Documente Academic
Documente Profesional
Documente Cultură
Ce document est rserv l'usage exclusif d'Apple et de ses partenaires et est rserv la formation.
Apple Inc. 2011 Apple Inc. Tous droits rservs. Apple, le logo Apple, Airport, AirPort Extreme, AppleScript, Bonjour, FileVault, Finder, FireWire, iCal, Mac, MacBook, MacBook Air, Mac OS, QuickTime, Safari, Spotlight, Time Machine et Xcode sont des marques d'Apple Inc., dposes aux tats-Unis et dans d'autres pays. Apple Remote Desktop est une marque d'Apple, Inc. Mac App Store est une marque de service d'Apple, Inc. Intel est une marque d'Intel Corp. aux tats-Unis et dans d'autres pays. Java est une marque dpose d'Oracle et/ou de ses filiales. UNIX est une marque dpose de The Open Group aux tats-Unis et dans dautres pays. La version 10.7 Lion d'OS X est un produit certifi Open Brand UNIX 03. Les autres noms de produits et de socits mentionns dans ces pages sont des marques de leurs socits respectives.
Les mentions de produits tiers sont donnes titre purement indicatif et ne constituent en aucun cas une recommandation ou une approbation de la part d'Apple. Apple nassume aucune responsabilit quant aux performances et lutilisation de ces produits. Tout accord, garantie, engagement, sont passs le cas chant directement entre les revendeurs et les utilisateurs potentiels. Une attention particulire a t porte la rdaction de ce manuel et lexactitude de son contenu. Apple ne peut tre tenue pour responsable des erreurs typographiques ou de saisie. Apple publie rgulirement de nouvelles versions et des mises jour de ses logiciels, et les images reproduites dans ce manuel peuvent donc prsenter des diffrences avec ce que vous voyez sur votre cran. 29 septembre 2011
ii
Collaboration .............................................................79
Systme de fichiers rpartis ................................................................79 Connexion aux partages DFS.........................................................................79 Intgration Microsoft Exchange .........................................................80 Utiliser Mail, iChat et Carnet d'adresses avec Exchange .....................80 Activer les rponses en absence dans Mail..............................................85 Rsoudre les problmes de connexion de Mail, iCal et Carnet d'adresses Microsoft Exchange .............................................................86 DNS ...........................................................................................................................86 Redirections incorrectes/erreurs de certificat .........................................87 Limite de taille de message ............................................................................88 Dpanner Microsoft Outlook2011 ...............................................................89
iii
Connexion Microsoft SharePoint ....................................................90 Messagerie instantane........................................................................92 iChat .........................................................................................................................92 Microsoft Office Communications Server .................................................97
Ressources .................................................................................99
Pages Man ..............................................................................................................99 Guide de l'administrateur avanc ................................................................99 Modules externes Active Directory tiers ...................................................99 Solutions DFS tierces .........................................................................................99 Ressources de dpannage d'Exchange ...................................................100 Informations sur Microsoft Outlook2011 ...............................................100 Microsoft Communications Server ...........................................................100 Informations sur Microsoft SharePoint ....................................................101
Annexe 102
Crer un compte administrateur local la ligne de commande..102 Masquer un compte local .............................................................................103 Modifier le compte administrateur local ................................................104 Imbriquer les admin rseau dans un groupe administrateur local .............................................................................................................................104 Crer un compte administrateur local avec un paquet ou un script .............................................................................................................................105 Liaison Open Directory la ligne de commande ...........................106 Liaison Open Directory avec un script post-installation ..............108 Liaison Active Directory la ligne de commande ..........................109 Liaison Active Directory avec un script................................................111 Liaison Active Directory avec un script post-installation .............112 Mapper les UID, GID utilisateur et GID de groupe avec dsconfigad .............................................................................................................................112 Prise en charge des espaces de noms avec dsconfigad...................112 Grer les certificats la ligne de commande .......................................113 Modifier le mot de passe Active Directory sur l'ordinateur ............114 Afficher DFS avec smbutil .............................................................................114
iv
Introduction
propos de cette srie
Ce guide fait partie d'une srie en quatre parties conue pour aider les informaticiens professionnels dont la tche est d'valuer et de dployer le systme d'exploitation OSX Lion sur les ordinateurs Mac au sein d'un environnement d'entreprise ou d'une administration publique. Les autres guides qui compltent la srie sont les suivants: Formation technique OSX: dploiement Formation technique OSX: gestion Formation technique OSX: scurit
propos de ce guide
Avec ce guide, les organisations peuvent entreprendre des validations ou projets pilotes de plus grande envergure concernant les ordinateurs Mac dans leurs environnements. Ce guide aborde deux sujets essentiels pour un dploiement russi d'ordinateurs Mac: Services dannuaire Collaboration Chaque section comporte des exemples et des instructions dtailles. Il n'est pas ncessaire d'effectuer une analyse approfondie de tous les exemples de ce guide pour un mme projet de dploiement Mac, car de nombreux exemples s'excluent mutuellement. Par exemple, le guide contient des modules sur les services d'annuaire Open Directory, Active Directory, Lightweight Directory Access Protocol (LDAP) et d'autres technologies. La majorit des organisations slectionnent le service qui rpond au mieux leurs besoins. Avant d'utiliser ce guide, n'hsitez pas consulter votre reprsentant commercial Apple ou votre Revendeur Agr Apple pour toute question ou assistance afin d'identifier les modules pertinents dans le cadre de votre environnement.
1 Services dannuaire
Un service d'annuaire stocke des informations sur les utilisateurs, groupes et ressources rseau d'une organisation. OS X Lion utilise des services d'annuaire en local sous forme de comptes en local ou par le biais de services d'annuaire en rseau, qui obtiennent les informations de service d'annuaire auprs d'une source centralise. Avec une installation par dfaut d'OSX Lion, vous pouvez configurer les services d'annuaire pour accder des informations de service d'annuaire avec LDAP (Lightweight Directory Access Protocol), Active Directory, fichiers plat BSD (Berkeley Software Distribution) et NIS (Network Information Service). LDAP et Active Directory sont les services les plus utiliss. Lorsqu'une application, un dmon ou un utilitaire a besoin d'informations sur un utilisateur, groupe ou ordinateur, il ou elle interroge un service d'annuaire. Sous OSX Lion, les informations sont toujours d'abord recherches dans le service d'annuaire en local. Si l'information n'est pas trouve dans les services d'annuaire en local, la requte est envoye aux autres services d'annuaire qui ont t configurs. Le chemin de recherche est spcifi dans l'application /Systme/Bibliothque/CoreServices/Utilitaire d'annuaire qui permet l'administrateur de spcifier l'ordre d'interrogation des services d'annuaire en cas de requte portant sur les utilisateurs ou les groupes par exemple. Sous OSX Lion, les services d'annuaire exploitent une structure modulaire. Cette structure permet l'extension des services d'annuaire l'aide de modules d'annuaire tiers. Ces modules offrent des fonctionnalits supplmentaires, ainsi que la prise en charge de services d'annuaire qui ne sont pas grs en standard par le systme d'exploitation .
Vous pouvez utiliser diffrentes applications pour modifier les donnes de service d'annuaire en local. Vous pouvez ainsi utiliser le volet Utilisateurs et groupes de Prfrences Systme pour ajouter, modifier ou supprimer les comptes d'utilisateurs et de groupes. Ou utilisez Utilitaire de disque dans /Applications/Utilitaires pour ajouter, modifier et supprimer des informations de montage, stockes dans la section automount (montage automatique) de l'arborescence du service d'annuaire. Bien que vous puissiez modifier directement les fichiers de liste de proprits, les modifications ne sont pas perues par le systme et les fichiers ne sont pas vrifis. Par scurit, il convient donc souvent d'utiliser les utilitaires de ligne de commande pour modifier les informations sur les utilisateurs, groupes et ordinateurs des services d'annuaire. Ces utilitaires sont accessibles par le biais de l'application Terminal situe dans /Applications/ Utilitaires. Voici les utilitaires de ligne de commande ainsi que leur rle.
odutilSurveiller les services d'annuaire et grer leur journalisation. dsclUtilitaire de ligne de commande de services d'annuaire. dscacheutilEffectuer des requtes, vider les caches et recueillir des statistiques sur les
dsmemberutilConsulter les adhsions aux groupes et leurs UUID et effectuer certaines oprations de dbogage. idValider les informations sur les utilisateurs et groupes.
3.
4. 5. 6.
Dans la bote de dialogue qui apparat, slectionnez Administrateur dans le menu Nouveau compte. Entrez le nom complet et le nom du compte de l'utilisateur. (Ces noms doivent tre uniques et distincts l'un de l'autre.) Entrez le mot de passe dans les champs Mot de passe et Confirmation, puis cliquez sur le bouton Crer l'utilisateur. Le nouveau compte apparat dans la liste des comptes, sous Autres Utilisateurs.
7.
Pour vrifier que vous avez cr le compte avec succs avec les bons droits d'administration, fermez la session puis ouvrez-la sous le nouveau compte.
Open Directory
Open Directory est le service d'annuaire intgr OSX LionServer. Sous OSX LionServer, Open Directory inclut un domaine d'annuaire partag bas sur LDAPv3, ainsi qu'un certain nombre d'extensions de schma qui exploitent l'espace de noms OID (Object Identifier) par le biais de IANA (Internet Assigned Numbers Authority), du serveur de mots de passe d'Apple et de Kerberos 5, le tout intgr l'aide d'un sous-systme de service d'annuaire modulaire. Open Directory autorise l'excution de diffrents services sous OSX Lion et d'autres systmes d'exploitation adapts Kerberos, ainsi que l'intgration d'autres services d'annuaire comme Microsoft Active Directory, en utilisant une topologie double annuaire ou des enregistrements augments.
Ce script compare les informations de DNS actuelles l'adresse IP du serveur et vrifie sa configuration. Si ce script renvoie des erreurs, rparez votre DNS et relancez le script.
IMPORTANT: ne lancez pas la configuration du matre Open Directory sans avoir valid le nom d'hte du systme. 2. 3. 4. 5. Lorsqu'OSX Lion rsout correctement le DNS, ouvrez Admin Server depuis /Applications/Serveur. Authentifiez-vous auprs du serveur. Dans Admin Serveur, cliquez sur le nom du serveur dans la liste des serveurs. Cliquez ensuite sur le nom du serveur que vous souhaitez transformer en matre Open Directory. Cliquez sur le bouton Rglages de la barre d'outils, puis cliquez sur l'onglet Services au sommet du volet.
6.
7. 8. 9.
Slectionnez Open Directory une fois qu'il apparat dans la liste Serveurs disponibles. Cliquez sur le bouton Rglages dans la barre d'outils d'Admin Serveur pour le service Open Directory. Cliquez sur le bouton Modifier pour lancer l'Assistant Open Directory. Remarque: si l'ordinateur est dj connect un service d'annuaire, passez directement Double annuaire puisque vous tentez alors de configurer un environnement double annuaire plutt qu'un matre Open Directory standard.
10. Dans le volet Choisir un rle de rpertoire, slectionnez Configurer un matre Open Directory et cliquez sur Continuer.
11. Dans le volet Administrateur de l'annuaire, entrez les informations pour le nouveau compte administrateur Open Directory. Ce compte est distinct d'un compte administrateur en local, car l'administrateur de l'annuaire peut modifier les informations contenues dans la base de donnes Open Directory, en plus de la base de donnes en local de l'ordinateur promu en tant que matre Open Directory. Celle-ci correspond aux utilisateurs et groupes en local de Windows Server, et non aux utilisateurs et groupes grs via les utilisateurs et groupes Active Directory. Le nom par dfaut de ce compte est Directory Administrator et le nom abrg par dfaut est diradmin. Vous pouvez les modifier votre guise. L'identifiant utilisateur par dfaut est 1000. Vous pouvez le changer, sachant que le numro doit tre unique.
12. Entrez un mot de passe dans les champs Mot de passe et Confirmer. 13. Dans le volet Domaine et autorit de certification, vrifiez que le royaume Kerberos correspond ce que verront vos clients lorsqu'ils rejoignent le domaine, et que la base de recherche LDAP concorde. (Les bases de recherche utilisent le format dc= pour chaque champ du nom de domaine intgralement qualifi du domaine.)
14. Cliquez sur Continuer. 15. Dans le volet Confirmer les rglages, vrifiez les rglages et cliquez sur Continuer.
16. Cliquez sur Fermer et attendez que le serveur termine la configuration Open Directory.
17. Une fois la configuration termine, cliquez sur l'icne Historiques pour consulter les journaux Open Directory.
18. Les journaux sont rpartis dans plusieurs fichiers. Recherchez-y d'ventuelles erreurs majeures. Les journaux disponibles sont:
19. Cliquez sur l'icne Aperu. Ce volet prsente les services ayant dmarr.
20. Si vous utilisez un serveur de test, songez supprimer les informations Open Directory cres lors de cet exercice (si vous souhaitez recommencer la ligne de commande ou analyser les journaux dans le dtail pour comprendre ce qui se produit lorsque vous modifiez diverses options lors de la promotion). Une fois que vous avez un matre Open Directory oprationnel, vous pouvez supprimer ce rle avec la commande slapconfig. Soyez prudent lorsque vous utilisez cette commande, car elle dtruit toutes les informations dans le domaine rseau Open Directory. Excutez la commande suivante dans Terminal:
slapconfig -destroyldapserver
Remarque: soyez prudent lorsque vous utilisez cette commande, car elle dtruit toutes les informations dans le domaine rseau Open Directory.
10
11
2.
Si le serveur rpond la requte, passez l'tape suivante. Si le serveur ne rpond pas, c'est peut tre parce qu'il est protg par souci de scurit. Pour vrifier la connectivit, utilisez l'Utilitaire de rseau pour essayer d'analyser les ports utiliss sur le serveur (par exemple le port 389 pour LDAP). Ouvrez l'Utilitaire de rseau et cliquez sur l'onglet Port Scan au sommet de la fentre. Entrez l'adresse IP ou le nom d'hte du serveur dans le champ Saisissez une adresse Internet ou IP pour y rechercher les ports ouverts Entrez la . plage de ports dans les champs Tester uniquement les ports entre .
12
5. 6.
Cliquez sur le bouton Modifier en regard de Compte serveur rseau. Cliquez sur le bouton Ajouter (+).
7.
D'ici, vous pouvez tablir la liaison si vous n'utilisez pas de nombreuses options personnalises pour communiquer avec vos serveurs Open Directory. Si vous utilisez le rglage automatique, les seules options disponibles sont le nom DNS ou l'adresse IP du serveur, et l'utilisation de SSL. Entrez le nom du serveur Open Directory dans le champ Serveur. Cliquez sur OK.
8.
13
9.
En l'absence d'un certificat SSL, vous tes invit continuer sans connexion scurise.
11. Entrez le nom du serveur, l'identifiant de l'ordinateur client (le nom de l'enregistrement de l'ordinateur dans Open Directory est fourni) et le nom d'utilisateur et le mot de passe. 12. Cliquez sur OK pour tablir la liaison.
14
Un tmoin vert apparat en regard du nom du serveur dans le champ Compte serveur rseau pour indiquer que la liaison est tablie.
15
2.
3.
4. 5.
16
6. 7.
Dans le volet Utilitaire d'annuaire, cliquez sur Services dans la barre d'outils. Dans le volet Services, slectionnez LDAPv3 et cliquez sur le crayon ou cliquez deux fois sur LDAPv3, pour modifier les rglages.
Remarque: vous pouvez galement tablir des liaisons plusieurs serveurs d'annuaire et serveurs LDAP. Cela quivaut utiliser un service d'annuaire en local pour les comptes locaux et un service d'annuaire en rseau pour les comptes hbergs par Open Directory et Active Directory. 8. Cliquez sur le triangle en regard d'Afficher les options.
17
9.
10. Dans le champ Nom de la configuration, donnez un nom cette configuration pour pouvoir reconnatre la connexion. 11. Entrez le nom d'hte ou l'adresse IP du serveur dans le champ Nom serveur/adresse IP. 12. Ne modifiez pas Mappages LDAP (Du serveur).
13. Cliquez sur OK. 14. Pour autoriser ce nouveau service d'annuaire authentifier les utilisateurs, cliquez sur Rgles de recherche. Remarque: l'ordre des chemins de recherche dfini ici dtermine l'ordre de recherche des informations d'authentification dans les annuaires. Le rpertoire au sommet de la liste est interrog en premier, et ainsi de suite.
18
16. Cliquez sur le bouton Ajouter (+) pour ajouter le service d'annuaire. 17. Slectionnez le nouveau service LDAP dans la liste. 18. Cliquez sur Ajouter.
Si vous souhaitez poursuivre la personnalisation, revenez au bouton Services dans l'Utilitaire d'annuaire, cliquez deux fois sur LDAP, et cliquez sur le serveur que vous souhaitez personnaliser. 19. Cliquez sur le bouton Modifier.
19
20. Cliquez sur le bouton Connexion pour modifier les informations saisies dans la fentre prcdente, puis personnalisez les rglages de dlai d'expiration, les ports TCP personnaliss pour LDAP, etc.
21. Utilisez le volet Recherche et mappages pour associer certains enregistrements et attributs d'un systme local ceux d'un serveur Open Directory.
20
22. Une fois que vous tes satisfait, cliquez sur Enregistrer le modle pour effectuer une copie de vos rglages, ou cliquez sur le bouton crire sur le serveur pour modifier votre environnement cn=config. Remarque: utilisez l'option crire sur le serveur avec prudence, car elle affecte tous les clients configurs pour obtenir leurs rglages depuis le serveur. 23. Dans le volet Scurit, vous pouvez ajouter la liaison authentifie en cochant la case Utiliser l'authentification lors de la connexion puis en entrant le Nom absolu du compte que vous utiliserez pour les connexions, ainsi qu'un mot de passe. Vous pouvez galement utiliser la section Rglement de scurit du volet pour activer diverses rgles qui contrlent la manire dont les donnes LDAP sont changes sur votre rseau. Remarque: le serveur auquel l'ordinateur client se connecte doit autoriser ces rglages de rgles de scurit.
21
3.
Le Domaine d'annuaire actuel est visible dans la barre de domaine d'annuaire (juste en dessous de la barre d'outils). Dans de nombreux cas, vous n'tes pas authentifi sur le domaine et devez donc vous authentifier.
4.
Si l'icne de cadenas de la barre de domaine d'annuaire est verrouille, cliquez sur l'icne et authentifiez-vous auprs du service d'annuaire que vous allez utiliser. Le nom d'utilisateur par dfaut est diradmin, sachant que vous avez pu personnaliser le nom d'utilisateur lors de la cration du matre. Vous pouvez aussi utiliser un compte administrateur de service d'annuaire dlgu. Entrez le nom d'utilisateur et mot de passe dans la bote de dialogue S'authentifier auprs du rpertoire puis cliquez sur le , bouton Authentifier.
22
En cas d'authentification russie, la partie droite de la barre d'annuaire affiche une icne de cadenas dverrouill. Une fois que vous tes authentifi auprs d'Open Directory, vous pouvez crer le compte utilisateur. 5. Cliquez sur le bouton Nouvel utilisateur.
6.
Entrez les informations de base sur l'utilisateur dans le volet lmentaire de la fentre Nouvel utilisateur. Si vous devez personnaliser le nom abrg, faites-le maintenant car sa personnalisation ultrieure sera plus fastidieuse. Crez un nom (gnralement le nom complet de l'utilisateur) et entrez un mot de passe pour l'utilisateur concern. Bien que vous puissiez modifier l'identifiant utilisateur, il est plus prudent de conserver le numro cr automatiquement dans ce champ. Vous pouvez galement spcifier des droits plus importants pour l'utilisateur et activer ou dsactiver le compte en cochant respectivement les cases Autoriser l'utilisateur administrer ce serveur et Autoriser l'utilisateur accder son compte .
23
7.
Pour activer l'accs administrateur Open Directory pour les utilisateurs, cliquez sur Privilges et slectionnez les privilges adapts dans le menu Capacits d'administration .
8.
Cliquez sur Options avances. Cochez la case si vous souhaitez que les utilisateurs aux prfrences gres puissent se connecter plusieurs ordinateurs grs en mme temps. Dfinissez un shell d'accs (le shell utilis par dfaut l'ouverture de Terminal) et slectionnez le type de chiffrement du mot de passe. Ajoutez le cas chant des commentaires et des mots cls. Ils simplifient la recherche d'utilisateurs mesure que leur nombre augmente.
9.
24
11. Cliquez sur le bouton Ajouter (+) et faites glisser le groupe dans la liste Autres groupes depuis la barre latrale.
25
12. Cliquez sur le bouton Accueil. Si vous utilisez Dossier de dpart du rseau ou Mobilit, slectionnez le rfrentiel de rpertoire de dpart utiliser pour l'utilisateur que vous crez.
13. Cliquez sur Infos et entrez toute autre information pertinente des fins de suivi, comme l'adresse postale de l'utilisateur, son numro de tlphone, son adresse e-mail, etc.
26
6. 7.
Cliquez sur Enregistrer. Slectionnez le service Open Directory qui apparat dans la liste en dessous du nom ou de l'adresse IP du serveur.
27
8.
9.
Cliquez sur le bouton Modifier pour transformer le serveur en rplique. L'Assistant Open Directory est lanc.
10. Slectionnez Configurer une rplique de matre Open Directory et cliquez sur le bouton Continuer. 11. Entrez l'adresse IP ou le nom d'hte, le nom de l'administrateur Open Directory et le mot de passe Open Directory du matre Open Directory.
28
12. Cliquez sur Continuer. 13. Lorsque le serveur vous invite vrifier les informations fournies, cliquez sur Continuer pour confirmer. La rplique est cre. 14. Cliquez sur Aperu dans la barre d'outils d'Admin Serveur. 15. Vrifiez que Serveur LDAP, Serveur de mot de passe et Kerberos sont tous rgls sur En service. Indiquez la base de recherche LDAP et le domaine Kerberos pour une intgration plus pousse. 16. Lorsque vous avez termin, utilisez Admin Serveur sur le matre Open Directory pour afficher la rplique ainsi que la dernire rplication effectue. Cliquez galement sur Historiques dans la barre d'outils pour consulter d'ventuelles erreurs survenues lors de la rplication initiale.
29
Active Directory
Active Directory est la solution de service d'annuaire de Microsoft. Active Directory fournit des informations sur les utilisateurs, groupes et ordinateurs (informations stockes en LDAP), la gestion des mots de passe et du chiffrement (avec Kerberos) et la recherche d'objets sur un rseau. Les informations dans Active Directory servent grer les utilisateurs, ordinateurs, groupes, imprimantes et d'autres ressources. Les administrateurs peuvent galement utiliser des Objets de stratgie de groupe pour affecter des rgles aux ordinateurs Windows. Active Directory est dploy dans des environnements de taille modeste avec quelques centaines d'objets, ainsi que dans des environnements de taille importante qui comptent des milliers (voire des millions) d'utilisateurs et systmes rpartis sur plusieurs sites. Vous pouvez relier manuellement un ordinateur Mac Active Directory avec le module Active Directory dans Utilitaire d'annuaire. la ligne de commande, utilisez dsconfigad pour la liaison et pour spcifier les options propres Active Directory. Active Directory fournit des rgles aux ordinateurs Windows et le schma peut tre tendu des rgles pour d'autres systmes d'exploitation, dont OSX Lion. Certains environnements ne peuvent pas recourir l'extension de leurs schmas AD. Des diteurs tiers proposent donc des rgles pour ordinateurs Mac sans extension du schma. Cette section prsente des tches d'administration pour la gestion d'OSX Lion avec Active Directory.
IN
SRV
600
IN
SRV
0 100 3268
IN
192.168.55.47
Query time: 83 msec SERVER: 192.168.1.6#53(192.168.55.47) WHEN: Thu Jul 31 14:09:32 2008 MSG SIZE rcvd: 92
30
2.
Si la rponse ne contient pas une section Answer (rponse) avec le nom d'un contrleur de domaine, vrifiez que les rglages rseau d'OSX Lion sont valables et que le DNS spcifi renvoie des informations d'enregistrement de service pour votre fort Active Directory. Pour relier OSX Lion Active Directory, vous devez disposer d'identifiants d'administrateur local sur le Mac ainsi qu'en tant qu'utilisateur Active Directory autoris rejoindre les ordinateurs dans l'unit organisationnelle (OU) que vous exploiterez dans Active Directory.
3.
Une fois la liaison du Mac Active Directory tablie, vous pouvez configurer le client pour autoriser les administrateurs Active Directory (ou tout utilisateur Active Directory de votre choix) tre un administrateur local sur le client Mac local. Toutefois, lors de la configuration initiale, vous devez disposer du nom et du mot de passe de l'administrateur local du Mac. Cet utilisateur est le premier utilisateur configur par l'Assistant rglages aprs l'installation.
31
5.
Entrez le nom du domaine dans le champ Serveur. La bote de dialogue se dploie pour afficher les identifiants et l'ID d'ordinateur (dj renseign).
6.
Une fois que vous avez rejoint le serveur de comptes rseau, vous pouvez revenir et examiner les informations de liaison, et fournir des informations complmentaires si ncessaire. Vous pouvez galement accder aux options de liaison Active Directory dans Utilitaire d'annuaire si d'autres informations sont requises sur l'cran de liaison. Pour ouvrir l'Utilitaire d'annuaire, cliquez sur le bouton Modifier dans le volet Utilisateurs et groupes de Prfrences Systme (ou si la premire tentative de liaison a chou, cliquez sur Rejoindre). Cliquez sur le bouton Ouvrir Utilitaire d'annuaire.
7.
8.
Cliquez deux fois sur Active Directory (ou cliquez sur Active Directory, puis sur l'icne de crayon).
32
9.
Entrez le nom de domaine Active Directory que vous souhaitez rejoindre (si la liaison n'est pas encore tablie).
10. Modifiez l'identifiant d'ordinateur si ncessaire et cliquez sur OK. Sans quoi vous verrez un bouton Rompre la liaison.
11. Si vous tablissez la liaison, entrez l'utilisateur Active Directory autoris relier un ordinateur l'OU spcifi dans Cl OU ordinateur. Entrez le mot de passe de l'utilisateur Active Directory, puis cliquez sur OK. 12. Dans le volet Utilisateurs et groupes, un tmoin vert apparat en regard du domaine si les comptes rseau fournis sont accessibles.
33
34
Exemple:
Client-1:~ admin$ id jfoster uid=818406992(jfoster) gid=1450179434(PRETENDCO\domain users) groups=1450179434(PRETENDCO\domain users)
2.
Si la commande id ne renvoie pas d'informations sur l'utilisateur Active Directory, ouvrez l'Utilitaire d'annuaire et vrifiez qu'OSX Lion est reli Active Directory et qu'Active Directory apparat sous Chemin de recherche (la liste est cre automatiquement lors de la liaison du client). Vrifiez galement la connectivit rseau entre OSX Lion et le contrleur de domaine, ainsi que les rglages de coupe-feu sur le rseau.
Pour parcourir le nud rseau Active Directory: 1. Ouvrez Terminal dans /Applications/Utilitaires et entrez la commande suivante:
Client-1:~ admin$ dscl localhost >
2.
Vous tes alors en mode interactif et pouvez parcourir les nuds rseau. Entrez la commande suivante:
> ls
Active Directory doit tre l'un des nuds de la liste. (Dans le cas contraire Active Directory est dsactiv/non coch dans l'Utilitaire d'annuaire.)
Active Directory BSD Local
Search Contact
3.
Utilisez cd pour aller dans le nud Active Directory et effectuez un autre ls pour afficher le contenu du nud.
> cd 'Active Directory'
35
4.
Utilisez cd pour aller dans le nud All Domains et effectuez un autre ls pour afficher le contenu du nud. Le nud doit contenir le nud Users (Utilisateurs).
/Active Directory > cd 'All Domains' /Active Directory/All Domains > ls CertificateAuthorities Computers FileMakerServers Groups Mounts People Printers Users
5.
Utilisez cd pour aller dans le nud Users et effectuez un autre ls pour afficher le contenu du nud. Le nud doit contenir tous les utilisateurs de la fort. Si vous comptez un grand nombre d'utilisateurs, n'utilisez pas ls pour afficher le contenu du nud. Utilisez plutt read pour afficher les attributs de l'utilisateur:
/Active Directory/All Domains > cd Users /Active Directory/All Domains/Users > read jfoster dsAttrTypeNative:accountExpires: 9223372036854775807 dsAttrTypeNative:ADDomain: pretendco.com dsAttrTypeNative:badPasswordTime: 0 dsAttrTypeNative:badPwdCount: 0 dsAttrTypeNative:cn: Tim Lee dsAttrTypeNative:codePage: 0 dsAttrTypeNative:countryCode: 0 dsAttrTypeNative:displayName: Tim Lee dsAttrTypeNative:distinguishedName: CN=Jimmy Foster,CN=Users,DC=pretendco,DC=com more...
6. 7.
Si vous ne parvenez pas lire les attributs d'un utilisateur, vrifiez les contrles d'accs dans Active Directory et que vous tes reli la bonne unit organisationnelle. Vous pouvez quitter dscl.
/Active Directory/All Domains/Users > exit Goodbye
36
Pour vrifier le mot de passe utilisateur: ce stade, le Mac parvient obtenir des informations sur les utilisateurs, mais vous devez vrifier que l'authentification des utilisateurs fonctionne. 1. Ouvrez Terminal dans /Applications/Utilitaires et entrez la commande suivante:
>su <nomutilisateur ad>
Exemple:
Client-1:~ Admin$ su jfoster Password:
2.
Entrez le mot de passe de l'utilisateur Active Directory. Vous tablissez alors une session dans Terminal sous l'identit de l'utilisateur concern. Pour vrifier, utilisez la commande whoami.
>whoami
Exemple: bash-3.2$ whoami jfoster Remarque: ce stade, vous pouvez ignorer d'ventuelles erreurs concernant l'absence d'un rpertoire de dpart. Le rpertoire de dpart est cr la premire connexion. Si la commande choue, vrifiez que plusieurs utilisateurs n'ont pas le mme nom abrg au sein de votre fort Active Directory En cas de noms abrgs en double, vous devez activer la prise en charge des espaces de nom avec dsconfigad. Pour l'heure, entrez un nom d'utilisateur dont le nom abrg est unique l'chelle de la fort. Pour vous connecter depuis la fentre d'ouverture de session: Dconnectez-vous en slectionnant Fermer la session nom d'utilisateur dans le menu Pomme, ou mieux, utilisez la permutation rapide dutilisateur pour tester la fentre d'ouverture de session. 1. 2. 3. 4. Pour activer la permutation rapide dutilisateur, slectionnez Prfrences Systme dans le menu Pomme, puis cliquez sur Utilisateurs et groupes. Dans le volet Utilisateurs et groupes, vrifiez que le cadenas dans le coin infrieur gauche est dverrouill. Si le volet est verrouill, cliquez sur l'icne et authentifiez-vous pour le dverrouiller. Cliquez sur Options dans la liste de gauche.
37
5.
Vrifiez que la case Afficher le menu Permutation rapide d'utilisateur sous la forme est coche.
Un nom d'utilisateur apparat dans la barre de menu dans le coin suprieur droit de votre cran.
6.
Cliquez sur le nom d'utilisateur et slectionnez Fentre d'ouverture de session. La fentre d'ouverture de session apparat avec un effet de cube 3D. La session de l'utilisateur actuellement connect reste active. Vous pouvez y revenir en slectionnant l'utilisateur d'origine dans le menu Permutation rapide ou depuis la fentre d'ouverture de session.
7.
Cliquez sur Autre et entrez le nom d'utilisateur et le mot de passe Active Directory. Utilisez le nom abrg ou le nom UPN (par exemple, jfoster, PRETENDCO\jfoster ou jfoster@pretendco.com). Vous devez maintenant tre connect sous l'identit de l'utilisateur Active Directory
8.
Si la fentre d'ouverture de session gigote durant l'authentification, vrifiez que vous avez bien suivi les tapes de vrification ci-dessus, et vrifiez le mot de passe. Ou essayez un autre compte utilisateur Active Directory. Si un avertissement vous prvient que votre rpertoire de dpart est introuvable, ouvrez l'Utilitaire d'annuaire et consultez les rglages de votre configuration Active Directory. Si vous n'avez pas slectionn Forcer lutilisation du rpertoire de dpart local sur le disque de dmarrage cela signifie qu'un problme empche le montage de votre , rpertoire de dpart rseau. Dans le cadre de ce module, vrifiez que l'option Forcer lutilisation du rpertoire de dpart local sur le disque de dmarrage est coche.
9.
38
;; Query time: 83 msec ;; SERVER: 192.168.1.6#53(192.168.55.47) ;; WHEN: Thu Jul 31 14:09:32 2008 ;; MSG SIZE rcvd: 92
2.
Si la rponse ne contient pas une section Answer (rponse) avec le nom d'un contrleur de domaine, vrifiez que les rglages rseau d'OSX Lion sont valables et que le DNS spcifi renvoie des informations d'enregistrement de service pour votre fort Active Directory. Vous pouvez vrifier les autres rles de la mme manire.
Accessibilit Si vous parvenez interroger les rles FSMO (Flexible Single Master Operation) d'une fort Active Directory, vous devez pouvoir tablir la liaison. Dans le cas contraire, un problme de routage ou de commutation empche peut-tre le client de communiquer avec les serveurs. Le port 389 doit tre disponible pour l'ordinateur client pour accder aux contrleurs de domaine. Utilisez l'Utilitaire de rseau pour vrifier la disponibilit de ce port. 1. 2. 3. 4. Ouvrez Utilitaire de rseau dans /Applications/Utilitaires. Cliquez sur Port Scan. Entrez l'adresse IP du contrleur de domaine le plus proche. Entrez 389 dans les deux champs Tester uniquement les ports entre .
39
5.
Cliquez sur Analyser. En l'absence de rsultat durant l'analyse, corrigez les problmes de routage ou de commutation.
Autorit Le compte que vous utilisez pour la liaison doit galement avoir accs pour tablir la liaison. Dans de nombreux cas, cela signifie qu'il doit pouvoir accder une OU particulire. Il doit pouvoir supprimer des objets d'une OU, comme lors de la liaison et du placement dans une nouvelle OU, ou disposer du contrle intgral du domaine. L'accs requis pour le compte utilis pour relier OSX Lion doit correspondre l'accs requis pour la liaison de clients Windows. Vrification Active Directory 1. Une fois la liaison tablie, vrifiez que les comptes sont accessibles avec dscl et id. Pour utiliser id, ouvrez Terminal dans /Applications/Utilitaires. Entrez la commande suivante pour lancer une requte avec id, qui renvoie des informations sur l'utilisateur ainsi que des informations de groupe pour le compte.
id <nomutilisateur>
Par exemple:
id jfoster uid=818406992(jfoster) gid=1450179434(PRETENDCO\domain users) groups=1450179434(PRETENDCO\domain users)
Si vous ne parvenez pas interroger le moindre compte, cela signifie que la connexion Active Directory ne fonctionne pas. Ou utilisez l'outil dscl qui permet de localiser le problme dans l'arborescence du service. Excutez la commande suivante pour afficher les modules activs sur le systme, et lancez l'environnement d'excution dscl.
dscl
Une fois l'environnement d'excution lanc, utilisez cd comme dans un systme de fichiers. Faites d'abord un cd pour aller dans le module Active Directory:
cd Active\ Directory
2.
Utilisez cd pour aller dans le nud All Domains, et effectuez un autre ls pour afficher le contenu du nud. Le nud doit contenir le nud Users (Utilisateurs).
/Active Directory > cd 'All Domains' /Active Directory/All Domains > ls CertificateAuthorities Computers FileMakerServers Groups Mounts People
40
Printers Users
Si vous ne parvenez pas utiliser cd pour aller dans All Domains, cela signifie que vous ne pouvez pas communiquer avec un contrleur de domaine. Si vous pouvez utiliser cd pour aller dans All Domains, naviguez jusqu'au nud Users avec cd, puis faites un ls pour afficher le contenu du nud. Le nud doit contenir tous les utilisateurs de la fort. Si vous comptez un grand nombre d'utilisateurs, n'utilisez pas ls pour afficher le contenu du nud. Utilisez plutt read pour consulter les attributs de l'utilisateur.
/Active Directory/All Domains > cd Users /Active Directory/All Domains/Users > read jfoster dsAttrTypeNative:accountExpires: 9223372036854775807 dsAttrTypeNative:ADDomain: pretendco.com dsAttrTypeNative:badPasswordTime: 0 dsAttrTypeNative:badPwdCount: 0 dsAttrTypeNative:cn: Tim Lee dsAttrTypeNative:codePage: 0 dsAttrTypeNative:countryCode: 0 dsAttrTypeNative:displayName: Tim Lee dsAttrTypeNative:distinguishedName: CN=Jimmy Foster,CN=Users,DC=pretendco,DC=com more...
Si vous ne parvenez pas lire les attributs d'un utilisateur, vrifiez les contrles d'accs dans Active Directory et assurez-vous que vous tes reli la bonne unit organisationnelle. 3. Vous pouvez quitter dscl.
/Active Directory/All Domains/Users > exit Goodbye
Pour vrifier le mot de passe utilisateur: ce stade, le client Mac parvient obtenir des informations sur les utilisateurs, mais vous devez vrifier que l'authentification des utilisateurs fonctionne. 1. Ouvrez Terminal dans /Applications/Utilitaires et entrez la commande suivante:
>su <nomutilisateur ad>
Exemple:
Client-1:~ Admin$ su jfoster Password:
41
2.
Entrez le mot de passe de l'utilisateur Active Directory. Vous tablissez alors une session dans Terminal sous l'identit de l'utilisateur concern. Pour vrifier, utilisez la commande whoami.
>whoami
Exemple: bash-3.2$ whoami jfoster Remarque: ce stade, vous pouvez ignorer d'ventuelles erreurs concernant l'absence d'un rpertoire de dpart. Le rpertoire de dpart est cr la premire connexion. Si la commande choue, vrifiez que plusieurs utilisateurs n'ont pas le mme nom abrg au sein de votre fort Active Directory Si c'est le cas, vous devez activer la prise en charge des espaces de nom avec dsconfigad. Pour tester, entrez un nom d'utilisateur dont le nom abrg est unique l'chelle de la fort.
42
3.
4. 5.
Cliquez sur Modifier en regard de Compte serveur rseau. Cliquez sur Ouvrir Utilitaire d'annuaire.
6.
Si ncessaire, authentifiez-vous en tant qu'administrateur local en cliquant sur l'icne de cadenas dans le coin infrieur gauche.
43
7.
Slectionnez le module Active Directory et cliquez sur le crayon, ou cliquez deux fois sur Active Directory pour modifier les rglages.
8.
9.
10. Entrez les informations requises pour mapper les attributs Active Directory. Si vous n'tes pas sr des valeurs saisir, demandez votre administrateur Active Directory. 11. Cliquez sur le bouton OK pour appliquer les modifications.
44
45
4.
Cliquez sur le bouton Rejoindre en regard de Compte serveur rseau. Si le systme est dj reli un service d'annuaire, vous verrez un bouton Modifier.
46
5.
6. 7.
Si ncessaire, authentifiez-vous en tant qu'administrateur local en cliquant sur l'icne de cadenas dans le coin infrieur gauche. Slectionnez le module Active Directory et cliquez sur le crayon, ou cliquez deux fois sur Active Directory pour modifier les rglages.
8.
Cliquez sur le triangle en regard de l'option Afficher les options avances, puis cliquez sur Exprience utilisateur. Ce volet contient l'option Crer un compte mobile lors de l'ouverture de session Cette . option cre un compte sur le systme en local afin que l'utilisateur puisse ouvrir une session, mme si le Mac ne parvient pas contacter les serveurs Active Directory.
47
9.
Vous pouvez aussi cocher la case Utiliser le chemin UNC depuis Active Directory pour dduire lemplacement du rpertoire de dpart rseau si vous souhaitez activer la synchronisation du rpertoire de dpart. Un rglage supplmentaire apparat alors dans le menu Protocole rseau utiliser Dans Active Directory, lorsque vous dfinissez le . profil d'un utilisateur (l o vous mappez une lettre de lecteur), ce rglage correspond \\serveur\partage\dossier. Le module Active Directory le convertit en /serveur/partage/ dossier et prcde la requte de afp: ou smb: afin d'obtenir afp://serveur/partage/ dossier ou smb://serveur/partage/dossier. Si vous comptez utiliser les prfrences gres pour contrler ces variables d'exprience utilisateur, ne cochez pas ces cases. Conservez les rglages par dfaut pour viter les rsultats indsirables.
48
Le chiffrement des paquets est galement disponible sous OSX Lion. Le chiffrement des paquets assure la scurit des donnes en plus de leur authenticit. Pour activer le chiffrement des paquets, utilisez le drapeau -packetencrypt avec les mmes rglages que pour le drapeau -packetsign. Comme pour la signature de paquets, vous devez d'abord vrifier que le serveur prend en charge le chiffrement des paquets. Pour exiger packetencrypt, utilisez la commande suivante:
dsconfigad -packetencrypt require
Pour utiliser TLS pour le chiffrement des paquets, utilisez l'option ssl.
dsconfigad -packetencrypt ssl
L'option ssl exige une chane de certification de confiance auprs d'Active Directory. Si la chane de certification n'a pas de racine de confiance, vous devez installer et approuver le certificat racine dans le trousseau d'accs racine. Le message suivant apparat si la modification est applique:
Settings changed successfully
49
4. 5. 6.
Slectionnez Systme dans le menu local Trousseau de destination. Naviguez jusqu'au certificat racine et slectionnez le certificat importer. Une feuille de validation apparat. Cliquez sur le bouton Toujours approuver.
50
LDAP
Lightweight Directory Access Protocol (LDAP) est le protocole utilis par la majorit des services d'annuaire, dont eDirectory de Novell, Active Directory de Microsoft et Open Directory d'Apple. LDAP dfinit la manire dont les clients crent, interrogent et actualisent les informations de services d'annuaire, et fournit les donnes stockes dans des bases de donnes aux clients et aux serveurs. OSX Lion prend en charge la liaison tout service d'annuaire compatible LDAP grce au module de service d'annuaire LDAPv3 que vous pouvez configurer dans le volet Utilisateurs et groupes de Prfrences Systme, avec l'Utilitaire d'annuaire (situ dans / Systme/Bibliothque/CoreServices) ou avec la commande dsconfigldap. LDAP est lger, souple et prend en charge diffrentes options de connexion, de liaison et de mappage bidirectionnel des attributs, qui sont des champs dans la base de donnes LDAP. Toutes ces options sont configurables avec l'Utilitaire d'annuaire et dsconfigldap. Dans le cadre de LDAP, un schma est un ensemble de rgles qui dfinissent la manire dont les donnes sont stockes dans un service d'annuaire. Selon le schma utilis, vous devez parfois spcifier des mappages personnaliss des donnes du service d'annuaire OSX Lion avec celles de votre service d'annuaire. L'Utilitaire d'annuaire fournit des modles (et permet de crer des modles pour simplifier la migration d'un hte vers un autre) pour mapper les schmas les plus utiliss. L'Utilitaire d'annuaire prend galement en charge la configuration rseau du module (via DHCP) et le mappage (avec des enregistrements de service d'annuaire spciaux).
Liaison LDAP
Avant d'utiliser un service d'annuaire LDAP, vous devez d'abord tablir la liaison entre OSX Lion et le service d'annuaire avec le module LDAPv3. Le module LDAPv3 prend en charge les liaisons simples, de confiance et Kerberos. Slectionnez l'option de liaison qui correspond vos exigences en matire de scurit, ainsi qu'aux rglages de vos serveurs LDAP. La liaison simple configure OSX Lion pour une interrogation des informations de service d'annuaire avec un minimum de configuration (et de scurit). La liaison de confiance oblige le serveur s'authentifier pour empcher les interceptions d'identifiants. La liaison Kerberos permet la signature numrique de tous les paquets, le chiffrement des paquets et la protection contre les interceptions d'identifiants. Remarque: les communications peuvent tre chiffres par SSL, quel que soit le type de liaison.
Liaison simple
Relier un ordinateur Mac un serveur LDAP avec une liaison simple indique la structure de service d'annuaire d'OSX Lion d'utiliser le serveur LDAP en tant que source d'information potentielle, pour les simples requtes d'informations ou pour rcuprer les donnes de compte la fentre d'ouverture de session. Avec une liaison simple, vous indiquez aux services d'annuaire qu'un domaine dannuaire existe et, moyennant une requte configure dans une rgle de recherche, de rcuprer des informations sur les utilisateurs et ordinateurs depuis ces services d'annuaire. Dans ce cas, vous ajoutez la configuration de liaison simple votre rgle de recherche. Pour configurer une liaison simple: 1. Ouvrez l'Utilitaire d'annuaire dans /Systme/Bibliothque/CoreServices.
51
2.
Slectionnez LDAPv3 et cliquez sur le crayon ou cliquez deux fois sur LDAPv3 pour modifier les rglages.
3.
52
4.
5. 6. 7. 8.
Donnez un nom cette configuration dans le champ Nom de la configuration. Entrez le nom d'hte ou l'adresse IP de votre serveur LDAP dans le champ Nom serveur/ adresse IP. Slectionnez Du serveur dans le menu local Mappages LDAP et entrez la Recherche de base de votre environnement LDAP. Cliquez sur le bouton OK pour appliquer ces informations LDAP. Remarque: dans la plupart des environnements LDAP, les utilisateurs voudront s'authentifier auprs des informations de service d'annuaire demandes. Vous pouvez ajouter le nouvel environnement LDAP vos rgles de recherche en cliquant sur Rgles de recherche dans la barre d'outils de l'Utilitaire d'annuaire. En dfinissant une rgle de recherche, vous dfinissez l'ordre d'interrogation des diffrents domaines d'annuaire pour obtenir les enregistrements de comptes.
53
9.
Slectionnez Chemin personnalis dans le menu local Rechercher pour indiquer au systme d'utiliser le chemin de recherche que vous allez ajouter.
10. Cliquez sur le bouton Ajouter (+) pour afficher les domaines d'annuaire disponibles. 11. Cliquez sur l'environnement LDAP que vous venez d'ajouter, puis cliquez sur Ajouter. Cliquez ensuite sur Appliquer dans la fentre principale de l'Utilitaire d'annuaire.
Vous pouvez dsormais utiliser dscl pour parcourir le domaine, authentifier les utilisateurs la fentre d'ouverture de session et tester d'autres fonctionnalits.
54
Liaison de confiance
Utilisez le volet Utilisateurs et groupes de Prfrences Systme et/ou l'Utilitaire d'annuaire (dans /Systme/Bibliothque/CoreServices) pour configurer une liaison de confiance entre un Mac et un annuaire LDAP, ds lors que l'annuaire prend en charge les liaisons de confiance. Dans le cadre d'une liaison de confiance, la liaison est authentifie mutuellement, un enregistrement d'ordinateur authentifi tant cr dans l'annuaire la liaison (comme pour le processus Active Directory). Une configuration de liaison de confiance est une liaison statique, de sorte que les ordinateurs configurs pour une liaison de confiance ne peuvent pas utiliser une configuration LDAP fournie par DHCP. Vous ne pouvez pas utiliser une liaison de confiance dans un environnement double annuaire. Cela signifie que chaque ordinateur devra tre reli aprs la configuration du poste partir d'une image. Pour relier un Mac: 1. 2. 3. Slectionnez Prfrences Systme dans le menu Pomme. Ouvrez le volet Utilisateurs et groupes. Cliquez sur Options.
4. 5.
Cliquez sur l'icne de cadenas pour vous authentifier auprs du service d'annuaire. Cliquez sur le bouton Rejoindre (ou Modifier si le systme est dj reli un service d'annuaire).
55
6.
7.
56
La bote de dialogue s'agrandit pour afficher un identifiant d'ordinateur, un nom d'utilisateur et un mot de passe.
8. 9.
Confirmez l'identifiant d'ordinateur. Entrez un nom et mot de passe pour un compte dot de droits au sein de l'infrastructure LDAP.
10. Cliquez sur le bouton OK. L'ordinateur est reli l'annuaire et un enregistrement d'ordinateur est cr sur le matre l'annuaire pour l'ordinateur concern. Remarque: l'enregistrement d'ordinateur existe souvent dj dans l'annuaire s'il s'agit d'un poste en double ou en cas de renouvellement de la liaison aprs une rupture de liaison incorrecte. En cas d'alerte indiquant que l'enregistrement d'ordinateur existe dj, cliquez sur craser pour le remplacer, puis cliquez sur OK. 11. Cliquez sur le bouton Ouvrir Utilitaire d'annuaire. 12. Cliquez sur Rgles de recherche.
13. Vrifiez que le serveur apparat dans les rgles de recherche sous Authentification.
57
3.
58
4.
Slectionnez l'un des modles proposs dans le menu qui apparat, moins que vous ayez besoin de mapper des attributs individuels.
5. 6.
Pour mapper des attributs individuels, slectionnez votre serveur LDAP et cliquez sur le bouton Modifier. Cliquez sur le bouton Recherche et mappages.
7. 8. 9.
Slectionnez Personnalis dans le menu local Accder ce serveur LDAPv3 via Une liste . des Types d'enregistrement et attributs apparat. Cliquez sur le bouton Ajouter pour afficher la bote de dialogue de slection d'enregistrements. Cet exemple utilise l'attribut NFSHomeDirectory du type d'enregistrement Users. Commencez donc par cliquer sur le bouton radio Types d'attributs.
59
11. Slectionnez l'attribut NFSHomeDirectory dans la liste des rsultats de la recherche.. 12. Cliquez sur OK. Le volet doit ressembler ceci:
60
13. Slectionnez NFSHomeDirectory et cliquez sur Ajouter sous Mapper sur n'importe lequel des lments lists Entrez le nom de l'attribut que vous souhaitez mapper dans . votre schma LDAP.
Maintenant que vous avez saisi un ou deux enregistrements, vous comprenez qu'il serait fastidieux de mapper les attributs si vous aviez 30enregistrements et 100ordinateurs. Il existe deux options pour simplifier ce processus. La premire, RFC 2307, effectue le mappage du service d'annuaire d'OSX Lion avec un schma LDAP RFC2307. Pour en savoir plus sur RFC2307, voir http://www.ietf.org/rfc/rfc2307.txt.
Vous pouvez galement stocker les mappages sur le serveur LDAP. Ils seront dtects ds lors que l'unit organisationnelle est appele ou=macosxodconfig. Les clients OSX envoient alors une requte au serveur LDAP la recherche d'un enregistrement appel macosxodconfig qui contient les mappages. Dans l'Utilitaire d'annuaire, vous pouvez enregistrer les mappages dans le conteneur /Config du serveur avec le bouton crire sur le serveur. Dans ce cas, entrez le nom absolu et le mot de passe d'un utilisateur autoris crire dans l'objet /Config. Entrez ensuite la Base de recherche pour dtecter l'objet Config.
61
Remarque: sous OSX Lion, les modles sont stocks par dfaut dans le dossier Documents de l'utilisateur qui les a crs, sous forme de listes de proprits (fichiers .plist).
62
Kerberos
Kerberos est un protocole d'authentification en rseau qui permet aux individus qui communiquent sur un rseau non scuris de prouver leur identit de manire scurise. Kerberos fournit une architecture client-serveur d'authentification bidirectionnelle qui permet l'utilisateur de vrifier l'identit du serveur et inversement. Kerberos protge ainsi contre diffrents types d'attaques, dont les coutes illicites et les attaques par rptition. Kerberos utilise un centre de distribution de cls (Key Distribution Center ou KDC) en deux parties: le serveur d'authentification (AS) et un serveur de tickets (Ticket Granting Server ou TGS), qui met des tickets initiaux (Ticket Granting Tickets ou TGT). Kerberos fonctionne base de tickets qui servent prouver l'identit des utilisateurs. Le KDC gre une base de donnes de cls secrtes. Tous les clients du rseau partagent une mme cl secrte, qu'ils utilisent pour obtenir un ticket initial. Lorsque le client a son ticket initial, il peut le prsenter au KDC pour obtenir des tickets de service, qui s'authentifient auprs des services rseau protgs par Kerberos. Un service protg par Kerberos envoie des tickets de service aux clients. Ces tickets de service sont chiffrs avec la cl prive du service. Lorsqu'un client prsente un ticket de service non valable ou non vrifi au service, la demande de service du client est refuse. Remarque: pour la communication entre deux entits protges par Kerberos, le KDC gnre des cls de session qu'il utilise pour scuriser la communication. En plus de l'authentification de l'identit d'un hte en environnement Kerberos, certaines protections sont galement mises en uvre pour protger l'authenticit de chaque service excut sur un systme, sous forme de principaux de service. Pour obtenir des tickets, le client demande un ticket avec un ticket initial. Vous pouvez obtenir ces informations, sous forme de principaux de service, avec la commande klist sur le Mac, afin d'afficher les tickets de service mis en cache. Une prsentation plus dtaille de Kerberos dpasse le cadre de ce document, mais il est important de savoir que lorsqu'un utilisateur s'authentifie pour la premire fois auprs d'un KDC (qu'il s'agisse d'un KDC Active Directory, Open Directory ou MIT/Heimdal), le client reoit un ticket initial. Lorsque le client s'authentifie auprs d'un service protg par Kerberos, il dispose alors d'un ticket initial et d'un ticket de service pour ce service. Cette information est utile pour rsoudre les problmes d'authentification. Pour utiliser une interface graphique pour accder aux informations sur les tickets Kerberos, ouvrez Trousseaux d'accs dans /Applications/Utilitaires. Slectionnez Visualiseur de tickets dans le menu Trousseaux d'accs. Vous pouvez galement grer Kerberos la ligne de commande avec kinit, kswitch, kdestroy, klist, kgetcred et kpasswd.
63
64
Pour configurer le DNS: 1. Sur votre serveur DNS intgr votre Active Directory, ouvrez DNS avec les outils d'administration.
2.
3.
65
4. 5. 6. 7.
Entrez l'adresse IP du serveur dans le champ Adresse IP . Cochez la case Crer un pointeur d'enregistrement PTR associ . Cliquez sur Ajouter l'hte. Rptez ces tapes pour toute rplique Open Directory que vous crez.
Pour configurer un environnement double annuaire: 1. Sur le serveur qui servira de matre Open Directory, ouvrez Prfrences Systme.
66
2. 3.
4.
5. 6.
Cliquez sur le bouton Rejoindre. Dans le champ Serveur, entrez le nom de domaine de votre environnement Active Directory.
7.
67
8.
Lorsque vous y tes invit, cliquez sur OK pour confirmer que le serveur a rejoint le domaine Kerberos Active Directory.
9.
En cas de problme Kerberos, activez le module Active Directory pour tous les services qui peuvent l'utiliser en entrant la commande suivante la ligne de commande:
dsconfigad enablesso
10. Ouvrez Admin Serveur dans /Applications/Serveur. 11. Cliquez sur le nom du serveur dans la liste Serveurs. 12. Cliquez sur l'onglet Services dans la barre d'outils d'Admin Serveur. 13. Cochez la case Open Directory.
14. Cliquez sur Enregistrer. 15. Cliquez sur Open Directory dans la liste Serveurs. 16. Cliquez sur Kerbriser les services.
68
17. Entrez un nom d'utilisateur et mot de passe d'administrateur Active Directory et cliquez sur OK.
18. Cliquez sur le bouton Accder Kerberos. 19. Slectionnez le domaine Active Directory dans le menu Domaine . 20. Entrez le nom dutilisateur et le mot de passe Active Directory.
69
70
24. Cliquez sur Continuer. 25. Dans le volet Administrateur de lannuaire de l'Assistant Open Directory, entrez un nom, nom abrg et identifiant utilisateur pour le compte administrateur du domaine Open Directory (vous pouvez utiliser les valeurs par dfaut si vous le souhaitez) et entrez un mot de passe.
26. Cliquez sur Continuer. 27. Dans le volet Domaine de l'Assistant Open Directory, vrifiez le nom du domaine Kerberos et de la Base de recherche, qui sont automatiquement renseigns. La base de recherche sert de point dpart pour les requtes auprs du domaine (il convient gnralement d'accepter la valeur par dfaut), sachant que le domaine Kerberos n'est pas utilis dans un environnement double annuaire. Entrez galement le nom de l'organisation ainsi qu'une adresse e-mail pour l'administrateur.
71
28. Cliquez sur Continuer. 29. Dans le volet Confirmer les rglages, vrifiez les informations fournies aux tapes prcdentes.
30. Cliquez sur Continuer. 31. Le matre Open Directory est dsormais configur. Cliquez sur Termin. 32. Ouvrez le Gestionnaire de groupe de travail. 33. Cliquez sur la barre de slection de domaine d'annuaire et authentifiez-vous auprs du nouvel Open Directory. Lorsqu'Open Directory et Active Directory sont visibles dans le Gestionnaire de groupe de travail, cela signifie que la partie serveur de la configuration des deux annuaires est termine.
Pour configurer le client pour la liaison au double annuaire: 1. 2. Sur un Mac, ouvrez le volet Utilisateurs et groupes de Prfrences Systme. Cliquez sur Options.
72
3. 4. 5.
Cliquez sur Rejoindre. Entrez le nom de domaine de votre environnement Active Directory dans le champ Serveur. La bote de dialogue rvle l'identifiant de l'ordinateur et les champs de nom d'utilisateur et mot de passe d'un administrateur Active Directory. Renseignez-les et cliquez sur OK pour tablir la liaison.
6. 7.
Si la liaison s'tablit, cliquez sur le bouton Modifier en regard de Compte serveur rseaudans les options du volet Utilisateurs et groupes de Prfrences Systme. Cliquez sur le bouton Ajouter (+) pour ajouter un deuxime domaine d'annuaire.
73
8. 9.
Entrez le nom du matre Open Directory que vous avez promu dans le cadre de cet exemple. Dans la feuille qui apparat, entrez l'identifiant de l'ordinateur client, le nom d'utilisateur et le mot de passe.
10. Cliquez sur OK pour terminer la liaison. 11. Une fois la liaison tablie, les deux domaines apparaissent dans la fentre.
74
12. Cliquez sur Termin. 13. Vrifiez que vous pouvez vous authentifier en tant qu'utilisateur Active Directory. Si c'est le cas, vous tes prt imbriquer les groupes que vous utiliserez dans votre environnement double annuaire.
75
2.
3. 4.
Cliquez sur le bouton Groupes juste en dessous de la barre des domaines d'annuaire. Cliquez sur l'icne Nouveau groupe dans la barre d'outils.
5. 6.
Nommez le groupe. Un nom abrg est automatiquement cr. Vous pouvez personnaliser le nom abrg si vous le souhaitez. Cliquez sur le bouton Enregistrer.
76
7.
Cliquez sur l'onglet Membres du groupe, puis cliquez sur le bouton Ajouter (+) droite de la liste des groupes.
Un tiroir apparat qui contient les utilisateurs Open Directory de votre organisation. 8. Cliquez sur l'icne de globe au sommet du menu, puis cliquez sur le bouton Groupes.
77
9.
Faites glisser le groupe qui vous intresse depuis le tiroir vers la liste des membres, puis cliquez sur le bouton Enregistrer. Une fentre qui ressemble la suivante apparat.
Vous pouvez maintenant dfinir les autorisations de fichiers et dossiers et crer des prfrences gres pour le groupe. Vous pouvez imbriquer les utilisateurs, groupes et ordinateurs Active Directory dans des groupes Open Directory de cette manire pour obtenir tout un ventail de rsultats.
78
2 Collaboration
L'information est la matire premire des professionnels du savoir, et l'un des grands dfis que doivent relever les services informatiques consiste optimiser le partage, le stockage et la rcupration d'informations institutionnelles. Apple propose bon nombre de fonctionnalits innovantes pour encourager la collaboration. Ce chapitre dcrit la manire d'exploiter les outils et technologies Apple pour l'intgration aux solutions de collaboration existantes au sein d'une organisation. Dans de nombreux environnements, la collaboration passe par l'accs des logiciels de groupe de travail et des microsites hbergs sur des serveurs Microsoft. Cette section dcrit donc comment accder Microsoft Exchange et Microsoft SharePoint.
4. 5.
Ou cliquez sur le bouton Parcourir pour afficher la liste des serveurs sur le rseau, puis slectionnez un partage DFS dans la liste. Cliquez sur Se connecter.
79
6. 7. 8.
Si vous utilisez Kerberos et que vous tes autoris vous connecter au partage, le Finder affiche le contenu du partage dans une fentre. Si vous n'utilisez pas Kerberos, vous tes invit saisir un mot de passe. Entrez le nom dutilisateur et le mot de passe. Cliquez sur Se connecter.
80
4. 5.
Cliquez sur Microsoft Exchange. Entrez le nom, l'adresse e-mail et le mot de passe de l'utilisateur dans les champs correspondants.
6.
Cliquez sur Continuer. La dcouverte automatique doit fournir le nom d'utilisateur, le mot de passe et l'adresse de serveur du compte. Dans le cas contraire, reportez-vous la section Rsoudre les problmes de connexion de Mail, iCal et Carnet d'adresses Microsoft Exchange plus loin dans ce chapitre.
81
7.
Pour configurer les comptes Exchange dans Mail: 1. Ouvrez Mail dans le dossier Applications.
2. 3.
82
4. 5.
Cliquez sur le bouton Ajouter (+) pour ajouter un compte. Entrez le nom complet, l'adresse e-mail et le mot de passe de l'utilisateur dans le volet Ajouter un compte.
10. Mail utilise la dcouverte automatique pour tenter de rcuprer les informations sur le compte. S'il dtecte les enregistrements de dcouverte automatique adapts, Mail renseigne les champs votre place. Vrifiez les donnes insres dans chaque champ ou corrigez les informations. 6. Slectionnez Exchange dans le menu Type de compte.
83
7. 8.
Entrez l'adresse du serveur, le nom d'utilisateur et le mot de passe. Si vous souhaitez configurer automatiquement iCal et Carnet d'adresses, cochez les cases Contacts et/ou Calendriers.
9.
Cliquez sur Continuer. Si la dcouverte automatique n'automatise pas le processus de configuration, reportezvous la section Rsoudre les problmes de connexion de Mail, iCal et Carnet d'adresses Microsoft Exchange plus loin dans ce chapitre.
84
3. 4.
Cliquez sur Obtenir les donnes du compte. Cliquez sur l'onglet Absence.
5. 6. 7. 8.
Cochez la case Envoyer des rponses automatiques dabsence . Rglez la plage de dates d'envoi des rponses. Entrez le message de rponse dans les champs Rponse interne et externe (un pour les utilisateurs de votre domaine, l'autre pour les utilisateurs l'extrieur de votre domaine). Fermez le volet Informations sur le compte. Le serveur enverra des rponses en absence au nom du compte utilisateur.
85
Rsoudre les problmes de connexion de Mail, iCal et Carnet d'adresses Microsoft Exchange
Le dpannage de la connectivit Exchange est gnralement limit l'intgration initiale d'OSX. De nombreuses organisations exploitent la dcouverte automatique pour permettre aux clients de se connecter leurs botes aux lettres facilement, indpendamment de leur emplacement physique. La dcouverte automatique utilise le DNS (service de nom de domaine) pour diriger les clients vers les ressources ncessaires. Une requte de dcouverte automatique est envoye via HTTP lors de la configuration de Mail, iCal et Carnet d'adresses avec Exchange. Mail interroge le DNS pour trouver le service de dcouverte automatique, gnralement le Serveur d'accs au client (CAS) Exchange de l'organisation. Le serveur IIS (Internet Information Server) qui hberge les services web Exchange EWS rpond alors au client par une demande d'authentification, et l'authentification est effectue avec les identifiants fournis dans Mail. Si tout est correctement authentifi, le service EWS rpond en fournissant l'adresse des serveurs LDAP (Lightweight Directory Access Protocol), de courrier et de calendriers, ainsi que les informations de configuration ncessaires. Le protocole de dcouverte automatique est conu pour effectuer la configuration ds qu'un serveur de messagerie connu est injoignable. Les administrateurs peuvent dplacer les botes aux lettres en fonction de la capacit des serveurs, sans affecter la disponibilit ou l'exprience l'utilisateur. Mail.app relance le processus de dcouverte automatique lorsque des botes aux lettres sont dplaces sur le serveur Exchange. Le dpannage de la connexion Exchange peut donc porter sur diffrents aspects, dont le DNS, les redirections incorrectes, les erreurs de certificat et les limites de taille des messages.
DNS
Dans de nombreuses organisations, la dcouverte automatique est mise en uvre par SCP (Service Connection Points). Cela suffit gnralement pour les clients Windows qui utilisent Microsoft Outlook. Toutefois, si les entres de DNS directes et inverses pour la dcouverte automatique n'ont pas t configures sur les serveurs DNS, le client Mac ne peut pas trouver le service EWS (Exchange Web Services) sur le Serveur d'accs au client. Consultez les informations de DNS avec la commande nslookup depuis un client Windows pour vrifier la valeur des enregistrements de service DNS. 1. 2. 3. 4. 5. Cliquez sur Dmarrer, puis sur Excuter. Dans la fentre qui apparat, entrez CMD. l'invite de commande, tapez nslookup puis appuyez sur Entre. l'invite nslookup, tapez set type=allpuis appuyez sur Entre. Tapez _autodiscover._tcp.votredomaine.com o votredomaine.com est le domaine de l'adresse e-mail principale. 6. Appuyez sur la touche Entre.
86
Non-authoritative answer: _autodiscover._tcp.votredomaine.com primary name server = ns2.votredomaine.com responsible mail addr = mailserver.votredomaine.com serial = 1
refresh = 10000 (2 hours 46 mins 40 secs) retry expire = 1800 (30 mins) = 1814400 (21 days)
default TTL = 300 (5 mins) _autodiscover._tcp.votredomaine.com ns2.votredomaine.com _autodiscover._tcp.votredomaine.com ns1.votredomaine.com nameserver = nameserver =
Cette commande lance Mail et consigne tout le trafic gnr dans un fichier texte sur le bureau. Ce fichier journal est trs prcieux pour rsoudre les problmes de connectivit. Pour suivre l'activit standard de Mail au-del de la dcouverte automatique EWS, entrez:
/Applications/Mail.app/Contents/MacOS/Mail -LogHTTPActivity YES >& Desktop/yourmaildebug.log & Pour suivre le trafic EWS dans iCal ou Carnet d'adresses plutt que dans Mail, entrez: /Applications/iCal.app/Contents/MacOS/iCal -LogHTTPActivity YES >& Desktop/youricaldebug.log &
ou entrez:
/Applications/Address\ Book.app/Contents/MacOS/Address\ Book LogHTTPActivity YES >& Desktop/youraddressbookdebug.log &
87
En plus de la modification de maxMessageSize, maxReceiveSize et maxSendSize pour les serveurs de transport Connectors et Hub, vous devez modifier la valeur 'maxRequestLength' dans le fichier Web.configdu site EWS en consquence. L'interaction entre Mail et un serveur Exchange passe par le site EWS, et ce rglage prime donc sur toutes les limites de taille de message, comme avec les autres outils qui interagissent avec EWS. Par exemple, pour limiter la taille des messages 20Mo, vous devez modifier la limite de taille de message dans le fichier Web.config via un processus comme celui-ci: Pour localiser le fichier Web.config: Pour Exchange2007, le fichier Web.config est situ dans \Program Files\Microsoft
\Exchange Server\ClientAccess\exchweb\ews.
Pour Exchange2010, le fichier Web.config de l'app web Outlook est situ sur le Serveur d'accs au client. L'emplacement par dfaut est \Program Files\Microsoft
\Exchange Server\V14\ClientAccess\exchweb\ews.
1. 2. 3. 4. 5. 6.
Faites une copie de sauvegarde du fichier Web.config. Modifiez le fichier Web.config dans Bloc-notes. Reprez la balise httpRuntime sous system.web. Rglez la valeur de maxRequestLength sur 20000 (kilo-octets). Enregistrez le fichier. Arrtez et relancez le site web par dfaut pour appliquer le rglage.
Lorsque vous configurez les autres rglages Exchange de limite de taille des messages en consquence, les utilisateurs d'OSX Lion Mail connects un serveur Exchange peuvent envoyer des messages d'une taille infrieure ou gale 20Mo. La taille du message quivaut la taille du corps du message et des pices jointes. Remarque: Microsoft ne documente pas actuellement la configuration de maxRequestLength dans le fichier Web.config d'EWS, mais la documente pour OWA. Les tapes prsentes ci-dessus sont donc sujettes modification. Pour en savoir plus, consultez cet article de la base de connaissances Microsoft sur la gestion de la taille des messages sous Exchange2007 (http://technet.microsoft.com/fr-fr/library/ bb124345(EXCHG.80).aspx) ou cet article de la base de connaissances Microsoft sur la gestion de la taille des messages sous Exchange2010 (http://technet.microsoft.com/fr-fr/library/ bb124345.aspx).
88
Ces modifications partent du principe que les messages entrants sont analyss sur la passerelle de messagerie et sur le serveur. La Base de connaissances Microsoft propose un article sur comment activer la journalisation dans Outlook2011 l'adresse http://mac2.microsoft.com/help/office/14/en-us/admin/item/ cc82d660-9a9b-41ab-ab1c-b5c5db85e560?category=c9277f2c-d467-450c-8ea5e1845ee6524a. Cet article aborde l'activation de la journalisation, ainsi que d'autres mesures de dpannage dans Outlook2011.
89
2. 3.
4.
Entrez l'adresse, le nom d'utilisateur et le mot de passe pour le site. Vous pouvez enregistrer les identifiants dans le trousseau de l'utilisateur en cochant la case Enregistrer le mot de passe dans mon trousseau MacOS .
90
5. 6. 7.
Sous SHAREPOINT dans la barre latrale, naviguez jusqu' l'emplacement d'un fichier. Cliquez sur le nom du fichier. Cliquez sur le bouton de la barre d'outils de l'application qui correspond la tche concerne.
91
Messagerie instantane
OSX prend en charge de nombreuses plates-formes de messagerie instantane standard. Les sections suivantes abordent les clients de messagerie instantane iChat, FaceTime et l'intgration avec Microsoft Office Communications Server.
iChat
iChat est bas sur le protocole de messagerie instantane XMPP connu sous le nom de Jabber, et fonctionne avec AOL Instant Messenger (AIM), MobileMe et Yahoo. Jabber peut tre intgr toute plateforme de messagerie instantane dote d'une passerelle XMPP. Pour configurer iChat en tant que client Jabber: 1. 2. 3. Ouvrez iChat dans le dossier Applications. Slectionnez Prfrences dans le menu iChat. Cliquez sur Comptes. Cliquez sur le bouton Ajouter (+) pour ajouter un compte.
92
4.
5. 6. 7. 8.
Entrez un nom et mot de passe de compte. Cliquez sur le triangle en regard d'Options du serveur. Entrez l'adresse IP du serveur et le numro de port. Le cas chant, cochez les cases Utiliser SSL et Utiliser Kerberos v5 pour l'authentification .
93
9.
10. Fermez le volet Comptes. 11. Testez la connexion en ajoutant des utilisateurs la liste de contacts iChat et en conversant avec eux. Apple fournit des outils de dpannage de la connectivit iChat. L'Utilitaire de rseau par exemple, disponible dans le dossier Applications > Utilitaires, permet de vrifier que les serveurs privs Jabber sont accessibles par nom ou adresse IP, et que les ports sont ouverts. L'historique de dbogage est galement utile. Pour dboguer les communications iChat, entrez la commande suivante dans Terminal:
/Applications/iChat.app/Contents/MacOS/iChat -errorLogLevel 7
Les problmes concernant la qualit de la connexion sont gnralement lis une bande passante insuffisante, des filtres sur les passerelles ou aux applications antivirus.
FaceTime
Avec FaceTime sur votre Mac, vous pouvez passer et recevoir des appels vido avec les utilisateurs d'appareils qui prennent en charge FaceTime: ordinateur Mac, iPod touch (de 4e gnration) quip d'iOS version4.1 ou ultrieure, iPhone4 quip d'iOS version4.1 ou ultrieure, iPhone4S quip d'iOS5 ou iPad2 quip d'iOS5. Pour participer des appels vido sur votre Mac, vous devez disposer des lments suivants: Une connexion Internet. Vous pouvez utiliser une connexion Ethernet ou Wi-Fi pour vous connecter Internet. Un ordinateur Mac quip de Mac OSX10.6.4 ou version ultrieure avec toutes les mises jour de scurit installes. Une camra. Vous pouvez utiliser la webcam intgre ou une webcam externe ou toute autre camra branche sur votre ordinateur. Vous pouvez galement utiliser une camra USB compatible avec la norme UVC, ainsi qu'une camra DV/HDV. Un microphone. Vous pouvez utiliser le microphone intgr ou un microphone externe branch sur l'entre audio de votre ordinateur. Vous pouvez galement utiliser un micro ou des couteurs Bluetooth ou USB.
94
Des contacts dans Carnet d'adresses. Vous pouvez appeler les utilisateurs FaceTime dont les coordonnes sont stockes dans Carnet d'adresses. Pour passer un appel vido un utilisateur iPhone, vous utilisez un numro de tlphone. Pour appeler un utilisateur Mac, iPod touch ou iPad 2, vous utilisez une adresse e-mail. S'inscrire FaceTime Avant de passer ou de recevoir des appels vido, vous devez vous inscrire FaceTime avec un identifiant Apple. Si vous disposez dj dun compte iTunes Store, dun compte MobileMe ou dun autre compte Apple, vous pouvez utiliser cet identifiant Apple. Si vous ne possdez pas didentifiant Apple, vous pouvez en crer un dans FaceTime. Pour se connecter avec un identifiant Apple: 1. Lancez FaceTime et procdez de l'une des manires suivantes:
Entrez votre identifiant Apple et votre mot de passe, puis cliquez sur Se connecter. Si un identifiant Apple est affich et que vous souhaitez l'utiliser, cliquez sur Se connecter. Si vous ne souhaitez pas utiliser l'identifiant Apple affich, entrez un autre identifiant et le mot de passe associ, et cliquez sur Se connecter.
Grer les rglages FaceTime Une fois inscrit FaceTime, vous pouvez consulter et modifier vos rglages dans les prfrences de FaceTime. Pour ouvrir les prfrences de FaceTime: 1. 2. Slectionnez FaceTime > Prfrences. Lorsque vous avez termin, cliquez sur OK.
Pour grer les rglages d'identifiant Apple: 3. Cliquez sur Compte. Le champ Compte indique l'identifiant utilis pour l'inscription FaceTime. Procdez de l'une des manires suivantes:
4.
Pour modifier le pays dans lequel vous utilisez FaceTime, cliquez sur Modifier le lieu pour utiliser le bon format de numro lorsque vous appelez un utilisateur iPhone. Pour afficher des informations dtailles sur l'identifiant Apple que vous utilisez, cliquez sur Donnes du compte.
Pour grer les rglages d'e-mail: Pour ajouter une adresse e-mail que d'autres peuvent utiliser pour vous appeler, cliquez sur Autre adresse lectronique et appuyez sur Retour. Pour slectionner l'adresse e-mail que vous souhaitez afficher lorsque vous appelez un interlocuteur, cliquez sur l'adresse e-mail affiche sous Identifiant et slectionnez une adresse e-mail.
95
Pour supprimer une adresse e-mail, cliquez sur Rglages du courrier lectronique, puis sur Supprimer cette adresse. Si l'un des messages suivants prcde une adresse e-mail que vous avez saisie, l'adresse ne pourra pas servir passer des appels vido: Vrification: l'adresse e-mail n'a pas encore t valide. Recherchez un e-mail d'Apple vous demandant de confirmer la validit de l'adresse associer votre identifiant Apple. Erreur: l'adresse e-mail n'a pas pu tre valide. Cette situation peut survenir si l'adresse email est dj associe un identifiant Apple utilis avec FaceTime. 5. Entrez l'adresse e-mail que vos interlocuteurs peuvent utiliser pour vous appeler avec FaceTime, puis cliquez sur Suivant pour vous connecter. S'il s'agit de la premire utilisation de l'adresse e-mail avec FaceTime, recherchez un email d'Apple vous invitant confirmer la validit de l'adresse que vous souhaitez associer votre identifiant Apple. Cliquez tout simplement sur le lien Vrifier maintenant dans le message, puis entrez votre identifiant et votre mot de passe Apple. Une fois la connexion tablie, vous pouvez ajouter une autre adresse e-mail et rgler d'autres paramtres FaceTime.
96
3. 4.
5.
97
6.
Par dfaut, My Network Settings (Paramtres rseau) est rgl sur configuration automatique. Si vous avez un serveur Microsoft Lync priv, slectionnez Manually configure settings (Configurer les rglages manuellement).
7. 8.
Entrez le nom ou ladresse IP du serveur. Choisissez TCP ou TLS. (Contactez votre administrateur Communications Server si vous ne savez pas quelle option choisir.)
9.
10. Cliquez sur Sign-In (Se connecter). Vous pouvez dsormais envoyer des fichiers et des e-mails, chatter en vido ou appeler par tlphone les contacts que vous ajoutez votre liste de contacts.
98
Ressources
Pages Man
Pour en savoir plus sur les outils de ligne de commande de services d'annuaire en local, ouvrez Terminal dans /Applications/Utilitaires et entrez man <nom utilitaire> .
99
100
Pour en savoir plus sur l'intgration d'une passerelle XMPP, voir le billet de blog de l'employ Microsoft OCS Guy sur le sujet: http://www.ocsguy.com/2010/11/29/deploying-lync-for-xmpp/
101
Annexe
Crer un compte administrateur local la ligne de commande
Diverses tches d'administration des utilisateurs ne sont pas accessibles par le biais de l'interface graphique d'OSX Lion, dont la personnalisation de l'emplacement du rpertoire de dpart d'un utilisateur, l'ajout de noms abrgs supplmentaires, la modification des noms abrgs et l'automatisation du processus de cration de comptes. L'outil de ligne de commande dscl peut servir crer un compte administrateur en local Pour crer un compte admin local la ligne de commande: Lors des tapes suivantes, remplacez pretendcoadmin par un nom abrg rel d'un nouveau compte, et remplacez Administrateur Pretendco par le nom complet du nouveau compte administrateur. 1. Ajoutez le nom d'utilisateur aux donnes de services d'annuaire en local avec la commande suivante:
sudo dscl /Local/Default create /Users/pretendcoadmin
2.
Dfinissez le Shell daccs utiliser. Bash est utilis en standard dans la plupart des environnements OSX Lion:
sudo dscl /Local/Default create /Users/pretendcoadmin UserShell / bin/bash
3.
Dfinissez le nom complet (ou long) du compte utilisateur, en remplaant Administrateur Pretendco par le nom complet du nouvel utilisateur:
sudo dscl /Local/Default create /Users/pretendcoadmin RealName "Administrateur Pretendco"
4.
Rglez l'ID utilisateur (UID) sur une valeur unique. Dans cet exemple, excutez la commande suivante pour rgler l'UID sur 1100. Les utilisateurs suivants devront avoir un UID unique.
sudo dscl /Local/Default create /Users/pretendcoadmin UniqueID 1100
5.
Une fois qu'un UID a t affect au compte, rglez l'ID de groupe (GID) par dfaut avec la commande suivante. Notez que le GID doit tre diffrent des autres GID, mais peut tre identique l'UID dfini l'tape prcdente.
sudo dscl /Local/Default create /Users/pretendcoadmin PrimaryGroupID 1100
6.
Maintenant que l'utilisateur dispose d'un GID, spcifiez le rpertoire de dpart de l'utilisateur avec la commande suivante:
sudo dscl /Local/Default create /Users/pretendcoadmin NFSHomeDirectory /Users/pretendcoadmin
7.
Ajoutez l'utilisateur au groupe admin existant. Si vous convertissez un compte utilisateur existant en compte administrateur, n'utilisez que la commande suivante:
sudo dscl /Local/Default append /Groups/admin GroupMembership pretendcoadmin
102
8.
Spcifiez (ou modifiez) le mot de passe de l'utilisateur (sauf si le compte existait dj) avec la commande suivante:
sudo dscl . -passwd /Users/pretendcoadmin
Vous pouvez aussi inclure le mot de passe la fin de la commande, comme suit:
sudo dscl . -passwd /Users/pretendcoadmin nouveaumotdepasse
Si vous crez un script shell partir de ces commandes, invitez l'utilisateur saisir le mot de passe dans le script, puis utilisez la valeur saisie ou fournissez un fichier de hachage. Dans le cas contraire, le mot de passe serait visible par toute personne sachant modifier un script. Remarque: si vous comptez utiliser ce compte pour autre chose que des tches d'administration standard, vous devez renseigner d'autres attributs. Dans le cas prsent, vous n'utilisez qu'un ensemble limit d'attributs puisque le compte n'a pas vocation tre pleinement utilis.
Connectez-vous et vrifiez ensuite que le compte n'apparat pas dans le volet Utilisateurs et groupes des Prfrences Systme. Remarque: lors de l'utilisation de comptes administrateur en local masqus, la saisie d'identifiants l'ouverture de session est autorise par dfaut (en plus d'une simple liste d'utilisateurs). Il s'agit du comportement par dfaut d'OSX Lion lorsqu'il existe des comptes pouvant s'authentifier, mais qui ne sont pas affichs dans la fentre d'ouverture de session.
103
En outre, vous pouvez modifier d'autres lments, comme le rpertoire de dpart ou le Nom rel l'aide d'options dscl.
L'option -o read est une commande qui effectue une opration de lecture sur le groupe spcifi. Ds lors, lorsque vous excutez la commande dseditgroup -o read mac_admins, vous devez obtenir le rsultat suivant:
27 attribute(s) found ... Attribute[5] is <dsAttrTypeNative:member> Value[1] <CN=Ken Weaver,CN=Users,DC=pretendco,DC=com> Value[2] <CN=Gary Dunn,CN=Users,DC=pretendco,DC=com> ...
Comme vous pouvez le constater, la section member dresse la liste des membres du groupe. Si vous n'obtenez pas le rsultat escompt, vrifiez que vous tes reli un service d'annuaire et que le groupe Active Directory existe bien. 2. Vrifiez qu'OSX Lion peut rsoudre l'appartenance au groupe pour le groupe concern. Utilisez la commande id pour voir les groupes auxquels un utilisateur appartient:
id <nom abrg>
Si vous excutez la commande id jkaiser (et ds lors que jkaiser appartient un groupe d'administrateurs), vous devez obtenir les informations suivantes:
uid=142413031(jkaiser) gid=63826092(pretendco\domain users) groups=63826092(pretendco\domain users), 103(com.apple.sharepoint.group.3),104(com.apple.sharepoint.group. 4),98(_lpadmin),1166270692(pretendco\mac_admins), 102(com.apple.sharepoint.group.2),101(com.apple.sharepoint.group. 1),80(admin),20(staff)
104
3.
Pour imbriquer le groupe Active Directory, utilisez dseditgroup avec l'option -o edit (option de modification), l'option -a suivie du nom de groupe Active Directory concern, l'option -t suivie du groupe (qui spcifie que le type ajouter est un groupe) et l'option -n suivie de /Local/Default, qui spcifie l'ajout au service d'annuaire en local.
sudo dseditgroup -o edit -a <nom du groupe> -t group -n /Local/Default admin
Vous pouvez ignorer tout message concernant la mise jour du groupe. Remarque: vous pouvez galement ajouter un utilisateur rseau au groupe admin avec la mme commande en modifiant le type.
sudo dseditgroup -o edit -a <nom de l'utilisateur rseau> -t user -n /Local/Default admin
Remarque: en associant cette commande aux comptes mobiles (mis en cache), vous pouvez accorder un utilisateur des droits d'administrateur sur son ordinateur local, tout en exploitant les rgles de mot de passe gres par Active Directory. 4. Pour vrifier que l'utilisateur imbriqu est dsormais un administrateur en local, ouvrez le volet Utilisateurs et groupes de Prfrences Systme et dverrouillez-le avec un compte utilisateur qui appartient au groupe imbriqu. Si le dverrouillage fonctionne, cela signifie que l'utilisateur est dsormais un administrateur local. Remarque: sudo, l'outil de ligne de commande qui sert excuter les commandes en tant qu'utilisateur root, ne reconnat pas les groupes imbriqus. Si vous souhaitez que les comptes administrateur imbriqus puisent utiliser la commande sudo, vous devez modifier le fichier /etc/sudoers. Reprez la section sur les privilges utilisateur dans ce fichier:
# User privilege specification root ALL=(ALL) ALL %admin ALL=(ALL) ALL1
105
3.
NFSHomeDirectory /Users/hidden RealName "Hidden Admin" PrimaryGroupID 499 UserShell /bin/bash UniqueID 499 AuthenticationAuthority
Chaque ligne du script utilise dscl (directory services command line) pour crer le compte utilisateur et les attributs du compte. 4. Puisqu'aucun mot de passe n'a encore t affect au compte, slectionnez parmi trois manires de fournir un mot de passe au nouvel utilisateur. La premire mthode consiste intgrer le mot de passe dans le script, en clair. Le dmon services d'annuaire doit alors dj tre lanc lorsque le script est excut. Pour ce faire, ajoutez la ligne suivante la fin du script ci-dessus:
dscl . -passwd /Users/hidden 'monmotdepasse'
La seconde mthode, plus sure, consiste crer pralablement un hachage SHA1 et l'intgrer sous forme de fichier dans votre paquet. Vous devez alors coder en dur la valeur GeneratedUID qui est gnralement cre automatiquement la cration du compte avec l'itration standard de dscl. La mthode la plus simple consiste crer un utilisateur et gnrer un mot de passe de la manire dcrite dans la suite de ce script. Ajoutez ensuite un paquet le fichier plist correspondant l'utilisateur ainsi que le fichier de mot de passe chiffr gnr, et envoyez le tout au poste local, en spcifiant l'attribut GeneratedUID avec dscl. Par exemple, si la valeur de GeneratedUID est 000-000-000 dans un compte cr, la commande suivante ajoute en fin de script cre le GeneratedUID:
dscl . -create /Users/hidden GeneratedUID 000-000-000
Remarque : en cas de besoin, vous pouvez galement exploiter des scripts pour crer un hachage SHA1 pour le mot de passe.
Dans l'exemple ci-dessus, diradmin est le nom d'utilisateur du compte administrateur LDAP dot du mot de passe motdepasseldap, et admin est le nom de l'utilisateur administrateur en local dot du mot de passe motdepasselocal.
106
2.
Les paramtres suivants sont requis pour l'automatisation du processus dans les prochains modules:
-a nomserveur -r nomserveur -n nomconfig -c idordinateur -u nomutilisateur -p motdepasse -l nomutilisateur -q motdepasse ajouter la config de nomserveur supprimer la config de nomserveur nom donn la config de serveur LDAP nom utilis en cas de liaison l'annuaire nom d'utilisateur rseau privilgi mot de passe d'utilisateur rseau privilgi nom d'utilisateur de l'admin local mot de passe de l'admin local
107
3.
La commande suivante tablit la liaison au service d'annuaire avec un nom d'utilisateur pour le client en local et le service d'annuaire. Le serveur est dfini avec l'option -a suivie du nom du serveur (server.pretendco.com). L'utilisateur administrateur du serveur utilis pour tablir la liaison est dfini avec l'option -u, suivie de diradmin, l'utilisateur du serveur qui dispose des droits concerns.
dsconfigldap -a server.pretendco.com -l admin -q monmotdepasse -u diradmin -p monmotdepasseOD
4.
dsconfigldap ajoute par dfaut le client au chemin de recherche. Vous pouvez galement le faire manuellement (obligatoire sous OSX 10.5 et les versions antrieures). Pour ce faire, ajoutez le magasin Open Directory au chemin de recherche, et rglez le chemin de recherche sur personnalis pour que l'ordinateur puisse s'authentifier auprs de l'annuaire. Pour rgler le chemin de recherche sur personnalis, utilisez la commande suivante:
sudo dscl /Search -change / SearchPolicy dsAttrTypeStandard:LSPSearchPath dsAttrTypeStandard:CSPSearchPath
5.
6.
Pour relier la nouvelle instance LDAP, sans l'ajouter, au chemin de recherche sous OSX Lion, utilisez l'oprateur -S avec la commande dsconfigldap.
Collez les commandes suivantes dans le fichier ldapbind.bash pour automatiser la liaison. Dans cet exemple, le nom d'utilisateur Open Directory est diradmin et le mot de passe est monmotdepasse.
#!/bin/bash dsconfigldap -a server.pretendco.com -n server.pretendco.com -u diradmin -p monmotdepasse
Ou collez les commandes suivantes dans le fichier ldapbind.bash pour une liaison sans authentification.
#!/bin/bash dsconfigldap -a server.pretendco.com dscl /Search -change / SearchPolicy dsAttrTypeStandard:LSPSearchPath dsAttrTypeStandard:CSPSearchPath sudo dscl /Search -append / CSPSearchPath /LDAPv3/server.pretendco.com
Pour certains environnements plus complexes, vous devrez personnaliser le script dsconfigldap avec d'autres options pour spcifier des lments comme les noms et mots de passe administrateur en local, les paramtres SSL et de signature de paquets.
108
Lors de l'tablissement d'une liaison de confiance avec un mot de passe inclus dans le script, utilisez un script qui s'autodtruira pour plus de scurit. Ajoutez une ligne la fin du script qui excute une commande srm (secure erase) pour effacer le script de manire scurise une fois son excution termine. Ou intgrez une image une tche launchd qui s'excute au dmarrage et qui se supprime de launchd une fois l'excution termine l'aide de la mme commande srm.
Pour configurer le rpertoire de dpart mobile pour que le compte Active Directory existe sur l'ordinateur local, ajoutez l'attribut -mobile la fin de la commande dsconfigad avec l'option enable comme suit:
dsconfigad -f -a mycomputername -u domainadmin -p domainadminspassword -domain mydomain.com -mobile enable
109
110
nom de l'attribut utiliser dans le champ gid de groupe UNIX gnrer le GID de groupe partir du GUID Active Directory active ou dsactive la cration de l'autorit Kerberos
Votre environnement sera gnralement plus complexe et vous devrez donc personnaliser le script dsconfigldap avec d'autres attributs, pour dcrire des lments comme le nom et le mot de passe des utilisateurs administrateur.
111
Ouvrez le nouveau script shell vide dans votre diteur de texte prfr et collez-y le script prcdemment cr. Une fois le script insr, ajouter une ligne la fin pour supprimer le script et, le cas chant, fournir un code de sortie. Voici le script complet:
#!/bin/bash ipconfig waitall dsconfigad -a <nomordinateur> -u <utilisateurliaison> -p <motdepasse> -domain <domaine> sleep 15 srm $0 /Library/StartupItems/adbind/adbind.bash exit 0
Dans cet exemple, vous allez mapper l'uid au uidNumber d'Active Directory. Excutez la commande suivante:
dsconfigad -uid uidNumber
112
Exemple de commande pour activer l'utilisation des espaces de nom avec le drapeau -namespace.
dsconfigad -namespace forest
Remarque: il n'est pas ncessaire de rompre puis de rtablir la liaison pour modifier ces rglages. Ils s'appliquent tous les utilisateurs d'un Mac sur lequel cette commande est excute. Une fois la commande excute, prcdez le nom d'utilisateur du nom de domaine l'authentification. Si vous souhaitez basculer vers l'espace de noms d'un domaine, vous pouvez spcifier le drapeau -namespace avec le domaine en tant qu'attribut. Pour rtablir l'espace de noms, utilisez la commande suivante:
dsconfigad -namespace forest
Remarque: le drapeau -namespace modifie l'ID principal de tous les comptes. Ds lors, tout profil utilisateur du domaine Active Directory sur chaque ordinateur client doit tre copi ou dplac dans le nouveau profil qui est cr.
Pour l'ajouter au trousseau Systme afin que tous les utilisateurs puissent y accder:
sudo security add-certificate -k /Library/Keychains/System.keychain ~/ Desktop/pretendco.p12
La commande openssl permet de tester la connectivit avec un serveur qui exige le certificat:
openssl s_client -connect pretendco.com:389
Une fois que vous avez vrifi que le certificat est oprationnel, utilisez dsconfigad pour rgler l'option -packetencrypt sur ssl:
dsconfigad -packetencrypt ssl
Ignorer l'autorisation Par dfaut, OSX Lion exige l'autorisation d'un certificat obtenu auprs d'un contrleur de domaine. Pour modifier cette rgle, vous pouvez configurer le fichier ldap.conf. Pour dsactiver la vrification de certificats, modifiez la valeur TLSR_EQCERT en modifiant le fichier /etc/openldap/ldap.conf, et en remplaant la valeur demand de TLS_REQCERT par never. Voici les rglages par dfaut:
#SIZELIMIT #TIMELIMIT #DEREF TLS_REQCERT 12 15 never demand
113
12 15 never never
114
Referral requested: /WIN-MIE2GCGNMU0.test.pretendco.com/DFS/ HomeDirectories list item 1 : Path: /WIN-MIE2GCGNMU0.test.pretendco.com/DFS/ HomeDirectories list item 1 : Network Address: /WIN-MIE2GCGNMU0/DFS/ HomeDirectories list item 1 : New Referral: /WIN-MIE2GCGNMU02/DFS/ HomeDirectories list item 1 : New Referral: /WIN-MIE2GCGNMU03/DFS/ HomeDirectories list item 1 : New Referral: /WIN-MIE2GCGNMU04/DFS/ HomeDirectories des fins de test, vous pouvez galement ajouter le nom et le mot de passe utilisateur aux options smbutil. C'est le cas dans l'exemple suivant, o testuser est le nom d'utilisateur Active Directory et testpassword est son mot de passe. smbutil dfs smb://testuser:testpassword@test.pretendco.com/DFS/ HomeDirectories
115