L426750a FR

OS X Lion Formation technique: intgration
Ce document est rserv l'usage exclusif d'Apple et de ses partenaires et est rserv la formation.
Guide de configuration informatique: valuation pour votre Mac (Version 4.0)
Apple Inc. 2011 Apple Inc. Tous droits rservs. Apple, le logo Apple, Airport, AirPort Extreme, AppleScript, Bonjour, FileVault, Finder, FireWire, iCal, Mac, MacBook, MacBook Air, Mac OS, QuickTime, Safari, Spotlight, Time Machine et Xcode sont des marques d'Apple Inc., dposes aux tats-Unis et dans d'autres pays. Apple Remote Desktop est une marque d'Apple, Inc. Mac App Store est une marque de service d'Apple, Inc. Intel est une marque d'Intel Corp. aux tats-Unis et dans d'autres pays. Java est une marque dpose d'Oracle et/ou de ses filiales. UNIX est une marque dpose de The Open Group aux tats-Unis et dans dautres pays. La version 10.7 Lion d'OS X est un produit certifi Open Brand UNIX 03. Les autres noms de produits et de socits mentionns dans ces pages sont des marques de leurs socits respectives.
Les mentions de produits tiers sont donnes titre purement indicatif et ne constituent en aucun cas une recommandation ou une approbation de la part d'Apple. Apple nassume aucune responsabilit quant aux performances et lutilisation de ces produits. Tout accord, garantie, engagement, sont passs le cas chant directement entre les revendeurs et les utilisateurs potentiels. Une attention particulire a t porte la rdaction de ce manuel et lexactitude de son contenu. Apple ne peut tre tenue pour responsable des erreurs typographiques ou de saisie. Apple publie rgulirement de nouvelles versions et des mises jour de ses logiciels, et les images reproduites dans ce manuel peuvent donc prsenter des diffrences avec ce que vous voyez sur votre cran. 29 septembre 2011
ii
OS X Lion - Formation technique : intgration
Table des matires

Introduction .....................................................................1
propos de cette srie ...........................................................................1 propos de ce guide ..............................................................................1
Services dannuaire .....................................................2

Services dannuaire en local ..................................................................2 Crer un compte administrateur en local ...................................................3 Crer un compte administrateur en local avec Prfrences Systme.................................................................................................................3 Open Directory .........................................................................................5 Configurer un matre Open Directory ..........................................................5 Prparer la liaison Open Directory ...........................................................11 Liaison Open Directory avec le volet Utilisateurs et groupes de Prfrences Systme .....................................................................................12 Oprations de liaison personnalises .........................................................16 Utiliser le Gestionnaire de groupe de travail pour crer des utilisateurs .........................................................................................................21 Configurer une rplique Open Directory .................................................27 Active Directory ......................................................................................30 Liaison Active Directory ................................................................................30 Liaison Active Directory avec l'Utilitaire d'annuaire .........................31 Tester et vrifier les informations de liaison Active Directory ......35 Commandes de dpannage des modules externes Active Directory ............................................................................................................39 Associer l'UID et le GID avec l'Utilitaire d'annuaire ..............................42 Dfinir un rpertoire de dpart.....................................................................45 Options de chiffrement des paquets Active Directory .......................49 Instructions de liaison SSL ..............................................................................50 LDAP ..........................................................................................................51 Liaison LDAP......................................................................................................51 Liaison simple .......................................................................................................51 Liaison de confiance ..........................................................................................55 Associer les attributs LDAP .............................................................................58 Kerberos....................................................................................................63 Configuration double annuaire.......................................................64 Configurer un double annuaire ....................................................................64 Imbriquer les groupes Active Directory dans Open Directory ........76
Collaboration .............................................................79
Systme de fichiers rpartis ................................................................79 Connexion aux partages DFS.........................................................................79 Intgration Microsoft Exchange .........................................................80 Utiliser Mail, iChat et Carnet d'adresses avec Exchange .....................80 Activer les rponses en absence dans Mail..............................................85 Rsoudre les problmes de connexion de Mail, iCal et Carnet d'adresses Microsoft Exchange .............................................................86 DNS ...........................................................................................................................86 Redirections incorrectes/erreurs de certificat .........................................87 Limite de taille de message ............................................................................88 Dpanner Microsoft Outlook2011 ...............................................................89
2011 Apple Inc.
Document confidentiel Apple usage interne et partenaires uniquement
iii
OS X Lion - Formation technique : intgration
Connexion Microsoft SharePoint ....................................................90 Messagerie instantane........................................................................92 iChat .........................................................................................................................92 Microsoft Office Communications Server .................................................97
Ressources .................................................................................99
Pages Man ..............................................................................................................99 Guide de l'administrateur avanc ................................................................99 Modules externes Active Directory tiers ...................................................99 Solutions DFS tierces .........................................................................................99 Ressources de dpannage d'Exchange ...................................................100 Informations sur Microsoft Outlook2011 ...............................................100 Microsoft Communications Server ...........................................................100 Informations sur Microsoft SharePoint ....................................................101
Annexe 102
Crer un compte administrateur local la ligne de commande..102 Masquer un compte local .............................................................................103 Modifier le compte administrateur local ................................................104 Imbriquer les admin rseau dans un groupe administrateur local .............................................................................................................................104 Crer un compte administrateur local avec un paquet ou un script .............................................................................................................................105 Liaison Open Directory la ligne de commande ...........................106 Liaison Open Directory avec un script post-installation ..............108 Liaison Active Directory la ligne de commande ..........................109 Liaison Active Directory avec un script................................................111 Liaison Active Directory avec un script post-installation .............112 Mapper les UID, GID utilisateur et GID de groupe avec dsconfigad .............................................................................................................................112 Prise en charge des espaces de noms avec dsconfigad...................112 Grer les certificats la ligne de commande .......................................113 Modifier le mot de passe Active Directory sur l'ordinateur ............114 Afficher DFS avec smbutil .............................................................................114
2011 Apple Inc.
iv
OS X - Formation technique : intgration
Introduction
propos de cette srie
Ce guide fait partie d'une srie en quatre parties conue pour aider les informaticiens professionnels dont la tche est d'valuer et de dployer le systme d'exploitation OSX Lion sur les ordinateurs Mac au sein d'un environnement d'entreprise ou d'une administration publique. Les autres guides qui compltent la srie sont les suivants: Formation technique OSX: dploiement Formation technique OSX: gestion Formation technique OSX: scurit
propos de ce guide
Avec ce guide, les organisations peuvent entreprendre des validations ou projets pilotes de plus grande envergure concernant les ordinateurs Mac dans leurs environnements. Ce guide aborde deux sujets essentiels pour un dploiement russi d'ordinateurs Mac: Services dannuaire Collaboration Chaque section comporte des exemples et des instructions dtailles. Il n'est pas ncessaire d'effectuer une analyse approfondie de tous les exemples de ce guide pour un mme projet de dploiement Mac, car de nombreux exemples s'excluent mutuellement. Par exemple, le guide contient des modules sur les services d'annuaire Open Directory, Active Directory, Lightweight Directory Access Protocol (LDAP) et d'autres technologies. La majorit des organisations slectionnent le service qui rpond au mieux leurs besoins. Avant d'utiliser ce guide, n'hsitez pas consulter votre reprsentant commercial Apple ou votre Revendeur Agr Apple pour toute question ou assistance afin d'identifier les modules pertinents dans le cadre de votre environnement.
2011 Apple Inc.
1 Services dannuaire
Un service d'annuaire stocke des informations sur les utilisateurs, groupes et ressources rseau d'une organisation. OS X Lion utilise des services d'annuaire en local sous forme de comptes en local ou par le biais de services d'annuaire en rseau, qui obtiennent les informations de service d'annuaire auprs d'une source centralise. Avec une installation par dfaut d'OSX Lion, vous pouvez configurer les services d'annuaire pour accder des informations de service d'annuaire avec LDAP (Lightweight Directory Access Protocol), Active Directory, fichiers plat BSD (Berkeley Software Distribution) et NIS (Network Information Service). LDAP et Active Directory sont les services les plus utiliss. Lorsqu'une application, un dmon ou un utilitaire a besoin d'informations sur un utilisateur, groupe ou ordinateur, il ou elle interroge un service d'annuaire. Sous OSX Lion, les informations sont toujours d'abord recherches dans le service d'annuaire en local. Si l'information n'est pas trouve dans les services d'annuaire en local, la requte est envoye aux autres services d'annuaire qui ont t configurs. Le chemin de recherche est spcifi dans l'application /Systme/Bibliothque/CoreServices/Utilitaire d'annuaire qui permet l'administrateur de spcifier l'ordre d'interrogation des services d'annuaire en cas de requte portant sur les utilisateurs ou les groupes par exemple. Sous OSX Lion, les services d'annuaire exploitent une structure modulaire. Cette structure permet l'extension des services d'annuaire l'aide de modules d'annuaire tiers. Ces modules offrent des fonctionnalits supplmentaires, ainsi que la prise en charge de services d'annuaire qui ne sont pas grs en standard par le systme d'exploitation .
Services dannuaire en local

Les informations de services d'annuaire en local sont stockes dans des fichiers de listes de proprits (.plist), situs dans le rpertoire /var/db/dslocal/nodes. Les administrateurs peuvent lire, crire et modifier directement ces fichiers sans passer par un dmon ou utilitaire intermdiaire. Ils peuvent galement les placer dans le systme de fichiers pour crer des comptes. Cette souplesse est utile pour modifier des systmes grande chelle ou pour dpanner un poste en mode mono-utilisateur. Comme vous pouvez directement modifier et accder aux fichiers, la modification des services d'annuaire l'aide de scripts est simple.. Les comptes des utilisateurs et groupes sont stocks dans des fichiers plat situs dans des sous-rpertoires du rpertoire /var/db/dslocal/nodes/Default ; les utilisateurs sont dans le rpertoire /var/db/dslocal/nodes/Default/users ; et les groupes sont dans le rpertoire /var/ db/dslocal/nodes/Default/groups. Chaque compte d'utilisateur ou de groupe est associ un fichier de liste de proprits (.plist) qui contient des donnes de type XML qui dcrivent l'utilisateur ou le groupe. Les comptes prcds d'un caractre soulign (_) sont rservs aux utilisateurs et groupes systme. Chaque fichier de liste de proprits contient des cls XML (mais avec des matrices), avec diverses valeurs et cls qui contiennent des informations sur le compte d'utilisateur ou le groupe. Si l'on compare les fichiers de service d'annuaire en local une requte LDAP, le fichier correspond l'objet et aux cls associes, tandis que les valeurs correspondent aux noms d'attributs et aux valeurs de ces objets. Ces cls dans le nud d'annuaire local sont similaires aux cls de registre de comptes en local, si ce n'est qu'elles sont rparties dans plusieurs fichiers qui ne sont pas situs dans un seul emplacement.
2011 Apple Inc.
Vous pouvez utiliser diffrentes applications pour modifier les donnes de service d'annuaire en local. Vous pouvez ainsi utiliser le volet Utilisateurs et groupes de Prfrences Systme pour ajouter, modifier ou supprimer les comptes d'utilisateurs et de groupes. Ou utilisez Utilitaire de disque dans /Applications/Utilitaires pour ajouter, modifier et supprimer des informations de montage, stockes dans la section automount (montage automatique) de l'arborescence du service d'annuaire. Bien que vous puissiez modifier directement les fichiers de liste de proprits, les modifications ne sont pas perues par le systme et les fichiers ne sont pas vrifis. Par scurit, il convient donc souvent d'utiliser les utilitaires de ligne de commande pour modifier les informations sur les utilisateurs, groupes et ordinateurs des services d'annuaire. Ces utilitaires sont accessibles par le biais de l'application Terminal situe dans /Applications/ Utilitaires. Voici les utilitaires de ligne de commande ainsi que leur rle.
odutilSurveiller les services d'annuaire et grer leur journalisation. dsclUtilitaire de ligne de commande de services d'annuaire. dscacheutilEffectuer des requtes, vider les caches et recueillir des statistiques sur les
services d'annuaire. dseditgroupModifier les informations d'adhsion aux groupes.

dsenablerootActiver ou dsactiver le compte root. dserrAfficher la signification des codes d'erreur des services d'annuaire. dsexportExporter des informations de services d'annuaire. dsimportImporter des informations de services d'annuaire.
dsmemberutilConsulter les adhsions aux groupes et leurs UUID et effectuer certaines oprations de dbogage. idValider les informations sur les utilisateurs et groupes.
Crer un compte administrateur en local

La plupart des environnements exigent des comptes administrateur en local connus sur les postes des fins de gestion centralise. Ils permettent d'autoriser l'utilisation d'Apple Remote Desktop pour le contrle distance d'ordinateurs, l'excution de scripts en local sur des postes configurs partir d'une image ou l'utilisation d'utilitaires pour le dpannage. Vous disposez de deux manires de crer des comptes administrateur en local: avec le volet Utilisateurs et groupes de Prfrences Systme et avec l'utilitaire de ligne de commande dscl. Vous pouvez galement utiliser le module externe Active Directory pour crer des comptes administrateur en local bass sur les adhsions aux groupes Active Directory pour simplifier la gestion des tches distance.
Crer un compte administrateur en local avec Prfrences Systme

Le moyen le plus simple de crer un compte administrateur en local sous OSX Lion consiste utiliser le volet Utilisateurs et groupes de Prfrences Systme. Pour crer un compte administrateur en local: 1. 2. Slectionnez Prfrences Systme dans le menu Pomme et cliquez sur Utilisateurs et groupes. Cliquez sur l'icne de cadenas dans le coin infrieur gauche de la fentre et authentifiezvous avec un mot de passe d'administrateur.
2011 Apple Inc.
3.
Cliquez sur le bouton Ajouter (+) dans le coin infrieur gauche.
4. 5. 6.
Dans la bote de dialogue qui apparat, slectionnez Administrateur dans le menu Nouveau compte. Entrez le nom complet et le nom du compte de l'utilisateur. (Ces noms doivent tre uniques et distincts l'un de l'autre.) Entrez le mot de passe dans les champs Mot de passe et Confirmation, puis cliquez sur le bouton Crer l'utilisateur. Le nouveau compte apparat dans la liste des comptes, sous Autres Utilisateurs.
7.
Pour vrifier que vous avez cr le compte avec succs avec les bons droits d'administration, fermez la session puis ouvrez-la sous le nouveau compte.
2011 Apple Inc.
Open Directory
Open Directory est le service d'annuaire intgr OSX LionServer. Sous OSX LionServer, Open Directory inclut un domaine d'annuaire partag bas sur LDAPv3, ainsi qu'un certain nombre d'extensions de schma qui exploitent l'espace de noms OID (Object Identifier) par le biais de IANA (Internet Assigned Numbers Authority), du serveur de mots de passe d'Apple et de Kerberos 5, le tout intgr l'aide d'un sous-systme de service d'annuaire modulaire. Open Directory autorise l'excution de diffrents services sous OSX Lion et d'autres systmes d'exploitation adapts Kerberos, ainsi que l'intgration d'autres services d'annuaire comme Microsoft Active Directory, en utilisant une topologie double annuaire ou des enregistrements augments.
Configurer un matre Open Directory

Open Directory fonctionne avec un matre Open Directory, des rpliques Open Directory, des serveurs membres et des clients. Le matre Open Directory excute LDAP et synchronise la base de donnes LDAP avec les rpliques. Le matre Open Directory excute galement le serveur de mots de passe et gre le domaine Kerberos en agissant en tant que centre de distribution de cls (KDC ou Key Distribution Center) Kerberos. L'exemple suivant illustre la configuration d'un matre Open Directory. Vous devez disposer au pralable d'un serveur quip d'OSX LionServer oprationnel, avec enregistrements DNS transfrs et inverss valids. Bien que vous puissiez configurer Open Directory avec l'application Serveur, cet exemple utilise Admin Serveur, qui offre davantage de souplesse. Pour configurer le matre Open Directory: 1. Avant de configurer le matre Open Directory, vrifiez que l'adresse IP correspond aux enregistrements DNS du serveur. Utilisez la commande changeip:
changeip -checkhostname
Ce script compare les informations de DNS actuelles l'adresse IP du serveur et vrifie sa configuration. Si ce script renvoie des erreurs, rparez votre DNS et relancez le script.
IMPORTANT: ne lancez pas la configuration du matre Open Directory sans avoir valid le nom d'hte du systme. 2. 3. 4. 5. Lorsqu'OSX Lion rsout correctement le DNS, ouvrez Admin Server depuis /Applications/Serveur. Authentifiez-vous auprs du serveur. Dans Admin Serveur, cliquez sur le nom du serveur dans la liste des serveurs. Cliquez ensuite sur le nom du serveur que vous souhaitez transformer en matre Open Directory. Cliquez sur le bouton Rglages de la barre d'outils, puis cliquez sur l'onglet Services au sommet du volet.
2011 Apple Inc.
6.
Cochez la case Open Directory et cliquez sur Enregistrer.
7. 8. 9.
Slectionnez Open Directory une fois qu'il apparat dans la liste Serveurs disponibles. Cliquez sur le bouton Rglages dans la barre d'outils d'Admin Serveur pour le service Open Directory. Cliquez sur le bouton Modifier pour lancer l'Assistant Open Directory. Remarque: si l'ordinateur est dj connect un service d'annuaire, passez directement Double annuaire puisque vous tentez alors de configurer un environnement double annuaire plutt qu'un matre Open Directory standard.
10. Dans le volet Choisir un rle de rpertoire, slectionnez Configurer un matre Open Directory et cliquez sur Continuer.
2011 Apple Inc.
11. Dans le volet Administrateur de l'annuaire, entrez les informations pour le nouveau compte administrateur Open Directory. Ce compte est distinct d'un compte administrateur en local, car l'administrateur de l'annuaire peut modifier les informations contenues dans la base de donnes Open Directory, en plus de la base de donnes en local de l'ordinateur promu en tant que matre Open Directory. Celle-ci correspond aux utilisateurs et groupes en local de Windows Server, et non aux utilisateurs et groupes grs via les utilisateurs et groupes Active Directory. Le nom par dfaut de ce compte est Directory Administrator et le nom abrg par dfaut est diradmin. Vous pouvez les modifier votre guise. L'identifiant utilisateur par dfaut est 1000. Vous pouvez le changer, sachant que le numro doit tre unique.
12. Entrez un mot de passe dans les champs Mot de passe et Confirmer. 13. Dans le volet Domaine et autorit de certification, vrifiez que le royaume Kerberos correspond ce que verront vos clients lorsqu'ils rejoignent le domaine, et que la base de recherche LDAP concorde. (Les bases de recherche utilisent le format dc= pour chaque champ du nom de domaine intgralement qualifi du domaine.)
14. Cliquez sur Continuer. 15. Dans le volet Confirmer les rglages, vrifiez les rglages et cliquez sur Continuer.
2011 Apple Inc.
16. Cliquez sur Fermer et attendez que le serveur termine la configuration Open Directory.
17. Une fois la configuration termine, cliquez sur l'icne Historiques pour consulter les journaux Open Directory.
2011 Apple Inc.
18. Les journaux sont rpartis dans plusieurs fichiers. Recherchez-y d'ventuelles erreurs majeures. Les journaux disponibles sont:
19. Cliquez sur l'icne Aperu. Ce volet prsente les services ayant dmarr.
2011 Apple Inc.
20. Si vous utilisez un serveur de test, songez supprimer les informations Open Directory cres lors de cet exercice (si vous souhaitez recommencer la ligne de commande ou analyser les journaux dans le dtail pour comprendre ce qui se produit lorsque vous modifiez diverses options lors de la promotion). Une fois que vous avez un matre Open Directory oprationnel, vous pouvez supprimer ce rle avec la commande slapconfig. Soyez prudent lorsque vous utilisez cette commande, car elle dtruit toutes les informations dans le domaine rseau Open Directory. Excutez la commande suivante dans Terminal:
slapconfig -destroyldapserver
Remarque: soyez prudent lorsque vous utilisez cette commande, car elle dtruit toutes les informations dans le domaine rseau Open Directory.
2011 Apple Inc.
10
Prparer la liaison Open Directory

Pour qu'un ordinateur OSX Lion puisse accder aux informations Open Directory, il doit tre reli un matre ou une rplique Open Directory. Open Directory fournit des services d'authentification et de gestion des utilisateurs et vous devez donc le configurer dans la section Options du volet Utilisateurs et groupes de Prfrences systme. La liaison configure le module externe LDAPv3 et permet au dmon Service d'annuaire d'accder aux informations sur les utilisateurs, groupes et ordinateurs dans Open Directory. Cette section dcrit comment tablir la liaison un serveur Open Directory. Avant de suivre cet exercice, vous devez disposer d'un matre Open Directory oprationnel avec lequel votre Mac peut communiquer. Vous devez galement disposer du nom d'utilisateur et du mot de passe de l'administrateur local. Pour prparer la liaison un serveur Open Directory: Avant de procder la liaison, vrifiez que le Mac client parvient voir les serveurs Open Directory utiliss dans votre environnement. Les enregistrements DNS sont importants dans un environnement Open Directory, et il convient donc de vrifier que le DNS fonctionne correctement. Procdez comme suit: 1. Ouvrez l'Utilitaire de rseau et cliquez sur l'onglet Ping. Entrez le nom du serveur Open Directory dans le champ. L'exemple suivant utilise lionserver.pretendco.com en tant que nom du matre Open Directory.
2011 Apple Inc.
11
2.
Si le serveur rpond la requte, passez l'tape suivante. Si le serveur ne rpond pas, c'est peut tre parce qu'il est protg par souci de scurit. Pour vrifier la connectivit, utilisez l'Utilitaire de rseau pour essayer d'analyser les ports utiliss sur le serveur (par exemple le port 389 pour LDAP). Ouvrez l'Utilitaire de rseau et cliquez sur l'onglet Port Scan au sommet de la fentre. Entrez l'adresse IP ou le nom d'hte du serveur dans le champ Saisissez une adresse Internet ou IP pour y rechercher les ports ouverts Entrez la . plage de ports dans les champs Tester uniquement les ports entre .
Liaison Open Directory avec le volet Utilisateurs et groupes de Prfrences Systme

Le moyen le plus simple de relier un Mac un matre Open Directory consiste utiliser la configuration d'un Compte serveur rseaudans le volet Utilisateurs et groupes de Prfrences Systme. La configuration dtecte automatiquement la liaison Active Directory ou Open Directory et fournit une interface simple pour la liaison. Remarque: vous pouvez configurer les options avances en lanant l'Utilitaire d'annuaire depuis le volet Compte serveur rseau ou directement depuis /Systme/Bibliothque/ CoreServices/Utilitaire d'annuaire. Pour tablir la liaison Open Directory depuis le volet Utilisateurs et groupes: 1. 2. 3. 4. Slectionnez Prfrences Systme dans le menu Pomme. Ouvrez le volet Utilisateurs et groupes de Prfrences Systme. Cliquez sur l'icne de cadenas et authentifiez-vous pour autoriser les modifications. Cliquez sur Options.
2011 Apple Inc.
12
5. 6.
Cliquez sur le bouton Modifier en regard de Compte serveur rseau. Cliquez sur le bouton Ajouter (+).
7.
D'ici, vous pouvez tablir la liaison si vous n'utilisez pas de nombreuses options personnalises pour communiquer avec vos serveurs Open Directory. Si vous utilisez le rglage automatique, les seules options disponibles sont le nom DNS ou l'adresse IP du serveur, et l'utilisation de SSL. Entrez le nom du serveur Open Directory dans le champ Serveur. Cliquez sur OK.
8.
2011 Apple Inc.
13
9.
En l'absence d'un certificat SSL, vous tes invit continuer sans connexion scurise.
10. Cliquez sur Continuer.
11. Entrez le nom du serveur, l'identifiant de l'ordinateur client (le nom de l'enregistrement de l'ordinateur dans Open Directory est fourni) et le nom d'utilisateur et le mot de passe. 12. Cliquez sur OK pour tablir la liaison.
2011 Apple Inc.
14
Un tmoin vert apparat en regard du nom du serveur dans le champ Compte serveur rseau pour indiquer que la liaison est tablie.
2011 Apple Inc.
15
Oprations de liaison personnalises

En plus de l'adresse IP du serveur, vous pouvez galement lancer la liaison avec l'Utilitaire d'annuaire et en slectionnant diverses options, en effectuant une liaison personnalise Open Directory. Pour effectuer une opration de liaison personnalise: 1. Ouvrez le volet Utilisateurs et groupes de Prfrences Systme.
2.
Cliquez sur l'icne de cadenas et authentifiez-vous pour autoriser les modifications.
3.
Cliquez sur Options.
4. 5.
Cliquez sur le bouton Rejoindre. Cliquez sur Ouvrir Utilitaire d'annuaire.
2011 Apple Inc.
16
6. 7.
Dans le volet Utilitaire d'annuaire, cliquez sur Services dans la barre d'outils. Dans le volet Services, slectionnez LDAPv3 et cliquez sur le crayon ou cliquez deux fois sur LDAPv3, pour modifier les rglages.
Remarque: vous pouvez galement tablir des liaisons plusieurs serveurs d'annuaire et serveurs LDAP. Cela quivaut utiliser un service d'annuaire en local pour les comptes locaux et un service d'annuaire en rseau pour les comptes hbergs par Open Directory et Active Directory. 8. Cliquez sur le triangle en regard d'Afficher les options.
2011 Apple Inc.
17
9.
Cliquez sur Nouveau.
10. Dans le champ Nom de la configuration, donnez un nom cette configuration pour pouvoir reconnatre la connexion. 11. Entrez le nom d'hte ou l'adresse IP du serveur dans le champ Nom serveur/adresse IP. 12. Ne modifiez pas Mappages LDAP (Du serveur).
13. Cliquez sur OK. 14. Pour autoriser ce nouveau service d'annuaire authentifier les utilisateurs, cliquez sur Rgles de recherche. Remarque: l'ordre des chemins de recherche dfini ici dtermine l'ordre de recherche des informations d'authentification dans les annuaires. Le rpertoire au sommet de la liste est interrog en premier, et ainsi de suite.
2011 Apple Inc.
18
15. Slectionnez Chemin personnalis dans le menu Recherche.
16. Cliquez sur le bouton Ajouter (+) pour ajouter le service d'annuaire. 17. Slectionnez le nouveau service LDAP dans la liste. 18. Cliquez sur Ajouter.
Si vous souhaitez poursuivre la personnalisation, revenez au bouton Services dans l'Utilitaire d'annuaire, cliquez deux fois sur LDAP, et cliquez sur le serveur que vous souhaitez personnaliser. 19. Cliquez sur le bouton Modifier.
2011 Apple Inc.
19
20. Cliquez sur le bouton Connexion pour modifier les informations saisies dans la fentre prcdente, puis personnalisez les rglages de dlai d'expiration, les ports TCP personnaliss pour LDAP, etc.
21. Utilisez le volet Recherche et mappages pour associer certains enregistrements et attributs d'un systme local ceux d'un serveur Open Directory.
2011 Apple Inc.
20
22. Une fois que vous tes satisfait, cliquez sur Enregistrer le modle pour effectuer une copie de vos rglages, ou cliquez sur le bouton crire sur le serveur pour modifier votre environnement cn=config. Remarque: utilisez l'option crire sur le serveur avec prudence, car elle affecte tous les clients configurs pour obtenir leurs rglages depuis le serveur. 23. Dans le volet Scurit, vous pouvez ajouter la liaison authentifie en cochant la case Utiliser l'authentification lors de la connexion puis en entrant le Nom absolu du compte que vous utiliserez pour les connexions, ainsi qu'un mot de passe. Vous pouvez galement utiliser la section Rglement de scurit du volet pour activer diverses rgles qui contrlent la manire dont les donnes LDAP sont changes sur votre rseau. Remarque: le serveur auquel l'ordinateur client se connecte doit autoriser ces rglages de rgles de scurit.
Utiliser le Gestionnaire de groupe de travail pour crer des utilisateurs

Le rpertoire /Applications contient un outil appel Serveur qui permet de crer des utilisateurs et groupes et contrler de nombreux services d'OSX LionServer. Toutefois, la majorit des services informatiques ont recours des options supplmentaires pour la gestion des comptes et prfreront parfois utiliser le Gestionnaire de groupe de travail. Le Gestionnaire de groupe de travail, situ dans /Applications/Serveur, sert crer des utilisateurs bass sur Open Directory et modifier les rglages (ou attributs) des comptes utilisateur. Vous pouvez galement utiliser le Gestionnaire de groupe de travail pour crer et modifier des groupes et des ordinateurs, configurer les montages automatiques, et effectuer d'autres tches administratives standard. Pour crer un utilisateur Open Directory: 1. 2. Ouvrez le Gestionnaire de groupe de travail dans /Applications/Serveur. Authentifiez-vous lorsque vous y tes invit.
2011 Apple Inc.
21
3.
Le Domaine d'annuaire actuel est visible dans la barre de domaine d'annuaire (juste en dessous de la barre d'outils). Dans de nombreux cas, vous n'tes pas authentifi sur le domaine et devez donc vous authentifier.
4.
Si l'icne de cadenas de la barre de domaine d'annuaire est verrouille, cliquez sur l'icne et authentifiez-vous auprs du service d'annuaire que vous allez utiliser. Le nom d'utilisateur par dfaut est diradmin, sachant que vous avez pu personnaliser le nom d'utilisateur lors de la cration du matre. Vous pouvez aussi utiliser un compte administrateur de service d'annuaire dlgu. Entrez le nom d'utilisateur et mot de passe dans la bote de dialogue S'authentifier auprs du rpertoire puis cliquez sur le , bouton Authentifier.
2011 Apple Inc.
22
En cas d'authentification russie, la partie droite de la barre d'annuaire affiche une icne de cadenas dverrouill. Une fois que vous tes authentifi auprs d'Open Directory, vous pouvez crer le compte utilisateur. 5. Cliquez sur le bouton Nouvel utilisateur.
6.
Entrez les informations de base sur l'utilisateur dans le volet lmentaire de la fentre Nouvel utilisateur. Si vous devez personnaliser le nom abrg, faites-le maintenant car sa personnalisation ultrieure sera plus fastidieuse. Crez un nom (gnralement le nom complet de l'utilisateur) et entrez un mot de passe pour l'utilisateur concern. Bien que vous puissiez modifier l'identifiant utilisateur, il est plus prudent de conserver le numro cr automatiquement dans ce champ. Vous pouvez galement spcifier des droits plus importants pour l'utilisateur et activer ou dsactiver le compte en cochant respectivement les cases Autoriser l'utilisateur administrer ce serveur et Autoriser l'utilisateur accder son compte .
2011 Apple Inc.
23
7.
Pour activer l'accs administrateur Open Directory pour les utilisateurs, cliquez sur Privilges et slectionnez les privilges adapts dans le menu Capacits d'administration .
8.
Cliquez sur Options avances. Cochez la case si vous souhaitez que les utilisateurs aux prfrences gres puissent se connecter plusieurs ordinateurs grs en mme temps. Dfinissez un shell d'accs (le shell utilis par dfaut l'ouverture de Terminal) et slectionnez le type de chiffrement du mot de passe. Ajoutez le cas chant des commentaires et des mots cls. Ils simplifient la recherche d'utilisateurs mesure que leur nombre augmente.
9.
2011 Apple Inc.
24
10. Cliquez sur le bouton Groupes.
11. Cliquez sur le bouton Ajouter (+) et faites glisser le groupe dans la liste Autres groupes depuis la barre latrale.
2011 Apple Inc.
25
12. Cliquez sur le bouton Accueil. Si vous utilisez Dossier de dpart du rseau ou Mobilit, slectionnez le rfrentiel de rpertoire de dpart utiliser pour l'utilisateur que vous crez.
13. Cliquez sur Infos et entrez toute autre information pertinente des fins de suivi, comme l'adresse postale de l'utilisateur, son numro de tlphone, son adresse e-mail, etc.
2011 Apple Inc.
26
Configurer une rplique Open Directory

Une fois que vous avez configur le matre Open Directory, configurez une rplique Open Directory. La rplique synchronise les informations critiques du matre Open Directory, offrant de la redondance ainsi qu'un moyen de rpartir la charge sur plusieurs serveurs. Dans de nombreux environnements l'absence d'un service d'annuaire oprationnel en cas de panne peut avoir un effet dvastateur, puisque les utilisateurs ne peuvent plus s'authentifier sur leurs postes et que les ressources situes sur les serveurs sont indisponibles. Pour configurer une rplique Open Directory, vous devez disposer d'un matre Open Directory avec SSH activ pour la rplication initiale. Le SSH n'est pas ncessaire pour les rplications suivantes, et vous pouvez donc le dsactiver aprs la rplication initiale. Pour configurer une rplique Open Directory: 1. 2. 3. 4. 5. Ouvrez Admin Serveur dans /Applications/Utilitaires. Cliquez sur le serveur. Cliquez sur rglages dans la barre d'outils. Cliquez sur l'onglet Services. Cochez la case Open Directory.
6. 7.
Cliquez sur Enregistrer. Slectionnez le service Open Directory qui apparat dans la liste en dessous du nom ou de l'adresse IP du serveur.
2011 Apple Inc.
27
8.
Cliquez sur Rglages dans la barre d'outils.
9.
Cliquez sur le bouton Modifier pour transformer le serveur en rplique. L'Assistant Open Directory est lanc.
10. Slectionnez Configurer une rplique de matre Open Directory et cliquez sur le bouton Continuer. 11. Entrez l'adresse IP ou le nom d'hte, le nom de l'administrateur Open Directory et le mot de passe Open Directory du matre Open Directory.
2011 Apple Inc.
28
12. Cliquez sur Continuer. 13. Lorsque le serveur vous invite vrifier les informations fournies, cliquez sur Continuer pour confirmer. La rplique est cre. 14. Cliquez sur Aperu dans la barre d'outils d'Admin Serveur. 15. Vrifiez que Serveur LDAP, Serveur de mot de passe et Kerberos sont tous rgls sur En service. Indiquez la base de recherche LDAP et le domaine Kerberos pour une intgration plus pousse. 16. Lorsque vous avez termin, utilisez Admin Serveur sur le matre Open Directory pour afficher la rplique ainsi que la dernire rplication effectue. Cliquez galement sur Historiques dans la barre d'outils pour consulter d'ventuelles erreurs survenues lors de la rplication initiale.
2011 Apple Inc.
29
Active Directory
Active Directory est la solution de service d'annuaire de Microsoft. Active Directory fournit des informations sur les utilisateurs, groupes et ordinateurs (informations stockes en LDAP), la gestion des mots de passe et du chiffrement (avec Kerberos) et la recherche d'objets sur un rseau. Les informations dans Active Directory servent grer les utilisateurs, ordinateurs, groupes, imprimantes et d'autres ressources. Les administrateurs peuvent galement utiliser des Objets de stratgie de groupe pour affecter des rgles aux ordinateurs Windows. Active Directory est dploy dans des environnements de taille modeste avec quelques centaines d'objets, ainsi que dans des environnements de taille importante qui comptent des milliers (voire des millions) d'utilisateurs et systmes rpartis sur plusieurs sites. Vous pouvez relier manuellement un ordinateur Mac Active Directory avec le module Active Directory dans Utilitaire d'annuaire. la ligne de commande, utilisez dsconfigad pour la liaison et pour spcifier les options propres Active Directory. Active Directory fournit des rgles aux ordinateurs Windows et le schma peut tre tendu des rgles pour d'autres systmes d'exploitation, dont OSX Lion. Certains environnements ne peuvent pas recourir l'extension de leurs schmas AD. Des diteurs tiers proposent donc des rgles pour ordinateurs Mac sans extension du schma. Cette section prsente des tches d'administration pour la gestion d'OSX Lion avec Active Directory.
Liaison Active Directory

Vous pouvez relier OSX Lion Active Directory depuis le volet Utilisateurs et groupes de Prfrences Systme, avec l'Utilitaire d'annuaire (situ dans /Systme/Bibliothque/ CoreServices/), ou avec l'outil de ligne de commande dsconfigad. Bien que dsconfigad offre des options supplmentaires, la majorit des options de configuration sont disponibles dans l'Utilitaire d'annuaire. Validation Active Directory Avant la liaison, vrifiez la connectivit Active Directory. Les clients Active Directory utilisent les enregistrements de service DNS pour localiser le service Active Directory. Il est donc important de vrifier que le DNS fonctionne correctement. 1. Ouvrez Terminal dans /Applications/Utilitaires. Entrez la commande suivante pour interroger l'enregistrement de service afin de localiser le catalogue global:
dig -t SRV _gc._tcp.pretendco.com ; <<>> DiG 9.4.1-P1 <<>> -t SRV _gc._tcp.pretendco.com ;; global options: printcmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 34512 ;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1 ;; QUESTION SECTION: ;_gc._tcp.pretendco.com. ;; ANSWER SECTION: _gc._tcp.pretendco.com. dc.pretendco.com. ;; ADDITIONAL SECTION: dc.pretendco.com. 3600 ;; ;; ;; ;;
IN
SRV
600
IN
SRV
0 100 3268
IN
192.168.55.47
Query time: 83 msec SERVER: 192.168.1.6#53(192.168.55.47) WHEN: Thu Jul 31 14:09:32 2008 MSG SIZE rcvd: 92
2011 Apple Inc.
30
2.
Si la rponse ne contient pas une section Answer (rponse) avec le nom d'un contrleur de domaine, vrifiez que les rglages rseau d'OSX Lion sont valables et que le DNS spcifi renvoie des informations d'enregistrement de service pour votre fort Active Directory. Pour relier OSX Lion Active Directory, vous devez disposer d'identifiants d'administrateur local sur le Mac ainsi qu'en tant qu'utilisateur Active Directory autoris rejoindre les ordinateurs dans l'unit organisationnelle (OU) que vous exploiterez dans Active Directory.
3.
Une fois la liaison du Mac Active Directory tablie, vous pouvez configurer le client pour autoriser les administrateurs Active Directory (ou tout utilisateur Active Directory de votre choix) tre un administrateur local sur le client Mac local. Toutefois, lors de la configuration initiale, vous devez disposer du nom et du mot de passe de l'administrateur local du Mac. Cet utilisateur est le premier utilisateur configur par l'Assistant rglages aprs l'installation.
Liaison Active Directory avec l'Utilitaire d'annuaire

Pour tablir la liaison Active Directory avec Utilitaire d'annuaire: 1. 2. 3. 4. Slectionnez Prfrences Systme dans le menu Pomme. Ouvrez le volet Utilisateurs et groupes. Cliquez sur Options. Cliquez sur Rejoindre en regard de Compte serveur rseau.
2011 Apple Inc.
31
5.
Entrez le nom du domaine dans le champ Serveur. La bote de dialogue se dploie pour afficher les identifiants et l'ID d'ordinateur (dj renseign).
6.
Une fois que vous avez rejoint le serveur de comptes rseau, vous pouvez revenir et examiner les informations de liaison, et fournir des informations complmentaires si ncessaire. Vous pouvez galement accder aux options de liaison Active Directory dans Utilitaire d'annuaire si d'autres informations sont requises sur l'cran de liaison. Pour ouvrir l'Utilitaire d'annuaire, cliquez sur le bouton Modifier dans le volet Utilisateurs et groupes de Prfrences Systme (ou si la premire tentative de liaison a chou, cliquez sur Rejoindre). Cliquez sur le bouton Ouvrir Utilitaire d'annuaire.
7.
8.
Cliquez deux fois sur Active Directory (ou cliquez sur Active Directory, puis sur l'icne de crayon).
2011 Apple Inc.
32
9.
Entrez le nom de domaine Active Directory que vous souhaitez rejoindre (si la liaison n'est pas encore tablie).
10. Modifiez l'identifiant d'ordinateur si ncessaire et cliquez sur OK. Sans quoi vous verrez un bouton Rompre la liaison.
11. Si vous tablissez la liaison, entrez l'utilisateur Active Directory autoris relier un ordinateur l'OU spcifi dans Cl OU ordinateur. Entrez le mot de passe de l'utilisateur Active Directory, puis cliquez sur OK. 12. Dans le volet Utilisateurs et groupes, un tmoin vert apparat en regard du domaine si les comptes rseau fournis sont accessibles.
2011 Apple Inc.
33
2011 Apple Inc.
34
Tester et vrifier les informations de liaison Active Directory

Avant de vous dconnecter et d'essayer de vous reconnecter en tant qu'utilisateur Active Directory, vrifiez qu'OSX Lion obtient les informations requises de la part d'Active Directory. Cette section dcrit comment vrifier qu'OSX Lion est en mesure d'obtenir des informations sur un utilisateur Active Directory, de parcourir les informations au sein d'Active Directory et d'authentifier les utilisateurs. Pour vrifier que le Mac peut obtenir les informations sur un utilisateur Active Directory: Pour qu'OSX Lion fonctionne correctement, il doit pouvoir rcuprer des informations telles que l'identifiant numrique de l'utilisateur (UID), l'identifiant du groupe principal (GID) et l'appartenance aux groupes. 1. Pour tester que l'interrogation fonctionne, ouvrez Terminal dans /Applications/Utilitaires et entrez la commande suivante:
id <Nomutilisateur Active Directory>
Exemple:
Client-1:~ admin$ id jfoster uid=818406992(jfoster) gid=1450179434(PRETENDCO\domain users) groups=1450179434(PRETENDCO\domain users)
2.
Si la commande id ne renvoie pas d'informations sur l'utilisateur Active Directory, ouvrez l'Utilitaire d'annuaire et vrifiez qu'OSX Lion est reli Active Directory et qu'Active Directory apparat sous Chemin de recherche (la liste est cre automatiquement lors de la liaison du client). Vrifiez galement la connectivit rseau entre OSX Lion et le contrleur de domaine, ainsi que les rglages de coupe-feu sur le rseau.
Pour parcourir le nud rseau Active Directory: 1. Ouvrez Terminal dans /Applications/Utilitaires et entrez la commande suivante:
Client-1:~ admin$ dscl localhost >
2.
Vous tes alors en mode interactif et pouvez parcourir les nuds rseau. Entrez la commande suivante:
> ls
Active Directory doit tre l'un des nuds de la liste. (Dans le cas contraire Active Directory est dsactiv/non coch dans l'Utilitaire d'annuaire.)
Active Directory BSD Local
Search Contact
3.
Utilisez cd pour aller dans le nud Active Directory et effectuez un autre ls pour afficher le contenu du nud.
> cd 'Active Directory'
2011 Apple Inc.
35
/Active Directory > ls All Domains
4.
Utilisez cd pour aller dans le nud All Domains et effectuez un autre ls pour afficher le contenu du nud. Le nud doit contenir le nud Users (Utilisateurs).
/Active Directory > cd 'All Domains' /Active Directory/All Domains > ls CertificateAuthorities Computers FileMakerServers Groups Mounts People Printers Users
5.
Utilisez cd pour aller dans le nud Users et effectuez un autre ls pour afficher le contenu du nud. Le nud doit contenir tous les utilisateurs de la fort. Si vous comptez un grand nombre d'utilisateurs, n'utilisez pas ls pour afficher le contenu du nud. Utilisez plutt read pour afficher les attributs de l'utilisateur:
/Active Directory/All Domains > cd Users /Active Directory/All Domains/Users > read jfoster dsAttrTypeNative:accountExpires: 9223372036854775807 dsAttrTypeNative:ADDomain: pretendco.com dsAttrTypeNative:badPasswordTime: 0 dsAttrTypeNative:badPwdCount: 0 dsAttrTypeNative:cn: Tim Lee dsAttrTypeNative:codePage: 0 dsAttrTypeNative:countryCode: 0 dsAttrTypeNative:displayName: Tim Lee dsAttrTypeNative:distinguishedName: CN=Jimmy Foster,CN=Users,DC=pretendco,DC=com more...
6. 7.
Si vous ne parvenez pas lire les attributs d'un utilisateur, vrifiez les contrles d'accs dans Active Directory et que vous tes reli la bonne unit organisationnelle. Vous pouvez quitter dscl.
/Active Directory/All Domains/Users > exit Goodbye
2011 Apple Inc.
36
Pour vrifier le mot de passe utilisateur: ce stade, le Mac parvient obtenir des informations sur les utilisateurs, mais vous devez vrifier que l'authentification des utilisateurs fonctionne. 1. Ouvrez Terminal dans /Applications/Utilitaires et entrez la commande suivante:
>su <nomutilisateur ad>
Exemple:
Client-1:~ Admin$ su jfoster Password:
2.
Entrez le mot de passe de l'utilisateur Active Directory. Vous tablissez alors une session dans Terminal sous l'identit de l'utilisateur concern. Pour vrifier, utilisez la commande whoami.
>whoami
Exemple: bash-3.2$ whoami jfoster Remarque: ce stade, vous pouvez ignorer d'ventuelles erreurs concernant l'absence d'un rpertoire de dpart. Le rpertoire de dpart est cr la premire connexion. Si la commande choue, vrifiez que plusieurs utilisateurs n'ont pas le mme nom abrg au sein de votre fort Active Directory En cas de noms abrgs en double, vous devez activer la prise en charge des espaces de nom avec dsconfigad. Pour l'heure, entrez un nom d'utilisateur dont le nom abrg est unique l'chelle de la fort. Pour vous connecter depuis la fentre d'ouverture de session: Dconnectez-vous en slectionnant Fermer la session nom d'utilisateur dans le menu Pomme, ou mieux, utilisez la permutation rapide dutilisateur pour tester la fentre d'ouverture de session. 1. 2. 3. 4. Pour activer la permutation rapide dutilisateur, slectionnez Prfrences Systme dans le menu Pomme, puis cliquez sur Utilisateurs et groupes. Dans le volet Utilisateurs et groupes, vrifiez que le cadenas dans le coin infrieur gauche est dverrouill. Si le volet est verrouill, cliquez sur l'icne et authentifiez-vous pour le dverrouiller. Cliquez sur Options dans la liste de gauche.
2011 Apple Inc.
37
5.
Vrifiez que la case Afficher le menu Permutation rapide d'utilisateur sous la forme est coche.
Un nom d'utilisateur apparat dans la barre de menu dans le coin suprieur droit de votre cran.
6.
Cliquez sur le nom d'utilisateur et slectionnez Fentre d'ouverture de session. La fentre d'ouverture de session apparat avec un effet de cube 3D. La session de l'utilisateur actuellement connect reste active. Vous pouvez y revenir en slectionnant l'utilisateur d'origine dans le menu Permutation rapide ou depuis la fentre d'ouverture de session.
7.
Cliquez sur Autre et entrez le nom d'utilisateur et le mot de passe Active Directory. Utilisez le nom abrg ou le nom UPN (par exemple, jfoster, PRETENDCO\jfoster ou jfoster@pretendco.com). Vous devez maintenant tre connect sous l'identit de l'utilisateur Active Directory
8.
Si la fentre d'ouverture de session gigote durant l'authentification, vrifiez que vous avez bien suivi les tapes de vrification ci-dessus, et vrifiez le mot de passe. Ou essayez un autre compte utilisateur Active Directory. Si un avertissement vous prvient que votre rpertoire de dpart est introuvable, ouvrez l'Utilitaire d'annuaire et consultez les rglages de votre configuration Active Directory. Si vous n'avez pas slectionn Forcer lutilisation du rpertoire de dpart local sur le disque de dmarrage cela signifie qu'un problme empche le montage de votre , rpertoire de dpart rseau. Dans le cadre de ce module, vrifiez que l'option Forcer lutilisation du rpertoire de dpart local sur le disque de dmarrage est coche.
9.
2011 Apple Inc.
38
Commandes de dpannage des modules externes Active Directory

Validation Active Directory Si vous ne parvenez pas vous connecter des ressources Active Directory, vrifiez la connectivit avec Active Directory. Les clients Active Directory utilisent les enregistrements de service DNS pour localiser le service Active Directory. Il est donc important de vrifier que le DNS fonctionne correctement. 1. Ouvrez Terminal dans /Applications/Utilitaires. Entrez la commande suivante pour interroger l'enregistrement de service afin de localiser le catalogue global:
dig -t SRV _gc._tcp.pretendco.com ; <<>> DiG 9.4.1-P1 <<>> -t SRV _gc._tcp.pretendco.com ;; global options: printcmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 34512 ;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
;; QUESTION SECTION: ;_gc._tcp.pretendco.com. IN SRV
;; ANSWER SECTION: _gc._tcp.pretendco.com. dc.pretendco.com. 600 IN SRV 0 100 3268
;; ADDITIONAL SECTION: dc.pretendco.com. 3600 IN A 192.168.55.47
;; Query time: 83 msec ;; SERVER: 192.168.1.6#53(192.168.55.47) ;; WHEN: Thu Jul 31 14:09:32 2008 ;; MSG SIZE rcvd: 92
2.
Si la rponse ne contient pas une section Answer (rponse) avec le nom d'un contrleur de domaine, vrifiez que les rglages rseau d'OSX Lion sont valables et que le DNS spcifi renvoie des informations d'enregistrement de service pour votre fort Active Directory. Vous pouvez vrifier les autres rles de la mme manire.
Accessibilit Si vous parvenez interroger les rles FSMO (Flexible Single Master Operation) d'une fort Active Directory, vous devez pouvoir tablir la liaison. Dans le cas contraire, un problme de routage ou de commutation empche peut-tre le client de communiquer avec les serveurs. Le port 389 doit tre disponible pour l'ordinateur client pour accder aux contrleurs de domaine. Utilisez l'Utilitaire de rseau pour vrifier la disponibilit de ce port. 1. 2. 3. 4. Ouvrez Utilitaire de rseau dans /Applications/Utilitaires. Cliquez sur Port Scan. Entrez l'adresse IP du contrleur de domaine le plus proche. Entrez 389 dans les deux champs Tester uniquement les ports entre .
2011 Apple Inc.
39
5.
Cliquez sur Analyser. En l'absence de rsultat durant l'analyse, corrigez les problmes de routage ou de commutation.
Autorit Le compte que vous utilisez pour la liaison doit galement avoir accs pour tablir la liaison. Dans de nombreux cas, cela signifie qu'il doit pouvoir accder une OU particulire. Il doit pouvoir supprimer des objets d'une OU, comme lors de la liaison et du placement dans une nouvelle OU, ou disposer du contrle intgral du domaine. L'accs requis pour le compte utilis pour relier OSX Lion doit correspondre l'accs requis pour la liaison de clients Windows. Vrification Active Directory 1. Une fois la liaison tablie, vrifiez que les comptes sont accessibles avec dscl et id. Pour utiliser id, ouvrez Terminal dans /Applications/Utilitaires. Entrez la commande suivante pour lancer une requte avec id, qui renvoie des informations sur l'utilisateur ainsi que des informations de groupe pour le compte.
id <nomutilisateur>
Par exemple:
id jfoster uid=818406992(jfoster) gid=1450179434(PRETENDCO\domain users) groups=1450179434(PRETENDCO\domain users)
Si vous ne parvenez pas interroger le moindre compte, cela signifie que la connexion Active Directory ne fonctionne pas. Ou utilisez l'outil dscl qui permet de localiser le problme dans l'arborescence du service. Excutez la commande suivante pour afficher les modules activs sur le systme, et lancez l'environnement d'excution dscl.
dscl
Une fois l'environnement d'excution lanc, utilisez cd comme dans un systme de fichiers. Faites d'abord un cd pour aller dans le module Active Directory:
cd Active\ Directory
Ou placez le texte qui suit la commande cd entre guillemets.

> cd 'Active Directory' /Active Directory > ls All Domains
2.
Utilisez cd pour aller dans le nud All Domains, et effectuez un autre ls pour afficher le contenu du nud. Le nud doit contenir le nud Users (Utilisateurs).
/Active Directory > cd 'All Domains' /Active Directory/All Domains > ls CertificateAuthorities Computers FileMakerServers Groups Mounts People
2011 Apple Inc.
40
Printers Users
Si vous ne parvenez pas utiliser cd pour aller dans All Domains, cela signifie que vous ne pouvez pas communiquer avec un contrleur de domaine. Si vous pouvez utiliser cd pour aller dans All Domains, naviguez jusqu'au nud Users avec cd, puis faites un ls pour afficher le contenu du nud. Le nud doit contenir tous les utilisateurs de la fort. Si vous comptez un grand nombre d'utilisateurs, n'utilisez pas ls pour afficher le contenu du nud. Utilisez plutt read pour consulter les attributs de l'utilisateur.
/Active Directory/All Domains > cd Users /Active Directory/All Domains/Users > read jfoster dsAttrTypeNative:accountExpires: 9223372036854775807 dsAttrTypeNative:ADDomain: pretendco.com dsAttrTypeNative:badPasswordTime: 0 dsAttrTypeNative:badPwdCount: 0 dsAttrTypeNative:cn: Tim Lee dsAttrTypeNative:codePage: 0 dsAttrTypeNative:countryCode: 0 dsAttrTypeNative:displayName: Tim Lee dsAttrTypeNative:distinguishedName: CN=Jimmy Foster,CN=Users,DC=pretendco,DC=com more...
Si vous ne parvenez pas lire les attributs d'un utilisateur, vrifiez les contrles d'accs dans Active Directory et assurez-vous que vous tes reli la bonne unit organisationnelle. 3. Vous pouvez quitter dscl.
/Active Directory/All Domains/Users > exit Goodbye
Pour vrifier le mot de passe utilisateur: ce stade, le client Mac parvient obtenir des informations sur les utilisateurs, mais vous devez vrifier que l'authentification des utilisateurs fonctionne. 1. Ouvrez Terminal dans /Applications/Utilitaires et entrez la commande suivante:
>su <nomutilisateur ad>
Exemple:
Client-1:~ Admin$ su jfoster Password:
2011 Apple Inc.
41
2.
Entrez le mot de passe de l'utilisateur Active Directory. Vous tablissez alors une session dans Terminal sous l'identit de l'utilisateur concern. Pour vrifier, utilisez la commande whoami.
>whoami
Exemple: bash-3.2$ whoami jfoster Remarque: ce stade, vous pouvez ignorer d'ventuelles erreurs concernant l'absence d'un rpertoire de dpart. Le rpertoire de dpart est cr la premire connexion. Si la commande choue, vrifiez que plusieurs utilisateurs n'ont pas le mme nom abrg au sein de votre fort Active Directory Si c'est le cas, vous devez activer la prise en charge des espaces de nom avec dsconfigad. Pour tester, entrez un nom d'utilisateur dont le nom abrg est unique l'chelle de la fort.
Associer l'UID et le GID avec l'Utilitaire d'annuaire

OSX Lion identifie l'utilisateur d'un systme avec un identifiant unique ou UID. L'UID identifie de manire unique un utilisateur du systme et dtermine ses droits d'accs aux fichiers. Chaque groupe du systme est identifi par un identifiant de groupe ou GID, et chaque utilisateur est associ un groupe principal. Le GID user est l'identifiant du groupe principal pour les comptes utilisateur. Le GID user est rgl sur le groupe Domain Users d'Active Directory. Toutefois, sur les systmes base UNIX comme OSX Lion, il est courant d'utiliser le groupe staff en tant que groupe principal pour les utilisateurs. L'UID d'un compte utilisateur Active Directory est automatiquement cr en fonction du GUID Active Directory d'un utilisateur Active Directory, car les comptes crs dans Active Directory n'ont pas de valeurs UID et GID. Si les UID et GID ont t gnrs dans Active Directory, le module Active Directory peut tre configur pour utiliser ces valeurs. Si vous n'tes pas sr, consultez votre administrateur Active Directory pour savoir quelles valeurs seraient adaptes cette fin. Si ces valeurs n'ont pas t gnres et que vous souhaitez les crer, des scripts complmentaires seront parfois ncessaires pour remplir les champs Active Directory dans le cadre d'installations de taille importante. Par dfaut, les UID, GID utilisateur et GID de groupe dans les champs Active Directory ne sont pas associs ou mapps avec OSX Lion lors de la liaison la ligne de commande. Si vous mappez les UID, GID utilisateur et GID de groupe, vrifiez que ces attributs sont indexs et disponibles dans le catalogue global. Pour mapper les champs par dfaut mentionns ci-dessus: 1. 2. Slectionnez Prfrences Systme dans le menu Pomme. Ouvrez le volet Utilisateurs et groupes.
2011 Apple Inc.
42
3.
Cliquez sur Options.
4. 5.
Cliquez sur Modifier en regard de Compte serveur rseau. Cliquez sur Ouvrir Utilitaire d'annuaire.
6.
Si ncessaire, authentifiez-vous en tant qu'administrateur local en cliquant sur l'icne de cadenas dans le coin infrieur gauche.
2011 Apple Inc.
43
7.
Slectionnez le module Active Directory et cliquez sur le crayon, ou cliquez deux fois sur Active Directory pour modifier les rglages.
8.
Cliquez sur le triangle en regard de l'option Afficher les options avances.
9.
Cliquez sur Mappages.
10. Entrez les informations requises pour mapper les attributs Active Directory. Si vous n'tes pas sr des valeurs saisir, demandez votre administrateur Active Directory. 11. Cliquez sur le bouton OK pour appliquer les modifications.
2011 Apple Inc.
44
Dfinir un rpertoire de dpart

Les attributs Active Directory spcifient l'emplacement de stockage du rpertoire de dpart des utilisateurs. Le rpertoire de dpart peut tre dans un emplacement personnalis sur l'ordinateur sur lequel l'utilisateur se connecte, sur un partage rseau accessible ou synchronis entre un rpertoire local et un partage rseau (quivalent aux profils itinrants des environnements Windows). Avec Active Directory, l'emplacement des profils est dfini dans Utilisateurs et ordinateurs Active Directory pour chaque utilisateur, ou par Objet de stratgie de groupe associ des units organisationnelles (OU). Sur la base de ces informations, vous pouvez synchroniser le contenu de l'emplacement rseau qui contient le rpertoire de dpart avec le rpertoire de dpart en local. Pour configurer la gestion des dossiers de dpart: 1. 2. 3. Slectionnez Prfrences Systme dans le menu Pomme. Ouvrez le volet Utilisateurs et groupes. Cliquez sur Options.
2011 Apple Inc.
45
4.
Cliquez sur le bouton Rejoindre en regard de Compte serveur rseau. Si le systme est dj reli un service d'annuaire, vous verrez un bouton Modifier.
2011 Apple Inc.
46
5.
Cliquez sur Ouvrir Utilitaire d'annuaire.
6. 7.
Si ncessaire, authentifiez-vous en tant qu'administrateur local en cliquant sur l'icne de cadenas dans le coin infrieur gauche. Slectionnez le module Active Directory et cliquez sur le crayon, ou cliquez deux fois sur Active Directory pour modifier les rglages.
8.
Cliquez sur le triangle en regard de l'option Afficher les options avances, puis cliquez sur Exprience utilisateur. Ce volet contient l'option Crer un compte mobile lors de l'ouverture de session Cette . option cre un compte sur le systme en local afin que l'utilisateur puisse ouvrir une session, mme si le Mac ne parvient pas contacter les serveurs Active Directory.
2011 Apple Inc.
47
9.
Vous pouvez aussi cocher la case Utiliser le chemin UNC depuis Active Directory pour dduire lemplacement du rpertoire de dpart rseau si vous souhaitez activer la synchronisation du rpertoire de dpart. Un rglage supplmentaire apparat alors dans le menu Protocole rseau utiliser Dans Active Directory, lorsque vous dfinissez le . profil d'un utilisateur (l o vous mappez une lettre de lecteur), ce rglage correspond \\serveur\partage\dossier. Le module Active Directory le convertit en /serveur/partage/ dossier et prcde la requte de afp: ou smb: afin d'obtenir afp://serveur/partage/ dossier ou smb://serveur/partage/dossier. Si vous comptez utiliser les prfrences gres pour contrler ces variables d'exprience utilisateur, ne cochez pas ces cases. Conservez les rglages par dfaut pour viter les rsultats indsirables.
2011 Apple Inc.
48
Options de chiffrement des paquets Active Directory

Vous pouvez utiliser le module Active Directory pour personnaliser les options de chiffrement utilises lors de la communication avec les contrleurs de domaine Active Directory, de la mme manire que vous utilisez des rgles pour restreindre la communication sur les contrleurs de domaines. Pour personnaliser les options de chiffrement, utilisez l'outil de ligne de commande dsconfigad. La signature de paquets est une option exige dans de nombreux environnements Active Directory pour parer aux interceptions d'identifiants et assurer l'authenticit des donnes changes avec Active Directory. La configuration des options de signature de paquets est une rgle configure sur un contrleur de domaine Active Directory. Dans les environnements qui utilisent la signature de paquets, vous pouvez autoriser et mme exiger la signature de paquets par le client. Par dfaut, la signature de paquets est une option autorise sous Windows Server2003 et Windows Server2008. L'excution de divers outils de scurit force automatiquement la signature de paquets sur les clients Active Directory. Sous OSX Lion, si vous souhaitez imposer la signature de paquets pour que le client puisse communiquer avec le serveur, vous pouvez galement configurer le rglage de signature de paquets sur exiger. Si vous imposez la signature de paquets sur le contrleur de domaine ou sous OSX Lion, vrifiez d'abord que l'option est disponible sur les deux systmes. Pour modifier les options de signature de paquets sous OSX Lion, utilisez le drapeau packetsign avec dsconfigad. Les rglages associs au drapeau -packetsign sont allow, disable et require (autoriser, dsactiver et exiger). Pour configurer dsconfigad afin d'exiger la signature de paquets, utilisez la commande suivante:
dsconfigad -packetsign require
Le message suivant apparat si la modification est applique:

Settings changed successfully
Si ncessaire, rtablissez le rglage de signature par dfaut avec la commande suivante:

dsconfigad -packetsign disable
Le chiffrement des paquets est galement disponible sous OSX Lion. Le chiffrement des paquets assure la scurit des donnes en plus de leur authenticit. Pour activer le chiffrement des paquets, utilisez le drapeau -packetencrypt avec les mmes rglages que pour le drapeau -packetsign. Comme pour la signature de paquets, vous devez d'abord vrifier que le serveur prend en charge le chiffrement des paquets. Pour exiger packetencrypt, utilisez la commande suivante:
dsconfigad -packetencrypt require
Pour utiliser TLS pour le chiffrement des paquets, utilisez l'option ssl.
dsconfigad -packetencrypt ssl
L'option ssl exige une chane de certification de confiance auprs d'Active Directory. Si la chane de certification n'a pas de racine de confiance, vous devez installer et approuver le certificat racine dans le trousseau d'accs racine. Le message suivant apparat si la modification est applique:
Settings changed successfully
Si ncessaire, rtablissez le rglage de chiffrement par dfaut avec la commande suivante:

dsconfigad -packetencrypt disable
2011 Apple Inc.
49
Instructions de liaison SSL

Les environnements qui requirent le SSL pour chiffrer le trafic entre les contrleurs de domaine et les clients peuvent utiliser -packetencrypt avec l'option ssl. Lors de l'utilisation du SSL, le Mac reoit un certificat du contrleur de domaine et vrifie sa fiabilit en valuant la fiabilit de la chane de certification. Si le certificat racine n'est pas dj approuv sur le Mac, vous devez importer et approuver le certificat racine ou dsactiver la vrification des certificats. Pour installer les certificats SSL: 1. 2. 3. Copiez le certificat racine SSL sur le Mac. Ouvrez Trousseaux d'accs dans /Applications/Utilitaires. Slectionnez Importer des lments dans le menu Fichier.
4. 5. 6.
Slectionnez Systme dans le menu local Trousseau de destination. Naviguez jusqu'au certificat racine et slectionnez le certificat importer. Une feuille de validation apparat. Cliquez sur le bouton Toujours approuver.
2011 Apple Inc.
50
LDAP
Lightweight Directory Access Protocol (LDAP) est le protocole utilis par la majorit des services d'annuaire, dont eDirectory de Novell, Active Directory de Microsoft et Open Directory d'Apple. LDAP dfinit la manire dont les clients crent, interrogent et actualisent les informations de services d'annuaire, et fournit les donnes stockes dans des bases de donnes aux clients et aux serveurs. OSX Lion prend en charge la liaison tout service d'annuaire compatible LDAP grce au module de service d'annuaire LDAPv3 que vous pouvez configurer dans le volet Utilisateurs et groupes de Prfrences Systme, avec l'Utilitaire d'annuaire (situ dans / Systme/Bibliothque/CoreServices) ou avec la commande dsconfigldap. LDAP est lger, souple et prend en charge diffrentes options de connexion, de liaison et de mappage bidirectionnel des attributs, qui sont des champs dans la base de donnes LDAP. Toutes ces options sont configurables avec l'Utilitaire d'annuaire et dsconfigldap. Dans le cadre de LDAP, un schma est un ensemble de rgles qui dfinissent la manire dont les donnes sont stockes dans un service d'annuaire. Selon le schma utilis, vous devez parfois spcifier des mappages personnaliss des donnes du service d'annuaire OSX Lion avec celles de votre service d'annuaire. L'Utilitaire d'annuaire fournit des modles (et permet de crer des modles pour simplifier la migration d'un hte vers un autre) pour mapper les schmas les plus utiliss. L'Utilitaire d'annuaire prend galement en charge la configuration rseau du module (via DHCP) et le mappage (avec des enregistrements de service d'annuaire spciaux).
Liaison LDAP
Avant d'utiliser un service d'annuaire LDAP, vous devez d'abord tablir la liaison entre OSX Lion et le service d'annuaire avec le module LDAPv3. Le module LDAPv3 prend en charge les liaisons simples, de confiance et Kerberos. Slectionnez l'option de liaison qui correspond vos exigences en matire de scurit, ainsi qu'aux rglages de vos serveurs LDAP. La liaison simple configure OSX Lion pour une interrogation des informations de service d'annuaire avec un minimum de configuration (et de scurit). La liaison de confiance oblige le serveur s'authentifier pour empcher les interceptions d'identifiants. La liaison Kerberos permet la signature numrique de tous les paquets, le chiffrement des paquets et la protection contre les interceptions d'identifiants. Remarque: les communications peuvent tre chiffres par SSL, quel que soit le type de liaison.
Liaison simple
Relier un ordinateur Mac un serveur LDAP avec une liaison simple indique la structure de service d'annuaire d'OSX Lion d'utiliser le serveur LDAP en tant que source d'information potentielle, pour les simples requtes d'informations ou pour rcuprer les donnes de compte la fentre d'ouverture de session. Avec une liaison simple, vous indiquez aux services d'annuaire qu'un domaine dannuaire existe et, moyennant une requte configure dans une rgle de recherche, de rcuprer des informations sur les utilisateurs et ordinateurs depuis ces services d'annuaire. Dans ce cas, vous ajoutez la configuration de liaison simple votre rgle de recherche. Pour configurer une liaison simple: 1. Ouvrez l'Utilitaire d'annuaire dans /Systme/Bibliothque/CoreServices.
2011 Apple Inc.
51
2.
Slectionnez LDAPv3 et cliquez sur le crayon ou cliquez deux fois sur LDAPv3 pour modifier les rglages.
3.
Cliquez sur le bouton Nouveau.
2011 Apple Inc.
52
4.
Cochez la case Activer pour activer cette connexion LDAP.
5. 6. 7. 8.
Donnez un nom cette configuration dans le champ Nom de la configuration. Entrez le nom d'hte ou l'adresse IP de votre serveur LDAP dans le champ Nom serveur/ adresse IP. Slectionnez Du serveur dans le menu local Mappages LDAP et entrez la Recherche de base de votre environnement LDAP. Cliquez sur le bouton OK pour appliquer ces informations LDAP. Remarque: dans la plupart des environnements LDAP, les utilisateurs voudront s'authentifier auprs des informations de service d'annuaire demandes. Vous pouvez ajouter le nouvel environnement LDAP vos rgles de recherche en cliquant sur Rgles de recherche dans la barre d'outils de l'Utilitaire d'annuaire. En dfinissant une rgle de recherche, vous dfinissez l'ordre d'interrogation des diffrents domaines d'annuaire pour obtenir les enregistrements de comptes.
2011 Apple Inc.
53
9.
Slectionnez Chemin personnalis dans le menu local Rechercher pour indiquer au systme d'utiliser le chemin de recherche que vous allez ajouter.
10. Cliquez sur le bouton Ajouter (+) pour afficher les domaines d'annuaire disponibles. 11. Cliquez sur l'environnement LDAP que vous venez d'ajouter, puis cliquez sur Ajouter. Cliquez ensuite sur Appliquer dans la fentre principale de l'Utilitaire d'annuaire.
Vous pouvez dsormais utiliser dscl pour parcourir le domaine, authentifier les utilisateurs la fentre d'ouverture de session et tester d'autres fonctionnalits.
2011 Apple Inc.
54
Liaison de confiance
Utilisez le volet Utilisateurs et groupes de Prfrences Systme et/ou l'Utilitaire d'annuaire (dans /Systme/Bibliothque/CoreServices) pour configurer une liaison de confiance entre un Mac et un annuaire LDAP, ds lors que l'annuaire prend en charge les liaisons de confiance. Dans le cadre d'une liaison de confiance, la liaison est authentifie mutuellement, un enregistrement d'ordinateur authentifi tant cr dans l'annuaire la liaison (comme pour le processus Active Directory). Une configuration de liaison de confiance est une liaison statique, de sorte que les ordinateurs configurs pour une liaison de confiance ne peuvent pas utiliser une configuration LDAP fournie par DHCP. Vous ne pouvez pas utiliser une liaison de confiance dans un environnement double annuaire. Cela signifie que chaque ordinateur devra tre reli aprs la configuration du poste partir d'une image. Pour relier un Mac: 1. 2. 3. Slectionnez Prfrences Systme dans le menu Pomme. Ouvrez le volet Utilisateurs et groupes. Cliquez sur Options.
4. 5.
Cliquez sur l'icne de cadenas pour vous authentifier auprs du service d'annuaire. Cliquez sur le bouton Rejoindre (ou Modifier si le systme est dj reli un service d'annuaire).
2011 Apple Inc.
55
6.
Cliquez sur le bouton Ajouter (+).
7.
Entrez le nom du serveur.
2011 Apple Inc.
56
La bote de dialogue s'agrandit pour afficher un identifiant d'ordinateur, un nom d'utilisateur et un mot de passe.
8. 9.
Confirmez l'identifiant d'ordinateur. Entrez un nom et mot de passe pour un compte dot de droits au sein de l'infrastructure LDAP.
10. Cliquez sur le bouton OK. L'ordinateur est reli l'annuaire et un enregistrement d'ordinateur est cr sur le matre l'annuaire pour l'ordinateur concern. Remarque: l'enregistrement d'ordinateur existe souvent dj dans l'annuaire s'il s'agit d'un poste en double ou en cas de renouvellement de la liaison aprs une rupture de liaison incorrecte. En cas d'alerte indiquant que l'enregistrement d'ordinateur existe dj, cliquez sur craser pour le remplacer, puis cliquez sur OK. 11. Cliquez sur le bouton Ouvrir Utilitaire d'annuaire. 12. Cliquez sur Rgles de recherche.
13. Vrifiez que le serveur apparat dans les rgles de recherche sous Authentification.
2011 Apple Inc.
57
Associer les attributs LDAP

Sous OSX Lion, vous pouvez mapper les attributs des comptes d'un environnement OpenLDAP avec les attributs natifs Open Directory. Par exemple, vous pouvez avoir un attribut de rpertoire de dpart diffrent dans un environnement OpenLDAP existant. Plutt que de procder l'extension de votre schma OpenLDAP pour y inclure de nouveaux attributs, il vous suffit de mapper les attributs (utile dans des environnements de taille modeste) ou de diffuser les mappages vers les clients partir d'un site centralis ( l'aide du conteneur cn=config intgr Open Directory). Important: avant de mapper les attributs Open Directory et les attributs LDAP, vous devez crer une configuration LDAP et spcifier les rgles de recherche pour l'annuaire LDAP. Pour mapper un attribut LDAP: 1. 2. Ouvrez l'Utilitaire d'annuaire (depuis Utilisateurs et groupes dans Prfrences Systme ou directement dans /Systme/Bibliothque/CoreServices). Slectionnez LDAPv3 et cliquez sur le crayon ou cliquez deux fois sur LDAPv3 pour modifier les rglages.
3.
Cliquez sur la colonne Mappages LDAP.
2011 Apple Inc.
58
4.
Slectionnez l'un des modles proposs dans le menu qui apparat, moins que vous ayez besoin de mapper des attributs individuels.
5. 6.
Pour mapper des attributs individuels, slectionnez votre serveur LDAP et cliquez sur le bouton Modifier. Cliquez sur le bouton Recherche et mappages.
7. 8. 9.
Slectionnez Personnalis dans le menu local Accder ce serveur LDAPv3 via Une liste . des Types d'enregistrement et attributs apparat. Cliquez sur le bouton Ajouter pour afficher la bote de dialogue de slection d'enregistrements. Cet exemple utilise l'attribut NFSHomeDirectory du type d'enregistrement Users. Commencez donc par cliquer sur le bouton radio Types d'attributs.
10. Entrer "NFS" dans le champ de recherche.
2011 Apple Inc.
59
11. Slectionnez l'attribut NFSHomeDirectory dans la liste des rsultats de la recherche.. 12. Cliquez sur OK. Le volet doit ressembler ceci:
2011 Apple Inc.
60
13. Slectionnez NFSHomeDirectory et cliquez sur Ajouter sous Mapper sur n'importe lequel des lments lists Entrez le nom de l'attribut que vous souhaitez mapper dans . votre schma LDAP.
Maintenant que vous avez saisi un ou deux enregistrements, vous comprenez qu'il serait fastidieux de mapper les attributs si vous aviez 30enregistrements et 100ordinateurs. Il existe deux options pour simplifier ce processus. La premire, RFC 2307, effectue le mappage du service d'annuaire d'OSX Lion avec un schma LDAP RFC2307. Pour en savoir plus sur RFC2307, voir http://www.ietf.org/rfc/rfc2307.txt.
Vous pouvez galement stocker les mappages sur le serveur LDAP. Ils seront dtects ds lors que l'unit organisationnelle est appele ou=macosxodconfig. Les clients OSX envoient alors une requte au serveur LDAP la recherche d'un enregistrement appel macosxodconfig qui contient les mappages. Dans l'Utilitaire d'annuaire, vous pouvez enregistrer les mappages dans le conteneur /Config du serveur avec le bouton crire sur le serveur. Dans ce cas, entrez le nom absolu et le mot de passe d'un utilisateur autoris crire dans l'objet /Config. Entrez ensuite la Base de recherche pour dtecter l'objet Config.
2011 Apple Inc.
61
Cliquez sur le bouton Enregistrer le modle pour crer un modle.
Slectionnez un emplacement et cliquez sur Enregistrer.
Remarque: sous OSX Lion, les modles sont stocks par dfaut dans le dossier Documents de l'utilisateur qui les a crs, sous forme de listes de proprits (fichiers .plist).
2011 Apple Inc.
62
Kerberos
Kerberos est un protocole d'authentification en rseau qui permet aux individus qui communiquent sur un rseau non scuris de prouver leur identit de manire scurise. Kerberos fournit une architecture client-serveur d'authentification bidirectionnelle qui permet l'utilisateur de vrifier l'identit du serveur et inversement. Kerberos protge ainsi contre diffrents types d'attaques, dont les coutes illicites et les attaques par rptition. Kerberos utilise un centre de distribution de cls (Key Distribution Center ou KDC) en deux parties: le serveur d'authentification (AS) et un serveur de tickets (Ticket Granting Server ou TGS), qui met des tickets initiaux (Ticket Granting Tickets ou TGT). Kerberos fonctionne base de tickets qui servent prouver l'identit des utilisateurs. Le KDC gre une base de donnes de cls secrtes. Tous les clients du rseau partagent une mme cl secrte, qu'ils utilisent pour obtenir un ticket initial. Lorsque le client a son ticket initial, il peut le prsenter au KDC pour obtenir des tickets de service, qui s'authentifient auprs des services rseau protgs par Kerberos. Un service protg par Kerberos envoie des tickets de service aux clients. Ces tickets de service sont chiffrs avec la cl prive du service. Lorsqu'un client prsente un ticket de service non valable ou non vrifi au service, la demande de service du client est refuse. Remarque: pour la communication entre deux entits protges par Kerberos, le KDC gnre des cls de session qu'il utilise pour scuriser la communication. En plus de l'authentification de l'identit d'un hte en environnement Kerberos, certaines protections sont galement mises en uvre pour protger l'authenticit de chaque service excut sur un systme, sous forme de principaux de service. Pour obtenir des tickets, le client demande un ticket avec un ticket initial. Vous pouvez obtenir ces informations, sous forme de principaux de service, avec la commande klist sur le Mac, afin d'afficher les tickets de service mis en cache. Une prsentation plus dtaille de Kerberos dpasse le cadre de ce document, mais il est important de savoir que lorsqu'un utilisateur s'authentifie pour la premire fois auprs d'un KDC (qu'il s'agisse d'un KDC Active Directory, Open Directory ou MIT/Heimdal), le client reoit un ticket initial. Lorsque le client s'authentifie auprs d'un service protg par Kerberos, il dispose alors d'un ticket initial et d'un ticket de service pour ce service. Cette information est utile pour rsoudre les problmes d'authentification. Pour utiliser une interface graphique pour accder aux informations sur les tickets Kerberos, ouvrez Trousseaux d'accs dans /Applications/Utilitaires. Slectionnez Visualiseur de tickets dans le menu Trousseaux d'accs. Vous pouvez galement grer Kerberos la ligne de commande avec kinit, kswitch, kdestroy, klist, kgetcred et kpasswd.
2011 Apple Inc.
63
Configuration double annuaire

Lorsque vous configurez les prfrences gres sur un Mac, la capacit modifier un service d'annuaire existant (de modifier le schma de votre Active Directory) risque d'tre limite. Bien que plus complexe qu'une approche par extension du schma, un systme double annuaire permet une gestion complte d'OSX Lion sans modifier d'autres services. En ajoutant les deux serveurs d'annuaire au chemin de recherche sur les ordinateurs client, vous pouvez exploiter les utilisateurs stocks dans l'annuaire principal et les rgles de groupes grs dfinies dans le second annuaire. Cette configuration permet OSX Lion d'tablir la liaison au service d'annuaire principal et d'tablir une liaison un second domaine d'annuaire, gnralement une instance Open Directory. Cet annuaire secondaire fournit des rgles de gestion et applique les prfrences gres. Un double annuaire augmente la complexit de votre dploiement, car vous devez crer et maintenir une seconde infrastructure, paralllement la premire. Pour tirer pleinement parti de cette solution, les groupes doivent galement tre imbriqus, ce qui augmente inutilement la complexit. C'est pour cela que les configurations double annuaire sont gnralement rserves des dploiements d'OSX Lion de modeste envergure.
Configurer un double annuaire

Pour configurer un environnement double annuaire, reliez un ordinateur OSX Lion Server Active Directory et promulguez-le en matre Open Directory. L'exemple suivant dtaille cette procdure, pour obtenir un double annuaire oprationnel. Il utilise le nom d'administrateur Open Directory diradmin, et le mot de passe mysecretpass. Utilisez les identifiants de votre serveur Open Directory s'ils sont diffrents. Avant de commencer, configurez d'abord le DNS sur le serveur.
2011 Apple Inc.
64
Pour configurer le DNS: 1. Sur votre serveur DNS intgr votre Active Directory, ouvrez DNS avec les outils d'administration.
2.
Slectionnez Nouvel hte dans le menu Action.
3.
Nommez le serveur dans le champ Nom.
2011 Apple Inc.
65
4. 5. 6. 7.
Entrez l'adresse IP du serveur dans le champ Adresse IP . Cochez la case Crer un pointeur d'enregistrement PTR associ . Cliquez sur Ajouter l'hte. Rptez ces tapes pour toute rplique Open Directory que vous crez.
Pour configurer un environnement double annuaire: 1. Sur le serveur qui servira de matre Open Directory, ouvrez Prfrences Systme.
2011 Apple Inc.
66
2. 3.
Cliquez sur Utilisateurs et groupes. Cliquez sur Options.
4.
Cliquez sur l'icne de cadenas et authentifiez-vous pour autoriser les modifications.
5. 6.
Cliquez sur le bouton Rejoindre. Dans le champ Serveur, entrez le nom de domaine de votre environnement Active Directory.
7.
Cliquez sur OK. Le serveur tablit la liaison Active Directory.
2011 Apple Inc.
67
8.
Lorsque vous y tes invit, cliquez sur OK pour confirmer que le serveur a rejoint le domaine Kerberos Active Directory.
9.
En cas de problme Kerberos, activez le module Active Directory pour tous les services qui peuvent l'utiliser en entrant la commande suivante la ligne de commande:
dsconfigad enablesso
10. Ouvrez Admin Serveur dans /Applications/Serveur. 11. Cliquez sur le nom du serveur dans la liste Serveurs. 12. Cliquez sur l'onglet Services dans la barre d'outils d'Admin Serveur. 13. Cochez la case Open Directory.
14. Cliquez sur Enregistrer. 15. Cliquez sur Open Directory dans la liste Serveurs. 16. Cliquez sur Kerbriser les services.
2011 Apple Inc.
68
17. Entrez un nom d'utilisateur et mot de passe d'administrateur Active Directory et cliquez sur OK.
18. Cliquez sur le bouton Accder Kerberos. 19. Slectionnez le domaine Active Directory dans le menu Domaine . 20. Entrez le nom dutilisateur et le mot de passe Active Directory.
2011 Apple Inc.
69
21. Cliquez sur OK. 22. Cliquez sur le bouton Modifier.
2011 Apple Inc.
70
23. Slectionnez Rester connect et configurer un matre Open Directory .
24. Cliquez sur Continuer. 25. Dans le volet Administrateur de lannuaire de l'Assistant Open Directory, entrez un nom, nom abrg et identifiant utilisateur pour le compte administrateur du domaine Open Directory (vous pouvez utiliser les valeurs par dfaut si vous le souhaitez) et entrez un mot de passe.
26. Cliquez sur Continuer. 27. Dans le volet Domaine de l'Assistant Open Directory, vrifiez le nom du domaine Kerberos et de la Base de recherche, qui sont automatiquement renseigns. La base de recherche sert de point dpart pour les requtes auprs du domaine (il convient gnralement d'accepter la valeur par dfaut), sachant que le domaine Kerberos n'est pas utilis dans un environnement double annuaire. Entrez galement le nom de l'organisation ainsi qu'une adresse e-mail pour l'administrateur.
2011 Apple Inc.
71
28. Cliquez sur Continuer. 29. Dans le volet Confirmer les rglages, vrifiez les informations fournies aux tapes prcdentes.
30. Cliquez sur Continuer. 31. Le matre Open Directory est dsormais configur. Cliquez sur Termin. 32. Ouvrez le Gestionnaire de groupe de travail. 33. Cliquez sur la barre de slection de domaine d'annuaire et authentifiez-vous auprs du nouvel Open Directory. Lorsqu'Open Directory et Active Directory sont visibles dans le Gestionnaire de groupe de travail, cela signifie que la partie serveur de la configuration des deux annuaires est termine.
Pour configurer le client pour la liaison au double annuaire: 1. 2. Sur un Mac, ouvrez le volet Utilisateurs et groupes de Prfrences Systme. Cliquez sur Options.
2011 Apple Inc.
72
3. 4. 5.
Cliquez sur Rejoindre. Entrez le nom de domaine de votre environnement Active Directory dans le champ Serveur. La bote de dialogue rvle l'identifiant de l'ordinateur et les champs de nom d'utilisateur et mot de passe d'un administrateur Active Directory. Renseignez-les et cliquez sur OK pour tablir la liaison.
6. 7.
Si la liaison s'tablit, cliquez sur le bouton Modifier en regard de Compte serveur rseaudans les options du volet Utilisateurs et groupes de Prfrences Systme. Cliquez sur le bouton Ajouter (+) pour ajouter un deuxime domaine d'annuaire.
2011 Apple Inc.
73
8. 9.
Entrez le nom du matre Open Directory que vous avez promu dans le cadre de cet exemple. Dans la feuille qui apparat, entrez l'identifiant de l'ordinateur client, le nom d'utilisateur et le mot de passe.
10. Cliquez sur OK pour terminer la liaison. 11. Une fois la liaison tablie, les deux domaines apparaissent dans la fentre.
2011 Apple Inc.
74
12. Cliquez sur Termin. 13. Vrifiez que vous pouvez vous authentifier en tant qu'utilisateur Active Directory. Si c'est le cas, vous tes prt imbriquer les groupes que vous utiliserez dans votre environnement double annuaire.
2011 Apple Inc.
75
Imbriquer les groupes Active Directory dans Open Directory

Une fois que vous avez configur le double annuaire, vous pouvez crer les prfrences gres. Mais avant de continuer, imbriquez les groupes Active Directory pertinents dans les groupes Open Directory correspondants. Pour imbriquer un groupe Active Directory dans un groupe Open Directory: 1. Ouvrez le Gestionnaire de groupe de travail dans le dossier /Applications/Serveur du matre Open Directory (ou utilisez le Gestionnaire de groupe de travail sur un ordinateur d'administration pour tablir une connexion l'adresse du matre Open Directory). Cliquez sur l'icne de globe dans la barre Services d'annuaire et slectionnez / LDAPv3/127.0.0.1 pour afficher le contenu d'Open Directory.
2.
3. 4.
Cliquez sur le bouton Groupes juste en dessous de la barre des domaines d'annuaire. Cliquez sur l'icne Nouveau groupe dans la barre d'outils.
5. 6.
Nommez le groupe. Un nom abrg est automatiquement cr. Vous pouvez personnaliser le nom abrg si vous le souhaitez. Cliquez sur le bouton Enregistrer.
2011 Apple Inc.
76
7.
Cliquez sur l'onglet Membres du groupe, puis cliquez sur le bouton Ajouter (+) droite de la liste des groupes.
Un tiroir apparat qui contient les utilisateurs Open Directory de votre organisation. 8. Cliquez sur l'icne de globe au sommet du menu, puis cliquez sur le bouton Groupes.
Le tiroir affiche dsormais tous vos utilisateurs et groupes Active Directory.
2011 Apple Inc.
77
9.
Faites glisser le groupe qui vous intresse depuis le tiroir vers la liste des membres, puis cliquez sur le bouton Enregistrer. Une fentre qui ressemble la suivante apparat.
Vous pouvez maintenant dfinir les autorisations de fichiers et dossiers et crer des prfrences gres pour le groupe. Vous pouvez imbriquer les utilisateurs, groupes et ordinateurs Active Directory dans des groupes Open Directory de cette manire pour obtenir tout un ventail de rsultats.
2011 Apple Inc.
78
2 Collaboration
L'information est la matire premire des professionnels du savoir, et l'un des grands dfis que doivent relever les services informatiques consiste optimiser le partage, le stockage et la rcupration d'informations institutionnelles. Apple propose bon nombre de fonctionnalits innovantes pour encourager la collaboration. Ce chapitre dcrit la manire d'exploiter les outils et technologies Apple pour l'intgration aux solutions de collaboration existantes au sein d'une organisation. Dans de nombreux environnements, la collaboration passe par l'accs des logiciels de groupe de travail et des microsites hbergs sur des serveurs Microsoft. Cette section dcrit donc comment accder Microsoft Exchange et Microsoft SharePoint.
Systme de fichiers rpartis

Un systme de fichiers rpartis (Distributed File Sharing ou DFS) est un moyen de grer la manire dont le stockage est prsent l'utilisateur. Avec le DFS, les administrateurs d'environnements Windows Server peuvent rpliquer les donnes des fins de redondance et virtualiser l'emplacement des partages. Ils peuvent dplacer les partages d'un serveur vers un autre sans affecter l'exprience de l'utilisateur final, et rpliquer ces partages l'chelle de plusieurs sites et serveurs. SMB/CIFS est un protocole de partage de fichiers, et les utilisateurs accdent aux partages DFS par le biais de SMB. Sous OSX Lion, le Finder sait interprter les liens DFS. En outre, OSX Lion peut accder aux donnes sur des partages DFS. On accde aux partages DFS comme aux partages de fichiers ordinaires.
Connexion aux partages DFS

Sous OSX Lion, le Finder interprte les liens DFS vers les partages afin que le Mac puisse accder aux donnes qui s'y trouvent. Ces partages sont des partages SMB. OSX Lion interroge la racine des partages DFS et les traite comme des partages de fichiers SMB standard. Pour tablir la connexion un partage DFS sous OSX Lion: 1. 2. 3. Dans le Finder, slectionnez le menu Aller. Slectionnez Se connecter au serveur (ou utilisez le raccourci clavier Commande-K). Dans la bote de dialogue, entrez le chemin vers le partage DFS auquel vous souhaitez accder. (Il peut s'agir ou non du partage racine.)
4. 5.
Ou cliquez sur le bouton Parcourir pour afficher la liste des serveurs sur le rseau, puis slectionnez un partage DFS dans la liste. Cliquez sur Se connecter.
2011 Apple Inc.
79
6. 7. 8.
Si vous utilisez Kerberos et que vous tes autoris vous connecter au partage, le Finder affiche le contenu du partage dans une fentre. Si vous n'utilisez pas Kerberos, vous tes invit saisir un mot de passe. Entrez le nom dutilisateur et le mot de passe. Cliquez sur Se connecter.
Intgration Microsoft Exchange

Depuis la sortie de Microsoft Exchange2007, l'interface de programmation (API) Exchange Web Services (EWS) est officiellement l'API de nouvelle gnration de Microsoft pour les services de collaboration. Elle est conue pour succder l'interface MAPI (messaging application programming interface) et aux objets de donnes de collaboration (CDO). Le protocole EWS communique via HTTP et inclut un sous-ensemble de fonctions de mise en uvre de la dcouverte automatique. EWS est une API robuste ddie aux plates-formes client enrichies, qu'il ne faut pas confondre avec EAS (Exchange ActiveSync) qui n'est conu que pour fournir des services aux appareils mobiles. OSX Lion intgre la prise en charge de Microsoft Exchange2010. Cette intgration native avec Mail, iCal et Carnet d'adresses sous OSX Lion exploite EWS, qui exige au minimum Exchange2007, Service Pack1, Rollup4. Mail peut galement se connecter des versions antrieures d'Exchange. Toutefois, sans EWS, Mail se connecte via le connecteur IMAP Exchange ou POP et fournit un accs l'email, mais sans intgration avec les calendriers et les contacts. Cet accs restreint est inadapt dans la majorit des organisations.
Utiliser Mail, iChat et Carnet d'adresses avec Exchange

Trois mthodes sont disponibles pour configurer le fonctionnement de Mail, iCal et Carnet d'adresses avec Exchange: Utiliser le volet Mail, Contacts et Calendriers de Prfrences Systme. Configurer Mail avec la dcouverte automatique Exchange, qui configure galement iCal et Carnet d'adresses. Utiliser un profil de configuration que vous crez avec l'Utilitaire de configuration iPhone ou avec le Gestionnaire de profils d'OSX LionServer. Pour configurer Mail avec Prfrences Systme: 1. 2. 3. Slectionnez Prfrences Systme dans le menu Pomme. Dans la fentre de Prfrences Systme, cliquez sur l'icne du volet Mail, Contacts et Calendriers. Cliquez sur Ajouter un compte ou sur le bouton Ajouter (+).
2011 Apple Inc.
80
4. 5.
Cliquez sur Microsoft Exchange. Entrez le nom, l'adresse e-mail et le mot de passe de l'utilisateur dans les champs correspondants.
6.
Cliquez sur Continuer. La dcouverte automatique doit fournir le nom d'utilisateur, le mot de passe et l'adresse de serveur du compte. Dans le cas contraire, reportez-vous la section Rsoudre les problmes de connexion de Mail, iCal et Carnet d'adresses Microsoft Exchange plus loin dans ce chapitre.
2011 Apple Inc.
81
7.
Cliquez sur Continuer.
Pour configurer les comptes Exchange dans Mail: 1. Ouvrez Mail dans le dossier Applications.
2. 3.
Slectionnez Prfrences dans le menu Mail. Cliquez sur Comptes.
2011 Apple Inc.
82
4. 5.
Cliquez sur le bouton Ajouter (+) pour ajouter un compte. Entrez le nom complet, l'adresse e-mail et le mot de passe de l'utilisateur dans le volet Ajouter un compte.
10. Mail utilise la dcouverte automatique pour tenter de rcuprer les informations sur le compte. S'il dtecte les enregistrements de dcouverte automatique adapts, Mail renseigne les champs votre place. Vrifiez les donnes insres dans chaque champ ou corrigez les informations. 6. Slectionnez Exchange dans le menu Type de compte.
2011 Apple Inc.
83
7. 8.
Entrez l'adresse du serveur, le nom d'utilisateur et le mot de passe. Si vous souhaitez configurer automatiquement iCal et Carnet d'adresses, cochez les cases Contacts et/ou Calendriers.
9.
Cliquez sur Continuer. Si la dcouverte automatique n'automatise pas le processus de configuration, reportezvous la section Rsoudre les problmes de connexion de Mail, iCal et Carnet d'adresses Microsoft Exchange plus loin dans ce chapitre.
2011 Apple Inc.
84
Activer les rponses en absence dans Mail

Les rponses en absence sont une ncessit dans toute organisation, lorsque les utilisateurs ne sont pas en mesure de relever leur courrier, lorsqu'ils sont en vacances ou en cong maladie. Les utilisateurs peuvent configurer les rponses en absence avec le client web Exchange ou dans Mail sous OSX Lion. L'exemple suivant dcrit la manire de configurer une rponse automatique en cas d'absence. Pour configurer les rponses automatiques pour les comptes Exchange dans Mail: 1. 2. Ouvrez Mail. Dans la barre latrale, faites un clic droit sur le nom du compte (ou sur la bote de rception si vous n'avez qu'un seul compte).
3. 4.
Cliquez sur Obtenir les donnes du compte. Cliquez sur l'onglet Absence.
5. 6. 7. 8.
Cochez la case Envoyer des rponses automatiques dabsence . Rglez la plage de dates d'envoi des rponses. Entrez le message de rponse dans les champs Rponse interne et externe (un pour les utilisateurs de votre domaine, l'autre pour les utilisateurs l'extrieur de votre domaine). Fermez le volet Informations sur le compte. Le serveur enverra des rponses en absence au nom du compte utilisateur.
2011 Apple Inc.
85
Rsoudre les problmes de connexion de Mail, iCal et Carnet d'adresses Microsoft Exchange
Le dpannage de la connectivit Exchange est gnralement limit l'intgration initiale d'OSX. De nombreuses organisations exploitent la dcouverte automatique pour permettre aux clients de se connecter leurs botes aux lettres facilement, indpendamment de leur emplacement physique. La dcouverte automatique utilise le DNS (service de nom de domaine) pour diriger les clients vers les ressources ncessaires. Une requte de dcouverte automatique est envoye via HTTP lors de la configuration de Mail, iCal et Carnet d'adresses avec Exchange. Mail interroge le DNS pour trouver le service de dcouverte automatique, gnralement le Serveur d'accs au client (CAS) Exchange de l'organisation. Le serveur IIS (Internet Information Server) qui hberge les services web Exchange EWS rpond alors au client par une demande d'authentification, et l'authentification est effectue avec les identifiants fournis dans Mail. Si tout est correctement authentifi, le service EWS rpond en fournissant l'adresse des serveurs LDAP (Lightweight Directory Access Protocol), de courrier et de calendriers, ainsi que les informations de configuration ncessaires. Le protocole de dcouverte automatique est conu pour effectuer la configuration ds qu'un serveur de messagerie connu est injoignable. Les administrateurs peuvent dplacer les botes aux lettres en fonction de la capacit des serveurs, sans affecter la disponibilit ou l'exprience l'utilisateur. Mail.app relance le processus de dcouverte automatique lorsque des botes aux lettres sont dplaces sur le serveur Exchange. Le dpannage de la connexion Exchange peut donc porter sur diffrents aspects, dont le DNS, les redirections incorrectes, les erreurs de certificat et les limites de taille des messages.
DNS
Dans de nombreuses organisations, la dcouverte automatique est mise en uvre par SCP (Service Connection Points). Cela suffit gnralement pour les clients Windows qui utilisent Microsoft Outlook. Toutefois, si les entres de DNS directes et inverses pour la dcouverte automatique n'ont pas t configures sur les serveurs DNS, le client Mac ne peut pas trouver le service EWS (Exchange Web Services) sur le Serveur d'accs au client. Consultez les informations de DNS avec la commande nslookup depuis un client Windows pour vrifier la valeur des enregistrements de service DNS. 1. 2. 3. 4. 5. Cliquez sur Dmarrer, puis sur Excuter. Dans la fentre qui apparat, entrez CMD. l'invite de commande, tapez nslookup puis appuyez sur Entre. l'invite nslookup, tapez set type=allpuis appuyez sur Entre. Tapez _autodiscover._tcp.votredomaine.com o votredomaine.com est le domaine de l'adresse e-mail principale. 6. Appuyez sur la touche Entre.
La rponse ressemble ceci:

***************************************************************** > set type=all > _autodiscover._tcp.votredomaine.com Server: casserver.mail.votredomaine.com Address: 192.168.1.100
2011 Apple Inc.
86
Non-authoritative answer: _autodiscover._tcp.votredomaine.com primary name server = ns2.votredomaine.com responsible mail addr = mailserver.votredomaine.com serial = 1
refresh = 10000 (2 hours 46 mins 40 secs) retry expire = 1800 (30 mins) = 1814400 (21 days)
default TTL = 300 (5 mins) _autodiscover._tcp.votredomaine.com ns2.votredomaine.com _autodiscover._tcp.votredomaine.com ns1.votredomaine.com nameserver = nameserver =
Redirections incorrectes/erreurs de certificat

Si le client ne parvient pas se connecter au serveur Exchange, l'enregistrement de service (SRV) peut tre correctement configur, tandis que le Serveur d'accs au client (CAS) peut ne pas tre configur correctement pour accepter les requtes de dcouverte automatique. Les noms d'hte ne correspondent peut-tre pas, ou le certificat du serveur n'a peut-tre pas la bonne valeur SAN (Subject Alternative Name ou Autre nom de l'objet) ou d'IP invers. Pour suivre ces erreurs lors de la configuration de Mail, entrez la commande suivante dans Terminal.
/Applications/Mail.app/Contents/MacOS/Mail -LogHTTPActivity YES -LogEWSAutodiscoveryActivity YES >&~/Desktop/ ConnectionLog.txt &
Cette commande lance Mail et consigne tout le trafic gnr dans un fichier texte sur le bureau. Ce fichier journal est trs prcieux pour rsoudre les problmes de connectivit. Pour suivre l'activit standard de Mail au-del de la dcouverte automatique EWS, entrez:
/Applications/Mail.app/Contents/MacOS/Mail -LogHTTPActivity YES >& Desktop/yourmaildebug.log & Pour suivre le trafic EWS dans iCal ou Carnet d'adresses plutt que dans Mail, entrez: /Applications/iCal.app/Contents/MacOS/iCal -LogHTTPActivity YES >& Desktop/youricaldebug.log &
ou entrez:
/Applications/Address\ Book.app/Contents/MacOS/Address\ Book LogHTTPActivity YES >& Desktop/youraddressbookdebug.log &
2011 Apple Inc.
87
Limite de taille de message

Microsoft Exchange utilise une arborescence complexe de rglages gouvernant la taille maximale des messages dans chaque bote aux lettres. Ces rglages peuvent tre configurs avec l'applet de commande Set-TransportConfig dans le shell Exchange Management Shell. Mail dpend des Exchange Web Services (EWS), et vous devez donc modifier le site web EWS dans l'instance d'Internet Information Server (IIS) associe Exchange afin d'liminer ces restrictions. Pour augmenter la taille des messages l'chelle d'une organisation, utilisez l'applet de commande Set-TransportConfig. Pour un utilisateur individuel, utilisez l'applet de commande Set-Mailbox. Par exemple, pour augmenter les valeurs MaxSendSize et MaxReceiveSize pour un utilisateur appel test, utilisez la commande suivante:
Set-Mailbox -Identity test -MaxSendSize 20MB -MaxReceiveSize 20MB
En plus de la modification de maxMessageSize, maxReceiveSize et maxSendSize pour les serveurs de transport Connectors et Hub, vous devez modifier la valeur 'maxRequestLength' dans le fichier Web.configdu site EWS en consquence. L'interaction entre Mail et un serveur Exchange passe par le site EWS, et ce rglage prime donc sur toutes les limites de taille de message, comme avec les autres outils qui interagissent avec EWS. Par exemple, pour limiter la taille des messages 20Mo, vous devez modifier la limite de taille de message dans le fichier Web.config via un processus comme celui-ci: Pour localiser le fichier Web.config: Pour Exchange2007, le fichier Web.config est situ dans \Program Files\Microsoft
\Exchange Server\ClientAccess\exchweb\ews.
Pour Exchange2010, le fichier Web.config de l'app web Outlook est situ sur le Serveur d'accs au client. L'emplacement par dfaut est \Program Files\Microsoft
\Exchange Server\V14\ClientAccess\exchweb\ews.
1. 2. 3. 4. 5. 6.
Faites une copie de sauvegarde du fichier Web.config. Modifiez le fichier Web.config dans Bloc-notes. Reprez la balise httpRuntime sous system.web. Rglez la valeur de maxRequestLength sur 20000 (kilo-octets). Enregistrez le fichier. Arrtez et relancez le site web par dfaut pour appliquer le rglage.
Lorsque vous configurez les autres rglages Exchange de limite de taille des messages en consquence, les utilisateurs d'OSX Lion Mail connects un serveur Exchange peuvent envoyer des messages d'une taille infrieure ou gale 20Mo. La taille du message quivaut la taille du corps du message et des pices jointes. Remarque: Microsoft ne documente pas actuellement la configuration de maxRequestLength dans le fichier Web.config d'EWS, mais la documente pour OWA. Les tapes prsentes ci-dessus sont donc sujettes modification. Pour en savoir plus, consultez cet article de la base de connaissances Microsoft sur la gestion de la taille des messages sous Exchange2007 (http://technet.microsoft.com/fr-fr/library/ bb124345(EXCHG.80).aspx) ou cet article de la base de connaissances Microsoft sur la gestion de la taille des messages sous Exchange2010 (http://technet.microsoft.com/fr-fr/library/ bb124345.aspx).
2011 Apple Inc.
88
Dpanner Microsoft Outlook2011

Microsoft Outlook2011 dpend du protocole Exchange Web Services (EWS) pour la configuration et la connectivit. Puisque EWS est exploit, les tapes de dpannage du DNS abordes plus haut peuvent s'avrer utiles. Cette remarque est importante, car un administrateur Mail pourrait croire qu'un produit estampill Outlook peut automatiquement utiliser les objets SCP (Service Connection Point) pour dtecter l'emplacement de la messagerie. Or, ce n'est pas le cas avec Outlook2011. Outlook2011 utilise une base de donnes pour suivre chaque message. La base de donnes ne contient pas les messages, mais des pointeurs. Lorsqu'un utilisateur reoit un message, une criture est effectue dans la base de donnes, ce qui peut dclencher une raction d'un logiciel antivirus. En cas d'activit soutenue, l'analyse antivirus peut entraner la corruption de la base de donnes et un blocage des services de messagerie. Une solution potentielle consiste exclure les entres suivantes dans le moteur d'analyse en temps rel de l'antivirus.
/Bibliothque/Preferences/.GlobalPreferences.plist ~/Bibliothque /Utilisateurs/.*/Documents/.*/Database/.* /.*\.log
Ces modifications partent du principe que les messages entrants sont analyss sur la passerelle de messagerie et sur le serveur. La Base de connaissances Microsoft propose un article sur comment activer la journalisation dans Outlook2011 l'adresse http://mac2.microsoft.com/help/office/14/en-us/admin/item/ cc82d660-9a9b-41ab-ab1c-b5c5db85e560?category=c9277f2c-d467-450c-8ea5e1845ee6524a. Cet article aborde l'activation de la journalisation, ainsi que d'autres mesures de dpannage dans Outlook2011.
2011 Apple Inc.
89
Connexion Microsoft SharePoint

Microsoft fournit l'application Microsoft Document Connection avec Office2011 pour Mac et Office2008 pour Mac. L'application Microsoft Document Connection est ajoute par dfaut au Dock et disponible dans les dossiers Applications > Microsoft Office2011 et Applications > Microsoft Office2008. Microsoft Document Connection fonctionne avec SharePoint2007 ou versions ultrieures et permet d'archiver et d'extraire des documents. Microsoft Document Connection peut effectuer l'authentification avec des identifiants Kerberos ou avec NTLM si le Mac n'est pas encore reli au domaine Active Directory ou si le serveur SharePoint n'est pas encore Kerbris sur le domaine. Si vous utilisez SharePoint2007 ou une version ultrieure, vous pouvez utiliser Safari pour effectuer de nombreuses tches SharePoint courantes, l'exception des tches qui requirent un contrle ActiveX, cette technologie n'tant pas prise en charge sous OSX. Pour utiliser Microsoft Document Connection avec SharePoint, procdez de la manire suivante: 1. Ouvrez Microsoft Document Connection dans le dossier Applications > Microsoft Office2011.
2. 3.
Cliquez sur Ajouter un emplacement. Slectionnez Connexion un site SharePoint .
4.
Entrez l'adresse, le nom d'utilisateur et le mot de passe pour le site. Vous pouvez enregistrer les identifiants dans le trousseau de l'utilisateur en cochant la case Enregistrer le mot de passe dans mon trousseau MacOS .
2011 Apple Inc.
90
5. 6. 7.
Sous SHAREPOINT dans la barre latrale, naviguez jusqu' l'emplacement d'un fichier. Cliquez sur le nom du fichier. Cliquez sur le bouton de la barre d'outils de l'application qui correspond la tche concerne.
2011 Apple Inc.
91
Messagerie instantane
OSX prend en charge de nombreuses plates-formes de messagerie instantane standard. Les sections suivantes abordent les clients de messagerie instantane iChat, FaceTime et l'intgration avec Microsoft Office Communications Server.
iChat
iChat est bas sur le protocole de messagerie instantane XMPP connu sous le nom de Jabber, et fonctionne avec AOL Instant Messenger (AIM), MobileMe et Yahoo. Jabber peut tre intgr toute plateforme de messagerie instantane dote d'une passerelle XMPP. Pour configurer iChat en tant que client Jabber: 1. 2. 3. Ouvrez iChat dans le dossier Applications. Slectionnez Prfrences dans le menu iChat. Cliquez sur Comptes. Cliquez sur le bouton Ajouter (+) pour ajouter un compte.
Le volet de configuration du compte apparat.
2011 Apple Inc.
92
4.
Slectionnez Jabber dans la liste des types de comptes.
5. 6. 7. 8.
Entrez un nom et mot de passe de compte. Cliquez sur le triangle en regard d'Options du serveur. Entrez l'adresse IP du serveur et le numro de port. Le cas chant, cochez les cases Utiliser SSL et Utiliser Kerberos v5 pour l'authentification .
2011 Apple Inc.
93
9.
Cliquez sur le bouton Termin.
10. Fermez le volet Comptes. 11. Testez la connexion en ajoutant des utilisateurs la liste de contacts iChat et en conversant avec eux. Apple fournit des outils de dpannage de la connectivit iChat. L'Utilitaire de rseau par exemple, disponible dans le dossier Applications > Utilitaires, permet de vrifier que les serveurs privs Jabber sont accessibles par nom ou adresse IP, et que les ports sont ouverts. L'historique de dbogage est galement utile. Pour dboguer les communications iChat, entrez la commande suivante dans Terminal:
/Applications/iChat.app/Contents/MacOS/iChat -errorLogLevel 7
Les problmes concernant la qualit de la connexion sont gnralement lis une bande passante insuffisante, des filtres sur les passerelles ou aux applications antivirus.
FaceTime
Avec FaceTime sur votre Mac, vous pouvez passer et recevoir des appels vido avec les utilisateurs d'appareils qui prennent en charge FaceTime: ordinateur Mac, iPod touch (de 4e gnration) quip d'iOS version4.1 ou ultrieure, iPhone4 quip d'iOS version4.1 ou ultrieure, iPhone4S quip d'iOS5 ou iPad2 quip d'iOS5. Pour participer des appels vido sur votre Mac, vous devez disposer des lments suivants: Une connexion Internet. Vous pouvez utiliser une connexion Ethernet ou Wi-Fi pour vous connecter Internet. Un ordinateur Mac quip de Mac OSX10.6.4 ou version ultrieure avec toutes les mises jour de scurit installes. Une camra. Vous pouvez utiliser la webcam intgre ou une webcam externe ou toute autre camra branche sur votre ordinateur. Vous pouvez galement utiliser une camra USB compatible avec la norme UVC, ainsi qu'une camra DV/HDV. Un microphone. Vous pouvez utiliser le microphone intgr ou un microphone externe branch sur l'entre audio de votre ordinateur. Vous pouvez galement utiliser un micro ou des couteurs Bluetooth ou USB.
2011 Apple Inc.
94
Des contacts dans Carnet d'adresses. Vous pouvez appeler les utilisateurs FaceTime dont les coordonnes sont stockes dans Carnet d'adresses. Pour passer un appel vido un utilisateur iPhone, vous utilisez un numro de tlphone. Pour appeler un utilisateur Mac, iPod touch ou iPad 2, vous utilisez une adresse e-mail. S'inscrire FaceTime Avant de passer ou de recevoir des appels vido, vous devez vous inscrire FaceTime avec un identifiant Apple. Si vous disposez dj dun compte iTunes Store, dun compte MobileMe ou dun autre compte Apple, vous pouvez utiliser cet identifiant Apple. Si vous ne possdez pas didentifiant Apple, vous pouvez en crer un dans FaceTime. Pour se connecter avec un identifiant Apple: 1. Lancez FaceTime et procdez de l'une des manires suivantes:
Entrez votre identifiant Apple et votre mot de passe, puis cliquez sur Se connecter. Si un identifiant Apple est affich et que vous souhaitez l'utiliser, cliquez sur Se connecter. Si vous ne souhaitez pas utiliser l'identifiant Apple affich, entrez un autre identifiant et le mot de passe associ, et cliquez sur Se connecter.
Grer les rglages FaceTime Une fois inscrit FaceTime, vous pouvez consulter et modifier vos rglages dans les prfrences de FaceTime. Pour ouvrir les prfrences de FaceTime: 1. 2. Slectionnez FaceTime > Prfrences. Lorsque vous avez termin, cliquez sur OK.
Pour grer les rglages d'identifiant Apple: 3. Cliquez sur Compte. Le champ Compte indique l'identifiant utilis pour l'inscription FaceTime. Procdez de l'une des manires suivantes:
4.
Pour modifier le pays dans lequel vous utilisez FaceTime, cliquez sur Modifier le lieu pour utiliser le bon format de numro lorsque vous appelez un utilisateur iPhone. Pour afficher des informations dtailles sur l'identifiant Apple que vous utilisez, cliquez sur Donnes du compte.
Pour grer les rglages d'e-mail: Pour ajouter une adresse e-mail que d'autres peuvent utiliser pour vous appeler, cliquez sur Autre adresse lectronique et appuyez sur Retour. Pour slectionner l'adresse e-mail que vous souhaitez afficher lorsque vous appelez un interlocuteur, cliquez sur l'adresse e-mail affiche sous Identifiant et slectionnez une adresse e-mail.
2011 Apple Inc.
95
Pour supprimer une adresse e-mail, cliquez sur Rglages du courrier lectronique, puis sur Supprimer cette adresse. Si l'un des messages suivants prcde une adresse e-mail que vous avez saisie, l'adresse ne pourra pas servir passer des appels vido: Vrification: l'adresse e-mail n'a pas encore t valide. Recherchez un e-mail d'Apple vous demandant de confirmer la validit de l'adresse associer votre identifiant Apple. Erreur: l'adresse e-mail n'a pas pu tre valide. Cette situation peut survenir si l'adresse email est dj associe un identifiant Apple utilis avec FaceTime. 5. Entrez l'adresse e-mail que vos interlocuteurs peuvent utiliser pour vous appeler avec FaceTime, puis cliquez sur Suivant pour vous connecter. S'il s'agit de la premire utilisation de l'adresse e-mail avec FaceTime, recherchez un email d'Apple vous invitant confirmer la validit de l'adresse que vous souhaitez associer votre identifiant Apple. Cliquez tout simplement sur le lien Vrifier maintenant dans le message, puis entrez votre identifiant et votre mot de passe Apple. Une fois la connexion tablie, vous pouvez ajouter une autre adresse e-mail et rgler d'autres paramtres FaceTime.
2011 Apple Inc.
96
Microsoft Office Communications Server

La suite Office2011 est livre avec le logiciel de chat Communicator2011, qui prend en charge Office Communications Server2007R2 et les versions ultrieures. Le guide de dploiement de Communicator pour Mac2011 est disponible l'adresse: http:// go.microsoft.com/fwlink/?LinkId=201946 Pour configurer Office Communicator: 1. 2. Ouvrez Office Communicator dans le dossier Applications > Microsoft Office2011. Lors du premier lancement, l'application vous invite choisir Communicator en tant qu'application par dfaut pour les appels tlphoniques. Si vous souhaitez utiliser Communicator en tant qu'application de tlphonie par dfaut, cliquez sur Use Communicator. Dans le menu Communicator, slectionnez Preferences. Cliquez sur Account (Compte). Le nom de compte est affich sous forme d'adresse email. Cliquez sur Change (Modifier) pour affecter un nouveau nom de compte.
3. 4.
5.
Entrez l'adresse e-mail, l'ID utilisateur et le mot de passe.
2011 Apple Inc.
97
6.
Par dfaut, My Network Settings (Paramtres rseau) est rgl sur configuration automatique. Si vous avez un serveur Microsoft Lync priv, slectionnez Manually configure settings (Configurer les rglages manuellement).
7. 8.
Entrez le nom ou ladresse IP du serveur. Choisissez TCP ou TLS. (Contactez votre administrateur Communications Server si vous ne savez pas quelle option choisir.)
9.
Cliquez sur OK lorsque vous avez termin.
10. Cliquez sur Sign-In (Se connecter). Vous pouvez dsormais envoyer des fichiers et des e-mails, chatter en vido ou appeler par tlphone les contacts que vous ajoutez votre liste de contacts.
2011 Apple Inc.
98
Ressources
Pages Man
Pour en savoir plus sur les outils de ligne de commande de services d'annuaire en local, ouvrez Terminal dans /Applications/Utilitaires et entrez man <nom utilitaire> .
Guide de l'administrateur avanc

Des informations complmentaires sont galement disponibles dans le guide Lion Server: administration avance disponible sur http://www.apple.com/fr/server/macosx/resources/ documentation.html.
Modules externes Active Directory tiers

Mme si le module Active Directory intgr OSX Lion est adapt la majorit des cas, certains dploiements peuvent exiger une solution tierce. Si vous devez prendre en charge les stratgies de groupe Active Directory natives, ou si vous ne pouvez pas enrichir votre schma pour les objets de stratgie de groupe propres OSX Lion, des modules tiers peuvent fournir ces fonctionnalits. Centrifyhttp://www.centrify.com/directcontrol/overview.asp ADmitMachttp://www.thursby.com/products/admitmac.html Questhttp://www.quest.com/authentication-services/ Beyondtrust http://www.beyondtrust.com
Solutions DFS tierces

Utiliser un client tiers pour assurer la prise en charge de DFS sur Mac La mise en uvre de DFS sous OSX Lion ne rpond pas forcment aux besoins de tous les environnements rseau. Vous pouvez alors utiliser des clients DFS tiers et les tester pour savoir s'ils prennent en charge des fonctionnalits particulires qui ne sont pas incluses dans OSX Lion. Il existe trois solutions ct client disponibles pour utiliser les partages DFS: DAVE de Thursbyhttp://www.thursby.com DAVE ne dpend pas du client SMB intgr au Finder. Il utilise ses propres navigateur (DAVE Browser), monteur (mount_cifs) et systme de fichiers (cifs.fs) pour parcourir les partages DFS. DAVE est inclus avec AdmitMac de Thursby pour l'authentification Active Directory, mais DAVE ne dpend pas d'AdmitMac et peut tre utilis avec le module Active Directory intgr OSX. Sharityhttp://www.obdev.at/products/sharity/index.html Sharity utilise sa propre interface graphique pour configurer les points de montage, ainsi qu'un dmon qui cre un point de montage DFS virtuel qui monte les volumes lorsque vous parcourez le systme de fichiers DFS virtuel. GroupLogichttp://www.grouplogic.com GroupLogic fournit la rsolution de liens DFS par le biais de la solution de serveur AFP ExtremeZIP. ExtremeZ-IP est excut sur un serveur Windows. L'application DFS client est un widget excut sur le Mac. Le widget rsout les liens DFS en utilisant leur application client pour interroger les services web ExtremeZIP hbergs sur un serveur Windows et fournit des informations de configuration au systme mont sous OSX Lion.
2011 Apple Inc.
99
Ressources de dpannage d'Exchange

Les liens suivants abordent de nombreuses questions souleves lors de l'intgration de Mail, iCal et Carnet d'adresses en environnements Exchange. Prsentation du service de dcouverte automatique: http://technet.microsoft.com/fr-fr/library/bb124251.aspx Configuring DNS to support SRV records (configuration du DNS pour la prise en charge des enregistrements SRV): http://support.microsoft.com/kb/940881 Article de la base de connaissance Apple sur la configuration de la connectivit Exchange: http://support.apple.com/kb/ht3748 Exchange2007: Gestion des limites de taille de message: http://technet.microsoft.com/fr-fr/library/bb124345(EXCHG.80).aspx Exchange2010: Prsentation des limites de taille de message: http://technet.microsoft.com/fr-fr/library/bb124345.aspx Exchange2007: Procdure de gestion de taille de message maximale dans Outlook Web Access: http://technet.microsoft.com/fr-fr/library/aa996835(EXCHG.80).aspx Exchange2010: Configurer la taille de message maximale dans Outlook Web App: http://technet.microsoft.com/fr-fr/library/aa996835.aspx
Informations sur Microsoft Outlook2011

Un certain nombre de ressources complmentaires sont disponibles concernant Outlook. Planning for Outlook for Mac2011 (Prparation pour Outlook pour Mac2011): http://mac2.microsoft.com/help/office/14/en-us/admin/category/ dfc5c83b-92ea-4647-8c43-61a1fcd1fc2d How the Autodiscover service works with Outlook for Mac 2011 (Fonctionnement du service de dcouverte automatique avec Outlook pour Mac2011): http://mac2.microsoft.com/help/office/14/en-us/admin/item/af2a88b0bed1-412f-8304-36b3afbeef5c?category=dfc5c83b-92ea-4647-8c43-61a1fcd1fc2d Turn logging on or off in Outlook for Mac2011 (Activer ou dsactiver la journalisation dans Outlook pour Mac2011): http://mac2.microsoft.com/help/office/14/en-us/admin/item/cc82d660-9a9b-41ab-ab1cb5c5db85e560?category=c9277f2c-d467-450c-8ea5-e1845ee6524a Add support for Information Rights Management into Outlook2011 (Ajouter la prise en charge de la Gestion des droits relatifs l'information Outlook2011): http://go.microsoft.com/fwlink/?LinkId=201940
Microsoft Communications Server

Pour en savoir plus sur Communicator, consultez la page Microsoft Communicator for Mac: http://mac2.microsoft.com/help/office/14/fr-fr/communicator Intgrer iChat avec Microsoft Communications Server. Pour exploiter l'application iChat intgre OSX Lion tout en s'intgrant un environnement Office Communications Suite2007R2 ou Lync Server, il vous suffit d'installer une passerelle XMPP sur le serveur Communications. Pour tlcharger les paquets de services XMPP, voir http://www.microsoft.com/downloads/en/details.aspx? FamilyID=aa560bfe-9960-473a-bfb8-53bff678cec4&displaylang=en.
2011 Apple Inc.
100
Pour en savoir plus sur l'intgration d'une passerelle XMPP, voir le billet de blog de l'employ Microsoft OCS Guy sur le sujet: http://www.ocsguy.com/2010/11/29/deploying-lync-for-xmpp/
Informations sur Microsoft SharePoint

Microsoft a publi un certain nombre de documents qui dcrivent comment utiliser OSX pour se connecter SharePoint via Office pour Mac. Par exemple: Planning to Use Office for Mac2011 with SharePoint (Prparer l'utilisation d'Office pour Mac2011 avec SharePoint): http://mac2.microsoft.com/help/office/14/en-us/admin/category/ a1c9fe4e-7250-458f-8e3b-d102c6bb8c39 How to use Microsoft Document Connection in Office2008 (Utilisation de Microsoft Document Connection avec Office2008): http://support.microsoft.com/kb/2224165
2011 Apple Inc.
101
Annexe
Crer un compte administrateur local la ligne de commande
Diverses tches d'administration des utilisateurs ne sont pas accessibles par le biais de l'interface graphique d'OSX Lion, dont la personnalisation de l'emplacement du rpertoire de dpart d'un utilisateur, l'ajout de noms abrgs supplmentaires, la modification des noms abrgs et l'automatisation du processus de cration de comptes. L'outil de ligne de commande dscl peut servir crer un compte administrateur en local Pour crer un compte admin local la ligne de commande: Lors des tapes suivantes, remplacez pretendcoadmin par un nom abrg rel d'un nouveau compte, et remplacez Administrateur Pretendco par le nom complet du nouveau compte administrateur. 1. Ajoutez le nom d'utilisateur aux donnes de services d'annuaire en local avec la commande suivante:
sudo dscl /Local/Default create /Users/pretendcoadmin
2.
Dfinissez le Shell daccs utiliser. Bash est utilis en standard dans la plupart des environnements OSX Lion:
sudo dscl /Local/Default create /Users/pretendcoadmin UserShell / bin/bash
3.
Dfinissez le nom complet (ou long) du compte utilisateur, en remplaant Administrateur Pretendco par le nom complet du nouvel utilisateur:
sudo dscl /Local/Default create /Users/pretendcoadmin RealName "Administrateur Pretendco"
4.
Rglez l'ID utilisateur (UID) sur une valeur unique. Dans cet exemple, excutez la commande suivante pour rgler l'UID sur 1100. Les utilisateurs suivants devront avoir un UID unique.
sudo dscl /Local/Default create /Users/pretendcoadmin UniqueID 1100
5.
Une fois qu'un UID a t affect au compte, rglez l'ID de groupe (GID) par dfaut avec la commande suivante. Notez que le GID doit tre diffrent des autres GID, mais peut tre identique l'UID dfini l'tape prcdente.
sudo dscl /Local/Default create /Users/pretendcoadmin PrimaryGroupID 1100
6.
Maintenant que l'utilisateur dispose d'un GID, spcifiez le rpertoire de dpart de l'utilisateur avec la commande suivante:
sudo dscl /Local/Default create /Users/pretendcoadmin NFSHomeDirectory /Users/pretendcoadmin
7.
Ajoutez l'utilisateur au groupe admin existant. Si vous convertissez un compte utilisateur existant en compte administrateur, n'utilisez que la commande suivante:
sudo dscl /Local/Default append /Groups/admin GroupMembership pretendcoadmin
2011 Apple Inc.
102
8.
Spcifiez (ou modifiez) le mot de passe de l'utilisateur (sauf si le compte existait dj) avec la commande suivante:
sudo dscl . -passwd /Users/pretendcoadmin
Vous pouvez aussi inclure le mot de passe la fin de la commande, comme suit:
sudo dscl . -passwd /Users/pretendcoadmin nouveaumotdepasse
Si vous crez un script shell partir de ces commandes, invitez l'utilisateur saisir le mot de passe dans le script, puis utilisez la valeur saisie ou fournissez un fichier de hachage. Dans le cas contraire, le mot de passe serait visible par toute personne sachant modifier un script. Remarque: si vous comptez utiliser ce compte pour autre chose que des tches d'administration standard, vous devez renseigner d'autres attributs. Dans le cas prsent, vous n'utilisez qu'un ensemble limit d'attributs puisque le compte n'a pas vocation tre pleinement utilis.
Masquer un compte local

Dans de nombreux environnements, vous souhaiterez masquer le compte administrateur local. Cela permet d'empcher les utilisateurs de supprimer le compte ou de tenter de renforcer leurs droits en utilisant l'UID du compte. Pour masquer le nouveau compte administrateur, veillez d'abord attribuer un attribut UID infrieur 600 qui n'est pas attribu par l'interface utilisateur. Les ID entre 500 et 599 doivent tre disponibles. Excutez ensuite la commande suivante dans Terminal:
defaults write /Library/Preferences/com.apple.loginwindow Hide500Users -bool YES
Connectez-vous et vrifiez ensuite que le compte n'apparat pas dans le volet Utilisateurs et groupes des Prfrences Systme. Remarque: lors de l'utilisation de comptes administrateur en local masqus, la saisie d'identifiants l'ouverture de session est autorise par dfaut (en plus d'une simple liste d'utilisateurs). Il s'agit du comportement par dfaut d'OSX Lion lorsqu'il existe des comptes pouvant s'authentifier, mais qui ne sont pas affichs dans la fentre d'ouverture de session.
2011 Apple Inc.
103
Modifier le compte administrateur local

La modification la plus courante d'un compte administrateur local consiste changer le mot de passe de l'utilisateur. Utilisez la commande dscl avec l'option passwd. Dans l'exemple suivant, l'option -passwd est utilise pour modifier le mot de passe du compte administrateur pretendco.
dscl . -passwd /Users/pretendcoadmin
En outre, vous pouvez modifier d'autres lments, comme le rpertoire de dpart ou le Nom rel l'aide d'options dscl.
Imbriquer les admin rseau dans un groupe administrateur local

Si les quipes d'assistance de votre organisation n'ont pas accs aux comptes de service en local, et que vous souhaitez que certaines personnes puissent administrer des rglages locaux, installer des logiciels et effectuer des tches de maintenance sur le client, vous pouvez leur donner des droits d'administration en local par le biais de groupes d'administrateurs imbriqus. Pour ce faire, utilisez la commande dseditgroup pour imbriquer un groupe rseau dans le groupe administrateur local. Pour imbriquer un groupe rseau Active Directory dans le groupe administrateur en local: 1. Avant d'imbriquer le groupe Active Directory, vrifiez qu'il est rsolu correctement sur le client. Utilisez la commande dseditgroup suivante pour rsoudre l'appartenance au groupe:
dseditgroup -o read <nom du groupe active directory>
L'option -o read est une commande qui effectue une opration de lecture sur le groupe spcifi. Ds lors, lorsque vous excutez la commande dseditgroup -o read mac_admins, vous devez obtenir le rsultat suivant:
27 attribute(s) found ... Attribute[5] is <dsAttrTypeNative:member> Value[1] <CN=Ken Weaver,CN=Users,DC=pretendco,DC=com> Value[2] <CN=Gary Dunn,CN=Users,DC=pretendco,DC=com> ...
Comme vous pouvez le constater, la section member dresse la liste des membres du groupe. Si vous n'obtenez pas le rsultat escompt, vrifiez que vous tes reli un service d'annuaire et que le groupe Active Directory existe bien. 2. Vrifiez qu'OSX Lion peut rsoudre l'appartenance au groupe pour le groupe concern. Utilisez la commande id pour voir les groupes auxquels un utilisateur appartient:
id <nom abrg>
Si vous excutez la commande id jkaiser (et ds lors que jkaiser appartient un groupe d'administrateurs), vous devez obtenir les informations suivantes:
uid=142413031(jkaiser) gid=63826092(pretendco\domain users) groups=63826092(pretendco\domain users), 103(com.apple.sharepoint.group.3),104(com.apple.sharepoint.group. 4),98(_lpadmin),1166270692(pretendco\mac_admins), 102(com.apple.sharepoint.group.2),101(com.apple.sharepoint.group. 1),80(admin),20(staff)
2011 Apple Inc.
104
3.
Pour imbriquer le groupe Active Directory, utilisez dseditgroup avec l'option -o edit (option de modification), l'option -a suivie du nom de groupe Active Directory concern, l'option -t suivie du groupe (qui spcifie que le type ajouter est un groupe) et l'option -n suivie de /Local/Default, qui spcifie l'ajout au service d'annuaire en local.
sudo dseditgroup -o edit -a <nom du groupe> -t group -n /Local/Default admin
Voici un exemple qui utilise la syntaxe ci-dessus:

sudo dseditgroup -o edit -a mac_admins -t group -n /Local/Default admin
Vous pouvez ignorer tout message concernant la mise jour du groupe. Remarque: vous pouvez galement ajouter un utilisateur rseau au groupe admin avec la mme commande en modifiant le type.
sudo dseditgroup -o edit -a <nom de l'utilisateur rseau> -t user -n /Local/Default admin
Remarque: en associant cette commande aux comptes mobiles (mis en cache), vous pouvez accorder un utilisateur des droits d'administrateur sur son ordinateur local, tout en exploitant les rgles de mot de passe gres par Active Directory. 4. Pour vrifier que l'utilisateur imbriqu est dsormais un administrateur en local, ouvrez le volet Utilisateurs et groupes de Prfrences Systme et dverrouillez-le avec un compte utilisateur qui appartient au groupe imbriqu. Si le dverrouillage fonctionne, cela signifie que l'utilisateur est dsormais un administrateur local. Remarque: sudo, l'outil de ligne de commande qui sert excuter les commandes en tant qu'utilisateur root, ne reconnat pas les groupes imbriqus. Si vous souhaitez que les comptes administrateur imbriqus puisent utiliser la commande sudo, vous devez modifier le fichier /etc/sudoers. Reprez la section sur les privilges utilisateur dans ce fichier:
# User privilege specification root ALL=(ALL) ALL %admin ALL=(ALL) ALL1
Puis ajoutez-y %<AD nom du groupe> ALL=(ALL) ALL. Par exemple:

# User privilege specification root ALL=(ALL) ALL %admin ALL=(ALL) ALL %mac_admins ALL=(ALL) ALL
Crer un compte administrateur local avec un paquet ou un script

Le compte administrateur local peut galement tre cr avec un script, qui peut tre plac dans un paquet. Le processus peut ainsi tre automatis. Toutefois, dans le cadre de cet exemple, vous allez crer le compte administrateur avec un simple script shell, dot d'une extension .bash. Pour crer un compte administrateur en local avec un script shell: 1. 2. Ouvrez Terminal dans /Applications/Utilitaires. Crez un fichier nomm createuser.bash avec la commande touch.
touch createuser.bash
2011 Apple Inc.
105
3.
Collez-y le texte suivant:

#!/bin/bash dscl . -create dscl . -create dscl . -create dscl . -create dscl . -create dscl . -create dscl . -create ';ShadowHash;' /Users/hidden /Users/hidden /Users/hidden /Users/hidden /Users/hidden /Users/hidden /Users/hidden
NFSHomeDirectory /Users/hidden RealName "Hidden Admin" PrimaryGroupID 499 UserShell /bin/bash UniqueID 499 AuthenticationAuthority
Chaque ligne du script utilise dscl (directory services command line) pour crer le compte utilisateur et les attributs du compte. 4. Puisqu'aucun mot de passe n'a encore t affect au compte, slectionnez parmi trois manires de fournir un mot de passe au nouvel utilisateur. La premire mthode consiste intgrer le mot de passe dans le script, en clair. Le dmon services d'annuaire doit alors dj tre lanc lorsque le script est excut. Pour ce faire, ajoutez la ligne suivante la fin du script ci-dessus:
dscl . -passwd /Users/hidden 'monmotdepasse'
La seconde mthode, plus sure, consiste crer pralablement un hachage SHA1 et l'intgrer sous forme de fichier dans votre paquet. Vous devez alors coder en dur la valeur GeneratedUID qui est gnralement cre automatiquement la cration du compte avec l'itration standard de dscl. La mthode la plus simple consiste crer un utilisateur et gnrer un mot de passe de la manire dcrite dans la suite de ce script. Ajoutez ensuite un paquet le fichier plist correspondant l'utilisateur ainsi que le fichier de mot de passe chiffr gnr, et envoyez le tout au poste local, en spcifiant l'attribut GeneratedUID avec dscl. Par exemple, si la valeur de GeneratedUID est 000-000-000 dans un compte cr, la commande suivante ajoute en fin de script cre le GeneratedUID:
dscl . -create /Users/hidden GeneratedUID 000-000-000
Remarque : en cas de besoin, vous pouvez galement exploiter des scripts pour crer un hachage SHA1 pour le mot de passe.
Liaison Open Directory la ligne de commande

Pour tablir la liaison un environnement Open Directory depuis la ligne de commande, utilisez la commande dsconfigldap. Les ordinateurs quips d'OSX 10.6 ou d'une version antrieure doivent galement utiliser dscl pour personnaliser la rgle de recherche. Pour tablir la liaison Open Directory depuis la ligne de commande:
1.
Ouvrez Terminal dans /Applications/Utilitaires. Puis tapez:

dsconfigldap -a server.pretendco.com -u diradmin -p motdepasseldap -l admin -q motdepasselocal
Dans l'exemple ci-dessus, diradmin est le nom d'utilisateur du compte administrateur LDAP dot du mot de passe motdepasseldap, et admin est le nom de l'utilisateur administrateur en local dot du mot de passe motdepasselocal.
2011 Apple Inc.
106
2.
Pour inclure d'autres informations la commande, utilisez les options suivantes:

-f -v -i -x -s -g -m -e -h appliquer les liaisons/ruptures de liaisons authentifies journalisation maximale vers stdout demander les mots de passe si ncessaire choisir une connexion SSL appliquer l'authentification scurise seulement appliquer la rgle de scurit de signature des paquets appliquer la rgle de scurit contre l'interception d'identifiants appliquer la rgle de scurit de chiffrement afficher la dclaration d'utilisation
Les paramtres suivants sont requis pour l'automatisation du processus dans les prochains modules:
-a nomserveur -r nomserveur -n nomconfig -c idordinateur -u nomutilisateur -p motdepasse -l nomutilisateur -q motdepasse ajouter la config de nomserveur supprimer la config de nomserveur nom donn la config de serveur LDAP nom utilis en cas de liaison l'annuaire nom d'utilisateur rseau privilgi mot de passe d'utilisateur rseau privilgi nom d'utilisateur de l'admin local mot de passe de l'admin local
2011 Apple Inc.
107
3.
La commande suivante tablit la liaison au service d'annuaire avec un nom d'utilisateur pour le client en local et le service d'annuaire. Le serveur est dfini avec l'option -a suivie du nom du serveur (server.pretendco.com). L'utilisateur administrateur du serveur utilis pour tablir la liaison est dfini avec l'option -u, suivie de diradmin, l'utilisateur du serveur qui dispose des droits concerns.
dsconfigldap -a server.pretendco.com -l admin -q monmotdepasse -u diradmin -p monmotdepasseOD
4.
dsconfigldap ajoute par dfaut le client au chemin de recherche. Vous pouvez galement le faire manuellement (obligatoire sous OSX 10.5 et les versions antrieures). Pour ce faire, ajoutez le magasin Open Directory au chemin de recherche, et rglez le chemin de recherche sur personnalis pour que l'ordinateur puisse s'authentifier auprs de l'annuaire. Pour rgler le chemin de recherche sur personnalis, utilisez la commande suivante:
sudo dscl /Search -change / SearchPolicy dsAttrTypeStandard:LSPSearchPath dsAttrTypeStandard:CSPSearchPath
5.
Pour dfinir le troisime lment du chemin de recherche, utilisez la commande suivante:

sudo dscl /Search -append / CSPSearchPath /LDAPv3/ server.pretendco.com
6.
Pour relier la nouvelle instance LDAP, sans l'ajouter, au chemin de recherche sous OSX Lion, utilisez l'oprateur -S avec la commande dsconfigldap.
Liaison Open Directory avec un script post-installation

L'automatisation de la liaison Open Directory est relativement simple. Excutez tout simplement la squence de commandes de liaison au sein d'un fichier. Dans le cadre de cet exemple, crez d'abord un fichier nomm ldapbind.bash avec la commande touch, sans options.
touch ldapbind.bash
Collez les commandes suivantes dans le fichier ldapbind.bash pour automatiser la liaison. Dans cet exemple, le nom d'utilisateur Open Directory est diradmin et le mot de passe est monmotdepasse.
#!/bin/bash dsconfigldap -a server.pretendco.com -n server.pretendco.com -u diradmin -p monmotdepasse
Ou collez les commandes suivantes dans le fichier ldapbind.bash pour une liaison sans authentification.
#!/bin/bash dsconfigldap -a server.pretendco.com dscl /Search -change / SearchPolicy dsAttrTypeStandard:LSPSearchPath dsAttrTypeStandard:CSPSearchPath sudo dscl /Search -append / CSPSearchPath /LDAPv3/server.pretendco.com
Pour certains environnements plus complexes, vous devrez personnaliser le script dsconfigldap avec d'autres options pour spcifier des lments comme les noms et mots de passe administrateur en local, les paramtres SSL et de signature de paquets.
2011 Apple Inc.
108
Lors de l'tablissement d'une liaison de confiance avec un mot de passe inclus dans le script, utilisez un script qui s'autodtruira pour plus de scurit. Ajoutez une ligne la fin du script qui excute une commande srm (secure erase) pour effacer le script de manire scurise une fois son excution termine. Ou intgrez une image une tche launchd qui s'excute au dmarrage et qui se supprime de launchd une fois l'excution termine l'aide de la mme commande srm.
Liaison Active Directory la ligne de commande

La liaison Active Directory peut tre tablie avec le module Active Directory depuis la ligne de commande. La commande dsconfigad est utilise cette fin. Toutes les options de l'interface graphique dcrites plus haut sont disponibles la ligne de commande et nous ne les reprendrons donc pas ici. Pour une utilisation de base de la commande dsconfigad, il suffit d'inclure un nom d'ordinateur, un nom de domaine et les identifiants pour le nom de domaine. Dans le scnario suivant, vous effectuez des oprations quivalentes celles que vous avez effectues avec l'interface graphique, sauf que vous utilisez l'application Terminal (situe dans /Applications/Utilitaires).
dsconfigad -f -a mycomputername -u domainadmin -p domainadminspassword -domain mydomain.com
Pour configurer le rpertoire de dpart mobile pour que le compte Active Directory existe sur l'ordinateur local, ajoutez l'attribut -mobile la fin de la commande dsconfigad avec l'option enable comme suit:
dsconfigad -f -a mycomputername -u domainadmin -p domainadminspassword -domain mydomain.com -mobile enable
Voici les autres options dsconfigad disponibles, classes par type.
2011 Apple Inc.
109
Options de base, frquemment utilises

-computer idordinateur -force -remove -localuser nomutilisateur -localpassword motdepasse -username nomutilisateur -password motdepasse -ou dn nom de l'ordinateur ajouter au domaine appliquer le processus (relier/supprimer le compte existant) supprimer un ordinateur du domaine nom d'utilisateur d'un utilisateur local privilgi mot de passe d'un utilisateur local privilgi nom d'utilisateur d'un utilisateur rseau privilgi mot de passe d'un utilisateur rseau privilgi nom de domaine LDAP intgralement qualifi du conteneur pour l'ordinateur (CN=Computers par dfaut) nom de DNS intgralement qualifi du domaine Active Directory afficher la configuration Active Directory actuelle
-domain fqdn -show
Options avances, exprience utilisateur

-mobile drapeau -mobileconfirm -localhome drapeau enable ou disable (activer ou dsactiver) les comptes mobiles pour une utilisation hors ligne enable ou disable (activer ou dsactiver) l'alerte de cration de comptes mobiles enable ou disable (activer ou dsactiver) l'application du rpertoire de dpart sur le disque local enable ou disable (activer ou dsactiver) l'utilisation de Windows UNC pour les rpertoires de dpart en rseau afp ou smb pour changer le protocole utilis lors du montage du rpertoire de dpart none pour aucun shell ou spcifier un shell par dfaut /bin/bash
-useuncpath drapeau -protocol type -shell valeur
Options avances, mappages

-uid attribut -nouid -gid attribut -nogid nom de l'attribut utiliser dans le champ uid UNIX gnrer l'UID partir du GUID Active Directory nom de l'attribut utiliser dans le champ gid UNIX gnrer le GID partir de l'information Active Directory
2011 Apple Inc.
110
-ggid attribut -noggid -authority enable ou disable
nom de l'attribut utiliser dans le champ gid de groupe UNIX gnrer le GID de groupe partir du GUID Active Directory active ou dsactive la cration de l'autorit Kerberos
Options avances, administration

-preferred serveur -nopreferred -groups "1,2,..." -nogroups -alldomains drapeau -packetsign drapeau -packetencrypt drapeau -namespace drapeau -passinterval jours -restrictDDNS nom de domaine intgralement qualifi du serveur privilgi interroger ne pas utiliser de serveur privilgi pour les requtes liste de groupes qui reoivent des droits d'admin sur le poste local dsactiver l'utilisation de groupes pour accorder les droits d'admin enable ou disable (activer ou dsactiver) l'autorisation d'authentification depuis n'importe quel domaine disable allow ou require (dsactiver, autoriser ou , exiger) la signature de paquets disable allow require ou ssl (dsactiver, , , autoriser, exiger ou ssl) le chiffrement des paquets forest ou domain, o forest qualifie tous les noms d'utilisateurs frquence de modification du mot de passe du compte autoris, en jours dsactive la cration d'un enregistrement de DNS dynamique en environnement DNS avec intgration Active Directory
Liaison Active Directory avec un script

Maintenant que vous avez tabli la liaison depuis la ligne de commande, vous pouvez automatiser le processus de manire relativement simple. Pour automatiser la liaison Active Directory, crez un simple script de la manire suivante. (Remarque: remplacez les informations entre crochets <> avec les informations correspondantes pour votre environnement.)
#!/bin/bash dsconfigad -a <nomordinateur> -u <utilisateurliaison> -p <motdepasse> -domain <domaine> exit 0
Votre environnement sera gnralement plus complexe et vous devrez donc personnaliser le script dsconfigldap avec d'autres attributs, pour dcrire des lments comme le nom et le mot de passe des utilisateurs administrateur.
2011 Apple Inc.
111
Liaison Active Directory avec un script post-installation

Pour utiliser un script de liaison Active Directory au sein d'une tche post-installation lors du dploiement d'une image, vous disposez de deux options: excuter le script au dmarrage ou le placer dans un paquet et l'ajouter votre scnario de dploiement. Quelle que soit l'option choisie, vous pouvez configurer le script pour qu'il se supprime automatiquement. Dans le cadre de ce module, nous allons placer le script dans le rpertoire /Bibliothque/StartupItems et le nommer adbind.bash. 1. 2. 3. Utilisez la commande suivante pour crer le script:
touch /Library/StartupItems/adbind/adbind.bash
Ouvrez le nouveau script shell vide dans votre diteur de texte prfr et collez-y le script prcdemment cr. Une fois le script insr, ajouter une ligne la fin pour supprimer le script et, le cas chant, fournir un code de sortie. Voici le script complet:
#!/bin/bash ipconfig waitall dsconfigad -a <nomordinateur> -u <utilisateurliaison> -p <motdepasse> -domain <domaine> sleep 15 srm $0 /Library/StartupItems/adbind/adbind.bash exit 0
Mapper les UID, GID utilisateur et GID de groupe avec dsconfigad

Pour mapper l'UID, le GID utilisateur et le GID de groupe, utilisez la commande dsconfigad avec les options -uid, -gid et -ggid. Vous pouvez galement utiliser les options -lu et lp pour ajouter le nom d'utilisateur et mot de passe de l'utilisateur local la commande. Voici la structure qu'il convient d'utiliser:
dsconfigad -gid <mappage gid> [-lu nomutilsateur] [-lp motdepasse]
Dans cet exemple, vous allez mapper l'uid au uidNumber d'Active Directory. Excutez la commande suivante:
dsconfigad -uid uidNumber
Prise en charge des espaces de noms avec dsconfigad

Bien qu'il ne s'agisse pas d'une configuration recommande, Active Directory permet de spcifier plusieurs comptes ayant le mme nom d'utilisateur, ds lors qu'ils se situent dans diffrents domaines de la mme fort. Toutefois, cela peut entraner des collisions d'espaces de noms sur les clients OSX. Pour viter cela, le module Active Directory vous permet de dfinir indpendamment la fort et le domaine, et ainsi de spcifier le domaine d'une fort auprs duquel l'authentification est effectue. Vous pouvez aussi utiliser dsconfigad pour obtenir le mme rsultat, mais en effectuant l'authentification auprs de plusieurs domaines d'une mme fort en ajoutant le nom de domaine aux identifiants d'ouverture de session. Dans ce module, utilisez la commande dsconfigad pour spcifier un domaine et une fort. Par dfaut, dsconfigad part du principe que le nom de la fort est identique au nom de domaine, ou n'authentifie les utilisateurs qu'auprs du domaine dfini au moment de la liaison. Pour permettre la connexion plusieurs domaines d'une mme fort, utilisez le drapeau -namespace. Le drapeau -namespace ajoute le nom de domaine en tant que prfixe tous les comptes de la fort. Les conflits de comptes en double provenant de domaines diffrents sont grs en reliant chaque ordinateur au domaine qui hberge votre compte.
2011 Apple Inc.
112
Exemple de commande pour activer l'utilisation des espaces de nom avec le drapeau -namespace.
dsconfigad -namespace forest
Remarque: il n'est pas ncessaire de rompre puis de rtablir la liaison pour modifier ces rglages. Ils s'appliquent tous les utilisateurs d'un Mac sur lequel cette commande est excute. Une fois la commande excute, prcdez le nom d'utilisateur du nom de domaine l'authentification. Si vous souhaitez basculer vers l'espace de noms d'un domaine, vous pouvez spcifier le drapeau -namespace avec le domaine en tant qu'attribut. Pour rtablir l'espace de noms, utilisez la commande suivante:
dsconfigad -namespace forest
Remarque: le drapeau -namespace modifie l'ID principal de tous les comptes. Ds lors, tout profil utilisateur du domaine Active Directory sur chaque ordinateur client doit tre copi ou dplac dans le nouveau profil qui est cr.
Grer les certificats la ligne de commande

Pour importer des certificats la ligne de commande, utilisez la commande security. La commande security offre de nombreuses fonctionnalits disponibles dans Trousseaux d'accs, dont l'importation et l'exportation de certificats. Pour importer un certificat, utilisez la commande security avec l'option import. Exemple d'importation d'un certificat:
security import ~/Desktop/pretendco.p12 -f pkcs12
Pour autoriser ce mme certificat:

security add-trusted-cert -d ~/Desktop/pretendco.p12
Pour l'ajouter au trousseau Systme afin que tous les utilisateurs puissent y accder:
sudo security add-certificate -k /Library/Keychains/System.keychain ~/ Desktop/pretendco.p12
La commande openssl permet de tester la connectivit avec un serveur qui exige le certificat:
openssl s_client -connect pretendco.com:389
Une fois que vous avez vrifi que le certificat est oprationnel, utilisez dsconfigad pour rgler l'option -packetencrypt sur ssl:
dsconfigad -packetencrypt ssl
Ignorer l'autorisation Par dfaut, OSX Lion exige l'autorisation d'un certificat obtenu auprs d'un contrleur de domaine. Pour modifier cette rgle, vous pouvez configurer le fichier ldap.conf. Pour dsactiver la vrification de certificats, modifiez la valeur TLSR_EQCERT en modifiant le fichier /etc/openldap/ldap.conf, et en remplaant la valeur demand de TLS_REQCERT par never. Voici les rglages par dfaut:
#SIZELIMIT #TIMELIMIT #DEREF TLS_REQCERT 12 15 never demand
Et voici les rglages aprs modification:
2011 Apple Inc.
113
#SIZELIMIT #TIMELIMIT #DEREF TLS_REQCERT
12 15 never never
Modifier le mot de passe Active Directory sur l'ordinateur

Le module Active Directory intgr OSX Lion permet la modification des mots de passe d'autorisation pour les comptes Active Directory sur les ordinateurs relis des domaines Active Directory via dsconfigad. Ce module prsente la configuration d'un poste pour la rotation automatique du compte de confiance d'ordinateur selon un horaire personnalis. La dure par dfaut d'un mot de passe de compte de confiance est de 14jours. La frquence de modification est dfinie avec le drapeau -passinterval suivi du nombre de jours entre chaque modification. Pour configurer une dure de mot de passe de 7jours plutt que de 14jours, utilisez la commande suivante:
dsconfigad -passinterval 7
L'option -passinterval doit tre dfinie aprs la liaison.
Afficher DFS avec smbutil

Le dpannage de problmes de connectivit DFS peut s'avrer difficile, ds lors que les partages racine sont masqus par une couche de virtualisation. Pour simplifier la rsolution de problmes lis DFS et aider les administrateurs rseau configurer l'exprience utilisateur partir de scripts, OSX Lion intgre l'outil smbutil. Comme son nom l'implique, smbutil sert communiquer avec les serveurs SMB. smbutil est souvent utilis pour afficher toutes les rfrences fournies par un hte donn. Pour savoir si un serveur fournit des rfrences DFS, utilisez l'option dfs avec smbutil, suivie du chemin du serveur. Par exemple, pour test.pretendco.com, utilisez: smbutil dfs smb://test.pretendco.com Le rsultat affiche le nom complet du serveur (le nom prcd du nom d'hte). Le rsultat contient galement le nom de domaine sur une seule ligne. En ajoutant chaque section d'un chemin DFS la chane de connexion, vous pouvez obtenir des informations complmentaires sur la section concerne de la racine DFS. Le serveur prcdent est un serveur de rpertoire de dpart mobile. Il dispose donc d'un partage appel HomeDirectories. La commande smbutil dfs smb:// test.pretendco.com/DFS affiche les chemins et rfrences pour chaque partage appartenant un serveur d'espace de noms que nous avons nomm DFS (comme dans l'exemple suivant): Referral requested: /WIN-MIE2GCGNMU0.test.pretendco.com/DFS list item 1 : Path: /WIN-MIE2GCGNMU0.test.pretendco.com/DFS list item 1 : Network Address: /WIN-MIE2GCGNMU0/DFS list item 1 : New Referral: /WIN-MIE2GCGNMU0/DFS Pour afficher les rfrences disponibles pour chaque espace de nom inclus: smbutil dfs smb://test.pretendco.com/DFS/HomeDirectories Les donnes en sortie se terminent par plusieurs lignes qui comportent des informations sur les rfrences:
2011 Apple Inc.
114
Referral requested: /WIN-MIE2GCGNMU0.test.pretendco.com/DFS/ HomeDirectories list item 1 : Path: /WIN-MIE2GCGNMU0.test.pretendco.com/DFS/ HomeDirectories list item 1 : Network Address: /WIN-MIE2GCGNMU0/DFS/ HomeDirectories list item 1 : New Referral: /WIN-MIE2GCGNMU02/DFS/ HomeDirectories list item 1 : New Referral: /WIN-MIE2GCGNMU03/DFS/ HomeDirectories list item 1 : New Referral: /WIN-MIE2GCGNMU04/DFS/ HomeDirectories des fins de test, vous pouvez galement ajouter le nom et le mot de passe utilisateur aux options smbutil. C'est le cas dans l'exemple suivant, o testuser est le nom d'utilisateur Active Directory et testpassword est son mot de passe. smbutil dfs smb://testuser:testpassword@test.pretendco.com/DFS/ HomeDirectories
2011 Apple Inc.
115

L426750a FR

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

L426750a FR

Încărcat de

Drepturi de autor:

Formate disponibile

OS X Lion Formation technique: intgration

Guide de configuration informatique: valuation pour votre Mac (Version 4.0)

OS X Lion - Formation technique : intgration

Table des matires

Services dannuaire .....................................................2

2011 Apple Inc.

Document confidentiel Apple usage interne et partenaires uniquement

OS X Lion - Formation technique : intgration

2011 Apple Inc.

Document confidentiel Apple usage interne et partenaires uniquement

OS X - Formation technique : intgration

2011 Apple Inc.

Document confidentiel Apple usage interne et partenaires uniquement

OS X - Formation technique : intgration

Services dannuaire en local

2011 Apple Inc.

Document confidentiel Apple usage interne et partenaires uniquement

OS X - Formation technique : intgration

services d'annuaire. dseditgroupModifier les informations d'adhsion aux groupes.

Crer un compte administrateur en local

Crer un compte administrateur en local avec Prfrences Systme

2011 Apple Inc.

Document confidentiel Apple usage interne et partenaires uniquement

OS X - Formation technique : intgration

Cliquez sur le bouton Ajouter (+) dans le coin infrieur gauche.

2011 Apple Inc.

Document confidentiel Apple usage interne et partenaires uniquement

OS X - Formation technique : intgration

Configurer un matre Open Directory

2011 Apple Inc.

Document confidentiel Apple usage interne et partenaires uniquement

OS X - Formation technique : intgration

Cochez la case Open Directory et cliquez sur Enregistrer.

2011 Apple Inc.

Document confidentiel Apple usage interne et partenaires uniquement

OS X - Formation technique : intgration

2011 Apple Inc.

Document confidentiel Apple usage interne et partenaires uniquement

OS X - Formation technique : intgration

2011 Apple Inc.

Document confidentiel Apple usage interne et partenaires uniquement

OS X - Formation technique : intgration

2011 Apple Inc.

Document confidentiel Apple usage interne et partenaires uniquement

OS X - Formation technique : intgration

2011 Apple Inc.

Document confidentiel Apple usage interne et partenaires uniquement

OS X - Formation technique : intgration

Prparer la liaison Open Directory

2011 Apple Inc.

Document confidentiel Apple usage interne et partenaires uniquement

OS X - Formation technique : intgration

Liaison Open Directory avec le volet Utilisateurs et groupes de Prfrences Systme

2011 Apple Inc.

Document confidentiel Apple usage interne et partenaires uniquement

OS X - Formation technique : intgration

2011 Apple Inc.

Document confidentiel Apple usage interne et partenaires uniquement

OS X - Formation technique : intgration

10. Cliquez sur Continuer.

2011 Apple Inc.

Document confidentiel Apple usage interne et partenaires uniquement

OS X - Formation technique : intgration