 Cliquezsur«Afficherlesréglagesavancés»(s’ilsnesontpasdéjàvisibles).<br />
4 CliquezsurPointsdemontages.<br />
5 DanslalistePointsdemontages,sélectionnezlepointdemontageNFSàsupprimer.<br />
6 CliquezsurleboutonSupprimer(–).<br />
7 Sivousêtessûrd’avoirsélectionnélebonpointdemontageNFS,cliquezsurSupprimer.<br />
Modificationd’unefichedemontagedansledomainederépertoire<br />
local<br />
Vouspouvezutiliserl’Utilitairederépertoirepourmodifierlesréglagesd’unefichede<br />
montageNFSexistante.<br />
Pourmodifierunefichedemontage:<br />
1 Ouvrezl’Utilitairederépertoire(dans/Applications/Utilitaires/).<br />
2 Sil’icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret<br />
tapezlenometlemotdepassed’unadministrateur.<br />
3 Cliquezsur«Afficherlesréglagesavancés»(s’ilsnesontpasdéjàvisibles).<br />
4 CliquezsurPointsdemontages.<br />
5 DanslalistePointsdemontages,sélectionnezlepointdemontageNFSàmodifier.<br />
6 CliquezsurleboutonModifier(/).<br />
7 ModifiezlesréglagesdupointdemontageNFS.<br />
150 Chapitre8Réglagesavancésdesclientsderépertoire
Utilisationdesréglagesavancésdesrèglesderecherche<br />
L’Utilitairederépertoiredéfinitlesrèglesderecherchesuivantes:<br />
 Authentification:<strong>Mac</strong><strong>OS</strong>Xutiliselapolitiquederecherched’authentificationpour<br />
localiseretrécupérer,àpartirdesdomainesderépertoire,lesinformationsd’authentificationd’utilisateuretd’autresdonnéesadministratives.<br />
 Contacts:<strong>Mac</strong><strong>OS</strong>Xutiliselapolitiquederecherchedecontactspourlocaliseret<br />
récupérer,àpartirdesdomainesderépertoire,lesnoms,adressesetautresinformationsdecontact.Carnetd’adressesde<strong>Mac</strong><strong>OS</strong>Xutilisecesinformationsdecontact.<br />
D’autresapplicationspeuventégalementêtreconfiguréespourlesutiliser.<br />
Chaquerèglederecherchecomprendunelistededomainesderépertoire.L’ordredes<br />
domainesderépertoiredanslalistedéfinitlapolitiquederecherche.Encommençant<br />
enhautdelaliste,<strong>Mac</strong><strong>OS</strong>Xexaminetouràtourchaquedomainederépertoirelisté<br />
jusqu’àcequ’iltrouvelesinformationsnécessairesouqu’ilatteignelafindelalistesans<br />
trouvercesinformations.<br />
Lesrèglesderecherchededonnéesd’authentificationetd’informationsdecontact<br />
peuventavoirl’undesréglagessuivants:<br />
 Automatique:commenceparledomainederépertoirelocaletpeutinclureun<br />
annuaireLDAPfourniparDHCPetlesdomainesderépertoireauxquelsl’ordinateur<br />
estconnecté.Ils’agitduréglagepardéfautpour<strong>Mac</strong><strong>OS</strong>X10.2ouultérieur;iloffre<br />
unesouplessemaximalepourlesordinateursnomades.<br />
 Répertoirelocal:n’inclutqueledomainederépertoirelocal.<br />
 Cheminpersonnalisé:commenceparledomainederépertoirelocaletinclutvotre<br />
sélectionderépertoiresLDAP,undomaineActive<strong>Directory</strong>,lesdomainesderépertoirepartagés,lesfichiersdeconfigurationBSDetundomaineNIS.<br />
Important:sivousconfigurez<strong>Mac</strong><strong>OS</strong>Xpourqu’ilutiliseunerèglederecherche<br />
d’authentificationautomatiqueetunserveurLDAPfourniparDHCP,vousaugmentezle<br />
risquedevoirunutilisateurmalveillantprendrelecontrôledevotreordinateur.Lerisqueestencoreplusélevésivotreordinateurestconfigurépourseconnecteràun<br />
réseausansfil.Pourensavoirplus,consultezlarubrique«Protectiondesordinateurs<br />
contreunserveurDHCPmalveillantȈlapage154.<br />
Pourtrouverlesdescriptionsdestâchesetdesinstructions,reportez-vousà:<br />
 «Définitiondepolitiquesderechercheautomatiques»àlapage152<br />
 «Définitiondepolitiquesderecherchepersonnalisées»àlapage153<br />
 «Définitiondepolitiquesderecherchederépertoirelocal»àlapage154<br />
 «Attentedel’entréeenvigueurd’unemodificationdelapolitiquederecherche»à<br />
lapage154<br />
Chapitre8Réglagesavancésdesclientsderépertoire 151
Définitiondepolitiquesderechercheautomatiques<br />
Àl’aided’Utilitairederépertoire,vouspouvezfaireensortequelesrèglesderecherched’authentificationetdecontactsd’unordinateur<strong>Mac</strong><strong>OS</strong>Xsoientdéfinies<br />
automatiquement.<br />
Unepolitiquederecherchedéfinieautomatiquementinclutledomainederépertoire<br />
local.EllepeutaussiinclureunserveurderépertoireLDAPspécifiéparDHCPainsique<br />
lesdomainesderépertoirepartagésauxquelsl’ordinateurestconnecté.<br />
C’estlaconfigurationpardéfautpourlesrèglesderecherched’authentificationetde<br />
contacts.<br />
Remarque:certainesapplications,commeMailetCarnetd’adressesde<strong>Mac</strong><strong>OS</strong>X,sont<br />
capablesd’accéderdirectementauxrépertoiresLDAP,sansutiliser<strong>Open</strong><strong>Directory</strong>.Pour<br />
configurerl’unedecesapplicationspourqu’elleaccèdedirectementauxannuaires<br />
LDAP,ouvrezl’applicationetdéfinissezlapréférenceappropriée.<br />
Important:sivousconfigurez<strong>Mac</strong><strong>OS</strong>Xpourqu’ilutiliseunerèglederecherche<br />
d’authentificationautomatiqueetunserveurLDAPfourniparDHCPouundomaine<br />
derépertoirepartagéfourniparDHCP,vousaugmentezlerisquedevoirunutilisateur<br />
malveillantprendrelecontrôledevotreordinateur.Lerisqueestencoreplusélevési<br />
votreordinateurestconfigurépourseconnecteràunréseausansfil.Pourensavoir<br />
plus,consultezlarubrique«ProtectiondesordinateurscontreunserveurDHCP<br />
malveillantȈlapage154.<br />
Pourobtenirqu’unepolitiquederecherchesoitautomatiquementdéfinie:<br />
1 Ouvrezl’Utilitairederépertoire,cliquezsurRèglesderecherche,puischoisissezune<br />
règlederecherche:<br />
 Authentification:affichelarèglederechercheutiliséepourl’authentificationet<br />
laplupartdesautresdonnéesadministratives.<br />
 Contacts:affichelarèglederechercheutiliséepourlesinformationsdecontact<br />
danslesapplicationstellesqueCarnetd’adresses.<br />
2 Sil’icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret<br />
tapezlenometlemotdepassed’unadministrateur.<br />
3 SélectionnezAutomatiquedanslemenulocalRechercher,puiscliquezsurAppliquer.<br />
4 DansPréférencesSystème,assurez-vousquelespréférencesderéseaudel’ordinateur<br />
sontconfiguréespourutiliserDHCPouDHCPviauneadresseIPmanuelle.<br />
5 PourinclureunserveurLDAPdanslarèglederechercheautomatique,assurez-vous<br />
quel’utilisationd’unannuaireLDAPfourniparDHCPestactivéedansl’Utilitairede<br />
répertoireetqueleserviceDHCPestconfigurépourfournirl’adresseduserveurLDAP.<br />
Pourensavoirplus,consultezlarubrique«Activationoudésactivationd’unrépertoire<br />
LDAPfourniviaDHCP»àlapage158.PourensavoirplussurlaconfigurationduserviceDHCPde<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>,consultezleguide<strong>Administration</strong>desservicesréseau.<br />
152 Chapitre8Réglagesavancésdesclientsderépertoire
Définitiondepolitiquesderecherchepersonnalisées<br />
Àl’aided’Utilitairederépertoire,vouspouvezfaireensortequelesrèglesderecherched’authentificationetdecontactsd’unordinateur<strong>Mac</strong><strong>OS</strong>Xutilisentuneliste<br />
personnaliséededomainesderépertoire.<br />
Unelistepersonnaliséecommenceparledomainederépertoirelocaldel’ordinateur<br />
etpeutincluredesdomainesderépertoire<strong>Open</strong><strong>Directory</strong>(etd’autresdomainesde<br />
répertoireLDAP),undomaineActive<strong>Directory</strong>,desdomainesderépertoirepartagés,<br />
desfichiersdeconfigurationBSDetundomaineNIS.<br />
Siundomainederépertoirespécifiédanslarèglederecherchepersonnaliséed’un<br />
ordinateurn’estpasdisponible,ilyauraundélailorsdudémarragedel’ordinateur.<br />
Pourspécifierunelistepersonnaliséededomainesderépertoirepourunepolitique<br />
derecherche:<br />
1 Dansl’Utilitairederépertoire,cliquezsurRèglesderecherche,puischoisissezunerègle<br />
derecherche.<br />
 Authentification:affichelarèglederechercheutiliséepourl’authentificationet<br />
laplupartdesautresdonnéesadministratives.<br />
 Contacts:affichelarèglederechercheutiliséepourlesinformationsdecontact<br />
danslesapplicationstellesqueCarnetd’adresses.<br />
2 Sil’icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret<br />
tapezlenometlemotdepassed’unadministrateur.<br />
3 ChoisissezCheminpersonnalisédanslemenulocalRechercher.<br />
4 AjoutezautantdedomainesderépertoirequenécessaireencliquantsurAjouter,en<br />
sélectionnantunouplusieursrépertoires,puisencliquantdenouveausurAjouter.<br />
5 Modifiezl’ordredesdomainesderépertoirelistésselonvosbesoinsenlesfaisantglisser<br />
verslehautoulebasdelaliste.<br />
6 Supprimezlesdomainesderépertoirelistésquevousnesouhaitezpasincluredansla<br />
règlederechercheenlessélectionnantpuisencliquantsurleboutonSupprimer(–).<br />
7 ConfirmezlasuppressionencliquantsurOK,puiscliquezsurAppliquer.<br />
Pourajouterunrépertoirequinefigurepasparmilesrépertoiresdisponibles,assurezvousquel’ordinateuraétéconfigurépouraccéderàcerépertoire.Pourensavoirplus,<br />
consultez:<br />
 «Utilisationdesréglagesavancésdesservicesderépertoire»àlapage155<br />
 «UtilisationdesréglagesavancésdesservicesLDAP»àlapage157<br />
 «UtilisationdesréglagesavancésdesservicesActive<strong>Directory</strong>»àlapage185<br />
 «DéfinitiondesréglagesNIS»àlapage202<br />
 «DéfinitiondesréglagesdefichierdeconfigurationBSD»àlapage203<br />
Chapitre8Réglagesavancésdesclientsderépertoire 153
Définitiondepolitiquesderecherchederépertoirelocal<br />
Àl’aidedel’Utilitairederépertoire,vouspouvezfaireensortequelesrèglesderecherched’authentificationetdecontactsd’unordinateur<strong>Mac</strong><strong>OS</strong>Xutilisentuniquement<br />
lerépertoirelocaldel’ordinateur.<br />
Unepolitiquederecherchequin’utilisequelerépertoirelocallimitel’accèsd’unordinateurauxinformationsd’authentificationetautresdonnéesadministratives.<br />
Sivousrestreignezlapolitiquederecherched’authentificationd’unordinateurà<br />
l’emploidurépertoirelocal,seulslesutilisateurspossédantuncomptelocalpourront<br />
ouvrirunesession.<br />
Pourqu’unerèglederecherchen’utilisequeledomainederépertoirelocal<br />
(répertoirelocal):<br />
1 Ouvrezl’Utilitairederépertoire,cliquezsurRèglesderecherche,puischoisissezune<br />
règlederecherche:<br />
 Authentification:affichelarèglederechercheutiliséepourl’authentificationet<br />
laplupartdesautresdonnéesadministratives.<br />
 Contacts:affichelarèglederechercheutiliséepourlesinformationsdecontact<br />
danslesapplicationstellesqueCarnetd’adresses.<br />
2 Sil’icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret<br />
tapezlenometlemotdepassed’unadministrateur.<br />
3 ChoisissezRépertoirelocaldanslemenulocalRechercher,puiscliquezsurAppliquer.<br />
Attentedel’entréeenvigueurd’unemodificationdelapolitiquede<br />
recherche<br />
Aprèsavoirmodifiélarèglederecherchedanslasous-fenêtreAuthentificationouContactsdel’Utilitairederépertoire,attendez10à15secondespourquelesmodifications<br />
entrentenvigueur.Toutetentatived’ouverturedesessionàl’aided’uncompteprovenantd’undomainederépertoirequiutiliselarèglederecherched’authentification<br />
échoueratantquelesmodificationsapportéesneserontpasentréesenvigueur.<br />
ProtectiondesordinateurscontreunserveurDHCPmalveillant<br />
<strong>Apple</strong>recommandedenepasutiliserderèglederecherched’authentificationautomatiqueavecunserveurLDAPfourniparDHCPouundomainederépertoirepartagé<br />
fourniparDHCPdansunenvironnementdanslequellasécuritéestunsoucimajeur.<br />
UnbidouilleurmalveillantayantaccèsàvotreréseaupeututiliserunserveurDHCP<br />
leurreetunannuaireLDAP(ouundomainederépertoirepartagé)leurrepourcontrôlervotreordinateuràl’aideducompted’utilisateurroot.<br />
154 Chapitre8Réglagesavancésdesclientsderépertoire
Pourqu’unbidouilleurpuisseaccéderàvotreréseau,sonserveurDHCPleurredoitfaire<br />
partiedevotreréseaulocaloudevotresous-réseau.Parconséquent,sivosordinateurs<br />
sontlesseulssurvotreréseaulocalets’ilsontaccèsàInternetparleserviceNATde<br />
<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>ouviaunrouteurNAT,cetypedefailledesécuritéestimpossible.<br />
Toutefois,unréseaulocalsansfilréduitleniveaudesécuritécarunbidouilleurpeut<br />
accéderplusfacilementàunréseaulocalsansfilqu’àunréseaulocalcâblé.<br />
Sivousdisposezd’unordinateurnomadequiseconnecteàunserveurLDAPlorsqu’il<br />
estconnectéàunréseauetquevouschangezsarèglederecherched’automatiqueà<br />
personnalisée(danslasous-fenêtreAuthentificationdel’ongletRèglesderecherchede<br />
l’Utilitairederépertoire),undélaiseproduiraaudémarragelorsquel’ordinateurnesera<br />
pasconnectéauréseau.<br />
Vouspouvezprotégervotre<strong>Mac</strong>contrelesattaquesmalveillantesàpartird’unserveur<br />
DHCPleurreendésactivantl’utilisationd’unannuaireLDAPfourniparDHCPeten<br />
désactivantlaliaisonBroadcastetDHCPpourledomainederépertoirepartagé(ouen<br />
désactivantledomainederépertoirepartagé).Pourensavoirplus,consultezlarubrique«Activationoudésactivationd’unrépertoireLDAPfourniviaDHCP»àlapage158.<br />
Cedélaiseproduitcarl’ordinateurnepeutpasseconnecteràundomainederépertoirespécifiquefigurantdanssarèglederecherchepersonnalisée.Vousneremarquerezaucundélailorsquevousréveillerezunordinateurquiaétédéconnectéduréseau<br />
pendantlasuspensiond’activité.<br />
Utilisationdesréglagesavancésdesservicesderépertoire<br />
L’Utilitairederépertoirerépertorielesdifférentescatégoriesdeservicesderépertoire<br />
auxquelles<strong>Mac</strong><strong>OS</strong>Xpeutaccéder.Lalisteinclutlesservicesderépertoiresquidonnentà<strong>Mac</strong><strong>OS</strong>Xaccèsauxinformationsd’utilisateuretautresdonnéesadministratives<br />
stockéesdanslesdomainesderépertoire.<br />
Vouspouvezactiveroudésactiverl’accèsàchaqueservicederépertoire.Sivousdésactivezunservicedansl’Utilitairederépertoire,<strong>Mac</strong><strong>OS</strong>Xnepeutplusaccéderàceservicederépertoire.<br />
Pourtrouverlesdescriptionsdestâchesetdesinstructions,reportez-vousà:<br />
 «ActivationoudésactivationduserviceActive<strong>Directory</strong>»àlapage156<br />
 «ActivationoudésactivationdesservicesderépertoiresLDAP»àlapage156<br />
Chapitre8Réglagesavancésdesclientsderépertoire 155
ActivationoudésactivationduserviceActive<strong>Directory</strong><br />
L’Utilitairederépertoirepermetd’activeroudedésactiverl’utilisationdesservices<br />
Active<strong>Directory</strong>fournisparunserveurWindows.Active<strong>Directory</strong>estleservicede<br />
répertoiredesserveursWindows2000etultérieurs.<br />
SivousdésactivezlesservicesActive<strong>Directory</strong>etquedesdomainesActive<strong>Directory</strong><br />
sontinclusdansunerèglederecherchepersonnalisée,ilssontaffichésenrouge<br />
danslasous-fenêtreAuthentificationouContactsdel’ongletRèglesderecherche<br />
del’Utilitairederépertoire.<br />
Pouractiveroudésactiverl’accèsàActive<strong>Directory</strong>:<br />
1 Ouvrezl’UtilitairederépertoireetcliquezsurServices.<br />
2 Sil’icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret<br />
tapezlenometlemotdepassed’unadministrateur.<br />
3 Cochezoudécochezlacaseenregardd’Active<strong>Directory</strong>,puiscliquezsurAppliquer.<br />
Pourobtenirdesinstructionssurlaconfiguration,consultezlarubrique«Utilisationdes<br />
réglagesavancésdesservicesActive<strong>Directory</strong>»àlapage185.<br />
ActivationoudésactivationdesservicesderépertoiresLDAP<br />
Vouspouvezutiliserl’Utilitairederépertoirepouractiveroudésactiverl’accèsauxservicesderépertoireutilisantlesversions2et3duprotocoleLDAP.Unmoduleuniquede<br />
l’UtilitairederépertoirenomméLDAPv3permetd’accéderauxversions2et3duprotocoleLDAP.<br />
Lesservicesderépertoirefournispar<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>utilisentLDAPv3,commede<br />
nombreuxautresserveurs.LDAPv3estunenormeouvertecommunedanslesréseaux<br />
mixtesdesystèmes<strong>Mac</strong>intosh,UNIXetWindows.Certainsserveursutilisentlaversion<br />
antérieure,LDAPv2,pourfournirdesservicesderépertoire.<br />
SivousdésactivezlesservicesderépertoireLDAPetquedesannuairesLDAPsont<br />
inclusdansunerèglederecherchepersonnalisée,ilssontaffichésenrougedansla<br />
sous-fenêtreAuthentificationouContactsdel’ongletRèglesderecherchedel’Utilitaire<br />
derépertoire.<br />
PouractiveroudésactiverlesservicesderépertoiresLDAP:<br />
1 Ouvrezl’UtilitairederépertoireetcliquezsurServices.<br />
2 Sil’icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret<br />
tapezlenometlemotdepassed’unadministrateur.<br />
3 CochezoudécochezlacaseenregarddeLDAPv3,puiscliquezsurAppliquer.<br />
Pourobtenirdesinstructionssurlaconfiguration,consultezlarubrique«Utilisationdes<br />
réglagesavancésdesservicesLDAP»àlapage157.<br />
156 Chapitre8Réglagesavancésdesclientsderépertoire
UtilisationdesréglagesavancésdesservicesLDAP<br />
Vouspouvezconfigurerunserveuréquipéde<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>ouunordinateurdoté<br />
de<strong>Mac</strong><strong>OS</strong>XpouraccéderàdesrépertoiresLDAPparticuliers,ycomprislerépertoire<br />
LDAPd’unmaître<strong>Open</strong><strong>Directory</strong>de<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>.<br />
Pourtrouverlesdescriptionsdestâchesetdesinstructions,reportez-vousà:<br />
 «AccèsàdesrépertoiresLDAPdansMailetCarnetd’adresses»àlapage158<br />
 «Activationoudésactivationd’unrépertoireLDAPfourniviaDHCP»àlapage158<br />
 «AffichageoumasquagedeconfigurationspourserveursLDAP»àlapage159<br />
 «Configurationdel’accèsàunrépertoireLDAP»àlapage160<br />
 «Configurationmanuelledel’accèsàunrépertoireLDAP»àlapage163<br />
 «Modificationd’uneconfigurationpourl’accèsàunrépertoireLDAP»àlapage165<br />
 «Duplicationd’uneconfigurationpourl’accèsàunrépertoireLDAP»àlapage167<br />
 «Suppressiond’uneconfigurationpourl’accèsàunrépertoireLDAP»àlapage169<br />
 «Modificationdesréglagesdeconnexiond’unrépertoireLDAP»àlapage170<br />
 «ModificationdelapolitiquedesécuritépouruneconnexionLDAP»àlapage171<br />
 «ConfigurationdesrecherchesetmappagesLDAP»àlapage173<br />
 «ConfigurationdelaliaisonsécuriséepourunannuaireLDAP»àlapage176<br />
 «ArrêtdelaliaisonsécuriséeavecunannuaireLDAP»àlapage177<br />
 «Modificationdudélaid’ouverture/defermeturepouruneconnexionLDAP»àla<br />
page178<br />
 «ModificationdudélaiderequêtepouruneconnexionLDAP»àlapage178<br />
 «ModificationdudélaidetentativedereconnexionpouruneconnexionLDAP»àla<br />
page179<br />
 «Modificationdudélaid’inactivitépouruneconnexionLDAP»àlapage179<br />
 «Forçagedel’accèsLDAPv2enlectureseule»àlapage180<br />
 «IgnorancedesréférencesdeserveurLDAP»àlapage180<br />
 «Authentificationd’uneconnexionLDAP»àlapage181<br />
 «ModificationdumotdepasseutilisépourauthentifieruneconnexionLDAP»àla<br />
page181<br />
 «Mappaged’attributsd’enregistrementdeconfigurationpourrépertoiresLDAP»à<br />
lapage182<br />
 «ModificationdumappageRFC2307pouractiverlacréationd’utilisateurs»àla<br />
page183<br />
 «Préparationd’unrépertoireLDAPenlectureseulepour<strong>Mac</strong><strong>OS</strong>X»àlapage184<br />
 «Remplissaged’annuairesLDAPavecdesdonnéespour<strong>Mac</strong><strong>OS</strong>X»àlapage184<br />
Chapitre8Réglagesavancésdesclientsderépertoire 157
AccèsàdesrépertoiresLDAPdansMailetCarnetd’adresses<br />
VouspouvezconfigurerMail,Carnetd’adressesetcertainesapplicationssimilaires<br />
de<strong>Mac</strong><strong>OS</strong>Xpourqu’ilsaccèdentdirectementàdesannuairesLDAPspécifiques,<br />
sansutiliser<strong>Open</strong><strong>Directory</strong>.<br />
Pourensavoirplus,ouvrezMailetchoisissezAide>AideMailououvrezCarnet<br />
d’adressesetchoisissezAide>AideCarnetd’adresses,puischerchezdel’aidesurLDAP.<br />
Activationoudésactivationd’unrépertoireLDAPfourniviaDHCP<br />
L’Utilitairederépertoirepermetdeconfigurerunordinateur<strong>Mac</strong><strong>OS</strong>Xpourqu’il<br />
obtiennel’adressed’unserveurderépertoireLDAPaudémarrage.<br />
<strong>Mac</strong><strong>OS</strong>Xrequiertl’adressed’unserveurderépertoireLDAPauprèsduserviceDHCP<br />
quifournitégalementl’adresseIPdel’ordinateur,l’adressedurouteuretlesadresses<br />
deserveurDNS.<strong>Mac</strong><strong>OS</strong>Xajoutel’adresseduserveurLDAPfournieviaDHCPàla<br />
politiquederechercheautomatiquedel’ordinateur.LeserveurLDAPfourniparDHCP<br />
apparaîtaussi(estompé)danslalistedesconfigurationsLDAP.<br />
Pourensavoirplus,consultezlesrubriques«Définitiondepolitiquesderecherche<br />
automatiques»àlapage152et«Modificationd’uneconfigurationpourl’accèsàun<br />
répertoireLDAP»àlapage165.<br />
L’ordinateurnepeutpasêtreconfigurépourutiliseràlafoisuneliaisonsécuriséeLDAP<br />
etunannuaireLDAPfourniparDHCP.LaliaisonLDAPsécuriséeestenréalitéune<br />
liaisonstatique,alorsqueleLDAPfournileDHCPestuneliaisondynamique.<br />
Pourensavoirplus,consultezlesrubriques«Configurationdelaliaisonsécuriséepour<br />
unannuaireLDAP»àlapage176et«Configurationd’unepolitiquedeliaisonpourun<br />
serveur<strong>Open</strong><strong>Directory</strong>Ȉlapage218.<br />
Important:sivousconfigurez<strong>Mac</strong><strong>OS</strong>Xpourqu’ilutiliseunerèglederecherche<br />
d’authentificationautomatiqueetunserveurLDAPfourniparDHCPouundomainede<br />
répertoirepartagéfourniparDHCP,vousaugmentezlerisquedevoirunutilisateur<br />
malveillantprendrelecontrôledevotreordinateur.Lerisqueestencoreplusélevési<br />
votreordinateurestconfigurépourseconnecteràunréseausansfil.Pourensavoir<br />
plus,consultezlarubrique«ProtectiondesordinateurscontreunserveurDHCP<br />
malveillantȈlapage154.<br />
158 Chapitre8Réglagesavancésdesclientsderépertoire
Pouractiveroudésactiverl’accèsautomatiqueàunserveurLDAP:<br />
1 Ouvrezl’UtilitairederépertoireetcliquezsurServices.<br />
2 Sil’icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret<br />
tapezlenometlemotdepassed’unadministrateur.<br />
3 Danslalistedesservices,sélectionnezLDAPv3,puiscliquezsurleboutonModifier(/).<br />
4 ChoisissezunemplacementderéseaudanslemenulocalEmplacement.<br />
L’optiondeserveurLDAPfourniparDHCPpeutêtreactivéeoudésactivéeindépendammentpourchaqueemplacementderéseaudéfinidanslasous-fenêtreRéseaude<br />
PréférencesSystème.<br />
5 Cliquezsur«AjouterlesserveursLDAPfournisparDHCPauxrèglesderecherche<br />
automatique»,puiseffectuezl’unedesopérationssuivantes:<br />
 Sivousdésactivezcetteoption,l’ordinateurn’utiliserapasdeserveurderépertoire<br />
LDAPfourniparDHCP.Pourensavoirplus,reportez-vousàlarubrique<br />
«Configurationdel’accèsàunrépertoireLDAP»àlapage160.<br />
 Sivousactivezcetteoption,leserveurquifournitleserviceDHCPàcetordinateurdoit<br />
êtreconfigurépourfournirl’adressed’unserveurderépertoireLDAP.Pourensavoir<br />
plus,consultezlechapitreDHCPdudocument<strong>Administration</strong>desservicesréseau.<br />
AffichageoumasquagedeconfigurationspourserveursLDAP<br />
Vouspouvezafficheroumasquerlalistedesconfigurationsdisponiblespouraccéder<br />
auxrépertoiresLDAP.Chaqueconfigurationdéfinitlamanièredont<strong>Open</strong><strong>Directory</strong><br />
accèdeàunannuaireLDAP.Lorsquelalisteestaffichée,vouspouvezmodifierlesréglagesdechaqueconfigurationLDAPquin’estpasestompée.<br />
Lorsqu’uneconfigurationLDAPestestompée,celasignifiequ’elleestfournieparDHCP,<br />
commedécritdanslarubrique«Activationoudésactivationd’unrépertoireLDAP<br />
fourniviaDHCPȈlapage158.<br />
Pourafficheroumasquerlesconfigurationsd’annuaireLDAPdisponibles:<br />
1 Ouvrezl’UtilitairederépertoireetcliquezsurServices.<br />
2 Sil’icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret<br />
tapezlenometlemotdepassed’unadministrateur.<br />
3 Danslalistedesservices,sélectionnezLDAPv3,puiscliquezsurleboutonModifier(/).<br />
4 Enfonctionducontexte,cliquezsurAfficherlesoptionsousurMasquerlesoptions.<br />
Chapitre8Réglagesavancésdesclientsderépertoire 159
Configurationdel’accèsàunrépertoireLDAP<br />
Àl’aidedel’Utilitairederépertoire,vouspouvezdéfinirlamanièredont<strong>Mac</strong><strong>OS</strong>X<br />
accèdeàunannuaireLDAPv3sivousconnaissezlenomDNSoul’adresseIPduserveur<br />
derépertoireLDAP.<br />
Silerépertoiren’estpashébergéparunserveurfournissantsespropresmappages<br />
(commeparexemple<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>),vousdevezconnaîtrelabasederecherche<br />
etlemodèledemappagedesdonnées<strong>Mac</strong><strong>OS</strong>Xauxdonnéesdurépertoire.<br />
Lesmodèlesdemappageprisenchargesontlessuivants:<br />
 Serveur<strong>Open</strong><strong>Directory</strong>,pourunrépertoireutilisantleschémade<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>;<br />
 Active<strong>Directory</strong>,pourunrépertoirehébergéparunserveurWindows2000,<br />
Windows2003ouultérieur;<br />
 RFC2307,pourlaplupartdesrépertoireshébergéspardesserveursUNIX.<br />
LemoduleexterneLDAPv3prendentièrementenchargelaréplicationetlebasculement<strong>Open</strong><strong>Directory</strong>.Silemaître<strong>Open</strong><strong>Directory</strong>devientindisponible,lemodule<br />
basculesurunerépliqueproche.<br />
Pourspécifierdesmappagespersonnaliséspourlesdonnéesdurépertoire,suivezles<br />
instructionsdelarubrique«Configurationmanuelledel’accèsàunrépertoireLDAP»à<br />
lapage163plutôtquecellesprésentéesici.<br />
Important:silenomdevotreordinateurcontientuntraitd’union,vousrisquezde<br />
nepaspouvoirrejoindreouvouslieràundomainederépertoiretelqueLDAPou<br />
Active<strong>Directory</strong>.Pourétablirlaliaison,utilisezunnomd’ordinateurnecontenant<br />
pasdetraitd’union.<br />
Pourquel’Utilitairederépertoirevousaideàconfigurerl’accèsàunannuaireLDAP:<br />
1 Ouvrezl’UtilitairederépertoireetcliquezsurServices.<br />
2 Sil’icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret<br />
tapezlenometlemotdepassed’unadministrateur.<br />
3 Danslalistedesservices,sélectionnezLDAPv3,puiscliquezsurleboutonModifier(/).<br />
VouspouvezsélectionnerLDAPv3danslalistedesservicessanscocherlacaseActiver<br />
pourLDAPv3.<br />
4 CliquezsurNouveau,puistapezlenomDNSoul’adresseIPduserveurLDAP.<br />
160 Chapitre8Réglagesavancésdesclientsderépertoire
5 Sélectionnezlesoptionsd’accèsaurépertoire:<br />
 Cochezlacase“CrypterviaSSL”sivoussouhaitezqu’<strong>Open</strong><strong>Directory</strong>utiliseSecure<br />
SocketsLayer(SSL)pourlesconnexionsaveclerépertoireLDAP.Avantdesélectionnercetteoption,demandezàvotreadministrateur<strong>Open</strong><strong>Directory</strong>sileprotocole<br />
SSLestrequis.<br />
 Cochezlacase«Utiliserpourl’authentification»sicerépertoirecontientdescomptesd’utilisateurquequelqu’unvautiliserpourl’ouverturedesessionoul’authentificationàdesservices.<br />
 Cochezlacase«Utiliserpourlescontacts»sicerépertoirecontientdesadresses<br />
électroniquesetd’autresinformationsquevoussouhaitezutiliserdansCarnet<br />
d’adresses.<br />
Sil’UtilitairederépertoirenepeutpascontacterleserveurLDAP,unmessages’affiche<br />
etvousdevezalorsconfigurerl’accèsmanuellementouannulerleprocessusdeconfiguration.Pourensavoirplussurlaconfigurationmanuelle,consultezlarubrique<br />
«Configurationmanuelledel’accèsàunrépertoireLDAP»àlapage163.<br />
Silazonededialoguesedéveloppepourafficherdesoptionsdemappage,choisissez<br />
lemodèledemappagedanslemenulocal,tapezlesuffixedelabasederecherche,<br />
puiscliquezsurContinuer.<br />
LesuffixedelabasederechercheprovientgénéralementdunomDNSduserveur.<br />
Parexemple,lesuffixedelabasederecherchepourraitêtre“dc=ods,dc=exemple,<br />
dc=com”pourunserveurdontlenomDNSestods.exemple.com.<br />
Siaucundesmodèlesdemappagedisponiblesnes’appliqueàlaconnexionquevous<br />
configurez,cliquezsurManuel.Pourensavoirplus,consultezlarubrique<br />
«Configurationmanuelledel’accèsàunrépertoireLDAP»àlapage163.<br />
6 Pourquel’UtilitairederépertoireobtiennedesinformationsduserveurLDAP,cliquez<br />
surContinuer.<br />
7 Silazonededialoguesedéveloppepourafficherdesoptionsrelativesàlaliaisonsécurisée,tapezlenomdel’ordinateurainsiquelenomd’utilisateuretlemotdepassed’un<br />
administrateurderépertoire(ilsepeutquelaliaisonsoitfacultative).<br />
LazonededialoguevousindiquesilerépertoireLDAPrequiertlaliaisonsécuriséeou<br />
larendfacultative.Laliaisonsécuriséeestmutuelle:chaquefoisquel’ordinateurse<br />
connecteaurépertoireLDAP,ilss’authentifientl’unetl’autre.Silaliaisonsécuriséeest<br />
déjàconfiguréeousil’annuaireLDAPneprendpasenchargelaliaisonsécurisée,le<br />
boutonLiaisonnes’affichepas.Assurez-vousd’avoirsaisilebonnomd’ordinateur.<br />
Siunavertissements’affichepourindiquerqu’unefiched’ordinateurexiste,cliquezsur<br />
Annulerpourreveniràlapageprécédenteetmodifierlenomdel’ordinateur,oucliquezsurÉcraserpourremplacerlafiched’ordinateurexistante.<br />
Lafiched’ordinateurexistantepeutêtreabandonnéeouapparteniràunautreordinateur.<br />
Chapitre8Réglagesavancésdesclientsderépertoire 161
Sivousremplacezunefiched’ordinateur,prévenezl’administrateurdel’annuaireLDAP,<br />
aucasoùleremplacementdelafichedésactiveraitunautreordinateur.Danscecas,<br />
l’administrateurdel’annuaireLDAPdoitattribuerunautrenomàl’ordinateurdésactivéetl’ajouterànouveauaugrouped’ordinateursauquelilappartenait.<br />
Pourensavoirplussurl’ajoutd’unordinateuràungrouped’ordinateurs,consultez<br />
lechapitrerelatifauxgroupesd’ordinateursdansGestiondesutilisateurs.<br />
8 Silazonededialoguesedéveloppepourafficherdesoptionsrelativesàlaconnexion,<br />
sélectionnezl’option«Utiliserl’authentificationlorsdelasélection»puistapezlenom<br />
distinctifetlemotdepassed’uncompted’utilisateurdurépertoire.<br />
LesoptionspouruneconnexionauthentifiéeapparaissentsileserveurLDAPprenden<br />
chargeuneconnexionauthentifiée,maispaslaliaisonsécurisée.Laconnexionauthentifiéen’estpasmutuelle:leserveurLDAPauthentifieleclient,maisleclientn’authentifiepasleserveur.<br />
L’option“Utiliserl’authentificationlorsdelasélection”estprésélectionnée,maisestompéesileserveurLDAPrequiertquevousfournissiezlenomdistinctifetlemotdepasse<br />
d’uncompted’utilisateurpouruneconnexionauthentifiée.<br />
Lenomdistinctifpeutspécifiertoutcompted’utilisateurayantl’autorisationdevoirles<br />
donnéesdanslerépertoire.Parexemple,uncompted’utilisateurdontlenomabrégé<br />
estdirauthsurunserveurLDAPdontl’adresseestods.exemple.comporteraitlenom<br />
distinctifuid=dirauth,cn=utilisateurs,dc=ods,dc=exemple,dc=com.<br />
Important:silenomdistinctifoulemotdepasseestincorrect,vouspouvezouvrirune<br />
sessionsurl’ordinateuràl’aidedecomptesd’utilisateurprovenantdel’annuaireLDAP.<br />
9 CliquezsurOKpourterminerlacréationdelaconnexionLDAP.<br />
10 CliquezsurOKpourterminerlaconfigurationdesoptionsLDAPv3.<br />
Sivousavezsélectionnél’option«Utiliserpourl’authentification»ou«Utiliserpour<br />
lescontacts»àl’étape5,laconfigurationd’annuaireLDAPquevousvenezdecréerest<br />
ajoutéeàunerèglederecherchepersonnaliséedanslasous-fenêtreAuthentification<br />
ouContactsdel’Utilitairederépertoire.<br />
Assurez-vousqueLDAPv3estactivédanslasous-fenêtreServicesafinquel’ordinateur<br />
utiliselaconfigurationLDAPquevousvenezdecréer.Pourensavoirplus,consultezla<br />
rubrique«ActivationoudésactivationdesservicesderépertoiresLDAP»àlapage156.<br />
162 Chapitre8Réglagesavancésdesclientsderépertoire
Configurationmanuelledel’accèsàunrépertoireLDAP<br />
Vouspouvezcréermanuellementuneconfigurationdéfinissantlamanièredont<br />
<strong>Mac</strong><strong>OS</strong>XaccèdeàunannuaireLDAPv3ouLDAPv2.VousdevezconnaîtrelenomDNS<br />
oul’adresseIPduserveurderépertoireLDAP.<br />
Silerépertoiren’estpashébergéparunserveur<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>,vousdevezconnaîtrelabasederechercheetlemodèledemappagedesdonnées<strong>Mac</strong><strong>OS</strong>Xauxdonnéesdurépertoire.Lesmodèlesdemappageprisenchargesontlessuivants:<br />
 Duserveur,pourunrépertoirefournissantsespropresmappagesetsaproprebase<br />
derecherche,commeparexemple<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>;<br />
 Serveur<strong>Open</strong><strong>Directory</strong>,pourunrépertoireutilisantleschémade<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>;<br />
 Active<strong>Directory</strong>,pourunrépertoirehébergéparunserveurWindows2000,Windows2003ouultérieur;<br />
 RFC2307,pourlaplupartdesrépertoireshébergéspardesserveursUNIX.<br />
 Personnalisé,pourlesrépertoiresquin’utilisentaucundesmappagesci-dessus.<br />
LemoduleexterneLDAPv3prendentièrementenchargelaréplicationetlebasculement<br />
<strong>Open</strong><strong>Directory</strong>.Silemaître<strong>Open</strong><strong>Directory</strong>devientindisponible,lemodulebasculesur<br />
unerépliqueproche.<br />
Important:silenomdevotreordinateurcontientuntraitd’union,vousrisquezdene<br />
paspouvoirrejoindreouvouslieràundomainederépertoiretelqueLDAPouActive<br />
<strong>Directory</strong>.Pourétablirlaliaison,utilisezunnomd’ordinateurnecontenantpasdetrait<br />
d’union.<br />
Pourconfigurermanuellementl’accèsàunrépertoireLDAP:<br />
1 Ouvrezl’UtilitairederépertoireetcliquezsurServices.<br />
2 Sil’icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret<br />
tapezlenometlemotdepassed’unadministrateur.<br />
3 Danslalistedesservices,sélectionnezLDAPv3,puiscliquezsurleboutonModifier(/).<br />
VouspouvezsélectionnerLDAPv3danslalistedesservicessanscocherlacaseActiver<br />
pourLDAPv3.<br />
4 CliquezsurNouveau,puissurManuel.<br />
5 Tapezunnompourlaconfiguration.<br />
6 AppuyezsurlatoucheTabulation,puistapezlenomDNSoul’adresseIPduserveurqui<br />
hébergelerépertoireLDAPauquelvousvoulezaccéder.<br />
Chapitre8Réglagesavancésdesclientsderépertoire 163
7 CliquezsurlemenulocalenregarddunomDNSoudel’adresseIPetchoisissezun<br />
modèleouuneméthodedemappage:<br />
 SivouschoisissezDuserveur,aucunsuffixedebasederecherchen’estrequis.<br />
Danscecas,<strong>Open</strong><strong>Directory</strong>assumequelesuffixedebasederechercheest<br />
lepremierniveaudurépertoireLDAP.<br />
 Sivouschoisissezunmodèle,saisissezlesuffixedelabasederecherchepour<br />
l’annuaireLDAP,puiscliquezsurOK.Vousdevezsaisirunsuffixedebasederecherche,sinonl’ordinateurnepourrapastrouverd’informationsdansl’annuaireLDAP.<br />
LesuffixedelabasederechercheprovientgénéralementdunomDNSduserveur.<br />
Parexemple,lesuffixedelabasederecherchepourraitêtre“dc=ods,dc=exemple,<br />
dc=com”pourunserveurdontlenomDNSestods.exemple.com.<br />
 SivouschoisissezPersonnalisé,vousdevezconfigurerdesmappagesentrelestypes<br />
defichesetlesattributs<strong>Mac</strong><strong>OS</strong>Xetlesclassesetlesattributsdel’annuaireLDAP<br />
auquelvousvousconnectez.Pourensavoirplus,reportez-vousàlarubrique<br />
«ConfigurationdesrecherchesetmappagesLDAP»àlapage173.<br />
8 Avantdecocherlacase«ChiffrerviaSSL»,demandezàvotreadministrateur<br />
<strong>Open</strong><strong>Directory</strong>sileprotocoleSSLestrequis.<br />
9 Pourmodifierlesréglagesci-dessousdecetteconfigurationLDAP,cliquezsurModifier<br />
pourafficherlesoptionsdelaconfigurationLDAPsélectionnée,apportezvosmodifications,puiscliquezsurOKunefoisquevousavezterminé.<br />
 CliquezsurConnexionpourdéfinirdesoptionsdedélai,spécifierunportpersonnalisé,ignorerdesréférencesdeserveurouforcerl’utilisationduprotocoleLDAPv2<br />
(lectureseule).Pourensavoirplus,reportez-vousàlarubrique«Modificationdes<br />
réglagesdeconnexiond’unrépertoireLDAP»àlapage170..<br />
 CliquezsurRechercheetmappagespourconfigurerdesrecherchesetdesmappagespourunserveurLDAP.Pourensavoirplus,reportez-vousàlarubrique<br />
«ConfigurationdelaliaisonsécuriséepourunannuaireLDAP»àlapage176.<br />
 CliquezsurSécuritépourconfigureruneconnexionauthentifiée(plutôtqu’une<br />
liaisonsécurisée)etd’autresoptionsdepolitiquedesécurité.Pourensavoirplus,<br />
reportez-vousàlarubrique«ModificationdelapolitiquedesécuritépouruneconnexionLDAP»àlapage171.<br />
 CliquezsurLiaisonpourconfigurerlaliaisonsécurisée(sil’annuaireLDAPlaprenden<br />
charge).Pourensavoirplus,reportez-vousàlarubrique«Configurationdelaliaison<br />
sécuriséepourunannuaireLDAP»àlapage176.<br />
10 CliquezsurOKpourclôturermanuellementlacréationdelaconfigurationd’accèsau<br />
répertoireLDAP.<br />
164 Chapitre8Réglagesavancésdesclientsderépertoire
11 Pourquel’ordinateurpuisseaccéderàl’annuaireLDAPpourlequelvousavezcrééune<br />
configuration,ajoutezlerépertoireàunerèglederecherchepersonnaliséedansles<br />
sous-fenêtresAuthentificationetContactsdel’ongletRèglesderecherchedel’Utilitaire<br />
derépertoire,puisassurez-vousqueLDAPv3estactivédanslasous-fenêtreServices.<br />
Pourensavoirplus,consultezlesrubriques«Activationoudésactivationdesservices<br />
derépertoiresLDAP»àlapage156et«Définitiondepolitiquesderecherche<br />
personnalisées»àlapage153.<br />
Remarque:pourpouvoirutiliserGestionnairedegroupedetravailpourcréerdesutilisateurssurunserveurLDAPnon-<strong>Apple</strong>quiutilisedesmappagesRFC2307(UNIX),vous<br />
devezmodifiezlemappagedutypedeficheUtilisateurs.Pourensavoirplus,consultez<br />
larubrique«ModificationdumappageRFC2307pouractiverlacréationd’utilisateurs»<br />
àlapage183.<br />
Important:sivousmodifiezvosadresseIPetnomd’ordinateuràl’aidedel’outil<br />
changeipalorsquevousêtesconnectéàunserveurderépertoire,vousdevezvous<br />
déconnecterpuisvousreconnecteràceserveurpourquelerépertoireprenneen<br />
comptelenouveaunometlanouvelleadresseIPdel’ordinateur.Sivousnevous<br />
déconnectezpuisreconnectezpasauserveurderépertoire,lerépertoireneserapas<br />
misàjouretcontinuerad’utiliserl’anciennometl’ancienneadresseIPdel’ordinateur.<br />
Modificationd’uneconfigurationpourl’accèsàunrépertoireLDAP<br />
Vouspouvezutiliserl’Utilitairederépertoirepourmodifierlesréglagesd’uneconfigurationd’annuaireLDAP.Lesréglagesdelaconfigurationdéfinissentlamanièredont<br />
<strong>Open</strong><strong>Directory</strong>accèdeàunannuaireLDAPv3ouLDAPv2.<br />
SilaconfigurationLDAPaétéfournieparDHCP,ellenepeutpasêtremodifiée;cetype<br />
deconfigurationestdoncestompédanslalistedesconfigurationsLDAP.<br />
Pourmodifieruneconfigurationd’accèsàunrépertoireLDAP:<br />
1 Ouvrezl’UtilitairederépertoireetcliquezsurServices.<br />
2 Sil’icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret<br />
tapezlenometlemotdepassed’unadministrateur.<br />
3 Danslalistedesservices,sélectionnezLDAPv3,puiscliquezsurleboutonModifier(/).<br />
4 Silalistedesconfigurationsdeserveurestmasquée,cliquezsurAfficherlesoptions.<br />
5 Apportezlesmodificationsnécessairesauxréglagessuivants:<br />
 Activer:cochez/décochezunecasepouractiveroudésactiverl’accèsàunserveur<br />
derépertoireLDAP.<br />
 Nomdelaconfiguration:double-cliquezsurunnomdeconfigurationpour<br />
lemodifier.<br />
 NomduserveurouadresseIP:double-cliquezsurunnomouuneadresseIP<br />
deserveurpourlemodifier.<br />
Chapitre8Réglagesavancésdesclientsderépertoire 165
 MappageLDAP:choisissezunmodèledanslemenulocal,saisissezlesuffixede<br />
labasederecherchepourl’annuaireLDAP,puiscliquezsurOK.<br />
Sivousavezchoisiunmodèle,vousdevezsaisirunsuffixedebasederecherche,<br />
sinonl’ordinateurnepourrapastrouverd’informationsdansl’annuaireLDAP.<br />
LesuffixedelabasederechercheprovientgénéralementdunomDNSduserveur.<br />
Parexemple,pourunserveurdontlenomDNSestods.exemple.com,lesuffixede<br />
labasederechercheest«dc=ods,dc=exemple,dc=com».<br />
SivouschoisissezDuserveuraulieud’unmodèle,aucunsuffixedebasederecherchen’estrequis.Danscecas,<strong>Open</strong><strong>Directory</strong>assumequelesuffixedebasede<br />
rechercheestlepremierniveaudurépertoireLDAP.<br />
SivouschoisissezPersonnalisé,vousdevezconfigurerdesmappagesentrelestypes<br />
defichesetlesattributs<strong>Mac</strong><strong>OS</strong>Xetlesclassesetlesattributsdel’annuaireLDAP<br />
auquelvousvousconnectez.Pourensavoirplus,consultezlarubrique<br />
«ConfigurationdesrecherchesetmappagesLDAP»àlapage173.<br />
 SSL:cochez/décochezlacasepouractiveroudésactiverlescommunicationschiffréesàl’aideduprotocoleSSL.AvantdecocherlacaseSSL,demandezàvotreadministrateur<strong>Open</strong><strong>Directory</strong>sileprotocoleSSLestrequis.<br />
6 Pourmodifierlesréglagespardéfautci-dessousdecetteconfigurationLDAP,cliquez<br />
surModifierpourafficherlesoptionsdelaconfigurationLDAPsélectionnée,apportez<br />
vosmodifications,puiscliquezsurOKunefoisquevousavezterminé.<br />
 CliquezsurConnexionpourdéfinirdesoptionsdedélai,spécifierunportpersonnalisé,ignorerdesréférencesdeserveurouforcerl’utilisationduprotocoleLDAPv2<br />
(lectureseule).Pourensavoirplus,reportez-vousàlarubrique«Modificationdes<br />
réglagesdeconnexiond’unrépertoireLDAP»àlapage170.<br />
 CliquezsurRechercheetmappagespourconfigurerdesrecherchesetdesmappages<br />
pourunserveurLDAP.Pourensavoirplus,reportez-vousàlarubrique«Configuration<br />
delaliaisonsécuriséepourunannuaireLDAP»àlapage176.<br />
 CliquezsurSécuritépourconfigureruneconnexionauthentifiée(plutôtqu’une<br />
liaisonsécurisée)etd’autresoptionsdepolitiquedesécurité.Pourensavoirplus,<br />
reportez-vousàlarubrique«ModificationdelapolitiquedesécuritépouruneconnexionLDAP»àlapage171.<br />
 CliquezsurLiaisonpourconfigurerlaliaisonsécuriséeousurRomprelaliaisonpour<br />
arrêterlaliaisonsécurisée(ilsepeutquevousnevoyiezpascesboutonssil’annuaire<br />
LDAPneprendpasenchargelaliaisonsécurisée).Pourensavoirplus,reportez-vous<br />
àlarubrique«ConfigurationdelaliaisonsécuriséepourunannuaireLDAP»àla<br />
page176.<br />
7 Pourterminerlamodificationdelaconfigurationd’accèsàunannuaireLDAP,<br />
cliquezsurOK.<br />
166 Chapitre8Réglagesavancésdesclientsderépertoire
Duplicationd’uneconfigurationpourl’accèsàunrépertoireLDAP<br />
Vouspouvezutiliserl’Utilitairederépertoirepourdupliqueruneconfigurationdéfinissantlamanièredont<strong>Mac</strong><strong>OS</strong>XaccèdeàunannuaireLDAPv3ouLDAPv2.Aprèsavoir<br />
dupliquéuneconfigurationderépertoireLDAP,vouspouvezenmodifierlesréglages<br />
pourladifférencierdelaconfigurationd’origine.<br />
Pourdupliqueruneconfigurationd’accèsàunrépertoireLDAP:<br />
1 Ouvrezl’UtilitairederépertoireetcliquezsurServices.<br />
2 Sil’icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret<br />
tapezlenometlemotdepassed’unadministrateur.<br />
3 Danslalistedesservices,sélectionnezLDAPv3,puiscliquezsurleboutonModifier(/).<br />
4 Silalistedesconfigurationsdeserveurestmasquée,cliquezsurAfficherlesoptions.<br />
5 Sélectionnezuneconfigurationdeserveurdanslaliste,puiscliquezsurDupliquer.<br />
6 Modifiezlesréglagesdelaconfigurationdupliquée:<br />
 Activer:cochez/décochezunecasepouractiveroudésactiverl’accèsàunserveur<br />
derépertoireLDAP.<br />
 Nomdelaconfiguration:double-cliquezsurunnomdeconfigurationpourlemodifier.<br />
 NomduserveurouadresseIP:double-cliquezsurunnomouuneadresseIPde<br />
serveurpourlemodifier.<br />
 MappageLDAP:choisissezunmodèledanslemenulocal,saisissezlesuffixede<br />
labasederecherchepourl’annuaireLDAP,puiscliquezsurOK.<br />
Sivousavezchoisiunmodèle,vousdevezsaisirunsuffixedebasederecherche,<br />
sinonl’ordinateurnepourrapastrouverd’informationsdansl’annuaireLDAP.<br />
LesuffixedelabasederechercheprovientgénéralementdunomDNSduserveur.<br />
Parexemple,pourunserveurdontlenomDNSestods.exemple.com,lesuffixede<br />
labasederechercheest«dc=ods,dc=exemple,dc=com».<br />
SivouschoisissezDuserveuraulieud’unmodèle,aucunsuffixedebasederecherchen’estrequis.Danscecas,<strong>Open</strong><strong>Directory</strong>assumequelesuffixedebasede<br />
rechercheestlepremierniveaudurépertoireLDAP.<br />
SivouschoisissezPersonnalisé,vousdevezconfigurerdesmappagesentrelestypes<br />
defichesetlesattributs<strong>Mac</strong><strong>OS</strong>Xetlesclassesetlesattributsdel’annuaireLDAP<br />
auquelvousvousconnectez.Pourensavoirplus,consultezlarubrique<br />
«ConfigurationdesrecherchesetmappagesLDAP»àlapage173.<br />
 SSL:cochez/décochezlacasepouractiveroudésactiverlescommunications<br />
chiffréesàl’aideduprotocoleSSL.AvantdecocherlacaseSSL,demandezàvotre<br />
administrateur<strong>Open</strong><strong>Directory</strong>sileprotocoleSSLestrequis.<br />
Chapitre8Réglagesavancésdesclientsderépertoire 167
7 Pourmodifierlesréglagespardéfautci-dessousdelaconfigurationLDAPdupliquée,<br />
cliquezsurModifierpourafficherlesoptions,apportezvosmodifications,puiscliquez<br />
surOKunefoisquevousavezterminé:<br />
 CliquezsurConnexionpourconfigurerlaliaisonsécurisée(silerépertoireLDAPla<br />
prendencharge),définirdesoptionsdedélai,spécifierunportpersonnalisé,ignorer<br />
desréférencesdeserveurouforcerl’utilisationduprotocoleLDAPv2(lectureseule).<br />
Pourobtenirdesinstructionscomplémentaires,consultezlarubrique«Modification<br />
desréglagesdeconnexiond’unrépertoireLDAP»àlapage170.<br />
 CliquezsurRechercheetmappagespourconfigurerdesrecherchesetdes<br />
mappagespourunserveurLDAP.Pourensavoirplus,reportez-vousàlarubrique<br />
«ConfigurationdelaliaisonsécuriséepourunannuaireLDAP»àlapage176.<br />
 CliquezsurSécuritépourconfigureruneconnexionauthentifiée(plutôtqu’une<br />
liaisonsécurisée)etd’autresoptionsdepolitiquedesécurité.Pourensavoirplus,<br />
reportez-vousàlarubrique«ModificationdelapolitiquedesécuritépouruneconnexionLDAP»àlapage171.<br />
 CliquezsurLiaisonpourconfigurerlaliaisonsécuriséeousurRomprelaliaisonpour<br />
arrêterlaliaisonsécurisée(ilsepeutquevousnevoyiezpascesboutonssil’annuaire<br />
LDAPneprendpasenchargelaliaisonsécurisée).Pourensavoirplus,reportez-vous<br />
àlarubrique«ConfigurationdelaliaisonsécuriséepourunannuaireLDAP»àla<br />
page176.<br />
8 Pourterminerlamodificationdelaconfigurationdupliquée,cliquezsurOK.<br />
9 Pourquel’ordinateurpuisseaccéderàl’annuaireLDAPspécifiéparlaconfiguration<br />
dupliquéequevousavezcréée,ajoutezlerépertoireàunerèglederecherchepersonnaliséedanslasous-fenêtreAuthentificationouContactsdel’ongletRèglesderecherchedel’Utilitairederépertoireetassurez-vousqueLDAPv3estactivédanslasousfenêtreServices.<br />
Pourensavoirplus,reportez-vousauxrubriques«ActivationoudésactivationdesservicesderépertoiresLDAP»àlapage156et«Définitiondepolitiquesderecherche<br />
personnalisées»àlapage153.<br />
168 Chapitre8Réglagesavancésdesclientsderépertoire
Suppressiond’uneconfigurationpourl’accèsàunrépertoireLDAP<br />
Vouspouvezutiliserl’Utilitairederépertoirepoursupprimeruneconfigurationdéfinissantlamanièredontl’ordinateuraccèdeàunrépertoireLDAPv3ouLDAPv2.<br />
SilaconfigurationLDAPaétéfournieparDHCP,ellenepeutpasêtremodifiée;cette<br />
optiondeconfigurationestdoncestompéedanslalistedesconfigurationsLDAP.<br />
Poursupprimeruneconfigurationd’accèsàunrépertoireLDAP:<br />
1 Ouvrezl’UtilitairederépertoireetcliquezsurServices.<br />
2 Sil’icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret<br />
tapezlenometlemotdepassed’unadministrateur.<br />
3 Danslalistedesservices,sélectionnezLDAPv3,puiscliquezsurleboutonModifier(/).<br />
4 Silalistedesconfigurationsdeserveurestmasquée,cliquezsurAfficherlesoptions.<br />
5 Sélectionnezuneconfigurationdeserveurdanslaliste,cliquezsurSupprimer,puissurOK.<br />
Siunavertissements’affichepourindiquerquel’ordinateurestliéàunannuaireLDAP<br />
etquevoussouhaitezarrêterlaliaisonsécurisée,cliquezsurOK,puissaisissezlenom<br />
etlemotdepassed’unadministrateurd’annuaireLDAP(etnonceuxd’unadministrateurd’ordinateurlocal).Siunavertissements’affichepourindiquerquel’ordinateurne<br />
parvientpasàcontacterleserveurLDAP,vouspouvezcliquersurOKpourforcerl’arrêt<br />
delaliaisonsécurisée.<br />
Sivousforcezl’arrêtdelaliaisonsécurisée,cetordinateurdisposetoujoursd’unefiche<br />
d’ordinateurdansl’annuaireLDAP.Prévenezl’administrateurdel’annuaireLDAPpour<br />
qu’ilsupprimel’ordinateurdugrouped’ordinateurs.<br />
Pourensavoirplussurlasuppressiond’unordinateurdesongrouped’ordinateurs,<br />
consultezlechapitrerelatifauxgroupesd’ordinateursdansGestiondesutilisateurs.<br />
Laconfigurationsuppriméeesteffacéedesrèglesderecherchepersonnaliséespour<br />
l’authentificationetlescontacts.<br />
Chapitre8Réglagesavancésdesclientsderépertoire 169
Modificationdesréglagesdeconnexiond’unrépertoireLDAP<br />
Vouspouvezutiliserl’Utilitairederépertoirepourmodifierlesréglagesdeconnexion<br />
d’uneconfigurationdéfinissantlamanièredontl’ordinateuraccèdeàunrépertoire<br />
LDAPv3ouLDAPv2.<br />
Pourmodifierlesréglagesdeconnexionpourl’accèsàunrépertoireLDAP:<br />
1 Ouvrezl’UtilitairederépertoireetcliquezsurServices.<br />
2 Sil’icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret<br />
tapezlenometlemotdepassed’unadministrateur.<br />
3 Danslalistedesservices,sélectionnezLDAPv3,puiscliquezsurleboutonModifier(/).<br />
4 Silalistedesconfigurationsdeserveurestmasquée,cliquezsurAfficherlesoptions.<br />
5 Sélectionnezuneconfigurationdeserveurdanslaliste,puiscliquezsurModifier.<br />
6 CliquezsurConnexion,puismodifiezlesréglagessuivants:<br />
 Nomdelaconfiguration:identifiecetteconfigurationdanslalistedesconfigurationsd’annuaireLDAP.(Vouspouvezégalementmodifierlenomdanslalistedes<br />
configurationsd’annuaireLDAP.)<br />
 NomduserveurouadresseIP:définitlenomDNSoul’adresseIPduserveur.<br />
(Vouspouvezégalementmodifiercetteoptiondanslalistedesconfigurations<br />
d’annuaireLDAP.)<br />
 L’ouverture/fermetureexpireaprès:définitladuréemaximaled’unetentativede<br />
connexionavantsonannulation.<br />
 Larequêteexpireaprès:définitladuréemaximaled’unerequêteavantsonannulation.<br />
 Nouvelletentativedeliaisonaprès:définitlenombredesecondesavantunenouvelletentativedeconnexionsileserveurLDAPnerépondpas.Augmentezcette<br />
valeurpouréviterdestentativesdereconnexioncontinues.<br />
 Laconnexionexpireaprès:définitladurée(enminutes)pendantlaquelleune<br />
connexioninactiveousansréponsepeutresterouverte.<br />
 ChiffrerviaSSL:déterminesilescommunicationsavecl’annuaireLDAPdoiventêtre<br />
chiffréesàl’aided’uneconnexionSSL.(Vouspouvezégalementmodifierceréglage<br />
danslalistedesconfigurationsd’annuaireLDAP.)AvantdecocherlacaseSSL,<br />
demandezàvotreadministrateur<strong>Open</strong><strong>Directory</strong>sileprotocoleSSLestrequis.<br />
 Utiliserleportpersonnalisé:spécifieunnumérodeportautrequeceluiduport<br />
pardéfautpourlesconnexionsLDAP(389sansSSLou636avecSSL).<br />
 Ignorerlesréférencesduserveur:détermines’ilfautignorerousuivrelesréférencesd’unserveurLDAPpourrechercherdesinformationssurd’autresserveursLDAP<br />
oudesrépliques.Lesréférencesduserveurpeuventaiderunordinateuràtrouver<br />
desinformationsmaispeuventaussiralentirlesouverturesdesessionouprovoquer<br />
d’autresdélaissil’ordinateurdoitvérifierdesréférencesàd’autresserveursLDAP.<br />
 UtiliserLDAPv2(lectureseule):déterminesil’ancienprotocoleLDAPv2doitêtre<br />
utilisépourl’accèsenlectureseuleàunannuaireLDAP.<br />
170 Chapitre8Réglagesavancésdesclientsderépertoire
ModificationdelapolitiquedesécuritépouruneconnexionLDAP<br />
L’Utilitairederépertoirevouspermetdeconfigurerunrèglementdesécuritéplusstrict<br />
queceluidel’annuaireLDAPpouruneconnexionLDAPv3.Parexemple,silerèglementdesécuritédel’annuaireLDAPautoriselesmotsdepasseenclair,vouspouvez<br />
configureruneconnexionLDAPv3pourqu’ellen’autorisepascetypedemotdepasse.<br />
L’ordinateurdoitcommuniqueravecleserveurLDAPpourmontrerl’étatdesoptions<br />
desécurité.C’estpourquoi,lorsquevousmodifiezdesoptionsdesécuritépourune<br />
connexionLDAPv3,lapolitiquederecherched’authentificationdel’ordinateurdoit<br />
inclurelaconnexionLDAPv3.<br />
Définirunrèglementdesécuritéplusstrictpermetd’empêcherunbidouilleurmalveillantd’utiliserunserveurLDAPpiratépourprendrelecontrôledevotreordinateur.<br />
Lesréglagesautoriséspourlesoptionsdesécuritéd’uneconnexionLDAPv3dépendentdespossibilitésetdesbesoinsenmatièredesécuritéduserveurLDAP.Parexemple,sileserveurLDAPneprendpasenchargel’authentificationKerberos,plusieurs<br />
optionsdesécuritédelaconnexionLDAPv3sontdésactivées.<br />
Pourmodifierlesoptionsdesécuritéd’uneconnexionLDAPv3:<br />
1 Ouvrezl’UtilitairederépertoireetcliquezsurRèglesderecherche.<br />
2 CliquezsurAuthentificationetassurez-vousquel’annuaireLDAPv3souhaitéestinclus<br />
danslarèglederecherche.<br />
Pourensavoirplussurl’ajoutd’unannuaireLDAPv3àunerèglederecherche<br />
d’authentification,consultezlarubrique«Définitiondepolitiquesderecherche<br />
personnalisées»àlapage153.<br />
3 Sil’icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret<br />
tapezlenometlemotdepassed’unadministrateur.<br />
4 CliquezsurServices.<br />
5 Danslalistedesservices,sélectionnezLDAPv3,puiscliquezsurleboutonModifier(/).<br />
6 Silalistedesconfigurationsdeserveurestmasquée,cliquezsurAfficherlesoptions.<br />
7 Sélectionnezlaconfigurationd’annuairesouhaitée,puiscliquezsurModifier.<br />
8 CliquezsurSécurité,puismodifiezlesréglagessuivantsselonvosbesoins.<br />
Remarque:cesréglagesdesécuritéainsiqueceuxduserveurLDAPcorrespondant<br />
sontdéfinislorsdelaconfigurationdelaconnexionLDAP.Ilsnesontpasautomatiquementmisàjoursilesréglagesduserveursontmodifiés.<br />
Sil’unedesquatredernièresoptionsestsélectionnéemaisdésactivée,l’annuaireLDAP<br />
larequiert.Sil’unedecesoptionsestdésélectionnéeetdésactivée,leserveurLDAP<br />
nelaprendpasencharge.Pourensavoirplussurladéfinitiondecesoptionspourun<br />
annuaireLDAP<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>,consultezlarubrique«Configurationd’unrèglement<br />
desécuritépourunserveur<strong>Open</strong><strong>Directory</strong>»àlapage219.<br />
Chapitre8Réglagesavancésdesclientsderépertoire 171
 Utiliserl’authentificationlorsdelaconnexion:déterminesilaconnexionLDAPv3<br />
s’authentifieauprèsdel’annuaireLDAPenfournissantlenomdistinctifetlemotde<br />
passedéfinis.Cetteoptionn’apparaîtpassilaconnexionLDAPv3utiliselaliaison<br />
sécuriséeavecl’annuaireLDAP.<br />
 Reliéàl’annuaireentantque:définitlesinformationsd’authentificationutilisées<br />
parlaconnexionLDAPv3pourlaliaisonsécuriséeavecl’annuaireLDAP.Vousnepouvezpaschangercetteoptionnilesinformationsd’authentificationici.Parcontre,<br />
vouspouvezromprelelien,puisl’établirànouveauavecd’autresinformations<br />
d’authentification.<br />
Pourensavoirplus,consultezlesrubriques«Arrêtdelaliaisonsécuriséeavecun<br />
annuaireLDAP»àlapage177et«Configurationdelaliaisonsécuriséepourun<br />
annuaireLDAPȈlapage176.<br />
Cetteoptionn’estaffichéequesilaconnexionLDAPv3utiliselaliaisonsécurisée.<br />
 Désactiverlesmotsdepasseenclair:déterminesilemotdepassedoitêtre<br />
envoyéenclairs’ilnepeutpasêtrevalidéàl’aided’uneméthoded’authentification<br />
quienvoieunmotdepassecrypté.<br />
Pourensavoirplus,consultezlesrubriques«Sélectiondeméthodesd’authentificationpourdesutilisateursdemotsdepasseshadow»àlapage132et«Sélectionde<br />
méthodesd’authentificationpourdesutilisateursdemotsdepasse<strong>Open</strong><strong>Directory</strong>»<br />
àlapage133.<br />
 Signertouslespaquetsnumériquement(requiertKerberos):certifiequelesdonnéesd’annuaireprovenantduserveurLDAPn’ontpasétéinterceptéesetmodifiées<br />
parunautreordinateurpendantleurtransitversvotreordinateur.<br />
 Cryptertouslespaquets(requiertSSLouKerberos):exigeduserveurLDAPqu’il<br />
chiffrelesdonnéesd’annuaireàl’aideduprotocoleSSLoudeKerberosavantde<br />
lesenvoyerversvotreordinateur.Avantdecocherlacase«Cryptertouslespaquets<br />
(requiertSSLouKerberos)»,demandezàvotreadministrateur<strong>Open</strong><strong>Directory</strong>si<br />
leprotocoleSSLestrequis.<br />
 Bloquerlesattaques«Man-in-the-Middle»(requiertKerberos):empêcheunserveurmalveillantdesefairepasserpourleserveurLDAP.Plusefficaceavecl’option<br />
“Signertouslespaquetsnumériquement”.<br />
172 Chapitre8Réglagesavancésdesclientsderépertoire
ConfigurationdesrecherchesetmappagesLDAP<br />
L’Utilitairederépertoirevouspermetdemodifierlesmappages,lesbasesderecherche<br />
etlesétenduesderecherchedéfinissantlamanièredont<strong>Mac</strong><strong>OS</strong>Xrecherchedes<br />
donnéesparticulièresdansunannuaireLDAP.Vouspouvezmodifiercesréglages<br />
séparémentpourchaqueconfigurationd’annuaireLDAPrépertoriéedansl’Utilitaire<br />
derépertoire.ChaqueconfigurationderépertoireLDAPspécifielamanièredont<br />
<strong>Mac</strong><strong>OS</strong>XaccèdeauxdonnéesdansunrépertoireLDAPv3ouLDAPv2.<br />
Vouspouvezmodifierlesélémentssuivants:<br />
 lemappagedechaquetypedefiche<strong>Mac</strong><strong>OS</strong>Xversuneouplusieursclassesd’objets<br />
LDAP;<br />
 lemappagedestypesdedonnées,ouattributs,<strong>Mac</strong><strong>OS</strong>XauxattributsLDAPpour<br />
chaquetypedefiche;<br />
 labasederechercheetl’étenduederechercheLDAPdéterminantl’emplacementoù<br />
<strong>Mac</strong><strong>OS</strong>Xdoitrechercheruntypedefiche<strong>Mac</strong><strong>OS</strong>XdansunannuaireLDAP.<br />
Lorsdumappaged’attributsd’utilisateur<strong>Mac</strong><strong>OS</strong>Xversundomainederépertoire<br />
LDAPenlecture/écriture(undomaineLDAPquin’estpasenlectureseule),l’attribut<br />
LDAPmappéversRealNamenedoitpasêtrelemêmequelepremierattributd’une<br />
listed’attributsLDAPmappésversRecordName.<br />
Parexemple,l’attributcnnedoitpasêtrelepremierattributmappéversRecordName<br />
sicnestégalementmappéversRealName.<br />
Sil’attributLDAPmappéversRealNameestlemêmequelepremierattributmappé<br />
versRecordName,desproblèmesseproduirontlorsquevoustenterezdemodifierle<br />
nomcomplet(long)oulepremiernomabrégédansGestionnairedegroupedetravail.<br />
Pourensavoirplussurlestypesdefichesetlesattributs<strong>Mac</strong><strong>OS</strong>X,consultezl’annexe,<br />
«Donnéesderépertoire<strong>Mac</strong><strong>OS</strong>X».<br />
Pourmodifierlesbasesderechercheetlesmappagesd’unserveurLDAP:<br />
1 Ouvrezl’UtilitairederépertoireetcliquezsurServices.<br />
2 Sil’icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret<br />
tapezlenometlemotdepassed’unadministrateur.<br />
3 CliquezsurServices.<br />
4 Danslalistedesservices,sélectionnezLDAPv3,puiscliquezsurleboutonModifier(/).<br />
5 Silalistedesconfigurationsdeserveurestmasquée,cliquezsurAfficherlesoptions.<br />
6 Sélectionnezuneconfigurationdeserveurdanslaliste,puiscliquezsurModifier.<br />
7 CliquezsurRechercheetmappages.<br />
Chapitre8Réglagesavancésdesclientsderépertoire 173
8 Sélectionnezlesmappagesàutilisercommepointdedépart;sinon,choisissez<br />
Personnalisépourcommencersansmappageprédéfini.<br />
Sivouschoisissezl’undesmodèlesdemappageLDAP,unsuffixedebasederecherche<br />
quevouspouvezmodifiers’affiche.Sivoussouhaitezacceptercesuffixepardéfaut,<br />
cliquezsurOK.<br />
Cliquezsurlemenulocal«AccéderàceserveurLDAPv3via»etchoisissezunmodèle<br />
demappagepourutilisersesmappagescommepointdedépart.<br />
9 Ajoutezdestypesdefichesetmodifiezleurbasederechercheselonvosbesoins.<br />
 Pourajouterdestypesdefiches,cliquezsurAjouter(souslaliste«Typesd’enregistrementetattributs»);sélectionnezensuiteTypesd’enregistrementdanslazonede<br />
dialoguequiapparaît,choisissezunouplusieurstypesdefiches,puiscliquezsurOK.<br />
 Pourmodifierlabasederechercheetl’étenduederecherched’untypedefiche,<br />
sélectionnez-ledanslaliste«Typesd’enregistrementetattributs»,puismodifiezle<br />
champBasederecherche.Sélectionnez«touslessous-arbres»pourdéfinirl’étenduederecherchedesorteàinclurel’ensembledelahiérarchiedel’annuaireLDAP<br />
àpartirdelabasederecherche,ousélectionnez«lepremierniveau»pourdéfinir<br />
l’étenduederecherchedesorteàn’inclurequelabasederechercheetunniveau<br />
souscettedernièredanslahiérarchiedel’annuaireLDAP.<br />
 Poursupprimeruntypedefiche,sélectionnez-ledanslaliste«Typesd’enregistrement<br />
etattributs»,puiscliquezsurSupprimer.<br />
 Pourajouterunmappagepouruntypedefiche,sélectionnezcedernierdanslaliste<br />
«Typesd’enregistrementetattributs»,cliquezsurAjouter(souslaliste«Mapper<br />
sur__élémentslistés»),puissaisissezlenomd’uneclassed’objetsfigurantdans<br />
l’annuaireLDAP.Pourajouteruneautreclassed’objetsLDAP,appuyezsurRetour,<br />
saisissezlenomdelaclassed’objets,puisindiquezsivoussouhaitezutilisertoutes<br />
lesclassesd’objetsLDAPrépertoriéesouseulementl’uned’entreellesàl’aidedu<br />
menulocalsetrouvantau-dessusdelaliste.<br />
 Pourmodifierunmappagepouruntypedefiche,sélectionnezcedernierdansla<br />
liste«Typesd’enregistrementetattributs»,double-cliquezsurlaclassed’objets<br />
LDAPàmodifierdanslaliste«Mappersur__élémentslistés»,puismodifiez-la.<br />
Spécifiezsivoussouhaitezutilisertouteslesclassesd’objetsLDAPoul’uned’entre<br />
ellesvialamenulocalsituéau-dessusdelaliste.<br />
 Poursupprimerunmappagepouruntypedefiche,sélectionnezcedernierdans<br />
laliste«Typesd’enregistrementetattributs»,choisissezlaclassed’objetsLDAPà<br />
supprimerdelaliste«Mappersur__élémentslistés»,puiscliquezsurSupprimer<br />
(souslaliste«Mappersur__élémentslistés»).<br />
174 Chapitre8Réglagesavancésdesclientsderépertoire
10 Ajoutezdesattributs,puismodifiezleurmappageselonvosbesoins:<br />
 Pourajouterdesattributsàuntypedefiche,sélectionnezcedernierdanslaliste<br />
«Typesd’enregistrementetattributs»,puiscliquezsurAjouter(souslaliste«Types<br />
d’enregistrementetattributs»);sélectionnezensuiteTypesd’attributsdanslazonede<br />
dialoguequiapparaît,choisissezunouplusieurstypesd’attributs,puiscliquezsurOK.<br />
 Pourajouterunmappagepourunattribut,sélectionnezcedernierdanslaliste<br />
«Typesd’enregistrementetattributs»,cliquezsurAjouter(souslaliste«Mapper<br />
sur__élémentslistés»),puissaisissezlenomd’unattributfigurantdansl’annuaire<br />
LDAP;pourajouterunautreattributLDAP,appuyezsurRetour,puissaisissezlenom<br />
del’attribut.<br />
 Pourmodifierunmappagepourunattribut,sélectionnezcedernierdanslaliste<br />
«Typesd’enregistrementetattributs»,double-cliquezsurl’élémentàmodifier<br />
danslaliste«Mappersur__élémentslistés»,puismodifiezlenomdecetélément.<br />
 Poursupprimerunmappagepourunattribut,sélectionnezcedernierdanslaliste<br />
«Typesd’enregistrementetattributs»,choisissezl’élémentàsupprimerdelaliste<br />
«Mappersur__élémentslistés»,puiscliquezsurSupprimer(souslaliste«Mapper<br />
sur__élémentslistés»).<br />
 Pourmodifierl’ordredesattributsdanslalistesituéeàdroite,faitesglisser<br />
lesattributsverslehautoulebasdelaliste.<br />
11 Pourenregistrervosmappagessouslaformed’unmodèle,cliquezsurEnregistrer<br />
lemodèle.<br />
Lesmodèlesenregistrésdansl’emplacementpardéfautapparaîtrontdanslesmenus<br />
locauxdesmodèlesdemappageLDAPlaprochainefoisquevousouvrirezl’Utilitaire<br />
derépertoire.L’emplacementd’enregistrementpardéfautdesmodèlessetrouvedans<br />
votredossierdedépart,aucheminsuivant:<br />
~/Library/ApplicationSupport/<strong>Directory</strong>Utility/LDAPv3/Templates<br />
12 Pourstockerlesmappagesdansl’annuaireLDAPdesortequ’ilpuisselesfournirautomatiquementàsesclients,cliquezsur«Écriresurleserveur»,puissaisissezunebase<br />
derecherchepourstockerlesmappages,lenomdistinctd’unadministrateuroud’un<br />
autreutilisateurdisposantdel’autorisationenécrituresurlabasederecherche(par<br />
exempleuid=diradmin,cn=utilisateurs,dc=ods,dc=exemple,dc=com),ainsiqu’unmot<br />
depasse.<br />
SivousécrivezdesmappagessurunserveurLDAP<strong>Open</strong><strong>Directory</strong>,labasederecherchecorrecteest“cn=config,suffixe”(oùsuffixeestlesuffixedelabasederecherchedu<br />
serveur,commeparexemple“dc=exemple,dc=com”).<br />
Chapitre8Réglagesavancésdesclientsderépertoire 175
LerépertoireLDAPfournitsesmappagesauxclients<strong>Mac</strong><strong>OS</strong>Xdontlapolitiquede<br />
recherchepersonnaliséecontientuneconnexionquiestconfiguréepourobtenirles<br />
mappagesduserveurLDAP.LerépertoireLDAPfournitaussisesmappagesàtousles<br />
clients<strong>Mac</strong><strong>OS</strong>Xquidisposentd’unepolitiquederechercheautomatique.Pouren<br />
savoirplus,consultezlesrubriques«Configurationdel’accèsàunrépertoireLDAP»àla<br />
page160et«Utilisationdesréglagesavancésdesrèglesderecherche»àlapage151.<br />
ConfigurationdelaliaisonsécuriséepourunannuaireLDAP<br />
Vouspouvezutiliserl’Utilitairederépertoirepourconfigurerlaliaisonsécuriséeentre<br />
l’ordinateuretunannuaireLDAPprenantenchargelaliaisonsécurisée.Laliaison<br />
estauthentifiéedefaçonmutuelleaumoyend’unefiched’ordinateurauthentifié,<br />
quiestcrééedanslerépertoirelorsquevousconfigurezlaliaisonsécurisée.<br />
L’ordinateurnepeutpasêtreconfigurépourutiliseràlafoislaliaisonLDAPsécurisée<br />
etunannuaireLDAPfourniparDHCP.LaliaisonLDAPsécuriséeestparnaturestatique,<br />
alorsqueleLDAPfourniparDHCPestdynamique.<br />
Pourensavoirplus,consultezlesrubriques«Activationoudésactivationd’unrépertoireLDAPfourniviaDHCP»àlapage158et«Configurationd’unepolitiquedeliaison<br />
pourunserveur<strong>Open</strong><strong>Directory</strong>Ȉlapage218.<br />
PourconfigurerlaliaisonsécuriséeversunrépertoireLDAP:<br />
1 Ouvrezl’UtilitairederépertoireetcliquezsurServices.<br />
2 Sil’icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret<br />
tapezlenometlemotdepassed’unadministrateur.<br />
3 Danslalistedesservices,sélectionnezLDAPv3,puiscliquezsurleboutonModifier(/).<br />
4 Silalistedesconfigurationsdeserveurestmasquée,cliquezsurAfficherlesoptions.<br />
5 Sélectionnezlaconfigurationdeserveursouhaitée,puiscliquezsurModifier.<br />
6 CliquezsurLiaison,saisissezlesinformationsd’authentificationsuivantes,puiscliquez<br />
surOK.<br />
Saisissezlenomdel’ordinateur,etlenometlemotdepassed’unadministrateurde<br />
domainederépertoireLDAP.Lenomdel’ordinateurnepeutpasêtredéjàutiliséparun<br />
autreordinateurpourlaliaisonsécuriséeoud’autresservicesderéseau.<br />
SileboutonLiaisonn’apparaîtpas,celasignifiequel’annuaireLDAPneprendpasen<br />
chargelaliaisonsécurisée.<br />
7 Vérifiezquevousavezsaisilebonnomd’ordinateur.<br />
Siunavertissements’affichepourindiquerqu’unefiched’ordinateurexiste,cliquezsur<br />
Annulerpourreveniràlapageprécédenteetmodifierlenomdel’ordinateur,oucliquezsurÉcraserpourremplacerlafiched’ordinateurexistante.<br />
176 Chapitre8Réglagesavancésdesclientsderépertoire
Lafiched’ordinateurexistantepeutêtreabandonnéeouapparteniràunautreordinateur.Sivousremplacezunefiched’ordinateur,prévenezl’administrateurdel’annuaire<br />
LDAP,aucasoùleremplacementdelafichedésactiveraitunautreordinateur.<br />
Danscecas,l’administrateurdel’annuaireLDAPdoitattribuerunautrenomàl’ordinateurdésactivéetl’ajouteraugrouped’ordinateursauquelilappartenaitenutilisantun<br />
autrenompourcetordinateur.<br />
Pourensavoirplussurl’ajoutd’unordinateuràungrouped’ordinateurs,consultez<br />
lechapitrerelatifauxgroupesd’ordinateursdansGestiondesutilisateurs.<br />
8 Pourterminerlaconfigurationdelaliaisonsécurisée,cliquezsurOK.<br />
ArrêtdelaliaisonsécuriséeavecunannuaireLDAP<br />
Vouspouvezutiliserl’Utilitairederépertoirepourarrêterlaliaisonsécuriséeentreun<br />
ordinateuretunannuaireLDAPquiprendencharge,maisnerequiertpas,laliaison<br />
sécurisée.<br />
PourarrêterlaliaisonsécuriséeavecunannuaireLDAP:<br />
1 Ouvrezl’UtilitairederépertoireetcliquezsurServices.<br />
2 Sil’icônereprésentantlecadenasestverrouillée,cliquezdessuspuistapezlenomet<br />
lemotdepassed’unadministrateur.<br />
3 Danslalistedesservices,sélectionnezLDAPv3,puiscliquezsurleboutonModifier(/).<br />
4 Silalistedesconfigurationsdeserveurestmasquée,cliquezsurAfficherlesoptions.<br />
5 Sélectionnezlaconfigurationdeserveursouhaitée,puiscliquezsurModifier.<br />
6 CliquezsurRomprelaliaison,saisissezlesinformationsd’authentificationsuivantes,<br />
puiscliquezsurOK.<br />
Saisissezlenometlemotdepassed’unadministrateurderépertoireLDAP(pasun<br />
administrateurdel’ordinateurlocal).<br />
Silaliaisonsécuriséen’apasétéconfiguréesurcetordinateur,leboutonRompre<br />
laliaisonn’apparaîtpas.<br />
Siunavertissements’affichepourindiquerquel’ordinateurneparvientpasàcontacterleserveurLDAP,cliquezsurOKpourforcerl’arrêtdelaliaisonsécurisée.<br />
Sivousforcezl’arrêtdelaliaisonsécurisée,cetordinateurdisposetoujoursd’unefiche<br />
d’ordinateurdansl’annuaireLDAP.Prévenezl’administrateurdel’annuaireLDAPpour<br />
qu’ilsupprimel’ordinateurdugrouped’ordinateurs.<br />
Pourensavoirplussurlasuppressiond’unordinateurdesongrouped’ordinateurs,<br />
consultezlechapitrerelatifauxgroupesd’ordinateursdansGestiondesutilisateurs.<br />
7 CliquezsurOKpourfinaliserl’arrêtdelaliaisonsécurisée.<br />
Chapitre8Réglagesavancésdesclientsderépertoire 177
Modificationdudélaid’ouverture/defermeturepourune<br />
connexionLDAP<br />
L’Utilitairederépertoirepermetdespécifiercombiendetemps<strong>Open</strong><strong>Directory</strong>doit<br />
attendreavantd’annulerunetentativedeconnexionauserveurLDAP.<br />
Pourdéfinirledélaid’ouverture/defermeturepouruneconnexionLDAP:<br />
1 Ouvrezl’UtilitairederépertoireetcliquezsurServices.<br />
2 Sil’icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret<br />
tapezlenometlemotdepassed’unadministrateur.<br />
3 Danslalistedesservices,sélectionnezLDAPv3,puiscliquezsurleboutonModifier(/).<br />
4 Silalistedesconfigurationsdeserveurestmasquée,cliquezsurAfficherlesoptions.<br />
5 Sélectionnezuneconfigurationdeserveurdanslaliste,puiscliquezsurModifier.<br />
6 CliquezsurConnexion,puissaisissezunevaleurdanslechamp«L’ouverture/fermeture<br />
expireaprès__secondes».<br />
Lavaleurpardéfautest15secondes.<br />
ModificationdudélaiderequêtepouruneconnexionLDAP<br />
L’Utilitairederépertoirepermetdespécifiercombiendetemps<strong>Open</strong><strong>Directory</strong>doit<br />
attendreavantd’annulerunerequêteenvoyéeàl’annuaireLDAP.<br />
PourdéfinirledélaiderequêtepouruneconnexionLDAP:<br />
1 Ouvrezl’UtilitairederépertoireetcliquezsurServices.<br />
2 Sil’icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret<br />
tapezlenometlemotdepassed’unadministrateur.<br />
3 Danslalistedesservices,sélectionnezLDAPv3,puiscliquezsurleboutonModifier(/).<br />
4 Silalistedesconfigurationsdeserveurestmasquée,cliquezsurAfficherlesoptions.<br />
5 Sélectionnezuneconfigurationdeserveurdanslaliste,puiscliquezsurModifier.<br />
6 CliquezsurConnexion,puissaisissezunevaleurdanslechamp«Larequêteexpire<br />
après__secondes».<br />
Lavaleurpardéfautest120secondes.<br />
178 Chapitre8Réglagesavancésdesclientsderépertoire
Modificationdudélaidetentativedereconnexionpour<br />
uneconnexionLDAP<br />
L’UtilitairederépertoirepermetdespécifiercombiendetempsattendreavantdetenterdesereconnectersiunserveurLDAPnerépondpas.Vouspouvezaugmentercette<br />
valeurpouréviterdestentativesdereconnexioncontinues.<br />
PourdéfinirledélaidetentativedereconnexionpourlesclientsLDAPinactifs:<br />
1 Ouvrezl’UtilitairederépertoireetcliquezsurServices.<br />
2 Sil’icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret<br />
tapezlenometlemotdepassed’unadministrateur.<br />
3 Danslalistedesservices,sélectionnezLDAPv3,puiscliquezsurleboutonModifier(/).<br />
4 Silalistedesconfigurationsdeserveurestmasquée,cliquezsurAfficherlesoptions.<br />
5 Sélectionnezuneconfigurationdeserveurdanslaliste,puiscliquezsurModifier.<br />
6 CliquezsurConnexion,puissaisissezunevaleurdanslechamp«Tentativedereconnexionaprès__secondes».<br />
Lavaleurpardéfautest120secondes.<br />
Modificationdudélaid’inactivitépouruneconnexionLDAP<br />
L’Utilitairederépertoirepermetdespécifierledélaid’inactivitéd’uneconnexionLDAP<br />
avantqu’<strong>Open</strong><strong>Directory</strong>nefermelaconnexion.Vouspouvezajusterceréglagepour<br />
réduirelenombredeconnexionsouvertessurleserveurLDAP.<br />
Pourdéfinirledélaid’inactivitépouruneconnexionLDAP:<br />
1 Ouvrezl’UtilitairederépertoireetcliquezsurServices.<br />
2 Sil’icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret<br />
tapezlenometlemotdepassed’unadministrateur.<br />
3 Danslalistedesservices,sélectionnezLDAPv3,puiscliquezsurleboutonModifier(/).<br />
4 Silalistedesconfigurationsdeserveurestmasquée,cliquezsurAfficherlesoptions.<br />
5 Sélectionnezuneconfigurationdeserveurdanslaliste,puiscliquezsurModifier.<br />
6 CliquezsurConnexionetsaisissezunevaleurdanslechamp«Laconnexionexpirera<br />
après__minutes».<br />
Lavaleurpardéfautest1minute.<br />
Chapitre8Réglagesavancésdesclientsderépertoire 179
Forçagedel’accèsLDAPv2enlectureseule<br />
L’UtilitairederépertoirepermetdeforceruneconnexionàunserveurLDAPàl’aide<br />
duprotocoleLDAPv2.CetteconnexionLDAPv2forcéeestenlectureseule(etnonen<br />
lecture-écriture)etn’utilisepasSSL.<br />
Pourforcerl’accèsLDAPv2enlectureseuleversunserveurLDAP:<br />
1 Ouvrezl’UtilitairederépertoireetcliquezsurServices.<br />
2 Sil’icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret<br />
tapezlenometlemotdepassed’unadministrateur.<br />
3 Danslalistedesservices,sélectionnezLDAPv3,puiscliquezsurleboutonModifier(/).<br />
4 Silalistedesconfigurationsdeserveurestmasquée,cliquezsurAfficherlesoptions.<br />
5 Sélectionnezlaconfigurationdeserveurdanslaliste,puiscliquezsurModifier.<br />
6 CliquezsurConnexion,puiscochezlacase«UtiliserLDAPv2(lectureseule)».<br />
IgnorancedesréférencesdeserveurLDAP<br />
L’Utilitairederépertoirepermetdespécifiersil’ordinateurdoitignorerousuivreles<br />
référencesd’unserveurLDAPpourrechercherdesinformationssurd’autresserveurs<br />
LDAPoudesrépliques.<br />
Lesréférencesduserveurpeuventaiderunordinateuràtrouverdesinformationsmais<br />
peuventaussiralentirlesouverturesdesessionouprovoquerd’autresdélaissil’ordinateurdoitvérifierdesréférencesàd’autresserveursLDAP.<br />
Pourspécifiers’ilfautignorerlesréférencesdeserveurLDAP:<br />
1 Ouvrezl’UtilitairederépertoireetcliquezsurServices.<br />
2 Sil’icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret<br />
tapezlenometlemotdepassed’unadministrateur.<br />
3 Danslalistedesservices,sélectionnezLDAPv3,puiscliquezsurleboutonModifier(/).<br />
4 Silalistedesconfigurationsdeserveurestmasquée,cliquezsurAfficherlesoptions.<br />
5 Sélectionnezuneconfigurationdeserveurdanslaliste,puiscliquezsurModifier.<br />
6 CliquezsurConnexionetcochezlacase«Ignorerlesréférencesduserveur».<br />
180 Chapitre8Réglagesavancésdesclientsderépertoire
Authentificationd’uneconnexionLDAP<br />
L’Utilitairederépertoirepermetdeconfigureruneconnexionauthentifiéeàun<br />
annuaireLDAP.Cetteauthentificationestunidirectionnelle.L’ordinateurprouveson<br />
identitéauprèsd’unrépertoireLDAP,maislerépertoireLDAPneprouvepasson<br />
authenticitéauprèsdel’ordinateur.Pouruneauthentificationmutuelle,consultezla<br />
rubrique«ConfigurationdelaliaisonsécuriséepourunannuaireLDAP»àlapage176.<br />
Remarque:silaliaisonsécuriséeestconfiguréeentrel’ordinateuretl’annuaireLDAP,une<br />
connexionauthentifiéeseraitredondante;vousnepouvezdoncpasenconfigurerune.<br />
PourconfigureruneconnexionLDAPv3authentifiée:<br />
1 Ouvrezl’UtilitairederépertoireetcliquezsurServices.<br />
2 Sil’icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret<br />
tapezlenometlemotdepassed’unadministrateur.<br />
3 Danslalistedesservices,sélectionnezLDAPv3,puiscliquezsurleboutonModifier(/).<br />
4 Silalistedesconfigurationsdeserveurestmasquée,cliquezsurAfficherlesoptions.<br />
5 Sélectionnezuneconfigurationdeserveurdanslaliste,puiscliquezsurModifier.<br />
6 CliquezsurSécurité.<br />
7 Cochezlacase«Utiliserl’authentificationlorsdelaconnexion»,puissaisissezlenom<br />
distinctifetlemotdepassed’unutilisateur.<br />
Lenomdistinctifpeutspécifiertoutcompted’utilisateurayantl’autorisationdevoir<br />
lesdonnéesdurépertoire.Parexemple,uncompted’utilisateurdontlenomabrégé<br />
est«authentificateur»surunserveurLDAPdontl’adresseestods.exemple.comporte<br />
lenomdistinctifuid=authentificateur,cn=utilisateurs,dc=ods,dc=exemple,dc=com.<br />
Important:silenomdistinctifoulemotdepasseestincorrect,personnenepeut<br />
ouvrirunesessionsurl’ordinateuràl’aidedecomptesd’utilisateurprovenantde<br />
l’annuaireLDAP.<br />
Modificationdumotdepasseutilisépourauthentifierune<br />
connexionLDAP<br />
L’UtilitairederépertoirepermetdemettreàjouruneconnexionLDAPauthentifiée<br />
pourqu’elleutiliseunmotdepassequiaétémodifiésurleserveurLDAP.(Tousles<br />
ordinateursdisposantd’uneconnexionauthentifiéeàunserveurLDAPdoiventêtremis<br />
àjoursilemotdepasseutilisépourauthentifierlaconnexionLDAPestmodifiésur<br />
leserveur).<br />
Chapitre8Réglagesavancésdesclientsderépertoire 181
PourmodifierlemotdepassepouruneconnexionLDAP:<br />
1 Ouvrezl’UtilitairederépertoireetcliquezsurServices.<br />
2 Sil’icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret<br />
tapezlenometlemotdepassed’unadministrateur.<br />
3 Danslalistedesservices,sélectionnezLDAPv3,puiscliquezsurleboutonModifier(/).<br />
4 Silalistedesconfigurationsdeserveurestmasquée,cliquezsurAfficherlesoptions.<br />
5 Sélectionnezuneconfigurationdeserveurdanslaliste,puiscliquezsurModifier.<br />
6 CliquezsurSécurité,puismodifiezleréglageMotdepasse:<br />
 SileréglageMotdepasseestestompéparcequelacase«Utiliserl’authentification<br />
lorsdelaconnexion»estdécochée,consultezlarubrique«Authentificationd’une<br />
connexionLDAPȈlapage181.<br />
 SileréglageMotdepasseestestompéparcequelacase«Reliéàl’annuaireentant<br />
que»estcochée(maisestompée),celasignifiequelaconnexionn’estpasauthentifiéeavecunmotdepassed’utilisateur.Laconnexionutilisealorsplutôtunefiche<br />
d’ordinateurauthentifiéoulaliaisonsécurisée.<br />
Mappaged’attributsd’enregistrementdeconfigurationpour<br />
répertoiresLDAP<br />
Pourstockerdesinformationspourlesutilisateurs<strong>Mac</strong><strong>OS</strong>Xgérésdansunannuaire<br />
LDAPnon-<strong>Apple</strong>,vousdevezmapperlesattributssuivantsdutypedefiche<br />
Config:RealNameetDataStamp.<br />
Sivousnemappezpascesattributs,lemessaged’erreursuivants’afficheralorsque<br />
vousutiliserezGestionnairedegroupedetravailpourmodifierunefiched’utilisateur<br />
situéedansl’annuaireLDAP:<br />
L’attributnommé“dsRecTypeStandard:Config”n’estpasmappé.<br />
Vouspouvezignorercemessagesivousn’utilisezpaslagestiondeclient<strong>Mac</strong><strong>OS</strong>X,qui<br />
dépenddesattributsRealNameetDataStampdutypeEnregistrementdeconfigurationpourlamémoirecache.<br />
182 Chapitre8Réglagesavancésdesclientsderépertoire
ModificationdumappageRFC2307pouractiverlacréation<br />
d’utilisateurs<br />
PourpouvoirutiliserGestionnairedegroupedetravailpourcréerdesutilisateurssurun<br />
serveurLDAPnon-<strong>Apple</strong>quiutilisedesmappagesRFC2307(UNIX),vousdevezmodifiezlemappagedutypedeficheUtilisateurs.Vousdevezpourcelautiliserl’Utilitaire<br />
derépertoire.<br />
Pouractiverlacréationd’enregistrementsd’utilisateursdansunrépertoireLDAP<br />
avecmappagesRFC2307:<br />
1 Ouvrezl’UtilitairederépertoireetcliquezsurServices.<br />
2 Sil’icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret<br />
tapezlenometlemotdepassed’unadministrateur.<br />
3 Danslalistedesservices,sélectionnezLDAPv3,puiscliquezsurleboutonModifier(/).<br />
4 Silalistedesconfigurationsdeserveurestmasquée,cliquezsurAfficherlesoptions.<br />
5 SélectionnezlaconfigurationderépertoireavecmappagesRFC2307,puiscliquezsur<br />
Modifier.<br />
6 CliquezsurRechercheetmappages.<br />
7 SélectionnezUtilisateursdanslalistedegauche.<br />
Pardéfaut,«Mappersur__élémentslistés»estdéfinisurQuelconqueetlalistede<br />
droitecontientposixAccount,inetOrgPersonetshadowAccount.<br />
8 Définissez«Mappersur__élémentslistés»surTout,puismodifiezlalistededroite<br />
pourn’inclurequelesclassesd’objetsLDAPverslesquellesvousvoulezmapperletype<br />
deficheUtilisateurs.<br />
SupprimezparexempleshadowAccountdelalistedesortequeletypedeficheUtilisateursnesoitmappéqueversposixAccountetinetOrgPerson.Vouspouvezégalement<br />
mapperletypedeficheUtilisateursversaccount,posixAccountetshadowAccount.<br />
Pourmodifierunélémentdelaliste,double-cliquezdessus.Pourajouterunélémentà<br />
laliste,cliquezsurAjouter.Poursupprimerl’élémentsélectionnédelaliste,cliquezsur<br />
Supprimer.Pourmodifierl’ordredesélémentsrépertoriés,faites-lesglisserverslehaut<br />
oulebasdelaliste.Vouspouvezrechercherlesclassesd’objetsdesfichesd’utilisateur<br />
setrouvantdansl’annuaireLDAPàl’aidedel’outilUNIXldapsearch dansTerminal.<br />
Parexemple,lecodesuivantrecherchelesclassesd’objetsd’unefiched’utilisateurdont<br />
l’attributcnest«LéonarddeVinci»:<br />
$ ldapsearch -x -h ldapserver.exemple.com -b "dc=exemple, dc=com"<br />
’cn=Léonard de Vinci’ objectClass<br />
Cetexemplerenverraitlesrésultatssuivants:<br />
# Léonard de Vinci, exemple.com<br />
dn: cn=Léonard de Vinci, dc=exemple, dc=com<br />
objectClass: inetOrgPerson<br />
objectClass: posixAccount<br />
Chapitre8Réglagesavancésdesclientsderépertoire 183
Préparationd’unrépertoireLDAPenlectureseulepour<strong>Mac</strong><strong>OS</strong>X<br />
Sivoussouhaitezqu’unordinateur<strong>Mac</strong><strong>OS</strong>Xpuisseliredesdonnéesadministratives<br />
dansunannuaireLDAPenlectureseule,cesdonnéesdoiventêtreauformatrequispar<br />
<strong>Mac</strong><strong>OS</strong>X.Ilvousfaudrapeut-êtreajouter,modifierouréorganiserlesdonnéesdans<br />
l’annuaireLDAPenlectureseule.<br />
Danslamesureoù<strong>Mac</strong><strong>OS</strong>Xnepeutpasécrirededonnéesdansunrépertoireen<br />
lectureseule,vousdevezutiliserd’autresoutilspourapportercesmodifications.<br />
Cesoutilsdoiventrésidersurleserveurquihébergel’annuaireLDAPenlectureseule.<br />
PourpréparerunrépertoireLDAPenlectureseulepour<strong>Mac</strong><strong>OS</strong>X:<br />
1 AccédezauserveurquihébergelerépertoireLDAPenlectureseuleetconfigurez-le<br />
pourqu’ilgèrel’authentificationLDAPetlavérificationdesmotsdepasse.<br />
2 Modifiezcommeilsedoitlesclassesd’objetsetattributsdel’annuaireLDAPafinde<br />
fournirlesdonnéesnécessairesà<strong>Mac</strong><strong>OS</strong>X.<br />
Pourobtenirdesspécificationssurlesdonnéesrequisesparlesservicesderépertoire<br />
de<strong>Mac</strong><strong>OS</strong>X,consultezl’annexe,«Donnéesderépertoire<strong>Mac</strong><strong>OS</strong>X».<br />
Remplissaged’annuairesLDAPavecdesdonnéespour<strong>Mac</strong><strong>OS</strong>X<br />
Aprèsavoirconfigurél’accèsauxdomainesderépertoireLDAPetconfiguréleur<br />
mappagededonnées,vouspouvezlesrempliravecdesfichesetdesdonnéespour<br />
<strong>Mac</strong><strong>OS</strong>X.PourlesannuairesLDAPquiautorisentl’administrationàdistance(accèsen<br />
lecture/écriture),vouspouvezutiliserl’applicationGestionnairedegroupedetravail,<br />
livréeavec<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>,delamanièresuivante:<br />
 Lespointsdepartaged’identitéetlesdomainespartagésquevoussouhaitezmonterautomatiquementdanslesnavigateursdeRéseaudesutilisateurs(cequelesutilisateursvoientlorsqu’ilscliquentsurRéseaudanslabarrelatéraled’unefenêtredu<br />
Finder).<br />
UtilisezlemodulePartaged’AdminServeuretlemoduleRéseaudeGestionnairede<br />
groupedetravail.Pourensavoirplus,consultezlasection<strong>Administration</strong>desservices<br />
defichier.<br />
 Définissezlesfichesd’utilisateuretdegroupe,puisconfigurez-les.<br />
UtilisezlemoduleComptesdeGestionnairedegroupedetravail.Pourensavoirplus,<br />
consultezlasectionGestiondesutilisateurs.<br />
 Définissezleslistesd’ordinateurspartageantlesmêmesréglagesdepréférenceset<br />
disponiblespourlesmêmesutilisateursetgroupes.<br />
UtilisezlemoduleOrdinateursdeGestionnairedegroupedetravail.Pourensavoir<br />
plus,consultezlasectionGestiondesutilisateurs.<br />
184 Chapitre8Réglagesavancésdesclientsderépertoire
Danstouslescas,cliquezsurlapetiteicônedeglobeau-dessusdelalistedesutilisateurs,puischoisissezuneoptiondumenulocaldeGestionnairedegroupedetravail<br />
pourouvrirledomainederépertoireLDAP.SilerépertoireLDAPnefigurepasdans<br />
lemenulocal,choisissezAutrepourlesélectionner.<br />
Remarque:pourajouterdesfichesetdesdonnéesàunannuaireLDAPenlectureseule,<br />
vousdevezutiliserdesoutilsrésidantsurleserveurquihébergecetannuaireLDAP.<br />
UtilisationdesréglagesavancésdesservicesActive<strong>Directory</strong><br />
Vouspouvezconfigurerunserveuréquipéde<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>ouunordinateur<br />
dotéde<strong>Mac</strong><strong>OS</strong>XpouraccéderàundomaineActive<strong>Directory</strong>surunserveur<br />
Windows2000ouWindows2003.<br />
Pourtrouverlesdescriptionsdestâchesetdesinstructions,reportez-vousà:<br />
 «Àproposdel’accèsàActive<strong>Directory</strong>»àlapage186<br />
 «Configurationdel’accèsàundomaineActive<strong>Directory</strong>»àlapage188<br />
 «Configurationdecomptesd’utilisateurmobilesdansActive<strong>Directory</strong>»àlapage191<br />
 «Configurationdedossiersdedépartpourdescomptesd’utilisateurActive<strong>Directory</strong>»<br />
àlapage192<br />
 «Configurationd’unshellUNIXpourdescomptesd’utilisateurActive<strong>Directory</strong>»àla<br />
page193<br />
 «Associationdel’UIDàunattributActive<strong>Directory</strong>»àlapage194<br />
 «Mappagedel’identifiantdegroupeprincipalversunattributActive<strong>Directory</strong>»àla<br />
page195<br />
 «Mappagedel’identifiantdegroupedescomptesdegroupeversunattributActive<br />
<strong>Directory</strong>Ȉlapage196<br />
 «Spécificationd’unserveurActive<strong>Directory</strong>préféré»àlapage197<br />
 «ModificationdesgroupesActive<strong>Directory</strong>autorisésàadministrerl’ordinateur»àla<br />
page198<br />
 «Contrôledel’authentificationàpartirdetouslesdomainesdelaforêtActive<strong>Directory</strong>»<br />
àlapage199<br />
 «RupturedelaliaisonavecleserveurActive<strong>Directory</strong>»àlapage200<br />
 «Modificationdecomptesd’utilisateuretd’autresenregistrementsdansActive<br />
<strong>Directory</strong>Ȉlapage200<br />
Pourcertainsréseaux,d’autresméthodess’avèrentappropriéespourl’accèsàun<br />
domaineActive<strong>Directory</strong>.Consultezlarubrique«Configurationdel’accèsLDAPaux<br />
domainesActive<strong>Directory</strong>Ȉlapage201.<br />
Chapitre8Réglagesavancésdesclientsderépertoire 185
Àproposdel’accèsàActive<strong>Directory</strong><br />
Vouspouvezconfigurer<strong>Mac</strong><strong>OS</strong>Xpourqu’ilaccèdeàdesinformationsdecompted’utilisateurélémentairesdansundomaineActive<strong>Directory</strong>d’unserveurWindows2000<br />
ouultérieur.CelaestpossiblegrâceaumoduleActive<strong>Directory</strong>del’Utilitairede<br />
répertoire.CemoduleActive<strong>Directory</strong>figuredanslasous-fenêtreServicesdel’Utilitaire<br />
derépertoire.<br />
Iln’estpasnécessaired’apporterdesmodificationsdeschémaaudomaineActive<strong>Directory</strong>pourobtenirdesinformationsdecompted’utilisateurélémentaires.Vousdevrez<br />
éventuellementmodifierlalistedecontrôled’accès(ACL)pardéfautdecertainsattributspourquelescomptesd’ordinateurpuissentlirelespropriétésd’utilisateur.<br />
LemoduleexterneActive<strong>Directory</strong>génèretouslesattributsrequispourl’authentification<strong>Mac</strong><strong>OS</strong>Xàpartird’attributsstandarddanslescomptesd’utilisateurActive<strong>Directory</strong>.Lemoduleprendégalementenchargelesrèglementsd’authentificationActive<br />
<strong>Directory</strong>,ycomprislamodification,l’expirationetlechangementforcédemotde<br />
passe,ainsiquelesoptionsdesécurité.<br />
<strong>Mac</strong><strong>OS</strong>X10.5prendenchargelesoptionsdechiffrementetdesignaturedespaquets<br />
pourtouslesdomainesWindowsActive<strong>Directory</strong>.Cettefonctionnalitéestdéfiniepar<br />
défautsur«autoriser».Vouspouvezmodifierceréglagepardéfautpourledéfinirsur<br />
«désactivé»ou«requispar»àl’aidedel’outildelignedecommandedsconfigad.<br />
Lesoptionsdechiffrementetdesignaturedespaquetsgarantissentlaprotectionde<br />
touteslesdonnéestransitantentrel’ordinateuretledomaineActive<strong>Directory</strong>lors<br />
desrecherchesdefiche.<br />
LemoduleexterneActive<strong>Directory</strong>génèredemanièredynamiqueunidentifiant<br />
d’utilisateuruniqueetunidentifiantdegroupeprincipal,baséssurl’identifiantGUID<br />
(GloballyUniqueID)ducompted’utilisateurdansledomaineActive<strong>Directory</strong>.L’identifiantd’utilisateuretl’identifiantdegroupeprincipalgénéréssontlesmêmespour<br />
chaquecompted’utilisateur,mêmesilecompteestutilisépourouvrirunesessionsur<br />
différentsordinateurs<strong>Mac</strong><strong>OS</strong>X.<br />
VouspouvezégalementforcerlemoduleexterneActive<strong>Directory</strong>àassocierl’identifiantd’utilisateuràdesattributsActive<strong>Directory</strong>quevousspécifiez.<br />
LemoduleActive<strong>Directory</strong>génèreunidentifiantdegrouped’aprèsleGUIDducompte<br />
degroupeActive<strong>Directory</strong>.Vouspouvezaussiforcerlemoduleexterneàmapper<br />
l’identifiantdegroupepourlescomptesdegroupeversdesattributsActive<strong>Directory</strong><br />
quevousspécifiez.<br />
186 Chapitre8Réglagesavancésdesclientsderépertoire
Lorsquequelqu’unouvreunesession<strong>Mac</strong><strong>OS</strong>Xàl’aided’uncompted’utilisateurActive<br />
<strong>Directory</strong>,lemoduleActive<strong>Directory</strong>peutmonterledossierdedépartréseauWindows<br />
définicommedossierdedépart<strong>Mac</strong><strong>OS</strong>Xdel’utilisateurdanslecompted’utilisateur<br />
Active<strong>Directory</strong>.Vouspouvezindiquers’ilfaututiliserledossierdedépartréseaudéfini<br />
parl’attributhome<strong>Directory</strong>standardd’Active<strong>Directory</strong>ouparl’attributhome<strong>Directory</strong><br />
de<strong>Mac</strong><strong>OS</strong>X(sileschémaActive<strong>Directory</strong>aétéétendupourl’inclure).<br />
Vouspouvezaussiconfigurerlemoduleexternepourqu’ilcréeundossierdedépart<br />
localsurlevolumededémarragedel’ordinateurclient<strong>Mac</strong><strong>OS</strong>X.Danscecas,le<br />
modulemonteaussiledossierdedépartréseauWindowsdel’utilisateur(définidans<br />
lecompted’utilisateurActive<strong>Directory</strong>)entantquevolumeréseau,commeunpoint<br />
departage.Àl’aideduFinder,l’utilisateurpeutalorscopierdesfichiersentrelevolume<br />
réseaududossierdedépartWindowsetledossierdedépart<strong>Mac</strong><strong>OS</strong>Xlocal.<br />
LemoduleexterneActive<strong>Directory</strong>peutaussicréerdescomptesmobilespourles<br />
utilisateurs.Uncomptemobiledisposed’undossierdedépartlocalsurlevolumede<br />
démarragedel’ordinateurclient<strong>Mac</strong><strong>OS</strong>X.(L’utilisateurdisposed’undossierdedépart<br />
réseau,commespécifiédanssoncompteActive<strong>Directory</strong>).<br />
Uncomptemobilemetlesinformationsd’authentificationActive<strong>Directory</strong>del’utilisateurenmémoirecachesurl’ordinateurclient<strong>Mac</strong><strong>OS</strong>X.Lesinformationsd’authentificationmisesenmémoirecachepermettentàl’utilisateurd’ouvrirunesessionàl’aide<br />
dunometdumotdepasseActive<strong>Directory</strong>lorsquel’ordinateurclientestdéconnecté<br />
duserveurActive<strong>Directory</strong>.<br />
Uncomptemobiledisposed’undossierdedépartlocalsurlevolumededémarrage<br />
del’ordinateurclient<strong>Mac</strong><strong>OS</strong>X.(L’utilisateurdisposed’undossierdedépartréseau,<br />
commespécifiédanslecompteActive<strong>Directory</strong>del’utilisateur).<br />
SileschémaActive<strong>Directory</strong>aétéétendupourinclurelestypesdefiches(classes<br />
d’objets)etlesattributs<strong>Mac</strong><strong>OS</strong>X,lemoduleActive<strong>Directory</strong>lesdétecteetyaccède.<br />
Parexemple,leschémaActive<strong>Directory</strong>pourraitêtremodifiéàl’aided’outilsd’administrationWindowspourincluredesattributsdeclientgéré<strong>Mac</strong><strong>OS</strong>X.CettemodificationduschémapermetaumoduleActive<strong>Directory</strong>deprendreenchargelesréglages<br />
declientgérédéfinisàl’aidedel’applicationGestionnairedegroupedetravailde<br />
<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>.<br />
Lesclients<strong>Mac</strong><strong>OS</strong>Xbénéficientd’unaccèsenlecturecompletauxattributsajoutés<br />
aurépertoire.C’estpourquoiilpeuts’avérernécessairedemodifierlalistedecontrôle<br />
d’accèsdecesattributspourautoriserdesgroupesd’ordinateursàlirecesattributs<br />
ajoutés.<br />
Chapitre8Réglagesavancésdesclientsderépertoire 187
LemoduleActive<strong>Directory</strong>détectetouslesdomainesd’uneforêtActive<strong>Directory</strong>.<br />
Vouspouvezconfigurerlemodulepourqu’ilautoriselesutilisateursden’importe<br />
queldomainedelaforêtàs’authentifiersurunordinateur<strong>Mac</strong><strong>OS</strong>X.Vouspouvez<br />
égalementautoriserl’authentificationdecertainsdomainesuniquementsurleclient.<br />
LemoduleexterneActive<strong>Directory</strong>prendentièrementenchargelaréplicationet<br />
lebasculementActive<strong>Directory</strong>.Ildétecteplusieurscontrôleursdedomaineetdétermineleplusproche.Siuncontrôleurdedomainedevientindisponible,lemodule<br />
basculesurunautrecontrôleurdedomaineproche.<br />
LemoduleActive<strong>Directory</strong>utiliseLDAPpouraccéderauxcomptesd’utilisateurActive<br />
<strong>Directory</strong>etKerberospourlesauthentifier.LemoduleexterneActive<strong>Directory</strong>n’utilise<br />
pasl’interfacepropriétaireADSI(Active<strong>Directory</strong>ServicesInterface)deMicrosoftpour<br />
accéderauxservicesderépertoireoud’authentification.<br />
Configurationdel’accèsàundomaineActive<strong>Directory</strong><br />
Àl’aidedumoduleActive<strong>Directory</strong>del’Utilitairederépertoire,vouspouvezconfigurer<br />
<strong>Mac</strong><strong>OS</strong>Xpourqu’ilaccèdeauxinformationsdecompted’utilisateurélémentairesdans<br />
undomaineActive<strong>Directory</strong>surunserveurWindows.<br />
LemoduleexterneActive<strong>Directory</strong>génèretouslesattributsrequispourl’authentification<strong>Mac</strong><strong>OS</strong>X.AucunemodificationduschémaActive<strong>Directory</strong>n’estnécessaire.<br />
LemoduleActive<strong>Directory</strong>détecteetaccèdeauxtypesdefichesetauxattributs<br />
<strong>Mac</strong><strong>OS</strong>Xstandard(telsquelesattributsrequispourlagestiondesclients<strong>Mac</strong><strong>OS</strong>X),<br />
sileschémaActive<strong>Directory</strong>aétéétendupourlesinclure.<br />
AVERTISSEMENT:lesoptionsavancéesdumoduleActive<strong>Directory</strong>permettentde<br />
mapperl’identifiantd’utilisateurunique(UID),l’identifiantdegroupe(GID)principal<br />
etl’attributd’identifiantdegroupe<strong>Mac</strong><strong>OS</strong>Xverslesattributsappropriésquiontété<br />
ajoutésauschémaActive<strong>Directory</strong>.Sivousmodifiezultérieurementleréglagedeces<br />
optionsdemappage,lesutilisateursrisquentdeperdrel’accèsauxfichierscréés<br />
précédemment.<br />
Important:silenomdevotreordinateurcontientuntraitd’union,vousrisquezdene<br />
paspouvoirrejoindreouvouslieràundomainederépertoiretelqueLDAPouActive<br />
<strong>Directory</strong>.Pourétablirlaliaison,utilisezunnomd’ordinateurnecontenantpasdetrait<br />
d’union.<br />
188 Chapitre8Réglagesavancésdesclientsderépertoire
Pourconfigurerl’accèsàundomaineActive<strong>Directory</strong>:<br />
1 Ouvrezl’UtilitairederépertoireetcliquezsurServices.<br />
2 Sil’icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret<br />
tapezlenometlemotdepassed’unadministrateur.<br />
3 Danslalistedesservices,sélectionnezActive<strong>Directory</strong>,puiscliquezsurlebouton<br />
Modifier(/).<br />
4 SaisissezlenomDNSdudomaineActive<strong>Directory</strong>auquelvoussouhaitezlierl’ordinateurquevousêtesentraindeconfigurer.<br />
L’administrateurdudomaineActive<strong>Directory</strong>peutvouscommuniquerlenomDNSà<br />
saisir.<br />
5 Sinécessaire,modifiezl’identifiantdel’ordinateur.<br />
L’identifiantdel’ordinateurestlenomsouslequelcetordinateurseraconnudansle<br />
domaineActive<strong>Directory</strong>;pardéfaut,ils’agitdunomdel’ordinateur.Ilsepeutque<br />
vousdeviezlemodifierpourvousconformerauschémadéfiniparvotreorganisation<br />
pourl’attributiondesnomsd’ordinateurdansledomaineActive<strong>Directory</strong>.Sivous<br />
n’êtespassûrdunomàsaisir,consultezl’administrateurdudomaineActive<strong>Directory</strong>.<br />
6 (Facultatif)Définissezlesoptionsavancées.<br />
Silesoptionsavancéessontmasquées,cliquezsurAfficherlesoptionsavancéesetdéfinissezdesoptionsdanslessous-fenêtresExpérienceutilisateur,MappagesetAdministratif.Vouspouvezaussimodifierultérieurementlesréglagesdesoptionsavancées.<br />
Pourensavoirplussurlesoptionsavancées,consultezlesrubriquessuivantes:<br />
 «Configurationdecomptesd’utilisateurmobilesdansActive<strong>Directory</strong>»àlapage191<br />
 «Configurationdedossiersdedépartpourdescomptesd’utilisateurActive<strong>Directory</strong>»à<br />
lapage192<br />
 «Configurationd’unshellUNIXpourdescomptesd’utilisateurActive<strong>Directory</strong>»àla<br />
page193<br />
 «Associationdel’UIDàunattributActive<strong>Directory</strong>»àlapage194<br />
 «Mappagedel’identifiantdegroupeprincipalversunattributActive<strong>Directory</strong>»àla<br />
page195<br />
 «Mappagedel’identifiantdegroupedescomptesdegroupeversunattributActive<br />
<strong>Directory</strong>Ȉlapage196<br />
 «Spécificationd’unserveurActive<strong>Directory</strong>préféré»àlapage197<br />
 «ModificationdesgroupesActive<strong>Directory</strong>autorisésàadministrerl’ordinateur»àla<br />
page198<br />
 «Contrôledel’authentificationàpartirdetouslesdomainesdelaforêtActive<strong>Directory</strong>»<br />
àlapage199<br />
Chapitre8Réglagesavancésdesclientsderépertoire 189
7 CliquezsurLiaison,utilisezleschampssuivantspourvousauthentifierentantqu’utilisateurayantledroitderelierunordinateuraudomaineActive<strong>Directory</strong>,sélectionnez<br />
lesrèglesderechercheauxquellesvoussouhaitezajouterActive<strong>Directory</strong>(voirci-dessous),puiscliquezsurOK:<br />
 Nomd’utilisateuretmotdepasse:vouspouvezvousauthentifierensaisissantles<br />
nometmotdepassedevotrecompted’utilisateurActive<strong>Directory</strong>;sinon,ilsepeut<br />
quel’administrateurdudomaineActive<strong>Directory</strong>doivevousfournirunnometun<br />
motdepasse.<br />
 CléOUordinateur:saisissezl’unitéorganisationnelle(UO)del’ordinateurquevous<br />
êtesentraindeconfigurer.<br />
 Utiliserpourl’authentification:permetdedéterminersiActive<strong>Directory</strong>doitêtre<br />
ajoutéàlarèglederecherched’authentificationdel’ordinateur.<br />
 Utiliserpourlescontacts:permetdedéterminersiActive<strong>Directory</strong>doitêtreajouté<br />
àlarèglederecherchedecontactsdel’ordinateur.<br />
LorsquevouscliquezsurOK,l’Utilitairederépertoireconfigurelaliaisonsécurisée<br />
entrel’ordinateurquevousêtesentraindeconfigureretleserveurActive<strong>Directory</strong>.<br />
Lesrèglesderecherchedel’ordinateursontconfiguréesenfonctiondesoptionsque<br />
vousavezsélectionnéeslorsquevousvousêtesauthentifiéetActive<strong>Directory</strong>est<br />
activédanslasous-fenêtreServicesdel’Utilitairederépertoire.<br />
Aveclesréglagespardéfautdesoptionsavancéesd’Active<strong>Directory</strong>,laforêtActive<br />
<strong>Directory</strong>estajoutéeauxrèglesderecherched’authentificationetdecontactsde<br />
l’ordinateursivousavezsélectionnél’option«Utiliserpourl’authentification»ou<br />
«Utiliserpourlescontacts».<br />
Toutefois,sivousdésélectionnezl’option«Autoriserl’authentificationdepuisn’importe<br />
queldomainedelaforêt»danslasous-fenêtred’optionsavancéesAdministratifavant<br />
decliquersurLiaison,c’estledomaineActive<strong>Directory</strong>leplusprochequiestajouté,<br />
etnonlaforêt.<br />
VouspouvezmodifierlesrèglesderechercheultérieurementenajoutantouensupprimantlaforêtActive<strong>Directory</strong>oudesdomainesindividuels.Pourensavoirplus,consultezlarubrique«Définitiondepolitiquesderecherchepersonnalisées»àlapage153.<br />
8 (Facultatif)ReliezleserveurauroyaumeKerberosActive<strong>Directory</strong>.<br />
Surleserveurousurunordinateuradministrateurquipeutseconnecterauserveur,<br />
ouvrezAdminServeuretsélectionnez<strong>Open</strong><strong>Directory</strong>pourleserveur.Cliquezsur<br />
Réglages,puissurGénéral.CliquezsurSeconnecteràKerberos,puischoisissezle<br />
royaumeKerberosActive<strong>Directory</strong>danslemenulocaletsaisissezlesinformations<br />
d’authentificationd’unadministrateurlocalsurceserveur.<br />
Pourensavoirplus,consultezlarubrique«Connecterunserveuràunroyaume<br />
KerberosȈlapage119.<br />
190 Chapitre8Réglagesavancésdesclientsderépertoire
Configurationdecomptesd’utilisateurmobilesdansActive<strong>Directory</strong><br />
Vouspouvezactiveroudésactiverdescomptesd’utilisateurActive<strong>Directory</strong>mobiles<br />
surunordinateurconfigurépourutiliserlemoduleActive<strong>Directory</strong>del’Utilitairede<br />
répertoire.Lesutilisateursquidisposentdecomptesmobilespeuventouvrirunesessionàl’aidedeleursinformationsd’authentificationActive<strong>Directory</strong>lorsquel’ordinateurn’estpasconnectéauserveurActive<strong>Directory</strong>.<br />
LemoduleexterneActive<strong>Directory</strong>metenmémoirecachelesinformationsd’authentificationd’uncomptemobiled’utilisateurlorsquel’utilisateurouvreunesessionalors<br />
quel’ordinateurestconnectéaudomaineActive<strong>Directory</strong>.Cettemiseencachedes<br />
informationsd’authentificationnerequiertaucunemodificationduschémaActive<br />
<strong>Directory</strong>.<br />
SileschémaActive<strong>Directory</strong>aétéétendupourinclurelesattributsdeclientgéré<br />
<strong>Mac</strong><strong>OS</strong>X,cesréglagesdecomptemobileserontutilisésàlaplacedesréglagesde<br />
comptemobiledumoduleActive<strong>Directory</strong>.<br />
Vouspouvezfaireensortequelescomptesmobilessoientcréésautomatiquementou<br />
obligerlesutilisateursActive<strong>Directory</strong>àconfirmerlacréationdescomptesmobiles.<br />
PouractiveroudésactiverlescomptesmobilesdansundomaineActive<strong>Directory</strong>:<br />
1 Ouvrezl’UtilitairederépertoireetcliquezsurServices.<br />
2 Sil’icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret<br />
tapezlenometlemotdepassed’unadministrateur.<br />
3 Danslalistedesservices,sélectionnezActive<strong>Directory</strong>,puiscliquezsurlebouton<br />
Modifier(/).<br />
4 Silesoptionsavancéessontmasquées,cliquezsurAfficherlesoptionsavancées.<br />
5 CliquezsurExpérienceutilisateur,puissur«Créeruncomptemobilelorsdel’ouverturedesession»et,éventuellement,sur«Exigeruneconfirmationavantdecréerun<br />
comptemobile».<br />
6 Sivoussélectionnezlesdeuxoptions,chaqueutilisateurdécidedecréerounon<br />
uncomptemobileàl’ouverturedesession.Lorsqu’unutilisateurouvreunesession<br />
<strong>Mac</strong><strong>OS</strong>Xàl’aided’uncompted’utilisateurActive<strong>Directory</strong>,oulorsqu’ilouvreunesessionentantqu’utilisateurréseau,ilvoitapparaîtreunezonededialoguecontenantdes<br />
commandespermettantdecréerimmédiatementuncomptemobile.Silapremière<br />
optionestsélectionnéeetquelasecondenel’estpas,lescomptesmobilessontcréés<br />
lorsquelesutilisateursouvrentunesession.Silapremièreoptionn’estpassélectionnée,lasecondeestdésactivée.CliquezsurOK.<br />
Chapitre8Réglagesavancésdesclientsderépertoire 191
Configurationdedossiersdedépartpourdescomptesd’utilisateur<br />
Active<strong>Directory</strong><br />
SurunordinateurconfigurépourutiliserlemoduleActive<strong>Directory</strong>del’Utilitairede<br />
répertoire,vouspouvezactiveroudésactiverlesdossiersdedépartréseauoulocaux<br />
pourlescomptesd’utilisateurActive<strong>Directory</strong>.<br />
Aveclesdossiersdedépartréseau,ledossierdedépartréseauWindowsd’unutilisateurestmontécommeledossierdedépart<strong>Mac</strong><strong>OS</strong>Xlorsquel’utilisateurouvre<br />
unesession.<br />
Vouspouvezspécifiers’ilfaututiliserledossierdedépartréseaudéfiniparl’attribut<br />
home<strong>Directory</strong>standardd’Active<strong>Directory</strong>ouparl’attributhome<strong>Directory</strong>de<br />
<strong>Mac</strong><strong>OS</strong>X,sileschémaActive<strong>Directory</strong>aétéétendupourl’inclure.<br />
Aveclesdossiersdedépartlocaux,chaqueutilisateurActive<strong>Directory</strong>quiouvreune<br />
sessiond’undossierdedépartsurledisquededémarragede<strong>Mac</strong><strong>OS</strong>X.Deplus,le<br />
dossierdedépartréseaudel’utilisateurestmontécommeunvolumeréseau,comme<br />
unpointdepartage.L’utilisateurpeutcopierdesfichiersentrecevolumeréseauet<br />
ledossierdedépartlocal.<br />
Pourconfigurerdesdossiersdedépartpourdescomptesd’utilisateurActive<strong>Directory</strong>:<br />
1 Ouvrezl’UtilitairederépertoireetcliquezsurServices.<br />
2 Sil’icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret<br />
tapezlenometlemotdepassed’unadministrateur.<br />
3 Danslalistedesservices,sélectionnezActive<strong>Directory</strong>,puiscliquezsurlebouton<br />
Modifier(/).<br />
4 Silesoptionsavancéessontmasquées,cliquezsurAfficherlesoptionsavancées.<br />
5 CliquezsurExpérienceutilisateur.<br />
6 Cliquezsur«Forcerl’utilisationdurépertoirededépartlocalsurledisquededémarrage»<br />
sivoussouhaitezquelescomptesd’utilisateurActive<strong>Directory</strong>aientdesdossiersde<br />
départlocauxdansledossier/Utilisateursdel’ordinateur.<br />
Cetteoptionn’estpasdisponiblesilacase“Créeruncomptemobilelorsdel’ouverture<br />
desession”estcochée.<br />
7 Pourutiliserl’attributstandardd’Active<strong>Directory</strong>pourl’emplacementdudossierde<br />
départ,sélectionnez«UtiliserlecheminUNCdepuisActive<strong>Directory</strong>pourdéduire<br />
l’emplacementdurépertoirededépartréseau»,puischoisissezl’undesprotocoles<br />
suivantspouraccéderaudossierdedépart:<br />
 PourutiliserleprotocoleSMBstandarddeWindows,choisissezsmbdanslemenu<br />
local«Protocoleréseauàutiliser».<br />
 PourutiliserleprotocoleAFPstandardde<strong>Mac</strong>intosh,choisissezafpdanslemenu<br />
local«Protocoleréseauàutiliser».<br />
192 Chapitre8Réglagesavancésdesclientsderépertoire
8 Pourutiliserl’attribut<strong>Mac</strong><strong>OS</strong>Xpourl’emplacementdudossierdedépart,décochez<br />
lacase«UtiliserlecheminUNCdepuisActive<strong>Directory</strong>pourdéduirel’emplacement<br />
durépertoirededépartréseau».<br />
Pourutiliserl’attribut<strong>Mac</strong><strong>OS</strong>X,leschémaActive<strong>Directory</strong>doitêtreétendupour<br />
l’inclure.<br />
9 CliquezsurOK.<br />
Sivousmodifiezlenomd’uncompted’utilisateurdansledomaineActive<strong>Directory</strong>,<br />
leserveurcréeraunnouveaudossierdedépart(etdessous-dossiers)pourcecompte<br />
d’utilisateurlaprochainefoisqu’ilserautilisépourl’ouverturedesessionàunordinateur<strong>Mac</strong><strong>OS</strong>X.L’utilisateurpeuttoujoursatteindrel’anciendossierdedépartetvoir<br />
soncontenudansleFinder.<br />
Vouspouvezempêcherlacréationd’unnouveaudossierdedépartenrenommant<br />
l’anciendossieravantlaprochaineouverturedesessiondel’utilisateur.<br />
Configurationd’unshellUNIXpourdescomptesd’utilisateur<br />
Active<strong>Directory</strong><br />
SurunordinateurconfigurépourutiliserlemoduleActive<strong>Directory</strong>del’Utilitaire<br />
derépertoire,vouspouvezdéfinirleshelldelignedecommandequelesutilisateurs<br />
disposantd’uncompteActive<strong>Directory</strong>utiliserontpardéfautlorsqu’ilsinteragiront<br />
avec<strong>Mac</strong><strong>OS</strong>Xdansl’applicationTerminal.<br />
Leshellpardéfautestaussiutilisépourl’interactionàdistanceviaSSH(SecureShell)<br />
ouTelnet.ChaqueutilisateurpeutredéfinirleshellpardéfautenchangeantunepréférencedeTerminal.<br />
PourdéfinirunshellUNIXpourdescomptesd’utilisateurActive<strong>Directory</strong>:<br />
1 Ouvrezl’UtilitairederépertoireetcliquezsurServices.<br />
2 Sil’icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret<br />
tapezlenometlemotdepassed’unadministrateur.<br />
3 Danslalistedesservices,sélectionnezActive<strong>Directory</strong>,puiscliquezsurlebouton<br />
Modifier(/).<br />
4 Silesoptionsavancéessontmasquées,cliquezsurAfficherlesoptionsavancées.<br />
5 CliquezsurExpérienceutilisateur.<br />
6 Sélectionnez«Shellutilisateurpardéfaut»,puissaisissezlechemindushellutilisateur<br />
pardéfaut.<br />
7 CliquezsurOK.<br />
Chapitre8Réglagesavancésdesclientsderépertoire 193
Associationdel’UIDàunattributActive<strong>Directory</strong><br />
SurunordinateurconfigurépourutiliserlemoduleActive<strong>Directory</strong>del’Utilitairede<br />
répertoire,vouspouvezspécifierl’attributActive<strong>Directory</strong>àmapperversl’attribut<br />
d’identifiantd’utilisateurunique(UID)de<strong>Mac</strong><strong>OS</strong>X.<br />
Généralement,leschémaActive<strong>Directory</strong>doitêtreétendupourinclureunattributqui<br />
convienneaumappageversl’UID:<br />
 Sil’administrateurActive<strong>Directory</strong>étendleschémaActive<strong>Directory</strong>eninstallant<br />
lesservicespourUNIXdeMicrosoft,vouspouvezmapperl’UIDversl’attribut<br />
msSFU-30-Uid-Number.<br />
 Sil’administrateurActive<strong>Directory</strong>étendmanuellementleschémaActive<strong>Directory</strong><br />
pourqu’ilcontiennelesattributsRFC2307,vouspouvezmapperl’UIDversuidNumber.<br />
 Sil’administrateurActive<strong>Directory</strong>étendmanuellementleschémaActive<strong>Directory</strong><br />
pourqu’ilcontiennel’attributUniqueIDde<strong>Mac</strong><strong>OS</strong>X,vouspouvezmapperl’UIDvers<br />
cedernier.<br />
Silemappagedel’UIDestdésactivé,lemoduleActive<strong>Directory</strong>génèreunUIDen<br />
fonctiondel’attributGUIDstandardd’Active<strong>Directory</strong>.<br />
AVERTISSEMENT:sivousmodifiezultérieurementlemappagedel’UID,lesutilisateurs<br />
risquentdeperdrel’accèsauxfichierscréésprécédemment.<br />
Pourmapperl’UIDàunattributd’unschémaActive<strong>Directory</strong>étendu:<br />
1 Ouvrezl’UtilitairederépertoireetcliquezsurServices.<br />
2 Sil’icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret<br />
tapezlenometlemotdepassed’unadministrateur.<br />
3 Danslalistedesservices,sélectionnezActive<strong>Directory</strong>,puiscliquezsurlebouton<br />
Modifier(/).<br />
4 Silesoptionsavancéessontmasquées,cliquezsurAfficherlesoptionsavancées.<br />
5 CliquezsurMappages.<br />
6 Sélectionnez«MappageUIDàattribuer»,puissaisissezlenomdel’attributActive<br />
<strong>Directory</strong>àmapperversl’UID.<br />
7 CliquezsurOK.<br />
194 Chapitre8Réglagesavancésdesclientsderépertoire
Mappagedel’identifiantdegroupeprincipalversunattribut<br />
Active<strong>Directory</strong><br />
SurunordinateurconfigurépourutiliserlemoduleActive<strong>Directory</strong>del’Utilitairede<br />
répertoire,vouspouvezspécifierl’attributActive<strong>Directory</strong>àmapperversl’attribut<br />
d’identifiantdegroupeprincipal(GID)de<strong>Mac</strong><strong>OS</strong>Xdanslescomptesd’utilisateur.<br />
Généralement,leschémaActive<strong>Directory</strong>doitêtreétendupourinclureunattributqui<br />
convienneaumappageversleGIDprincipal:<br />
 Sil’administrateurActive<strong>Directory</strong>étendleschémaActive<strong>Directory</strong>eninstallantles<br />
servicespourUNIXdeMicrosoft,vouspouvezmapperleGIDprincipalversl’attribut<br />
msSFU-30-Gid-Number.<br />
 Sil’administrateurActive<strong>Directory</strong>étendmanuellementleschémaActive<strong>Directory</strong><br />
pourqu’ilcontiennelesattributsRFC2307,vouspouvezmapperleGIDprincipalvers<br />
gidNumber.<br />
 Sil’administrateurActive<strong>Directory</strong>étendmanuellementleschémaActive<strong>Directory</strong><br />
pourqu’ilcontiennel’attributPrimaryGroupIDde<strong>Mac</strong><strong>OS</strong>X,vouspouvezmapperle<br />
GIDprincipalverscedernier.<br />
SilemappageduGIDprincipalestdésactivé,lemoduleActive<strong>Directory</strong>génèreunGID<br />
principalenfonctiondel’attributGUIDstandardd’Active<strong>Directory</strong>.<br />
AVERTISSEMENT:sivousmodifiezultérieurementlemappageduGIDprincipal,<br />
lesutilisateursrisquentdeperdrel’accèsauxfichierscréésprécédemment.<br />
Chapitre8Réglagesavancésdesclientsderépertoire 195
PourmapperleGIDprincipalàunattributd’unschémaActive<strong>Directory</strong>étendu:<br />
1 Ouvrezl’UtilitairederépertoireetcliquezsurServices.<br />
2 Sil’icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret<br />
tapezlenometlemotdepassed’unadministrateur.<br />
3 Danslalistedesservices,sélectionnezActive<strong>Directory</strong>,puiscliquezsurlebouton<br />
Modifier(/).<br />
4 Silesoptionsavancéessontmasquées,cliquezsurAfficherlesoptionsavancées.<br />
5 CliquezsurMappages.<br />
6 Sélectionnez«MappageduGIDd’utilisateuràattribuer»,puissaisissezlenomde<br />
l’attributActive<strong>Directory</strong>àmapperversl’identifiantdegroupeprincipaldansles<br />
comptesd’utilisateur.<br />
7 CliquezsurOK.<br />
Mappagedel’identifiantdegroupedescomptesdegroupeversun<br />
attributActive<strong>Directory</strong><br />
SurunordinateurconfigurépourutiliserlemoduleActive<strong>Directory</strong>del’Utilitairede<br />
répertoire,vouspouvezspécifierl’attributActive<strong>Directory</strong>àmapperversl’attribut<br />
d’identifiantdegroupe(GID)de<strong>Mac</strong><strong>OS</strong>Xdanslescomptesdegroupe.<br />
Généralement,leschémaActive<strong>Directory</strong>doitêtreétendupourinclureunattributqui<br />
convienneaumappageversleGID:<br />
 Sil’administrateurActive<strong>Directory</strong>étendleschémaActive<strong>Directory</strong>eninstallantles<br />
servicespourUNIXdeMicrosoft,vouspouvezmapperleGIDversl’attributmsSFU-<br />
30-Gid-Number.<br />
 Sil’administrateurActive<strong>Directory</strong>étendmanuellementleschémaActive<strong>Directory</strong><br />
pourqu’ilincluelesattributsRFC2307,vouspouvezmapperleGIDversgidNumber.<br />
 Sil’administrateurActive<strong>Directory</strong>étendmanuellementleschémaActive<strong>Directory</strong><br />
pourqu’ilincluel’attributgidNumberde<strong>Mac</strong><strong>OS</strong>X,vouspouvezmapperleGIDvers<br />
cedernier.<br />
SilemappageduGIDestdésactivé,lemoduleActive<strong>Directory</strong>génèreunGIDen<br />
fonctiondel’attributGUIDstandardd’Active<strong>Directory</strong>.<br />
AVERTISSEMENT:sivousmodifiezultérieurementlemappageduGID,lesutilisateurs<br />
risquentdeperdrel’accèsauxfichierscréésprécédemment.<br />
196 Chapitre8Réglagesavancésdesclientsderépertoire
PourmapperleGIDàunattributd’unschémaActive<strong>Directory</strong>étendu:<br />
1 Ouvrezl’UtilitairederépertoireetcliquezsurServices.<br />
2 Sil’icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret<br />
tapezlenometlemotdepassed’unadministrateur.<br />
3 Danslalistedesservices,sélectionnezActive<strong>Directory</strong>,puiscliquezsurlebouton<br />
Modifier(/).<br />
4 Silesoptionsavancéessontmasquées,cliquezsurAfficherlesoptionsavancées.<br />
5 CliquezsurMappages.<br />
6 Sélectionnez«MappageduGIDdegroupeàattribuer»,puissaisissezlenomde<br />
l’attributActive<strong>Directory</strong>àmapperversleGIDdanslescomptesdegroupe.<br />
7 CliquezsurOK.<br />
Spécificationd’unserveurActive<strong>Directory</strong>préféré<br />
SurunordinateurconfigurépourutiliserlemoduleActive<strong>Directory</strong>del’Utilitairede<br />
répertoire,vouspouvezspécifierlenomDNSduserveurdudomaineActive<strong>Directory</strong><br />
auquell’ordinateurdoitaccéderpardéfaut.<br />
Sileserveurdevientindisponible,lemoduleActive<strong>Directory</strong>basculesurunautre<br />
serveurprochedanslaforêt.<br />
Sicetteoptionn’estpassélectionnée,lemoduleActive<strong>Directory</strong>déterminele<br />
domaineActive<strong>Directory</strong>leplusprochedanslaforêt.<br />
PourspécifierunserveurauquellemoduleActive<strong>Directory</strong>doitaccéderpardéfaut:<br />
1 Ouvrezl’UtilitairederépertoireetcliquezsurServices.<br />
2 Sil’icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret<br />
tapezlenometlemotdepassed’unadministrateur.<br />
3 Danslalistedesservices,sélectionnezActive<strong>Directory</strong>,puiscliquezsurlebouton<br />
Modifier(/).<br />
4 Silesoptionsavancéessontmasquées,cliquezsurAfficherlesoptionsavancées.<br />
5 CliquezsurAdministratif.<br />
6 Sélectionnez«Préférerceserveurdedomaine»,puissaisissezlenomDNSduserveur<br />
Active<strong>Directory</strong>.<br />
7 CliquezsurOK.<br />
Chapitre8Réglagesavancésdesclientsderépertoire 197
ModificationdesgroupesActive<strong>Directory</strong>autorisésàadministrer<br />
l’ordinateur<br />
SurunordinateurconfigurépourutiliserlemoduleActive<strong>Directory</strong>del’Utilitaire<br />
derépertoire,vouspouvezidentifierlescomptesdegroupeActive<strong>Directory</strong>dont<br />
lesmembresdoiventavoirdesautorisationsd’administrateurpourl’ordinateur.<br />
LesutilisateursquisontmembresdecescomptesdegroupeActive<strong>Directory</strong>peuvent<br />
effectuerdestâchesadministrativescomme,parexemple,installerdeslogicielssur<br />
l’ordinateur<strong>Mac</strong><strong>OS</strong>Xquevousêtesentraindeconfigurer.<br />
PourajouterousupprimerdescomptesdegroupeActive<strong>Directory</strong>dont<br />
lesmembresontdesautorisationsd’administrateur:<br />
1 Ouvrezl’UtilitairederépertoireetcliquezsurServices.<br />
2 Sil’icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret<br />
tapezlenometlemotdepassed’unadministrateur.<br />
3 Danslalistedesservices,sélectionnezActive<strong>Directory</strong>,puiscliquezsurlebouton<br />
Modifier(/).<br />
4 Silesoptionsavancéessontmasquées,cliquezsurAfficherlesoptionsavancées.<br />
5 CliquezsurAdministratif.<br />
6 Sélectionnez«Permettrel’administrationpar»,puismodifiezlalistedescomptes<br />
degroupeActive<strong>Directory</strong>dontlesmembresdoiventavoirdesautorisations<br />
d’administrateur:<br />
 Pourajouterungroupe,cliquezsurleboutonAjouter(+)etsaisissezlenomde<br />
domaineActive<strong>Directory</strong>,unebarreobliqueinverseetlenomducomptedegroupe<br />
(parexemple,ADS\DomainAdmins,IL2\DomainAdmins).<br />
 Poursupprimerungroupe,sélectionnez-ledanslaliste,puiscliquezsurlebouton<br />
Supprimer(–).<br />
7 CliquezsurOK.<br />
198 Chapitre8Réglagesavancésdesclientsderépertoire
Contrôledel’authentificationàpartirdetouslesdomainesdelaforêt<br />
Active<strong>Directory</strong><br />
SurunordinateurconfigurépourutiliserlemoduleActive<strong>Directory</strong>del’Utilitairede<br />
répertoire,vouspouvezautoriserlesutilisateursdelaforêtActive<strong>Directory</strong>às’authentifieràpartirdetouslesdomaines,ouvouspouvezlimiterl’authentificationauxutilisateursdedomainesspécifiques.<br />
Pourcontrôlersilesutilisateurspeuvents’authentifierdepuistouslesdomainesde<br />
laforêt:<br />
1 Ouvrezl’UtilitairederépertoireetcliquezsurServices.<br />
2 Sil’icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret<br />
tapezlenometlemotdepassed’unadministrateur.<br />
3 Danslalistedesservices,sélectionnezActive<strong>Directory</strong>,puiscliquezsurlebouton<br />
Modifier(/).<br />
4 Silesoptionsavancéessontmasquées,cliquezsurAfficherlesoptionsavancées.<br />
5 CliquezsurAdministratif.<br />
6 Sélectionnez«Autoriserl’authentificationdepuisn’importequeldomainedelaforêt».<br />
Sivouscochezlacase“Autoriserl’authentificationdepuisn’importequeldomainedela<br />
forêt”,vouspouvezajouterlaforêtActive<strong>Directory</strong>auxpolitiquesderecherchepersonnaliséespourl’authentificationetlescontactsdel’ordinateur.Lorsquevousajoutezuneforêt<br />
Active<strong>Directory</strong>àunerèglederecherchepersonnalisée,laforêtapparaîtdanslaliste<br />
desdomainesderépertoiredisponiblessouslaforme«/Active<strong>Directory</strong>/AllDomains».<br />
(Ils’agitduréglagepardéfaut).<br />
Sivousdésélectionnezlacase«Autoriserl’authentificationdepuisn’importequel<br />
domainedelaforêt»,vouspouvezajouterdesdomainesActive<strong>Directory</strong>auxpolitiquesderecherchepersonnaliséespourl’authentificationetlescontactsdel’ordinateur<br />
individuellement.LorsquevousajoutezdesdomainesActive<strong>Directory</strong>àunerèglede<br />
recherchepersonnalisée,chacund’euxapparaîtséparémentdanslalistedesdomaines<br />
derépertoiredisponibles.<br />
7 CliquezsurOK.<br />
8 Aprèsavoirsélectionné«Autoriserl’authentificationdepuisn’importequeldomainede<br />
laforêt»,modifiezlarèglederecherchepersonnaliséedanslessous-fenêtresAuthentificationetContactspourinclurelaforêtActive<strong>Directory</strong>oulesdomainessélectionnés.<br />
Pourensavoirplussurlamodificationdesrèglesderecherchepersonnalisées,consultezlarubrique«Définitiondepolitiquesderecherchepersonnalisées»àlapage153.<br />
Chapitre8Réglagesavancésdesclientsderépertoire 199
RupturedelaliaisonavecleserveurActive<strong>Directory</strong><br />
Sil’ordinateurutiliselemoduleActive<strong>Directory</strong>del’Utilitairederépertoirepourselier<br />
àunserveurActive<strong>Directory</strong>,vouspouvezromprecetteliaison.<br />
Vouspouvezforcerlarupturedelaliaisonsil’ordinateurneparvientpasàcontacter<br />
leserveurousilafiched’ordinateuraétésuppriméeduserveur.<br />
Pourromprelaliaisondel’ordinateuravecleserveurActive<strong>Directory</strong>:<br />
1 Ouvrezl’UtilitairederépertoireetcliquezsurServices.<br />
2 Sil’icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret<br />
tapezlenometlemotdepassed’unadministrateur.<br />
3 Danslalistedesservices,sélectionnezActive<strong>Directory</strong>,puiscliquezsurlebouton<br />
Modifier(/).<br />
4 CliquezsurRomprelaliaison,authentifiez-vousentantqu’utilisateurdisposant<br />
desdroitsnécessairespourrompreuneconnexionaudomaineActive<strong>Directory</strong>,<br />
puiscliquezsurOK.<br />
Siunavertissements’affichepourindiquerquelesinformationsd’authentificationne<br />
sontpasacceptéesouquel’ordinateurneparvientpasàcontacterActive<strong>Directory</strong>,<br />
cliquezsur«Forceràromprelelien»pourforcerlarupturedelaconnexion.<br />
Sivousforcezlarupturedelaliaison,Active<strong>Directory</strong>disposeratoujoursd’unefiche<br />
d’ordinateurpourcetordinateur.Prévenezl’administrateurActive<strong>Directory</strong>pourqu’il<br />
supprimelafiched’ordinateur.<br />
5 Danslasous-fenêtreServices,désélectionnezleréglageActiverd’Active<strong>Directory</strong>,<br />
puiscliquezsurAppliquer.<br />
Modificationdecomptesd’utilisateuretd’autresenregistrements<br />
dansActive<strong>Directory</strong><br />
VouspouvezutiliserGestionnairedegroupedetravailpourmodifierlescomptesd’utilisateur,lescomptesdegroupe,lesgroupesd’ordinateursetd’autresfichesdansun<br />
domaineActive<strong>Directory</strong>.VouspouvezégalementutiliserGestionnairedegroupede<br />
travailpoursupprimerdesfichesdansundomaineActive<strong>Directory</strong>.<br />
SileschémaActive<strong>Directory</strong>aétéétendupourinclurelestypesdefiches(classes<br />
d’objets)etlesattributs<strong>Mac</strong><strong>OS</strong>Xstandard,vouspouvezutiliserGestionnairede<br />
groupedetravailpourcréeretmodifierdesgroupesd’ordinateursdansledomaine<br />
Active<strong>Directory</strong>.<br />
Pourensavoirplussurl’utilisationdescomptesd’utilisateur,descomptesdegroupeet<br />
desgroupesd’ordinateurs,consultezleguideGestiondesutilisateurs.<br />
Pourcréerdescomptesd’utilisateuroudegroupedansundomaineActive<strong>Directory</strong>,<br />
utilisezlesoutilsd’administrationActive<strong>Directory</strong>deMicrosoftsurunordinateur<br />
d’administrationserveurWindows.<br />
200 Chapitre8Réglagesavancésdesclientsderépertoire
Configurationdel’accèsLDAPauxdomainesActive<strong>Directory</strong><br />
L’UtilitairederépertoirevouspermetdedéfiniruneconfigurationLDAPv3afind’accéderàundomaineActive<strong>Directory</strong>situésurunserveurWindows.Uneconfiguration<br />
LDAPv3vousdonneuncontrôletotalsurlemappagedestypesdefichesetdesattributs<strong>Mac</strong><strong>OS</strong>Xverslesclassesd’objets,basesderechercheetattributsActive<strong>Directory</strong>.<br />
Lemappagedecertainstypesdefichesetd’attributs<strong>Mac</strong><strong>OS</strong>Ximportants,telsque<br />
l’UID(identifiantd’utilisateurunique),nécessitel’extensionduschémaActive<strong>Directory</strong>.<br />
LesfonctionnalitéssuivantesdumoduleActive<strong>Directory</strong>del’Utilitairederépertoirene<br />
sontpasinclusesdanslesconfigurationsLDAPv3:<br />
 générationdynamiqued’unidentifiantd’utilisateuruniqueetd’unidentifiantde<br />
groupeprincipal;<br />
 créationd’undossierdedépart<strong>Mac</strong><strong>OS</strong>Xlocal;<br />
 montageautomatiqued’undossierdedépartWindows;<br />
 comptesd’utilisateurmobilesavecmiseencachedesinformations<br />
d’authentification;<br />
 détectiondetouslesdomainesd’uneforêtActive<strong>Directory</strong>;<br />
 priseenchargedelaréplicationetdubasculementActive<strong>Directory</strong>.<br />
Pourensavoirplus,consultezlarubrique«Àproposdel’accèsàActive<strong>Directory</strong>»àla<br />
page186.<br />
PourcréeruneconfigurationdeserveurActive<strong>Directory</strong>:<br />
1 Ouvrezl’UtilitairederépertoireetcliquezsurServices.<br />
2 Sil’icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret<br />
tapezlenometlemotdepassed’unadministrateur.<br />
3 Danslalistedesservices,sélectionnezLDAPv3,puiscliquezsurleboutonModifier(/).<br />
4 CliquezsurNouveauetsaisissezlenomDNSoul’adresseIPduserveurActive<strong>Directory</strong>.<br />
5 Sélectionnezuneouplusieursdesoptionssuivantespourl’accèsaurépertoire,<br />
puiscliquezsurContinuerpourquel’Utilitairederépertoireobtiennedesinformations<br />
auprèsduserveurActive<strong>Directory</strong>.<br />
 Sélectionnez«ChiffrerviaSSL»sivoussouhaitezqu’<strong>Open</strong><strong>Directory</strong>utiliseleprotocoleSSLpourlesconnexionsavecleserveurActive<strong>Directory</strong>.Avantdecocherlacase<br />
SSL,demandezàvotreadministrateur<strong>Open</strong><strong>Directory</strong>sileprotocoleSSLestrequis.<br />
 Sélectionnez«Utiliserpourl’authentification»sicerépertoirecontientdescomptes<br />
d’utilisateurquequelqu’unvautiliserpourl’ouverturedesessionoul’authentificationàdesservices.<br />
 Cochezlacase«Utiliserpourlescontacts»sicerépertoirecontientdesadresses<br />
électroniquesetd’autresinformationsquevoussouhaitezutiliserdansCarnet<br />
d’adresses.<br />
Chapitre8Réglagesavancésdesclientsderépertoire 201
Sil’UtilitairederépertoireneparvientpasàcontacterleserveurActive<strong>Directory</strong>,un<br />
messages’afficheetvousdevezalorsconfigurerl’accèsmanuellementouannulerle<br />
processusdeconfiguration.Pourensavoirplus,consultezlarubrique«Configuration<br />
manuelledel’accèsàunrépertoireLDAP»àlapage163.<br />
Sivousavezsélectionnél’option«Utiliserpourl’authentification»ou«Utiliserpour<br />
lescontacts»,laconnexionLDAPv3audomaineActive<strong>Directory</strong>estajoutéeàune<br />
règlederecherchepersonnaliséedanslasous-fenêtreAuthentificationouContacts<br />
del’Utilitairederépertoire.<br />
Assurez-vousqueLDAPv3estactivédanslasous-fenêtreServicesafinquel’ordinateur<br />
utiliselaconnexionquevousconfigurez.Pourensavoirplus,consultezlarubrique<br />
«ActivationoudésactivationdesservicesderépertoiresLDAP»àlapage156.<br />
6 Silazonededialoguesedéveloppepourafficherdesoptionsdemappage,choisissez<br />
Active<strong>Directory</strong>danslemenulocal,saisissezlabasederecherche,puiscliquezsur<br />
Continuer.<br />
LemodèledemappageActive<strong>Directory</strong>pouruneconfigurationLDAPv3mappecertainsattributsettypesd’enregistrements<strong>Mac</strong><strong>OS</strong>Xversdesclassesd’objetsetdesattributsquinefontpaspartied’unschémaActive<strong>Directory</strong>standard.Ilestpossiblede<br />
modifierlesmappagesdéfinisparlemodèleoud’étendreleschémaActive<strong>Directory</strong>.<br />
VouspouvezégalementaccéderàvotredomaineActive<strong>Directory</strong>vialemoduleActive<br />
<strong>Directory</strong>etnonviaLDAPv3.Pourensavoirplus,consultez«Configurationdel’accèsà<br />
undomaineActive<strong>Directory</strong>».<br />
7 Lorsquelazonededialoguesedéveloppepourafficherdesoptionsdeconnexion,<br />
saisissezlenomdistinctifetlemotdepassed’uncompted’utilisateurActive<strong>Directory</strong>.<br />
8 CliquezsurOKpourterminerlacréationdelaconnexionLDAP.<br />
9 CliquezsurOKpourterminerlaconfigurationdesoptionsLDAPv3.<br />
DéfinitiondesréglagesNIS<br />
L’Utilitairederépertoirepermetdecréeruneconfigurationdéfinissantlamanièredont<br />
<strong>Mac</strong><strong>OS</strong>XaccèdeàundomaineNIS(NetworkInformationService).<br />
Pourcréeruneconfigurationd’accèsàundomaineNIS:<br />
1 Ouvrezl’UtilitairederépertoireetcliquezsurServices.<br />
2 Sil’icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret<br />
tapezlenometlemotdepassed’unadministrateur.<br />
3 Danslalistedesservices,sélectionnez«FichierplatBSDetNIS»,puiscliquezsur<br />
leboutonModifier(/).<br />
202 Chapitre8Réglagesavancésdesclientsderépertoire
4 SaisissezlenomdudomaineNIS,oulenomDNSoul’adresseIPduserveursurlequel<br />
setrouveledomaineNIS.<br />
Incluezlenomd’hôteoul’adresseIPduserveurNISs’ilestnécessairepourdesraisons<br />
desécuritéousileserveurn’estpassurlemêmesous-réseauquel’ordinateurquevous<br />
êtesentraindeconfigurer.<br />
Sivousnespécifiezpasdeserveur,NISutiliseunprotocoleBroadcastpourdétecterun<br />
serveurNISsurlesous-réseau.<br />
5 Cochezlacase“UtiliserledomaineNISpourl’authentification”,puiscliquezsurOK.<br />
LedomaineNISestajoutéàlarèglederecherched’authentificationdel’ordinateur<br />
souslaforme/BSD/domaine,oùdomainecorrespondaunomquevousavezsaisià<br />
l’étape4.<br />
DéfinitiondesréglagesdefichierdeconfigurationBSD<br />
LesordinateursUNIXstockenttraditionnellementlesdonnéesadministrativesdans<br />
desfichiersdeconfigurationtelsque/etc/master.passwd,/etc/groupet/etc/hosts.<br />
<strong>Mac</strong><strong>OS</strong>XestbasésuruneversionBSDd’UNIX,maisreçoitlesdonnéesadministratives<br />
normalementdesystèmesderépertoire.<br />
<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>prendenchargeunjeufixedefichiersdeconfigurationBSD.Vousne<br />
pouvezpasspécifierlesfichiersdeconfigurationàutiliser,nimapperleurcontenuvers<br />
desattributsettypesd’enregistrements<strong>Mac</strong><strong>OS</strong>X.<br />
Dans<strong>Mac</strong><strong>OS</strong>X10.2ouultérieur(ycompris<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>10.2ouultérieur),<strong>Open</strong><br />
<strong>Directory</strong>peutliredesdonnéesadministrativesàpartirdefichiersdeconfigurationBSD.<br />
CettefonctionpermetauxorganisationsdisposantdefichiersdeconfigurationBSD<br />
d’utiliserdescopiesdesfichiersexistantssurlesordinateurs<strong>Mac</strong><strong>OS</strong>X.Lesfichiersde<br />
configurationBSDpeuventêtreutilisésseulsouavecd’autresdomainesderépertoire.<br />
PourutiliserdesfichiersdeconfigurationBSD:<br />
1 Assurez-vousquelesfichiersdeconfigurationBSDcontiennentlesdonnéesrequises<br />
parlesservicesderépertoire<strong>Mac</strong><strong>OS</strong>X.<br />
Pourensavoirplus,consultezlarubrique«Configurationdedonnéesdansdesfichiers<br />
deconfigurationBSDȈlapage204.<br />
2 Ouvrezl’UtilitairederépertoireetcliquezsurServices.<br />
3 Sil’icônereprésentantlecadenasestverrouillée,cliquezdessuspourladéverrouilleret<br />
tapezlenometlemotdepassed’unadministrateur.<br />
4 Danslalistedesservices,sélectionnez«FichierplatBSDetNIS»,puiscliquezsur<br />
leboutonModifier(/).<br />
Chapitre8Réglagesavancésdesclientsderépertoire 203
5 Sélectionnez«UtiliserlesfichierslocauxBSD(/etc)pourl’authentification»,puiscliquez<br />
surOK.<br />
LedomainedesfichiersdeconfigurationBSDestajoutéàlapolitiquederecherche<br />
d’authentificationdel’ordinateurcomme/BSD/local.<br />
ConfigurationdedonnéesdansdesfichiersdeconfigurationBSD<br />
Sivousvoulezqu’unordinateur<strong>Mac</strong><strong>OS</strong>Xlisedesdonnéesadministrativesàpartirde<br />
fichiersdeconfigurationBSD,cesdonnéesdoiventêtreprésentesdanscesfichierset<br />
doiventêtreauformatrequispar<strong>Mac</strong><strong>OS</strong>X.<br />
Vouspouvezêtreamenéàajouter,modifierouréorganiserdesdonnéesdansles<br />
fichiers.Gestionnairedegroupedetravailnepouvantmodifierlesdonnéesdesfichiers<br />
deconfigurationBSD,vousdevezprocéderauxmodificationsnécessairesàl’aided’un<br />
éditeurdetexteoud’unautreoutil.<br />
Letableausuivantrépertorielesnomsdesfichiersetdécritleurcontenu.<br />
FichierdeconfigurationBSD<br />
/etc/master.passwd;<br />
/etc/group;<br />
/etc/fstab.<br />
/etc/hosts;<br />
/etc/networks<br />
/etc/services<br />
/etc/protocols<br />
/etc/rpcs<br />
/etc/printcap<br />
/etc/bootparams<br />
/etc/bootp<br />
/etc/aliases<br />
/etc/netgroup<br />
Contient<br />
Nomsd’utilisateur,motsdepasse,identifiants,identifiantsde<br />
groupeprincipal,etc.<br />
Nomsdegroupe,identifiantsetmembres<br />
MontagesNFS<br />
Nomsetadressesd’ordinateur<br />
Nomsetadressesderéseau<br />
Nomsdeservice,portsetprotocoles<br />
NomsetnumérosdesprotocolesIP<br />
ServeursRPC<strong>Open</strong>NetworkComputing<br />
Nomsetfonctionnalitésd’imprimante<br />
RéglagesBootparam<br />
RéglagesBootp<br />
AliasetlistesdedistributiondeMail<br />
Nomsdegroupeetmembresàl’échelleduréseau<br />
Pourensavoirplussurlesdonnéesrequisesparlesservicesderépertoirede<strong>Mac</strong><strong>OS</strong>X,<br />
consultezl’annexe«Donnéesderépertoire<strong>Mac</strong><strong>OS</strong>X».<br />
204 Chapitre8Réglagesavancésdesclientsderépertoire
9 Maintenancedesservices<br />
<strong>Open</strong><strong>Directory</strong><br />
9<br />
Vouspouvezcontrôlerlesservices<strong>Open</strong><strong>Directory</strong>,afficher<br />
etmodifierlesdonnéesbrutesdesdomaines<strong>Open</strong><strong>Directory</strong><br />
eteffectuerunesauvegardedesfichiers<strong>Open</strong><strong>Directory</strong>.<br />
Voicilesprincipalestâchesquevousaurezàeffectuerrégulièrementdanslecadrede<br />
lagestiondesservices<strong>Open</strong><strong>Directory</strong>:<br />
 «Contrôledel’accèsauxserveursetservices<strong>Open</strong><strong>Directory</strong>»àlapage205<br />
 «Contrôled’<strong>Open</strong><strong>Directory</strong>»àlapage209<br />
 «Affichageetmodificationdesdonnéesderépertoire»àlapage212<br />
 «Importationd’enregistrementsdetoustypes»àlapage217<br />
 «Définitiondesoptionsd’unserveur<strong>Open</strong><strong>Directory</strong>»àlapage217<br />
 «Gestiondelaréplication<strong>Open</strong><strong>Directory</strong>»àlapage224<br />
 «Archivaged’unmaître<strong>Open</strong><strong>Directory</strong>»àlapage230<br />
 «Restaurationd’unmaître<strong>Open</strong><strong>Directory</strong>»àlapage231<br />
Pourobtenirdesinformationssurlarésolutiondesproblèmesliésà<strong>Open</strong><strong>Directory</strong>,<br />
consultezlarubrique«Résolutiondeproblèmesliésà<strong>Open</strong><strong>Directory</strong>»àlapage235.<br />
Contrôledel’accèsauxserveursetservices<strong>Open</strong><strong>Directory</strong><br />
Vouspouvezcontrôlerl’accèsàunmaîtreouàuneréplique<strong>Open</strong><strong>Directory</strong>encontrôlantquellespersonnespeuventouvrirunesessionàl’aidedelafenêtred’ouverturede<br />
sessionoudel’outildelignedecommandessh.Pourensavoirplus,consultez:<br />
 «Contrôledel’accèsàlafenêtred’ouverturedesessiond’unserveur»àlapage206<br />
 «Contrôledel’accèsauserviceSSH»àlapage206<br />
 «Configurationducontrôled’accèsàunservice»àlapage207<br />
 «Configurationdeprivilègesdefiche»àlapage208<br />
205
Contrôledel’accèsàlafenêtred’ouverturedesessiond’unserveur<br />
VouspouvezutiliserAdminServeurpourcontrôlerquelsutilisateurspeuventouvrir<br />
unesession<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>àl’aidedelafenêtred’ouverturedesession.Lesutilisateursdisposantd’autorisationsd’administrateurdeserveursonttoujoursautorisésà<br />
ouvrirunesessionsurleserveur.<br />
Pourcontrôlerl’utilisationdelafenêtred’ouverturedesessionsurunserveur:<br />
1 OuvrezAdminServeuretconnectez-vousauserveur.<br />
2 CliquezsurRéglages,puissurAccès.<br />
3 CliquezsurServices.<br />
4 Sélectionnez«Pourlesservicessélectionnés»,puischoisissez«Fenêtred’ouverturede<br />
session»danslalistedegauche.<br />
5 Sélectionnez«Autoriserlesutilisateursetgroupesci-dessous»,puismodifiezlaliste<br />
desutilisateursetdesgroupesquevoussouhaitezautoriseràouvrirunesessionà<br />
l’aidedelafenêtred’ouverturedesessionduserveur:<br />
 Ajoutezlesutilisateursougroupesquipeuventutiliserlafenêtred’ouverturedesessionencliquantsurleboutonAjouter(+)etenfournissantlesinformationsrequises.<br />
 Supprimezdesutilisateursoudesgroupesdelalisteenensélectionnantunou<br />
plusieurs,puisencliquantsurleboutonSupprimer(–).<br />
6 CliquezsurEnregistrer.<br />
Silacase«Autorisertouslesutilisateursetgroupes»estcochéelorsquevoussélectionnez«Pourlesservicessélectionnés»àl’étape4,touslesservicesàl’exceptionde<br />
lafenêtred’ouverturedesessionserontaccessiblesàtouslesutilisateursetgroupes.<br />
Sivoussouhaitezrestreindrel’accèsàunserviceénumérédanslalisteenplusdela<br />
fenêtred’ouverturedesession,sélectionnez-le,cochezlacase«Autoriserlesutilisateursetgroupesci-dessous»,puisajoutezdesutilisateursetdesgroupesàlaliste.<br />
Sivoussouhaitezquetouslesutilisateurspuissentouvrirunesessionàl’aidede<br />
lafenêtred’ouverturedesessionduserveur,sélectionnez«Fenêtred’ouverture<br />
desession»,puiscochezlacase«Autorisertouslesutilisateursetgroupes».<br />
Contrôledel’accèsauserviceSSH<br />
VouspouvezutiliserAdminServeurpourcontrôlerlesutilisateursquipeuventouvrir<br />
uneconnexionparlalignedecommandeà<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>àl’aidedelacommande<br />
sshdansTerminal.Lesutilisateursdisposantd’autorisationsd’administrateurdeserveursonttoujoursautorisésàseconnecteràl’aidedelacommandessh.<br />
LacommandesshutiliseleserviceSSH(SecureShell).Pourensavoirplussurl’utilisationdelacommandessh,consultezledocument<strong>Administration</strong>delignedecommande.<br />
206 Chapitre9Maintenancedesservices<strong>Open</strong><strong>Directory</strong>
Pourcontrôlerl’ouvertured’uneconnexionSSHàunserveurdistant:<br />
1 OuvrezAdminServeuretconnectez-vousauserveur.<br />
2 CliquezsurRéglages,puissurAccès.<br />
3 CliquezsurServices.<br />
4 Sélectionnez«Pourlesservicessélectionnés»,puischoisissezSSHdanslalistedegauche.<br />
5 Sélectionnez«Autoriserlesutilisateursetgroupesci-dessous»,puismodifiezlaliste<br />
desutilisateursetdesgroupesquevoussouhaitezautoriseràseconnecterauserveur<br />
viaSSH:<br />
 AjoutezlesutilisateursougroupesautorisésàouvrirdesconnexionsSSHencliquant<br />
surleboutonAjouter(+)etenfournissantlesinformationsrequises.<br />
 Supprimezdesutilisateursoudesgroupesdelalisteenensélectionnantunou<br />
plusieurs,puisencliquantsurleboutonSupprimer(–).<br />
6 CliquezsurEnregistrer.<br />
Silacase«Autorisertouslesutilisateursetgroupes»estcochéelorsquevoussélectionnez«Pourlesservicessélectionnés»àl’étape4,touslesservicesàl’exceptionde<br />
SSHserontaccessiblesàtouslesutilisateursetgroupes.<br />
Sivoussouhaitezrestreindrel’accèsàunserviceénumérédanslalisteenplusdeSSH,<br />
sélectionnez-le,cochezlacase«Autoriserlesutilisateursetgroupesci-dessous»,<br />
puisajoutezdesutilisateursetdesgroupesàlaliste.<br />
SivoussouhaitezquetouslesutilisateurspuissentouvriruneconnexionSSHavec<br />
leserveur,sélectionnezSSH,puiscochezlacase«Autorisertouslesutilisateurset<br />
groupes».<br />
Configurationducontrôled’accèsàunservice<br />
Vouspouvezconfigurerdeslistesdecontrôled’accèsàunservice(SACL)àl’aide<br />
d’AdminServeur.LesSACLvouspermettentdespécifierquelsadministrateursont<br />
accèsà<strong>Open</strong><strong>Directory</strong>.<br />
LesSACLoffrentuneplusgrandesouplessepourladéfinitiondesadministrateurs<br />
autorisésàcontrôleretàgérerleservice.SeulslesutilisateursetlesgroupesquifigurentdansuneSACLontaccèsauserviceenquestion.Parexemple,sivoussouhaitez<br />
accorderunaccèsadministrateuràdesutilisateursougroupespourleservice<strong>Open</strong><br />
<strong>Directory</strong>survotreserveur,vouspouvezlesajouteràlaSACL<strong>Open</strong><strong>Directory</strong>.<br />
Chapitre9Maintenancedesservices<strong>Open</strong><strong>Directory</strong> 207
Pourdéfinirdesautorisationsd’administrateurSACLpourleservice<strong>Open</strong><strong>Directory</strong>:<br />
1 OuvrezAdminServeuretconnectez-vousauserveur.<br />
2 CliquezsurRéglages,puissurAccès.<br />
3 CliquezsurAdministrateurs.<br />
4 Sélectionnezleniveauderestrictionsouhaitépourlesservices.<br />
Pourrestreindrel’accèsàtouslesservices,sélectionnez«Pourtouslesservices».<br />
Pourdéfinirdesautorisationsd’accèspourdesservicesindividuels,sélectionnez«Pour<br />
lesservicessélectionnés»,puischoisissez<strong>Open</strong><strong>Directory</strong>danslalistedesservices.<br />
5 CliquezsurleboutonAjouter(+)pourouvrirlevoletUtilisateursetgroupes.<br />
6 FaitesglisserdesutilisateursetdesgroupesduvoletUtilisateursetgroupesverslaliste.<br />
7 Définissezl’autorisationdesutilisateurs.<br />
Pouraccorderunaccèsadministrateur,choisissezAdministrateurdanslemenulocal<br />
Autorisationsituéenregarddunomd’utilisateur.<br />
Pouraccorderunaccèsdecontrôle,choisissezSurveillerdanslemenulocalAutorisation<br />
situéenregarddunomd’utilisateur.<br />
8 CliquezsurEnregistrer.<br />
Configurationdeprivilègesdefiche<br />
Vouspouvezconfigurerdesprivilègesdeficheàl’aided’AdminServeur.Cesprivilèges<br />
vouspermettentdespécifierlesutilisateursougroupesautorisésàadministrerles<br />
typesdefichesetlesattributsdanslabasededonnéesdudomainederépertoire.<br />
Pourconfigurerdesprivilègespourdestypesdefichesetdesattributs:<br />
1 OuvrezAdminServeuretconnectez-vousauserveur.<br />
2 Cliquezsurletrianglesetrouvantàgaucheduserveur.<br />
Lalistedesservicesapparaît.<br />
3 DanslalisteServeursdéveloppée,sélectionnez<strong>Open</strong><strong>Directory</strong>.<br />
4 CliquezsurRéglages,puissurAutorisations.<br />
5 DanslalisteEnregistrement,sélectionnezlestypesdefichesetlesattributsque<br />
lesutilisateursougroupespourrontadministrer.<br />
Administrersignifiequel’utilisateurpeutmodifierlescaractéristiquesd’uneficheexistante.<br />
Pourautoriserlesutilisateurssélectionnésàadministrertouteslesfiches,sélectionnez<br />
«Pourtouteslesfiches».<br />
Pourautoriserlesutilisateurssélectionnésàadministrerdesfichesspécifiques,<br />
sélectionnez«Pourlesfichessélectionnées»,puischoisissezlesfichesquevos<br />
utilisateurspourrontadministrer.<br />
6 CliquezsurleboutonAjouter(+)pourouvrirlevoletUtilisateursetgroupes.<br />
208 Chapitre9Maintenancedesservices<strong>Open</strong><strong>Directory</strong>
7 FaitesglisserdesutilisateursetdesgroupesduvoletUtilisateursetgroupesverslaliste.<br />
Lesutilisateursquevousajoutezàlalisteaurontl’autorisationd’administrerlaficheen<br />
question.<br />
8 DanslalisteEnregistrement,sélectionnezlestypesdefichesetlesattributsque<br />
lesutilisateursougroupespourrontcréer.<br />
Créersignifiequel’utilisateurpourracréerletypedeficheenquestion(parexemple,<br />
créerunesalledeconférence).<br />
Pourautoriserlesutilisateurssélectionnésàcréertouteslesfiches,sélectionnez<br />
«Pourtouteslesfiches».<br />
Pourautoriserlesutilisateurssélectionnésàcréerdesfichesspécifiques,sélectionnez<br />
«Pourlesfichessélectionnées»,puischoisissezlesfichesquevosutilisateurspourront<br />
créer.<br />
9 CliquezsurleboutonAjouter(+)pourouvrirlevoletUtilisateursetgroupes.<br />
10 FaitesglisserdesutilisateursetdesgroupesduvoletUtilisateursetgroupesverslaliste.<br />
Lesutilisateursquevousajoutezàlalisteaurontl’autorisationdecréerlaficheenquestion.<br />
11 CliquezsurEnregistrer.<br />
Contrôled’<strong>Open</strong><strong>Directory</strong><br />
Vouspouvezafficherlesétatsetleshistoriquesd’<strong>Open</strong><strong>Directory</strong>.Vouspouvezégalementexaminerleshistoriquesd’authentification<strong>Open</strong><strong>Directory</strong>pourychercherdes<br />
tracesd’activitéssuspectes.<br />
Pourobtenirdesinstructions,consultezlesrubriquessuivantes:<br />
 «Contrôledel’étatd’unserveur<strong>Open</strong><strong>Directory</strong>»àlapage210<br />
 «Contrôledesrépliquesetdesrelaisd’unmaître<strong>Open</strong><strong>Directory</strong>»àlapage210<br />
 «Affichagedesétatsetdeshistoriques<strong>Open</strong><strong>Directory</strong>»àlapage211<br />
 «Contrôledel’authentification<strong>Open</strong><strong>Directory</strong>»àlapage211<br />
Chapitre9Maintenancedesservices<strong>Open</strong><strong>Directory</strong> 209
Contrôledel’étatd’unserveur<strong>Open</strong><strong>Directory</strong><br />
Vouspouvezcontrôlerlebonfonctionnementdumaître<strong>Open</strong><strong>Directory</strong>àl’aide<br />
d’AdminServeur.<br />
Pourcontrôlerl’étatd’unserveur<strong>Open</strong><strong>Directory</strong>:<br />
1 OuvrezAdminServeuretconnectez-vousauserveur.<br />
2 Cliquezsurletrianglesetrouvantàgaucheduserveur.<br />
Lalistedesservicesapparaît.<br />
3 DanslalisteServeursdéveloppée,sélectionnez<strong>Open</strong><strong>Directory</strong>.<br />
4 CliquezsurVued’ensemble.<br />
5 Assurez-vousquel’étatdetouslesélémentsrépertoriésdanslasous-fenêtred’aperçu<br />
<strong>Open</strong><strong>Directory</strong>estbien«Enservice».<br />
Sil’unoul’autredesélémentsestarrêté,cliquezsurRéactualiser(ouchoisissez<br />
Présentation>Réactualiser).SiKerberosrestearrêté,consultezlarubrique<br />
«SiKerberosestarrêtésurunmaîtreouuneréplique<strong>Open</strong><strong>Directory</strong>»àlapage235.<br />
Contrôledesrépliquesetdesrelaisd’unmaître<strong>Open</strong><strong>Directory</strong><br />
GrâceàAdminServeur,vouspouvezcontrôlerl’étatdelacréationderépliquesetde<br />
laréplicationencours.<br />
Pourcontrôlerlesrépliquesetlesrelaisd’unmaître<strong>Open</strong><strong>Directory</strong>:<br />
1 OuvrezAdminServeuretconnectez-vousauserveur.<br />
2 Cliquezsurletrianglesetrouvantàgaucheduserveur.<br />
Lalistedesservicesapparaît.<br />
3 DanslalisteServeursdéveloppée,sélectionnez<strong>Open</strong><strong>Directory</strong>.<br />
4 CliquezsurRéglagespuissurGénéralpourafficherlalistedesrépliquesetl’étatde<br />
chacuned’elles.<br />
L’étatd’unenouvellerépliqueindiquesisacréationaréussi.Ensuite,l’étatindiquesi<br />
ladernièretentativederéplicationaréussi.<br />
210 Chapitre9Maintenancedesservices<strong>Open</strong><strong>Directory</strong>
Affichagedesétatsetdeshistoriques<strong>Open</strong><strong>Directory</strong><br />
VouspouvezutiliserAdminServeurpourafficherlesinformationsd’étatetleshistoriques<br />
desservices<strong>Open</strong><strong>Directory</strong>.Leshistoriquessuivantssontdisponibles:<br />
 Historiqueduserveurdeservicesderépertoires<br />
 Historiquedeserreursdesservicesderépertoires<br />
 Historiquekadmin<br />
 Historiquekdc<br />
 LDAPhistorique<br />
 Historiqueduserveurduservicedemotdepasse<br />
 Historiquedeserreursduservicedemotdepasse<br />
 Historiquederéplicationduservicedemotdepasse<br />
 Historiqueslapconfig<br />
Pourvisualiserdeshistoriquesoudesétatsdeservicesderépertoires:<br />
1 OuvrezAdminServeuretconnectez-vousauserveur.<br />
2 Cliquezsurletrianglesetrouvantàgaucheduserveur.<br />
Lalistedesservicesapparaît.<br />
3 DanslalisteServeursdéveloppée,sélectionnez<strong>Open</strong><strong>Directory</strong>.<br />
4 CliquezsurVued’ensemblepourafficherlesinformationsd’état.<br />
5 CliquezsurHistoriquesetutilisezlemenulocalAfficherpourchoisirl’historiqueque<br />
voussouhaitezconsulter.<br />
Lechemind’accèsaufichierd’historiqueestaffichéau-dessusdel’historique.<br />
6 Sivouslesouhaitez,vouspouvezsaisirdutextedanslechampFiltreetappuyersur<br />
Retourpourn’afficherqueleslignescontenantletextequevousavezsaisi.<br />
Contrôledel’authentification<strong>Open</strong><strong>Directory</strong><br />
Vouspouvezutiliserleshistoriquesduservicedemotdepasse,quevouspouvezconsulteràl’aided’AdminServeur,pourcontrôlerlestentativesd’ouverturedesession<br />
ayantéchouéetainsiidentifierlesactivitéssuspectes.<br />
<strong>Open</strong><strong>Directory</strong>consigneleséchecsd’authentificationdansdeshistoriques,ycompris<br />
lesadressesIPquilesontgénérés.Réexaminezrégulièrementleshistoriquesafinde<br />
déterminers’ilexisteungrandnombredetentativesinfructueusespourunmême<br />
identifiantdemotdepasse,cequiindiqueraitqu’unepersonneestpeut-êtreentrain<br />
d’essayerdedevinerdesmotsdepasse.<br />
Chapitre9Maintenancedesservices<strong>Open</strong><strong>Directory</strong> 211
Pourafficherleshistoriquesd’authentification<strong>Open</strong><strong>Directory</strong>:<br />
1 OuvrezAdminServeuretconnectez-vousauserveur.<br />
2 Cliquezsurletrianglesetrouvantàgaucheduserveur.<br />
Lalistedesservicesapparaît.<br />
3 DanslalisteServeursdéveloppée,sélectionnez<strong>Open</strong><strong>Directory</strong>.<br />
4 CliquezsurHistoriques,puischoisissezl’historiquekdcouunhistoriqueduservicede<br />
motdepassedanslemenulocalAfficher.<br />
Affichageetmodificationdesdonnéesderépertoire<br />
Vouspouvezafficheroumodifierlesdonnéesderépertoirebrutesàl’aidedel’InspecteurdansGestionnairedegroupedetravail.Àl’aidedel’Inspecteur,vouspouvezafficherlesdonnéesderépertoirequevousnepouvezpasconsulterautrementdans<br />
Gestionnairedegroupedetravail.<br />
L’Inspecteurvouspermetdemodifierlesdonnéesderépertoirequevousnepouvez<br />
pasmodifierautrementdansGestionnairedegroupedetravail.Vouspouvez,par<br />
exemple,utiliserl’Inspecteurpourmodifierlenomabrégéd’unutilisateur.<br />
Pourensavoirplus,consultez:<br />
 «Affichagedel’Inspecteurderépertoire»àlapage212<br />
 «Masquagedel’inspecteurderépertoire»àlapage213<br />
 «Définitiondecontrôlesd’accèsauxrépertoires(DAC,<strong>Directory</strong>AccessControls)»à<br />
lapage213<br />
 «Suppressiond’enregistrements»àlapage214<br />
 «Suppressiond’utilisateursoud’ordinateursàl’aidedel’Inspecteuroudelalignede<br />
commandeȈlapage215<br />
 «Modificationdunomabrégéd’unutilisateur»àlapage216<br />
Affichagedel’Inspecteurderépertoire<br />
Vouspouvezafficherl’InspecteurdansGestionnairedegroupedetravailensélectionnantuneoptiondanslesPréférencesdeGestionnairedegroupedetravail.Vouspouvezensuiteaccéderàl’Inspecteurpourvisualiseroumodifierdesdonnéesde<br />
répertoirebrutes.<br />
AVERTISSEMENT:lamodificationdedonnéesderépertoirebrutespeutavoirdes<br />
conséquencesimprévisiblesetindésirables.Vouspourriezinvolontairement<br />
désactiverunutilisateurouunordinateur,ouautoriserlesutilisateursàaccéderà<br />
unnombreplusélevéderessourcesqueprévu.<br />
212 Chapitre9Maintenancedesservices<strong>Open</strong><strong>Directory</strong>
Pourafficherl’Inspecteur:<br />
1 OuvrezGestionnairedegroupedetravail.<br />
2 ChoisissezGestionnairedegroupedetravail>Préférences.<br />
3 Sélectionnez“Afficherl’inspecteuretl’ongletTouteslesfiches”,puiscliquezsurOK.<br />
4 Pourafficherlesattributsd’utilisateur,degroupe,d’ordinateuroudegrouped’ordinateurs,cliquezsurleboutonUtilisateurs,Groupe,OrdinateurouGrouped’ordinateurs,<br />
puissurInspecteur(àdroite).<br />
5 Pourafficherd’autrestypesdefiches,cliquezsurleboutonTouteslesfichesenregard<br />
duboutonGrouped’ordinateurs,puischoisissezuntypedefichedanslemenulocal<br />
situéenhautdelaliste.<br />
Lemenulocalaffichetouslestypesd’enregistrementstandardquiexistentdansle<br />
domainederépertoire.VouspouvezégalementchoisirNatifdanslemenulocal,puis<br />
saisirlenomd’unefiched’originedanslechampquiapparaîtsouslemenulocal.La<br />
listeaffichetouteslesfiches,ycomprislesfichesprédéfinies,dutypedefichesélectionné.<br />
Masquagedel’inspecteurderépertoire<br />
Sil’InspecteurestvisibledansGestionnairedegroupedetravail,vouspouvezlemasquer<br />
enmodifiantuneoptiondanslesPréférencesdeGestionnairedegroupedetravail.<br />
Pourmasquerl’Inspecteur:<br />
1 OuvrezGestionnairedegroupedetravail.<br />
2 ChoisissezGestionnairedegroupedetravail>Préférences.<br />
3 Désélectionnez“Afficherl’inspecteuretl’ongletTouteslesfiches”,puiscliquezsurOK.<br />
Définitiondecontrôlesd’accèsauxrépertoires(DAC,<strong>Directory</strong><br />
AccessControls)<br />
<strong>Open</strong><strong>Directory</strong>permetdedéfinirdescontrôlesd’accèsauxrépertoires(DAC)pour<br />
touteslespartiesdel’annuaireLDAP;vouspouvezainsispécifierquelsutilisateurs<br />
sontautorisésàapporterdesmodificationsetcequ’ilssontautorisésàmodifier.<br />
<strong>Open</strong><strong>Directory</strong>stockelescontrôlesd’accèsauxrépertoiresdansuneficheapple-acl<br />
quevouspouvezmodifieràl’aidedel’InspecteurdeGestionnairedegroupedetravail.<br />
Pourmodifierlescontrôlesd’accèsauxrépertoires:<br />
1 OuvrezGestionnairedegroupedetravailetaffichezl’Inspecteurs’ilestmasqué.<br />
Pourensavoirplus,consultezlarubrique«Affichagedel’Inspecteurderépertoire»àla<br />
page212.<br />
2 Ouvrezledomainederépertoirepourlequelvoussouhaitezdéfinirdescontrôles<br />
d’accèsetauthentifiez-vouscommeadministrateurdudomaine.<br />
Pourouvrirundomainederépertoire,cliquezsurl’icônedeglobeau-dessusdelaliste<br />
desutilisateurs,puischoisissezundomainedanslemenulocal.<br />
Chapitre9Maintenancedesservices<strong>Open</strong><strong>Directory</strong> 213
3 CliquezsurleboutonTouteslesfiches(enregardduboutonGrouped’ordinateurs),<br />
puischoisissezAccessControlsdanslemenulocalsituéenhautdelaliste.<br />
4 Sélectionnez«pardéfaut»danslalistedesfiches.<br />
5 SélectionnezAccessControlEntrydanslalistedesattributs;siuntriangleestvisible<br />
enregardd’AccessControlEntry,cliquezdessuspouraffichertouteslesentréesde<br />
contrôled’accès.<br />
6 SélectionnezAccessControlEntry,puiscliquezsurModifierpourchangerlavaleurou<br />
cliquezsurNouvellevaleurpourajouterunevaleurAccessControlEntry.<br />
Vouspouvezaussidouble-cliquersurunevaleurpourlamodifier.<br />
7 CliquezsurEnregistrer.<br />
Suppressiond’enregistrements<br />
Vouspouvezutiliserl’InspecteurdeGestionnairedegroupedetravailpoursupprimer<br />
unefiche.<br />
AVERTISSEMENT:aprèsavoirutilisél’Inspecteurpoursupprimerunefiched’utilisateur<br />
oud’ordinateur,utilisezlesoutilsdelignedecommandepoursupprimerl’identité<br />
Kerberosetlelogementdeserveurdemotsdepassecorrespondants.Sivous<br />
conservezuneidentitéKerberosouunlogementdeserveurdemotsdepasseaprès<br />
avoirsupprimélafichecorrespondante,desconflitspeuventseproduire<br />
ultérieurementlorsdelacréationd’unefiched’utilisateuroud’ordinateur.<br />
AVERTISSEMENT:lasuppressiond’enregistrementspeutprovoquerun<br />
comportementdésordonnéduserveurousonarrêt.Nesupprimezunefichequesi<br />
vousêtessûrqu’ellen’estpasrequisepourlebonfonctionnementduserveur.<br />
Poursupprimerdesenregistrementsavecl’Inspecteur:<br />
1 OuvrezGestionnairedegroupedetravailetaffichezl’Inspecteurs’ilestmasqué.<br />
Pourensavoirplus,consultezlarubrique«Affichagedel’Inspecteurderépertoire»àla<br />
page212.<br />
2 Ouvrezledomainederépertoiredanslequelvoussouhaitezsupprimerunefiche,<br />
puisauthentifiez-vousentantqu’administrateurdudomaine.<br />
Pourouvrirundomainederépertoire,cliquezsurl’icônedeglobeau-dessusdelaliste<br />
desutilisateurs,puischoisissezundomainedanslemenulocal.<br />
3 CliquezsurleboutonTouteslesfiches(enregardduboutonGrouped’ordinateurs),<br />
puischoisissezuntypedefichedanslemenulocalsituéenhautdelaliste.<br />
4 Sélectionnezlaoulesfichesàsupprimerdanslalistedesfiches.<br />
5 CliquezsurSupprimer(ouchoisissezServeur>Supprimerlesfichessélectionnées).<br />
214 Chapitre9Maintenancedesservices<strong>Open</strong><strong>Directory</strong>
Suppressiond’utilisateursoud’ordinateursàl’aidedel’Inspecteurou<br />
delalignedecommande<br />
Sivousutilisezl’InspecteurdansGestionnairedegroupedetravailoulesoutilsdeligne<br />
decommandedansTerminalpoursupprimerunefiched’utilisateuroud’ordinateur<br />
dontl’attributAuthenticationAuthorityinclutunevaleurKerberosoudeserveurde<br />
motsdepasse,vousdevezsupprimerl’identitéKerberosetlelogementdeserveurde<br />
motsdepassecorrespondants.<br />
SivousconservezuneidentitéKerberosdanslecentrededistributiondeclésKerberos<br />
ouunlogementdeserveurdemotsdepasseaprèsavoirsupprimélafichecorrespondante,desconflitspeuventseproduireultérieurementlorsdelacréationd’unefiche<br />
d’utilisateuroud’ordinateur.<br />
Sil’attributAuthenticationAuthorityinclutunevaleurcommençantpar;Kerberosv5;,<br />
utilisezlacommandedelete_principaldel’outildelignedecommandekadmin.local<br />
dansTerminalpoursupprimerl’identitéKerberoscorrespondanteducentrededistributiondeclésKerberos.Pourensavoirplus,consultezlapagemandekadmin.local.<br />
Sil’attributAuthenticationAuthorityinclutunevaleurcommençantpar;<strong>Apple</strong>Password<strong>Server</strong>;,utilisezlacommande-deleteslotdel’outildelignedecommande<br />
mkpassdbdansTerminalpoursupprimerlelogementdeserveurdemotsdepassec<br />
orrespondant.Pourensavoirplus,consultezlapagemandemkpassdb.<br />
Sivoussupprimezuncompted’utilisateurdansGestionnairedegroupedetravailencliquantsurleboutonUtilisateur(etnonsurleboutonTouteslesfiches)situéàgauche,<br />
ensélectionnantlecompted’utilisateur,puisencliquantsurSupprimerdanslabarre<br />
d’outilsdeGestionnairedegroupedetravail(ouenchoisissantServeur>Supprimer<br />
l’utilisateursélectionné),Gestionnairedegroupedetravailsupprimeautomatiquement<br />
lelogementdeserveurdemotsdepasseetl’identitéKerberosducompted’utilisateur.<br />
Demême,sivoussupprimezunefiched’ordinateurenlasélectionnantdansungroupe<br />
d’ordinateurspuisencliquantsurleboutonSupprimer(–),Gestionnairedegroupede<br />
travailsupprimeautomatiquementlelogementdeserveurdemotsdepasseetl’identitéKerberosducompted’utilisateur.<br />
Chapitre9Maintenancedesservices<strong>Open</strong><strong>Directory</strong> 215
Modificationdunomabrégéd’unutilisateur<br />
Pourmodifierlepremiernomabrégéd’unutilisateur,vouspouvezutiliserl’outilde<br />
lignedecommandeldapmodrdndansTerminal.Touslesnomsabrégésàl’exception<br />
dupremierpeuventêtremodifiésdanslasous-fenêtreÉlémentairesd’unefenêtre<br />
d’utilisateurGestionnairedegroupedetravail.<br />
AVERTISSEMENT:lamodificationdunomabrégéd’unutilisateurpeutavoirdes<br />
conséquencesinattenduesetindésirables.D’autresservicesutilisentlenomabrégé<br />
desutilisateurspourlesidentifierdemanièreuniqueetpersistante.<br />
Ainsi,lamodificationdupremiernomabrégéd’unutilisateurn’affectepaslenom<br />
desondossierdedépart.L’utilisateurdisposedumêmedossierdedépart(bienque<br />
lenomdecederniernecorrespondeplusaunouveaunomabrégédel’utilisateur)<br />
saufs’ilaccèdeàsondossierdedépartentantquemembred’ungroupe.<br />
L’exemplesuivantexpliquecommentmodifierlenomabrégéd’uncompted’utilisateur<br />
àl’aidedeldapmodrdn:<br />
$ ldapmodrdn -U adminrép n -Y "cram-md5" -W -r "uid=anciennomabrégé,<br />
cn=utilisateurs,dc=exemple,dc=com" "uid=nouveaunomabrégé"<br />
CetexemplesupposequevousutilisiezTerminalsurleserveurmaître<strong>Open</strong><strong>Directory</strong><br />
ouquevousayezétabliuneconnexionSSHauserveurmaître<strong>Open</strong><strong>Directory</strong>àl’aide<br />
deTerminalsurunautreordinateur.<br />
Danscetexemple,vousdevezremplaceradminrépparlenomd’unadministrateurde<br />
répertoire,anciennomabrégéparlenomabrégéàmodifieretnouveaunomabrégépar<br />
lenouveaunomabrégé.<br />
Vousdevezégalementremplacerdc=exemple,dc=comparlesuffixedebasederechercheduserveur.LesuffixedebasederechercheduserveurestindiquédanslasousfenêtrederéglagesProtocolesduservice<strong>Open</strong><strong>Directory</strong>dansAdminServeur.<br />
Sivousutilisez ldapmodrdnpourmodifierlepremiernomabrégéd’unefiched’utilisateurcontenantplusieursnomsabrégés,lesecondnomabrégédelafichedevient<br />
lepremieretlenouveaunomabrégé,ledernier.<br />
Pourréorganiserlesnomsabrégés,utilisezl’outildelignedecommandeldapmodify.<br />
Pourensavoirplus,consultezlapagemandeldapmodify.<br />
216 Chapitre9Maintenancedesservices<strong>Open</strong><strong>Directory</strong>
Importationd’enregistrementsdetoustypes<br />
Gestionnairedegroupedetravailpeutimportertouslestypesd’enregistrementsdans<br />
lerépertoireLDAPd’unmaître<strong>Open</strong><strong>Directory</strong>.Celacouvrelesutilisateurs,lesgroupes,<br />
lesgroupesd’ordinateurs,lesordinateursettouslesautrestypesdefiches<strong>Mac</strong><strong>OS</strong>X<br />
standard.<br />
Important:sivousimportezdesfichesd’utilisateuroudegroupedepuisunfichier<br />
exportépar<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>10.3ouantérieur,chaqueficheimportéesevoitattribuer<br />
unidentifiantglobalunique(GUID).<br />
PourvousassurerquelesGUIDetleurrelationavecdesutilisateursetgroupesspécifiquesrestentinchangés(encasderéimportationdesmêmesutilisateursetgroupes),<br />
créezunfichierd’exportationàl’aidedeGestionnairedegroupedetravaildans<br />
<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>10.5.Utilisezlefichierd’exportationdelaversion10.5aulieudecelui<br />
crééàl’aidedelaversionantérieureduserveur.<br />
Pourobtenirunelistedestypesd’enregistrementsetdesattributsquipeuventêtre<br />
importés,consultezlefichiersuivant:<br />
/Système/Bibliothèque/Frameworks/<strong>Directory</strong>Service.framework/Headers/DirServicesConst.h<br />
Pourobtenirdesinformationssurlestypesdefichesetlesattributslespluscourants,<br />
consultezlarubrique«typesd’enregistrementsetattributs<strong>Open</strong><strong>Directory</strong>standard»<br />
àlapage293.<br />
Pourensavoirplussurl’exportationd’utilisateursetdegroupesàl’aidedeGestionnaire<br />
degroupedetravailetsurl’importationdefichesdetouttype,consultezledocument<br />
Gestiondesutilisateurs.<br />
Définitiondesoptionsd’unserveur<strong>Open</strong><strong>Directory</strong><br />
Vouspouvezdéfinirdespolitiquesdeliaison,desécuritéetdemotdepassepourun<br />
maître<strong>Open</strong><strong>Directory</strong>etsesrépliques.Vouspouvezaussidéfinirplusieursoptions<br />
LDAPpourunmaîtreouuneréplique<strong>Open</strong><strong>Directory</strong>.Pourensavoirplus,consultez<br />
cequisuit:<br />
 «Configurationd’unepolitiquedeliaisonpourunserveur<strong>Open</strong><strong>Directory</strong>»àlapage218<br />
 «Configurationd’unrèglementdesécuritépourunserveur<strong>Open</strong><strong>Directory</strong>»àla<br />
page219<br />
 «Changementdepolitiquedemotdepasseglobale»àlapage129<br />
 «Modificationdel’emplacementd’unebasededonnéesLDAP»àlapage220<br />
 «LimitationdesrésultatsdelarecherchepourleserviceLDAP»àlapage221<br />
 «DéfinitiondudélaiderechercheautorisépourleserviceLDAP»àlapage221<br />
 «ConfigurationdeSSLpourleserviceLDAP»àlapage222<br />
 «Créationd’uneconfigurationSSLpersonnaliséepourLDAP»àlapage222<br />
Chapitre9Maintenancedesservices<strong>Open</strong><strong>Directory</strong> 217
Configurationd’unepolitiquedeliaisonpourunserveur<strong>Open</strong><strong>Directory</strong><br />
Àl’aided’AdminServeur,vouspouvezconfigurerunmaître<strong>Open</strong><strong>Directory</strong>pourqu’il<br />
autoriseouexigeuneliaisonsécuriséeentrel’annuaireLDAPetlesordinateursquiy<br />
accèdent.Lesrépliquesd’unmaître<strong>Open</strong><strong>Directory</strong>héritentautomatiquementdesa<br />
politiquedeliaison.<br />
UneliaisonLDAPsécuriséeestauthentifiéemutuellement.L’ordinateurprouveson<br />
identitéenutilisantlenometlemotdepassed’unadministrateurdurépertoireLDAP<br />
pours’authentifierauprèsdurépertoireLDAP.L’annuaireLDAPprouvesonauthenticité<br />
aumoyend’unefiched’ordinateurauthentifiéquiestcrééedanslerépertoirelorsque<br />
vousconfigurezlaliaisonsécurisée.<br />
LesclientsnepeuventpasêtreconfiguréspourutiliseràlafoislaliaisonLDAPsécurisée<br />
etunserveurLDAPfourniparleDHCP(connuaussisouslenomd’optionDHCP95).<br />
LaliaisonLDAPsécuriséeestenréalitéuneliaisonstatique,alorsqueleLDAPfournile<br />
DHCPestuneliaisondynamique.Pourensavoirplus,consultezlarubrique«Activation<br />
oudésactivationd’unrépertoireLDAPfourniviaDHCP»àlapage158.<br />
Remarque:pourpouvoirutiliserlaliaisonLDAPsécurisée,lesclientsontbesoinde<br />
laversion10.4ouultérieurede<strong>Mac</strong><strong>OS</strong>Xou<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>.Lesclientssous10.3ou<br />
antérieurnepeuventpasconfigurerdeliaisonsécurisée.<br />
Pourconfigurerlapolitiquedeliaisonpourunmaître<strong>Open</strong><strong>Directory</strong>:<br />
1 OuvrezAdminServeuretconnectez-vousauserveurmaître<strong>Open</strong><strong>Directory</strong>.<br />
2 Cliquezsurletrianglesetrouvantàgaucheduserveur.<br />
Lalistedesservicesapparaît.<br />
3 DanslalisteServeursdéveloppée,sélectionnez<strong>Open</strong><strong>Directory</strong>.<br />
4 CliquezsurRéglages,puissurRèglement.<br />
5 CliquezsurLiaison,puisdéfinissezlesoptionsdeliaisonderépertoiresouhaitées.<br />
 Pourautoriserlaliaisonsécurisée,sélectionnez«Activerlaliaisonderépertoire<br />
authentifiée».<br />
 Pourexigerlaliaisonsécurisée,sélectionnezégalement«Requiertuneliaison<br />
authentifiéeentrel’annuaireetlesclients».<br />
6 CliquezsurEnregistrer.<br />
Important:sivousactivezlesoptions«Cryptertouslespaquets(requiertSSLou<br />
Kerberos)»et«Activerlaliaisonderépertoireauthentifiée»,assurez-vousquevos<br />
utilisateursutilisentl’uneoul’autrepourlaliaison,maispaslesdeux.<br />
218 Chapitre9Maintenancedesservices<strong>Open</strong><strong>Directory</strong>
Configurationd’unrèglementdesécuritépourunserveur<br />
<strong>Open</strong><strong>Directory</strong><br />
Àl’aided’AdminServeur,vouspouvezconfigurerunepolitiquedesécuritépouraccéder<br />
aurépertoireLDAPd’unmaître<strong>Open</strong><strong>Directory</strong>.<br />
Lesrépliquesdumaître<strong>Open</strong><strong>Directory</strong>héritentautomatiquementdesonrèglement<br />
desécurité.<br />
Remarque:sivousmodifiezlerèglementdesécuritédel’annuaireLDAPd’unmaître<br />
<strong>Open</strong><strong>Directory</strong>,vousdevezdéconnecterpuisreconnecter(romprepuisrétablirlaliaison<br />
de)chaqueordinateurconnecté(lié)àcetannuaireLDAP.Utilisezl’Utilitairederépertoirecommedécritdans«Suppressiond’uneconnexionàunserveurderépertoire»àla<br />
page142et«Ajoutd’uneconnexionàunserveur<strong>Open</strong><strong>Directory</strong>»àlapage142.<br />
Pourconfigurerlapolitiquedesécuritépourunmaître<strong>Open</strong><strong>Directory</strong>:<br />
1 OuvrezAdminServeuretconnectez-vousauserveurmaître<strong>Open</strong><strong>Directory</strong>.<br />
2 Cliquezsurletrianglesetrouvantàgaucheduserveur.<br />
Lalistedesservicesapparaît.<br />
3 DanslalisteServeursdéveloppée,sélectionnez<strong>Open</strong><strong>Directory</strong>.<br />
4 CliquezsurRéglages,puissurRèglement.<br />
5 CliquezsurLiaison,puisdéfinissezlesoptionsdesécuritésouhaitées:<br />
 «Désactiverlesmotsdepasseenclair»déterminesilesclientspeuventenvoyer<br />
lesmotsdepasseenclairsilesmotsdepassenepeuventpasêtrevalidésàl’aide<br />
d’uneméthoded’authentificationquienvoiedesmotsdepassecryptés.Pourensavoir<br />
plus,consultezlesrubriques«Sélectiondeméthodesd’authentificationpourdesutilisateursdemotsdepasseshadow»àlapage132et«Sélectiondeméthodesd’authentificationpourdesutilisateursdemotsdepasse<strong>Open</strong><strong>Directory</strong>»àlapage133.<br />
 «Signertouslespaquetsnumériquement(requiertKerberos)»permetdes’assurerquelesdonnéesderépertoireprovenantduserveurLDAPneserontpasinterceptéesetmodifiéesparunautreordinateurpendantleurtransitverslesordinateurs<br />
clients.<br />
 «Cryptertouslespaquets(requiertSSLouKerberos)»obligeleserveurLDAPà<br />
crypterlesdonnéesderépertoireàl’aideduprotocoleSSLoudeKerberosavantde<br />
lesenvoyerauxordinateursclients.<br />
 «Bloquerlesattaques«Man-in-the-Middle»(requiertKerberos)»empêcheunserveurmalveillantdesefairepasserpourleserveurLDAP.Plusefficaceavecl’option<br />
“Signertouslespaquetsnumériquement”.<br />
 «Désactiverlamiseencacheduclient»empêchelesordinateursclientsdemettre<br />
encachelesdonnéesLDAPenlocal.<br />
 «Autoriserlesutilisateursàmodifierleursinformationsdecontactpersonnelles»<br />
autoriselesutilisateursàmodifierleursinformationsdecontactsurleserveurLDAP.<br />
Chapitre9Maintenancedesservices<strong>Open</strong><strong>Directory</strong> 219
6 CliquezsurEnregistrer.<br />
Important:sivousactivezlesoptions«Cryptertouslespaquets(requiertSSLou<br />
Kerberos)»et«Activerlaliaisonderépertoireauthentifiée»,assurez-vousquevos<br />
utilisateursutilisentl’uneoul’autrepourlaliaison,maispaslesdeux.<br />
Enfonctiondesréglagesdéfinisici,lesoptionsdesécuritépeuventaussiêtreconfiguréessurlesdifférentsclientsd’unmaîtreoud’uneréplique<strong>Open</strong><strong>Directory</strong>.Sivous<br />
sélectionnezuneoptionici,ellenepourrapasêtredésélectionnéepourunclient.Pour<br />
ensavoirplussurlaconfigurationdecesoptionssurunclient,consultezlarubrique<br />
«ModificationdelapolitiquedesécuritépouruneconnexionLDAP»àlapage171.<br />
Modificationdel’emplacementd’unebasededonnéesLDAP<br />
Àl’aided’AdminServeur,vouspouvezspécifierl’emplacementdudisquedelabasede<br />
donnéesquistockelesfichesd’utilisateuretd’autresinformationsdansundomainede<br />
répertoireLDAPd’unmaîtreoud’uneréplique<strong>Open</strong><strong>Directory</strong>.Labasededonnées<br />
LDAPestgénéralementsituéesurlevolumededémarrage,maisellepeutsetrouver<br />
surunautrevolumelocal.<br />
Remarque:pourdesraisonsdesécurité,lesbasesdedonnéesquicontiennentles<br />
informationsd’authentificationpour<strong>Open</strong><strong>Directory</strong>etKerberossonttoujoursplacées<br />
surlevolumededémarrage,quelquesoitl’emplacementdelabasededonnéesLDAP.<br />
Pourmodifierl’emplacementd’unebasededonnéesLDAP:<br />
1 OuvrezAdminServeuretconnectez-vousaumaîtreouàuneréplique<strong>Open</strong><strong>Directory</strong>.<br />
2 Cliquezsurletrianglesetrouvantàgaucheduserveur.<br />
Lalistedesservicesapparaît.<br />
3 DanslalisteServeursdéveloppée,sélectionnez<strong>Open</strong><strong>Directory</strong>.<br />
4 CliquezsurRéglages,puissurLDAP.<br />
5 ChoisissezRéglagesLDAPdanslemenulocalConfigurer,puisspécifiezlechemin<br />
d’accèsaudossierdanslequelvousvoulezplacerlabasededonnéesLDAP.<br />
Vouspouvezsaisirlechemind’accèsàundossierdanslechampBasededonnéesou<br />
sélectionnerl’emplacementd’undossierencliquantsurChoisirpuisennaviguant<br />
jusqu’àl’emplacementdanslequelvousvoulezplacerledossier.<br />
6 CliquezsurEnregistrer.<br />
220 Chapitre9Maintenancedesservices<strong>Open</strong><strong>Directory</strong>
LimitationdesrésultatsdelarecherchepourleserviceLDAP<br />
AdminServeurvouspermetd’empêcheruntyped’attaqueparsaturationsur<br />
le<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>enlimitantlenombrederésultatsderechercherenvoyés<br />
parledomainederépertoireLDAPpartagéduserveur.Celaempêcheunutilisateur<br />
malveillantdebloquerleserveurenluienvoyantdesrequêtesderecherchesLDAP<br />
multiplesetcomplexes.<br />
PourlimiterlesrésultatsdelarechercheLDAP:<br />
1 OuvrezAdminServeuretconnectez-vousaumaîtreouàuneréplique<strong>Open</strong><strong>Directory</strong>.<br />
2 Cliquezsurletrianglesetrouvantàgaucheduserveur.<br />
Lalistedesservicesapparaît.<br />
3 DanslalisteServeursdéveloppée,sélectionnez<strong>Open</strong><strong>Directory</strong>.<br />
4 CliquezsurRéglages,puissurLDAP.<br />
5 ChoisissezRéglagesLDAPdanslemenulocalConfigurer,puissaisissezlenombremaximumderésultatsderechercheàrenvoyerdanslechamp«Renvoyerunmaximumde<br />
__résultatsdelarecherche».<br />
6 CliquezsurEnregistrer.<br />
DéfinitiondudélaiderechercheautorisépourleserviceLDAP<br />
Àl’aided’AdminServeur,vouspouvezempêcheruntyped’attaqueparsaturationsur<br />
leserveur<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>enlimitantletempsallouéauserveurpoureffectuerune<br />
recherchesursondomainederépertoireLDAPpartagé.<br />
Celaempêcheunutilisateurmalveillantdebloquerleserveurenluienvoyantune<br />
requêtederechercheLDAPexceptionnellementcomplexe.<br />
PourdéfinirundélaiderecherchepourleserviceLDAP:<br />
1 OuvrezAdminServeuretconnectez-vousaumaîtreouàuneréplique<strong>Open</strong><strong>Directory</strong>.<br />
2 Cliquezsurletrianglesetrouvantàgaucheduserveur.<br />
Lalistedesservicesapparaît.<br />
3 DanslalisteServeursdéveloppée,sélectionnez<strong>Open</strong><strong>Directory</strong>.<br />
4 CliquezsurRéglages,puissurLDAP.<br />
5 ChoisissezRéglagesLDAPdanslemenulocalConfigurer,puisdéfinissezundélaide<br />
recherchedanslechamp«Larechercheexpiredans__».<br />
Définissezledélaiàl’aidedumenulocal.<br />
6 CliquezsurEnregistrer.<br />
Chapitre9Maintenancedesservices<strong>Open</strong><strong>Directory</strong> 221
Pourobtenirdesinformationsdétailléessurladéfinition,l’obtentionetl’installation<br />
decertificatssurvotreserveur,consultezledocumentConfigurationdelasécuritéde<br />
<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>.<br />
LescommunicationsSSLpourLDAPutilisentleport636.SiSSLestdésactivépour<br />
leserviceLDAP,lescommunicationssontenvoyéesenclairsurleport389.<br />
PourconfigurerdescommunicationsSSLpourleserviceLDAP:<br />
1 OuvrezAdminServeuretconnectez-vousaumaîtreouàuneréplique<strong>Open</strong><strong>Directory</strong>.<br />
2 Cliquezsurletrianglesetrouvantàgaucheduserveur.<br />
Lalistedesservicesapparaît.<br />
ConfigurationdeSSLpourleserviceLDAP<br />
Àl’aided’AdminServeur,vouspouvezactiverSecureSocketsLayer(SSL)pourlescommunicationscryptéesentreundomainederépertoireLDAPd’unserveur<strong>Open</strong><strong>Directory</strong>etlesordinateursquiyaccèdent.SSLutilisedescertificatsnumériquespour<br />
fourniruneidentitécertifiéepourleserveur.Vouspouvezutiliseruncertificatautosignéouuncertificatprovenantd’uneautoritédecertification.<br />
3 DanslalisteServeursdéveloppée,sélectionnez<strong>Open</strong><strong>Directory</strong>.<br />
4 CliquezsurRéglages,puissurLDAP.<br />
5 ChoisissezRéglagesLDAPdanslemenulocalConfigurer,puissélectionnezActiverSSL.<br />
6 UtilisezlemenulocalCertificatpourchoisirlecertificatSSLquevoussouhaitezvoir<br />
utiliserparleserviceLDAP.<br />
LemenudresselalistetouslescertificatsSSLquisontinstalléssurleserveur.Pourutiliseruncertificatquinefigurepasdanslaliste,choisissezConfigurationpersonnalisée<br />
danslemenulocal.<br />
7 CliquezsurEnregistrer.<br />
Créationd’uneconfigurationSSLpersonnaliséepourLDAP<br />
SSLutilisedescertificatsnumériquespourfourniruneidentitécertifiéepourleserveur.<br />
VouspouvezutiliserdescertificatsnumériquespersonnaliséspourconfigurerleprotocoleSSLpourvotreenvironnementréseau.Lesétapessuivantesexpliquentcomment<br />
créerdescertificatspersonnalisésàl’aidedelalignedecommandeetfournissentdes<br />
instructionspourlesimplémenterdansAdminServeur.<br />
Pourcréeruncertificatpourleservice<strong>Open</strong><strong>Directory</strong>:<br />
1 Générezunecléprivéepourleserveurdansledossier/usr/share/certs/:<br />
Siledossier/usr/share/certsn’existepas,créez-le.<br />
$ sudo openssl genrsa -out ldapserver.key 2048<br />
222 Chapitre9Maintenancedesservices<strong>Open</strong><strong>Directory</strong>
2 Générezunedemandedesignaturedecertificat(CSR)pourlasignaturedel’autoritéde<br />
certificat(AC):<br />
$ sudo openssl req -new -key ldapserver.key -out ldapserver.csr<br />
3 Renseignezleschampssuivantsenétantaussiexhaustifquepossible,envousassurant<br />
quelechampNomcommuncorrespondexactementaunomdedomaineduserveur<br />
LDAPetenlaissantleschampsréservésaumotdepasseChallengeetaunomde<br />
sociétéfacultatifvierges:<br />
Pays :<br />
Unité d’organisation :<br />
Région/Province :<br />
Nom commun :<br />
Localité (ville) :<br />
Adresse électronique :<br />
Nom de l’organisation :<br />
4 Signezlademandeldapserver.csràl’aidedelacommandeopenssl.<br />
$ sudo openssl ca -in ldapserver.csr -out ldapserver.crt<br />
5 Lorsquevousyêtesinvité,saisissezlaphrasecléACpourpoursuivreetterminer<br />
leprocessus.<br />
LesfichiersdecertificatrequispouractiverleprotocoleSSLsurleserveurLDAP<br />
setrouventdésormaisdansledossier/usr/share/certs/.<br />
6 OuvrezAdminServeuretconnectez-vousaumaîtreouàuneréplique<strong>Open</strong><strong>Directory</strong>.<br />
7 Cliquezsurletrianglesetrouvantàgaucheduserveur.<br />
Lalistedesservicesapparaît.<br />
8 DanslalisteServeursdéveloppée,sélectionnez<strong>Open</strong><strong>Directory</strong>.<br />
9 CliquezsurRéglages,puissurLDAP.<br />
10 ChoisissezRéglagesLDAPdanslemenulocalConfigurer.<br />
11 Sélectionnez«ActiverSSL(SecureSocketsLayer)».<br />
12 UtilisezlemenulocalCertificatpourchoisirlecertificatSSLquevoussouhaitezvoir<br />
utiliserparleserviceLDAP.<br />
LemenudresselalistetouslescertificatsSSLquisontinstalléssurleserveur.Pourutiliseruncertificatquinefigurepasdanslaliste,choisissezConfigurationpersonnalisée<br />
danslemenulocal.<br />
13 CliquezsurEnregistrer.<br />
Chapitre9Maintenancedesservices<strong>Open</strong><strong>Directory</strong> 223
Gestiondelaréplication<strong>Open</strong><strong>Directory</strong><br />
Vouspouvezplanifierlaréplication<strong>Open</strong><strong>Directory</strong>ourépliqueràlademande,<br />
promouvoirunerépliqueenmaîtreoumettreunerépliquehorsservice.<br />
Pourensavoirplus,consultez:<br />
 «Planificationdelaréplicationd’unmaître<strong>Open</strong><strong>Directory</strong>oud’uncontrôleurde<br />
domaineprincipal(PDC)Ȉlapage224<br />
 «Synchronisationd’uneréplique<strong>Open</strong><strong>Directory</strong>oud’uncontrôleurdedomaine<br />
secondaireàlademande»àlapage225<br />
 «Conversiond’uneréplique<strong>Open</strong><strong>Directory</strong>enunrelais»àlapage226<br />
 «Promotiond’uneréplique<strong>Open</strong><strong>Directory</strong>»àlapage226<br />
 «Misehorsserviced’uneréplique<strong>Open</strong><strong>Directory</strong>»àlapage229<br />
Planificationdelaréplicationd’unmaître<strong>Open</strong><strong>Directory</strong>ou<br />
d’uncontrôleurdedomaineprincipal(PDC)<br />
Àl’aided’AdminServeur,vouspouvezspécifierlafréquenceàlaquellelemaître<strong>Open</strong><br />
<strong>Directory</strong>metàjoursesrépliquesenyintégrantlesmodificationsapportéesauxrépertoiresetauxinformationsd’authentification.Lemaîtrepeutmettreàjourlesrépliques<br />
dèsqu’unemodificationalieudanssondomainederépertoireouenfonctiond’un<br />
calendrierquevousdéfinissez.<br />
Laprocédureestlamêmesivousconfigurezvotreserveur<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>entantque<br />
contrôleurdedomaineprincipal(PDC).Vousdéfinissezlecalendrierderéplicationdu<br />
contrôleurdedomaineprincipalverslecontrôleurdedomainesecondaire(BDC)en<br />
planifiantlaréplicationd’<strong>Open</strong><strong>Directory</strong>.<br />
Pourdéfinirlafréquenceàlaquelleunmaître<strong>Open</strong><strong>Directory</strong>ouuncontrôleurde<br />
domaineprincipalmetàjoursesrépliquesousescontrôleursdedomainesecondaires:<br />
1 OuvrezAdminServeuretconnectez-vousaumaître<strong>Open</strong><strong>Directory</strong>ouauserveurdu<br />
contrôleurdedomaineprincipal.<br />
2 Cliquezsurletrianglesetrouvantàgaucheduserveur.<br />
Lalistedesservicesapparaît.<br />
3 DanslalisteServeursdéveloppée,sélectionnez<strong>Open</strong><strong>Directory</strong>.<br />
4 CliquezsurRéglages,puissurGénéral.<br />
224 Chapitre9Maintenancedesservices<strong>Open</strong><strong>Directory</strong>
5 Spécifiezunefréquencederéplication:<br />
 «Répliquerverslesclientschaquefoisquelerépertoireestmodifié»:gardeles<br />
répliquesàjourentempsréel,maisaugmentelachargesurleréseau.Peutaffecter<br />
lesperformancesdumaîtresiunerépliqueestconnectéeviauneliaisonréseau<br />
lente.<br />
 «Répliquerverslesclientstous/toutesles__»:permetdeplanifierdesmisesà<br />
jourmoinsfréquentes(enspécifiantunintervallepluslong).Lesmisesàjourmoins<br />
fréquentesprésententl’inconvénientdegénérerdesrépliquesmoinsexactesmais<br />
offrentl’avantagederéduirelenombredeconnexionsréseauentrelemaîtreetses<br />
répliques.Ladiminutiondunombredeconnexionspeuts’avérersouhaitablesiles<br />
répliquesnefontpastoutespartiedumêmeréseaulocalquelemaître.<br />
6 CliquezsurEnregistrer.<br />
Synchronisationd’uneréplique<strong>Open</strong><strong>Directory</strong>oud’uncontrôleurde<br />
domainesecondaireàlademande<br />
Bienqu’unmaître<strong>Open</strong><strong>Directory</strong>ouuncontrôleurdedomaineprincipalsynchronise<br />
automatiquementsesdonnéesderépertoireetd’authentificationaveclesrépliquesou<br />
lescontrôleursdedomainesecondairesenregistrés,vouspouvezutiliserAdminServeur<br />
poursynchroniserlesdonnéesavecunerépliqueouuncontrôleurdedomainesecondairesélectionnéàlademande.<br />
Poursynchroniseruneréplique<strong>Open</strong><strong>Directory</strong>ouuncontrôleurdedomaine<br />
secondaireàlademande:<br />
1 OuvrezAdminServeuretconnectez-vousaumaître<strong>Open</strong><strong>Directory</strong>ouauserveurdu<br />
contrôleurdedomaineprincipal.<br />
2 Cliquezsurletrianglesetrouvantàgaucheduserveur.<br />
Lalistedesservicesapparaît.<br />
3 DanslalisteServeursdéveloppée,sélectionnez<strong>Open</strong><strong>Directory</strong>.<br />
4 CliquezsurRéglages,puissurGénéral.<br />
5 Sélectionnezunerépliqueouuncontrôleurdedomainesecondairedanslaliste,<br />
puiscliquezsurRépliquer.<br />
Chapitre9Maintenancedesservices<strong>Open</strong><strong>Directory</strong> 225
Conversiond’uneréplique<strong>Open</strong><strong>Directory</strong>enunrelais<br />
Ilyapeudedifférencesentreunrelaisetuneréplique.Lesdeuxcontiennentunecopie<br />
enlectureseuledudomainederépertoireLDAPdumaître<strong>Open</strong><strong>Directory</strong>,ainsiqu’une<br />
copieenlectureetécritureduserveurdemotsdepasse<strong>Open</strong><strong>Directory</strong>etducentre<br />
dedistributiondeclés(KDC)Kerberos.<br />
Unrelaisestunerépliquedirected’unmaître<strong>Open</strong><strong>Directory</strong>etpossèdesespropres<br />
répliques.<br />
Vouspouvezconvertiruneréplique<strong>Open</strong><strong>Directory</strong>enrelaissilesconditionssuivantes<br />
sontréunies:<br />
 Larépliquedoitêtreunerépliquedirectedumaître<strong>Open</strong><strong>Directory</strong>(premierniveau).<br />
 Larépliquedoitavoirsespropresrépliques(jusqu’à32répliquesprisesencharge).<br />
Pourensavoirplussurlesrelais,consultez«Réplicationencascade»àlapage72.<br />
Promotiond’uneréplique<strong>Open</strong><strong>Directory</strong><br />
Siunmaître<strong>Open</strong><strong>Directory</strong>tombeenpanneetquevousnepouvezpaslerécupérer<br />
àpartird’unecopiedesauvegarde,vouspouveztransformerunerépliqueenmaître.<br />
Lenouveaumaître(répliquepromue)utiliselerépertoireetlesbasesdedonnées<br />
d’authentificationdelaréplique.<br />
Unefoislatransformationeffectuée,vousdevezconvertirtouteslesautresrépliques<br />
del’ancienmaîtreenservicesderépertoireautonomes,puisenfairedesrépliquesdu<br />
nouveaumaître.<br />
Important:n’utilisezcetteprocédurequepourremplacerunmaître<strong>Open</strong><strong>Directory</strong><br />
parsaréplique.Pourconserverlemaître<strong>Open</strong><strong>Directory</strong>enserviceetfairedesarépliqueunautremaître,n’utilisezpascetteprocédure.Mettezplutôtlerépliquehorsservice,puistransformez-laenmaîtrecommedécritdanslesrubriques«Misehorsservice<br />
d’uneréplique<strong>Open</strong><strong>Directory</strong>»àlapage229et«Configurationd’unmaître<strong>Open</strong><br />
<strong>Directory</strong>Ȉlapage95.<br />
Pourpromouvoiruneréplique<strong>Open</strong><strong>Directory</strong>:<br />
1 OuvrezAdminServeuretconnectez-vousauserveurdelarépliquequevoussouhaitez<br />
convertirenmaître.<br />
2 Cliquezsurletrianglesetrouvantàgaucheduserveur.<br />
Lalistedesservicesapparaît.<br />
3 DanslalisteServeursdéveloppée,sélectionnez<strong>Open</strong><strong>Directory</strong>.<br />
4 CliquezsurRéglages,puissurGénéral.<br />
5 CliquezsurModifier.<br />
L’Assistantdeconfigurationdeservices’ouvre.<br />
6 SélectionnezMaître<strong>Open</strong><strong>Directory</strong>,puiscliquezsurContinuer.<br />
226 Chapitre9Maintenancedesservices<strong>Open</strong><strong>Directory</strong>
7 Saisissezlesinformationsd’administrateurdedomainemaîtresuivantes,puiscliquez<br />
surContinuer.<br />
 Nom,nomabrégé,identifiantd’utilisateur,motdepasse:vousdevezcréerun<br />
compted’utilisateurpourl’administrateurprincipaldel’annuaireLDAP.Cecompte<br />
n’estpasunecopieducompted’administrateurdansledomainederépertoirelocal<br />
duserveur.Utilisezpourl’administrateurdel’annuaireLDAPdesnomsetunidentifiantd’utilisateurdifférentsdesnomsetdesidentifiantsd’utilisateurdescomptes<br />
d’utilisateurquifigurentdansledomainederépertoirelocal.<br />
Remarque:sivousenvisagezdeconnectervotremaître<strong>Open</strong><strong>Directory</strong>àd’autres<br />
domainesderépertoire,choisissezunnometunidentifiantd’utilisateuruniquespour<br />
chaquedomaine.N’utilisezpasl’identifiantd’utilisateurdiradminsuggéré.Utilisezun<br />
nomvouspermettantd’identifierfacilementledomainederépertoirequel’administrateurderépertoirecontrôle.<br />
8 Saisissezlesinformationsdedomainemaîtresuivantes,puiscliquezsurContinuer.<br />
 RoyaumeKerberos:cechampestdéfinipardéfautsurlenomDNSduserveur,<br />
convertienlettresmajuscules.Ils’agitd’uneconventionpournommerlesroyaumes<br />
Kerberos.Vouspouvezsaisirunautrenom,sinécessaire.<br />
 Basederecherche:cechampestpréréglésurunsuffixedebasederecherchepour<br />
lenouveaurépertoireLDAP,dérivédelapartieréservéeaudomainedunomDNSdu<br />
serveur.Vouspouvezsaisirunautresuffixedebasederechercheoulaissezlechamp<br />
vide.Sivouslaissezcechampvide,lesuffixedebasederecherchepardéfautde<br />
l’annuaireLDAPserautilisé.<br />
9 Vérifiezlesréglages,puiscliquezsurFermer.<br />
Vosréglagessontalorsenregistrésetleserviceestredémarré.<br />
10 DansAdminServeur,connectez-vousàuneautrerépliquedel’ancienmaître.<br />
11 Cliquezsurletrianglesetrouvantàgaucheduserveur.<br />
Lalistedesservicesapparaît.<br />
12 DanslalisteServeursdéveloppée,sélectionnez<strong>Open</strong><strong>Directory</strong>.<br />
13 CliquezsurRéglages,puissurGénéral.<br />
14 CliquezsurModifier.<br />
L’Assistantdeconfigurationdeservices’ouvre.<br />
15 ChoisissezAutonome,puiscliquezsurContinuer.<br />
16 Vérifiezlaconfiguration<strong>Open</strong><strong>Directory</strong>,puiscliquezsurContinuer.<br />
17 Sivousêtessûrquelesutilisateursetlesservicesn’ontplusbesoind’accéderauxdonnéesderépertoireenregistréesdansledomainederépertoirepartagéqueleserveur<br />
hébergeaitouauquelilétaitconnecté,cliquezsurFermer.<br />
Vosréglagessontalorsenregistrésetleserviceestredémarré.<br />
Chapitre9Maintenancedesservices<strong>Open</strong><strong>Directory</strong> 227
18 CliquezsurModifier.<br />
L’Assistantdeconfigurationdeservices’ouvre.<br />
19 ChoisissezRéplique<strong>Open</strong><strong>Directory</strong>,puiscliquezsurContinuer.<br />
20 Saisissezlesinformationssuivantes:<br />
 «AdresseIPounomDNSdumaître<strong>Open</strong><strong>Directory</strong>»:saisissezl’adresseIPou<br />
lenomDNSduserveurjouantlerôledemaître<strong>Open</strong><strong>Directory</strong>.<br />
 «Motdepasserootsurlemaître<strong>Open</strong><strong>Directory</strong>»:saisissezlemotdepassede<br />
l’utilisateurrootdusystèmemaître<strong>Open</strong><strong>Directory</strong>(nomd’utilisateurdel’administrateursystème).<br />
 «Nomabrégédel’administrateurdedomaine»:saisissezlenomd’uncompte<br />
d’administrateurdedomainederépertoireLDAP.<br />
 «Motdepassedel’administrateurdedomaine»:saisissezlemotdepassedu<br />
compted’administrateurdontvousavezsaisilenom.<br />
21 CliquezsurContinuer.<br />
22 Vérifiezlesréglagesdelaconfiguration<strong>Open</strong><strong>Directory</strong>,puiscliquezsurContinuer.<br />
23 CliquezsurFermer.<br />
Vosréglagessontalorsenregistrésetleserviceestredémarré.<br />
24 Répétezlesétapes14à23pourchaquerépliquedel’ancienmaître.<br />
25 Assurez-vousqueladate,l’heureetlefuseauhorairesontexactssurlesrépliquesetsur<br />
lemaître.<br />
Lesrépliquesetlemaîtredoiventutiliserlemêmeserviced’horlogederéseaupour<br />
queleurshorlogesrestentsynchronisées.<br />
Sid’autresordinateursétaientconnectésàl’annuaireLDAPdel’ancienmaître<strong>Open</strong><br />
<strong>Directory</strong>,vousdevezreconfigurerleurconnexionpourqu’ilsutilisentl’annuaireLDAP<br />
dunouveaumaître.<br />
Chaqueordinateur<strong>Mac</strong><strong>OS</strong>Xet<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>disposantd’unerèglederecherche<br />
personnaliséequicontenaitl’annuaireLDAPdel’ancienmaîtredoitêtrereconfiguré<br />
pourseconnecteràl’annuaireLDAPdunouveaumaître.Utilisezlessous-fenêtresServicesetAuthentificationdel’Utilitairederépertoire.<br />
Pourensavoirplus,reportez-vousauxrubriques«Suppressiond’uneconfiguration<br />
pourl’accèsàunrépertoireLDAP»àlapage169et«Configurationdel’accèsàun<br />
répertoireLDAP»àlapage160.<br />
SileserviceDHCPfournissaitl’URLLDAPdel’ancienmaîtreauxordinateursdisposant<br />
derèglesderechercheautomatique,vousdevezreconfigurerleserviceDHCPpour<br />
qu’ilfournissel’URLLDAPdunouveaumaître.<br />
228 Chapitre9Maintenancedesservices<strong>Open</strong><strong>Directory</strong>
Lesordinateurs<strong>Mac</strong><strong>OS</strong>Xet<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>disposantderèglesderechercheautomatiquen’ontpasbesoind’êtrereconfigurés.LeserviceDHCPmisàjourleurfournira<br />
labonneURLLDAPlorsdeleurprochaindémarrage.<br />
Pourensavoirplus,consultezlechapitreDHCPdudocument<strong>Administration</strong>desservices<br />
deréseau.<br />
Misehorsserviced’uneréplique<strong>Open</strong><strong>Directory</strong><br />
Vouspouvezmettreleserveurd’uneréplique<strong>Open</strong><strong>Directory</strong>horsserviceenletransformantenserveurautonomeouenleconnectantàunautresystèmepourlesservicesderépertoireetd’authentification.<br />
Pourmettrehorsserviceuneréplique<strong>Open</strong><strong>Directory</strong>:<br />
1 Vérifiezquelaconnexionréseaufonctionneentrelemaître<strong>Open</strong><strong>Directory</strong>et<br />
larépliqueàmettrehorsservice.<br />
Leport389ou636doitêtreouvertentrelemaîtreetlarépliquependantlamisehors<br />
servicedelaréplique.LDAPutiliseleport389siSSLestdésactivéouleport636siSSL<br />
estactivésurlemaître.(Leport22,utilisépourSSH,nedoitpasêtreouvertpourmettrehorsserviceuneréplique).<br />
Important:sivousmettezunerépliquehorsservicealorsqu’iln’yapasdeconnectivitéréseauentrelarépliqueetlemaître,larépliquemisehorsserviceresteradansla<br />
listederépliquesdumaître.Lemaîtretenteradeserépliquerverslarépliquemise<br />
horsservicespécifiéedanslasous-fenêtrederéglagesGénéralpourleservice<strong>Open</strong><br />
<strong>Directory</strong>surleserveurmaître.<br />
2 DansAdminServeur,connectez-vousàlarépliqueàmettrehorsservice.<br />
3 Cliquezsurletrianglesetrouvantàgaucheduserveur.<br />
Lalistedesservicesapparaît.<br />
4 DanslalisteServeursdéveloppée,sélectionnez<strong>Open</strong><strong>Directory</strong>.<br />
5 CliquezsurRéglages,puissurGénéral.<br />
6 CliquezsurModifier.<br />
L’Assistantdeconfigurationdeservices’ouvre.<br />
7 ChoisissezAutonomeou«Connectéàunsystèmederépertoire»,puissaisissez<br />
lesinformationssuivantes.<br />
 «Motdepasserootsurlemaître<strong>Open</strong><strong>Directory</strong>»:saisissezlemotdepassede<br />
l’utilisateurrootdusystèmemaître<strong>Open</strong><strong>Directory</strong>(nomd’utilisateurdel’administrateursystème).<br />
 «Nomabrégédel’administrateurdedomaine»:saisissezlenomd’uncompte<br />
d’administrateurdedomainederépertoireLDAP.<br />
 «Motdepassedel’administrateurdedomaine»:saisissezlemotdepassedu<br />
compted’administrateurdontvousavezsaisilenom.<br />
Chapitre9Maintenancedesservices<strong>Open</strong><strong>Directory</strong> 229
8 CliquezsurContinuer.<br />
9 Vérifiezlaconfiguration<strong>Open</strong><strong>Directory</strong>,puiscliquezsurContinuer.<br />
10 Sivousêtessûrquelesutilisateursetlesservicesn’ontplusbesoind’accéderauxdonnéesderépertoireenregistréesdansledomainederépertoirepartagéqueleserveur<br />
hébergeaitouauquelilétaitconnecté,cliquezsurFermer.<br />
Vosréglagessontalorsenregistrésetleserviceestredémarré.<br />
Ensupposantqu’ilyaituneconnexionréseauentrelemaître<strong>Open</strong><strong>Directory</strong>et<br />
laréplique,lemaîtreestmisàjourpourneplusseconnecteràlaréplique.<br />
11 Sivousavezchoisi«Connectéàunsystèmederépertoire»danslemenulocalRôle,<br />
cliquezsurlebouton«OuvrirUtilitairederépertoire»pourconfigurerl’accèsàunou<br />
plusieurssystèmesderépertoire.<br />
Pourensavoirplussurlaconfigurationdel’accèsàunservicederépertoire,consultez<br />
lechapitre7,«Gestiondesclientsderépertoire.»<br />
Archivaged’unmaître<strong>Open</strong><strong>Directory</strong><br />
VouspouvezutiliserAdminServeurpourarchiverunecopiededonnéesderépertoire<br />
etd’authentificationd’unmaître<strong>Open</strong><strong>Directory</strong>.Vouspouvezarchiverunecopiedes<br />
donnéespendantquelemaître<strong>Open</strong><strong>Directory</strong>estenservice.<br />
Lesfichierssuivantssontarchivés:<br />
 BasededonnéesderépertoiresetfichiersdeconfigurationLDAP<br />
 Basededonnéesduserveurdemotsdepasse<strong>Open</strong><strong>Directory</strong><br />
 BasededonnéesetfichiersdeconfigurationKerberos<br />
 DomainederépertoirelocaletbasededonnéesdemotsdepasseShadow<br />
Sivousdisposezd’unearchivefiabled’unmaître<strong>Open</strong><strong>Directory</strong>,vousdisposezde<br />
faitd’unearchivedetoutessesrépliques.Encasdeproblèmeavecuneréplique,<br />
vouspouvezmodifiersonrôle<strong>Open</strong><strong>Directory</strong>pourlatransformerenserveurautonome,<br />
puisconfigurercederniercommes’ils’agissaitd’unnouveauserveur,avecunnouveau<br />
nomd’hôte,etledéfinircommerépliquedumêmemaîtrecommeauparavant.<br />
Important:protégezsoigneusementlesupportd’archivagecontenantunecopiede<br />
labasededonnéesdemotsdepasse<strong>Open</strong><strong>Directory</strong>,delabasededonnéesKerberos<br />
etdufichierkeytabdeKerberos.Cettearchivecontientlesmotsdepassedetousles<br />
utilisateursquipossèdentunmotdepasse<strong>Open</strong><strong>Directory</strong>,tantdansledomainede<br />
répertoireLDAPpartagéquedansledomainederépertoirelocal.Lesmesuresdesécuritéquevousprenezpourlesupportd’archivagedoiventêtreaussistrictesquecelles<br />
prisespourleserveurmaître<strong>Open</strong><strong>Directory</strong>.<br />
230 Chapitre9Maintenancedesservices<strong>Open</strong><strong>Directory</strong>
Pourarchiverunmaître<strong>Open</strong><strong>Directory</strong>:<br />
1 OuvrezAdminServeuretconnectez-vousauserveurmaître<strong>Open</strong><strong>Directory</strong>.<br />
2 Cliquezsurletrianglesetrouvantàgaucheduserveur.<br />
Lalistedesservicesapparaît.<br />
3 DanslalisteServeursdéveloppée,sélectionnez<strong>Open</strong><strong>Directory</strong>.<br />
4 CliquezsurArchive.<br />
5 DanslechampArchiverdans,saisissezlechemind’accèsaudossierdanslequelvous<br />
souhaitezarchiverlesdonnées<strong>Open</strong><strong>Directory</strong>,puiscliquezsurleboutonArchiver.<br />
Vouspouveztaperlechemind’accèsaudossieroucliquersurleboutonChoisirpour<br />
lesélectionner.<br />
6 Saisissezlenometlemotdepasseàutiliserpourcrypterl’archive,puiscliquezsurOK.<br />
Restaurationd’unmaître<strong>Open</strong><strong>Directory</strong><br />
VouspouvezutiliserAdminServeuroul’outildelignedecommandeslapconfigpour<br />
restaurerlesdonnéesderépertoireetd’authentificationd’unmaître<strong>Open</strong><strong>Directory</strong>à<br />
partird’unearchive.<br />
SivousutilisezAdminServeur,vouspouvezrestaurerlesdonnéessurunserveurjouant<br />
lerôledemaître<strong>Open</strong><strong>Directory</strong>.Lesfichierssuivantssontrestaurésenfusionnant<br />
l’archiveaveclemaîtreexistant:<br />
 BasededonnéesderépertoiresetfichiersdeconfigurationLDAP<br />
 Basededonnéesduserveurdemotsdepasse<strong>Open</strong><strong>Directory</strong><br />
 BasededonnéesetfichiersdeconfigurationKerberos<br />
Encasdeconflitpendantlafusion,laficheexistanteprimesurlesdonnéesdel’archive.<br />
Lafichedel’archiveestignorée.Lesconflitssontconsignésdanslefichierd’historique<br />
slapconfig(/Bibliothèque/Logs/slapconfig.log),quevouspouvezvisionneràl’aide<br />
d’AdminServeur.Consultezlarubrique«Affichagedesétatsetdeshistoriques<strong>Open</strong><br />
<strong>Directory</strong>Ȉlapage211.<br />
Important:sivousavezunearchived’unserveur<strong>Open</strong><strong>Directory</strong><strong>Mac</strong><strong>OS</strong>X10.4,<br />
vousnepouvezquelarestaurersurunserveur<strong>Mac</strong><strong>OS</strong>X10.5.Vousnepouvezpas<br />
fusionnerunearchive<strong>Mac</strong><strong>OS</strong>X10.4avecunserveur<strong>Open</strong><strong>Directory</strong><strong>Mac</strong><strong>OS</strong>X10.5.<br />
Plutôtquederestaurerunmaître<strong>Open</strong><strong>Directory</strong>àpartird’unearchive,vouspouvez<br />
obtenirdemeilleursrésultatsentransformantunerépliqueenmaître.Ilsepeuten<br />
effetquelarépliqueaitdesdonnéesderépertoireetd’authentificationplusrécentes<br />
quel’archive.<br />
Aprèsavoirrestauréunmaître<strong>Open</strong><strong>Directory</strong>àpartird’unearchive,vousdevez<br />
recréerlesrépliques<strong>Open</strong><strong>Directory</strong>.<br />
Chapitre9Maintenancedesservices<strong>Open</strong><strong>Directory</strong> 231
Important:ilnefautpasutiliserlarestaurationd’unearchivecommeunmoyen<br />
deporterdesdonnéesderépertoireetd’authentificationd’unsystèmeàunautre.<br />
Exportezplutôtlesdonnéesdurépertoiresourceetimportez-lesdanslerépertoire<br />
cible.Pourensavoirplussurl’exportationetl’importationdedonnéesderépertoire,<br />
consultezledocumentGestiondesutilisateurs.<br />
Pourfusionnerunearchiveavecunmaître<strong>Open</strong><strong>Directory</strong>existant:<br />
1 OuvrezAdminServeuretconnectez-vousauserveurmaître<strong>Open</strong><strong>Directory</strong>.<br />
LeserveurcibledoitporterlemêmenomderoyaumeKerberosquelemaîtreàpartir<br />
duquell’archiveaétécréée.<br />
2 Cliquezsurletrianglesetrouvantàgaucheduserveur.<br />
Lalistedesservicesapparaît.<br />
3 DanslalisteServeursdéveloppée,sélectionnez<strong>Open</strong><strong>Directory</strong>.<br />
4 CliquezsurArchive.<br />
5 Danslechamp«Restaurationàpartirdu»,saisissezlechemind’accèsaufichierde<br />
l’archive<strong>Open</strong><strong>Directory</strong>,puiscliquezsurleboutonRestaurer.<br />
Vouspouveztaperlechemind’accèsoucliquersurleboutonChoisirpoursélectionner<br />
lefichierdel’archive.<br />
6 Saisissezlemotdepassequiaétéutilisépourcrypterl’archivelorsqu’elleaétécréée,<br />
puiscliquezsurOK.<br />
7 Unefoislarestaurationterminée,consultezl’historiquedel’outilslapconfigpourvérifiersidesconflitsoud’autresévénementssesontproduitspendantl’opération.<br />
8 Convertisseztouslesserveursderéplique<strong>Open</strong><strong>Directory</strong>enserveurs<strong>Open</strong><strong>Directory</strong><br />
autonomes,puisfaites-endesrépliquesdunouveaumaître.<br />
Pourensavoirplus,consultezlesrubriques«Configurationd’unservicederépertoire<br />
autonome»àlapage94et«Configurationd’uneréplique<strong>Open</strong><strong>Directory</strong>»àlapage102.<br />
Àpartirdelalignedecommande<br />
Aulieud’effectuerlarestaurationsurunserveurjouantlerôledemaître<strong>Open</strong><strong>Directory</strong>,vouspouvezl’effectuersurunserveurautonomeàl’aidedel’outildelignede<br />
commandeslapconfig.Leserveurdevientalorsunmaître<strong>Open</strong><strong>Directory</strong>contenant<br />
lesdonnéesderépertoireetd’authentificationprovenantdel’archive.<br />
LesdonnéesrestauréesincluentlesfichiersLDAP,Kerberosetdeserveurdemotsde<br />
passementionnésplushaut,ainsiqueledomainederépertoirelocaletlesfichiersde<br />
motdepasseShadowassociés.<br />
Enoutre,slapconfig conservelecompted’utilisateurlocalquevousutilisiezdans<br />
lafenêtred’ouverturedesession.Aprèslarestauration,lemaîtrecontientlesfichesde<br />
compted’utilisateurprovenantdel’archive,ainsiquelecomptequevousutilisiezdans<br />
lafenêtred’ouverturedesession.<br />
232 Chapitre9Maintenancedesservices<strong>Open</strong><strong>Directory</strong>
Sil’archivecontientuncompted’utilisateurentrantenconflitavecceluiquevousutilisiezdanslafenêtred’ouverturedesession,lecomptefigurantdansl’archiveestignoré.<br />
AVERTISSEMENT:sivouseffectuezunerestaurationsurunserveurautonome,<br />
lesfichesderépertoireetlesdonnéesd’authentificationpré-existantesnesontpas<br />
conservées,àl’exceptionducompted’utilisateurquevousutilisiezdanslafenêtre<br />
d’ouverturedesession.<br />
Pourremplacerlesdonnéesderépertoireetd’authentificationsurunserveurautonome<br />
parlesdonnéesd’unearchive<strong>Open</strong><strong>Directory</strong>,tapezlacommandesuivantedansTerminal,<br />
enremplaçantchemin-archive parlechemind’accèsaufichierdel’archive:<br />
$ sudo slapconfig -restoredb chemin-archive<br />
Lacommandeslapconfigrequiertdesprivilègesroot,d’oùl’utilisationdesudodans<br />
cettelignedecommande.Pourensavoirplussurslapconfig,consultezsapageman.<br />
Pourensavoirplussursudoetlesprivilègesroot,consultez<strong>Administration</strong>deligne<br />
decommande.<br />
Chapitre9Maintenancedesservices<strong>Open</strong><strong>Directory</strong> 233
10 Résolutiondeproblèmesliésà<br />
<strong>Open</strong><strong>Directory</strong><br />
10<br />
Leprésentchapitrefournitdessolutionspermettantde<br />
résoudredesproblèmescommunsquevouspourriez<br />
rencontrerlorsdel’utilisationd’<strong>Open</strong><strong>Directory</strong>.<br />
Laprésentesectioncontientdessolutionsauxproblèmescourantsliésà<strong>Open</strong><strong>Directory</strong>.<br />
Résolutiondeproblèmesliésauxmaîtresetauxrépliques<br />
<strong>Open</strong><strong>Directory</strong><br />
Utilisezl’aidesuivantepourrésoudredesproblèmesliésauxmaîtresetauxrépliques<br />
<strong>Open</strong><strong>Directory</strong>.<br />
SiKerberosestarrêtésurunmaîtreouuneréplique<strong>Open</strong><strong>Directory</strong><br />
Unmaître<strong>Open</strong><strong>Directory</strong>requiertunDNSconfigurécorrectementpourfournirune<br />
authentificationKerberosparsignatureunique.<br />
PourvérifierqueleDNSestconfigurécorrectementpourKerberos:<br />
1 Assurez-vousqueleserviceDNSestconfigurépourrésoudrelesnomsDNScompletset<br />
fournirlesrecherchesinversescorrespondantes.<br />
LeserviceDNSdoitrésoudredesnomsDNScompletsetfournirlesrecherchesinverses<br />
auserveurmaître<strong>Open</strong><strong>Directory</strong>,auxserveursrépliquesetauxautresserveursqui<br />
sontmembresduroyaumeKerberos.<br />
PourfaireunerechercheDNSd’unnomDNSd’unserveuretunerechercheinversede<br />
l’adresseIPduserveur,vouspouvezutiliserlasous-fenêtreRecherched’Utilitairede<br />
réseau(dans/Applications/Utilitaires/).<br />
PourensavoirplussurlaconfigurationduserviceDNS,consultezleguide<strong>Administration</strong><br />
desservicesderéseau.<br />
2 Assurez-vousquelenomd’hôteduserveurmaître<strong>Open</strong><strong>Directory</strong>estbienlenomDNS<br />
completcorrect,etnonlenomd’hôtelocalduserveur.<br />
Parexemple,lenomd’hôtepourraitêtreods.exemple.com,maisnepeutpasêtre<br />
ods.local.<br />
235
Vouspouvezvoirlenomd’hôteenouvrantTerminaletentapanthostname.<br />
Silenomd’hôteduserveur<strong>Open</strong><strong>Directory</strong>n’estpassonnomDNScomplet,effacez<br />
temporairementlalistedesserveursDNSetcliquezsurAppliquerdanslespréférences<br />
Réseauduserveur<strong>Open</strong><strong>Directory</strong>.SaisissezensuiteànouveauuneouplusieursadressesIPdeserveurDNS,encommençantparleserveurDNSprincipalquirésoutlenom<br />
duserveur<strong>Open</strong><strong>Directory</strong>,puisencliquantsurAppliquerdanslespréférencesRéseau.<br />
Silenomd’hôteduserveur<strong>Open</strong><strong>Directory</strong>n’esttoujourspassonnomDNScomplet,<br />
redémarrezleserveur.<br />
3 Assurez-vousquelespréférencesRéseauduserveurmaître<strong>Open</strong><strong>Directory</strong>sont<br />
configuréespourutiliserleserveurDNSquirésoutlenomduserveur.<br />
Sileserveurmaître<strong>Open</strong><strong>Directory</strong>fournitsonpropreserviceDNS,lespréférences<br />
Réseauduserveurdoiventêtreconfiguréespours’utiliserlui-mêmecommeserveurDNS.<br />
4 AprèsvousêtreassuréquelaconfigurationDNSpourleserveurestcorrecte,<br />
démarrezKerberos.<br />
Consultezlarubrique«DémarragedeKerberosaprèslaconfigurationd’unmaître<br />
<strong>Open</strong><strong>Directory</strong>Ȉlapage116.<br />
Sivousnepouvezpascréeruneréplique<strong>Open</strong><strong>Directory</strong><br />
Sivousessayezdecréerdeuxrépliquessimultanément,unetentativevaréussir,l’autre<br />
vaéchouer.Unenouvelletentativedecréationdelaseconderépliquedevraitréussir.Si<br />
vousnepouveztoujourspascréerlaseconderéplique,allezdansledossier/var/run/,<br />
localisezlefichierslapconfig.locketsupprimez-les’ilexiste.Vouspouvezaussiredémarrerleserveur.<br />
Sivousnepouvezpascréerunmaîtreouuneréplique<strong>Open</strong><strong>Directory</strong><br />
àpartird’unfichierdeconfiguration<br />
Vousnepouvezpasfairede<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>unmaître<strong>Open</strong><strong>Directory</strong>ouuneréplique<strong>Open</strong><strong>Directory</strong>enfaisantglisserunfichierdeconfigurationdelistesdepropriétés<br />
verslasous-fenêtreRéglages<strong>Open</strong><strong>Directory</strong>dansAdminServeur.Suivezplutôtlesinstructionsdelarubrique«Configurationd’unmaître<strong>Open</strong><strong>Directory</strong>»àlapage95ou<br />
«Configurationd’uneréplique<strong>Open</strong><strong>Directory</strong>»àlapage102.<br />
Pourcréerunfichierdeconfigurationdelistesdepropriétés,faitesglisserlafenêtre<br />
miniatureducoininférieurdroitdelasous-fenêtreRéglagesdans<strong>Server</strong>Admin.<br />
Sivousnepouvezpasconnecterunerépliqueàunrelais<br />
Assurez-vousquevotrerépliquen’apasatteintsacapacitémaximalede32répliques.<br />
Assurez-vousaussiquevousnevousconnectezpasàunerépliquedesecondniveau<br />
aulieud’unrelaisdepremierniveau.<br />
236 Chapitre10Résolutiondeproblèmesliésà<strong>Open</strong><strong>Directory</strong>
Sivousnepouvezpasconnecteruneréplique<strong>Open</strong><strong>Directory</strong>àun<br />
<strong>Open</strong><strong>Directory</strong>quiestlesubordonnéd’unserveurActive<strong>Directory</strong><br />
Avantdetenterdetransformerleserveurenrépliqueduserveur<strong>Open</strong><strong>Directory</strong>subordonné,n’oubliezded’abordconnecterleserveuraumêmeserveurActive<strong>Directory</strong><br />
queleserveurmaître<strong>Open</strong><strong>Directory</strong>auquelvoustentezdevousconnecter.VosrépliquesdoiventavoiraccèsauserveurActive<strong>Directory</strong>pourqueKerberosfonctionne.<br />
Résolutiondeproblèmesdesconnexionàdesrépertoires<br />
Lesproblèmesd’accèsauxservicesderépertoirelorsdudémarragepeuventavoir<br />
plusieurscauses.<br />
Siunralentissementseproduitlorsdudémarrage<br />
Siunralentissementseproduitunralentissementseproduitaudémarragede<br />
<strong>Mac</strong><strong>OS</strong>Xoude<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>alorsqu’unmessagerelatifàLDAPouauxservices<br />
derépertoireapparaîtau-dessusdelabarredeprogression,ilsepeutquel’ordinateur<br />
tented’accéderàunrépertoireLDAPquin’estpasdisponiblesurvotreréseau.Tenez<br />
comptedespointssuivants:<br />
 Unepauseestnormaleaucoursdudémarragesiunordinateurportablen’estpas<br />
connectéauréseauauquelleserveurLDAPestconnecté.<br />
 UtilisezUtilitairederépertoirepourvousassurerquelesconfigurationsdedomaine<br />
derépertoirelocaletLDAPsontcorrectes.<br />
 UtilisezletableauRéseaudesPréférencesSystèmepourvousassurerquelaconfigurationréseaudel’ordinateuretlesautresparamètresderéseausontcorrects.<br />
 Examinezleréseauphysiquepourdétecterd’éventuelsproblèmesdeconnexion.<br />
Résolutiondesproblèmesd’authentification<br />
Utilisezcequisuitpourvousaideràrésoudredesproblèmesd’authentification.<br />
Sivousnepouvezpasmodifierlemotdepasse<strong>Open</strong><strong>Directory</strong>d’un<br />
utilisateur<br />
Pourmodifierlemotdepassedetype<strong>Open</strong><strong>Directory</strong>d’unutilisateur,vousdevezêtre<br />
unadministrateurdudomainederépertoiredanslequellafichedel’utilisateurréside.<br />
Deplus,lecomptedevotreutilisateurdoitprésenterunmotdepassedetype<strong>Open</strong><br />
<strong>Directory</strong>.<br />
Normalement,lecompted’utilisateurspécifiélorsdelaconfigurationdumaître<strong>Open</strong><br />
<strong>Directory</strong>(àl’aided’Assistantduserveuroudesréglagesdeservices<strong>Open</strong><strong>Directory</strong><br />
dansAdminServeur)êtredotéd’unmotdepasse<strong>Open</strong><strong>Directory</strong>.Vouspouvezutiliser<br />
cecomptepourconfigurerd’autrescomptesd’utilisateurentantqu’administrateursde<br />
domainederépertoireavecdesmotsdepasse<strong>Open</strong><strong>Directory</strong>.<br />
Chapitre10Résolutiondeproblèmesliésà<strong>Open</strong><strong>Directory</strong> 237
Sitoutleresteéchoue,utilisezlecompted’utilisateurrootpourconfigureruncompte<br />
d’utilisateurentantqu’administrateurderépertoireavecunmotdepasse<strong>Open</strong><strong>Directory</strong>.(Lenomducompted’utilisateurrootest«root»etlemotdepasseestgénéralementlemêmequelemotdepasseattribuéaucompted’administrateurcréépendant<br />
laconfigurationinitialeduserveur.)<br />
Sicelarésoutleproblème,celasignifiequelemotdepasseprécédentdel’utilisateur<br />
contenaitdescaractèresquin’étaientpasreconnuspartouslesservices.Parexemple,<br />
certainsservicesacceptentlesespacesdanslesmotsdepasse,d’autrespas.<br />
Siunutilisateurneparvientpasàs’authentifierpourleserviceVPN<br />
Lesutilisateurs,dontlescomptessontstockéssurunserveursous<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>10.2<br />
nepeuventpass’authentifierpourleserviceVPNfournipar<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>10.3–10.5.<br />
LeserviceVPNrequiertlaméthoded’authentificationMS-CHAPv2,quin’estpasprise<br />
enchargepar<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>10.2.<br />
Siunutilisateurnepeutpasaccéderàcertainsservices<br />
Siunutilisateurpeutaccéderàcertainsservicesquirequièrentuneauthentification,<br />
maispasàd’autres,essayezdechangertemporairementlemotdepassedel’utilisateurenunesuitedecaractèressimples,comme,parexemple,«mdp».<br />
Pourpermettreauxutilisateursconcernésd’ouvrirunesession,transférezleurscomptesd’utilisateursurunserveursous<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>10.3–10.5.Uneautresolutionconsisteàmettreàniveaulesanciensserveursà<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>10.5ouultérieur.<br />
Sivousnepouvezpaschangerletypedemotdepassed’unutilisateurentype<strong>Open</strong><strong>Directory</strong><br />
Pourmodifierletypedemotdepassed’unutilisateurenauthentification<strong>Open</strong><strong>Directory</strong>,vousdevezêtreunadministrateurdudomainederépertoiresurlequellafichede<br />
l’utilisateurréside.Deplus,lecomptedevotreutilisateurdoitêtreconfigurépour<br />
l’authentification<strong>Open</strong><strong>Directory</strong>.<br />
Lecompted’utilisateurspécifiélorsdelaconfigurationdumaître<strong>Open</strong><strong>Directory</strong>(à<br />
l’aided’Assistantduserveuroudesréglagesdeservices<strong>Open</strong><strong>Directory</strong>dansAdmin<br />
Serveur)possèdeunmotdepasse<strong>Open</strong><strong>Directory</strong>.Vouspouvezutilisercecompte<br />
pourconfigurerd’autrescomptesd’utilisateurentantqu’administrateursdedomaine<br />
derépertoireavecdesmotsdepasse<strong>Open</strong><strong>Directory</strong>.<br />
238 Chapitre10Résolutiondeproblèmesliésà<strong>Open</strong><strong>Directory</strong>
Silesutilisateursexploitantunserveurdemotsdepassenepeuvent<br />
pasouvrirdesession<br />
Sivotreréseaucontientunserveursous<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>10.2,ilpeutêtreconfiguré<br />
pourobtenirl’authentificationd’unserveurdemotsdepasse<strong>Open</strong><strong>Directory</strong>hébergé<br />
parunautreserveur.<br />
Sil’ordinateurduserveurdemotsdepasseestdéconnectéduréseau,parexemple<br />
parcequevousavezdébranchélacâbleduportEthernetdel’ordinateur,lesutilisateursdontlesmotsdepassesontvalidésàl’aideduServeurdemotsdepassene<br />
peuventpasouvrirdesessionparcequel’adresseIPn’estpasaccessible.<br />
Lesutilisateurspeuventouvrirunesessionà<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>sivousreconnectezau<br />
réseaul’ordinateurduserveurdemotsdepasse.Pendantquel’ordinateurduserveur<br />
demotsdepasseesthorsligne,lesutilisateurspeuventaussiouvrirunesessionavec<br />
descomptesd’utilisateurdontlemotdepasseestdetypecryptéouShadow.<br />
Silesutilisateursnepeuventpasouvrirdesessionsousuncompte<br />
issud’undomainederépertoirepartagé<br />
Lesutilisateursnepeuventpasouvrirdesessionsousuncompteissud’undomainede<br />
répertoirepartagésileserveurhébergeantl’annuairen’estpasaccessible.Unserveur<br />
peutdevenirinaccessibleenraisond’unproblèmederéseau,dulogicieloudumatérielduserveur.<br />
Lesproblèmesliésaumatérielouaulogicielduserveuraffectentlesutilisateursqui<br />
tententd’ouvrirunesessionsurdesordinateurs<strong>Mac</strong><strong>OS</strong>Xetlesutilisateursquitentent<br />
d’ouvrirunesessionsurundomaineWindowsd’unPDC<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>.Lesproblèmesderéseaupeuventaffecterseulementcertainsutilisateurs,selonlalocalisationdu<br />
problèmesurleréseau.<br />
Lesutilisateursquidisposentdecomptesd’utilisateurmobilespeuventtoujoursouvrir<br />
unesessionsurlesordinateurs<strong>Mac</strong><strong>OS</strong>Xqu’ilsontutiliséauparavantetlesutilisateurs<br />
affectésparcesproblèmespeuventouvrirunesessionàl’aided’uncompted’utilisateurlocaldéfinisurl’ordinateur,comme,parexemple,lecompted’utilisateurcréé<br />
pendantlaconfigurationinitiale,aprèsl’installationde<strong>Mac</strong><strong>OS</strong>X.<br />
Sivousnepouvezpasouvrirunesessioncommeutilisateur<br />
Active<strong>Directory</strong><br />
AprèsavoirconfiguréuneconnexionversundomaineActive<strong>Directory</strong>danslasousfenêtreServicedeUtilitairederépertoireetaprèsl’avoirajoutéàunepolitiquede<br />
recherchepersonnaliséedanslasous-fenêtreAuthentification,vousdevezattendre10<br />
ou15secondespourquelechangemententreenvigueur.Lestentativesd’ouverture<br />
desessionimmédiatesavecuncompteActive<strong>Directory</strong>échoueront.<br />
Chapitre10Résolutiondeproblèmesliésà<strong>Open</strong><strong>Directory</strong> 239
Sidesutilisateursnepeuventpass’authentifierparKerberoset<br />
lasignatureunique<br />
Encasd’échecdel’authentificationd’unutilisateuroud’unserviceutilisantKerberos,<br />
essayezlessolutionssuivantes:<br />
 L’authentificationKerberosestbaséesurdeshorodatagescryptés.S’ilexisteunécart<br />
deplusde5minutesentrelecentrededistributiondeclés,l’ordinateurclientet<br />
l’ordinateurduservice,l’authentificationpeutéchouer.Assurez-vousqueleshorlogesdetouslesordinateurssontsynchroniséesàl’aideduserviceNetworkTime<br />
Protocol(NTP)et<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>oudetoutautreserveurhorlogederéseau.<br />
PourensavoirplussurleserviceNTPde<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>,consultezlasection<br />
<strong>Administration</strong>desservicesderéseau.<br />
 Assurez-vousqueKerberosestexécutésurlemaître<strong>Open</strong><strong>Directory</strong>etlesrépliques.<br />
Consultezlarubrique«SiKerberosestarrêtésurunmaîtreouuneréplique<strong>Open</strong><br />
<strong>Directory</strong>Ȉlapage235.<br />
 SiunserveurKerberosservantàlavalidationdemotdepasseestindisponible,<br />
réinitialisezlemotdepassedel’utilisateurafinderecouriràunserveurdisponible.<br />
 Assurez-vousqueleserveurfournissantleservicekerbérisédisposed’unaccèsau<br />
domainederépertoireduserveurKerberosetquecedomainederépertoirecontientlescomptesdesutilisateursquitententdes’authentifieràl’aidedeKerberos.<br />
Pourensavoirplussurlaconfigurationdel’accèsàdesdomainesderépertoire,<br />
consultezlechapitre7,«Gestiondesclientsderépertoire».<br />
 PourunroyaumeKerberosd’unserveur<strong>Open</strong><strong>Directory</strong>,assurez-vousquel’ordinateurduclientestconfigurépouraccéderaurépertoireLDAPduserveur<strong>Open</strong><strong>Directory</strong>àl’aidedubonsuffixedebasederecherche.Leréglagedusuffixedebasede<br />
rechercheLDAPv3duclientdoitcorrespondreauréglagedebasederecherchedu<br />
répertoireLDAP.LesuffixedebasederechercheLDAPv3duclientpeutêtrevides’il<br />
reçoitsesmappagesLDAPduserveur.Sic’estlecas,leclientutiliselesuffixedebase<br />
derecherchepardéfautdurépertoireLDAP.<br />
 Pourvérifierleréglageenmatièredesuffixedebasederecherche,ouvrezUtilitairederépertoire,affichezlalistedesconfigurationsLDAPv3etchoisissezl’élémentdanslemenulocalMappagesLDAPquiestdéjàsélectionnédanslemenu.<br />
Pourensavoirplus,consultezlarubrique«Modificationd’uneconfigurationpour<br />
l’accèsàunrépertoireLDAP»àlapage165.<br />
 PourcontrôlerlesréglagesdebasederecherchedurépertoireLDAP,ouvrezAdmin<br />
Serveuretrecherchezleservice<strong>Open</strong><strong>Directory</strong>danslasous-fenêtreProtocolede<br />
lasous-fenêtreRéglages.<br />
 Pourobtenirdesinformationspouvantvousaideràrésoudredesproblèmes,<br />
consultezl’historiqueducentrededistributiondeclés.Consultezlarubrique<br />
«Affichagedesétatsetdeshistoriques<strong>Open</strong><strong>Directory</strong>»àlapage211.<br />
240 Chapitre10Résolutiondeproblèmesliésà<strong>Open</strong><strong>Directory</strong>
 SiKerberosnetournaitpasquandlesenregistrementsd’utilisateurontétécréés,<br />
importésoumisàjouràpartird’uneversionde<strong>Mac</strong><strong>OS</strong>Xplusancienne,ilsepeut<br />
qu’ilsnesoientpasactivéspourl’authentificationKerberos:<br />
 Unenregistrementn’estpasactivépourKerbeross’ilmanquelavaleur<br />
;Kerberosv5;àsonattributd’autoritéd’authentification.Utilisezl’Inspecteurde<br />
Gestionnairedegroupedetravailpourvoirlesvaleursd’unattributd’autorité<br />
d’authentificationd’unenregistrementd’utilisateur.Pourensavoirplus,consultez<br />
larubrique«Affichagedel’Inspecteurderépertoire»àlapage212.<br />
 ActivezKerberospourunenregistrementd’utilisateurenchangeantsontypede<br />
motdepasse.Réglezd’abordletypedemotdepassesurMotdepassecrypté,<br />
puisréglez-lesur<strong>Open</strong><strong>Directory</strong>.Pourensavoirplus,consultezlesrubriques<br />
«ChangementdutypedemotenMotdepassecrypté»àlapage127et«Choix<br />
dutypedemotdepasse<strong>Open</strong><strong>Directory</strong>Ȉlapage125.<br />
 Sidesutilisateursnepeuventpass’authentifieràl’aidedelasignatureuniqueoude<br />
KerberospourdesservicesfournisparunserveurconnectéàunroyaumeKerberos<br />
d’unmaître<strong>Open</strong><strong>Directory</strong>,l’enregistrementd’ordinateurduserveurestpeut-être<br />
malconfigurédanslerépertoireLDAPdumaître<strong>Open</strong><strong>Directory</strong>.Enparticulier,le<br />
nomduserveurquifiguredanslecomptedegrouped’ordinateursdoitêtrelenom<br />
DNScompletduserveur,etpasjustelenomd’hôteduserveur.Parexemple,lenom<br />
pourraitêtreserveur2.exemple.com,maispasjusteserveur2.<br />
Pourreconfigurerunenregistrementd’ordinateurd’unserveurpourl’authentificationKerberosàsignatureunique:<br />
1 Supprimezleserveurducomptedegrouped’ordinateursdanslerépertoireLDAP.<br />
Pourensavoirplussurcetteétape-cietlasuivante,consultezleguide<br />
Gestiondesutilisateurs.<br />
2 Ajoutezànouveauleserveuraugrouped’ordinateurs.<br />
3 Déléguezànouveaul’autoritépourconnecterleserveurauroyaumeKerberosdu<br />
maître<strong>Open</strong><strong>Directory</strong>.<br />
Pourensavoirplus,consultezlarubrique«Délégationd’autoritépourconnecterdes<br />
serveursàunroyaumeKerberos<strong>Open</strong><strong>Directory</strong>»àlapage117.<br />
4 ConnectezànouveauleserveurauroyaumeKerberos<strong>Open</strong><strong>Directory</strong>.<br />
Pourensavoirplus,consultezlarubrique«Connecterunserveuràunroyaume<br />
KerberosȈlapage119.<br />
Chapitre10Résolutiondeproblèmesliésà<strong>Open</strong><strong>Directory</strong> 241
Silesutilisateursn’arriventpasàmodifierleurmotdepasse<br />
LesutilisateursdontlescomptesrésidentdansunrépertoireLDAPquin’estpas<br />
hébergépar<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>etquiontunmotdepassedetypecrypténepeuvent<br />
paschangerleurmotdepasseaprèss’êtreconnectéàpartird’unordinateurclient<br />
sous<strong>Mac</strong><strong>OS</strong>X10.3.<br />
Cesutilisateurspeuventchangerleurmotdepassesivousutilisezlasous-fenêtre<br />
AvancédeGestionnairedegroupedetravailpourchangerleréglageTypedumot<br />
depassedeleurcompteen<strong>Open</strong><strong>Directory</strong>.<br />
Eneffectuantcettemodification,vousdevezégalementsaisirunautremotdepasse.<br />
Ensuite,indiquezauxutilisateursqu’ilsdoiventouvrirunesessionàl’aidedecenouveau<br />
motdepassepuislemodifierdanslasous-fenêtreComptesdesPréférencesSystème.<br />
SivousnepouvezpasconnecterunserveuràunroyaumeKerberos<br />
<strong>Open</strong><strong>Directory</strong><br />
SiunutilisateurpossédantuneautoritéKerberosdéléguénepeutpasconnecterun<br />
serveuràunroyaumeKerberosd’unmaître<strong>Open</strong><strong>Directory</strong>,ilsepeutquel’enregistrementd’ordinateurduserveursoitmalconfigurédanslerépertoireLDAPdumaître<br />
<strong>Open</strong><strong>Directory</strong>.<br />
L’adresseduserveurdanslecomptedegrouped’ordinateursdoitêtrel’adresseEthernet<br />
principaleduserveur.L’adresseEthernetprincipaleduserveurestl’identifiantEthernetdu<br />
premierportEthernetquiapparaîtdanslalistedesconfigurationsdeportsréseauquiest<br />
affichéedanslasous-fenêtredespréférencesRéseauduserveur.<br />
Pourreconfigurerunenregistrementd’ordinateurd’unserveurpourseconnecterà<br />
unroyaumeKerberos:<br />
1 Supprimezleserveurducomptedegrouped’ordinateursdanslerépertoireLDAP.<br />
Pourensavoirplussurcetteétape-cietlasuivante,consultezleguide<br />
Gestiondesutilisateurs.<br />
2 Ajoutezànouveauleserveuraugrouped’ordinateurs.<br />
3 Déléguezànouveaul’autoritépourconnecterleserveurauroyaumeKerberosdu<br />
maître<strong>Open</strong><strong>Directory</strong>.<br />
Passezcetteétapesivouspouvezutiliseruncompted’administrateurKerberos(un<br />
compted’administrateurderépertoireLDAP)pourconnecterànouveauleserveurau<br />
royaumeKerberos.<br />
Pourensavoirplus,consultezlarubrique«Délégationd’autoritépourconnecterdes<br />
serveursàunroyaumeKerberos<strong>Open</strong><strong>Directory</strong>»àlapage117.<br />
4 ConnectezànouveauleserveurauroyaumeKerberos<strong>Open</strong><strong>Directory</strong>.<br />
Pourensavoirplus,consultezlarubrique«Connecterunserveuràunroyaume<br />
KerberosȈlapage119.<br />
242 Chapitre10Résolutiondeproblèmesliésà<strong>Open</strong><strong>Directory</strong>
Sivousdevezréinitialiserunmotdepassed’administrateur<br />
Ledisqued’installationde<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>vouspermetdechangerlemotdepasse<br />
d’uncompted’utilisateurdisposantd’autorisationsd’administrateur,ycomprisle<br />
comptedel’Administrateursystème(rootousuperuser).<br />
Important:commeunutilisateurdisposantdudisqued’installationpeutaccédersans<br />
restrictionàvotreserveur,ilestconseillédelimiterl’accèsphysiqueàl’ordinateur<br />
hébergeantlelogicieldeserveur.<br />
Pourréinitialiserunmotdepassed’administrateur:<br />
1 Démarrezàpartirdudisqued’installation1de<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>.<br />
2 Dansleprogrammed’installation,choisissezInstallation>Réinitialiserlemotdepasse.<br />
3 Sélectionnezlevolumededisquedurcontenantlecompted’administrateurdontvous<br />
voulezréinitialiserlemotdepasse.<br />
4 Danslemenulocal,tapezunnouveaumotdepasse,choisissezlecompted’administrateur,puiscliquezsurEnregistrer.<br />
Lecompted’administrateursystèmeestlecomptedel’utilisateurroot(superuser).<br />
Neconfondezpascecompteavecuncompted’administrateurnormal.<br />
Évitezdemodifierlesmotsdepassedescomptesd’utilisateurprédéfinis.Pourensavoir<br />
plussurlescomptesd’utilisateurprédéfinis,consultezleguideGestiondesutilisateurs.<br />
Remarque:cetteprocéduremodifielemotdepasseducompted’administrateurdu<br />
domainederépertoirelocalduserveur.Ilnemodifiepaslemotdepassed’uncompte<br />
d’administrateurdudomainederépertoirepartagéduserveur,sileserveurdispose<br />
d’unteldomaine.<br />
Sivousconnaissezlemotdepassed’uncompted’administrateurdudomainelocal,<br />
vouspouvezmodifierlemotdepassedetouslesautrescomptesd’administrateurdu<br />
domainederépertoirelocalenutilisantGestionnairedegroupedetravailplutôtque<br />
cetteprocédure.Pourensavoirplus,consultezlarubrique«Modificationdumotde<br />
passed’unutilisateur»àlapage123.<br />
Chapitre10Résolutiondeproblèmesliésà<strong>Open</strong><strong>Directory</strong> 243
Donnéesderépertoire<strong>Mac</strong><strong>OS</strong>X<br />
Annexe<br />
LaconnaissanceduschémaLDAP<strong>Open</strong><strong>Directory</strong>etdes<br />
attributsettypesd’enregistrementsdesdomainesderépertoire<strong>Mac</strong><strong>OS</strong>Xvousaiderapourlemappagesurd’autres<br />
domainesderépertoire,ainsiquepourl’importationou<br />
l’exportationdescomptesd’utilisateuretdegroupe.<br />
Laprésenteannexelistelesextensions<strong>Open</strong><strong>Directory</strong>auschémaLDAP,lesmappages<br />
d’attributs<strong>Open</strong><strong>Directory</strong>surdesattributsLDAPetActive<strong>Directory</strong>etlesattributs<br />
standarddediverstypesd’enregistrements.Utilisezcesinformationspour:<br />
 Mapperdesclassesd’objetsetdesattributsderépertoiresLDAPnon-<strong>Apple</strong>ou<br />
desdomainesActive<strong>Directory</strong>surdestypesetattributsd’enregistrements<strong>Open</strong><br />
<strong>Directory</strong>,commedécritdanslarubrique«Configurationdesrecherchesetmappages<br />
LDAPȈlapage173.<br />
 Importerouexporterdescomptesd’utilisateuroudegroupeversundomaine<br />
<strong>Open</strong><strong>Directory</strong>,commedécritdansGestiondesutilisateurs.<br />
 Travaillerdanslasous-fenêtreInspecteurdeGestionnairedegroupedetravail,<br />
commedécritdanslarubrique«Affichageetmodificationdesdonnéesde<br />
répertoire»àlapage212.<br />
Remarque:lestableauxsuivantsnefournissentpasdesinformationscomplètessur<br />
l’extensiondevotreschéma.Letableauindiquelesenregistrementsetlesattributs<br />
qu’<strong>Open</strong><strong>Directory</strong>utiliseàpartirdeschémasActive<strong>Directory</strong>etUnixRFC2307existants.Ilindiqueaussilesattributsetlesenregistrementsquinepossèdentpasde<br />
mappagedirect.<br />
Pourplusdedétails,consultezlesrubriquessuivantes:<br />
 «Extensions<strong>Open</strong><strong>Directory</strong>auschémaLDAP»àlapage246<br />
 «Classesd’objetsduschémaLDAP<strong>Open</strong><strong>Directory</strong>»àlapage247<br />
 «AttributsduschémaLDAP<strong>Open</strong><strong>Directory</strong>»àlapage256<br />
 «Mappagedetypesd’enregistrementsetd’attributsstandardversLDAPet<br />
Active<strong>Directory</strong>Ȉlapage276<br />
245
 «Mappagesd’utilisateurs(Users)»àlapage277<br />
 «Mappagesdegroupes(Groups)»àlapage280<br />
 «Mappagesdemontages(Mounts)»àlapage282<br />
 «Mappagesd’ordinateurs(Computers)»àlapage282<br />
 «Mappagesdelistesd’ordinateurs(ComputerLists)»àlapage284<br />
 «Mappagesdeconfigurations(Config)»àlapage285<br />
 «Mappagesdepersonnes(People)»àlapage286<br />
 «Mappagesdelistesd’ordinateurspréréglés(PresetComputerLists)»àlapage287<br />
 «Mappagesdegroupespréréglés(PresetGroups)»àlapage288<br />
 «Mappagesd’utilisateurspréréglés(PresetUsers)»àlapage289<br />
 «Mappagesd’imprimantes(Printers)»àlapage290<br />
 «Mappagesdeconfigurationsautomatiquesdeserveur(Auto<strong>Server</strong>Setup)»<br />
àlapage292<br />
 «Mappagesd’emplacements(Locations)»àlapage292<br />
 «typesd’enregistrementsetattributs<strong>Open</strong><strong>Directory</strong>standard»àlapage293<br />
 «Attributsstandarddanslesenregistrementsd’utilisateurs»àlapage293<br />
 «Attributsstandarddanslesenregistrementsdegroupes»àlapage299<br />
 «Attributsstandarddanslesenregistrementsd’ordinateurs»àlapage300<br />
 «Attributsstandarddanslesenregistrementsdegroupesd’ordinateurs»<br />
àlapage301<br />
 «Attributsstandarddanslesenregistrementsdemontages»àlapage302<br />
 «Attributsstandarddanslesenregistrementsdeconfigurations»àlapage303<br />
Extensions<strong>Open</strong><strong>Directory</strong>auschémaLDAP<br />
LeschémadesrépertoiresLDAP<strong>Open</strong><strong>Directory</strong>estbasésurlesattributsetclasses<br />
d’objetsstandarddéfinisdanslesdocumentsRFC(RequestforComments)del’IETF<br />
(InternetEngineeringTaskForce):<br />
 RFC2307“AnApproachforUsingLDAPasaNetworkInformationService”<br />
 RFC2798“DefinitionoftheinetOrgPersonLDAPObjectClass”<br />
LesdéfinitionsdeschémaLDAPspécifientlesidentifiantsdesyntaxeetlesrègles<br />
correspondantesquisontdéfinisdansledocumentRFC2252,«AttributsLDAPv3».<br />
CesRFCsontdisponiblessurlesiteWebdel’IETF(enanglais):www.ietf.org/rfc.html.<br />
Lesattributsetclassesd’objetsdéfinisdanscesRFCformentlabaseduschémaLDAP<br />
<strong>Open</strong><strong>Directory</strong>.<br />
246 AnnexeDonnéesderépertoire<strong>Mac</strong><strong>OS</strong>X
LeschémaétendupourlesrépertoiresLDAP<strong>Open</strong><strong>Directory</strong>inclutlesattributset<br />
classesd’objetsdéfinisdans:<br />
 «Classesd’objetsduschémaLDAP<strong>Open</strong><strong>Directory</strong>»àlapage247<br />
 «AttributsduschémaLDAP<strong>Open</strong><strong>Directory</strong>»àlapage256<br />
Remarque:<strong>Apple</strong>estsusceptibled’étendreleschémaLDAP<strong>Open</strong><strong>Directory</strong>àl’avenir,<br />
parexemple,pourprendreenchargedenouvellesversionsde<strong>Mac</strong><strong>OS</strong>Xet<strong>Mac</strong><strong>OS</strong>X<br />
<strong>Server</strong>.Leschémaleplusrécentestdisponiblesousformedefichierstextesurtout<br />
ordinateurdotéde<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>.Lesfichiersdeschémasetrouventdanslerépertoire/etc/openldap/schema.Lefichierapple.schemacontientlesdernièresextensions<br />
deschémapourlesrépertoiresLDAP<strong>Open</strong><strong>Directory</strong>.<br />
Classesd’objetsduschémaLDAP<strong>Open</strong><strong>Directory</strong><br />
Cettesectiondéfinitlesclassesd’objets<strong>Open</strong><strong>Directory</strong>LDAPquiétendentleschéma<br />
LDAPstandard.<br />
Classed’objetsstructurelledeconteneur(container)<br />
Containerestuneclassed’objetsstructurelleutiliséepourlesconteneursd’enregistrementsdepremierniveaucommecn=users,cn=groupsetcn=mounts.Iln’existepasde<br />
servicesderépertoiresanaloguesàcetteclassed’objets,maislenomdeconteneurfait<br />
partiedelabasederecherchepourchaquetyped’enregistrement.<br />
#objectclass (<br />
# 1.2.840.113556.1.3.23<br />
# NAME ’container’<br />
# SUP top<br />
# STRUCTURAL<br />
# MUST ( cn ) )<br />
Classed’objetsdeduréedevie(TimeToLive)<br />
objectclass (<br />
1.3.6.1.4.1.250.3.18<br />
NAME ’cacheObject’<br />
AUXILIARY<br />
SUP top<br />
DESC ’Auxiliary object class to hold TTL caching information’<br />
MAY ( ttl ) )<br />
AnnexeDonnéesderépertoire<strong>Mac</strong><strong>OS</strong>X 247
Classed’objetsd’utilisateur(User)<br />
Laclassed’objetsapple-userestuneclasseauxiliaireservantàstockerdesattributs<br />
<strong>Mac</strong><strong>OS</strong>Xquinefontpaspartied’inetOrgPersonoudeposixAccount.Cetteclasse<br />
d’objetsestutiliséeaveclesenregistrementskDSStdRecordTypeUsers.<br />
objectclass (<br />
1.3.6.1.4.1.63.1000.1.1.2.1<br />
NAME ’apple-user’<br />
SUP top<br />
AUXILIARY<br />
DESC ’compte d’utilisateur apple’<br />
MAY ( apple-user-homeurl $ apple-user-class $<br />
apple-user-homequota $ apple-user-mailattribute $<br />
apple-user-printattribute $ apple-mcxflags $<br />
apple-mcxsettings $ apple-user-adminlimits $<br />
apple-user-picture $ apple-user-authenticationhint $<br />
apple-user-homesoftquota $ apple-user-passwordpolicy $<br />
apple-keyword $ apple-generateduid $ apple-imhandle $<br />
apple-webloguri $ authAuthority $ acctFlags $ pwdLastSet $<br />
logonTime $ logoffTime $ kickoffTime $ homeDrive $ scriptPath $<br />
profilePath $ userWorkstations $ smbHome $ rid $<br />
primaryGroupID $ sambaSID $ sambaPrimaryGroupSID $<br />
userCertificate $ jpegPhoto $ apple-nickname $<br />
apple-namesuffix $ apple-birthday $ apple-relationships $<br />
apple-organizationinfo $ apple-phonecontacts $<br />
apple-emailcontacts $ apple-postaladdresses $<br />
apple-mapcoordinates $ apple-mapuri $ apple-mapguid $<br />
apple-serviceslocator) )<br />
Classed’objetsauxiliairedegroupe(group)<br />
Laclassed’objetsapple-groupestuneclasseauxiliaireutiliséepourstockerdesattributs<strong>Mac</strong><strong>OS</strong>XquinefontpaspartiedeposixGroup.Cetteclassed’objetsestutilisée<br />
aveclesenregistrementskDSStdRecordTypeGroups.<br />
objectclass (<br />
1.3.6.1.4.1.63.1000.1.1.2.14<br />
NAME ’apple-group’<br />
SUP top<br />
AUXILIARY<br />
DESC ’compte de groupe’<br />
MAY ( apple-group-homeurl $<br />
apple-group-homeowner $<br />
apple-mcxflags $<br />
apple-mcxsettings $<br />
apple-group-realname $<br />
apple-user-picture $<br />
apple-keyword $<br />
apple-generateduid $<br />
248 AnnexeDonnéesderépertoire<strong>Mac</strong><strong>OS</strong>X
apple-group-nestedgroup $<br />
apple-group-memberguid $<br />
mail $<br />
rid $<br />
sambaSID $<br />
ttl $<br />
jpegPhoto $<br />
apple-group-services $<br />
apple-contactguid $<br />
apple-ownerguid $<br />
labeledURI $<br />
apple-serviceslocator) )<br />
Classed’objetsauxiliairedemachine(machine)<br />
objectclass (<br />
1.3.6.1.4.1.63.1000.1.1.2.3<br />
NAME ’apple-machine’<br />
SUP top<br />
AUXILIARY<br />
MAY ( apple-machine-software $<br />
apple-machine-hardware $<br />
apple-machine-serves $<br />
apple-machine-suffix $<br />
apple-machine-contactperson ) )<br />
Classed’objetsdemontage(mount)<br />
objectclass (<br />
1.3.6.1.4.1.63.1000.1.1.2.8<br />
NAME ’mount’<br />
SUP top STRUCTURAL<br />
MUST ( cn )<br />
MAY ( mount<strong>Directory</strong> $<br />
mountType $<br />
mountOption $<br />
mountDumpFrequency $<br />
mountPassNo ) )<br />
Classed’objetsd’imprimante(printer)<br />
objectclass (<br />
1.3.6.1.4.1.63.1000.1.1.2.9<br />
NAME ’apple-printer’<br />
SUP top STRUCTURAL<br />
MUST ( cn )<br />
MAY ( apple-printer-attributes $<br />
apple-printer-lprhost $<br />
apple-printer-lprqueue $<br />
apple-printer-type $<br />
apple-printer-note ) )<br />
AnnexeDonnéesderépertoire<strong>Mac</strong><strong>OS</strong>X 249
Classed’objetsd’ordinateur(computer)<br />
objectclass (<br />
1.3.6.1.4.1.63.1000.1.1.2.10<br />
NAME ’apple-computer’<br />
DESC ’ordinateur’<br />
SUP top STRUCTURAL<br />
MUST ( cn )<br />
MAY ( apple-realname $<br />
description $<br />
macAddress $<br />
apple-category $<br />
apple-computer-list-groups $<br />
apple-keyword $<br />
apple-mcxflags $<br />
apple-mcxsettings $<br />
apple-networkview $<br />
apple-xmlplist $<br />
apple-service-url $<br />
apple-serviceinfo $<br />
apple-primarycomputerlist $<br />
authAuthority $<br />
uidNumber $ gidNumber $ apple-generateduid $ ttl $<br />
acctFlags $ pwdLastSet $ logonTime $<br />
logoffTime $ kickoffTime $ rid $ primaryGroupID $<br />
sambaSID $ sambaPrimaryGroupSID<br />
owner $ apple-ownerguid $ apple-contactguid $<br />
ipHostNumber $ bootFile) )<br />
Classed’objetsdelisted’ordinateurs(ComputerList)<br />
objectclass (<br />
1.3.6.1.4.1.63.1000.1.1.2.11<br />
NAME ’apple-computer-list’<br />
DESC ’liste d’ordinateurs’<br />
SUP top STRUCTURAL<br />
MUST ( cn )<br />
MAY ( apple-mcxflags $<br />
apple-mcxsettings $<br />
apple-computer-list-groups $<br />
apple-computers $<br />
apple-generateduid $<br />
apple-keyword ) )<br />
250 AnnexeDonnéesderépertoire<strong>Mac</strong><strong>OS</strong>X
Classed’objetsdeconfiguration(Configuration)<br />
objectclass (<br />
1.3.6.1.4.1.63.1000.1.1.2.12<br />
NAME ’apple-configuration’<br />
DESC ’configuration’<br />
SUP top STRUCTURAL<br />
MAY ( cn $ apple-config-realname $<br />
apple-data-stamp $ apple-password-server-location $<br />
apple-password-server-list $ apple-ldap-replica $<br />
apple-ldap-writable-replica $ apple-keyword $<br />
apple-kdc-authkey $ apple-kdc-configdata $ apple-xmlplist $<br />
ttl ) )<br />
Classed’objetsdelisted’ordinateurspréréglés(PresetComputerList)<br />
objectclass (<br />
1.3.6.1.4.1.63.1000.1.1.2.13<br />
NAME ’apple-preset-computer-list’<br />
DESC ’liste d’ordinateurs préréglés’<br />
SUP top STRUCTURAL<br />
MUST ( cn )<br />
MAY ( apple-mcxflags $<br />
apple-mcxsettings $<br />
apple-computer-list-groups $<br />
apple-keyword ) )<br />
Classed’objetsd’ordinateurpréréglé(PresetComputer)<br />
objectclass (<br />
1.3.6.1.4.1.63.1000.1.1.2.25<br />
NAME ’apple-preset-computer’<br />
DESC ’preset computer’<br />
SUP top STRUCTURAL<br />
MUST ( cn )<br />
MAY ( apple-mcxflags $<br />
apple-mcxsettings $<br />
apple-computer-list-groups $<br />
apple-primarycomputerlist $<br />
description $<br />
apple-networkview $<br />
apple-keyword ) )<br />
AnnexeDonnéesderépertoire<strong>Mac</strong><strong>OS</strong>X 251
Classed’objetsdegrouped’ordinateurspréréglés(PresetComputerGroup)<br />
objectclass (<br />
1.3.6.1.4.1.63.1000.1.1.2.26<br />
NAME ’apple-preset-computer-group’<br />
DESC ’preset computer group’<br />
SUP top STRUCTURAL<br />
MUST ( cn )<br />
MAY ( gidNumber $<br />
memberUid $<br />
apple-mcxflags $<br />
apple-mcxsettings $<br />
apple-group-nestedgroup $<br />
description $<br />
jpegPhoto $<br />
apple-keyword ) )<br />
Classed’objetsdegroupepréréglé(PresetGroup)<br />
objectclass (<br />
1.3.6.1.4.1.63.1000.1.1.3.14<br />
NAME ’apple-preset-group’<br />
DESC ’groupe préréglé’<br />
SUP top STRUCTURAL<br />
MUST ( cn )<br />
MAY ( memberUid $<br />
gidNumber $<br />
description $<br />
apple-group-homeurl $<br />
apple-group-homeowner $<br />
apple-mcxflags $<br />
apple-mcxsettings $<br />
apple-group-realname $<br />
apple-keyword $<br />
apple-group-nestedgroup $<br />
apple-group-memberguid $<br />
ttl $<br />
jpegPhoto $<br />
apple-group-services $<br />
labeledURI) )) )<br />
252 AnnexeDonnéesderépertoire<strong>Mac</strong><strong>OS</strong>X
Classed’objetsd’utilisateurpréréglé(PresetUser)<br />
objectclass (<br />
1.3.6.1.4.1.63.1000.1.1.2.15<br />
NAME ’apple-preset-user’<br />
DESC ’utilisateur préréglé’<br />
SUP top STRUCTURAL<br />
MUST ( cn )<br />
MAY ( uid $<br />
memberUid $<br />
gidNumber $<br />
home<strong>Directory</strong> $<br />
apple-user-homeurl $<br />
apple-user-homequota $<br />
apple-user-homesoftquota $<br />
apple-user-mailattribute $<br />
apple-user-printattribute $<br />
apple-mcxflags $<br />
apple-mcxsettings $<br />
apple-user-adminlimits $<br />
apple-user-passwordpolicy $<br />
userPassword $<br />
apple-user-picture $<br />
apple-keyword $<br />
loginShell $<br />
description $<br />
shadowLastChange $<br />
shadowExpire $<br />
authAuthority $<br />
homeDrive $ scriptPath $ profilePath $ smbHome $<br />
apple-preset-user-is-admin<br />
jpegPhoto $<br />
apple-relationships $ apple-phonecontacts $ apple-emailcontacts $<br />
apple-postaladdresses $ apple-mapcoordinates ) )<br />
Classed’objetsd’autoritéd’authentification(AuthenticationAuthority)<br />
objectclass (<br />
1.3.6.1.4.1.63.1000.1.1.2.16<br />
NAME ’authAuthorityObject’<br />
SUP top STRUCTURAL<br />
MAY ( authAuthority ) )<br />
AnnexeDonnéesderépertoire<strong>Mac</strong><strong>OS</strong>X 253
Classed’objetsdeconfigurationd’assistantduserveur<br />
(<strong>Server</strong>AssistantConfiguration)<br />
objectclass (<br />
1.3.6.1.4.1.63.1000.1.1.2.17<br />
NAME ’apple-serverassistant-config’<br />
SUP top STRUCTURAL<br />
MUST ( cn )<br />
MAY ( apple-xmlplist ) )<br />
Classed’objetsd’emplacement(Location)<br />
objectclass (<br />
1.3.6.1.4.1.63.1000.1.1.2.18<br />
NAME ’apple-location’<br />
SUP top AUXILIARY<br />
MUST ( cn )<br />
MAY ( apple-dns-domain $ apple-dns-nameserver ) )<br />
Classed’objetsdeservice(Service)<br />
objectclass (<br />
1.3.6.1.4.1.63.1000.1.1.2.19<br />
NAME ’apple-service’<br />
SUP top STRUCTURAL<br />
MUST ( cn $<br />
apple-service-type )<br />
MAY ( ipHostNumber $<br />
description $<br />
apple-service-location $<br />
apple-service-url $<br />
apple-service-port $<br />
apple-dnsname $<br />
apple-keyword ) )<br />
Classed’objetsdevoisinage(Neighborhood)<br />
objectclass (<br />
1.3.6.1.4.1.63.1000.1.1.2.20<br />
NAME ’apple-neighborhood’<br />
SUP top STRUCTURAL<br />
MUST ( cn )<br />
MAY ( description $<br />
apple-generateduid $<br />
apple-category $<br />
apple-nodepathxml $<br />
apple-neighborhoodalias $<br />
apple-computeralias $<br />
apple-keyword $<br />
apple-realname $<br />
apple-xmlplist $<br />
ttl ) )<br />
254 AnnexeDonnéesderépertoire<strong>Mac</strong><strong>OS</strong>X
Classed’objetsdelistedecontrôled’accès(ACL)<br />
objectclass (<br />
1.3.6.1.4.1.63.1000.1.1.2.21<br />
NAME ’apple-acl’<br />
SUP top STRUCTURAL<br />
MUST ( cn $<br />
apple-acl-entry ) )<br />
Classed’objetsderessource(Resource)<br />
objectclass (<br />
1.3.6.1.4.1.63.1000.1.1.2.23<br />
NAME ’apple-resource’<br />
SUP top STRUCTURAL<br />
MUST ( cn )<br />
MAY ( apple-realname $ description $ jpegPhoto $ apple-keyword $<br />
apple-generateduid $ apple-contactguid $ apple-ownerguid $<br />
apple-resource-info $ apple-resource-type $ apple-capacity $<br />
labeledURI $ apple-mapuri $ apple-serviceslocator $<br />
apple-phonecontacts $ c $ apple-mapguid $ apple-mapcoordinates ) )<br />
Classed’objetsd’augmentation(Augment)<br />
objectclass (<br />
1.3.6.1.4.1.63.1000.1.1.2.24<br />
NAME ’apple-augment’<br />
SUP top<br />
STRUCTURAL<br />
MUST ( cn ) )<br />
Classed’objetsdemappagedemontageautomatique(AutomountMap)<br />
objectclass (<br />
1.3.6.1.1.1.2.16<br />
NAME ’automountMap’<br />
SUP top STRUCTURAL<br />
MUST ( automountMapName )<br />
MAY description )<br />
Classed’objetsdemontageautomatique(Automount)<br />
objectclass (<br />
1.3.6.1.1.1.2.17<br />
NAME ’automount’<br />
SUP top STRUCTURAL<br />
DESC ’Automount’<br />
MUST ( automountKey $ automountInformation )<br />
MAY description )<br />
AnnexeDonnéesderépertoire<strong>Mac</strong><strong>OS</strong>X 255
AttributsduschémaLDAP<strong>Open</strong><strong>Directory</strong><br />
CettesectiondéfinitlesattributsLDAP<strong>Open</strong><strong>Directory</strong>quiétendentleschémaLDAP<br />
standard.<br />
Attributdeduréedevie(Time-to-Live,TTL)<br />
attributetype (<br />
1.3.6.1.4.1.250.1.60<br />
NAME ’ttl’<br />
EQUALITY integerMatch<br />
SYNTAX ’1.3.6.1.4.1.1466.115.121.1.27’ SINGLE-VALUE )<br />
Attributsd’utilisateur(User)<br />
apple-user-homeurl<br />
Stockelesinformationsdedossierdedépartsouslaformed’uneURLetd’un<br />
chemind’accès.Permetd’établirunecorrespondanceavecletyped’attribut<br />
kDS1AttrHome<strong>Directory</strong>desservicesderépertoires.<br />
attributetype (<br />
1.3.6.1.4.1.63.1000.1.1.1.1.6<br />
NAME ’apple-user-homeurl’<br />
DESC ’URL du dossier de départ ’<br />
EQUALITY caseExactIA5Match<br />
SUBSTR caseExactIA5SubstringsMatch<br />
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )<br />
apple-user-class<br />
Inutilisé.<br />
attributetype (<br />
1.3.6.1.4.1.63.1000.1.1.1.1.7<br />
NAME ’apple-user-class’<br />
DESC ’classe d’utilisateur’<br />
EQUALITY caseExactIA5Match<br />
SUBSTR caseExactIA5SubstringsMatch<br />
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )<br />
apple-user-homequota<br />
Spécifielequotadudossierdedépartenkilo-octets.<br />
attributetype (<br />
1.3.6.1.4.1.63.1000.1.1.1.1.8<br />
NAME ’apple-user-homequota’<br />
DESC ’quota du dossier de départ ’<br />
EQUALITY caseExactIA5Match<br />
SUBSTR caseExactIA5SubstringsMatch<br />
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )<br />
apple-user-mailattribute<br />
StockelesréglagesdecourrierauformatXML.<br />
256 AnnexeDonnéesderépertoire<strong>Mac</strong><strong>OS</strong>X
attributetype (<br />
1.3.6.1.4.1.63.1000.1.1.1.1.9<br />
NAME ’apple-user-mailattribute’<br />
DESC ’attribut de courrier’<br />
EQUALITY caseExactMatch<br />
SUBSTR caseExactSubstringsMatch<br />
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE )<br />
apple-mcxflags<br />
Stockelesinformationsdeclientgéré.Cetattributsetrouvedanslesenregistrements<br />
d’utilisateur,degroupe,d’ordinateuretdegrouped’ordinateurs.<br />
attributetype (<br />
1.3.6.1.4.1.63.1000.1.1.1.1.10<br />
NAME ’apple-mcxflags’<br />
DESC ’indicateurs mcx’<br />
EQUALITY caseExactMatch<br />
SUBSTR caseExactSubstringsMatch<br />
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE )<br />
apple-mcxsettings<br />
Stockelesinformationsdeclientgéré.Cetattributsetrouvedanslesenregistrements<br />
d’utilisateur,degroupe,d’ordinateuretdegrouped’ordinateurs.<br />
#attributetype (<br />
# 1.3.6.1.4.1.63.1000.1.1.1.1.11<br />
# NAME ’apple-mcxsettings’<br />
# DESC ’réglages mcx’<br />
# EQUALITY caseExactMatch<br />
# SUBSTR caseExactSubstringsMatch<br />
# SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE )<br />
attributetype (<br />
1.3.6.1.4.1.63.1000.1.1.1.1.16<br />
NAME ( ’apple-mcxsettings’ ’apple-mcxsettings2’ )<br />
DESC ’réglages mcx’<br />
EQUALITY caseExactMatch<br />
SUBSTR caseExactSubstringsMatch<br />
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )<br />
apple-user-picture<br />
Stockeunchemind’accèsdusystèmedefichiersversl’imageàafficherpourcetenregistrementd’utilisateurdanslafenêtred’ouverturedesession.Utilisélorsquel’utilisateurréseauestaffichédanslalistedéroulantedelafenêtred’ouverturedesession<br />
(surlesréseauxgérés).<br />
Pardéfaut,lesutilisateurspeuventmodifierleursphotos.<br />
attributetype (<br />
1.3.6.1.4.1.63.1000.1.1.1.1.12<br />
NAME ’apple-user-picture’<br />
DESC ’image’<br />
AnnexeDonnéesderépertoire<strong>Mac</strong><strong>OS</strong>X 257
EQUALITY caseExactMatch<br />
SUBSTR caseExactSubstringsMatch<br />
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE )<br />
apple-user-printattribute<br />
Stockelesréglagesdequotad’impressionsousformedeplistXML.<br />
attributetype (<br />
1.3.6.1.4.1.63.1000.1.1.1.1.13<br />
NAME ’apple-user-printattribute’<br />
DESC ’attribut d’impression’<br />
EQUALITY caseExactMatch<br />
SUBSTR caseExactSubstringsMatch<br />
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE )<br />
apple-user-adminlimits<br />
UtiliséparGestionnairedegroupedetravailpourstockerunfichierplistXMLdécrivant<br />
lescompétencesd’unadministrateur.Cesréglagessontrespectésetactualiséspar<br />
Gestionnairedegroupedetravail,maisn’affectentpaslesautresélémentsdusystème.<br />
attributetype (<br />
1.3.6.1.4.1.63.1000.1.1.1.1.14<br />
NAME ’apple-user-adminlimits’<br />
DESC ’capacités d’administrateur’<br />
EQUALITY caseExactMatch<br />
SUBSTR caseExactSubstringsMatch<br />
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE )<br />
apple-user-authenticationhint<br />
Utiliséparlafenêtred’ouverturedesessionpourfournirunindicesil’utilisateurfait<br />
troistentativesd’ouverturedesessioninfructueusesdesuite.Pardéfaut,chaque<br />
utilisateurpeutmodifiersonindiced’authentification.<br />
attributetype (<br />
1.3.6.1.4.1.63.1000.1.1.1.1.15<br />
NAME ’apple-user-authenticationhint’<br />
DESC ’indice de mot de passe’<br />
EQUALITY caseExactMatch<br />
SUBSTR caseExactSubstringsMatch<br />
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE )<br />
apple-user-homesoftquota<br />
attributetype (<br />
1.3.6.1.4.1.63.1000.1.1.1.1.17<br />
NAME ’apple-user-homesoftquota’<br />
DESC ’quota (soft) du dossier de départ ’<br />
EQUALITY caseExactIA5Match<br />
SUBSTR caseExactIA5SubstringsMatch<br />
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )<br />
258 AnnexeDonnéesderépertoire<strong>Mac</strong><strong>OS</strong>X
apple-user-passwordpolicy<br />
attributetype (<br />
1.3.6.1.4.1.63.1000.1.1.1.1.18<br />
NAME ’apple-user-passwordpolicy’<br />
DESC ’options de politique de mot de passe’<br />
EQUALITY caseExactMatch<br />
SUBSTR caseExactSubstringsMatch<br />
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE )<br />
apple-keyword<br />
attributetype (<br />
1.3.6.1.4.1.63.1000.1.1.1.1.19<br />
NAME ( ’apple-keyword’ )<br />
DESC ’mots clés’<br />
EQUALITY caseExactMatch<br />
SUBSTR caseExactSubstringsMatch<br />
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )<br />
apple-generateduid<br />
attributetype (<br />
1.3.6.1.4.1.63.1000.1.1.1.1.20<br />
NAME ( ’apple-generateduid’ )<br />
DESC ’identifiant unique généré’<br />
EQUALITY caseExactMatch<br />
SUBSTR caseExactSubstringsMatch<br />
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE )<br />
apple-imhandle<br />
attributetype (<br />
1.3.6.1.4.1.63.1000.1.1.1.1.21<br />
NAME ( ’apple-imhandle’ )<br />
DESC ’IM handle (service:account name)’<br />
EQUALITY caseExactMatch<br />
SUBSTR caseExactSubstringsMatch<br />
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )<br />
apple-webloguri<br />
attributetype (<br />
1.3.6.1.4.1.63.1000.1.1.1.1.22<br />
NAME ( ’apple-webloguri’ )<br />
DESC ’Weblog URI’<br />
EQUALITY caseExactIA5Match<br />
SUBSTR caseExactIA5SubstringsMatch<br />
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )<br />
apple-mapcoordinates<br />
attributetype (<br />
AnnexeDonnéesderépertoire<strong>Mac</strong><strong>OS</strong>X 259
1.3.6.1.4.1.63.1000.1.1.1.1.23<br />
NAME ( ’apple-mapcoordinates’ )<br />
DESC ’Map Coordinates’<br />
EQUALITY caseExactIA5Match<br />
SUBSTR caseExactIA5SubstringsMatch<br />
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )<br />
apple-postaladdresses<br />
attributetype (<br />
1.3.6.1.4.1.63.1000.1.1.1.1.24<br />
NAME ( ’apple-postaladdresses’ )<br />
DESC ’Postal Addresses’<br />
EQUALITY caseExactIA5Match<br />
SUBSTR caseExactIA5SubstringsMatch<br />
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )<br />
apple-phonecontacts<br />
attributetype (<br />
1.3.6.1.4.1.63.1000.1.1.1.1.25<br />
NAME ( ’apple-phonecontacts’ )<br />
DESC ’Phone Contacts’<br />
EQUALITY caseExactIA5Match<br />
SUBSTR caseExactIA5SubstringsMatch<br />
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )<br />
apple-emailcontacts<br />
attributetype (<br />
1.3.6.1.4.1.63.1000.1.1.1.1.26<br />
NAME ( ’apple-emailcontacts’ )<br />
DESC ’EMail Contacts’<br />
EQUALITY caseExactIA5Match<br />
SUBSTR caseExactIA5SubstringsMatch<br />
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )<br />
apple-birthday<br />
attributetype (<br />
1.3.6.1.4.1.63.1000.1.1.1.1.27<br />
NAME ( ’apple-birthday’ )<br />
DESC ’Birthday’<br />
EQUALITY generalizedTimeMatch<br />
SUBSTR caseExactIA5SubstringsMatch<br />
SYNTAX 1.3.6.1.4.1.1466.115.121.1.24 SINGLE-VALUE )<br />
apple-relationships<br />
attributetype (<br />
1.3.6.1.4.1.63.1000.1.1.1.1.28<br />
NAME ( ’apple-relationships’ )<br />
DESC ’Relationships’<br />
260 AnnexeDonnéesderépertoire<strong>Mac</strong><strong>OS</strong>X
EQUALITY caseExactMatch<br />
SUBSTR caseExactSubstringsMatch<br />
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )<br />
apple-company<br />
attributetype (<br />
1.3.6.1.4.1.63.1000.1.1.1.1.29<br />
NAME ( ’apple-company’ )<br />
DESC ’company’<br />
EQUALITY caseExactMatch<br />
SUBSTR caseExactSubstringsMatch<br />
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )<br />
apple-nickname<br />
attributetype (<br />
1.3.6.1.4.1.63.1000.1.1.1.1.30<br />
NAME ( ’apple-nickname’ )<br />
DESC ’nickname’<br />
EQUALITY caseExactMatch<br />
SUBSTR caseExactSubstringsMatch<br />
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )<br />
apple-mapuri<br />
attributetype (<br />
1.3.6.1.4.1.63.1000.1.1.1.1.31<br />
NAME ( ’apple-mapuri’ )<br />
DESC ’Map URI’<br />
EQUALITY caseExactIA5Match<br />
SUBSTR caseExactIA5SubstringsMatch<br />
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )<br />
apple-mapguid<br />
attributetype (<br />
1.3.6.1.4.1.63.1000.1.1.1.1.32<br />
NAME ( ’apple-mapguid’ )<br />
DESC ’map GUID’<br />
EQUALITY caseExactMatch<br />
SUBSTR caseExactSubstringsMatch<br />
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE )<br />
apple-serviceslocator<br />
attributetype (<br />
1.3.6.1.4.1.63.1000.1.1.1.1.33<br />
NAME ( ’apple-serviceslocator’ )<br />
DESC ’Calendar Principal URI’<br />
EQUALITY caseExactIA5Match<br />
SUBSTR caseExactIA5SubstringsMatch<br />
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )<br />
AnnexeDonnéesderépertoire<strong>Mac</strong><strong>OS</strong>X 261
apple-organizationinfo<br />
attributetype (<br />
1.3.6.1.4.1.63.1000.1.1.1.1.34<br />
NAME ’apple-organizationinfo’<br />
DESC ’Originization Info data’<br />
EQUALITY caseExactMatch<br />
SUBSTR caseExactSubstringsMatch<br />
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )<br />
apple-namesuffix<br />
attributetype (<br />
1.3.6.1.4.1.63.1000.1.1.1.1.35<br />
NAME ( ’apple-namesuffix’ )<br />
DESC ’namesuffix’<br />
EQUALITY caseExactMatch<br />
SUBSTR caseExactSubstringsMatch<br />
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )<br />
apple-primarycomputerlist<br />
attributetype (<br />
1.3.6.1.4.1.63.1000.1.1.1.1.36<br />
NAME ( ’apple-primarycomputerlist’ )<br />
DESC ’primary computer list’<br />
EQUALITY caseExactMatch<br />
SUBSTR caseExactSubstringsMatch<br />
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE )<br />
apple-user-home<strong>Directory</strong><br />
Nonutiliséparleserveur<strong>Open</strong><strong>Directory</strong>,maisfournicommeexempled’OIDetd’attributàemployercommealternativeàl’attributhome<strong>Directory</strong>pourlaRFC2307.Ilest<br />
surtoutintéressantpourlesadministrateursActive<strong>Directory</strong>parcequ’Active<strong>Directory</strong><br />
utiliseunattributhome<strong>Directory</strong>différentdeceluidelaRFC2307.<br />
#attributetype (<br />
# 1.3.6.1.4.1.63.1000.1.1.1.1.100<br />
# NAME ’apple-user-home<strong>Directory</strong>’<br />
# DESC ’Le chemin d’accès absolu au dossier de départ ’<br />
# EQUALITY caseExactIA5Match<br />
# SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )<br />
262 AnnexeDonnéesderépertoire<strong>Mac</strong><strong>OS</strong>X
Attributsdegroupe(Group)<br />
apple-group-homeurl<br />
Spécifieledossierdedépartassociéàungroupedetravaildeclientsgérés.Cedernier<br />
estmontéàl’ouverturedesessionpartoututilisateurfaisantpartiedecegroupede<br />
travail.<br />
attributetype (<br />
1.3.6.1.4.1.63.1000.1.1.1.14.1<br />
NAME ’apple-group-homeurl’<br />
DESC ’url du dossier de départ du groupe’<br />
EQUALITY caseExactIA5Match<br />
SUBSTR caseExactIA5SubstringsMatch<br />
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )<br />
apple-group-homeowner<br />
Déterminelepropriétairedudossierdedépartdugroupedetravaillorsqu’ilestcréé<br />
danslesystèmedefichiers.Legroupedurépertoireestlegroupedetravailauquel<br />
ilestassocié.<br />
attributetype (<br />
1.3.6.1.4.1.63.1000.1.1.1.14.2<br />
NAME ’apple-group-homeowner’<br />
DESC ’réglages du propriétaire du dossier de départ du groupe’<br />
EQUALITY caseExactIA5Match<br />
SUBSTR caseExactIA5SubstringsMatch<br />
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )<br />
apple-group-realname<br />
Utilisépourassocierunnomd’utilisateurpluslongetplusconvivialauxgroupes.Ce<br />
nomapparaîtdansGestionnairedegroupedetravailetpeutcontenirdescaractères<br />
non-ASCII.<br />
attributetype (<br />
1.3.6.1.4.1.63.1000.1.1.1.14.5<br />
NAME ’apple-group-realname’<br />
DESC ’nom réel du groupe’<br />
EQUALITY caseExactMatch<br />
SUBSTR caseExactSubstringsMatch<br />
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE )<br />
apple-group-nestedgroup<br />
attributetype (<br />
1.3.6.1.4.1.63.1000.1.1.1.14.6<br />
NAME ’apple-group-nestedgroup’<br />
DESC ’nom réel du groupe’<br />
EQUALITY caseExactMatch<br />
SUBSTR caseExactSubstringsMatch<br />
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )<br />
AnnexeDonnéesderépertoire<strong>Mac</strong><strong>OS</strong>X 263
apple-group-memberguid<br />
attributetype (<br />
1.3.6.1.4.1.63.1000.1.1.1.14.7<br />
NAME ’apple-group-memberguid’<br />
DESC ’nom réel du groupe’<br />
EQUALITY caseExactMatch<br />
SUBSTR caseExactSubstringsMatch<br />
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )<br />
apple-group-services<br />
attributetype (<br />
1.3.6.1.4.1.63.1000.1.1.1.14.8<br />
NAME ’apple-group-services’<br />
DESC ’group services’<br />
EQUALITY caseExactMatch<br />
SUBSTR caseExactSubstringsMatch<br />
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )<br />
apple-group-memberUid<br />
Nonutiliséparleserveur<strong>Open</strong><strong>Directory</strong>,maisdéfinicommeexempled’attributet<br />
d’OIDpouvantêtreajoutésàunautreserveurLDAPpourgérerlesclients<strong>Mac</strong><strong>OS</strong>X.<br />
# Alternative à l’emploi de l’attribut memberUid de la RFC 2307.<br />
#attributetype (<br />
# 1.3.6.1.4.1.63.1000.1.1.1.14.1000<br />
# NAME ’apple-group-memberUid’<br />
# DESC ’liste des membres du groupe’<br />
# EQUALITY caseExactIA5Match<br />
# SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )<br />
# can also use OID 1.3.6.1.4.1.63.1000.1.1.2.1000<br />
apple-contactguid<br />
attributetype (<br />
1.3.6.1.4.1.63.1000.1.1.1.14.9<br />
NAME ( ’apple-contactguid’ )<br />
DESC ’contact GUID’<br />
EQUALITY caseExactMatch<br />
SUBSTR caseExactSubstringsMatch<br />
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE )<br />
apple-ownerguid<br />
attributetype (<br />
1.3.6.1.4.1.63.1000.1.1.1.14.10<br />
NAME ( ’apple-ownerguid’ )<br />
DESC ’owner GUID’<br />
EQUALITY caseExactMatch<br />
SUBSTR caseExactSubstringsMatch<br />
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE )<br />
264 AnnexeDonnéesderépertoire<strong>Mac</strong><strong>OS</strong>X
apple-primarycomputerguid<br />
attributetype (<br />
1.3.6.1.4.1.63.1000.1.1.1.14.11<br />
NAME ( ’apple-primarycomputerguid’ )<br />
DESC ’primary computer GUID’<br />
EQUALITY caseExactMatch<br />
SUBSTR caseExactSubstringsMatch<br />
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE )<br />
apple-group-expandednestedgroup<br />
attributetype (<br />
1.3.6.1.4.1.63.1000.1.1.1.14.12<br />
NAME ’apple-group-expandednestedgroup’<br />
DESC ’expanded nested group list’<br />
EQUALITY caseExactMatch<br />
SUBSTR caseExactSubstringsMatch<br />
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )<br />
Attributsdemachine(<strong>Mac</strong>hine)<br />
apple-machine-software<br />
attributetype (<br />
1.3.6.1.4.1.63.1000.1.1.1.3.8<br />
NAME ’apple-machine-software’<br />
DESC ’logiciel système installé’<br />
EQUALITY caseIgnoreIA5Match<br />
SUBSTR caseIgnoreIA5SubstringsMatch<br />
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )<br />
apple-machine-hardware<br />
attributetype (<br />
1.3.6.1.4.1.63.1000.1.1.1.3.9<br />
NAME ’apple-machine-hardware’<br />
DESC ’description matérielle du système’<br />
EQUALITY caseIgnoreIA5Match<br />
SUBSTR caseIgnoreIA5SubstringsMatch<br />
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )<br />
apple-machine-serves<br />
attributetype (<br />
1.3.6.1.4.1.63.1000.1.1.1.3.10<br />
NAME ’apple-machine-serves’<br />
DESC ’Liaison de serveur de domaine NetInfo’<br />
EQUALITY caseExactIA5Match<br />
SUBSTR caseExactIA5SubstringsMatch<br />
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )<br />
AnnexeDonnéesderépertoire<strong>Mac</strong><strong>OS</strong>X 265
apple-machine-suffix<br />
attributetype (<br />
1.3.6.1.4.1.63.1000.1.1.1.3.11<br />
NAME ’apple-machine-suffix’<br />
DESC ’suffixe DIT’<br />
EQUALITY caseIgnoreMatch<br />
SUBSTR caseIgnoreSubstringsMatch<br />
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )<br />
apple-machine-contactperson<br />
attributetype (<br />
1.3.6.1.4.1.63.1000.1.1.1.3.12<br />
NAME ’apple-machine-contactperson’<br />
DESC ’Name of contact person/owner of this machine’<br />
EQUALITY caseIgnoreMatch<br />
SUBSTR caseIgnoreSubstringsMatch<br />
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )<br />
attributeTypesConfig<br />
attributetype (<br />
1.3.6.1.4.1.63.1000.1.1.1.22.1<br />
NAME ’attributeTypesConfig’<br />
DESC ’RFC2252: attribute types’<br />
EQUALITY caseExactMatch<br />
SUBSTR caseExactSubstringsMatch<br />
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )<br />
objectClassesConfig<br />
attributetype (<br />
1.3.6.1.4.1.63.1000.1.1.1.22.2<br />
NAME ’objectClassesConfig’<br />
EQUALITY caseExactMatch<br />
SUBSTR caseExactSubstringsMatch<br />
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )<br />
Attributsdemontage<br />
mount<strong>Directory</strong><br />
attributetype (<br />
1.3.6.1.4.1.63.1000.1.1.1.8.1<br />
NAME ’mount<strong>Directory</strong>’<br />
DESC ’chemin d’accès de montage’<br />
EQUALITY caseExactMatch<br />
SUBSTR caseExactSubstringsMatch<br />
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE )<br />
266 AnnexeDonnéesderépertoire<strong>Mac</strong><strong>OS</strong>X
mountType<br />
attributetype (<br />
1.3.6.1.4.1.63.1000.1.1.1.8.2<br />
NAME ’mountType’<br />
DESC ’type VFS du montage’<br />
EQUALITY caseIgnoreIA5Match<br />
SUBSTR caseIgnoreIA5SubstringsMatch<br />
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )<br />
mountOption<br />
attributetype (<br />
1.3.6.1.4.1.63.1000.1.1.1.8.3<br />
NAME ’mountOption’<br />
DESC ’options de montage’<br />
EQUALITY caseIgnoreIA5Match<br />
SUBSTR caseIgnoreIA5SubstringsMatch<br />
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )<br />
mountDumpFrequency<br />
attributetype (<br />
1.3.6.1.4.1.63.1000.1.1.1.8.4<br />
NAME ’mountDumpFrequency’<br />
DESC ’fréquence de vidage du montage’<br />
EQUALITY caseIgnoreIA5Match<br />
SUBSTR caseIgnoreIA5SubstringsMatch<br />
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )<br />
mountPassNo<br />
attributetype (<br />
1.3.6.1.4.1.63.1000.1.1.1.8.5<br />
NAME ’mountPassNo’<br />
DESC ’passno du montage’<br />
EQUALITY caseIgnoreIA5Match<br />
SUBSTR caseIgnoreIA5SubstringsMatch<br />
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )<br />
apple-mount-name<br />
# Alternative to using ’cn’ when adding mount record schema to other LDAP<br />
servers<br />
#attributetype (<br />
# 1.3.6.1.4.1.63.1000.1.1.1.8.100<br />
# NAME ( ’apple-mount-name’ )<br />
# DESC ’mount name’<br />
# SUP name )<br />
AnnexeDonnéesderépertoire<strong>Mac</strong><strong>OS</strong>X 267
Attributsd’imprimante(Printer)<br />
apple-printer-attributes<br />
attributetype (<br />
1.3.6.1.4.1.63.1000.1.1.1.9.1<br />
NAME ’apple-printer-attributes’<br />
DESC ’attributs d’imprimante au format /etc/printcap’<br />
EQUALITY caseIgnoreIA5Match<br />
SUBSTR caseIgnoreIA5SubstringsMatch<br />
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )<br />
apple-printer-lprhost<br />
attributetype (<br />
1.3.6.1.4.1.63.1000.1.1.1.9.2<br />
NAME ’apple-printer-lprhost’<br />
DESC ’nom d’hôte LPR d’imprimante’<br />
EQUALITY caseIgnoreMatch<br />
SUBSTR caseIgnoreSubstringsMatch<br />
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )<br />
apple-printer-lprqueue<br />
attributetype (<br />
1.3.6.1.4.1.63.1000.1.1.1.9.3<br />
NAME ’apple-printer-lprqueue’<br />
DESC ’liste d’attente LPR d’imprimante’<br />
EQUALITY caseIgnoreMatch<br />
SUBSTR caseIgnoreSubstringsMatch<br />
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )<br />
apple-printer-type<br />
attributetype (<br />
1.3.6.1.4.1.63.1000.1.1.1.9.4<br />
NAME ’apple-printer-type’<br />
DESC ’type d’imprimante’<br />
EQUALITY caseIgnoreMatch<br />
SUBSTR caseIgnoreSubstringsMatch<br />
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )<br />
apple-printer-note<br />
attributetype (<br />
1.3.6.1.4.1.63.1000.1.1.1.9.5<br />
NAME ’apple-printer-note’<br />
DESC ’note d’imprimante’<br />
EQUALITY caseIgnoreMatch<br />
SUBSTR caseIgnoreSubstringsMatch<br />
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )<br />
268 AnnexeDonnéesderépertoire<strong>Mac</strong><strong>OS</strong>X
Attributsd’ordinateur(Computer)<br />
apple-realname<br />
attributetype (<br />
1.3.6.1.4.1.63.1000.1.1.1.10.2<br />
NAME ’apple-realname’<br />
DESC ’nom réel’<br />
EQUALITY caseExactMatch<br />
SUBSTR caseExactSubstringsMatch<br />
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )<br />
apple-networkview<br />
attributetype (<br />
1.3.6.1.4.1.63.1000.1.1.1.10.3<br />
NAME ’apple-networkview’<br />
DESC ’Network view for the computer’<br />
EQUALITY caseExactMatch<br />
SUBSTR caseExactSubstringsMatch<br />
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )<br />
apple-category<br />
attributetype (<br />
1.3.6.1.4.1.63.1000.1.1.1.10.4<br />
NAME ’apple-category’<br />
DESC ’Category for the computer or neighborhood’<br />
EQUALITY caseExactMatch<br />
SUBSTR caseExactSubstringsMatch<br />
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )<br />
Attributsdelisted’ordinateurs(ComputerList)<br />
apple-computers<br />
attributetype (<br />
1.3.6.1.4.1.63.1000.1.1.1.11.3<br />
NAME ’apple-computers’<br />
DESC ’ordinateurs’<br />
EQUALITY caseExactMatch<br />
SUBSTR caseExactSubstringsMatch<br />
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )<br />
apple-computer-list-groups<br />
attributetype (<br />
1.3.6.1.4.1.63.1000.1.1.1.11.4<br />
NAME ’apple-computer-list-groups’<br />
DESC ’groupes’<br />
EQUALITY caseExactMatch<br />
SUBSTR caseExactSubstringsMatch<br />
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )<br />
AnnexeDonnéesderépertoire<strong>Mac</strong><strong>OS</strong>X 269
AttributdePlistXML<br />
apple-xmlplist<br />
attributetype (<br />
1.3.6.1.4.1.63.1000.1.1.1.17.1<br />
NAME ’apple-xmlplist’<br />
DESC ’données de plist XML’<br />
EQUALITY caseExactMatch<br />
SUBSTR caseExactSubstringsMatch<br />
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE )<br />
Attributsd’URLdeservice(ServiceURL)<br />
apple-service-url<br />
attributetype (<br />
1.3.6.1.4.1.63.1000.1.1.1.19.2<br />
NAME ’apple-service-url’<br />
DESC ’URL of service’<br />
EQUALITY caseExactIA5Match<br />
SUBSTR caseExactIA5SubstringsMatch<br />
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )<br />
Attributd’informationdeservice<br />
apple-serviceinfo<br />
attributetype (<br />
1.3.6.1.4.1.63.1000.1.1.1.19.6<br />
NAME ’apple-serviceinfo’<br />
DESC ’service related information’<br />
EQUALITY caseExactMatch<br />
SUBSTR caseExactSubstringsMatch<br />
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )<br />
Attributsdeconfiguration(Configuration)<br />
apple-password-server-location<br />
attributetype (<br />
1.3.6.1.4.1.63.1000.1.1.1.12.1<br />
NAME ’apple-password-server-location’<br />
DESC ’emplacement du serveur de mots de passe’<br />
EQUALITY caseExactIA5Match<br />
SUBSTR caseExactIA5SubstringsMatch<br />
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )<br />
270 AnnexeDonnéesderépertoire<strong>Mac</strong><strong>OS</strong>X
apple-data-stamp<br />
attributetype (<br />
1.3.6.1.4.1.63.1000.1.1.1.12.2<br />
NAME ’apple-data-stamp’<br />
DESC ’data stamp’<br />
EQUALITY caseExactIA5Match<br />
SUBSTR caseExactIA5SubstringsMatch<br />
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )<br />
apple-config-realname<br />
attributetype (<br />
1.3.6.1.4.1.63.1000.1.1.1.12.3<br />
NAME ’apple-config-realname’<br />
DESC ’nom réel de configuration’<br />
EQUALITY caseExactIA5Match<br />
SUBSTR caseExactIA5SubstringsMatch<br />
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )<br />
apple-password-server-list<br />
attributetype (<br />
1.3.6.1.4.1.63.1000.1.1.1.12.4<br />
NAME ’apple-password-server-list’<br />
DESC ’plist de duplication de serveur de mots de passe’<br />
EQUALITY caseExactMatch<br />
SUBSTR caseExactSubstringsMatch<br />
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE )<br />
apple-ldap-replica<br />
attributetype (<br />
1.3.6.1.4.1.63.1000.1.1.1.12.5<br />
NAME ’apple-ldap-replica’<br />
DESC ’liste de duplication LDAP’<br />
EQUALITY caseExactMatch<br />
SUBSTR caseExactSubstringsMatch<br />
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )<br />
apple-ldap-writable-replica<br />
attributetype (<br />
1.3.6.1.4.1.63.1000.1.1.1.12.6<br />
NAME ’apple-ldap-writable-replica’<br />
DESC ’liste de duplication LDAP modifiable’<br />
EQUALITY caseExactMatch<br />
SUBSTR caseExactSubstringsMatch<br />
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )<br />
AnnexeDonnéesderépertoire<strong>Mac</strong><strong>OS</strong>X 271
apple-kdc-authkey<br />
attributetype (<br />
1.3.6.1.4.1.63.1000.1.1.1.12.7<br />
NAME ’apple-kdc-authkey’<br />
DESC ’clé maîtresse KDC cryptée au format RSA avec clé publique de<br />
royaume’<br />
EQUALITY caseExactMatch<br />
SUBSTR caseExactSubstringsMatch<br />
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )<br />
apple-kdc-configdata<br />
attributetype (<br />
1.3.6.1.4.1.63.1000.1.1.1.12.8<br />
NAME ’apple-kdc-configdata’<br />
DESC ’Contenu du fichier kdc.conf’<br />
EQUALITY caseExactMatch<br />
SUBSTR caseExactSubstringsMatch<br />
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE )<br />
Attributd’utilisateurpréréglé(PresetUser)<br />
apple-preset-user-is-admin<br />
attributetype (<br />
1.3.6.1.4.1.63.1000.1.1.1.15.1<br />
NAME ’apple-preset-user-is-admin’<br />
DESC ’indicateur signalant si l’utilisateur préréglé est un administrateur’<br />
EQUALITY caseExactIA5Match<br />
SUBSTR caseExactIA5SubstringsMatch<br />
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )<br />
Attributsd’autoritéd’authentification(AuthenticationAuthority)<br />
authAuthority<br />
#attributetype (<br />
# 1.3.6.1.4.1.63.1000.1.1.2.16.1<br />
# NAME ’authAuthority’<br />
# DESC ’autorité d’authentification du serveur de mots de passe’<br />
# EQUALITY caseExactIA5Match<br />
# SUBSTR caseExactIA5SubstringsMatch<br />
# SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )<br />
authAuthority2<br />
#attributetype (<br />
# 1.3.6.1.4.1.63.1000.1.1.2.16.2<br />
# NAME ( ’authAuthority’ ’authAuthority2’ )<br />
# DESC ’autorité d’authentification du serveur de mots de passe’<br />
# EQUALITY caseExactMatch<br />
# SUBSTR caseExactSubstringsMatch<br />
# SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )<br />
272 AnnexeDonnéesderépertoire<strong>Mac</strong><strong>OS</strong>X
Attributsd’emplacement(Location)<br />
apple-dns-domain<br />
attributetype (<br />
1.3.6.1.4.1.63.1000.1.1.1.18.1<br />
NAME ’apple-dns-domain’<br />
DESC ’domaine DNS’<br />
EQUALITY caseExactMatch<br />
SUBSTR caseExactSubstringsMatch<br />
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )<br />
apple-dns-nameserver<br />
attributetype (<br />
1.3.6.1.4.1.63.1000.1.1.1.18.2<br />
NAME ’apple-dns-nameserver’<br />
DESC ’liste de serveurs de noms DNS’<br />
EQUALITY caseExactMatch<br />
SUBSTR caseExactSubstringsMatch<br />
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )<br />
Attributsdeservice(Service)<br />
apple-service-type<br />
attributetype (<br />
1.3.6.1.4.1.63.1000.1.1.1.19.1<br />
NAME ’apple-service-type’<br />
DESC ’type of service’<br />
EQUALITY caseExactIA5Match<br />
SUBSTR caseExactIA5SubstringsMatch<br />
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )<br />
apple-service-url<br />
#attributetype (<br />
# 1.3.6.1.4.1.63.1000.1.1.1.19.2<br />
# NAME ’apple-service-url’<br />
# DESC ’URL of service’<br />
# EQUALITY caseExactIA5Match<br />
# SUBSTR caseExactIA5SubstringsMatch<br />
# SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )<br />
apple-service-port<br />
attributetype (<br />
1.3.6.1.4.1.63.1000.1.1.1.19.3<br />
NAME ’apple-service-port’<br />
DESC ’Service port number’<br />
EQUALITY integerMatch<br />
SYNTAX 1.3.6.1.4.1.1466.115.121.1.27 )<br />
AnnexeDonnéesderépertoire<strong>Mac</strong><strong>OS</strong>X 273
apple-dnsname<br />
attributetype (<br />
1.3.6.1.4.1.63.1000.1.1.1.19.4<br />
NAME ’apple-dnsname’<br />
DESC ’DNS name’<br />
EQUALITY caseExactMatch<br />
SUBSTR caseExactSubstringsMatch<br />
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )<br />
apple-service-location<br />
attributetype (<br />
1.3.6.1.4.1.63.1000.1.1.1.19.5<br />
NAME ’apple-service-location’<br />
DESC ’Service location’<br />
EQUALITY caseExactMatch<br />
SUBSTR caseExactSubstringsMatch<br />
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )<br />
Attributsdevoisinage(Neighborhood)<br />
apple-nodepathxml<br />
attributetype (<br />
1.3.6.1.4.1.63.1000.1.1.1.20.1<br />
NAME ’apple-nodepathxml’<br />
DESC ’XML plist of directory node path’<br />
EQUALITY caseExactMatch<br />
SUBSTR caseExactSubstringsMatch<br />
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )<br />
apple-neighborhoodalias<br />
attributetype (<br />
1.3.6.1.4.1.63.1000.1.1.1.20.2<br />
NAME ’apple-neighborhoodalias’<br />
DESC ’XML plist referring to another neighborhood record’<br />
EQUALITY caseExactMatch<br />
SUBSTR caseExactSubstringsMatch<br />
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )<br />
apple-computeralias<br />
attributetype (<br />
1.3.6.1.4.1.63.1000.1.1.1.20.3<br />
NAME ’apple-computeralias’<br />
DESC ’XML plist referring to a computer record’<br />
EQUALITY caseExactMatch<br />
SUBSTR caseExactSubstringsMatch<br />
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )<br />
274 AnnexeDonnéesderépertoire<strong>Mac</strong><strong>OS</strong>X
Attributdelistedecontrôled’accès(ACL)<br />
apple-acl-entry<br />
#attributetype (<br />
# 1.3.6.1.4.1.63.1000.1.1.1.21.1<br />
# NAME ’apple-acl-entry’<br />
# DESC ’acl entry’<br />
# EQUALITY caseExactMatch<br />
# SUBSTR caseExactSubstringsMatch<br />
# SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )<br />
Attributsdeschéma(Schema)<br />
attributeTypesConfig<br />
#attributetype (<br />
# 1.3.6.1.4.1.63.1000.1.1.1.22.1<br />
# NAME ’attributeTypesConfig’<br />
# DESC ’attribute type configuration’<br />
# EQUALITY objectIdentifierFirstComponentMatch<br />
# SYNTAX 1.3.6.1.4.1.1466.115.121.1.3 )<br />
objectClassesConfig<br />
#attributetype (<br />
# 1.3.6.1.4.1.63.1000.1.1.1.22.2<br />
# NAME ’objectClassesConfig’<br />
# DESC ’object class configuration’<br />
# EQUALITY objectIdentifierFirstComponentMatch<br />
# SYNTAX 1.3.6.1.4.1.1466.115.121.1.37 )<br />
Attributderessource<br />
apple-resource-type<br />
attributetype (<br />
1.3.6.1.4.1.63.1000.1.1.1.23.1<br />
NAME ’apple-resource-type’<br />
DESC ’resource type’<br />
EQUALITY caseExactIA5Match<br />
SUBSTR caseExactIA5SubstringsMatch<br />
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )<br />
apple-resource-info<br />
attributetype (<br />
1.3.6.1.4.1.63.1000.1.1.1.23.2<br />
NAME ’apple-resource-info’<br />
DESC ’resource info’<br />
EQUALITY caseExactIA5Match<br />
SUBSTR caseExactIA5SubstringsMatch<br />
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )<br />
AnnexeDonnéesderépertoire<strong>Mac</strong><strong>OS</strong>X 275
apple-capacity<br />
attributetype (<br />
1.3.6.1.4.1.63.1000.1.1.1.23.3<br />
NAME ’apple-capacity’<br />
DESC ’capacity’<br />
EQUALITY integerMatch<br />
SYNTAX ’1.3.6.1.4.1.1466.115.121.1.27’ SINGLE-VALUE )<br />
Attributdemontageautomatique<br />
automountMapName<br />
attributetype (<br />
1.3.6.1.1.1.1.31<br />
NAME ’automountMapName’<br />
DESC ’automount Map Name’<br />
EQUALITY caseExactMatch<br />
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15<br />
SINGLE-VALUE )<br />
automountKey<br />
attributetype (<br />
1.3.6.1.1.1.1.32<br />
NAME ’automountKey’<br />
DESC ’Automount Key value’<br />
EQUALITY caseExactMatch<br />
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15<br />
SINGLE-VALUE )<br />
automountInformation<br />
attributetype (<br />
1.3.6.1.1.1.1.33<br />
NAME ’automountInformation’<br />
DESC ’Automount information’<br />
EQUALITY caseExactMatch<br />
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15<br />
SINGLE-VALUE )<br />
Mappagedetypesd’enregistrementsetd’attributsstandard<br />
versLDAPetActive<strong>Directory</strong><br />
Cettesectiondécritlemappagedestypesd’enregistrementsetattributs<strong>Open</strong><strong>Directory</strong>verslesclassesd’objetsetattributsLDAP.Elledécritégalementlemappagede<br />
certainescatégoriesetdecertainsattributsd’objetActive<strong>Directory</strong>verslestypes<br />
d’enregistrementsetattributs<strong>Open</strong><strong>Directory</strong>,etcommentlespremierssontgénérés<br />
àpartirdesderniers.<br />
276 AnnexeDonnéesderépertoire<strong>Mac</strong><strong>OS</strong>X
AnnexeDonnéesderépertoire<strong>Mac</strong><strong>OS</strong>X 277<br />
<br />
Lestableauxsuivantsnefournissentpasdecorrespondancespourl’extensiondevotre<br />
schéma.Letableauindiquelesenregistrementsetlesattributsqu’<strong>Open</strong><strong>Directory</strong>utiliseàpartirdeschémasActive<strong>Directory</strong>etUnixRFC2307existants.Ilindiqueaussiles<br />
attributsetlesenregistrementsquinepossèdentpasdemappagesdirects.<br />
Mappagesd’utilisateurs(Users)<br />
LestableauxsuivantsdécriventlamanièredontlemoduleLDAPv3d’Utilitairederépertoiremappeletyped’enregistrementetlesattributsUsers<strong>Open</strong><strong>Directory</strong>verslesclassesd’objetsetlesattributsLDAP.<br />
LestableauxspécifientégalementlamanièredontlemoduleActive<strong>Directory</strong>d’Utilitairederépertoiremappeetgénèredesattributsetdescatégoriesd’objetsActive<br />
<strong>Directory</strong>àpartird’attributsetdetypesd’enregistrements<strong>Open</strong><strong>Directory</strong>.<br />
Mappagesdestypesd’enregistrementsd’utilisateurs<br />
Mappagesdesattributsd’utilisateurs<br />
Nom<strong>Open</strong><strong>Directory</strong>,<br />
RFC/classe<br />
OIDdenomdeclassed’objets<br />
LDAP<br />
Moduleexterne<br />
Active<strong>Directory</strong><br />
Users,<br />
RFC2798<br />
inetOrgPerson<br />
2.16.840.1.113730.3.2.2<br />
ObjectCategory=Person<br />
Users,<br />
RFC2307<br />
posixAccount<br />
1.3.6.1.1.1.2.0<br />
Users,<br />
RFC2307<br />
shadowAccount<br />
1.3.6.1.1.1.2.1<br />
Users,<br />
enregistrépar<strong>Apple</strong><br />
apple-user<br />
1.3.6.1.4.1.63.1000.1.1.2.1<br />
schémaétendu<strong>Apple</strong><br />
Nom<strong>Open</strong><strong>Directory</strong>,<br />
RFC/classe,<br />
emploispécial<br />
OIDdenomd’attributLDAP<br />
Moduleexterne<br />
Active<strong>Directory</strong><br />
Home<strong>Directory</strong>,<br />
enregistrépar<strong>Apple</strong><br />
apple-user-homeurl<br />
1.3.6.1.4.1.63.1000.1.1.1.1.6<br />
Généréàpartirdehome<strong>Directory</strong><br />
Home<strong>Directory</strong>Quota,<br />
enregistrépar<strong>Apple</strong><br />
apple-user-homequota<br />
1.3.6.1.4.1.63.1000.1.1.1.1.8<br />
schémaétendu<strong>Apple</strong><br />
Home<strong>Directory</strong>SoftQuota,<br />
enregistrépar<strong>Apple</strong><br />
apple-user-homesoftquota<br />
1.3.6.1.4.1.63.1000.1.1.1.1.17<br />
schémaétendu<strong>Apple</strong><br />
MailAttribute,<br />
enregistrépar<strong>Apple</strong><br />
apple-user-mailattribute<br />
1.3.6.1.4.1.63.1000.1.1.1.1.9<br />
schémaétendu<strong>Apple</strong><br />
PrintServiceUserData,<br />
enregistrépar<strong>Apple</strong><br />
apple-user-printattribute<br />
1.3.6.1.4.1.63.1000.1.1.1.1.13<br />
schémaétendu<strong>Apple</strong><br />
MCXFlags,<br />
enregistrépar<strong>Apple</strong><br />
apple-mcxflags<br />
1.3.6.1.4.1.63.1000.1.1.1.1.10<br />
schémaétendu<strong>Apple</strong>
278 AnnexeDonnéesderépertoire<strong>Mac</strong><strong>OS</strong>X<br />
<br />
MCXSettings,<br />
enregistrépar<strong>Apple</strong><br />
apple-mcxsettings<br />
1.3.6.1.4.1.63.1000.1.1.1.1.16<br />
schémaétendu<strong>Apple</strong><br />
AdminLimits,<br />
enregistrépar<strong>Apple</strong><br />
apple-user-adminlimits<br />
1.3.6.1.4.1.63.1000.1.1.1.1.14<br />
schémaétendu<strong>Apple</strong><br />
AuthenticationAuthority,<br />
enregistrépar<strong>Apple</strong><br />
authAuthority<br />
1.3.6.1.4.1.63.1000.1.1.2.16.1<br />
Généréentantqu’autoritéKerberos<br />
AuthenticationHint,<br />
enregistrépar<strong>Apple</strong><br />
apple-user-authenticationhint<br />
1.3.6.1.4.1.63.1000.1.1.1.1.15<br />
schémaétendu<strong>Apple</strong><br />
PasswordPolicyOptions,<br />
enregistrépar<strong>Apple</strong><br />
apple-user-passwordpolicy<br />
1.3.6.1.4.1.63.1000.1.1.1.1.18<br />
schémaétendu<strong>Apple</strong><br />
Keywords,<br />
enregistrépar<strong>Apple</strong><br />
apple-keyword<br />
1.3.6.1.4.1.63.1000.1.1.1.1.19<br />
schémaétendu<strong>Apple</strong><br />
Picture,<br />
enregistrépar<strong>Apple</strong><br />
apple-user-picture<br />
1.3.6.1.4.1.63.1000.1.1.1.1.12<br />
schémaétendu<strong>Apple</strong><br />
GeneratedUID,<br />
enregistrépar<strong>Apple</strong><br />
apple-generateduid<br />
1.3.6.1.4.1.63.1000.1.1.1.1.20<br />
ÀpartirdeGUID—formaté<br />
RecordName,<br />
RFC2256<br />
cn<br />
2.5.4.3<br />
Généréàpartirdecn,userPrincipal,mail,sAMAccountName<br />
RecordName,<br />
RFC1274<br />
uid<br />
0.9.2342.19200300.100.1.1<br />
Indisponible<br />
EMailAddress,<br />
RFC1274<br />
mail<br />
0.9.2342.19200300.100.1.3<br />
StandardRFC<br />
RealName,<br />
RFC2256<br />
cn<br />
2.5.4.3<br />
1.2.840.113556.1.2.13(Microsoft)<br />
Password,<br />
RFC2256<br />
userPassword<br />
2.5.4.35<br />
Pasdemappage<br />
Comment,<br />
RFC2256<br />
description<br />
2.5.4.13<br />
StandardRFC<br />
LastName,<br />
RFC2256<br />
sn<br />
2.5.4.4<br />
StandardRFC<br />
FirstName,<br />
RFC2256<br />
givenName<br />
2.5.4.42<br />
StandardRFC<br />
PhoneNumber,<br />
RFC2256<br />
telephoneNumber<br />
2.5.4.20<br />
StandardRFC<br />
AddressLIne1,<br />
RFC2256<br />
street<br />
2.5.4.9<br />
StandardRFC<br />
PostalAddress,<br />
RFC2256<br />
postalAddress<br />
2.5.4.16<br />
StandardRFC<br />
PostalCode,<br />
RFC2256<br />
postalCode<br />
2.5.4.17<br />
StandardRFC<br />
Nom<strong>Open</strong><strong>Directory</strong>,<br />
RFC/classe,<br />
emploispécial<br />
OIDdenomd’attributLDAP<br />
Moduleexterne<br />
Active<strong>Directory</strong>
AnnexeDonnéesderépertoire<strong>Mac</strong><strong>OS</strong>X 279<br />
<br />
OrganizationName,<br />
RFC2256<br />
o<br />
2.5.4.10<br />
1.2.840.113556.1.2.146(Microsoft)<br />
UserShell,<br />
RFC2307<br />
loginShell<br />
1.3.6.1.1.1.1.4<br />
Étenduàl’aidedeRFC<br />
Change,<br />
RFC2307<br />
shadowLastChange<br />
1.3.6.1.1.1.1.5<br />
Pasdemappage<br />
Expire,<br />
RFC2307<br />
shadowExpire<br />
1.3.6.1.1.1.1.10<br />
Pasdemappage<br />
UniqueID,<br />
RFC2307<br />
uidNumber<br />
1.3.6.1.1.1.1.0<br />
GénéréàpartirdeGUID<br />
NFSHome<strong>Directory</strong>,<br />
RFC2307<br />
home<strong>Directory</strong><br />
1.3.6.1.1.1.1.3<br />
Généréàpartirdehome<strong>Directory</strong><br />
PrimaryGroupID,<br />
RFC2307<br />
gidNumber<br />
1.3.6.1.1.1.1.1<br />
Étenduàl’aidedeRFCou<br />
généréàpartirdeGUID<br />
SMBAccountFlags,<br />
enregistréparSamba,<br />
<strong>Apple</strong>PDC<br />
acctFlags<br />
1.3.6.1.4.1.7165.2.1.4<br />
1.2.840.113556.1.4.302(Microsoft)<br />
SMBPasswordLastSet,<br />
enregistréparSamba,<br />
<strong>Apple</strong>PDC<br />
pwdLastSet<br />
1.3.6.1.4.1.7165.2.1.3<br />
1.2.840.113556.1.4.96(Microsoft)<br />
SMBLogonTime,<br />
enregistréparSamba,<br />
<strong>Apple</strong>PDC<br />
logonTime<br />
1.3.6.1.4.1.7165.2.1.5<br />
1.2.840.113556.1.4.52(Microsoft)<br />
SMBLogoffTime,<br />
enregistréparSamba,<br />
<strong>Apple</strong>PDC<br />
logoffTime<br />
1.3.6.1.4.1.7165.2.1.6<br />
1.2.840.113556.1.4.51(Microsoft)<br />
SMBKickoffTime,<br />
enregistréparSamba,<br />
<strong>Apple</strong>PDC<br />
kickoffTime<br />
1.3.6.1.4.1.7165.2.1.7<br />
Pasdemappage<br />
SMBHomeDrive,<br />
enregistréparSamba,<br />
<strong>Apple</strong>PDC<br />
homeDrive<br />
1.3.6.1.4.1.7165.2.1.10<br />
1.2.840.113556.1.4.45(Microsoft)<br />
SMBScriptPath,<br />
enregistréparSamba,<br />
<strong>Apple</strong>PDC<br />
scriptPath<br />
1.3.6.1.4.1.7165.2.1.11<br />
1.2.840.113556.1.4.62(Microsoft)<br />
SMBProfilePath,<br />
enregistréparSamba,<br />
<strong>Apple</strong>PDC<br />
profilePath<br />
1.3.6.1.4.1.7165.2.1.12<br />
1.2.840.113556.1.4.139(Microsoft)<br />
SMBUserWorkstations,<br />
enregistréparSamba,<br />
<strong>Apple</strong>PDC<br />
userWorkstations<br />
1.3.6.1.4.1.7165.2.1.13<br />
1.2.840.113556.1.4.86(Microsoft)<br />
Nom<strong>Open</strong><strong>Directory</strong>,<br />
RFC/classe,<br />
emploispécial<br />
OIDdenomd’attributLDAP<br />
Moduleexterne<br />
Active<strong>Directory</strong>
280 AnnexeDonnéesderépertoire<strong>Mac</strong><strong>OS</strong>X<br />
<br />
Mappagesdegroupes(Groups)<br />
LestableauxsuivantsspécifientlamanièredontlemoduleLDAPv3d’Utilitairederépertoiremappeletyped’enregistrementsetlesattributsdegroupes<strong>Open</strong><strong>Directory</strong>sur<br />
lesclassesd’objetsLDAP.<br />
LestableauxspécifientégalementlamanièredontlemoduleActive<strong>Directory</strong>d’Utilitairederépertoiremappeetgénèredesattributsetdescatégoriesd’objetsActive<br />
<strong>Directory</strong>àpartird’attributsetdetypesd’enregistrements<strong>Open</strong><strong>Directory</strong>.<br />
SMBHome,<br />
enregistréparSamba,<br />
<strong>Apple</strong>PDC<br />
smbHome<br />
1.3.6.1.4.1.7165.2.1.17<br />
1.2.840.113556.1.4.44(Microsoft)<br />
SMBRID,<br />
enregistréparSamba,<br />
<strong>Apple</strong>PDC<br />
rid<br />
1.3.6.1.4.1.7165.2.1.14<br />
1.2.840.113556.1.4.153(Microsoft)<br />
SMBGroupRID,<br />
enregistréparSamba,<br />
<strong>Apple</strong>PDC<br />
primaryGroupID<br />
1.3.6.1.4.1.7165.2.1.15<br />
1.2.840.113556.1.4.98(Microsoft)<br />
FaxNumber,<br />
RFC2256<br />
fax<br />
2.5.4.23<br />
StandardRFC<br />
MobileNumber,<br />
RFC1274<br />
mobile<br />
0.9.2342.19200300.100.1.41<br />
StandardRFC<br />
PagerNumber,<br />
RFC1274<br />
pager<br />
0.9.2342.19200300.100.1.42<br />
StandardRFC<br />
Department,<br />
RFC2798,<br />
departmentNumber<br />
2.16.840.1.113730.3.1.2<br />
1.2.840.113556.1.2.141(Microsoft)<br />
NickName,<br />
MicrosoftAttribute<br />
1.2.840.113556.1.2.447(Microsoft)<br />
JobTitle,<br />
RFC2256<br />
title<br />
2.5.4.12<br />
StandardRFC<br />
Building,<br />
RFC2256<br />
buildingName<br />
2.5.4.19<br />
StandardRFC<br />
Country,<br />
RFC2256<br />
c<br />
2.5.4.6<br />
StandardRFC<br />
Street,<br />
RFC2256<br />
street<br />
2.5.4.9<br />
1.2.840.113556.1.2.256(Microsoft)<br />
City,<br />
RFC2256<br />
locality<br />
2.5.4.7<br />
StandardRFC<br />
State,<br />
RFC2256<br />
st<br />
2.5.4.8<br />
StandardRFC<br />
Nom<strong>Open</strong><strong>Directory</strong>,<br />
RFC/classe,<br />
emploispécial<br />
OIDdenomd’attributLDAP<br />
Moduleexterne<br />
Active<strong>Directory</strong>
AnnexeDonnéesderépertoire<strong>Mac</strong><strong>OS</strong>X 281<br />
<br />
Mappagesdestypesd’enregistrementsdegroupes(Groups)<br />
Mappagedesattributsdegroupes(Groups)<br />
Nom<strong>Open</strong><strong>Directory</strong>,<br />
RFC/classe<br />
OIDdenomdeclassed’objets<br />
LDAP<br />
ModuleexterneActive<br />
<strong>Directory</strong><br />
Groups,<br />
RFC2307<br />
posixGroup<br />
1.3.6.1.1.1.2.2<br />
objectCategory=Group<br />
Groups,<br />
enregistrépar<strong>Apple</strong><br />
apple-group<br />
1.3.6.1.4.1.63.1000.1.1.2.14<br />
schémaétendu<strong>Apple</strong><br />
Nom<strong>Open</strong><strong>Directory</strong>,<br />
RFC/classe<br />
OIDdenomd’attributLDAP<br />
ModuleexterneActive<br />
<strong>Directory</strong><br />
RecordName,<br />
RFC2256<br />
cn<br />
2.5.4.3<br />
StandardRFC<br />
Home<strong>Directory</strong>,<br />
enregistrépar<strong>Apple</strong><br />
apple-group-homeurl<br />
1.3.6.1.4.1.63.1000.1.1.1.14.1<br />
schémaétendu<strong>Apple</strong><br />
HomeLocOwner,<br />
enregistrépar<strong>Apple</strong><br />
apple-group-homeowner<br />
1.3.6.1.4.1.63.1000.1.1.1.14.2<br />
schémaétendu<strong>Apple</strong><br />
MCXFlags,<br />
enregistrépar<strong>Apple</strong><br />
apple-mcxflags<br />
1.3.6.1.4.1.63.1000.1.1.1.1.10<br />
schémaétendu<strong>Apple</strong><br />
MCXSettings,<br />
enregistrépar<strong>Apple</strong><br />
apple-mcxsettings<br />
1.3.6.1.4.1.63.1000.1.1.1.1.16<br />
schémaétendu<strong>Apple</strong><br />
RealName,<br />
enregistrépar<strong>Apple</strong><br />
apple-group-realname<br />
1.3.6.1.4.1.63.1000.1.1.1.14.5<br />
1.2.840.113556.1.2.13(Microsoft)<br />
Picture,<br />
enregistrépar<strong>Apple</strong><br />
apple-user-picture<br />
1.3.6.1.4.1.63.1000.1.1.1.1.12<br />
schémaétendu<strong>Apple</strong><br />
Keywords,<br />
enregistrépar<strong>Apple</strong><br />
apple-keyword<br />
1.3.6.1.4.1.63.1000.1.1.1.1.19<br />
schémaétendu<strong>Apple</strong><br />
GeneratedUID,<br />
enregistrépar<strong>Apple</strong><br />
apple-generateduid<br />
1.3.6.1.4.1.63.1000.1.1.1.1.20<br />
ÀpartirdeGUID—formaté<br />
GroupMembership,<br />
RFC2307<br />
memberUid<br />
1.3.6.1.1.1.1.12<br />
Généréàpartirdemember<br />
Member,<br />
RFC2307<br />
memberUid<br />
1.3.6.1.1.1.1.12<br />
IdemGroupMembership<br />
PrimaryGroupID,<br />
RFC2307<br />
gidNumber<br />
1.3.6.1.1.1.1.1<br />
Étenduàl’aidedeRFCou<br />
généréàpartirdeGUID
282 AnnexeDonnéesderépertoire<strong>Mac</strong><strong>OS</strong>X<br />
<br />
Mappagesdemontages(Mounts)<br />
LestableauxsuivantsdécriventlamanièredontlemoduleLDAPv3d’Utilitairede<br />
répertoiremappeletyped’enregistrementetlesattributs<strong>Open</strong><strong>Directory</strong>Mounts<br />
verslesclassesd’objetsetlesattributsLDAP.<br />
LestableauxspécifientégalementlamanièredontlemoduleActive<strong>Directory</strong>d’Utilitaire<br />
derépertoiremappeetgénèredesattributsetdescatégoriesd’objetsActive<strong>Directory</strong>à<br />
partird’attributsetdetypesd’enregistrements<strong>Open</strong><strong>Directory</strong>.<br />
Mappagesdestypesd’enregistrementsdemontages(Mounts)<br />
Mappagesdesattributsdemontages(Mounts)<br />
Mappagesd’ordinateurs(Computers)<br />
LestableauxsuivantsspécifientlamanièredontlemoduleLDAPv3d’Utilitairederépertoiremappeletyped’enregistrementsetlesattributs<strong>Open</strong><strong>Directory</strong>Computerssur<br />
lesclassesd’objetsLDAP.<br />
LestableauxspécifientégalementlamanièredontlemoduleActive<strong>Directory</strong>d’Utilitairederépertoiremappeetgénèredesattributsetdescatégoriesd’objetsActive<br />
<strong>Directory</strong>àpartird’attributsetdetypesd’enregistrements<strong>Open</strong><strong>Directory</strong>.<br />
Nom<strong>Open</strong><strong>Directory</strong>,<br />
RFC/classe<br />
OIDdenomdeclassed’objets<br />
LDAP<br />
ModuleexterneActive<br />
<strong>Directory</strong><br />
Mounts,<br />
enregistrépar<strong>Apple</strong><br />
mount<br />
1.3.6.1.4.1.63.1000.1.1.2.8<br />
schémaétendu<strong>Apple</strong><br />
Nom<strong>Open</strong><strong>Directory</strong>,<br />
RFC/classe<br />
OIDdenomd’attributLDAP<br />
ModuleexterneActive<br />
<strong>Directory</strong><br />
RecordName,<br />
RFC2256<br />
cn<br />
2.5.4.3<br />
StandardRFC<br />
VFSLinkDir,<br />
enregistrépar<strong>Apple</strong><br />
mount<strong>Directory</strong><br />
1.3.6.1.4.1.63.1000.1.1.1.8.1<br />
schémaétendu<strong>Apple</strong><br />
VFSOpts,<br />
enregistrépar<strong>Apple</strong><br />
mountOption<br />
1.3.6.1.4.1.63.1000.1.1.1.8.3<br />
schémaétendu<strong>Apple</strong><br />
VFSType,<br />
enregistrépar<strong>Apple</strong><br />
mountType<br />
1.3.6.1.4.1.63.1000.1.1.1.8.2<br />
schémaétendu<strong>Apple</strong><br />
VFSDumpFreq,<br />
enregistrépar<strong>Apple</strong><br />
mountDumpFrequency<br />
1.3.6.1.4.1.63.1000.1.1.1.8.4<br />
schémaétendu<strong>Apple</strong><br />
VFSPassNo,<br />
enregistrépar<strong>Apple</strong><br />
mountPassNo<br />
1.3.6.1.4.1.63.1000.1.1.1.8.5<br />
schémaétendu<strong>Apple</strong>
AnnexeDonnéesderépertoire<strong>Mac</strong><strong>OS</strong>X 283<br />
<br />
Mappagesdestypesd’enregistrementsd’ordinateurs(Computers)<br />
Mappagesdesattributsd’ordinateurs(Computers)<br />
Nom<strong>Open</strong><strong>Directory</strong>,<br />
RFC/classe<br />
OIDdenomdeclassed’objets<br />
LDAP<br />
Moduleexterne<br />
Active<strong>Directory</strong><br />
Computers,<br />
enregistrépar<strong>Apple</strong><br />
apple-computer<br />
1.3.6.1.4.1.63.1000.1.1.2.10<br />
objectCategory=Computer<br />
Nom<strong>Open</strong><strong>Directory</strong>,<br />
RFC/classe,<br />
emploispécial<br />
OIDdenomd’attributLDAP<br />
Moduleexterne<br />
Active<strong>Directory</strong><br />
RecordName,<br />
RFC2256<br />
cn<br />
2.5.4.3<br />
StandardRFC<br />
RealName,<br />
enregistrépar<strong>Apple</strong><br />
apple-realname<br />
1.3.6.1.4.1.63.1000.1.1.1.10.2<br />
1.2.840.113556.1.2.13(Microsoft)<br />
MCXFlags,<br />
enregistrépar<strong>Apple</strong><br />
apple-mcxflags<br />
1.3.6.1.4.1.63.1000.1.1.1.1.10<br />
schémaétendu<strong>Apple</strong><br />
MCXSettings,<br />
enregistrépar<strong>Apple</strong><br />
apple-mcxsettings<br />
1.3.6.1.4.1.63.1000.1.1.1.1.16<br />
schémaétendu<strong>Apple</strong><br />
Group,<br />
enregistrépar<strong>Apple</strong><br />
apple-computer-list-groups<br />
1.3.6.1.4.1.63.1000.1.1.1.11.4<br />
schémaétendu<strong>Apple</strong><br />
AuthenticationAuthority,<br />
enregistrépar<strong>Apple</strong><br />
authAuthority<br />
1.3.6.1.4.1.63.1000.1.1.2.16.1<br />
Indisponible<br />
GeneratedUID,<br />
enregistrépar<strong>Apple</strong><br />
apple-generateduid<br />
1.3.6.1.4.1.63.1000.1.1.1.1.20<br />
ÀpartirdeGUID—formaté<br />
XMLPlist,<br />
enregistrépar<strong>Apple</strong><br />
apple-xmlplist<br />
1.3.6.1.4.1.63.1000.1.1.1.17.1<br />
schémaétendu<strong>Apple</strong><br />
Comment,<br />
RFC2256<br />
description<br />
2.5.4.13<br />
StandardRFC<br />
ENetAddress,<br />
RFC2307<br />
macAddress<br />
1.3.6.1.1.1.1.22<br />
Étenduàl’aidedeRFC<br />
UniqueID,<br />
RFC2307<br />
uidNumber<br />
1.3.6.1.1.1.1.0<br />
GénéréàpartirdeGUID<br />
PrimaryGroupID,<br />
RFC2307<br />
gidNumber<br />
1.3.6.1.1.1.1.1<br />
Étenduàl’aidedeRFCou<br />
généré<br />
SMBAccountFlags,<br />
enregistréparSamba,<br />
<strong>Apple</strong>PDC<br />
acctFlags<br />
1.3.6.1.4.1.7165.2.1.4<br />
1.2.840.113556.1.4.302(Microsoft)<br />
SMBPasswordLastSet,<br />
enregistréparSamba,<br />
<strong>Apple</strong>PDC<br />
pwdLastSet<br />
1.3.6.1.4.1.7165.2.1.3<br />
1.2.840.113556.1.4.96(Microsoft)<br />
SMBLogonTime,<br />
enregistréparSamba,<br />
<strong>Apple</strong>PDC<br />
logonTime<br />
1.3.6.1.4.1.7165.2.1.5<br />
1.2.840.113556.1.4.52(Microsoft)
284 AnnexeDonnéesderépertoire<strong>Mac</strong><strong>OS</strong>X<br />
<br />
Mappagesdelistesd’ordinateurs(ComputerLists)<br />
LestableauxsuivantsspécifientlamanièredontlemoduleLDAPv3d’Utilitairederépertoiremappeletyped’enregistrementsetlesattributs<strong>Open</strong><strong>Directory</strong>ComputerLists<br />
verslesclassesd’objetsLDAP.<br />
LestableauxspécifientégalementlamanièredontlemoduleActive<strong>Directory</strong>d’Utilitairederépertoiremappeetgénèredesattributsetdescatégoriesd’objetsActive<br />
<strong>Directory</strong>àpartird’attributsetdetypesd’enregistrements<strong>Open</strong><strong>Directory</strong>.<br />
Mappagesdestypesd’enregistrementsdelistesd’ordinateurs(ComputerLists)<br />
Mappagesdesattributspourlistesd’ordinateurs(ComputerLists)<br />
SMBLogoffTime,<br />
enregistréparSamba,<br />
<strong>Apple</strong>PDC<br />
logoffTime<br />
1.3.6.1.4.1.7165.2.1.6<br />
1.2.840.113556.1.4.51(Microsoft)<br />
SMBKickoffTime,<br />
enregistréparSamba,<br />
<strong>Apple</strong>PDC<br />
kickoffTime<br />
1.3.6.1.4.1.7165.2.1.7<br />
Pasdemappage<br />
SMBRID,<br />
enregistréparSamba,<br />
<strong>Apple</strong>PDC<br />
rid<br />
1.3.6.1.4.1.7165.2.1.14<br />
1.2.840.113556.1.4.153(Microsoft)<br />
SMBGroupID,<br />
enregistréparSamba,<br />
<strong>Apple</strong>PDC<br />
primaryGroupID<br />
1.3.6.1.4.1.7165.2.1.15<br />
1.2.840.113556.1.4.98(Microsoft)<br />
Nom<strong>Open</strong><strong>Directory</strong>,<br />
RFC/classe,<br />
emploispécial<br />
OIDdenomd’attributLDAP<br />
Moduleexterne<br />
Active<strong>Directory</strong><br />
Nom<strong>Open</strong><strong>Directory</strong>,<br />
RFC/classe<br />
OIDdenomdeclassed’objets<br />
LDAP<br />
ModuleexterneActive<br />
<strong>Directory</strong><br />
ComputerLists,<br />
enregistrépar<strong>Apple</strong><br />
apple-computer-list<br />
1.3.6.1.4.1.63.1000.1.1.2.11<br />
schémaétendu<strong>Apple</strong><br />
Nom<strong>Open</strong><strong>Directory</strong>,<br />
RFC/classe<br />
OIDdenomd’attributLDAP<br />
ModuleexterneActive<br />
<strong>Directory</strong><br />
RecordName,<br />
RFC2256<br />
cn<br />
2.5.4.3<br />
StandardRFC<br />
MCXFlags,<br />
enregistrépar<strong>Apple</strong><br />
apple-mcxflags<br />
1.3.6.1.4.1.63.1000.1.1.1.1.10<br />
schémaétendu<strong>Apple</strong><br />
MCXSettings,<br />
enregistrépar<strong>Apple</strong><br />
apple-mcxsettings<br />
1.3.6.1.4.1.63.1000.1.1.1.1.16<br />
schémaétendu<strong>Apple</strong><br />
Computers,<br />
enregistrépar<strong>Apple</strong><br />
apple-computers<br />
1.3.6.1.4.1.63.1000.1.1.1.11.3<br />
schémaétendu<strong>Apple</strong>
AnnexeDonnéesderépertoire<strong>Mac</strong><strong>OS</strong>X 285<br />
<br />
Mappagesdeconfigurations(Config)<br />
LestableauxsuivantsspécifientlamanièredontlemoduleLDAPv3d’Utilitairede<br />
répertoiremappeletyped’enregistrementsetlesattributs<strong>Open</strong><strong>Directory</strong>Config<br />
verslesclassesd’objetsLDAP.<br />
LestableauxspécifientégalementlamanièredontlemoduleActive<strong>Directory</strong>d’Utilitaire<br />
derépertoiremappeetgénèredesattributsetdescatégoriesd’objetsActive<strong>Directory</strong>à<br />
partird’attributsetdetypesd’enregistrements<strong>Open</strong><strong>Directory</strong>.<br />
Mappagesdestypesd’enregistrementsdeconfigurations(Config)<br />
Mappagesdesattributsdeconfigurations(Config)<br />
Group,<br />
enregistrépar<strong>Apple</strong><br />
apple-computer-list-groups<br />
1.3.6.1.4.1.63.1000.1.1.1.11.4<br />
schémaétendu<strong>Apple</strong><br />
Keywords,<br />
enregistrépar<strong>Apple</strong><br />
apple-keyword<br />
1.3.6.1.4.1.63.1000.1.1.1.1.19<br />
schémaétendu<strong>Apple</strong><br />
Nom<strong>Open</strong><strong>Directory</strong>,<br />
RFC/classe<br />
OIDdenomd’attributLDAP<br />
ModuleexterneActive<br />
<strong>Directory</strong><br />
Nom<strong>Open</strong><strong>Directory</strong>,<br />
RFC/classe<br />
OIDdenomdeclassed’objets<br />
LDAP<br />
ModuleexterneActive<br />
<strong>Directory</strong><br />
Config,<br />
enregistrépar<strong>Apple</strong><br />
apple-configuration<br />
1.3.6.1.4.1.63.1000.1.1.2.12<br />
schémaétendu<strong>Apple</strong><br />
Nom<strong>Open</strong><strong>Directory</strong>,<br />
RFC/classe,<br />
emploispécial<br />
OIDdenomd’attributLDAP<br />
ModuleexterneActive<strong>Directory</strong><br />
RecordName,<br />
RFC2256<br />
cn<br />
2.5.4.3<br />
StandardRFC<br />
RealName,<br />
enregistrépar<strong>Apple</strong><br />
apple-config-realname<br />
1.3.6.1.4.1.63.1000.1.1.1.12.3<br />
1.2.840.113556.1.2.13(Microsoft)<br />
DataStamp,<br />
enregistrépar<strong>Apple</strong><br />
apple-data-stamp<br />
1.3.6.1.4.1.63.1000.1.1.1.12.2<br />
schémaétendu<strong>Apple</strong><br />
KDCAuthKey,<br />
enregistrépar<strong>Apple</strong>,<br />
<strong>Apple</strong>KDC<br />
apple-kdc-authkey<br />
1.3.6.1.4.1.63.1000.1.1.1.12.7<br />
Pasdemappage<br />
KDCConfigData,<br />
enregistrépar<strong>Apple</strong>,<br />
<strong>Apple</strong>KDC<br />
apple-kdc-configdata<br />
1.3.6.1.4.1.63.1000.1.1.1.12.8<br />
Pasdemappage<br />
Keywords,<br />
enregistrépar<strong>Apple</strong><br />
apple-keyword<br />
1.3.6.1.4.1.63.1000.1.1.1.1.19<br />
schémaétendu<strong>Apple</strong><br />
LDAPReadReplicas,<br />
enregistrépar<strong>Apple</strong>,<br />
<strong>Apple</strong>LDAP<strong>Server</strong><br />
apple-ldap-replica<br />
1.3.6.1.4.1.63.1000.1.1.1.12.5<br />
Pasdemappage
286 AnnexeDonnéesderépertoire<strong>Mac</strong><strong>OS</strong>X<br />
<br />
Mappagesdepersonnes(People)<br />
LestableauxsuivantsspécifientlamanièredontlemoduleLDAPv3d’Utilitairederépertoiremappeletyped’enregistrementsetlesattributs<strong>Open</strong><strong>Directory</strong>Peopleavecles<br />
classesd’objetsLDAP.<br />
LestableauxspécifientégalementlamanièredontlemoduleActive<strong>Directory</strong>d’Utilitairederépertoiremappeetgénèredesattributsetdescatégoriesd’objetsActive<br />
<strong>Directory</strong>àpartird’attributsetdetypesd’enregistrements<strong>Open</strong><strong>Directory</strong>.<br />
Mappagesdestypesd’enregistrementsdepersonnes(People)<br />
Mappagedesattributsdepersonnes(People)<br />
LDAPWriteReplicas,<br />
enregistrépar<strong>Apple</strong>,<br />
<strong>Apple</strong>LDAP<strong>Server</strong><br />
apple-ldap-writable-replica<br />
1.3.6.1.4.1.63.1000.1.1.1.12.6<br />
Pasdemappage<br />
Password<strong>Server</strong>List,<br />
enregistrépar<strong>Apple</strong>,<br />
Serveurdemotsdepasse<br />
apple-password-server-list<br />
1.3.6.1.4.1.63.1000.1.1.1.12.4<br />
Pasdemappage<br />
Password<strong>Server</strong>Location,<br />
enregistrépar<strong>Apple</strong>,<br />
Serveurdemotsdepasse<br />
apple-password-server-location<br />
1.3.6.1.4.1.63.1000.1.1.1.12.1<br />
Pasdemappage<br />
XMLPlist,<br />
enregistrépar<strong>Apple</strong><br />
apple-xmlplist<br />
1.3.6.1.4.1.63.1000.1.1.1.17.1<br />
schémaétendu<strong>Apple</strong><br />
Nom<strong>Open</strong><strong>Directory</strong>,<br />
RFC/classe,<br />
emploispécial<br />
OIDdenomd’attributLDAP<br />
ModuleexterneActive<strong>Directory</strong><br />
Nom<strong>Open</strong><strong>Directory</strong>,<br />
RFC/classe<br />
OIDdenomdeclassed’objets<br />
LDAP<br />
ModuleexterneActive<br />
<strong>Directory</strong><br />
People,<br />
RFC2798<br />
inetOrgPerson<br />
2.16.840.1.113730.3.2.2<br />
StandardRFC<br />
Nom<strong>Open</strong><strong>Directory</strong>,<br />
RFC/classe<br />
OIDdenomd’attributLDAP<br />
ModuleexterneActive<br />
<strong>Directory</strong><br />
RecordName,<br />
RFC2256<br />
cn<br />
2.5.4.3<br />
StandardRFC<br />
EMailAddress,<br />
RFC1274<br />
mail<br />
0.9.2342.19200300.100.1.3<br />
StandardRFC<br />
RealName,<br />
RFC2256<br />
cn<br />
1.2.840.113556.1.3.23<br />
StandardRFC<br />
LastName,<br />
RFC2256<br />
sn<br />
2.5.4.4<br />
StandardRFC<br />
FirstName,<br />
RFC2256<br />
givenName<br />
2.5.4.42<br />
StandardRFC
AnnexeDonnéesderépertoire<strong>Mac</strong><strong>OS</strong>X 287<br />
<br />
Mappagesdelistesd’ordinateurspréréglés(PresetComputerLists)<br />
LestableauxsuivantsspécifientlamanièredontlemoduleLDAPv3d’Utilitairederéper-<br />
toiremappeletyped’enregistrementsetlesattributs<strong>Open</strong><strong>Directory</strong>PresetComputer-<br />
Listsaveclesclassesd’objetsLDAP.<br />
LestableauxspécifientégalementlamanièredontlemoduleActive<strong>Directory</strong>d’Utilitairederépertoiremappeetgénèredesattributsetdescatégoriesd’objetsActive<br />
<strong>Directory</strong>àpartird’attributsetdetypesd’enregistrements<strong>Open</strong><strong>Directory</strong>.<br />
FaxNumber,<br />
RFC2256<br />
fax<br />
2.5.4.23<br />
StandardRFC<br />
MobileNumber,<br />
RFC1274<br />
mobile<br />
0.9.2342.19200300.100.1.41<br />
StandardRFC<br />
PagerNumber,<br />
RFC1274<br />
pager<br />
0.9.2342.19200300.100.1.42<br />
StandardRFC<br />
Department,<br />
RFC2798,<br />
departmentNumber<br />
2.16.840.1.113730.3.1.2<br />
1.2.840.113556.1.2.141(Microsoft)<br />
JobTitle,<br />
RFC2256<br />
title<br />
2.5.4.12<br />
StandardRFC<br />
PhoneNumber,<br />
RFC2256<br />
telephoneNumber<br />
2.5.4.20<br />
StandardRFC<br />
AddressLine1,<br />
RFC2256<br />
street<br />
2.5.4.9<br />
StandardRFC<br />
Street,<br />
RFC2256<br />
street<br />
2.5.4.9<br />
StandardRFC<br />
PostalAddress,<br />
RFC2256<br />
postalAddress<br />
2.5.4.16<br />
StandardRFC<br />
City,<br />
RFC2256<br />
locality<br />
2.5.4.7<br />
StandardRFC<br />
State,<br />
RFC2256<br />
st<br />
2.5.4.8<br />
StandardRFC<br />
Country,<br />
RFC2256<br />
c<br />
2.5.4.6<br />
StandardRFC<br />
PostalCode,<br />
RFC2256<br />
postalCode<br />
2.5.4.17<br />
StandardRFC<br />
OrganizationName,<br />
RFC2256<br />
o<br />
2.5.4.10<br />
1.2.840.113556.1.2.146(Microsoft)<br />
Nom<strong>Open</strong><strong>Directory</strong>,<br />
RFC/classe<br />
OIDdenomd’attributLDAP<br />
ModuleexterneActive<br />
<strong>Directory</strong>
288 AnnexeDonnéesderépertoire<strong>Mac</strong><strong>OS</strong>X<br />
<br />
Mappagesdestypesd’enregistrementsdelistesd’ordinateurspréréglés<br />
(PresetComputerLists)<br />
Mappagesdesattributsdelistesd’ordinateurspréréglés(PresetComputerLists)<br />
Mappagesdegroupespréréglés(PresetGroups)<br />
LestableauxsuivantsspécifientlamanièredontlemoduleLDAPv3d’Utilitairederépertoiremappeletyped’enregistrementsetlesattributs<strong>Open</strong><strong>Directory</strong>PresetGroups<br />
aveclesclassesd’objetsLDAP.<br />
LestableauxspécifientégalementlamanièredontlemoduleActive<strong>Directory</strong>d’Utilitairederépertoiremappeetgénèredesattributsetdescatégoriesd’objetsActive<br />
<strong>Directory</strong>àpartird’attributsetdetypesd’enregistrements<strong>Open</strong><strong>Directory</strong>.<br />
Mappagesdestypesd’enregistrementsdegroupespréréglés(PresetGroups)<br />
Mappagesdesattributsdegroupespréréglés(PresetGroups)<br />
Nom<strong>Open</strong><strong>Directory</strong>,<br />
RFC/classe<br />
OIDdenomdeclassed’objets<br />
LDAP<br />
ModuleexterneActive<br />
<strong>Directory</strong><br />
PresetComputerLists,<br />
enregistrépar<strong>Apple</strong><br />
apple-preset-computer-list<br />
1.3.6.1.4.1.63.1000.1.1.2.13<br />
schémaétendu<strong>Apple</strong><br />
Nom<strong>Open</strong><strong>Directory</strong>,<br />
RFC/classe<br />
OIDdenomd’attributLDAP<br />
ModuleexterneActive<br />
<strong>Directory</strong><br />
RecordName,<br />
RFC2256<br />
cn<br />
2.5.4.3<br />
StandardRFC<br />
MCXFlags,<br />
enregistrépar<strong>Apple</strong><br />
apple-mcxflags<br />
1.3.6.1.4.1.63.1000.1.1.1.1.10<br />
schémaétendu<strong>Apple</strong><br />
MCXSettings,<br />
enregistrépar<strong>Apple</strong><br />
apple-mcxsettings<br />
1.3.6.1.4.1.63.1000.1.1.1.1.16<br />
schémaétendu<strong>Apple</strong><br />
Keywords,<br />
enregistrépar<strong>Apple</strong><br />
apple-keyword<br />
1.3.6.1.4.1.63.1000.1.1.1.1.19<br />
schémaétendu<strong>Apple</strong><br />
Nom<strong>Open</strong><strong>Directory</strong>,<br />
RFC/classe<br />
OIDdenomdeclassed’objets<br />
LDAP<br />
ModuleexterneActive<br />
<strong>Directory</strong><br />
PresetGroups,<br />
enregistrépar<strong>Apple</strong><br />
apple-preset-group<br />
1.3.6.1.4.1.63.1000.1.1.3.14<br />
schémaétendu<strong>Apple</strong><br />
Nom<strong>Open</strong><strong>Directory</strong>,<br />
RFC/classe<br />
OIDdenomd’attributLDAP<br />
ModuleexterneActive<br />
<strong>Directory</strong><br />
Home<strong>Directory</strong>,<br />
enregistrépar<strong>Apple</strong><br />
apple-group-homeurl<br />
1.3.6.1.4.1.63.1000.1.1.1.1.6<br />
schémaétendu<strong>Apple</strong><br />
HomeLocOwner,<br />
enregistrépar<strong>Apple</strong><br />
apple-group-homeowner<br />
1.3.6.1.4.1.63.1000.1.1.1.14.2<br />
schémaétendu<strong>Apple</strong>
AnnexeDonnéesderépertoire<strong>Mac</strong><strong>OS</strong>X 289<br />
<br />
Mappagesd’utilisateurspréréglés(PresetUsers)<br />
LestableauxsuivantsspécifientlamanièredontlemoduleLDAPv3d’Utilitairederépertoiremappeletyped’enregistrementsetlesattributs<strong>Open</strong><strong>Directory</strong>PresetUsersavec<br />
lesclassesd’objetsLDAP.<br />
LestableauxspécifientégalementlamanièredontlemoduleActive<strong>Directory</strong>d’Utilitairederépertoiremappeetgénèredesattributsetdescatégoriesd’objetsActive<br />
<strong>Directory</strong>àpartird’attributsetdetypesd’enregistrements<strong>Open</strong><strong>Directory</strong>.<br />
Mappagesdestypesd’enregistrementsd’utilisateurspréréglés(PresetUsers)<br />
Mappagesdesattributsd’utilisateurspréréglés(PresetUsers)<br />
MCXFlags,<br />
enregistrépar<strong>Apple</strong><br />
apple-mcxflags<br />
1.3.6.1.4.1.63.1000.1.1.1.1.10<br />
schémaétendu<strong>Apple</strong><br />
MCXSettings,<br />
enregistrépar<strong>Apple</strong><br />
apple-mcxsettings<br />
1.3.6.1.4.1.63.1000.1.1.1.1.16<br />
schémaétendu<strong>Apple</strong><br />
RealName,<br />
enregistrépar<strong>Apple</strong><br />
apple-group-realname<br />
1.3.6.1.4.1.63.1000.1.1.1.14.5<br />
schémaétendu<strong>Apple</strong><br />
Keywords,<br />
enregistrépar<strong>Apple</strong><br />
apple-keyword<br />
1.3.6.1.4.1.63.1000.1.1.1.1.19<br />
schémaétendu<strong>Apple</strong><br />
RecordName,<br />
RFC2256<br />
cn<br />
2.5.4.3<br />
StandardRFC<br />
GroupMembership,<br />
RFC2307<br />
memberUid<br />
1.3.6.1.1.1.1.12<br />
Étenduàl’aidedeRFC<br />
PrimaryGroupID,<br />
RFC2307<br />
gidNumber<br />
1.3.6.1.1.1.1.1<br />
Étenduàl’aidedeRFC<br />
Nom<strong>Open</strong><strong>Directory</strong>,<br />
RFC/classe<br />
OIDdenomd’attributLDAP<br />
ModuleexterneActive<br />
<strong>Directory</strong><br />
Nom<strong>Open</strong><strong>Directory</strong>,<br />
RFC/classe<br />
OIDdenomdeclassed’objets<br />
LDAP<br />
ModuleexterneActive<br />
<strong>Directory</strong><br />
PresetUsers,<br />
enregistrépar<strong>Apple</strong><br />
apple-preset-user<br />
1.3.6.1.4.1.63.1000.1.1.2.15<br />
ObjectCategory=Person<br />
Nom<strong>Open</strong><strong>Directory</strong>,<br />
RFC/classe<br />
OIDdenomd’attributLDAP<br />
ModuleexterneActive<br />
<strong>Directory</strong><br />
Home<strong>Directory</strong>,<br />
enregistrépar<strong>Apple</strong><br />
apple-user-homeurl<br />
1.3.6.1.4.1.63.1000.1.1.1.1.6<br />
Indisponible<br />
Home<strong>Directory</strong>Quota,<br />
enregistrépar<strong>Apple</strong><br />
apple-user-homequota<br />
1.3.6.1.4.1.63.1000.1.1.1.1.8<br />
schémaétendu<strong>Apple</strong><br />
Home<strong>Directory</strong>SoftQuota,<br />
enregistrépar<strong>Apple</strong><br />
apple-user-homesoftquota<br />
1.3.6.1.4.1.63.1000.1.1.1.1.17<br />
schémaétendu<strong>Apple</strong><br />
MailAttribute,<br />
enregistrépar<strong>Apple</strong><br />
apple-user-mailattribute<br />
1.3.6.1.4.1.63.1000.1.1.1.1.9<br />
schémaétendu<strong>Apple</strong>
290 AnnexeDonnéesderépertoire<strong>Mac</strong><strong>OS</strong>X<br />
<br />
Mappagesd’imprimantes(Printers)<br />
LestableauxsuivantsspécifientlamanièredontlemoduleLDAPv3d’Utilitairederépertoiremappeletyped’enregistrementsetlesattributs<strong>Open</strong><strong>Directory</strong>Printersavecles<br />
classesd’objetsLDAP.<br />
PrintServiceUserData,<br />
enregistrépar<strong>Apple</strong><br />
apple-user-printattribute<br />
1.3.6.1.4.1.63.1000.1.1.1.1.13<br />
schémaétendu<strong>Apple</strong><br />
MCXFlags,<br />
enregistrépar<strong>Apple</strong><br />
apple-mcxflags<br />
1.3.6.1.4.1.63.1000.1.1.1.1.10<br />
schémaétendu<strong>Apple</strong><br />
MCXSettings,<br />
enregistrépar<strong>Apple</strong><br />
apple-mcxsettings<br />
1.3.6.1.4.1.63.1000.1.1.1.1.16<br />
schémaétendu<strong>Apple</strong><br />
AdminLimits,<br />
enregistrépar<strong>Apple</strong><br />
apple-user-adminlimits<br />
1.3.6.1.4.1.63.1000.1.1.1.1.14<br />
schémaétendu<strong>Apple</strong><br />
Picture,<br />
enregistrépar<strong>Apple</strong><br />
apple-user-picture<br />
1.3.6.1.4.1.63.1000.1.1.1.1.12<br />
schémaétendu<strong>Apple</strong><br />
AuthenticationAuthority,<br />
enregistrépar<strong>Apple</strong><br />
authAuthority<br />
1.3.6.1.4.1.63.1000.1.1.2.16.1<br />
Indisponible<br />
PasswordPolicyOptions,<br />
enregistrépar<strong>Apple</strong><br />
apple-user-passwordpolicy<br />
1.3.6.1.4.1.63.1000.1.1.1.1.18<br />
schémaétendu<strong>Apple</strong><br />
PresetUserIsAdmin,<br />
enregistrépar<strong>Apple</strong><br />
apple-preset-user-is-admin<br />
1.3.6.1.4.1.63.1000.1.1.1.15.1<br />
schémaétendu<strong>Apple</strong><br />
Keywords,<br />
enregistrépar<strong>Apple</strong><br />
apple-keyword<br />
1.3.6.1.4.1.63.1000.1.1.1.1.19<br />
schémaétendu<strong>Apple</strong><br />
RecordName,<br />
RFC1274<br />
cn<br />
2.5.4.3<br />
StandardRFC<br />
RealName,<br />
RFC2256<br />
cn<br />
2.5.4.3<br />
StandardRFC<br />
Password,<br />
RFC2256<br />
userPassword<br />
2.5.4.35<br />
Indisponible<br />
GroupMembership,<br />
RFC2307<br />
memberUid<br />
1.3.6.1.1.1.1.12<br />
Étenduàl’aidedeRFC<br />
PrimaryGroupID,<br />
RFC2307<br />
gidNumber<br />
1.3.6.1.1.1.1.1<br />
Étenduàl’aidedeRFC<br />
NFSHome<strong>Directory</strong>,<br />
RFC2307<br />
home<strong>Directory</strong><br />
1.3.6.1.1.1.1.3<br />
Indisponible<br />
UserShell,<br />
RFC2307<br />
loginShell<br />
1.3.6.1.1.1.1.4<br />
Étenduàl’aidedeRFC<br />
Change,<br />
RFC2307<br />
shadowLastChange<br />
1.3.6.1.1.1.1.5<br />
Indisponible<br />
Expire,<br />
RFC2307<br />
shadowExpire<br />
1.3.6.1.1.1.1.10<br />
Indisponible<br />
Nom<strong>Open</strong><strong>Directory</strong>,<br />
RFC/classe<br />
OIDdenomd’attributLDAP<br />
ModuleexterneActive<br />
<strong>Directory</strong>
AnnexeDonnéesderépertoire<strong>Mac</strong><strong>OS</strong>X 291<br />
<br />
LestableauxspécifientégalementlamanièredontlemoduleActive<strong>Directory</strong>d’Utilitairederépertoiremappeetgénèredesattributsetdescatégoriesd’objetsActive<br />
<strong>Directory</strong>àpartird’attributsetdetypesd’enregistrements<strong>Open</strong><strong>Directory</strong>.<br />
Mappagesdestypesd’enregistrementsd’imprimantes(Printers)<br />
Mappagesdesattributsd’imprimantes(Printers)<br />
Nom<strong>Open</strong><strong>Directory</strong>,<br />
RFC/classe<br />
OIDdenomdeclassed’objets<br />
LDAP<br />
ModuleexterneActive<br />
<strong>Directory</strong><br />
Printers,<br />
enregistrépar<strong>Apple</strong><br />
apple-printer<br />
1.3.6.1.4.1.63.1000.1.1.2.9<br />
ObjectCategory=Print-Queue<br />
Printers,<br />
IETF-Draft-IPP-LDAP<br />
printerIPP<br />
1.3.18.0.2.6.256<br />
Nom<strong>Open</strong><strong>Directory</strong>,<br />
RFC/classe,<br />
emploispécial<br />
OIDdenomd’attributLDAP<br />
ModuleexterneActive<strong>Directory</strong><br />
RecordName,<br />
RFC2256<br />
cn<br />
2.5.4.3<br />
StandardRFC<br />
RealName,<br />
RFC2256<br />
Nonprémappé<br />
1.2.840.113556.1.4.300(Microsoft)<br />
PrinterLPRHost,<br />
enregistrépar<strong>Apple</strong>,<br />
gestionhéritée<br />
apple-printer-lprhost<br />
1.3.6.1.4.1.63.1000.1.1.1.9.2<br />
Indisponible<br />
PrinterLPRQueue,<br />
enregistrépar<strong>Apple</strong>,<br />
gestionhéritée<br />
apple-printer-lprqueue<br />
1.3.6.1.4.1.63.1000.1.1.1.9.3<br />
Indisponible<br />
PrinterType,<br />
enregistrépar<strong>Apple</strong>,<br />
gestionhéritée<br />
apple-printer-type<br />
1.3.6.1.4.1.63.1000.1.1.1.9.4<br />
Indisponible<br />
PrinterNote,<br />
enregistrépar<strong>Apple</strong>,<br />
gestionhéritée<br />
apple-printer-note<br />
1.3.6.1.4.1.63.1000.1.1.1.9.5<br />
Indisponible<br />
Location,<br />
IETF-Draft-IPP-LDAP<br />
Nonprémappé;pourraitêtre<br />
mappévers:printer-location<br />
1.3.18.0.2.4.1136<br />
1.2.840.113556.1.4.222(Microsoft)<br />
Comment,<br />
RFC2256<br />
Nonprémappé;pourraitêtre<br />
mappévers:description<br />
2.5.4.13<br />
StandardRFC<br />
PrinterMakeAndModel,<br />
IETF-Draft-IPP-LDAP<br />
Nonprémappé;pourraitêtre<br />
mappévers:printer-make-andmodel<br />
1.3.18.0.2.4.1138<br />
1.2.840.113556.1.4.229(Microsoft)<br />
PrinterURI,<br />
IETF-Draft-IPP-LDAP<br />
Nonprémappé;pourraitêtre<br />
mappévers:printer-uri<br />
1.3.18.0.2.4.1140<br />
GénéréàpartirdeuNCName
292 AnnexeDonnéesderépertoire<strong>Mac</strong><strong>OS</strong>X<br />
<br />
Mappagesdeconfigurationsautomatiquesdeserveur<br />
(Auto<strong>Server</strong>Setup)<br />
LestableauxsuivantsspécifientlamanièredontlemoduleLDAPv3d’Utilitairederépertoiremappeletyped’enregistrementsetlesattributs<strong>Open</strong><strong>Directory</strong>Auto<strong>Server</strong>Setup<br />
aveclesclassesd’objetsLDAP.<br />
LestableauxspécifientégalementlamanièredontlemoduleActive<strong>Directory</strong>d’Utilitairederépertoiremappeetgénèredesattributsetdescatégoriesd’objetsActive<br />
<strong>Directory</strong>àpartird’attributsetdetypesd’enregistrements<strong>Open</strong><strong>Directory</strong>.<br />
Mappagesdestypesd’enregistrementsdeconfigurationsautomatiquesdeserveur(Auto<strong>Server</strong>Setup)<br />
Mappagesdesattributsd’enregistrementsdeconfigurationsautomatiques<br />
deserveur(Auto<strong>Server</strong>Setup)<br />
Mappagesd’emplacements(Locations)<br />
LestableauxsuivantsspécifientlamanièredontlemoduleLDAPv3d’Utilitairederépertoiremappeletyped’enregistrementsetlesattributs<strong>Open</strong><strong>Directory</strong>Locationsavec<br />
lesclassesd’objetsLDAP.<br />
PrinterXRISupported,<br />
IETF-Draft-IPP-LDAP<br />
Nonprémappé;pourraitêtre<br />
mappévers:printer-xri-supported<br />
1.3.18.0.2.4.1107<br />
GénéréàpartirdeportName/<br />
uNCName<br />
Printer1284DeviceID,<br />
enregistrépar<strong>Apple</strong><br />
Nonprémappé;pourraitêtre<br />
mappévers:printer-1284-<br />
device-id<br />
1.3.6.1.4.1.63.1000.1.1.1.9.6<br />
schémaétendu<strong>Apple</strong><br />
Nom<strong>Open</strong><strong>Directory</strong>,<br />
RFC/classe,<br />
emploispécial<br />
OIDdenomd’attributLDAP<br />
ModuleexterneActive<strong>Directory</strong><br />
Nom<strong>Open</strong><strong>Directory</strong>,<br />
RFC/classe<br />
OIDdenomdeclassed’objets<br />
LDAP<br />
ModuleexterneActive<br />
<strong>Directory</strong><br />
Auto<strong>Server</strong>Setup,<br />
enregistrépar<strong>Apple</strong><br />
apple-serverassistant-config<br />
1.3.6.1.4.1.63.1000.1.1.2.17<br />
schémaétendu<strong>Apple</strong><br />
Nom<strong>Open</strong><strong>Directory</strong>,<br />
RFC/classe<br />
OIDdenomd’attributLDAP<br />
ModuleexterneActive<br />
<strong>Directory</strong><br />
RecordName,<br />
RFC2256<br />
cn<br />
2.5.4.3<br />
StandardRFC<br />
XMLPlist,<br />
enregistrépar<strong>Apple</strong><br />
apple-xmlplist<br />
1.3.6.1.4.1.63.1000.1.1.1.17.1<br />
schémaétendu<strong>Apple</strong>
LestableauxspécifientégalementlamanièredontlemoduleActive<strong>Directory</strong>d’Utilitairederépertoiremappeetgénèredesattributsetdescatégoriesd’objetsActive<br />
<strong>Directory</strong>àpartird’attributsetdetypesd’enregistrements<strong>Open</strong><strong>Directory</strong>.<br />
Mappagesdestypesd’enregistrementsd’emplacements(Locations)<br />
Nom<strong>Open</strong><strong>Directory</strong>,<br />
RFC/classe<br />
Locations,<br />
enregistrépar<strong>Apple</strong><br />
OIDdenomdeclassed’objets<br />
LDAP<br />
apple-location<br />
1.3.6.1.4.1.63.1000.1.1.2.18<br />
ModuleexterneActive<br />
<strong>Directory</strong><br />
schémaétendu<strong>Apple</strong><br />
Mappagesdesattributsd’emplacements(Locations)<br />
Nom<strong>Open</strong><strong>Directory</strong>,<br />
RFC/classe<br />
RecordName,<br />
RFC2256<br />
DNSDomain,<br />
enregistrépar<strong>Apple</strong><br />
DNSName<strong>Server</strong>,<br />
enregistrépar<strong>Apple</strong><br />
OIDdenomd’attributLDAP<br />
cn<br />
2.5.4.3<br />
apple-dns-domain<br />
1.3.6.1.4.1.63.1000.1.1.1.18.1<br />
apple-dns-nameserver<br />
1.3.6.1.4.1.63.1000.1.1.1.18.2<br />
ModuleexterneActive<br />
<strong>Directory</strong><br />
StandardRFC<br />
schémaétendu<strong>Apple</strong><br />
schémaétendu<strong>Apple</strong><br />
typesd’enregistrementsetattributs<strong>Open</strong><strong>Directory</strong>standard<br />
Pourensavoirplussurlestypesd’enregistrementsetlesattributsstandarddansles<br />
domaines<strong>Open</strong><strong>Directory</strong>,consultezlesrubriquessuivantes:<br />
 «Attributsstandarddanslesenregistrementsd’utilisateurs»àlapage293<br />
 «Attributsstandarddanslesenregistrementsdegroupes»àlapage299<br />
 «Attributsstandarddanslesenregistrementsd’ordinateurs»àlapage300<br />
 «Attributsstandarddanslesenregistrementsdegroupesd’ordinateurs»<br />
àlapage301<br />
 «Attributsstandarddanslesenregistrementsdemontages»àlapage302<br />
 «Attributsstandarddanslesenregistrementsdeconfigurations»àlapage303<br />
Pourobtenirunelistecomplètedestypesd’enregistrementsetdesattributsstandard,<br />
consultezlefichiersuivant:<br />
/System/Library/Frameworks/<strong>Directory</strong>Service.framework/Headers/DirServicesConst.h<br />
Attributsstandarddanslesenregistrementsd’utilisateurs<br />
Letableausuivantdécritlesattributsstandardfigurantdanslesenregistrementsd’utilisateurs<strong>Open</strong><strong>Directory</strong>.UtilisezcesinformationslorsquevoustravaillezdanslasousfenêtreInspecteurdeGestionnairedegroupedetravailoulorsquevousmappezdes<br />
attributsd’enregistrementsd’utilisateursavecUtilitairederépertoire.<br />
AnnexeDonnéesderépertoire<strong>Mac</strong><strong>OS</strong>X 293
294 AnnexeDonnéesderépertoire<strong>Mac</strong><strong>OS</strong>X<br />
<br />
Important:lorsdumappagedesattributsd’utilisateurs<strong>Mac</strong><strong>OS</strong>Xsurundomainede<br />
répertoireLDAPenlecture/écriture(undomaineLDAPquin’estpasenlectureseule),<br />
nemappezpasl’attributRealNameetlepremierattributRecordNamesurlemême<br />
attributLDAP.<br />
Parexemple,nemappezpasàlafoisRealNameetRecordNamesurl’attributcn.SiReal-<br />
NameetRecordNamesontmappéssurlemêmeattributLDAP,desproblèmesseproduirontlorsquevousessaierezdemodifierlenomcompletoulepremiernomabrégé<br />
dansGestionnairedegroupedetravail.<br />
Attributd’utilisateur<strong>Mac</strong><strong>OS</strong>X Format Exemplesdevaleurs<br />
Nomdel’entrée:<br />
Unelistedenomsassociésàun<br />
utilisateur.Lepremiernomestle<br />
nomabrégédel’utilisateurainsi<br />
quelenomdudossierdedépart<br />
decedernier.<br />
IMPORTANTTouslesattributs<br />
utiliséspourl’authentification<br />
doiventêtremappéssurRecord-<br />
Name.<br />
Premièrevaleur:caractères<br />
ASCIIdeAàZ,aàz,0à9,_,-<br />
Deuxièmevaleur:texteromain<br />
UTF-8<br />
Jean<br />
JeanD.<br />
J.Dupont<br />
Longueurnonnulle,de1à16<br />
valeurs.Maximum255octets<br />
(de85caractèrestripleoctetsà<br />
255caractèresd’unoctet)par<br />
instance.<br />
Lapremièrevaleurdoitêtre1à<br />
8octetspourlesclientsquiutilisent<strong>Mac</strong><strong>OS</strong>X10.1ouantérieur.<br />
Nomréel:<br />
Unnom,habituellementlenom<br />
completdel’utilisateur;nonutilisépourl’authentification.<br />
TexteUTF-8<br />
JeanDupont.<br />
Longueurnonnulle,d’unmaximumde255octets(soit85<br />
caractèrestripleoctetsou255<br />
caractèresd’unoctet).<br />
Identifiantunique:<br />
Identifiantutilisateurunique,utilisépourlagestiondesautorisationsd’accès.<br />
ChaîneASCIIsignéeà32bits,<br />
composéedechiffresde0à9<br />
Lesvaleursinférieuresà500<br />
peuventavoirunesignification<br />
particulière.Lesvaleursinférieuresà100sontgénéralement<br />
attribuéesauxcomptesdesystème.Zéroestréservéausystème.<br />
Normalementuniqueparrapportauxautresutilisateursmais<br />
parfoisendouble.<br />
Avertissement:unevaleurnon<br />
entièreestinterprétéecomme<br />
un0,c’est-à-direl’identificateur<br />
uniqueducomptedel’’utilisateurroot.<br />
Identifiantdegroupeprincipal:<br />
Associationdegroupeprincipal<br />
d’utilisateur<br />
ChaîneASCIIsignéeà32bits,<br />
composéedechiffresde0à9<br />
Plagede1à2.147.483.648<br />
Normalementuniquedanstous<br />
lesenregistrementsdegroupe.<br />
Sivide,lavaleursupposéeest<br />
20.
AnnexeDonnéesderépertoire<strong>Mac</strong><strong>OS</strong>X 295<br />
<br />
Répertoired’accueilNFS:<br />
Chemind’accèsaudossierde<br />
départdel’utilisateur,dansle<br />
systèmedefichierslocal.<br />
TexteUTF-8<br />
/Network/<strong>Server</strong>s/example/<br />
Users/K-M/TomKing<br />
Longueurnonnulle.Maximum<br />
255octets.<br />
Répertoired’accueil<br />
Emplacementd’undossierde<br />
départAFP.<br />
TexteXMLUTF-8<br />
<br />
afp://server/sharept<br />
usershomedir<br />
<br />
Dansl’exempleci-dessous,le<br />
dossierdedépartdeTomKing<br />
estK-M/TomKing,quirésideen<br />
dessousdurépertoiredupoint<br />
departageUtilisateurs:<br />
<br />
afp://example.com/<br />
Users<br />
K-M/TomKing<br />
<br />
Home<strong>Directory</strong>Quota:<br />
Quotadedisquedudossierde<br />
départdel’utilisateur.<br />
Texteindiquantlenombre<br />
d’octetsautorisés<br />
Silequotaestde10Mo,la<br />
valeurseralachaînedetexte<br />
«1048576».<br />
Attributdecourrier:<br />
Configurationduservicede<br />
courrierd’unutilisateur.<br />
TexteXMLUTF-8<br />
PrintServiceUserData:<br />
Statistiquesduquotad’impressiond’unutilisateur.<br />
plistXMLUTF-8,valeurunique .<br />
MCXFlags:<br />
S’ilestprésent,MCXSettingsest<br />
chargé;danslecascontraire,il<br />
nel’estpas.Obligatoirepourun<br />
utilisateurgéré.<br />
plistXMLUTF-8,valeurunique<br />
RéglagesMCX:<br />
Préférencesgéréesd’unutilisateur.<br />
plistXMLUTF-8,valeursmultiples<br />
AdminLimits:<br />
AutorisationsaccordéesparGestionnairedegroupedetravailà<br />
unutilisateurquipeutadministrerledomainederépertoire.<br />
plistXMLUTF-8,valeurunique<br />
Motdepasse:<br />
Motdepassedel’utilisateur.<br />
CryptageUNIX<br />
Attributd’utilisateur<strong>Mac</strong><strong>OS</strong>X Format Exemplesdevaleurs
296 AnnexeDonnéesderépertoire<strong>Mac</strong><strong>OS</strong>X<br />
<br />
Image:<br />
Chemind’accèsàunfichier<br />
d’imagereconnuàafficherpour<br />
l’utilisateur.<br />
TexteUTF-8<br />
Maximum255octets.<br />
Commentaires:<br />
Toutedocumentationdevotre<br />
choix.<br />
TexteUTF-8<br />
Jeanestresponsabledumarketing<br />
Maximum32676octets.<br />
Shellutilisateur:<br />
Emplacementdushellpar<br />
défautpourl’envoidecommandesauserveur.<br />
Chemind’accès<br />
/bin/tcsh<br />
/bin/sh<br />
Aucun.Cettevaleurempêcheles<br />
utilisateurspossédantdes<br />
comptesdansledomainede<br />
répertoired’accéderauserveur<br />
àdistanceviaunelignedecommande.<br />
Longueurnonnulle.<br />
Change:<br />
Nonutilisépar<strong>Mac</strong><strong>OS</strong>Xmais<br />
correspondàunepartiedu<br />
schémaLDAPstandard.<br />
Nombre<br />
Expire:<br />
Nonutilisépar<strong>Mac</strong><strong>OS</strong>Xmais<br />
correspondàunepartiedu<br />
schémaLDAPstandard.<br />
Nombre<br />
Droitd’authentification:<br />
Décritlesméthodesd’authentificationdel’utilisateur,comme,<br />
parexemple,<strong>Open</strong><strong>Directory</strong>,<br />
MotdepasseshadowouMotde<br />
passecrypté.<br />
Facultatifpourunutilisateurne<br />
possédantqu’unmotdepasse<br />
crypté.<br />
L’absencedecetattributsignifiel’authentificationhéritée<br />
(cryptéeavecGestionnaire<br />
d’authentification,lecas<br />
échéant).<br />
TexteASCII<br />
Lesvaleursdécriventlesméthodesd’authentificationd’utilisateur.<br />
Peutêtremultivalué(parexemple;<strong>Apple</strong>Password<strong>Server</strong>;et<br />
;Kerberosv5;).<br />
Chaquevaleuraleformatvers;<br />
balise;données(oùversetdonnéespeuventêtrevides).<br />
Motdepassecrypté:;basic;<br />
Motdepasse<strong>Open</strong><strong>Directory</strong><br />
:;<strong>Apple</strong>Password<strong>Server</strong>;HexID,<br />
clépubliqueduserveurIPaddress:port;Kerberosv5;données<br />
Kerberos<br />
Motdepasseshadow(domaine<br />
derépertoirelocaluniquement)<br />
:<br />
 ;ShadowHash;<br />
 ;ShadowHash;<br />
Attributd’utilisateur<strong>Mac</strong><strong>OS</strong>X Format Exemplesdevaleurs
AnnexeDonnéesderépertoire<strong>Mac</strong><strong>OS</strong>X 297<br />
<br />
Indiced’authentification:<br />
Textedéfiniparl’utilisateurpour<br />
êtreaffichéàtitred’indicede<br />
motdepasse.<br />
TexteUTF-8<br />
Vousavezvujuste.<br />
Maximum255octets.<br />
FirstName:<br />
UtiliséparCarnetd’adresseset<br />
d’autresapplicationsutilisantla<br />
règlederecherchedecontacts.<br />
LastName:<br />
UtiliséparCarnetd’adresseset<br />
d’autresapplicationsutilisantla<br />
règlederecherchedecontacts.<br />
Adressedecourrierélectronique:<br />
Adresseélectroniqueàlaquelle<br />
lecourrierélectroniquedoitêtre<br />
réexpédiélorsqu’unutilisateura<br />
unattributnoMaildéfini.<br />
UtiliséparCarnetd’adresses,<br />
Mailetd’autresapplicationsutilisantlapolitiquederecherche<br />
decontacts.<br />
Touteadresseélectronique<br />
légaleselonRFC822<br />
utilisateur@exemple.com<br />
PhoneNumber:<br />
UtiliséparCarnetd’adresseset<br />
d’autresapplicationsutilisant<br />
lapolitiquederecherchede<br />
contacts.<br />
AddressLine1:<br />
UtiliséparCarnetd’adresseset<br />
d’autresapplicationsutilisant<br />
lapolitiquederecherchede<br />
contacts.<br />
PostalAddress:<br />
UtiliséparCarnetd’adresseset<br />
d’autresapplicationsutilisant<br />
lapolitiquederecherchede<br />
contacts.<br />
PostalCode:<br />
UtiliséparCarnetd’adresseset<br />
d’autresapplicationsutilisantla<br />
politiquederecherchedecontacts.<br />
OrganizationName:<br />
UtiliséparCarnetd’adresseset<br />
d’autresapplicationsutilisant<br />
lapolitiquederecherchede<br />
contacts.<br />
Attributd’utilisateur<strong>Mac</strong><strong>OS</strong>X Format Exemplesdevaleurs
Donnéesd’utilisateurutiliséespar<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong><br />
Letableausuivantdécritlamanièredontvotreserveur<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>utiliselesdonnéesdesenregistrementsd’utilisateursdesdomainesderépertoire.Consultezce<br />
tableaupoursavoirquelssontlesattributs(outypesdedonnées)quelesservicesde<br />
votreserveurs’attendentàtrouverdanslesenregistrementsd’utilisateursdesdomainesderépertoire.<br />
Danslacolonnesituéeleplusàgauche,«Touslesservices»couvreAFP,SMB,FTP,<br />
HTTP,NFS,WebDAV,POP,IMAP,Gestionnairedegroupedetravail,AdminServeur<br />
etlafenêtred’ouverturedesessionde<strong>Mac</strong><strong>OS</strong>X.<br />
Composantduserveur Attributd’utilisateur<strong>Mac</strong><strong>OS</strong>X Dépendance<br />
Touslesservices RecordName Requispourl’authentification<br />
Touslesservices Nomréel Requispourl’authentification<br />
Touslesservices AuthenticationAuthority Utilisépourl’authentification<br />
Kerberos,parserveurdemots<br />
depasseetparmotdepasse<br />
shadow<br />
Touslesservices Password Utilisépourl’authentification<br />
élémentaire(motdepasse<br />
crypté)ouLiaisonLDAP<br />
Touslesservices Identifiantunique Nécessairepourl’autorisation<br />
(parexemple,permissionsde<br />
fichieretcomptesdecourrier)<br />
Touslesservices PrimaryGroupID Nécessairepourl’autorisation<br />
(parexemple,permissionsde<br />
fichieretcomptesdecourrier)<br />
ServiceFTP<br />
Serviceweb<br />
Servicedefichiers<strong>Apple</strong><br />
ServiceNFS<br />
Fenêtred’ouverturedesession<br />
de<strong>Mac</strong><strong>OS</strong>X<br />
Préférencesdel’applicationet<br />
préférencessystème<br />
Répertoired’accueil<br />
Répertoired’accueilNFS<br />
Facultatif<br />
Servicedecourrier Attributdecourrier Obligatoirepourouvrirunesessiondansleservicedemessageriedevotreserveur<br />
Servicedecourrier Adresseélectronique Facultatif<br />
298 AnnexeDonnéesderépertoire<strong>Mac</strong><strong>OS</strong>X
AnnexeDonnéesderépertoire<strong>Mac</strong><strong>OS</strong>X 299<br />
<br />
Attributsstandarddanslesenregistrementsdegroupes<br />
Letableausuivantdécritlesattributsstandardfigurantdanslesenregistrementsde<br />
groupes<strong>Open</strong><strong>Directory</strong>.UtilisezcesinformationslorsquevoustravaillezdanslasousfenêtreInspecteurdeGestionnairedegroupedetravailoulorsquevousmappezdes<br />
attributsdegroupesavecUtilitairederépertoire.<br />
Attributdegroupe<strong>Mac</strong><strong>OS</strong>X Format Exemplesdevaleurs<br />
Nomdel’entrée:<br />
Nomassociéàungroupe<br />
caractèresASCIIAàZ,aàz,<br />
0à9,_<br />
Sciences<br />
Dépt_Sciences<br />
Prof.Sciences<br />
Longueurnonnulle,maximum<br />
255octets(de85caractèrestripleoctetsà255caractèresd’un<br />
octet).<br />
Nomréel:<br />
Habituellementlenomcomplet<br />
dugroupe<br />
TexteUTF-8<br />
Professeursdudépartementde<br />
sciences<br />
Longueurnonnulle,maximum<br />
255octets(de85caractèrestripleoctetsà255caractèresd’un<br />
octet).<br />
Identifiantdegroupeprincipal:<br />
Unidentifiantuniquepourle<br />
groupe<br />
ChaîneASCIIsignéeà32bits,<br />
composéedechiffresde0à9<br />
Normalementuniquedanstous<br />
lesenregistrementsdegroupe.<br />
Membresdugroupe:<br />
Listedenomsabrégésd’enregistrementsd’utilisateursconsidéréscommefaisantpartiedu<br />
groupe<br />
CaractèresASCIIAàZ,aàz,<br />
0à9,_,-<br />
bsmith,jdoe<br />
Peutêtreunelistevide(normalementpourlegroupeprincipal<br />
desutilisateurs).<br />
Répertoired’accueil<br />
Emplacementd’undossierde<br />
départAFPdugroupe<br />
TexteUTF-8structuré<br />
<br />
afp://server/sharept<br />
grouphomedir<br />
<br />
Dansl’exempleci-dessous,le<br />
dossierdedépartdugroupe<br />
SciencesestK-M/Science,qui<br />
résideendessousdurépertoire<br />
depointdepartageGroupes:<br />
<br />
afp://exemple.com/Groupes<br />
K-M/Science<br />
<br />
Member:<br />
MêmedonnéesquepourGroupMembershipmaischacune<br />
étantutiliséepardifférentsservicesde<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong><br />
CaractèresASCIIAàZ,aàz,<br />
0à9,_,-<br />
bsmith,jdoe<br />
Peutêtreunelistevide(normalementpourlegroupeprincipal<br />
desutilisateurs).
300 AnnexeDonnéesderépertoire<strong>Mac</strong><strong>OS</strong>X<br />
<br />
Attributsstandarddanslesenregistrementsd’ordinateurs<br />
Letableausuivantdécritlesattributsstandardfigurantdanslesenregistrementsd’ordinateurs<strong>Open</strong><strong>Directory</strong>.<br />
Lesenregistrementsd’ordinateursassocientl’adressematérielledel’interfaceEthernet<br />
principaled’unordinateuràunnomattribuéàcetordinateur.Lenomfaitpartied’unenregistrementdegrouped’ordinateurs(similaireàlanotiond’utilisateurdansungroupe).<br />
Utilisezcesinformationslorsquevoustravaillezdanslasous-fenêtreInspecteurdeGestionnairedegroupedetravailoulorsquevousmappezdesattributsd’enregistrements<br />
d’ordinateursavecUtilitairederépertoire.<br />
HomeLocOwner:<br />
Nomabrégédel’utilisateurqui<br />
possèdeledossierdedépartdu<br />
groupe<br />
CaractèresASCIIAàZ,aàz,0à<br />
9,_,-<br />
MCXFlags:<br />
S’ilestprésent,MCXSettingsest<br />
chargé;s’ilestabsent,MCXSettingsn’estpaschargé;requis<br />
pourunutilisateurgéré.<br />
plistXMLUTF-8,valeurunique<br />
RéglagesMCX:<br />
Préférencesd’ungroupedetravail(groupegéré)<br />
plistXMLUTF-8,valeursmultiples<br />
Attributdegroupe<strong>Mac</strong><strong>OS</strong>X Format Exemplesdevaleurs<br />
Attributd’ordinateur<strong>Mac</strong><strong>OS</strong>X Format Exemplesdevaleurs<br />
Nomdel’entrée:<br />
Nomassociéàunordinateur.<br />
TexteUTF-8<br />
i<strong>Mac</strong>1<br />
Commentaires:<br />
Toutedocumentationdevotre<br />
choix.<br />
TexteUTF-8<br />
EnetAddress:<br />
Lavaleurdecetattributdoit<br />
êtrel’adresseEthernet(appelée<br />
aussiadresseMAC)del’interfaceEthernetintégréedel’ordinateur,mêmesil’ordinateurse<br />
connecteaurépertoireàl’aide<br />
d’uneautreinterfaceréseau,<br />
tellequ’AirPort.<br />
Notationhexa,séparationpar<br />
deux-points;leszérosinitiaux<br />
peuventêtreignorés<br />
00:05:02:b7:b5:88
AnnexeDonnéesderépertoire<strong>Mac</strong><strong>OS</strong>X 301<br />
<br />
Attributsstandarddanslesenregistrementsdegroupesd’ordinateurs<br />
Letableausuivantdécritlesattributsstandardfigurantdanslesenregistrementsde<br />
groupesd’ordinateurs<strong>Open</strong><strong>Directory</strong>.Unenregistrementdegrouped’ordinateurs<br />
identifieungrouped’ordinateurs(trèssimilaireàlafaçondontunenregistrement<br />
degroupeidentifieunensembled’utilisateurs).<br />
Utilisezcesinformationslorsquevoustravaillezdanslasous-fenêtreInspecteurdeGestionnairedegroupedetravailoulorsquevousmappezdesattributsd’enregistrements<br />
degroupesd’ordinateursavecUtilitairederépertoire.<br />
MCXFlags:<br />
Utiliséuniquementdansl’enregistrementd’ordinateur<br />
«guest»(invité);s’ilestprésent,MCXSettingsestchargé;<br />
danslecascontraire,ilnel’est<br />
pas;obligatoirepourunordinateurgéré.<br />
plistXMLUTF-8,valeurunique<br />
RéglagesMCX:<br />
Utiliséuniquementdansl’enregistrementd’ordinateur<br />
«guest»(invité);préférences<br />
d’unordinateurgéré.<br />
plistXMLUTF-8,valeursmultiples<br />
Attributd’ordinateur<strong>Mac</strong><strong>OS</strong>X Format Exemplesdevaleurs<br />
Attributdegrouped’ordinateurs<strong>Mac</strong><strong>OS</strong>X<br />
Format Exemplesdevaleurs<br />
Nomdel’entrée:<br />
Nomassociéàungroupe<br />
d’ordinateurs<br />
TexteUTF-8<br />
Ordinateursdelaboratoire<br />
Longueurnonnulle,maximum<br />
255octets(de85caractèrestripleoctetsà255caractèresd’un<br />
octet).<br />
MCXFlags<br />
plistXMLUTF-8,valeurunique<br />
RéglagesMCX:<br />
Stockelespréférences<br />
d’unordinateurgéré<br />
plistXMLUTF-8,valeursmultiples<br />
Computers<br />
Listeàvaleursmultiplesde<br />
nomsd’enregistrementsd’ordinateurs<br />
i<strong>Mac</strong>1,i<strong>Mac</strong>2<br />
Groupe<br />
Listedesgroupesdontlesmembrespeuventouvrirunesession<br />
surlesordinateursdecegroupe<br />
d’ordinateurs<br />
Listeàvaleursmultiplesde<br />
nomsabrégésdegroupes<br />
herbivores,omnivores
Attributsstandarddanslesenregistrementsdemontages<br />
Letableausuivantdécritlesattributsstandardfigurantdanslesenregistrementsde<br />
montages<strong>Open</strong><strong>Directory</strong>.UtilisezcesinformationslorsquevoustravaillezdanslasousfenêtreInspecteurdeGestionnairedegroupedetravailoulorsquevousmappezdes<br />
attributsd’enregistrementsdemontageavecUtilitairederépertoire.<br />
Attributsdemontages<br />
<strong>Mac</strong><strong>OS</strong>X Format Exemplesdevaleurs<br />
Nomdel’entrée:<br />
TexteUTF-8<br />
Hôteetchemind’accèsaupoint<br />
departage<br />
VFSLinkDir<br />
TexteUTF-8<br />
Chemind’accèspourlemontagesurunclient<br />
hostname:/chemind’accèssurle<br />
serveur<br />
indigo:/Volumes/home2<br />
/Network/<strong>Server</strong>s<br />
VFSType TexteASCII PourAFP:<br />
url<br />
PourNFS:<br />
nfs<br />
VFSOpts TexteUTF-8 PourAFP(deuxvaleurs):<br />
net<br />
url==afp://<br />
;AUTH=NO%20USER%20<br />
AUTHENT@serveur/pointdepartage/<br />
PourNFS:<br />
net<br />
VFSDumpFreq<br />
VFSPassNo<br />
302 AnnexeDonnéesderépertoire<strong>Mac</strong><strong>OS</strong>X
Attributsstandarddanslesenregistrementsdeconfigurations<br />
Letableausuivantdécritlesattributsstandardfigurantdanslesenregistrementsde<br />
configuration<strong>Open</strong><strong>Directory</strong>suivants:<br />
 L’enregistrementmcx_cacheportetoujourslenomRecordNamedemcx_cache.<br />
IlutiliseaussiRealNameetDataStamppourdéterminersilamémoirecachedoit<br />
êtreactualiséeousilesréglagesdeserveurdoiventêtreignorés.Sivousvoulez<br />
desclientsgérés,vousdevezavoirunenregistrementdeconfigurationmcx_cache.<br />
 L’enregistrementpasswordserverpossèdel’attributPassword<strong>Server</strong>Location.<br />
Utilisezcesinformationslorsquevoustravaillezdanslasous-fenêtreInspecteurdeGestionnairedegroupedetravailoulorsquevousmappezdesattributsd’enregistrements<br />
deconfigurationavecUtilitairederépertoire.<br />
Attributsdeconfigurations<br />
<strong>Mac</strong><strong>OS</strong>X Format Exemplesdevaleurs<br />
Nomdel’entrée:<br />
Nomassociéàuneconfiguration<br />
Password<strong>Server</strong>Location:<br />
Identifiel’hôteduserveurde<br />
motsdepasseassociéau<br />
domainederépertoire<br />
Nomréel<br />
DataStamp<br />
CaractèresASCIIAàZ,aàz,<br />
0à9,_,-,.<br />
adresseIPounomd’hôte 192.168.1.90<br />
mcx_cache<br />
passwordserver<br />
Longueurnonnulle,d’unmaximumde255octets(soit85<br />
caractèrestripleoctetsou255<br />
caractèresd’unoctet).<br />
Pourl’enregistrementdeconfigurationmcx_cache,RealName<br />
estunGUID.<br />
Pourl’enregistrementdeconfigurationmcx_cache,DataStampestunGUID.<br />
AnnexeDonnéesderépertoire<strong>Mac</strong><strong>OS</strong>X 303
Glossaire<br />
Glossaire<br />
Active<strong>Directory</strong>Servicederépertoireetd’authentificationdeMicrosoftWindows<br />
2000<strong>Server</strong>,Windows<strong>Server</strong>2003etWindows<strong>Server</strong>2003R2.<br />
administrateurUtilisateurdisposantd’autorisationsd’administrationdeserveurou<br />
dedomainederépertoires.Lesadministrateurssonttoujoursmembresdugroupe<br />
«admin»prédéfini.<br />
AdresseIPAdressenumériqueuniquequiidentifieunordinateursurInternet.<br />
AFP<strong>Apple</strong>FilingProtocol.Protocoleclient/serveurutiliséparleservicedefichiers<br />
<strong>Apple</strong>pourpartagerdesfichiersetdesservicesréseau.AFPexploiteTCP/IPetd’autres<br />
protocolespourprendreenchargelescommunicationsentrelesordinateursd’un<br />
réseau.<br />
attributÉlémentdedonnéesnommécontenantuntyped’informationspécifique<br />
etappartenantàuneentrée(uneficheouunobjet)dansundomainederépertoire.<br />
Lesdonnéesqu’unattributcontients’appellentlavaleurdel’attribut.<br />
attributd’autoritéd’authentificationValeurquiidentifielesystèmedevalidation<br />
demotdepassespécifiépourunutilisateuretfournit,sinécessaire,desinformations<br />
supplémentaires.<br />
authentificationProcessusdevérificationdel’identitéd’unutilisateur,généralement<br />
envalidantsonnomd’utilisateuretsonmotdepasse.L’authentificationalieu<br />
généralementavantqueleprocessusd’autorisationdétermineleniveaud’accèsde<br />
l’utilisateuràuneressource.Exemple:leservicedefichiersautorisel’accèstotalaux<br />
dossiersetauxfichiersqu’unutilisateurauthentifiépossède.<br />
autorisationProcessusparlequelunservicedétermines’ilfautaccorderàun<br />
utilisateurl’accèsàuneressourceetquelestleniveaud’accèsaccordéàl’utilisateur.<br />
L’autorisationseproduitgénéralementaprèsqu’unprocessusd’authentificationait<br />
vérifiél’identitédel’utilisateur.Exemple:leservicedefichiersautorisel’accèstotalaux<br />
dossiersetauxfichiersqu’unutilisateurauthentifiépossède.<br />
basederechercheNomdistinctifpermettantd’identifierlepointdedépartd’une<br />
recherched’informationsdanslahiérarchied’entréesd’unrépertoireLDAP.<br />
305
idouilleurPersonnequiaimelaprogrammationetquiexploredesfaçonsde<br />
programmerdenouvellesfonctionnalitésetd’étendrelespossibilitésd’unsystème<br />
informatique.Voiraussipirate.<br />
BSDInitialesde«BerkeleySoftwareDistribution»(familledesystèmesd’exploitation<br />
développésàl’UniversitédeBerkeley).VersiondeUNIXsurlaquellereposelelogiciel<br />
<strong>Mac</strong><strong>OS</strong>X.<br />
cheminderechercheVoirpolitiquederecherche.<br />
CIFSCommonInternetFileSystem.VoirSMB.<br />
classeVoirclassed’objets.<br />
classed’objetsEnsemblederèglesquidéfinissentdesobjetssemblablesdansun<br />
domainederépertoireenspécifiantlesattributsquedoitposséderchaqueobjet,<br />
ainsiqued’autresattributspossiblespourl’objet.<br />
clientgéréUtilisateur,groupeouordinateurdontlesautorisationsd’accèset/ou<br />
lespréférencessontsouslecontrôled’unadministrateur.<br />
compted’ordinateurUncompted’ordinateurcontientdesdonnéespermettantà<br />
<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>d’identifieretdegérerunordinateurparticulier.Vousdevezcréerun<br />
compted’ordinateurpourchaqueordinateurquevouscomptezajouteràungroupe<br />
d’ordinateurs.<br />
DHCPInitialesde«DynamicHostConfigurationProtocol»(protocoledeconfiguration<br />
dynamiqued’hôtes).Protocoleutilisépourdistribuerdemanièredynamiquedes<br />
adressesIPàdesordinateursclients.Chaquefoisqu’unordinateurclientdémarre,le<br />
protocolerechercheunserveurDHCP,puisdemandeuneadresseIPauserveurDHCP<br />
qu’iltrouve.LeserveurrecherchealorsuneadresseIPdisponibleetlatransmetà<br />
l’ordinateurclientenl’accompagnantd’une«duréedebail»,duréependantlaquelle<br />
l’ordinateurclientpeututiliserl’adresse.<br />
domainederépertoireBasededonnéesspécialiséedanslaquellesontstockées<br />
desinformationsautoriséesconcernantlesutilisateursetlesressourcesréseau;ces<br />
informationssontnécessairesaulogicielsystèmeetauxapplications.Cettebasede<br />
donnéesestoptimiséepourgérerdenombreusesdemandesd’informationsetpour<br />
rechercheretrécupérerrapidementdesinformations.Connueégalementsouslenom<br />
denœudderépertoireousimplementrépertoire.<br />
domainelocalDomainederépertoireaccessibleuniquementparl’ordinateursur<br />
lequelilréside.<br />
dossierdegroupeDossierservantàorganiserdesdocumentsetdesapplications<br />
présentantunintérêtparticulierpourlesmembresdugroupeetpermettantàces<br />
derniersdepartagerdesinformations.<br />
306 Glossaire
enfantOrdinateurquihéritedesinformationsdeconfigurationprovenantdudomaine<br />
derépertoirepartagéd’unparent.<br />
entréeArticlepubliésurunblog.Leslecteurspeuventajouterdescommentairesà<br />
l’entrée,maislecontenuassociéàcelle-cinepeutêtremodifiéqueparlepropriétaire<br />
dublog.DansunrépertoireLDAP,uneentréeestunecollectiond’attributs(d’éléments<br />
dedonnées)quiporteunnomdistinctifunique.Voiraussinomdistinctif.<br />
FTPInitialesde«FileTransferProtocol»(protocoledetransfertdefichiers).Protocole<br />
permettantàdesordinateursdetransférerdesfichierssurunréseau.LesclientsFTP,<br />
utilisanttoutsystèmed’exploitationcapabledeprendreenchargeleprotocoleFTP,<br />
peuventseconnecteràunserveurdefichiersettéléchargerdesfichiers,enfonction<br />
deleursautorisationsd’accès.LaplupartdesnavigateursInternetetuncertainnombre<br />
degraticielspermettentd’accéderauxserveursFTP.<br />
groupeEnsembled’utilisateursayantdesbesoinssemblables.Lesgroupessimplifient<br />
l’administrationderessourcespartagées.<br />
groupeprincipalGroupepardéfautd’unutilisateur.Lesystèmedefichiersutilise<br />
l’identifiantdugroupeprincipallorsqu’unutilisateuraccèdeàunfichierdontiln’est<br />
paslepossesseur.<br />
hachageFormebrouillée,oucryptée,d’unmotdepasseoud’untexte.<br />
hiérarchiededomainesderépertoireManièred’organiserdesdomainesde<br />
répertoireslocauxetpartagés.Unehiérarchieprésenteunestructured’arborescence<br />
inversée:domaineracineausommetetdomaineslocauxenbas.<br />
identifiantdegroupeprincipalNumérouniqueidentifiantungroupeprincipal.<br />
IPInternetProtocol.ÉgalementdésignéparIPv4.Méthodeutiliséeconjointement<br />
avecleprotocoleTCP(TransmissionControlProtocol)pourenvoyerdesdonnées<br />
d’unordinateuràunautreviaunréseaulocalouviaInternet.LeprotocoleIPenvoie<br />
lespaquetsdedonnées,alorsqueleprotocoleTCPsechargedeleursuivi.<br />
KDCInitialesde«KerberosKeyDistributionCenter»(centrededistributiondeclés<br />
Kerberos).Serveurdeconfiancechargéd’émettredesticketsKerberos.<br />
KerberosSystèmed’authentificationréseausécurisé.Kerberosutilisedesticketsqui<br />
sontémispourunutilisateur,unserviceetuneduréespécifiques.Aprèsavoirété<br />
authentifié,l’utilisateurpeutaccéderàd’autresservicessansavoiràsaisirànouveau<br />
sonmotdepasse(onparlealorsdesignatureunique)pourlesservicesconfigurés<br />
pouraccepterlesticketsKerberos.<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>utiliseKerberos5.<br />
LDAPInitialesde«Lightweight<strong>Directory</strong>AccessProtocol».Protocoleclient-serveur<br />
standardpermettantl’accèsàundomainederépertoire.<br />
Glossaire 307
liaisonConnexionentreunordinateuretundomainederépertoiredansle<br />
butd’obtenirdesdonnéesd’identification,d’autorisationetd’autresdonnées<br />
administratives.(verbe)Désigneégalementleprocessusd’établissementd’unetelle<br />
connexion.Voiraussiliaisonsécurisée.<br />
liaisonsécuriséeConnexionauthentifiéemutuellemententreunordinateuret<br />
undomainederépertoire.L’ordinateurfournitdesinformationsd’authentification<br />
pourprouversonidentitéetledomainederépertoirefournitdesinformations<br />
d’authentificationpourprouversonauthenticité.<br />
listed’ordinateursEnsembled’ordinateursrecevantlesréglagesdespréférences<br />
géréesdéfinispourlalisteetmisàladispositiond’unensembleparticulier<br />
d’utilisateursetdegroupes.Unordinateurnepeutappartenirqu’àuneseuleliste<br />
d’ordinateurs.Leslistesd’ordinateurssontcrééessous<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>10.4ou<br />
antérieur.<br />
<strong>Mac</strong><strong>OS</strong>XLadernièreversiondusystèmed’exploitationd’<strong>Apple</strong>.<strong>Mac</strong><strong>OS</strong>Xallie<br />
lafiabilitéd’UNIXàlafacilitéd’emploide<strong>Mac</strong>intosh.<br />
<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>Plate-formedeserveurpuissante,capabledegérerimmédiatement<br />
lesclients<strong>Mac</strong>,Windows,UNIXetLinuxetoffrantunensembledeservicesderéseauet<br />
degroupesdetravailextensible,ainsiquedesoutilsperfectionnésdegestionàdistance.<br />
maître<strong>Open</strong><strong>Directory</strong>ServeurfournissantunservicederépertoireLDAP,unservice<br />
d’authentificationKerberosetunserveurdemotsdepasse<strong>Open</strong><strong>Directory</strong>.<br />
motdepasseChaînealphanumériqueutiliséepourauthentifierl’identitéd’un<br />
utilisateuroupourautoriserl’accèsàdesfichiersouàdesservices.<br />
motdepassecryptéTypedemotdepassequieststockésouslaformed’un<br />
hachage(àl’aidedel’algorithmedecryptageUNIXstandard)directementdans<br />
unenregistrementd’utilisateur.<br />
motdepasse<strong>Open</strong><strong>Directory</strong>Motdepassestockédansunebasededonnées<br />
sécuriséesurleserveuretquipeutêtreauthentifiéàl’aideduserveurdemotsde<br />
passe<strong>Open</strong><strong>Directory</strong>oudeKerberos(siKerberosestdisponible).<br />
motdepasseshadowMotdepassestockédansunfichiersécurisésurleserveuret<br />
quipeutêtreauthentifiéàl’aidedediversesméthodesd’authentification<br />
conventionnellesrequisesparlesdifférentsservicesde<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>.Parmiles<br />
méthodesd’authentification,ilyaAPOP,CRAM-MD5,DHX,LANManager,NTLMv1,<br />
NTLMv2etWebDAV-Digest.<br />
308 Glossaire
multidiffusionDNSProtocoledéveloppépar<strong>Apple</strong>pourladécouverteautomatique<br />
d’ordinateurs,depériphériquesetdeservicessurlesréseauxIP.Appelé«Bonjour»<br />
(auparavant«Rendezvous»)par<strong>Apple</strong>,ceprotocole,proposécommestandard<br />
Internet,estparfoisappeléZeroConfoumultidiffusionDNS.Pourensavoirplus,<br />
rendez-voussurwww.apple.com/fr/ouwww.zeroconf.org(enanglais).Poursavoir<br />
commentceprotocoleestutilisésous<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>,reportez-vousànomd’hôte<br />
local.<br />
NetInfoAncienprotocole<strong>Apple</strong>permettantl’accèsàundomainederépertoire.<br />
nœudderépertoireVoirdomainederépertoire.<br />
nomabrégéAbréviationdunomd’unutilisateur.<strong>Mac</strong><strong>OS</strong>Xutiliselenomabrégépour<br />
lesdossiersdedépart,l’authentificationetlesadressesélectroniques.<br />
nomcompletFormedéveloppéedunomd’unutilisateuroud’ungroupe.Voiraussi<br />
nomd’utilisateur.<br />
nomd’hôtelocalNomquidésigneunordinateursurunsous-réseaulocal.Ilpeutêtre<br />
utilisésanssystèmeDNSglobalpourconvertirlesnomsenadressesIP.Ilestconstitué<br />
delettresminuscules,denombresoudetirets(saufpourlederniercaractère)etse<br />
terminepar«.local»(parexemple,ordinateur-jean.local).Bienquelenompardéfaut<br />
soitdérivédunomd’ordinateur,unutilisateurpeutreprendrecenomdanslasousfenêtrePartagedesPréférencesSystème.Ilpeutaussiêtreaisémentmodifiéetutilisé<br />
danstouslescasoùunnomDNSouunnomdedomainecompletestutilisé.Ilnepeut<br />
êtreconvertiquesurlemêmesous-réseauquel’ordinateurquil’utilise.<br />
nomd’utilisateurNomcompletd’unutilisateur,parfoisappelénomréelde<br />
l’utilisateur.Voiraussinomabrégé.<br />
nomdistinctifIlidentifieuneentrée(unobjet)dansunrépertoireLDAP.Ilest<br />
représentésouslaformed’uneséquenced’entréesderépertoireséparéespardes<br />
virgules,commençantparl’entréeelle-mêmeetsuivieparchaqueentréequicontient<br />
l’entréeprécédentedanslaséquence.Exemple:“cn=utilisateurs,dc=exemple,<br />
dc=com.”<br />
<strong>Open</strong><strong>Directory</strong>Architecturedeservicesderépertoire<strong>Apple</strong>,capabled’accéderàdes<br />
informationsautoriséesconcernantdesutilisateursetdesressourcesréseauàpartir<br />
dedomainesderépertoireutilisantlesprotocolesLDAPouActive<strong>Directory</strong>,oudes<br />
fichiersdeconfigurationBSDetdesservicesderéseau.<br />
<strong>Open</strong>SourceTermedésignantledéveloppementcoopératifdelogicielsparla<br />
communautéInternet.Leprincipedebaseconsisteàimpliquerlemaximumde<br />
personnesdansl’écritureetlamiseaupointducodeenpubliantlecodesource<br />
etenencourageantlaformationd’unelargecommunautédedéveloppeursqui<br />
ferontpartdeleursmodificationsetaméliorations.<br />
Glossaire 309
ordinateuradministrateurOrdinateur<strong>Mac</strong><strong>OS</strong>Xsurlequelvousavezinstalléles<br />
applicationsd’administrationduserveuràpartirduCD<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>Admin.<br />
parentOrdinateurdontledomainederépertoirepartagéfournitdesinformationsde<br />
configurationàunautreordinateur.<br />
pirateUtilisateurmalveillantquitented’accéderàunsystèmeinformatiquesans<br />
yêtreautorisédanslebutdesaboterdesordinateursetdesréseauxoudevoler<br />
desinformations.Compareràbidouilleur.<br />
pointdepartageDossier,disquedur(oupartitiondedisquedur)oudisqueoptique<br />
accessiblevialeréseau.Unpointdepartageconstituelepointd’accèssituéaupremier<br />
niveaud’ungrouped’élémentspartagés.Lespointsdepartagepeuventêtrepartagés<br />
àl’aidedesprotocolesAFP,SMB,NFS(exportation)ouFTP.<br />
politiquederechercheListedesdomainesderépertoireparmilesquelsunordinateur<br />
<strong>Mac</strong><strong>OS</strong>Xnécessitantdesinformationsdeconfigurationeffectuesesrecherches.<br />
Également,ordredanslequellesdomainessontinterrogés.Parfoisappeléechemin<br />
derecherche.<br />
possesseurLepropriétaired’unélémentpeutmodifierlesautorisationsd’accèsà<br />
l’élément.Ilpeutégalementremplacerl’entréedegroupeparn’importequelgroupe<br />
dontilestmembre.Lepropriétairedisposepardéfautd’autorisationsLectureetécriture.<br />
préférencesgéréesPréférencesdusystèmeoud’applicationcontrôléesparles<br />
administrateurs.Gestionnairedegroupedetravailpermetauxadministrateursde<br />
contrôlerlesréglagesdecertainespréférencessystèmepourlesclientsgérés<strong>Mac</strong><strong>OS</strong>X.<br />
principal,KerberosNometautresinformationsd’identificationd’unclientouservice<br />
queKerberospeutauthentifier.Leprincipald’unutilisateurestgénéralementconstitué<br />
dunomdel’utilisateuroubiendunomdel’utilisateuretduroyaumeKerberos.Le<br />
principald’unserviceestgénéralementconstituédunomduservice,dunomDNS<br />
completduserveuretduroyaumeKerberos.<br />
protocoleEnsemblederèglesquidéterminentlamanièredontlesdonnéessont<br />
échangéesentredeuxapplications.<br />
royaumeKerberosDomained’authentificationcomprenantlesutilisateursetles<br />
servicesenregistrésauprèsdumêmeserveurKerberos.Lesutilisateursetservices<br />
enregistrésdélèguentauserveurKerberoslavérificationdel’identitédechacun.<br />
royaumeWebDAVPartied’unsiteweb,généralementundossierouunrépertoire,<br />
définipourfournirl’accèsàdesutilisateursetdesgroupesWebDAV.<br />
schémaEnsembled’attributsetdetypesd’enregistrementsoudeclassesservantde<br />
planpourlesinformationsd’undomainederépertoire.<br />
310 Glossaire
serveurautonomeServeurquifournitdesservicessurunréseau,maisquin’obtient<br />
pasdeservicesderépertoireauprèsd’unautreserveur,ninefournitdesservicesde<br />
répertoireàd’autresordinateurs.<br />
serveurdemotsdepasseVoirserveurdemotsdepasse<strong>Open</strong><strong>Directory</strong>.<br />
serveurdemotsdepasse<strong>Open</strong><strong>Directory</strong>Serviced’authentificationquivalidedes<br />
motsdepasseàl’aidedediversesméthodesd’authentificationconventionnelles<br />
requisesparlesdifférentsservicesde<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>.Parmilesméthodes<br />
d’authentification,ilyaAPOP,CRAM-MD5,DHX,LANManager,NTLMv1,NTLMv2et<br />
WebDAV-Digest.<br />
servicesderépertoireServicesfournissantaulogicielsystèmeetauxapplications<br />
unaccèsuniformeauxdomainesderépertoireetàd’autressourcesd’informations<br />
relativesauxutilisateursetauxressources.<br />
signatureuniqueStratégied’authentificationquiéviteauxutilisateursdedevoirsaisir<br />
unnometunmotdepassepourchaqueservicederéseau.<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>utilise<br />
Kerberospourpermettrelasignatureunique.<br />
SLPDAInitialesde«ServiceLocationProtocol<strong>Directory</strong>Agent».Protocolequi<br />
enregistrelesservicesdisponiblessurunréseauetpermetauxutilisateursd’yaccéder<br />
aisément.Lorsqu’unserviceestajoutéauréseau,ilutiliseleprotocoleSLPpour<br />
s’enregistrer.SLPDAutiliseunpointdedépôtcentralisépourlesservicesréseau<br />
enregistrés.<br />
SMBProtocoleSMB(<strong>Server</strong>MessageBlock).Protocolepermettantàdesordinateurs<br />
clientsd’accéderàdesfichiersetàdesservicesderéseau.IlpeutêtreutiliséviaTCP/IP,<br />
Internetoud’autresprotocoles.LesservicesSMButilisentceprotocolepourfournir<br />
l’accèsauxserveurs,auximprimantesetàd’autresressourcesréseau.<br />
SSLInitialesde«SecureSocketsLayer»(couchesécuriséepoursocketsréseau).<br />
ProtocoleInternetpermettantd’envoyerdesinformationsauthentifiéesetchiffréesà<br />
traversInternet.LesversionslesplusrécentesdeSSLsontconnuessouslenomdeTLS<br />
(TransportLevelSecurity).<br />
ticketd’octroideticketsTicketKerberosspécialquipermetàunclientd’obtenirdes<br />
ticketspourdesservicesauseindumêmeroyaume.Unclientreçoitunticketd’octroi<br />
deticketsenprouvantsonidentité,parexempleensaisissantunnometunmotde<br />
passevalidelorsdel’ouverturedesession.<br />
Glossaire 311
ticket,KerberosInformationsd’authentificationtemporairesquiprouventl’identité<br />
d’unclientKerberosàunservice.<br />
utilisateurinvitéUtilisateurautoriséàouvrirunesessionsurunserveursansnom<br />
d’utilisateuretmotdepasse.<br />
WebDAVWeb-basedDistributedAuthoringandVersioning.Environnementde<br />
créationendirectpermettantàdesutilisateursclientsdeprendredespagesweb,<br />
delesmodifier,puisdelesrendreàleursited’originesansinterruptiondecedernier.<br />
<br />
312 Glossaire
313<br />
Index<br />
Index<br />
A<br />
accès<br />
administrateur85,207<br />
attributs208<br />
contrôled’accèsauxrépertoires(DAC)213<br />
domainesActive<strong>Directory</strong>188,201<br />
dossier25<br />
fenêtred’ouverturedesession206<br />
fiche208<br />
fichier25<br />
groupe206<br />
listesdecontrôled’accès(ACL)44,83,85,207<br />
répliques102<br />
serveur30,206<br />
servicederépertoire155,156,157<br />
SSH206<br />
utilisateur186,205,206,238<br />
utilisateursdesdomainesderépertoire25<br />
VoiraussiLDAP;autorisations<br />
accèsenlectureseule,LDAP180,184<br />
accèsLDAPv2180<br />
accèsLDAPv386,104,156,160,201<br />
ACE(entréesdecontrôled’accès)85<br />
ACL,classed'objets255<br />
Active<strong>Directory</strong><br />
accès188<br />
accèsLDAP201<br />
activationduservice156<br />
attributdeshellUNIX193<br />
authentification199<br />
autorisationinter-domaines78<br />
comptesmobiles187,191<br />
configurationd’<strong>Open</strong><strong>Directory</strong>68<br />
configurationduserveur111<br />
conflitsKerberos80<br />
connexionsclient141<br />
définition26<br />
dépannage237,239<br />
désactivationduservice156<br />
désignationduserveurpréféré197<br />
dossiersdedépart187,192<br />
groupesd’administrateurs198<br />
identifiantsd’utilisateur194<br />
identifiantsdegroupe195,196<br />
liaisonà190,200<br />
modificationdefiches200<br />
réglagesavancés155,156,185<br />
rupturedelaliaisonavecleserveur200<br />
Voiraussimappages<br />
administrateur<br />
autoritéd’authentification134,135<br />
autoritépourl’authentification99,101,107<br />
comptes96,198<br />
contrôled’accès85,207<br />
Kerberos53,113<br />
limites258<br />
motsdepassed’50,129,130,237,243<br />
planificationdesdomaines39<br />
politiquesderecherche39<br />
privilègesd’85,86<br />
servicesderépertoire19<br />
administrationparniveaux85<br />
AdminServeur79,87<br />
adresses.VoiridentifiantEthernet<br />
adressesIP95,142<br />
aide,utilisation15<br />
annuaires.Voirservicesderépertoire;domaines,<br />
répertoire;dossiers<br />
APOP(AuthenticatedPOP)59,63<br />
archivagedumaître<strong>Open</strong><strong>Directory</strong>230,231<br />
attaqueDoS(attaqueparsaturation)50,221<br />
attaqueparsaturation.Voirattaquepars<br />
attaqueshorsligne47<br />
attributdelistedecontrôled’accès(ACL)275<br />
attributdeshellUNIX193<br />
attributs<br />
Active<strong>Directory</strong>196<br />
ajout79,175<br />
authentification258,272<br />
configuration182,270,303<br />
contrôled’accès208<br />
emplacement(Location)273<br />
grouped'ordinateurs301<br />
groupes263<br />
importation217<br />
imprimantes258,268
314 Index<br />
<br />
informationsdecontact260<br />
introduction26<br />
LDAP173<br />
listedecontrôled’accès(ACL)275<br />
listesd’ordinateurs269<br />
machine265<br />
montageautomatique276<br />
montages266,302<br />
motsdepasse270<br />
ordinateurs269,300<br />
plistxml270<br />
répertoire186<br />
réplication271<br />
ressource275<br />
schéma(Schema)275<br />
service270,273<br />
servicesderépertoire175<br />
shellUNIX193<br />
standard293<br />
Time-to-Live(TTL)256<br />
URLdeservice270<br />
utilisateurs256,272,293,298<br />
voisinage(Neighborhood)274<br />
Voiraussimappages<br />
attributsd’emplacement(Location)273<br />
attributsd’imprimante(Printer)258,268<br />
attributsd’ordinateur(Computer)269,300<br />
attributsd’utilisateur256,272,293,298<br />
attributsdeconfiguration(Configuration)270,303<br />
attributsdegroupes263,299<br />
attributsdegroupesd'ordinateurs301<br />
attributsdelisted’ordinateurs(ComputerList)269<br />
attributsdemachine(<strong>Mac</strong>hine)265<br />
attributsdemontage(Mount)266,302<br />
attributsdeservice(Service)270,273<br />
attributsdevoisinage(Neighborhood)274<br />
augment,classed'objets255<br />
authentification<br />
Active<strong>Directory</strong>199<br />
administrateur99,101,107,134,135<br />
attributs258,272<br />
clients54,57<br />
contrôledel’211<br />
définition44<br />
dépannage235,237,238,239,240,242,243<br />
domainesderépertoire24,69<br />
encache46<br />
LDAP64,135,162,181,182<br />
liaison64,135,162<br />
maître<strong>Open</strong><strong>Directory</strong>32,115<br />
méthodes46,59,60,62,64,109<br />
parinformationsd'authentification45,54<br />
règlesderecherche42,150<br />
réplication71<br />
SASL12,59<br />
serveur55,83<br />
servicesdefichiers59<br />
utilisateur44,49,51<br />
vued’ensemble12,21,43,121<br />
VoiraussiKerberos;motsdepasse<br />
authentificationbaséesurdesinformations<br />
utilisateur<br />
VoiraussiKerberos<br />
authentificationCRAM-MD559<br />
authentificationdebase.Voirmotsdepassecryptés<br />
authentificationDHX46,59<br />
authentificationDigest-MD559<br />
authentificationLANManager46,59<br />
authentificationMS-CHAPv259,109<br />
authentificationNTLM46,59,109<br />
authentificationparinformations<br />
d'authentification45,54<br />
authentificationparsignatureunique12,51,54,55,<br />
80<br />
VoiraussiKerberos<br />
authentificationparticket54<br />
VoiraussiKerberos<br />
authentificationWebDAV-Digest59,63<br />
automount,classesd’objets255<br />
autorisation44,78,83,85,207<br />
Voiraussiauthentification<br />
autorisationinter-domaines78<br />
autorisations<br />
accès207<br />
administrateur86<br />
administrationparniveaux85<br />
fiche208<br />
utilisateur86,180,184<br />
Auto<strong>Server</strong>Setup,typed'enregistrement292<br />
B<br />
basculement<br />
configuration107<br />
contrôleurdedomaineprincipal34<br />
contrôleurdedomainesecondaire34,98,106<br />
contrôleurdedomainesecondaire(BDC)225<br />
répartitiondelacharge74<br />
basededonnées<br />
LDAP220<br />
serveurdemotsdepasse<strong>Open</strong><strong>Directory</strong>61,63<br />
basederecherche,LDAP28,97,174,240<br />
C<br />
cache,authentificationen46<br />
Carnetd’adresses42,150,158<br />
certificats78,222<br />
chiffrement48,49,59,186<br />
classed’objetsd’autoritéd’authentification<br />
(authenticationauthority)253<br />
classed’objetsd’emplacement(Location)254<br />
classed’objetsd’imprimante(printer)249
Index 315<br />
<br />
classed’objetsd’ordinateur(computer)250<br />
classed’objetsd’utilisateurpréréglé(preset<br />
user)253<br />
classed’objetsdeconteneur(container)247<br />
classed’objetsdegroupepréréglé(preset<br />
group)252<br />
classed’objetsdelisted’ordinateurs(computer<br />
list)250<br />
classed’objetsdelisted’ordinateurspréréglés<br />
(presetcomputerlist)251<br />
classed’objetsdemontage(mount)249<br />
classed’objetsdeservice(Service)254<br />
Classed’objetsdevoisinage(Neighborhood)254<br />
classesd’objets<br />
ACL255<br />
ajoutàdesschémas79<br />
augment255<br />
authenticationauthority253<br />
automount255<br />
computer250,251<br />
computergroup252<br />
computerlist250<br />
configuration251,254<br />
container247<br />
group248,252<br />
introduction26<br />
location254<br />
machine(auxiliaire)249<br />
mount249<br />
neighborhood254<br />
printer249<br />
resource255<br />
service254<br />
TTL247<br />
user248,253<br />
vued247<br />
Voiraussiattributs<br />
clients,authentification54,57<br />
clients,authentificationdes<br />
Voiraussiordinateursclients;Comptesdegroupe;<br />
utilisateurs<br />
compteroot144<br />
comptes<br />
administrateur96,198<br />
root144<br />
Voiraussicomptesdegroupe;comptesmobiles;<br />
comptesd'utilisateur;Gestionnairede<br />
groupedetravail<br />
comptesd'utilisateur<br />
Voiraussicomptesdegroupe;motsdepasse;<br />
utilisateurs<br />
comptesd’utilisateur<br />
accès186<br />
domainesd’annuaire94<br />
domainesderépertoire66,80<br />
exportation136<br />
importation136,217<br />
modification200<br />
motsdepasse63,237,238<br />
nomsd’utilisateur96<br />
recherche29,30<br />
root144<br />
sécurité47<br />
suppression215<br />
comptesdegroupe<br />
entantqu’administrateurs198<br />
identifiantdegroupe186,196<br />
importation217<br />
mappagesdeGID195<br />
préréglages252,288<br />
Voiraussigroupes<br />
comptesmobiles<br />
Active<strong>Directory</strong>187,191<br />
LDAP155<br />
ouverturedesession75<br />
politiquesdemotdepasse50,130<br />
politiquesderecherche41<br />
serviceVPN75<br />
computergroup,classed'objets252<br />
condensé,motdepasse45,60,62<br />
configuration<br />
attributsde303<br />
autorisationinter-domaines78<br />
basculement107<br />
connexion108,110,111,142,143<br />
domainederépertoirelocal94<br />
domaineWindow98<br />
domaineWindows100,101<br />
ensemblesderépliques72<br />
fichiersBSD203,204<br />
fichiersUNIX21,23,26<br />
Kerberos113,115,116,119<br />
LDAP159,160,163,165,167,169<br />
liaisonsécurisée176<br />
maître<strong>Open</strong><strong>Directory</strong>95,98<br />
ordinateursclients140,141,303<br />
outilsdelignedecommande186<br />
planification68<br />
réplique<strong>Open</strong><strong>Directory</strong>102,105<br />
serveur110,111,292<br />
serveurdemotsdepasse<strong>Open</strong><strong>Directory</strong>95<br />
servicesderépertoire147,148<br />
vued’ensemble91,93<br />
vued’ensembledesdomainesderépertoire66<br />
configuration,classesd’objets251<br />
configurationdeWindowsXP100,101<br />
contacts,règlesderecherche42,150<br />
contrôled’accèsauxrépertoires.VoirDAC<br />
contrôlesd’accèsauxrépertoires(DAC)213<br />
contrôleurdedomaineprincipal(PDC)<br />
planificationdelaréplication224<br />
contrôleurdedomaineprincipal.VoirPDC
316 Index<br />
<br />
contrôleurdedomainesecondaire(BDC)34,98,<br />
106,225<br />
contrôleurdedomainesecondaire.VoirBDC<br />
contrôleurs,BDC<br />
VoiraussiPDC<br />
contrôleurs,contrôleurdedomainesecondaire34,<br />
98,106<br />
contrôleurs,contrôleurdedomainesecondaire<br />
(BDC)225<br />
conventionsdenom<br />
nomabrégé216<br />
nomd’utilisateur96<br />
nomdel’ordinateur99,106,135,176<br />
nomslongs263,271<br />
coupe-feu,limitations54<br />
D<br />
délaid’inactivité,connexionLDAP179<br />
délaid’ouverture/defermeture,connexion<br />
LDAP178<br />
délaiderequête,LDAP178<br />
délaidetentativedereconnexion,LDAP179<br />
démarrage,problèmes237<br />
dépannage<br />
Active<strong>Directory</strong>237<br />
authentification235,237,238,239,240,242,243<br />
connexions237<br />
réplication235,236<br />
documentation15,17,18<br />
domaines,annuaire<br />
règlesderecherche150,152,153,154<br />
VoiraussiLDAP;domainesderépertoirelocaux;<br />
<strong>Open</strong><strong>Directory</strong>;domaineWindows<br />
domaines,répertoire<br />
authentification24,69<br />
capacitédestockage69<br />
identificationdesserveurs70<br />
intégration78<br />
liaisonde218<br />
NetInfo33,127,138<br />
NIS26,202<br />
non<strong>Apple</strong>31<br />
organisationdes20,24,26<br />
planification39,65,66,93<br />
ports83<br />
réplication67<br />
schémas27,79,187,245,246,247<br />
domainesderépertoirelocaux<br />
configuration94<br />
fichesdemontage148,149,150<br />
introduction27,29<br />
planification66<br />
politiquederecherche36,38,40<br />
règlederecherche154<br />
typesdemotdepasse44,46<br />
utilisateursWindows33<br />
domainesderépertoirepartagés<br />
dépannagerelatifàl’ouverturedesession239<br />
identificationdesserveurs70<br />
informationssurlesutilisateurs94<br />
introduction29,30<br />
NetInfo33,127,138<br />
planification65,66<br />
politiquesderecherche36,38<br />
VoiraussiLDAP<br />
domainesNetInfo33,127,138<br />
domaineWindows<br />
VoiraussiActive<strong>Directory</strong>;SMB<br />
configurationd’<strong>Open</strong><strong>Directory</strong>98,100,101<br />
contrô106<br />
contrôleurdedomaineprincipal32,98,100,101<br />
contrôleurdedomainesecondaire34,98<br />
motsdepasse32,46,47,48,49<br />
DomainNameSystem.VoirDNS<br />
dossiers,contrôled’accès25<br />
Voiraussifichiers;dossiersdedépart<br />
dossiersdedépart<br />
Active<strong>Directory</strong>187,192<br />
attributsdegroupe263<br />
attributsuser256,258,262<br />
réseau192<br />
utilisateurlocal192<br />
utilisateursdesdomainesderépertoire25<br />
dossiersdedépartlocaux192<br />
dossiersdedépartréseau192<br />
dsconfigad, outil186<br />
dsconfigldap, outil186<br />
duréedevie(TTL),classed'objets247<br />
DynamicHostConfigurationProtocol.VoirDHCP<br />
E<br />
enregistrements<br />
activationpourKerberos241<br />
ajoutàdesschémas79<br />
capacitédudomainederépertoire69<br />
introduction26<br />
typesstandard293<br />
Voiraussiattributs;mappages<br />
entrées,classed’objets26,28<br />
entréesdecontrôled’accès.VoirACE<br />
exportationd’utilisateurs136<br />
Voiraussiimportation<br />
F<br />
fiches<br />
autorisations208<br />
contrôled’accès208<br />
importation217<br />
mappageversdesservicesderépertoire174,182<br />
modificationdefichesd’Active<strong>Directory</strong>200
Index 317<br />
<br />
réglagesdescontrôlesd’accèsauxrépertoires<br />
(DAC)213<br />
suppression214,215<br />
fichierdelistesdepropriétés236<br />
fichiers<br />
BSD26,203,204<br />
configurationUNIX21,23,26<br />
contrôled’accès25<br />
listesdepropriétés236<br />
fichiersBSD(BerkeleySystemDistribution)26,203,<br />
204<br />
G<br />
Gestionna213<br />
Gestionnaired’authentification33,46,137<br />
Gestionnairedegroupedetravail<br />
annuairesLDAP184<br />
fonctions88<br />
Inspecteur212,213,214,215<br />
modificationdesdonnéesderépertoire212<br />
et<strong>Open</strong><strong>Directory</strong>20<br />
rôled’authentification121<br />
suppressiondecomptesd’utilisateur215<br />
group,classed'objetsauxiliaire248<br />
groupes<br />
administrationparniveaux85<br />
connexionàunroyaumeKerberos117<br />
contrôledel’accès206<br />
mappages195,280,281,288<br />
recherche29,30<br />
stockaged’informations25<br />
GUID(identifiantglobalunique)217<br />
H<br />
historiques,<strong>Open</strong><strong>Directory</strong>82,211<br />
I<br />
identifiantdegroupe78,186,195,196<br />
identifiantdegroupe.VoirGID<br />
identifiantEthernet242<br />
identifiantglobalunique.VoirGUID<br />
identifiantsd’uti<br />
image,ouverturedesessionutilisateur257<br />
importation<br />
attributs217<br />
fiches217<br />
groupes217<br />
utilisateurs136,217<br />
informationsdecontact,attributs260<br />
Initialesde«BerkeleySoftwareDistribution»(famille<br />
desystèmesd’exploitationdéveloppésà<br />
l’UniversitédeBerkeley).VoirBSD<br />
Inspecteur212,213,214,215<br />
K<br />
Kerberos<br />
activation129,241<br />
administrateur53,113<br />
attributs272<br />
autorisationinter-domaines78<br />
configuration113,115,116,119<br />
conflitsentredomainesderépertoire80<br />
connexion117,119<br />
dépannage235,240<br />
DNS95,113,115,236<br />
fonctionnalités12,45,51,53,54,55,56<br />
LDAP79<br />
motsdepasse51<br />
principaux57<br />
processusd’authentification57<br />
réplication71<br />
royaumes57,119,242<br />
sécurité54,55,230<br />
suppressiond’identités215<br />
utilisateurs52,116<br />
L<br />
LDAP(Lightweight<strong>Directory</strong>AccessProtocol)<br />
délais179<br />
réglagesdeconnexion179<br />
ldapmodrdn, outil216<br />
ldapsearch outil183<br />
Leopard<strong>Server</strong>.Voir<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong><br />
liaison<br />
Active<strong>Directory</strong>200<br />
authentificationLDAP64,135,162,179<br />
délaidetentativedereconnexion179<br />
serveur<strong>Open</strong><strong>Directory</strong>218<br />
Voiraussiliaisonsécurisée<br />
liaisonsécurisée<br />
Active<strong>Directory</strong>190<br />
arrêt169,177<br />
configuration176<br />
définition158<br />
optionsde161<br />
politiques218<br />
listedecontrôled’accèsàunservice(SACL)44,83,<br />
207<br />
listesd'ordinateurs,mappages284,287,288<br />
listesdecontrôled’accès(ACL)44,83,85,207<br />
listesdecontrôled’accès.VoirACL<br />
listesdecontrôled’accèsàunservice.VoirSACL<br />
Locations,typed'enregistrement292,293<br />
M<br />
<strong>Mac</strong><strong>OS</strong>X<br />
accèsLDAPenlectureseule184<br />
fichiersBSD203,204<br />
remplissagedesrépertoires184
318 Index<br />
<br />
<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong><br />
fichiersBSD203<br />
importationdefiches217<br />
liaisonsécurisée218<br />
restaurationdumaître<strong>Open</strong><strong>Directory</strong>231<br />
machine,classed'objetsauxiliaire249<br />
<strong>Mac</strong><strong>OS</strong>X<br />
dépannagerelatifàl’ouverturedesession239<br />
motsdepasse<strong>Open</strong><strong>Directory</strong>45<br />
<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong><br />
ajoutdeconnexions142<br />
authentificationsprisesencharge33,51,52,60,<br />
109<br />
contrôleurdedomainesecondaire34<br />
migrationdesmotsdepasse137<br />
miseàniveau76,137<br />
problèmesdebasculement107<br />
maître<strong>Open</strong><strong>Directory</strong><br />
archivage230,231<br />
authentification32,115<br />
basculement107<br />
configuration95,98<br />
contrôledel’état210<br />
définition71<br />
dépannage235,236<br />
etDNS95,115<br />
introduction27<br />
liaison218<br />
miseàniveau76<br />
motsdepasse123<br />
règlementdesécurité219<br />
etrépliques69,72,74,75,76,95,224,225,226,<br />
229<br />
restauration231<br />
mappages<br />
Active<strong>Directory</strong>187,194,195,196<br />
groupes195,280,281,288<br />
imprimantes290,291<br />
LDAP160,163,173,175<br />
listesd'ordinateurs284,287,288<br />
montages282<br />
ordinateurs282,283<br />
servicesderépertoire174,182<br />
typed'enregistrementAuto<strong>Server</strong>Setup292<br />
typed'enregistrementConfig285<br />
typed'enregistrementLocations292,293<br />
typed'enregistrementPeople286<br />
utilisateurs194,277,289<br />
vued'ensemble245<br />
mediaaccesscontrol(contrôled’accèsausupport).<br />
VoirIdentifiantEthern<br />
migration<br />
deNetInfoversLDAP33,138<br />
motdepasse137<br />
miseàniveaude<strong>Mac</strong><strong>OS</strong>X<strong>Server</strong>76,137<br />
modèles,mappageLDAP175<br />
modules11,186<br />
modulesopensource11<br />
VoiraussiKerberos;<strong>Open</strong><strong>Directory</strong><br />
montage,automatique25,255,276<br />
montageautomatique,attribut276<br />
montageautomatiquedepointsdepartage25<br />
motdepasseshadow<br />
définition45<br />
motsdepasse<br />
Voiraussimotsdepassecryptés;serveurdemots<br />
depasse<strong>Open</strong><strong>Directory</strong>;motsdepasse<br />
shadow<br />
administrateur50,129,130,237,243<br />
attributs270<br />
compteroot144<br />
comptesd’utilisateur237,238<br />
conseils47<br />
création122,136,137<br />
dépannage237,238,239,242<br />
domaineWindows32,46,47,48,49<br />
exportation136<br />
hachage45,60,62<br />
importation136<br />
LDAP182<br />
migrationdes137<br />
<strong>Open</strong><strong>Directory</strong>45,46,47,49,59,107,125,133<br />
politiques43,50,129,130,259<br />
réinitialisation60,124,243<br />
surdesrépliques71<br />
types44,45,46,125,127<br />
ousignatureunique51<br />
motsdepassecryptés<br />
changementen127<br />
chiffrement48,49<br />
définition46<br />
limitesdeWindows32,46<br />
migrationdescomptesd’utilisateur137<br />
problèmesdesécurité47<br />
motsdepasseShadow<br />
changementen128<br />
désactivation62<br />
fonctionnalités49<br />
limitesdeWindows33,46<br />
méthodesd’authentification59,132<br />
problèmesdesécurité47<br />
N<br />
NAT<br />
NAT(NetworkAddressTranslation)75<br />
NeST,outil134<br />
NetworkAddressTranslation.VoirNAT<br />
NetworkFileSystem.VoirNFS<br />
NetworkInformationService.VoirNIS<br />
NetworkTimeProtocol.VoirNTP<br />
NFS(NetworkFileSystem)148,149,150
Index 319<br />
<br />
NIS(NetworkInformationService)26,202<br />
nomabrégé216<br />
nomcomplet263,271<br />
Voiraussinomabrégé;nomd’utilisateur<br />
nomcomplet.Voirnomcomplet<br />
nomd’ordinateur99,106,135,176<br />
nomd’utilisateur96<br />
nomdistinctif(DN)28,162<br />
nomdistinctifrelatif.VoirRDN<br />
nomNetBios106<br />
Nomréel173<br />
nomréel.Voirnomcomplet<br />
NTP(networktimeprotocol)240<br />
O<br />
<strong>Open</strong><strong>Directory</strong><br />
activation94<br />
affichagedesdonnées212<br />
améliorationdesperformances82<br />
configuration68,91,93<br />
configurationdeDNS95,115<br />
configurationdelaconnexion108,110,111,142<br />
contrôled’209,210,211<br />
contrôledel’état209,210,211<br />
etuncontrôleurdedomainesecondaire34,106<br />
fonctions20<br />
histoire21,23<br />
etInspecteur212,213,214<br />
etKerberos12,45,80<br />
etLDAP11,246,247<br />
maintenance205<br />
modificationdesdonnées212,213,214,215,216<br />
outilsd’accès26,205,206,207,208<br />
outilsdegestion86,87,88,89<br />
etuncontrôleurdedomaineprincipal32,98,<br />
100,101<br />
politiquedeliaison218<br />
priseenchargedesordinateursclients70<br />
réglagesdesoptions217,218<br />
règlementdesécurité219<br />
réplicationd’224<br />
serveursdistants93<br />
serviceautonome94<br />
servicesSMB31<br />
etGestionnairedegroupedetravail20<br />
utilisations24<br />
vued’ensemble11,19<br />
VoiraussiActive<strong>Directory</strong>;domaines,répertoire;<br />
mappages<br />
<strong>Open</strong>LDAP.Voir<strong>Open</strong><strong>Directory</strong><br />
Option95,DHCP40<br />
option95,DHCP218<br />
optionsdedélaidereconnexion,LDAP179<br />
ordinateurs<br />
connexionsderépliques104<br />
mappages282,283<br />
politiquesderecherche40,41<br />
suppression215<br />
synchronisationdeshorloges113<br />
Voiraussiordinateursclients<br />
ordinateursclient<br />
pointsdepartage25<br />
ordinateursclients<br />
basculement107<br />
configuration140,141,147,148<br />
connexions70,139,141,142,143<br />
fichesdemontage148,149,150<br />
fichiersBSD26,203,204<br />
NIS26,202<br />
priseencharged’<strong>Open</strong><strong>Directory</strong>70<br />
règlesderecherche38,150,152,153,154<br />
Voiraussiservicesderépertoire<br />
ordinateursportables,politiquesderecherche41<br />
Voiraussicomptesmobiles<br />
outilsdelignedecommande<br />
configurationdesrépertoires186<br />
motsdepasse130,134<br />
restaurationdeserveurs231,232<br />
SSH206<br />
outilsenlignedecommande<br />
modificationdenomsabrégés216<br />
vued’ensemble89<br />
ouverturedesession<br />
accélération72<br />
autoritépourlaconfigurationWindows99<br />
comptesmobiles75<br />
contrôled’accès206<br />
dépannage239<br />
domainesderépertoire24,70<br />
imagepourunutilisateur257<br />
instructionsauxutilisateurs98<br />
motsdepasse46<br />
tentativesayantéchoué211<br />
P<br />
PAC(PrivilegeAttributeCertificate)78<br />
paquets,données186<br />
PDC(contrôleurdedomaineprincipal)<br />
basculement34<br />
configurationduserveur110<br />
<strong>Open</strong><strong>Directory</strong>comme32,98,100,101<br />
pointsdepartage25,148,149<br />
politiquedemotdepasseglobale129<br />
politiquesderecherche<br />
administrateur39<br />
automatiques40,152<br />
définition31,35<br />
LDAP40<br />
modification154<br />
niveaux35,36,38
320 Index<br />
<br />
ordinateurs40,41<br />
personnalisées41,153<br />
politiquesderechercheàdeuxniveaux36<br />
ports<br />
attributsdeservice273<br />
réplication229<br />
serveurdedomainederépertoire83<br />
présentationsderéseaugérées25<br />
presetcomputer,classed'objets251<br />
presetcomputergroup,classed'objets252<br />
principaux,Kerberos57<br />
PrivilegeAttributeCertificate.VoirPAC<br />
privilèges,administrateur<br />
Voiraussiautorisations<br />
privilègesadministrateur86<br />
problèmes.Voirdépannage<br />
procéduresdeconfiguration.Voirconfiguration<br />
processusdedémarrage.Voirdémarrage<br />
protocoles<br />
NTP240<br />
SMB31<br />
VoiraussiDHCP;LDAP<br />
ProtocoleSMB(<strong>Server</strong>MessageBlock).VoirSMB<br />
pwpolicy,outil130<br />
R<br />
RAID(matriceredondantededisques<br />
indépendants)83<br />
RDN(nomdistinctifrelatif)28<br />
recherche<br />
LDAP28,97,173,221,240<br />
utilisateursetgroupes29,30<br />
recherched’utilisateursetdegroupes29,30<br />
recherched’utilisateursetgroupes<br />
Voiraussirecherche<br />
RedundantArrayofIndependentDisks.VoirRAID<br />
références,serveur180<br />
règlesderecherche<br />
authentification42,150<br />
contacts42,150<br />
DHCP154<br />
local154<br />
réglagesavancés150<br />
relais105,226,236<br />
répartitiondelacharge68,74<br />
réplication<br />
contrôledela210<br />
domainesderépertoire67<br />
encascade69,72,74,105<br />
gestiondela224,225,226,229<br />
plusieursbâtiments74<br />
ports229<br />
sécurité84<br />
serveurssubordonnés78<br />
Voiraussiréplique<strong>Open</strong><strong>Directory</strong><br />
réplicationencascade69,72,74,105<br />
réplique<strong>Open</strong><strong>Directory</strong><br />
etmaître225<br />
attributs271<br />
authentification71<br />
basculement107<br />
configuration102,105<br />
contrôled’accès102<br />
etuncontrôleurdedomainesecondaire34<br />
conversionenrelais226<br />
dépannage235,236<br />
ensemblesderépliques72<br />
hébergement103<br />
introduction12,27<br />
etmaître69,72,74,75,76,95,224,226,229<br />
miseàjour82<br />
misehorsserviced’une229<br />
motsdepasse71,123<br />
NAT75<br />
promotiond’une226<br />
synchronisationd’une225<br />
réseauprivé59,75,238<br />
réseaupublic75<br />
réseaux<br />
configuration108,110,111,142,143<br />
connexionsclient139,141,142,143<br />
connexionsclients70<br />
connexionsderépliques104<br />
connexionsLDAP108,177,178,179<br />
dépannage237<br />
présentationsgérées25<br />
privés75<br />
publics75<br />
royaumeKerberos242<br />
resource,classed'objets255<br />
ressource,attribut275<br />
royaumes.VoirKerberos<br />
S<br />
SASL(SimpleAuthenticationandSecurityLayer)12,<br />
59<br />
Voiraussiserveurdemotsdepasse<strong>Open</strong><br />
<strong>Directory</strong><br />
schémaattributs275<br />
schémas,domainederépertoire27,79,187,245,<br />
246,247<br />
Voiraussiattributs;classesd’objets;<br />
enregistrements<br />
SecureSHell.VoirSSH<br />
SecureSocketsLayer.VoirSSL<br />
sécurité<br />
certificats78,222<br />
comptesd’utilisateur47<br />
comptesroot144<br />
coupe-feu54,83
Index 321<br />
<br />
désactivatiiondeméthodesd’authentification60,<br />
62<br />
DHCP154<br />
Kerberos54,230<br />
LDAP44,123,171,182,219,221,222<br />
politiquesderecherche41<br />
pratiquesd’excellence83<br />
réglagesdurèglementduserveur219<br />
SASL12,59<br />
SSL64,142,222<br />
Voiraussiauthentification;motsdepasse;<br />
autorisations<br />
<strong>Server</strong>Assistantconfiguration,classed'objets254<br />
Serveurdemotsdepasse.Voirserveurdemotsde<br />
passe<strong>Open</strong><strong>Directory</strong><br />
serveurdemotsdepasse<strong>Open</strong><strong>Directory</strong><br />
archivage230<br />
authentification32,45,59<br />
basededonnées61,63<br />
configuration95<br />
dépannage239<br />
politiquedemotdepasse50<br />
réplication71<br />
sécurité83<br />
serveurpseudo-maître78<br />
serveurs<br />
accès30,206<br />
ajout142<br />
authentification55,83<br />
configuration110,111,292<br />
connexionsàdesroyaumesKerberos119,242<br />
contrôle143<br />
distants93,148,206<br />
hébergementderépliques103<br />
identification70<br />
liaisonaux218<br />
modification143<br />
ports83<br />
pseudo-maître78<br />
références180<br />
règlementdesécurité219<br />
restauration231,232<br />
rupturedelaliaisonavecles200<br />
subordonnés78<br />
suppression142<br />
Voiraussi<strong>Open</strong><strong>Directory</strong><br />
serveursdistants93,148,206<br />
serveursubordonné78<br />
servicedecoupe-feu83<br />
servicedecoupe-feuIP83<br />
servicedemessagerie25,59,158,256<br />
servicedeprotocoleSMB(<strong>Server</strong>MessageBlock)31,<br />
59<br />
servicederépertoireautonome.Voirdomainesde<br />
répertoirelocaux<br />
serviceDHCP(DynamicHostConfigurationProtocol)<br />
comptesmobiles155<br />
LDAP40,152,158<br />
option9540,218<br />
sécurité154<br />
serviceDNS(DomainNameSystem)<br />
attributs273,274<br />
configurationd’<strong>Open</strong><strong>Directory</strong>95,115<br />
Kerberos95,113,115,236<br />
utilisateursWindows99<br />
serviceLDAP(Lightweight<strong>Directory</strong>Access<br />
Protocol)<br />
accèsdirectau152<br />
accèsenlectureseule180<br />
activation156,158<br />
Active<strong>Directory</strong>201<br />
authentification64,135,162,179,181,182<br />
conditionsrequisespourlesadministrateurs99<br />
configuration104,159,160,163,165,167,169<br />
définition26<br />
délais178,221<br />
dépannage237,240<br />
désactivation156,158<br />
DHCP40,152,158<br />
emplacementdelabasededonnées220<br />
Kerberos79<br />
<strong>Mac</strong><strong>OS</strong>X184<br />
Mail158<br />
NetInfo,migrationàpartirde33<br />
NetInfo,migrationdepuis138<br />
<strong>Open</strong><strong>Directory</strong>11,246,247<br />
outilsdelignedecommande186,216<br />
politiquesderecherche40<br />
privilègesd’utilisateur86,180,184<br />
recherche28,97,173,221,240<br />
référencesdeserveur180<br />
réglagesavancés156,157<br />
réglagesdeconnexion108,177,178,179<br />
réplication71<br />
schémas246,247<br />
sécurité44,123,171,182,219,221,222<br />
structure28<br />
Voiraussiattributs;mappages;classesd’objets;<br />
liaisonsécurisée<br />
servicesdefichiers<br />
authentification59<br />
NFS148,149,150<br />
pointsdepartage25,148,149<br />
SMB31,59<br />
servicesderépertoire<br />
accès155,156,157<br />
administrateursde19<br />
attributs175<br />
avantages19<br />
configuration147,148<br />
disponibilitédeKerberos114<br />
mappagede174,182
322 Index<br />
<br />
organisationdes20<br />
problèmesdeconnexion237<br />
réglagesavancés147,155,156<br />
VoiraussiActive<strong>Directory</strong>;domaines,répertoire;<br />
<strong>Open</strong><strong>Directory</strong><br />
servicesderépertoires<br />
planification39<br />
servicesréseau<br />
adressesIP95,142<br />
NAT75<br />
servicedecoupe-feuIP83<br />
VPN59,75,238<br />
VoiraussiDHCP;DNS<br />
SimpleAuthenticationandSecurityLayer.VoirSASL<br />
slapconfig, outil231,232<br />
SSH(secureSHellhost)84,103,206<br />
ssh, outil206<br />
SSL(SecureSocketsLayer)64,142,222<br />
synchronisationdeshorloges58,71,113,240<br />
T<br />
Time-to-Live(TTL),attribut256<br />
TTL,attribut.Voirduréedevie,attributde<br />
typed'enregistrementConfig285<br />
typed'enregistrementdemontage282,302<br />
typed'enregistrementPeople286<br />
typed'enregistrementPresetComputerLists287,<br />
288<br />
typed'enregistrementPresetGroups288<br />
typed'enregistrementPresetUsers289<br />
typed'enregistrementPrinters290,291<br />
typedeficheConfig182<br />
typedefichedemontage148,149,150<br />
U<br />
UID(identifiantsd’utilisateur)78,96,186,194<br />
UNIX<br />
fichiersdeconfiguration21,23<br />
mappagedesidentifiantsdegroupe195<br />
motsdepassecryptés127<br />
problèmesdesécurité47<br />
URL(UniformResourceLocators)270<br />
user,classesd’objets248<br />
users<br />
classesd’objets248,253<br />
utilisateurpréréglé,attribut272<br />
utilisateurs<br />
authentification44,49,51,116<br />
autorisationinter-domaines78<br />
autorisations85,180,184<br />
avantagesdesservicesderépertoire19<br />
contrôledel’accès186,205,206,238<br />
dépann239<br />
dépannageenmatièred’authentification238,<br />
239,240,242<br />
mappages183,194,277,289<br />
migrationdes138<br />
ouverturedesession98,257<br />
stockagedespréférences25<br />
typesd'enregistrement289<br />
utilisationsdesdomainesderépertoire24,29,30<br />
Windows31,32,99<br />
Voiraussiclients;dossiersdedépart;comptes<br />
d'utilisateur;Gestionnairedegroupede<br />
travail<br />
utilisationdesressources25<br />
Utilitairederépertoire79,88,139,147,148<br />
V<br />
VPN(virtualprivatenetwork)59,75,238<br />
W<br />
Windows2000,configuration101<br />
X<br />
XMLplist,attribut270