▼
Scroll to page 2
of
159
Mac OS X Server Administration des services de fichiers Pour Leopard version 10.5 K Apple Inc. © 2007 Apple Inc. Tous droits réservés. Le propriétaire ou l’utilisateur autorisé d’un exemplaire enregistré du logiciel Mac OS X Server peut reproduire cette publication aux fins d’apprentissage du logiciel. Cette publication ne peut être reproduite ou transmise en tout ou partie à des fins commerciales, comme la vente de copies de cette publication ou la fourniture d’un service d’assistance payant. Tous les efforts nécessaires ont été mis en œuvre pour que les informations contenues dans ce manuel soient les plus exactes possibles. Apple n’est pas responsable des erreurs d’écriture et d’impression. Apple 1 Infinite Loop Cupertino CA 95014-2084 www.apple.com Le logo Apple est une marque d’Apple Inc., déposée aux États-Unis et dans d’autres pays. En l’absence du consentement écrit d’Apple, l’utilisation à des fins commerciales de ce logo via le clavier (Option + 1) pourra constituer un acte de contrefaçon et/ou de concurrence déloyale. Apple, le logo Apple, AppleShare, AppleTalk, Bonjour, ColorSync, Mac, Macintosh, QuickTime, Xgrid, Xsan et Xserve sont des marques d’Apple Inc. déposées aux États-Unis et dans d’autres pays. Finder et Spotlight sont des marques d’Apple Inc. Adobe et PostScript sont des marques d’Adobe Systems Incorporated. UNIX est une marque déposée du groupe Open. Les autres noms de sociétés et de produits mentionnés ici sont des marques de leurs détenteurs respectifs. La mention de produits tiers n’est effectuée qu’à des fins informatives et ne constitue en aucun cas une approbation ni une recommandation. Apple ne se porte pas garant de ces produits et décline toute responsabilité quant à leur utilisation et à leur fonctionnement. F019-0933/01-09-2007 1 Table des matières Préface 9 9 10 10 11 12 13 13 14 À propos de ce guide Nouveautés des services de fichiers Contenu de ce guide Utilisation de l’aide à l’écran Guides d’administration de Mac OS X Server Affichage des guides PDF à l’écran Impression des guides PDF Obtenir des mises à jour de documentation Pour obtenir des informations supplémentaires Chapitre 1 15 15 16 16 17 17 17 17 Présentation des services de fichiers Vue d’ensemble du protocole Comparaison des protocoles Comparaison de la sécurité des protocoles Planification de déploiement Détermination du protocole le mieux adapté à vos besoins Détermination de la configuration matérielle requise la mieux adaptée à vos besoins Planification des interruptions de service et des basculements Chapitre 2 19 19 20 20 22 25 25 25 26 26 29 30 32 33 Configuration des autorisations de services de fichiers Autorisations dans l’environnement Mac OS X Types d’autorisations Autorisations standard Listes de contrôle d’accès (ACL) Formats de volume et protocoles pris en charge Entrées de contrôle d’accès (ACE) Ce qui est stocké une entrée de contrôle d’accès Entrées de contrôle d’accès explicites et héritées Comprendre l’héritage Règles de priorité Astuces et conseils Configurations de dossiers communs Contrôle d’accès aux services de fichiers 3 Chapitre 3 4 34 34 34 34 34 35 35 35 Personnalisation des ressources réseau partagées Points de partage du dossier Réseau Ajout de ressources système au dossier Bibliothèque du dossier Réseau Observations sur la sécurité Restriction de l’accès aux services de fichiers Restriction de l’accès à Tous Restriction de l’accès aux points de partage NFS Restriction de l’accès des invités 37 37 38 38 38 39 39 40 41 41 41 41 42 42 43 45 46 47 48 50 51 52 52 53 53 54 54 55 61 62 62 63 64 65 Configuration de points de partage Points de partage et dossier réseau de Mac OS X Montage automatique Points de partage et dossiers de départ réseau Présentation générale de la configuration Avant de configurer un point de partage Privilèges client Protocoles de partage de fichiers Organisation des informations partagées Sécurité Dossiers de départ réseau Quotas de disque Configuration d’un point de partage Création d’un point de partage Configuration des privilèges Modification des réglages AFP d’un point de partage Modification des réglages SMB d’un point de partage Modification des réglages FTP d’un point de partage Exportation d’un point de partage NFS Nouveau partage de montages NFS en tant que points de partage AFP Montage automatique de points de partage pour les clients Gestion des points de partage Vérification de l’état du partage de fichiers Désactivation d’un point de partage Désactivation du protocole d’un point de partage Affichage de la configuration des points de partage et des réglages des protocoles Affichage du contenu et des privilèges des points de partage Gestion des privilèges d’accès de points de partage Modification des protocoles utilisés par un point de partage Modification de l’accès client à un point de partage NFS Activation de l’accès comme invité à un point de partage Configuration d’une boîte de dépôt Configuration d’une bibliothèque de réseau Utilisation de Mac OS X Server pour le stockage NAS Table des matières Chapitre 4 67 68 69 69 69 70 Configuration de Spotlight pour les points de partage Configuration de la destination de sauvegarde Time Machine Contrôle des quotas de point de partage Définition d’autorisations de liste SACL Définition d’autorisations de liste SACL pour les Utilisateurs et groupes Définition d’autorisations de liste SACL pour les administrateurs 71 71 72 72 72 72 73 73 74 74 75 76 77 78 79 79 80 80 81 81 82 83 83 84 85 86 86 87 87 88 88 88 89 91 Utilisation du service AFP Authentification Kerberos Reconnexion automatique Recherche de contenu Prise en charge d’AppleTalk Spécifications du service AFP Présentation générale de la configuration Activation du service AFP Configuration du service AFP Configuration des réglages Général Configuration des réglages d’accès Configuration des réglages de journalisation Configuration des réglages des utilisateurs inactifs Démarrage du service AFP Gestion du service AFP Vérification de l’état du service AFP Affichage des historiques du service AFP Affichage des graphiques AFP Affichage des connexions AFP Arrêt du service AFP Activation de la navigation Bonjour Limitation des connexions Conservation d’un historique des accès Déconnexion d’un utilisateur Déconnexion automatique des utilisateurs inactifs Envoi d’un message à un utilisateur Activation de l’accès comme invité Création d’un message d’accueil à l’ouverture de session Intégration d’Active Directory et des services AFP Prise en charge des clients AFP Clients Mac OS X Connexion au serveur AFP dans Mac OS X Modification du nom d’utilisateur par défaut pour les connexions AFP Configuration d’un client Mac OS X pour le montage automatique d’un point de partage Connexion au serveur AFP à partir des clients Mac OS 8 et Mac OS 9 91 Table des matières 5 92 6 92 93 96 97 97 98 98 99 100 100 101 Configuration d’un client Mac OS 8 ou Mac OS 9 en vue du montage automatique d’un point de partage Configuration du basculement IP Vue d’ensemble du basculement IP Acquisition d’une adresse maître — Chaîne d’événements Libération d’une adresse maître — Chaîne d’événements Configuration du basculement IP Connexion des serveurs maître et de sauvegarde au même réseau Connexion des serveurs maître et de sauvegarde entre eux Configuration du serveur maître pour le basculement IP Configuration du serveur de sauvegarde pour le basculement IP Configuration de la clé de serveur de reconnexion AFP Consultation de l’historique Basculement IP Chapitre 5 103 103 104 105 105 106 108 109 109 110 111 111 112 112 113 113 114 Utilisation du service SMB Verrouillage de fichiers avec les points de partage SMB Présentation générale de la configuration Activation du service SMB Configuration du service SMB Configuration des réglages Général Configuration des réglages d’accès Configuration des réglages de journalisation Configuration des réglages avancés Démarrage du service SMB Gestion du service SMB Affichage de l’état du service SMB Affichage des historiques du service SMB Affichage de graphiques SMB Affichage des connexions SMB Arrêt du service SMB Activation ou désactivation des points de partage virtuels Chapitre 6 115 115 116 117 117 117 118 118 118 119 120 Utilisation du service NFS Présentation générale de la configuration Avant de configurer le service NFS Activation du service NFS Configuration du service NFS Configuration des réglages NFS Lancement du service NFS Gestion du service NFS Vérification de l’état du service NFS Affichage des connexions NFS Arrêt du service NFS Table des matières 120 Affichage des exportations NFS en cours Chapitre 7 121 121 122 122 122 125 126 126 127 128 128 128 129 129 130 131 131 132 132 133 133 134 134 135 136 136 136 137 137 138 138 Utilisation du service FTP Un environnement FTP sécurisé Utilisateurs FTP Dossier de départ FTP Environnements utilisateurs FTP Conversion de fichiers à la volée Authentification Kerberos Spécifications du service FTP Présentation générale de la configuration Avant de configurer le service FTP Sécurité du serveur et utilisateurs anonymes Activation du service FTP Configuration du service FTP Configuration des réglages Général Configuration des messages d’accueil Affichage de la bannière et du message d’accueil Affichage des messages avec des fichiers message.txt Utilisation de messages OUVREZ-MOI Configuration des réglages de journalisation FTP Configuration des réglages FTP Avancé Démarrage du service FTP Autorisation de l’accès utilisateur anonyme Création d’un dossier de téléchargement pour les utilisateurs anonymes Modification de l’environnement utilisateur Modification du dossier de départ FTP Gestion du service FTP Vérification de l’état du service FTP Affichage de l’historique du service FTP Affichage des graphiques FTP Affichage des connexions FTP Arrêt du service FTP Chapitre 8 139 139 139 139 Résolution de problèmes Problèmes de points de partage Si des utilisateurs ne parviennent pas à accéder au support optique partagé Si des utilisateurs ne parviennent pas à accéder aux volumes externes au moyen d’Admin Serveur Si des utilisateurs ne parviennent pas à trouver un élément partagé Si des utilisateurs ne parviennent pas à ouvrir leur dossier de départ Si des utilisateurs ne parviennent pas à trouver un volume ou un dossier à utiliser comme point de partage 140 140 140 Table des matières 7 141 141 141 141 142 142 142 142 143 143 143 144 144 144 145 145 145 8 Glossaire 147 Index 155 Si des utilisateurs ne parviennent pas à visualiser le contenu d’un point de partage Problèmes de service AFP Si des utilisateurs ne parviennent pas à trouver le serveur AFP Si des utilisateurs ne parviennent pas à se connecter au serveur AFP Si des utilisateurs ne voient pas le message d’ouverture de session Problèmes de service SMB Si des utilisateurs Windows ne parviennent pas à voir le serveur Windows dans Voisinage de réseau Si des utilisateurs ne parviennent pas à ouvrir une session sur le serveur Windows Problèmes de service NFS Problèmes de service FTP Si des connexions FTP sont refusées Si des clients ne parviennent pas se connecter au serveur FTP Si des utilisateurs FTP anonymes ne parviennent pas se connecter Problèmes de basculement IP Si un basculement IP n’a pas lieu Si les notifications par courrier de basculement IP ne fonctionnent pas Si des problèmes persistent après un basculement Table des matières Préface À propos de ce guide Ce guide décrit comment configurer et utiliser les services de fichiers avec Mac OS X Server. Le partage de fichiers nécessite des administrateurs de serveurs de fichiers pour gérer les privilèges des utilisateurs pour tous les dossiers et fichiers partagés. La configuration de Mac OS X Server en tant que serveur de fichiers vous permet de partager des fichiers de manière hautement performante et fiable à l’aide de protocoles natifs pour les groupes de travail Mac, Windows et Linux. Le serveur s’intègre sans problème à n’importe quel environnement, y compris aux réseaux avec plateforme mixte. Mac OS X Server 10.5 présente des fonctions étendues des fonctionnalités actuelles et apporte des améliorations pour prendre en charge les réseaux hétérogènes, maximiser la productivité de l’utilisateur et rendre les services de fichiers plus sûrs et plus faciles à gérer. Nouveautés des services de fichiers Les services de fichiers contiennent plusieurs changements et améliorations permettant une simplicité d’utilisation et offrant des fonctionnalités plus étendues, telles que les suivantes :  La fonction Partage se trouve maintenant dans Admin Serveur. Ainsi, la configuration du point de partage et celle des protocoles de services de fichiers sont regroupées dans un même outil.  Spotlight est maintenant pris en charge dans AFP. L’indexation Spotlight vous permet d’effectuer des recherches rapides sur des volumes de réseau. Vous pouvez activer l’indexation Spotlight pour un point de partage dans Admin Serveur.  NFS prend en charge l’authentification Kerberos. Kerberos est un protocole d’authentification réseau standard utilisé pour assurer une authentification et une communication sécurisées sur les réseaux ouverts. 9 Contenu de ce guide Ce guide comprend les chapitres suivants :  Le chapitre 1, « Présentation des services de fichiers, » offre une vue d’ensemble des services de fichiers de Mac OS X Server.  Le chapitre 2, « Configuration des autorisations de services de fichiers, » fournit des explications sur les autorisations standard ainsi que sur les ACL et aborde les problèmes de sécurité liés.  Le chapitre 3, « Configuration de points de partage, » décrit comment partager des volumes et répertoires spécifiques à l’aide des protocoles AFP (Apple Filing Protocol), SMB/CIFS (Server Message Block /Common Internet File System), FTP (File Transfer Protocol) et NFS (Network File System). Il décrit également comment définir les autorisations standard et les autorisations d’ACL.  Le chapitre 4, « Utilisation du service AFP, » décrit comment configurer et gérer le service AFP dans Mac OS X Server et comment configurer le basculement IP dans Mac OS X Server.  Le chapitre 5, « Utilisation du service SMB, » décrit comment configurer et gérer le service SMB dans Mac OS X Server.  Le chapitre 6, « Utilisation du service NFS, » décrit comment configurer et gérer le service NFS dans Mac OS X Server.  Le chapitre 7, « Utilisation du service FTP, » décrit comment configurer et gérer le service FTP dans Mac OS X Server.  Le chapitre 8, « Résolution de problèmes, » liste les solutions potentielles à des problèmes courants que vous pouvez rencontrer lorsque vous utilisez les services de fichiers dans Mac OS X Server. Le glossaire fournit par ailleurs de brèves définitions de termes utilisés dans ce guide. Remarque : étant donné qu’Apple publie régulièrement de nouvelles versions et mises à jour de ses logiciels, les illustrations de ce document peuvent être différentes de celles qui s’affichent à l’écran. Utilisation de l’aide à l’écran Tout en gérant Mac OS X Server, vous pouvez obtenir à l’écran des instructions sur les tâches, dans Visualisation Aide. L’aide peut être affichée sur un serveur ou sur un ordinateur administrateur (Un ordinateur administrateur est un ordinateur Mac OS X sur lequel un logiciel d’administration Mac OS X Server est installé.) Pour obtenir de l’aide sur la configuration avancée de Mac OS X Server, procédez de la manière suivante : m Ouvrez Admin Serveur ou Gestionnaire de groupe de travail, puis :  Utilisez le menu Aide pour rechercher une tâche à exécuter.  Choisissez Aide > Aide Admin Serveur ou Aide > Aide Gestionnaire de groupe de travail avant d’explorer les rubriques d’aide et d’effectuer des recherches. 10 Préface À propos de ce guide L’aide à l’écran contient des instructions issues de Administration du serveur et d’autres guides d’administration avancés décrits dans « Guides d’administration de Mac OS X Server ». Guides d’administration de Mac OS X Server Premiers contacts traite des méthodes d’installation de base et de configuration initiale standard et de groupe de travail, ou encore de l’installation et des configurations standard et de groupe de travail pour Mac OS X Server. Pour les configurations avancées, consultez le guide Administration du serveur, qui regroupe la planification, l’installation, la configuration et l’administration du serveur en général. Une série de guides supplémentaires, énumérés ci-dessous, décrit la planification, la configuration, ainsi que la gestion avancée des services individuels. Vous pouvez obtenir ces guides au format PDF sur le site web de documentation de Mac OS X Server : www.apple.com/fr/server/documentation Ce guide ... explique comment : Premiers contacts et Feuille d’opération d’installation et de configuration Installer Mac OS X Server et le configurer pour la première fois. Administration de ligne de commande Installer, configurer et gérer Mac OS X Server à l’aide de fichiers de configuration et d’outils de ligne de commande UNIX. Administration des services de fichier Partager certains volumes ou dossiers de serveur entre les clients du serveur, à l’aide des protocoles AFP, NFS, FTP et SMB. Administration du service iCal Configurer et gérer le service de calendrier partagé d’iCal. Administration du service iChat Configurer et gérer le service de messagerie instantanée d’iChat. Configuration de la sécurité de Mac OS X Renforcer la sécurité des ordinateurs (clients) Mac OS X, comme l’exigent les entreprises et les organismes publics. Configuration de la sécurité de Mac OS X Server Renforcer la sécurité de Mac OS X Server et de l’ordinateur sur lequel il est installé, comme l’exigent les entreprises et les organismes publics. Administration du service de messagerie Configurer et gérer les services de messagerie IMAP, POP et SMTP sur le serveur. Administration des services de réseau Installer, configurer et administrer les services DHCP, DNS, VPN, NTP, coupe-feu IP, NAT et RADIUS sur le serveur. Administration d’Open Directory Configurer et gérer les services de répertoire et d’authentification, ainsi que configurer les clients autorisés à accéder aux services de répertoire. Administration de Podcast Producer Configurer et gérer le service Podcast Producer destiné à enregistrer, traiter et distribuer des podcasts. Administration du service d’impression Préface À propos de ce guide Héberger les imprimantes partagées et gérer les files d’attente et travaux d’impression associés. 11 Ce guide ... explique comment : Administration de QuickTime Streaming et Broadcasting Capturer et encoder du contenu QuickTime. Configurer et gérer le service QuickTime Streaming en vue de diffuser des données multimédias en temps réel ou à la demande. Administration du serveur Mettre en place l’installation et la configuration avancées du logiciel serveur et gérer des options qui s’appliquent à plusieurs services ou à l’intégralité du serveur. Administration de Mise à jour de logiciels et d’Imagerie système Utiliser NetBoot, NetInstall et Mise à jour de logiciels pour automatiser la gestion du système d’exploitation et des autres logiciels utilisés par les ordinateurs clients. Mise à niveau et migration Utiliser des réglages de données et de services correspondant à une version antérieure de Mac OS X Server ou de Windows NT. Gestion des utilisateurs Créer et gérer des comptes utilisateur, des groupes et des ordinateurs. Configurer les préférences gérées des clients Mac OS X. Administration des technologies web Configurer et gérer des technologies web telles que les blogs, WebMail, wiki, MySQL, PHP, Ruby on Rails (RoR) et WebDAV. Informatique à haute performance et administration Xgrid Configurer et gérer des grappes de calcul de systèmes Xserve et d’ordinateurs Mac. Glossaire Mac OS X Server Savoir à quoi correspondent les termes utilisés pour les produits de serveur et les produits de stockage. Affichage des guides PDF à l’écran Lorsque vous lisez la version PDF d’un guide à l’écran, vous pouvez :  Afficher les signets pour visualiser le plan du guide et cliquer sur un signet pour accéder directement à la section correspondante.  Rechercher un mot ou une phrase pour afficher une liste des endroits où ce mot ou cette phrase apparaît dans le document. Cliquez sur un de ces endroits pour afficher la page correspondante.  Cliquer sur une référence croisée pour accéder directement à la rubrique référencée. Cliquez sur un lien pour visiter le site web dans votre navigateur. 12 Préface À propos de ce guide Impression des guides PDF Si vous devez imprimer un guide, procédez comme suit pour économiser du papier et de l’encre :  Économisez de l’encre ou du toner en évitant d’imprimer la couverture.  Si vous disposez d’une imprimante couleur, économisez de l’encre en choisissant une option d’impression en niveaux de gris ou en noir et blanc dans une des sections de la zone de dialogue Imprimer.  Réduisez le volume du document imprimé et économisez du papier en imprimant plusieurs pages par feuille. Dans la zone de dialogue Imprimer, réglez Échelle sur 115 % (155 % pour Premiers contacts). Choisissez ensuite Mise en page dans le menu local sans titre. Si votre imprimante prend en charge l’impression recto verso (duplex), sélectionnez l’une des options proposées. Sinon, choisissez 2 dans le menu local Pages par feuille et, si vous le souhaitez, Simple extra fine dans le menu Bordure. (Si vous utilisez Mac OS X 10.4 ou antérieur, le réglage Échelle se trouve dans la zone de dialogue Format d’impression et les réglages relatifs à la mise en page dans la zone de dialogue Imprimer.) Il peut s’avérer utile d’agrandir les pages imprimées même si vous n’imprimez pas en recto verso, car la taille des pages PDF est inférieure à celle du papier d’imprimante standard. Dans la zone de dialogue Imprimer ou dans la zone de dialogue Format d’impression, essayez de régler Échelle sur 115 % (155 % pour Premiers contacts qui possède des pages de la taille d’un CD). Obtenir des mises à jour de documentation Apple publie régulièrement des pages d’aide révisées ainsi que de nouvelles éditions de ses guides. Certaines pages d’aide révisées sont des mises à jour des dernières éditions de ces guides.  Pour afficher les nouvelles rubriques d’aide à l’écran d’une application de serveur, assurez-vous que votre serveur ou votre ordinateur administrateur est connecté à Internet et cliquez sur le lien des dernières rubriques d’aide ou de mise à jour dans la page d’aide principale de l’application.  Pour télécharger les guides les plus récents en format PDF, rendez-vous sur le site web de documentation de Mac OS X Server : www.apple.com/fr/server/documentation/ Préface À propos de ce guide 13 Pour obtenir des informations supplémentaires Pour plus d’informations, consultez les ressources suivantes :  Documents Ouvrez-moi : mises à jour importantes et informations spécifiques. Recherchez-les sur les disques du serveur.  Site web de Mac OS X Server (www.apple.com/fr/server/macosx) : passerelle vers des informations détaillées sur de nombreux produits et technologies.  Site web de service et d’assistance Mac OS X Server (www.apple.com/fr/support/macosxserver) : accès à des centaines d’articles du service d’assistance d’Apple.  Site web de formation d’Apple (www.apple.com/fr/training)—cours dirigés par un professeur et autoformations pour affiner vos compétences en matière d’administration de serveur.  Groupes de discussions Apple, en anglais (discussions.apple.com) : un moyen de partager questions, connaissances et conseils avec d’autres administrateurs.  Site web des listes d’envoi Apple, en anglais (www.lists.apple.com) : abonnez-vous à des listes d’envoi afin de pouvoir communiquer par courrier électronique avec d’autres administrateurs.  Site web du protocole AFP (Apple Filing Protocol), en anglais (developer.apple.com/ documentation/Networking/Conceptual/AFP)—manuel décrivant le protocole AFP.  Site web de Samba, en anglais (www.samba.org)—informations sur Samba, le logiciel open-source sur lequel se base le service SMB dans Mac OS X Server.  Site web du protocole CIFS (Common Internet File System), (www.ubiqx.org/cifs)— description détaillée du fonctionnement du protocole CIFS.  Site web du protocole FTP (File Transfer Protocol), (www.faqs.org/rfcs/rfc959.html)— accueil du document RFC (Request for Comments) FTP.  Site web du protocole TFTP (File Transfer Protocol), (asg.web.cmu.edu/rfc/rfc1350.html)— accueil du document RFC TFTP. Remarque : les documents RFC offrent un aperçu d’un protocole ou d’un service qui peut être utile pour les administrateurs novices et fournissent des informations techniques plus détaillées qui s’adressent aux spécialistes. Vous pouvez rechercher des documents RFC à l’adresse suivante : www.faqs.org/rfcs. 14 Préface À propos de ce guide 1 Présentation des services de fichiers 1 Ce chapitre offre une vue d’ensemble des services de fichiers de Mac OS X Server. Mac OS X Server comprend plusieurs services de fichiers qui vous permettent de gérer vos ressources réseau partagées. Bien comprendre chaque service et son protocole associé vous aide à déterminer comment planifier et configurer votre réseau pour des performances et une sécurité optimales. Vue d’ensemble du protocole Les services de fichiers permettent aux clients d’accéder aux fichiers, applications et autres ressources disponibles sur un réseau et de les partager. Chaque service de fichiers utilise un protocole permettant la communication entre le serveur et les ordinateurs clients. Selon la configuration de votre réseau, vous avez le choix entre les services de fichiers suivants :  Le service AFP utilise le protocole AFP (Apple Filing Protocol) pour partager des ressources avec les clients qui utilisent des ordinateurs Macintosh.  Le service SMB utilise le protocole SMB/CIFS (Server Message Block/Common Internet File System) pour partager des ressources avec les clients qui utilisent Windows ou des ordinateurs compatibles Windows et leur fournir des résolutions de nom.  Le service FTP utilise le FTP (File Transfer Protocol) pour partager des fichiers avec toute personne utilisant des logiciels clients FTP.  Le service NFS utilise le protocole NFS (Network File System) pour partager des fichiers et des dossiers avec des utilisateurs (généralement des utilisateurs UNIX) équipés de logiciels clients NFS. Après avoir configuré vos services de fichiers, vous pouvez gérer vos ressources réseau partagées en contrôlant les activités du réseau et l’accès à chaque service. 15 Comparaison des protocoles Lorsque vous partagez des ressources réseau, il se peut que plusieurs services soient activés, selon les plateformes qui requièrent l’accès à ces ressources. Le tableau suivant permet de savoir quels protocoles de service sont pris en charge pour chacune des plateformes. Protocole Plateforme Ports par défaut AFP Mac OS X et Mac OS X Server 548 SMB Mac OS X, Mac OS X Server, Windows, UNIX et Linux 137, 138 et 139 FTP Mac OS X, Mac OS X Server, Windows, UNIX et Linux 21 NFS Mac OS X, Mac OS X Server, Windows, UNIX et Linux 2049 Comparaison de la sécurité des protocoles Lorsque vous partagez des ressources réseau, configurez votre serveur de manière à ce que la sécurité nécessaire soit assurée. Les protocoles AFP et SMB présentent un certain niveau de chiffrement pour sécuriser l’authentification des mots de passe. Le protocole SMB ne chiffre pas les données transmises via le réseau ; il est donc conseillé de l’utiliser uniquement sur un réseau sécurisé. Le FTP n’assure pas le chiffrement des mots de passe et des données. Lorsque vous utilisez ce protocole, assurez-vous que votre réseau est sécurisé. Il peut être préférable d’utiliser les outils de ligne de commande scp ou sftp, au lieu d’utiliser le FTP. Ces outils permettent d’authentifier et de transférer les fichiers en toute sécurité. Le tableau suivant permet de comparer les protocoles ainsi que les possibilités qu’ils offrent en matière d’authentification et de chiffrement. 16 Protocole Authentification Chiffrement des données AFP Texte en clair et mots de passe chiffrés (Kerberos). Peut être configuré de manière à chiffrer toutes les données transmises. NFS Mot de passe chiffré (Kerberos) et authentification système. Peut être configuré de manière à chiffrer toutes les données transmises. SMB Texte en clair et mots de passe chiffrés (NTLM 1, NTLM 2, LAN Manager et Kerberos). Pas de chiffrement, données visibles durant la transmission. FTP Tous les mots de passe sont envoyés en texte clair. Pas de chiffrement. Toutes les données sont envoyées en texte clair. Pas de chiffrement. Chapitre 1 Présentation des services de fichiers Planification de déploiement Lorsque vous planifiez votre réseau, prenez en compte les protocoles requis pour votre configuration réseau. Par exemple, si votre réseau est constitué d’ordinateurs multiplateformes, utilisez plutôt les services SMB et AFP, de manière à autoriser l’accès aux deux plateformes. Détermination du protocole le mieux adapté à vos besoins Les protocoles de services de fichiers que vous utilisez dépendent de la configuration de votre réseau et des plateformes que vous prenez en charge. Détermination de la configuration matérielle requise la mieux adaptée à vos besoins Si vous partagez des ressources réseau avec d’autres réseaux ou via Ethernet, votre coupe-feu doit permettre la communication via tous les ports associés à votre service. Planification des interruptions de service et des basculements Lorsque vous planifiez des interruptions de service et des basculements, éliminez autant de points uniques de défaillance que possible au sein de votre réseau. Un ordinateur unique doté d’un seul disque dur et d’une seule source électrique constitue un exemple type de point unique de défaillance. Si vous avez un seul ordinateur, vous pouvez éliminer les points de défaillance uniques de la sorte :  En configurant votre ordinateur avec plusieurs lecteurs de disques à l’aide une matrice redondante de disques indépendants (RAID). La configuration d’une matrice RAID peut contribuer à éviter la perte de données. Par exemple, si le disque principal est défaillant, le système peut toujours accéder aux données à partir d’autres disques de la matrice RAID.  En connectant la source électrique de l’ordinateur à une source électrique de secours.  En prévoyant un autre ordinateur ayant la même configuration pour éliminer l’ordinateur constituant le point de défaillance unique. Si vous n’avez pas d’autre ordinateur, vous pouvez configurer votre ordinateur de manière à ce qu’il redémarre automatiquement en cas de panne d’alimentation. Votre ordinateur redémarrera alors dès que l’alimentation sera rétablie. S’assurer que les conditions de fonctionnement de l’équipement sont adéquates permet aussi de contribuer à réduire les risques de panne (température et humidité appropriées par exemple). Une méthode plus avancée d’élimination d’un point unique de défaillance consiste en l’agrégation de liens, la répartition des charges, la réplication Open Directory, la sauvegarde des données et l’utilisation des périphériques Xserve et RAID. Pour en savoir plus sur ces points, consultez le guide Administration Xgrid. Chapitre 1 Présentation des services de fichiers 17 2 Configuration des autorisations de services de fichiers 2 Ce chapitre présente les autorisations standard et les listes de contrôle d’accès (ACL) et traite des problèmes liés à la sécurité. L’accord et le refus d’autorisations constituent un aspect important de la sécurité des ordinateurs. Une autorisation est la capacité à effectuer une opération spécifique, comme accéder à des données ou exécuter du code. Les autorisations sont accordées au niveau des dossiers, des sous-dossiers, des fichiers ou des applications. Utilisez Admin Serveur pour configurer les autorisations des services de fichiers. Dans ce guide, le terme privilèges se réfère à la combinaison de la propriété et des autorisations, alors que le terme autorisations se réfère aux paramètres d’autorisation dont chaque catégorie d’utilisateurs peut disposer (lecture et écriture, lecture seule, écriture seule et aucune). Autorisations dans l’environnement Mac OS X Si vous découvrez Mac OS X et que ne connaissez pas bien UNIX, il existe des différences de traitement de la propriété et des autorisations par rapport à Mac OS 9. Pour accroître la sécurité et la fiabilité, Mac OS X définit plusieurs dossiers Système, tels que /Bibliothèque/, devant être la propriété de l’utilisateur root (littéralement, un utilisateur appelé root, qui signifie racine en anglais). Vous ne pouvez ni modifier, ni supprimer les fichiers et les dossiers appartenant à l’utilisateur root, à moins d’avoir ouvert une session en tant que root. Attention—lorsque vous ouvrez une session en tant que root, il existe peu de restrictions sur ce que vous pouvez faire ; la modification des données du système peut provoquer des problèmes. Plutôt que d’ouvrir une session en tant que root, vous pouvez utiliser la commande sudo. Remarque : le Finder appelle l’utilisateur root système. Par défaut, les fichiers et les dossiers sont la propriété de l’utilisateur qui les a créés. Une fois créés, les éléments conservent leurs privilèges (combinaison entre propriété et autorisations), même lorsqu’on les déplace, à moins que ces privilèges ne soient modifiés explicitement par leur propriétaire ou un administrateur. 19 C’est pourquoi les nouveaux fichiers et dossiers que vous créez ne sont pas accessibles par les utilisateurs clients s’ils ont été créés dans un dossier pour lequel ces utilisateurs ne possèdent pas de privilèges. Lors de la configuration des points de partage, assurezvous que les éléments disposent des autorisations d’accès correctes pour les utilisateurs avec lesquels vous souhaitez les partager. Types d’autorisations Mac OS X Server prend en charge deux types d’autorisations d’accès aux fichiers et aux dossiers :  Autorisations standard POSIX (Portable Operating System Interface)  Listes de contrôle d’accès (ACL) Les autorisations POSIX standard vous permettent de contrôler l’accès aux fichiers et aux dossiers sur la base de trois catégories d’utilisateurs : Propriétaire, Groupe et Autres. Bien que ces autorisations permettent un contrôle adéquat des personnes qui accèdent à un fichier ou un dossier, elles n’ont pas la flexibilité et la granularité dont beaucoup d’organisations ont besoin pour gérer des environnements d’utilisateurs élaborés. C’est dans ce cas que les ACL s’avèrent pratiques. Une ACL propose un ensemble étendu d’autorisations pour un fichier ou un dossier et vous permet de définir plusieurs utilisateurs et groupes en tant que propriétaires. Les listes de contrôle d’accès sont de plus compatibles avec Windows Server 2003 et Windows XP, ce qui vous donne une plus grande flexibilité dans un environnement multiplateforme. Autorisations standard Il existe quatre types d’autorisations d’accès POSIX standard que vous pouvez attribuer à un point de partage, un dossier ou un fichier : Lecture et écriture, Lecture seule, Écriture seule et Aucune. Le tableau ci-dessous indique comment ces autorisations influent sur l’accès des utilisateurs à différents types d’éléments partagés (fichiers, dossiers et points de partage). 20 Les utilisateurs peuvent Lecture et écriture Lecture seule Écriture seule Aucun Ouvrir un fichier partagé Oui Oui Non Non Copier un fichier partagé Oui Oui Non Non Ouvrir un dossier partagé ou un point de partage Oui Oui Non Non Copier un dossier partagé ou un point de partage Oui Oui Non Non Modifier un fichier partagé Oui Non Non Non Déplacer les éléments dans un dossier partagé ou un point de partage Oui Non Oui Non Déplacer les éléments d’un dossier partagé ou d’un point de partage Oui Non Non Non Chapitre 2 Configuration des autorisations de services de fichiers Remarque : QuickTime Streaming Server (QTSS) et WebDAV disposent de réglages d’autorisations séparées. Pour obtenir des informations sur QTSS, consultez l’aide en ligne de QTSS et le site web de QuickTime (www.apple.com/fr/quicktime/products/qtss). Le guide Administration des technologies web fournit des informations sur les autorisations web. Autorisations explicites Les points de partage et les éléments partagés qu’ils contiennent (y compris dossiers et fichiers) disposent d’autorisations séparées. Si vous déplacez un élément vers un dossier différent, il conserve ses autorisations et n’adopte pas celles du dossier vers lequel vous l’avez déplacé. Dans l’illustration suivante, le deuxième dossier (Conception) et le troisième dossier (Documents) ont reçu des autorisations différentes de celles de leurs dossiers parents : Lecture et écriture Ingénierie Lecture seule Designs Lecture et écriture Documents Lorsque les ACL ne sont pas activées, vous pouvez également configurer un point de partage AFP ou SMB pour que les nouveaux fichiers et dossiers héritent des autorisations de leur dossier parent. Consultez les rubriques « Modification des réglages AFP d’un point de partage » à la page 45 ou « Modification des réglages SMB d’un point de partage » à la page 46. Catégories d’utilisateurs Propriétaire, Groupe et Autres Vous pouvez attribuer des autorisations d’accès POSIX standard de manière séparée à trois catégories d’utilisateurs :  Propriétaire—Un utilisateur qui crée un élément (fichier ou dossier) sur le serveur de fichiers devient son propriétaire et dispose automatiquement d’autorisations de lecture et d’écriture pour ce dossier. Par défaut, le propriétaire d’un élément et l’administrateur du serveur sont les seuls utilisateurs qui peuvent modifier ses autorisations d’accès, c’est-à-dire permettre à un groupe ou à d’autres personnes d’utiliser cet élément. L’administrateur peut également transférer sa propriété de l’élément partagé à un autre utilisateur. Remarque : lorsque vous copiez un élément dans une boîte de dépôt d’un serveur de fichiers Apple, la propriété de l’élément ne change pas. Seul le propriétaire de la boîte de dépôt ou l’utilisateur root a accès à son contenu. Chapitre 2 Configuration des autorisations de services de fichiers 21  Groupe—Vous pouvez placer les utilisateurs nécessitant le même type d’accès aux fichiers et aux dossiers dans des comptes de groupe. Les autorisations d’accès à un élément partagé ne peuvent être attribuées qu’à un seul groupe. Pour plus d’informations sur la création de groupes, consultez le guide Gestion des utilisateurs.  Autres—Autres représente n’importe quel utilisateur (utilisateur référencé ou invité) pouvant se connecter au serveur de fichiers. Hiérarchie des autorisations Si un utilisateur appartient à plusieurs catégories d’utilisateurs, qui disposent chacune d’autorisations différentes, les règles suivantes s’appliquent :  Les autorisations de la catégorie Groupe priment sur celles de la catégorie Autres.  Les autorisations de la catégorie Propriétaire priment sur celles de la catégorie Groupe. Par exemple, lorsqu’un utilisateur est à la fois propriétaire d’un élément partagé et membre du groupe qui lui est attribué, il dispose alors des autorisations accordées au propriétaire. Utilisateurs et autorisations clients Les utilisateurs du logiciel client AppleShare peuvent définir les privilèges d’accès des fichiers et dossiers dont ils sont propriétaires. Les utilisateurs se servant des services de partage de fichiers Windows peuvent également définir des privilèges d’accès. Propagation des autorisations standard Admin Serveur vous permet de spécifier quelles autorisations standard propager. Par exemple, vous pouvez propager uniquement les autorisations de la catégorie Autres à tous les descendants d’un dossier et ne pas modifier les autorisations des catégories Propriétaire et Groupe. Pour en savoir plus, consultez la rubrique « Propagation d’autorisations » à la page 59. Listes de contrôle d’accès (ACL) Lorsque les autorisations POSIX standard ne suffisent pas, utilisez les listes de contrôle d’accès ou ACL (Access Control List en anglais). Une ACL est une liste d’entrées de contrôle d’accès ou ACE (Access Control Entry en anglais), chacune spécifiant les autorisations à accorder ou à refuser à un groupe ou à un utilisateur, et la manière dont ces autorisations sont propagées dans une hiérarchie de dossiers. Les ACL de Mac OS X Server vous permettent de définir les autorisations d’accès aux fichiers et dossiers de plusieurs utilisateurs et groupes, en plus des autorisations POSIX standard. Cela facilite la configuration d’environnements de collaboration avec un partage de fichiers fiable et des flux de travaux ininterrompus, sans compromettre la sécurité. 22 Chapitre 2 Configuration des autorisations de services de fichiers Les ACL fournissent un ensemble étendu d’autorisations pour un fichier ou un dossier, pour vous offrir davantage de granularité lors de l’attribution de privilèges qu’avec des autorisations standard. Par exemple, plutôt que d’attribuer à un utilisateur des autorisations complètes d’écriture, vous pouvez le limiter à la création de dossiers uniquement, et non de fichiers. Le modèle ACL d’Apple prend en charge 13 autorisations de contrôle d’accès aux fichiers et dossiers, comme indiqué dans le tableau suivant. Nom de l’autorisation Type Description Modifier les autorisations Administration L’utilisateur peut modifier les autorisations standard. S’approprier Administration L’utilisateur peut devenir propriétaire du fichier ou du dossier. Lire les attributs Lecture L’utilisateur peut visualiser les attributs du fichier ou du dossier (par exemple nom, date et taille). Lire les attributs étendus Lecture L’utilisateur peut visualiser les attributs du fichier ou du dossier ajoutés par des développeurs de tierce partie. Répertorier le contenu du dossier (lire les données) Lecture L’utilisateur peut répertorier le contenu du dossier et lire les fichiers. Parcourir le dossier (exécuter le fichier) Lecture L’utilisateur peut ouvrir des sous-dossiers et exécuter un programme. Lire les autorisations Lecture L’utilisateur peut visualiser les autorisations standard du fichier ou du dossier à l’aide des commandes de Terminal ou Lire les informations. Écrire les attributs Écriture L’utilisateur peut modifier les attributs standard du fichier ou du dossier. Écrire les attributs étendus Écriture L’utilisateur peut modifier les autres attributs du fichier ou du dossier. Créer les fichiers (écrire les données) Écriture L’utilisateur peut créer et modifier des fichiers. Créer le dossier (ajouter les données) Écriture L’utilisateur peut créer des sous-dossiers et ajouter des données aux fichiers. Supprimer Écriture L’utilisateur peut supprimer un fichier ou un dossier. Supprimer les sousdossiers et les fichiers Écriture L’utilisateur peut supprimer des sous-dossiers et des fichiers. Chapitre 2 Configuration des autorisations de services de fichiers 23 En plus de ces autorisations, le modèle ACL Apple définit quatre types d’héritage qui spécifient la manière dont ces autorisations sont propagées :  Appliquer à ce dossier : appliquer les autorisations (Administration, Lecture et Écriture) à ce dossier.  Appliquer aux dossiers enfants : appliquer les autorisations aux sous-dossiers.  Appliquer aux fichiers enfants : appliquer les autorisations aux fichiers de ce dossier.  Appliquer à tous les descendants : appliquer les autorisations à tous les descendants. Pour savoir comment cette option fonctionne avec les deux précédentes, consultez la rubrique « Comprendre l’héritage » à la page 26. Modèle d’utilisation des ACL Le modèle d’utilisation des ACL est basé sur un contrôle d’accès au niveau du dossier, la plupart des ACL étant appliquées aux fichiers, du fait de l’héritage. Le contrôle au niveau du dossier détermine quels utilisateurs ont accès au contenu d’un dossier ; l’héritage détermine la manière dont un ensemble défini d’autorisations et de règles passe du contenant aux objets qu’il contient. Sans l’utilisation de ce modèle, l’administration du contrôle d’accès deviendrait vite un véritable cauchemar : vous devriez en effet créer et gérer des ACL pour des milliers ou des millions de fichiers. En outre, le contrôle d’accès aux fichiers par le biais de l’héritage permet aux applications de ne pas conserver des attributs étendus ou des entrées de contrôle d’accès explicites lors de l’enregistrement d’un fichier car le système applique automatiquement aux fichiers des entrées de contrôle d’accès héritées. Pour obtenir des informations sur les entrées de contrôle d’accès explicites, consultez la rubrique « Entrées de contrôle d’accès explicites et héritées » à la page 26. Autorisations d’ACL et standard Vous pouvez définir des autorisations d’ACL pour des fichiers et dossiers en plus des autorisations standard. Pour plus d’informations sur la manière dont Mac OS X Server utilise les autorisations d’ACL et standard pour déterminer ce que les utilisateurs peuvent et ne peuvent pas faire sur un fichier ou un dossier, consultez la rubrique « Règles de priorité » à la page 29. 24 Chapitre 2 Configuration des autorisations de services de fichiers Gestion des ACL Dans Mac OS X Server, vous pouvez créer et gérer des ACL dans la sous-fenêtre Autorisations du Partage de fichiers d’Admin Serveur. La fenêtre Lire les informations du Finder affiche les autorisations effectives de l’utilisateur connecté. Pour obtenir des informations sur la configuration et la gestion des ACL, consultez les rubriques « Définition d’autorisations d’ACL » à la page 44 et « Gestion des privilèges d’accès de points de partage » à la page 55. En plus d’utiliser Admin Serveur pour définir et visualiser les autorisations ACL, vous pouvez également utiliser les outils de ligne de commande ls et chmod. Pour plus d’informations, consultez les pages man correspondantes et le guide Administration de ligne de commande. Utilisez Admin Serveur pour définir des ACL pour les points de partage, les fichiers et les dossiers. Formats de volume et protocoles pris en charge Seul HFS+ offre une prise en charge au niveau du système de fichiers local pour les ACL. En outre, seuls SMB et AFP offrent une prise en charge au niveau du système de fichiers en réseau pour les ACL dans les réseaux Windows et Apple respectivement. Entrées de contrôle d’accès (ACE) Une entrée de contrôle d’accès ou ACE (Access Control Entry en anglais) est une entrée dans une ACL qui spécifie, pour un groupe ou un utilisateur, des autorisations d’accès à un fichier ou à un dossier ainsi que les règles d’héritage. Ce qui est stocké une entrée de contrôle d’accès Une entrée de contrôle d’accès contient les champs suivants :  Utilisateur ou groupe. Une entrée de contrôle d’accès stocke un identifiant unique pour un groupe ou un utilisateur, ce qui permet une résolution non équivoque de l’identité.  Type. Une entrée de contrôle d’accès prend en charge deux types d’autorisations, Autoriser et Refuser, qui déterminent si les autorisations sont accordées ou refusées dans Admin Serveur.  Autorisation. Ce champ stocke les réglages des 13 autorisations prises en charge par le modèle d’ACL d’Apple.  Hérité. Ce champ spécifie si l’entrée de contrôle d’accès est héritée du dossier parent.  S’applique à. Ce champ spécifie à quoi est destinée l’autorisation d’entrée de contrôle d’accès. Chapitre 2 Configuration des autorisations de services de fichiers 25 Entrées de contrôle d’accès explicites et héritées Admin Serveur prend en charge deux types d’entrées de contrôle d’accès :  Les entrées de contrôle d’accès explicites sont celles que vous avez créées dans une ACL. Consultez la rubrique « Ajout d’ACE à des ACL » à la page 56.  Les entrées de contrôle d’accès héritées sont celles que vous avez créées pour un dossier parent et qui ont été héritées par un fichier ou un dossier descendant. Remarque : les entrées de contrôle d’accès héritées ne peuvent pas être modifiées, à moins que vous ne les rendiez explicites. Admin Serveur permet de convertir une entrée de contrôle d’accès héritée en entrée de contrôle d’accès explicite. Pour en savoir plus, consultez la rubrique « Transformation des ACE héritées d’un dossier en ACE explicites » à la page 58. Comprendre l’héritage L’héritage des ACL permet de déterminer la manière dont les autorisations passent d’un dossier à ses descendants. Modèle d’héritage des ACL d’Apple Le modèle d’héritage des ACL d’Apple définit quatre options que vous sélectionnez ou désélectionnez dans Admin Serveur afin de contrôler l’application d’entrées de contrôle d’accès (en d’autres termes, la manière de propager les autorisations dans un hiérarchie de dossiers) : Option d’héritage Description Appliquer à ce dossier Appliquer les autorisations (Administration, Lecture et Écriture) à ce dossier Appliquer aux dossiers enfants Appliquer les autorisations aux sous-dossiers Appliquer aux fichiers enfants Appliquer les autorisations aux fichiers de ce dossier Appliquer à tous les descendants Appliquer les autorisations à tous les descendants1 1 Si vous souhaitez qu’une entrée de contrôle d’accès s’applique à tous les descendants sans exception, vous devez sélectionner les options « Appliquer aux dossiers enfants » et « Appliquer aux fichiers enfants » en plus de cette option. Pour en savoir plus, consultez la rubrique « Combinaison d’héritages d’ACL » à la page 28. 26 Chapitre 2 Configuration des autorisations de services de fichiers Mac OS X Server propage les autorisations des ACL à deux moments bien définis :  Par le noyau, lors de la création du fichier ou du dossier—lorsque vous créez un fichier ou un dossier, le noyau détermine les autorisations dont hérite le fichier ou le dossier à partir de son dossier parent.  Lors du déclenchement par les outils de l’administrateur—par exemple, lors de l’utilisation de l’option Propager les autorisations dans Admin Serveur. La figure ci-dessous montre comment Admin Serveur propage deux entrées de contrôle d’accès (responsables et équipe_de_conception) après la création des entrées de contrôle d’accès. Le texte en gras représente une entrée de contrôle d’accès explicite, tandis que le texte normal représente une entrée de contrôle d’accès héritée. Jupiter Docs Projets responsables responsables responsables responsables responsables Conception équipe_conception Notes Spécs Module responsables équipe_module_atterrissage Modèle responsables équipe_module_atterrissage responsables équipe_conception Chapitre 2 Configuration des autorisations de services de fichiers 27 Combinaison d’héritages d’ACL Lorsque vous définissez des options d’héritage pour une entrée de contrôle d’accès dans Admin Serveur, vous pouvez choisir parmi 12 combinaisons d’héritages uniques pour la propagation des autorisations d’ACL. 28 Héritage Appliquer à ce dossier Appliquer aux dossiers enfants Appliquer aux fichiers enfants Appliquer à tous les descendants Héritage Appliquer à ce dossier Appliquer aux dossiers enfants Appliquer aux fichiers enfants Appliquer à tous les descendants Inheritance Appliquer à ce dossier Appliquer aux dossiers enfants Appliquer aux fichiers enfants Appliquer à tous les descendants Héritage Appliquer à ce dossier Appliquer aux dossiers enfants Appliquer aux fichiers enfants Appliquer à tous les descendants Héritage Appliquer à ce dossier Appliquer aux dossiers enfants Appliquer aux fichiers enfants Appliquer à tous les descendants Héritage Appliquer à ce dossier Appliquer aux dossiers enfants Appliquer aux fichiers enfants Appliquer à tous les descendants Héritage Appliquer à ce dossier Appliquer aux dossiers enfants Appliquer aux fichiers enfants Appliquer à tous les descendants Héritage Appliquer à ce dossier Appliquer aux dossiers enfants Appliquer aux fichiers enfants Appliquer à tous les descendants Héritage Appliquer à ce dossier Appliquer aux dossiers enfants Appliquer aux fichiers enfants Appliquer à tous les descendants Héritage Appliquer à ce dossier Appliquer aux dossiers enfants Appliquer aux fichiers enfants Appliquer à tous les descendants Héritage Appliquer à ce dossier Appliquer aux dossiers enfants Appliquer aux fichiers enfants Appliquer à tous les descendants Héritage Appliquer à ce dossier Appliquer aux dossiers enfants Appliquer aux fichiers enfants Appliquer à tous les descendants Chapitre 2 Configuration des autorisations de services de fichiers Propagation des autorisations d’ACL Admin Serveur propose une fonction permettant de forcer la propagation d’ACL. Bien que cela soit effectué automatiquement par Admin Serveur, il peut parfois s’avérer utile de propager manuellement des autorisations :  Vous pouvez propager des autorisations afin de traiter des exceptions. Par exemple, vous pouvez souhaiter que les ACL s’appliquent à tous les descendants sauf à un sous-arbre de votre hiérarchie de dossiers. Dans ce cas, définissez les entrées de contrôle d’accès pour le dossier root et définissez-les de sorte qu’elles se propagent à tous les descendants. Sélectionnez ensuite le dossier root du sous-arbre et propagez les autorisations pour supprimer les ACL de tous les descendants de ce sous-arbre. Dans l’exemple ci-dessous, les éléments en blanc sont ceux dont les ACL ont été supprimées par la propagation manuelle des ACL.  Vous pouvez propager des autorisations pour appliquer à nouveau l’héritage si vous avez supprimé les ACL d’un dossier et que vous avez décidé de les appliquer à nouveau.  Vous pouvez propager des autorisations pour effacer toutes les ACL à la fois au lieu de devoir parcourir une hiérarchie de dossiers et supprimer manuellement les entrées de contrôle d’accès.  Lorsque vous propagez des autorisations, les autorisations de paquets et de fichiers et dossiers détenus par l’utilisateur root ne sont pas modifiées. Pour plus d’informations sur la manière de propager manuellement des autorisations, consultez la rubrique « Propagation d’autorisations » à la page 59. Règles de priorité Mac OS X Server utilise les règles suivantes pour contrôler l’accès aux fichiers et aux dossiers :  Sans entrées de contrôle d’accès, les autorisations POSIX s’appliquent. Si aucune entrée de contrôle d’accès n’a été définie pour un fichier ou un dossier, Mac OS X Server applique des autorisations POSIX standard.  Avec les entrées de contrôle d’accès, l’ordre est important. Si une ou plusieurs entrées de contrôle d’accès ont été définies pour un fichier ou un dossier, Mac OS X Server commence avec la première entrée de contrôle d’accès dans l’ACL et parcourt la liste vers le bas jusqu’à ce que l’autorisation demandée soit accordée ou refusée. L’ordre des entrées de contrôle d’accès peut être modifié à partir de la ligne de commande grâce à la commande chmod. Chapitre 2 Configuration des autorisations de services de fichiers 29  Les autorisations Refuser priment sur les autres autorisations. Lorsque vous ajoutez des entrées de contrôle d’accès, Admin Serveur répertorie les autorisations Refuser au-dessus des autorisations Autoriser car les premières priment sur les secondes. Lors de l’évaluation des autorisations, si Mac OS X Server trouve une autorisation Refuser, il ignore les autres autorisations dont dispose l’utilisateur dans la même ACL et applique l’autorisation Refuser. Par exemple, si vous ajoutez une entrée de contrôle d’accès pour l’utilisateur Marie, que vous activez ses autorisations de lecture, puis que vous ajoutez une autre entrée de contrôle d’accès pour un groupe dont Marie est membre, et si vous refusez les autorisations de lecture du groupe, Admin Serveur réorganise les autorisations de sorte que l’autorisation Refuser précède l’autorisation Autoriser. En conséquence, Mac OS X Server applique l’autorisation Refuser pour le groupe de Marie et ignore l’autorisation Autoriser pour Marie.  Les autorisations Autoriser sont cumulatives. Lors de l’évaluation des autorisations Autoriser pour un utilisateur dans une ACL, Mac OS X Server définit les autorisations de l’utilisateur comme l’union de toutes les autorisations qui lui sont attribuées, y compris les autorisations POSIX standard. Après l’évaluation des entrées de contrôle d’accès, Mac OS X Server évalue les autorisations POSIX standard définies sur le fichier ou le dossier. Puis, en se fondant sur l’évaluation des autorisations d’ACL et des autorisations POSIX standard, Mac OS X Server détermine de quel type d’accès dispose un utilisateur vers un fichier ou dossier partagé. Astuces et conseils Mac OS X Server combine les autorisations POSIX habituelles avec les ACL. Cette combinaison offre une grande flexibilité et un niveau fin de granularité dans le contrôle d’accès aux fichiers et dossiers. Cependant, si vous n’êtes pas minutieux dans votre manière d’attribuer des privilèges, il vous sera très difficile de suivre le mode d’attribution des autorisations. Remarque : avec 17 autorisations, vous avez le choix entre pas moins de 98 304 combinaisons. Ajoutez à cela une hiérarchie de dossiers complexe, un grand nombre d’utilisateurs et de groupes, et de nombreuses exceptions : vous risquez alors de tomber dans un immense désordre. Cette rubrique propose des astuces et des conseils utiles pour vous aider à tirer le maximum du contrôle d’accès dans Mac OS X Server et éviter les pièges. 30 Chapitre 2 Configuration des autorisations de services de fichiers Gérez les autorisations au niveau du groupe Attribuez les autorisations d’abord aux groupes, et n’en attribuez à des utilisateurs individuels que s’il existe une exception. Par exemple, vous pouvez attribuer les autorisations de lecture et d’écriture à tous les professeurs d’une école sur un certain point de partage, mais refuser à Anne Johnson, une enseignante remplaçante, l’autorisation de lire un dossier en particulier dans la hiérarchie de dossiers du point de partage. L’utilisation de groupes est la manière la plus efficace d’attribuer des autorisations. Après avoir créé des groupes et leur avoir attribué des autorisations, vous pouvez ajouter et supprimer des utilisateurs de groupes sans devoir attribuer à nouveau des autorisations. Ajoutez les autorisations progressivement N’attribuez que les autorisations nécessaires, puis ajoutez-en au besoin. Tant que vous utilisez des autorisations Autoriser, Mac OS X Server combine les autorisations. Par exemple, vous pouvez attribuer au groupe Étudiants des autorisations de lecture partielles sur l’ensemble d’un point de partage. Puis, si cela est nécessaire dans la hiérarchie de dossiers, vous pouvez attribuer au groupe davantage d’autorisations de lecture et d’écriture. N’utilisez la règle Refuser que si nécessaire Lorsque Mac OS X Server rencontre une autorisation Refuser, il arrête d’évaluer les autres autorisations dont l’utilisateur peut disposer pour un fichier ou un dossier et applique alors l’autorisation Refuser. Par conséquent, n’utilisez l’autorisation Refuser que lorsque cela est absolument nécessaire. Conservez une liste de ces autorisations Refuser pour pouvoir les supprimer lorsqu’elles ne sont pas nécessaires. Propagez toujours les autorisations L’héritage est une fonction puissante, profitez-en. En propageant les autorisations vers le bas dans une hiérarchie de dossiers, vous vous épargnez la durée et l’effort requis pour attribuer manuellement les autorisations aux descendants. Utilisez l’inspecteur d’autorisations effectives Utilisez fréquemment l’inspecteur d’autorisations effectives pour vous assurer que les utilisateurs disposent de l’accès adéquat aux ressources importantes. C’est particulièrement important après une modification d’ACL. Parfois, il peut arriver que vous accordiez par mégarde à quelqu’un plus d’autorisations que nécessaire, ou pas assez. L’inspecteur permet de détecter ces cas-là. Pour plus d’informations sur l’inspecteur, consultez la rubrique « Détermination des autorisations de fichier ou de dossier d’un utilisateur » à la page 60. Chapitre 2 Configuration des autorisations de services de fichiers 31 Protégez les applications contre les modifications Si vous partagez des applications, veillez à définir leurs autorisations de manière à ce que personne ne puisse modifier ces applications, sauf quelques utilisateurs de confiance. Il s’agit d’une vulnérabilité que les attaquants peuvent exploiter pour introduire des virus ou des chevaux de Troie dans votre environnement. Faites simple Vous pouvez compliquer inutilement la gestion d’accès aux fichiers si vous n’êtes pas vigilant. Faites simple. Si les autorisations POSIX standard font l’affaire, utilisez-les ; mais si vous devez utiliser des ACL, évitez de personnaliser les autorisations, à moins que ce ne soit nécessaire. En outre, utilisez si possible des hiérarchies de dossiers simples. Un peu de planification stratégique peut vous aider à créer des hiérarchies partagées efficaces et gérables. Configurations de dossiers communs Lors du partage de fichiers et dossiers entre ordinateurs, des autorisations personnalisées peuvent être définies pour accorder ou limiter l’accès à ces fichiers ou dossiers. Avant de commencer à définir des autorisations personnalisées de fichiers et dossiers, il est conseillé d’étudier la manière dont le fichier et le dossier seront partagés, quels seront les utilisateurs qui disposeront d’un accès et quel type d’accès leur accorder. Il est recommandé de gérer les autorisations de fichiers et dossiers en créant des groupes d’utilisateurs partageant les mêmes privilèges. En fonction de votre environnement réseau, vous pouvez utiliser POSIX, des ACL ou les deux pour gérer l’accès aux fichiers ou dossiers. Le tableau suivant présente des exemples des autorisations POSIX et des autorisations d’ACL nécessaires pour configurer certains réglages de partage de dossiers communs. 32 Dossier ACL (Tous) POSIX Boîte de dépôt Type d’autorisation : Autoriser Cochez les cases suivantes :  Parcourir le dossier  Créer les fichiers  Créer le dossier  Toutes les options d’héritage Propriétaire : lire, écrire, exécuter Groupe : lire, écrire, exécuter Autre : écrire Par exemple : drwxrwx-wDéfinissez le propriétaire sur root ou localadmin, et le groupe sur admin. Chapitre 2 Configuration des autorisations de services de fichiers Dossier ACL (Tous) POSIX Partage de sauvegarde Type d’autorisation : Autoriser Cochez les cases suivantes :  Répertorier le contenu du dossier  Créer les fichiers  Créer le dossier Propriétaire : lire, écrire, exécuter Groupe : lire, écrire, exécuter Autre : aucune autorisation Par exemple : drwxrwx--Définissez le propriétaire sur root et le groupe sur admin. Dossier de départ Type d’autorisation : Refuser  Supprimer  Appliquer à ce dossier  Appliquer à tous les descendants Propriétaire : lire, écrire, exécuter Groupe : lecture seule Autres : lecture seule Par exemple : drwxr--r-- Contrôle d’accès aux services de fichiers Admin Serveur dans Mac OS X Server vous permet de configurer des listes de contrôle d’accès à un service ou SACL (Service Access Control Lists en anglais), ce qui permettent de spécifier quels utilisateurs et groupes ont accès aux services de fichiers AFP, FTP et SMB. L’utilisation des SACL permet d’ajouter une couche de contrôle d’accès supplémentaire au-dessus des autorisations POSIX standard et des autorisations d’ACL. Seuls les utilisateurs et les groupes qui figurent dans une SACL ont accès au service en question. Par exemple, si vous souhaitez empêcher des utilisateurs d’accéder aux points de partage AFP d’un serveur, y compris aux dossiers de départ, supprimez les utilisateurs des SACL du service AFP. Pour obtenir des informations sur la limitation de l’accès aux services de fichiers à l’aide de SACL, consultez la rubrique « Définition d’autorisations de liste SACL » à la page 69. Chapitre 2 Configuration des autorisations de services de fichiers 33 Personnalisation des ressources réseau partagées Le dossier Réseau (/Réseau/), accessible à partir de la barre latérale du Finder de Mac OS X, contient des ressources réseau partagées. Vous pouvez personnaliser le contenu de ce dossier pour les ordinateurs clients en configurant des points de partage à montage automatique. Points de partage du dossier Réseau Par défaut, le dossier Réseau contient au moins trois sous-dossiers :  Applications  Bibliothèque  Serveurs Vous pouvez monter des points de partage dans ces sous-dossiers. Pour en savoir plus, consultez la rubrique « Montage automatique de points de partage pour les clients » à la page 51. D’autres serveurs et des éléments partagés sont ajoutés lorsqu’ils sont détectés sur votre réseau. Ajout de ressources système au dossier Bibliothèque du dossier Réseau Le dossier Bibliothèque, situé dans /Réseau/, se situe sur le chemin de recherche du système. Cela vous permet de rendre accessible sur le réseau tout type de ressource système (généralement dans le dossier local Bibliothèque). Ces ressources peuvent comporter des polices, des préférences d’application, des profils ColorSync, des fonds d’écran, etc. Vous pouvez utiliser cette fonctionnalité pour personnaliser votre environnement client géré. Par exemple, supposez que vous souhaitiez rendre disponible un ensemble spécifique de polices pour chaque utilisateur dans un domaine Open Directory. Vous devez alors créer un point de partage contenant les polices, puis définir ce point de partage de sorte qu’il soit monté automatiquement en tant que bibliothèque partagée sur les ordinateurs clients dans /Réseau/Bibliothèque/Polices/. Pour en savoir plus, consultez la rubrique « Montage automatique de points de partage pour les clients » à la page 51. Observations sur la sécurité La méthode la plus efficace pour sécuriser votre réseau est d’attribuer des privilèges appropriés à chaque fichier, dossier et point de partage que vous créez. Restriction de l’accès aux services de fichiers Comme indiqué à la rubrique « Contrôle d’accès aux services de fichiers » à la page 33, vous pouvez utiliser des listes de contrôle d’accès à un service (SACL) pour restreindre l’accès aux services AFP, FTPet SMB. 34 Chapitre 2 Configuration des autorisations de services de fichiers Restriction de l’accès à Tous Soyez prudent lorsque vous créez et accordez un accès aux points de partage, en particulier si vous êtes connecté à Internet. Le fait d’accorder l’accès à Tous ou à Monde (dans le service NFS), peut exposer vos données à n’importe qui sur Internet. Pour NFS, il est recommandé de ne pas exporter les volumes vers Monde et d’utiliser Kerberos pour assurer la sécurité des volumes NFS. Restriction de l’accès aux points de partage NFS Les points de partage NFS, sans l’utilisation de Kerberos, ne disposent pas du même niveau de sécurité qu’AFP et SMB, qui requièrent l’authentification de l’utilisateur (saisie du nom d’utilisateur et du mot de passe) pour accéder au contenu d’un point de partage. Si vous disposez de clients NFS, il est conseillé de configurer un point de partage dont l’utilisation est réservée aux utilisateurs NFS, ou de configurer NFS avec Kerberos. NFS ne prend pas en charge les SACL. Pour plus d’informations, consultez la rubrique « Comparaison de la sécurité des protocoles » à la page 16. Restriction de l’accès des invités Lorsque vous configurez un service de fichiers, vous pouvez activer l’accès comme invité. Les invités sont des utilisateurs qui se connectent au serveur anonymement sans saisir de nom d’utilisateur ou de mot de passe. Les utilisateurs qui se connectent anonymement sont limités aux fichiers et dossiers qui disposent de privilèges définis sur Tous. Pour protéger vos informations d’un accès non autorisé et empêcher l’introduction d’un logiciel susceptible d’endommager vos informations ou votre matériel, prenez les précautions suivantes via la fonction Partage de fichiers d’Admin Serveur :  En fonction des contrôles que vous souhaitez placer sur l’accès des invités à un point de partage, envisagez les options suivantes :  Définissez les privilèges pour Tous sur Aucun pour les fichiers et dossiers auxquels les utilisateurs invités ne doivent pas accéder. Seuls le propriétaire ou le groupe d’un élément disposant de ce réglage de privilège peuvent y accéder.  Mettez tous les fichiers accessibles aux invités dans un dossier ou un ensemble de dossiers, puis attribuez le privilège Lecture seule à la catégorie Tous pour ce dossier et tous les fichiers qui s’y trouvent.  Attribuez les privilèges Lecture et écriture à la catégorie Tous d’un dossier uniquement si les invités doivent pouvoir modifier ou ajouter des éléments dans ce dossier. Veillez à conserver une copie de sauvegarde des informations de ce dossier.  N’exportez pas les volumes NFS vers Monde. Limitez les exportations NFS à un sousréseau ou à une liste spécifique d’ordinateurs.  Désactivez l’accès des invités ou des utilisateurs anonymes via AFP, FTP et SMB à l’aide d’Admin Serveur.  Partagez des dossiers individuels au lieu de volumes entiers. Les dossiers doivent contenir uniquement les éléments que vous souhaitez partager. Chapitre 2 Configuration des autorisations de services de fichiers 35 3 Configuration de points de partage 3 Ce chapitre décrit comment partager des volumes et répertoires spécifiques à l’aide des protocoles AFP, SMB, FTP et NFS, et montre comment configurer des autorisations standard et d’ACL. Le Partage de fichiers dans Admin Serveur permet de partager des informations avec des clients Mac OS X Server et de contrôler l’accès aux informations partagées en attribuant des privilèges d’accès. Pour partager des dossiers ou volumes sur le serveur, configurez des points de partage. Un point de partage est un dossier, un disque dur, une partition de disque dur, un CD ou un DVD dont les fichiers sont mis à disposition via un réseau. C’est le point d’accès se trouvant au niveau supérieur d’une hiérarchie d’éléments partagés. Les utilisateurs détenteurs de privilèges d’accès à des points de partage voient ces derniers comme des volumes montés sur leurs bureaux ou dans leurs fenêtres du Finder. Points de partage et dossier réseau de Mac OS X Si vous configurez votre ordinateur de manière à se connecter à des domaines de répertoire LDAP et si vous le configurez avec des mappages de données spécifiques, vous pouvez contrôler l’accès et la disponibilité des services réseau à l’aide d’Admin Serveur pour :  Identifier les points de partage et les domaines partagés qui doivent être montés automatiquement dans le dossier /Réseau/ d’un utilisateur, accessible en cliquant sur Réseau dans la barre latérale du Finder.  Ajouter des fiches d’utilisateur et de groupe (tels que définis dans le Gestionnaire de groupe de travail) et configurer leur accès. Lorsque vous configurez des points de partage, vous devez définir les utilisateurs ou groupes qui y accéderont. Vous pouvez utiliser le Gestionnaire de groupe de travail pour :  Définir des fiches d’utilisateur et de groupe et configurer leurs réglages.  Définir des listes d’ordinateurs ayant les mêmes réglages de préférences et disponibles pour les mêmes utilisateurs et groupes. 37 Pour en savoir plus sur la configuration d’utilisateurs et de groupes, consultez le guide Gestion des utilisateurs. Montage automatique Vous pouvez configurer des ordinateurs clients pour qu’ils montent automatiquement des points de partage. Ces points de partage peuvent être statiques ou dynamiques :  Les points de partage statiques sont montés à la demande. Vous pouvez attribuer à des dossiers spécifiques des points de partage montés de manière statique.  Les points de partage dynamiques sont montés à la demande et se trouvent dans le dossier /Réseau/Serveurs/nom_du_serveur/. Points de partage et dossiers de départ réseau Le dossier de départ des utilisateurs authentifiés sur le réseau peut être stocké localement sur l’ordinateur client qu’ils utilisent ou sur un serveur de réseau. Les dossiers de départ réseau sont une extension des montages automatiques simples. Le point de partage d’un dossier de départ est monté lorsque l’utilisateur ouvre une session ; il offre à l’utilisateur le même environnement de stockage des fichiers que si les dossiers se trouvaient sur l’ordinateur local. Les dossiers de départ réseau présentent l’avantage que n’importe quel ordinateur client qui ouvre une session sur un serveur spécifique fournissant les services de dossier de départ réseau pour cet utilisateur peut y accéder. Pour en savoir plus, consultez la rubrique « Dossiers de départ réseau » à la page 41. Présentation générale de la configuration Le Partage de fichiers dans Admin Serveur permet de créer des points de partage et de définir des privilèges pour ceux-ci. Voici un aperçu des principales étapes pour configurer des points de partage : Étape 1 : Lisez la rubrique « Avant de configurer un point de partage » Pour les questions à prendre en compte avant de partager des informations sur votre réseau, lisez la rubrique « Avant de configurer un point de partage » à la page 39. 38 Chapitre 3 Configuration de points de partage Étape 2 : Localisez ou créez les informations que vous souhaitez partager Choisissez les volumes, partitions ou dossiers que vous souhaitez partager. Avant de configurer le point de partage, il est conseillé de déplacer les dossiers et fichiers vers différents emplacements. Par ailleurs, il peut s’avérer utile de partitionner un disque en volumes de manière à accorder des privilèges d’accès différents pour chaque volume ou à créer des dossiers ayant différents niveaux d’accès. Consultez la rubrique « Organisation des informations partagées » à la page 41. Étape 3 : Configurez des points de partage et définissez des privilèges Lorsque vous choisissez un élément pour être un point de partage, définissez également ses autorisations. Pour créer des points de partage et définir des autorisations, utilisez le Partage de fichiers dans Admin Serveur. Consultez la rubrique « Configuration d’un point de partage » à la page 42. Étape 4 : Activez des services de fichiers spécifiques Pour que les utilisateurs puissent accéder aux points de partage, vous devez activer les services de fichiers Mac OS X Server nécessaires. Par exemple, si vous utilisez le protocole AFP (Apple File Protocol) avec votre point de partage, vous devez activer le service AFP. Vous pouvez partager un élément en utilisant plusieurs protocoles. Consultez le chapitre 5, « Utilisation du service SMB » à la page 103, le chapitre 6, « Utilisation du service NFS » à la page 115 ou le chapitre 7, « Utilisation du service FTP » à la page 121. Avant de configurer un point de partage Avant de configurer un point de partage, examinez les points suivants :  Privilèges client  Protocoles de partage de fichiers  Organisation des informations partagées  Sécurité  Dossiers de départ réseau  Quotas de disque Privilèges client Avant de configurer un point de partage, vous devez comprendre comment les privilèges s’appliquant aux éléments partagés fonctionnent. Déterminez quels utilisateurs ont besoin d’accéder aux éléments partagés et quelles autorisations vous souhaitez leur accorder. Les autorisations sont décrites au chapitre 2 (voir « Types d’autorisations » à la page 20). Chapitre 3 Configuration de points de partage 39 Protocoles de partage de fichiers Vous devez également savoir quels protocoles les clients utilisent pour accéder aux points de partage. En général, vous devez configurer des points de partage uniques pour chaque type de client et les partager à l’aide d’un seul protocole :  Clients Mac OS—AFP (Apple Filing Protocol)  Clients Windows—SMB (Server Message Block)  Clients UNIX—NFS (Network File System)  clients FTP—FTP (File Transfer Protocol) Remarque : avec le verrouillage unifié, les applications peuvent utiliser des verrous pour coordonner l’accès aux fichiers, même si plusieurs protocoles sont utilisés. Cela permet aux utilisateurs travaillant sur plusieurs plateformes de partager des fichiers via les protocoles AFP, SMB et NFS sans avoir à se soucier de la corruption de fichiers causée par des problèmes de verrouillage entre les protocoles. Vous pouvez être amené, dans certains cas, à partager un élément en utilisant plusieurs protocoles. Par exemple, les utilisateurs de Mac OS et de Windows peuvent souhaiter partager des fichiers graphiques ou de traitement de texte pouvant utiliser l’un ou l’autre des protocoles de fichiers. Si tel est le cas, vous pouvez créer un point de partage unique prenant en charge les deux plateformes. À l’inverse, vous pouvez être amené à configurer des points de partage prenant en charge un seul protocole, même si vous avez plusieurs types de clients. Par exemple, si la plupart de vos clients sont des utilisateurs UNIX et que seuls certains d’entre eux utilisent Mac OS, vous pouvez opter pour le partage d’éléments en utilisant uniquement NFS, pour garder une configuration simple. Toutefois, gardez à l’esprit qu’NFS ne fournit pas certaines fonctionnalités AFP auxquelles les utilisateurs Mac OS sont habitués, telles que la recherche Spotlight, les ACL natives et la prise en charge d’attributs étendus. Par ailleurs, si vous partagez des applications ou documents uniquement destinés à des utilisateurs Windows, vous pouvez configurer un point de partage SMB qu’ils seront les seuls à utiliser. Cela fournit un seul point d’accès à vos utilisateurs Windows et leur permet de profiter à la fois des verrouillages de fichiers opportuniste et strict. Pour en savoir plus sur le verrouillage de fichiers, consultez la rubrique « Verrouillage de fichiers avec les points de partage SMB » à la page 103. Remarque : si vous activez les services AFP et SMB sur votre serveur, les clients Mac OS peuvent se connecter au serveur via le protocole AFP ou SMB. Si les utilisateurs Windows souhaitent se connecter au serveur via le protocole AFP, ils devront utiliser un logiciel client AFP de tierce partie. 40 Chapitre 3 Configuration de points de partage Organisation des informations partagées Organisez les informations partagées avant de configurer les points de partage, en particulier si vous configurez des dossiers de départ réseau. Une fois les points de partage créés, les utilisateurs se constituent des cartes mentales de l’organisation des points de partage et des éléments qu’ils contiennent. La modification des points de partage et le déplacement des informations peuvent être sources de confusions. Sécurité Passez en revue les questions évoquées à la rubrique « Observations sur la sécurité » à la page 34. Dossiers de départ réseau Si vous configurez un point de partage sur votre serveur pour stocker les dossiers de départ des utilisateurs, gardez à l’esprit les points suivants :  Le point de partage /Utilisateurs est configuré par défaut pour le stockage de dossiers de départ lorsque vous installez Mac OS X Server. Vous pouvez utiliser ce point de partage préconfiguré pour les dossiers de départ des utilisateurs ou en créer un sur un volume local.  Les réglages relatifs au montage automatique du point de partage doivent indiquer que celui-ci est utilisé pour les dossiers de départ des utilisateurs.  Le point de partage doit se trouver dans le même domaine Open Directory que celui où les comptes d’utilisateurs sont définis.  Pour que tous les types d’utilisateurs bénéficient des services, le chemin d’accès complet d’un dossier de départ réseau AFP ou NFS ne doit pas contenir d’espaces, ni excéder 89 caractères. Pour en savoir plus, consultez l’article 107695 de la base de connaissances Apple à l’adresse docs.info.apple.com/article.html?artnum=107695. Quotas de disque Vous pouvez définir la taille maximale du dossier de départ d’un utilisateur en fixant un quota dans la sous-fenêtre Départ des réglages du compte de l’utilisateur, dans le Gestionnaire de groupe de travail. Pour fixer des quotas d’espace pour d’autres points de partage, vous devez utiliser la ligne de commande. Consultez le chapitre sur les services de fichiers du guide Administration de ligne de commande. Chapitre 3 Configuration de points de partage 41 Configuration d’un point de partage Cette rubrique décrit comment créer des points de partage et définir des privilèges d’accès pour le point de partage. Il décrit également comment partager à l’aide de protocoles spécifiques (AFP, SMB, FTP ou NFS) et comment monter automatiquement des points de partage sur les bureaux des clients. Pour connaître les autres tâches que vous pouvez être amené à effectuer après avoir configuré le partage sur votre serveur, consultez la rubrique « Gestion des points de partage » à la page 52. Création d’un point de partage Le Partage de fichiers dans Admin Serveur permet de partager des volumes (notamment disques, CD et DVD), des partitions, ainsi que des dossiers individuels en configurant des points de partage. Remarque : n’utilisez pas de barre oblique (/) dans le nom d’un dossier ou volume que vous souhaitez partager. Les utilisateurs essayant d’accéder au point de partage pourraient en effet avoir du mal à l’afficher. Pour créer un point de partage, procédez de la manière suivante : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur Partage de fichiers. 3 Cliquez sur Volumes pour obtenir la liste des volumes disponibles pour le partage. Pour créer un point de partage d’un volume entier, sélectionnez le volume dans la liste. Pour partager un dossier dans un volume, sélectionnez le volume dans la liste, puis cliquez sur Parcourir pour localiser et sélectionner le dossier. 4 Cliquez sur Partager. Si vous devez créer un dossier pour votre point de partage, cliquez sur Parcourir, puis sur Nouveau dossier, saisissez le nom du dossier et cliquez sur Créer. 5 Cliquez sur Enregistrer. Par défaut, le nouveau point de partage est partagé via les protocoles AFP, SMB et FTP, mais pas NFS. Pour configurer votre point de partage pour un protocole spécifique ou pour exporter le point de partage via NFS, cliquez sur Options de protocole et choisissez le protocole. Les réglages spécifiques à chaque protocole sont décrits dans les rubriques qui suivent. À partir de la ligne de commande Vous pouvez également configurer un point de partage à l’aide de la commande sharing dans Terminal. Pour en savoir plus, consultez le chapitre sur les services de fichiers du guide Administration de ligne de commande. 42 Chapitre 3 Configuration de points de partage Configuration des privilèges Mac OS X Server fournit deux méthodes de contrôle de l’accès aux fichiers et dossiers : les autorisations standard et les autorisations d’ACL. Ces méthodes sont décrites dans les rubriques suivantes. Définition d’autorisations standard Lorsque vous n’avez pas besoin de la flexibilité et de la granularité que fournissent les listes de contrôle d’accès (ACL) ou lorsque les ACL ne sont pas prises en charge, utilisez les autorisations POSIX standard (Lecture et écriture, Lecture seule, Écriture seule et Aucune) pour contrôler l’accès à un point de partage et à son contenu. Pour définir des autorisations standard pour un point de partage, procédez de la manière suivante : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur Partage de fichiers. 3 Cliquez sur Points de partage et sélectionnez le point de partage dans la liste. 4 Cliquez sur Autorisations en dessous de la liste. 5 Pour définir le propriétaire ou le groupe de l’élément partagé, saisissez les noms ou faites-les glisser du volet Utilisateurs et groupes aux fiches du propriétaire ou du groupe, dans le tableau des autorisations. Les fiches du propriétaire et du groupe sont listées dans l’en-tête POSIX. L’icône contenant un seul utilisateur correspond à la fiche du propriétaire et l’icône de groupe correspond à la fiche du groupe. Pour ouvrir le volet, cliquez sur le bouton Ajouter (+). Si un utilisateur ou groupe récemment créé ne s’affiche pas, cliquez sur le bouton Actualiser (en dessous de la liste des serveurs). Vous pouvez également modifier les noms de propriétaire et de groupe en double-cliquant sur la fiche d’autorisations concernée et en faisant glisser ou en tapant le nom dans le champ Utilisateur/groupe, dans la fenêtre qui s’affiche. Remarque : pour modifier l’intervalle d’actualisation automatique, sélectionnez Admin Serveur > Préférences et changez la valeur dans le champ « Actualiser automatiquement toutes les ». 6 Pour modifier les autorisations de Propriétaire, Groupe ou Autres, utilisez le menu local Autorisation dans la ligne concernée du tableau des autorisations. Autres correspond à tout utilisateur qui ouvre une session sur le serveur de fichiers, mais qui n’est pas le propriétaire et qui n’appartient pas au groupe. 7 Cliquez sur Enregistrer. Le nouveau point de partage est partagé à l’aide des protocoles AFP, SMB et FTP, mais pas NFS. Chapitre 3 Configuration de points de partage 43 Définition d’autorisations d’ACL Pour configurer des autorisations d’ACL pour un point de partage ou un dossier, créez une liste d’entrées de contrôle d’accès (ACE). Pour chaque ACE, vous pouvez définir 17 autorisations avec l’héritage Autoriser, Refuser et Statique, vous permettant ainsi de contrôler précisément les autorisations d’accès, ce qui n’est pas le cas lorsque vous utilisez des autorisations standard. Par exemple, vous pouvez séparer les autorisations de suppression des autorisations d’écriture, de sorte qu’un utilisateur puisse modifier un fichier, mais pas le supprimer. Pour définir des autorisations d’ACL pour un point de partage ou un dossier, procédez de la manière suivante : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur Partage de fichiers. 3 Cliquez sur Points de partage et sélectionnez le point de partage dans la liste. 4 Cliquez sur Autorisations en dessous de la liste. 5 Cliquez sur le bouton Ajouter (+) pour ouvrir le volet Utilisateurs et groupes. 6 Faites glisser les utilisateurs et les groupes du volet à la liste Autorisations d’ACL pour créer des ACE. Par défaut, chaque nouvelle ACE confère à l’utilisateur ou au groupe des autorisations complètes en matière de lecture et d’héritage. Pour modifier les réglages ACE, consultez la rubrique « Modification d’ACE » à la page 57. La première entrée de la liste prime sur la seconde, qui elle-même prime sur la troisième, et ainsi de suite. Par exemple, si la première entrée refuse à un utilisateur le droit de modifier un fichier, les autres ACE octroyant des autorisations de modification à ce même utilisateur sont ignorées. En outre, les ACE des ACL priment sur les autorisations standard. Pour en savoir plus sur les autorisations, consultez la rubrique « Règles de priorité » à la page 29. 7 Pour définir les autorisations adéquates, utilisez les flèches dans les champs de colonnes pour chaque entrée de la liste. L’ordre des ACE dans la liste change en fonction du niveau d’accès lorsque les autorisations sont enregistrées. 8 Cliquez sur Enregistrer. 44 Chapitre 3 Configuration de points de partage Modification des réglages AFP d’un point de partage Vous pouvez utiliser Admin Serveur pour choisir si un point de partage doit être disponible via AFP et pour modifier les réglages, tels que le nom du point de partage que les clients AFP voient et l’autorisation ou non de l’accès comme invité. Les réglages par défaut pour un nouveau point de partage doivent rendre ce dernier aisément accessible aux clients Mac OS 8, Mac OS 9 et Mac OS X. Pour modifier les réglages d’un point de partage AFP, procédez de la manière suivante : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur Partage de fichiers. 3 Cliquez sur Points de partage et sélectionnez le point de partage dans la liste. 4 Cliquez sur Point de partage en dessous de la liste. 5 Cliquez sur Options de protocole. La fenêtre du protocole s’ouvre alors, avec des options de configuration pour les protocoles AFP, SMB, FTP et NFS. 6 Cliquez sur AFP. 7 Accordez l’accès AFP au point de partage en sélectionnant « Partager cet élément via AFP ». 8 Autorisez les utilisateurs non enregistrés à accéder au point de partage en sélectionnant « Autoriser l’accès comme invité AFP ». Pour plus de sécurité, ne sélectionnez pas cet élément. 9 Pour modifier le nom que les clients voient lorsqu’ils recherchent le point de partage et s’y connectent à l’aide du protocole AFP, saisissez un nom dans le champ « Nom AFP personnalisé ». La modification du nom AFP personnalisé affecte uniquement le nom que les clients AFP voient, pas le nom du point de partage en lui-même. 10 Si vous utilisez uniquement des autorisations POSIX, choisissez une méthode d’attribution des autorisations d’accès par défaut pour les nouveaux fichiers et dossiers du point de partage : Pour que les nouveaux éléments utilisent les autorisations POSIX par défaut, sélectionnez « Utiliser le comportement standard POSIX ». Pour permettre aux nouveaux éléments d’adopter les privilèges de l’élément auquel ils appartiennent, sélectionnez « Recevoir les autorisations des parents ». 11 Cliquez sur OK, puis sur Enregistrer. À partir de la ligne de commande Vous pouvez également modifier les réglages AFP d’un point de partage à l’aide de la commande sharing dans Terminal. Pour en savoir plus, consultez le chapitre sur les services de fichiers du guide Administration de ligne de commande. Chapitre 3 Configuration de points de partage 45 Modification des réglages SMB d’un point de partage Vous pouvez utiliser Admin Serveur pour définir la disponibilité des points de partage via SMB, et pour modifier les réglages, tels que le nom du point de partage que les clients SMB voient. Vous pouvez également utiliser Admin Serveur pour définir les autorisations d’accès comme invité et les privilèges par défaut pour les nouveaux fichiers et dossiers, ainsi que pour activer le verrouillage opportuniste. Pour en savoir plus sur le verrouillage opportuniste, consultez la rubrique « Verrouillage de fichiers avec les points de partage SMB » à la page 103. Pour modifier les réglages d’un point de partage SMB, procédez de la manière suivante : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur Partage de fichiers. 3 Cliquez sur Points de partage et sélectionnez le point de partage dans la liste. 4 Cliquez sur Point de partage en dessous de la liste. 5 Cliquez sur Options de protocole. La fenêtre du protocole s’ouvre alors, avec des options de configuration pour les protocoles AFP, SMB, FTP et NFS. 6 Cliquez sur SMB. 7 Accordez l’accès SMB au point de partage en sélectionnant « Partager cet élément via SMB ». 8 Autorisez les utilisateurs non enregistrés à accéder au point de partage en sélectionnant « Autoriser l’accès comme invité SMB ». Pour plus de sécurité, ne sélectionnez pas cet élément. 9 Pour modifier le nom que les clients voient lorsqu’ils recherchent le point de partage et s’y connectent à l’aide du protocole SMB, saisissez un nouveau nom dans le champ « Nom SMB personnalisé ». La modification du nom SMB personnalisé affecte uniquement le nom que les clients SMB voient, et non le nom du point de partage en lui-même. 10 Si le point de partage utilise uniquement le protocole SMB, sélectionnez le type de verrouillage pour le point de partage : Pour autoriser les clients à utiliser le verrouillage de fichier opportuniste, sélectionnez « Activer les oplocks ». Pour que les clients utilisent les verrouillages standard sur des serveurs de fichiers, sélectionnez « Activer le verrouillage strict ». 46 Chapitre 3 Configuration de points de partage 11 Si vous utilisez uniquement des autorisations POSIX, choisissez une méthode d’attribution des privilèges d’accès par défaut pour les nouveaux fichiers et dossiers du point de partage : Pour permettre aux nouveaux éléments d’adopter les privilèges de l’élément auquel ils appartiennent, sélectionnez « Recevoir les autorisations des parents ». Pour attribuer des privilèges spécifiques, sélectionnez « Affecter comme suit » et définissez les privilèges Propriétaire, Groupe et Autres à l’aide des menus locaux. 12 Cliquez sur OK, puis sur Enregistrer. À partir de la ligne de commande Vous pouvez également modifier les réglages SMB d’un point de partage à l’aide de la commande sharing dans Terminal. Pour en savoir plus, consultez le chapitre sur les services de fichiers du guide Administration de ligne de commande. Modification des réglages FTP d’un point de partage Vous pouvez utiliser Admin Serveur pour définir la disponibilité des points de partage via FTP et pour modifier les réglages, tels que les autorisations d’accès comme invité et le nom du point de partage que les clients FTP voient. Pour modifier les réglages d’un point de partage FTP, procédez de la manière suivante : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur Partage de fichiers. 3 Cliquez sur Points de partage et sélectionnez le point de partage dans la liste. 4 Cliquez sur Point de partage en dessous de la liste. 5 Cliquez sur Options de protocole. La fenêtre du protocole s’ouvre alors, avec des options de configuration pour les protocoles AFP, SMB, FTP et NFS. 6 Cliquez sur FTP. 7 Rendez le point de partage disponible aux clients FTP en sélectionnant « Partager cet élément via FTP ». 8 Autorisez les utilisateurs anonymes à ouvrir cet élément en sélectionnant « Autoriser l’accès comme invité FTP ». Pour plus de sécurité, ne sélectionnez pas cet élément. 9 Pour modifier le nom que les clients voient lorsqu’ils recherchent le point de partage et s’y connectent à l’aide du protocole FTP, saisissez un nouveau nom dans le champ « Nom FTP personnalisé ». La modification du nom FTP personnalisé affecte uniquement le nom que les clients FTP utilisent, et non le nom du point de partage en lui-même. 10 Cliquez sur OK, puis sur Enregistrer. Chapitre 3 Configuration de points de partage 47 À partir de la ligne de commande Vous pouvez également modifier les réglages FTP d’un point de partage à l’aide de la commande sharing dans Terminal. Pour en savoir plus, consultez le chapitre sur les services de fichiers du guide Administration de ligne de commande. Exportation d’un point de partage NFS Vous pouvez utiliser NFS pour exporter des points de partage vers des clients sous UNIX. (Exportation est le terme utilisé sous NFS pour parler de partage.) Pour exporter un point de partage NFS, procédez de la manière suivante : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur Partage de fichiers. 3 Cliquez sur Points de partage et sélectionnez le point de partage dans la liste. 4 Cliquez sur Point de partage en dessous de la liste. 5 Cliquez sur Options de protocole. La fenêtre du protocole s’ouvre alors, avec des options de configuration pour les protocoles AFP, SMB, FTP et NFS. 6 Cliquez sur NFS. 7 Sélectionnez « Exporter cet élément et son contenu vers » et choisissez un public dans le menu local. Pour limiter les clients à des ordinateurs spécifiques, sélectionnez « Liste de clients », puis cliquez sur Ajouter (+) pour spécifier les adresses IP des ordinateurs pouvant accéder au point de partage. Pour limiter les clients au sous-réseau entier, sélectionnez « Sous-réseau », puis saisissez l’adresse IP et le masque de sous-réseau pour le sous-réseau. Important : assurez-vous que l’adresse de sous-réseau saisie est bien l’adresse du réseau IP correspondant au masque de sous-réseau que vous avez choisi, et non une adresse client. Sinon, vos clients ne pourront pas accéder au point de partage. Un calculateur de réseau vous aide à sélectionner l’adresse de sous-réseau et le masque pour l’ensemble des adresses clients que vous souhaitez atteindre. Il est conseillé d’en utiliser un pour valider votre combinaison finale adresse/masque. Si nécessaire, des calculateurs sont disponibles sur le web. Supposons, par exemple, que vous souhaitez exporter vers des clients dont l’adresse IP va de 192.168.100.50 à 192.168.100.120. À l’aide d’un calculateur de sous-réseau, vous pouvez découvrir que le masque 255.255.255.128 appliqué à toute adresse de cette plage définit un sous-réseau avec l’adresse réseau 192.168.100.0 et une plage d’adresses IP utilisables allant de 192.168.100.1 à 192.168.100.126, incluant ainsi les adresses des clients de votre choix. Dans Admin Serveur, vous pouvez alors saisir l’adresse de sousréseau 192.168.100.0 et le masque de sous-réseau 255.255.255.128 dans les réglages d’exportation NFS du point de partage. 48 Chapitre 3 Configuration de points de partage Pour permettre un accès illimité (et non authentifié) au point de partage, choisissez « Monde ». 8 À partir du menu local Mappage, définissez le mappage des privilèges pour le point de partage NFS : Sélectionnez « De root à root » si vous souhaitez que l’utilisateur root dispose des privilèges root de lecture, d’écriture et d’exécution de commandes. Sélectionnez « De tous à aucun » si vous souhaitez que l’utilisateur dispose des privilèges minimaux de lecture, d’écriture et d’exécution de commandes. Sélectionnez « De root à aucun » si vous souhaitez que l’utilisateur root sur un client distant dispose uniquement des privilèges minimaux de lecture, d’écriture et d’exécution de commandes. Sélectionnez Aucun si vous ne souhaitez pas que les privilèges soient mappés. 9 À partir du menu local Sécurité minimale, définissez le niveau d’authentification : Sélectionnez « Standard » si vous ne souhaitez pas définir de niveau d’authentification. Sélectionnez « Quelconque » si vous voulez qu’NFS accepte n’importe quelle méthode d’authentification. Sélectionnez « Kerberos v5 » si vous voulez qu’NFS accepte uniquement l’authentification Kerberos. Sélectionnez « Kerberos v5 avec intégrité des données » si vous voulez qu’NFS accepte l’authentification Kerberos et valide les données (somme de contrôle) lors de la transmission. Sélectionnez « Kerberos v5 avec intégrité et confidentialité des données » pour qu’NFS accepte l’authentification, pour valider avec la somme de contrôle et pour chiffrer les données lors de la transmission. 10 Si vous ne voulez pas que les utilisateurs clients modifient le contenu de l’élément partagé, cochez la case Lecture seule. 11 Sélectionnez « Autoriser le montage de sous-répertoires ». Cela permet aux clients de monter des sous-dossiers d’un point de partage exporté. Par exemple, si vous exportez le dossier /Utilisateurs/, tous ses sous-dossiers peuvent être montés directement. 12 Cliquez sur OK, puis sur Enregistrer. Remarque : si vous exportez plusieurs points de partage NFS, il ne peut pas y avoir d’exportations imbriquées sur un seul volume, ce qui signifie qu’un répertoire exporté ne peut pas être l’enfant d’un autre répertoire exporté sur le même volume. Chapitre 3 Configuration de points de partage 49 À partir de la ligne de commande Vous pouvez également configurer un point de partage NFS à l’aide de la ligne de commande dans Terminal. Pour en savoir plus, consultez les exportations de pages man (5), nfs.conf (5) et nfsd (8), ainsi que le chapitre sur les services de fichiers du guide Administration de ligne de commande. Nouveau partage de montages NFS en tant que points de partage AFP Le nouveau partage de montages NFS (volumes NFS qui ont été exportés vers Mac OS X Server) permet aux clients Mac OS 9 d’accéder aux services de fichiers NFS sur des réseaux UNIX traditionnels. Pour partager à nouveau un montage NFS en tant que point de partage AFP, procédez de la manière suivante : 1 Sur le serveur NFS qui exporte le point de partage d’origine, vérifiez que l’exportation NFS établit une correspondance root à root pour qu’AFP (qui s’exécute en tant que root) puisse accéder aux fichiers pour les clients. 2 Limitez l’exportation à l’unique serveur AFP (c’est-à-dire le client se connectant au serveur NFS). Pour une sécurité accrue, définissez un réseau privé pour la connexion AFP vers NFS. 3 Ouvrez Admin Serveur et connectez-vous au serveur. 4 Cliquez sur Partage de fichiers. 5 Cliquez tout en maintenant la touche Contrôle enfoncée dans la liste Volumes ou Points de partage, sélectionnez « Monter le partage NFS », puis saisissez l’URL du serveur NFS que vous souhaitez repartager. C’est l’URL qui se connecte au serveur NFS repartagé. Par exemple, pour se connecter au montage NFS repartagé « widgets » au niveau root du serveur entr1, utilisez l’URL suivante : nfs://corp1/widgets 6 Cliquez sur OK. Admin Serveur crée le point de montage NFS. 7 Suivez les étapes 1 à 4 pour chaque volume NFS que vous souhaitez repartager. 8 À l’aide d’Admin Serveur, partagez les montages NFS en tant que points de partage AFP. Les montages NFS s’affichent comme des volumes normaux dans la liste Points de partage. (Vous pouvez également partager les montages NFS via SMB et FTP, mais il est recommandé d’utiliser uniquement AFP.) Vous pouvez modifier les privilèges et droits de propriété, mais il n’est pas possible d’activer des quotas (ceux-ci ne fonctionnent que sur les volumes locaux). Cependant, si les quotas sont activés sur le serveur NFS, ils doivent également être appliqués au volume repartagé. 50 Chapitre 3 Configuration de points de partage Remarque : les quotas définis pour l’exportation NFS d’origine sont pris en compte lors du nouveau partage AFP. Montage automatique de points de partage pour les clients Vous pouvez monter des points de partage automatiquement sur des ordinateurs clients Mac OS X à l’aide des montages de réseau. Vous pouvez monter automatiquement des points de partage AFP ou NFS. Lorsque vous définissez le montage automatique d’un point de partage, une fiche répertoriant les montages est créée dans la base de données Open Directory. Assurezvous que vous créez ces fiches dans le même domaine partagé que celui où se trouvent les fiches des utilisateurs et ordinateurs. Remarque : tous les utilisateurs peuvent accéder en tant qu’invités aux points de partage AFP montés automatiquement sur le réseau. Les accès authentifiés d’un utilisateur sont autorisés uniquement pour son propre dossier de départ ou si vous avez configuré Kerberos pour la signature unique. Pour configurer un montage de réseau, procédez de la manière suivante : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur Partage de fichiers. 3 Cliquez sur Points de partage et sélectionnez le point de partage dans la liste. 4 Cliquez sur Point de partage en dessous de la liste. 5 Cochez la case « Activer le montage automatique », puis cliquez sur Modifier. S’ouvre alors une fenêtre de configuration pour le montage automatique. 6 Dans le menu local Répertoire, sélectionnez le domaine de répertoire qui contient vos utilisateurs et ordinateurs. 7 Dans le menu local Protocole, choisissez le protocole de partage (AFP ou NFS). Si vous choisissez AFP, l’accès en tant qu’invité doit être activé pour que les points de partage AFP montés automatiquement fonctionnent, sauf si tous les utilisateurs ont accès à leurs dossiers de départ grâce à la signature unique Kerberos. Pour en savoir plus, consultez la rubrique « Configuration des réglages d’accès » à la page 75. 8 Définissez comment le point de partage doit être monté et utilisé sur les ordinateurs clients : « Dossiers de départ utilisateur » : sélectionnez cette option pour que les dossiers de départ sur le point de partage soient listés sur l’ordinateur d’un client, dans /Réseau/Serveurs/. « Dossier des applications partagées » : sélectionnez cette option pour que le point de partage apparaisse dans /Réseau/Applications/ sur l’ordinateur de l’utilisateur. Chapitre 3 Configuration de points de partage 51 « Dossier Bibliothèque partagée » : sélectionnez cette option pour que le point de partage apparaisse dans /Réseau/Bibliothèque/. Une bibliothèque de réseau est alors créée. « Chemin d’accès de montage personnalisé » : sélectionnez cette option pour que le point de partage apparaisse dans le dossier spécifié. Avant de monter le point de partage, vérifiez que ce dossier existe sur l’ordinateur client. 9 Cliquez sur OK. 10 Procédez à l’authentification lorsque vous y êtes invité. 11 Cliquez sur Enregistrer. Gestion des points de partage Cette rubrique décrit les tâches quotidiennes que vous pouvez être amené à effectuer après avoir configuré des points de partage sur votre serveur. Vous trouverez les informations relatives à la configuration initiale à la rubrique « Configuration d’un point de partage » à la page 42. Vérification de l’état du partage de fichiers Utilisez Admin Serveur pour vérifier l’état des volumes et des points de partage. Pour afficher l’état du partage de fichiers, procédez de la manière suivante : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur Partage de fichiers. 3 Cliquez sur Volumes pour afficher une liste des volumes. Chaque volume indique l’espace disque utilisé, si les quotas sont activés ou non, ainsi que le type de volume. 4 Cliquez sur Points de partage pour afficher une liste des points de partage. Chaque point de partage indique l’espace disque utilisé et si le partage, l’accès en tant qu’invité, le montage automatique et l’indexation Spotlight sont activés ou non. 5 Pour contrôler la configuration des quotas pour un volume, sélectionnez le volume et cliquez sur Quotas en dessous de la liste. 52 Chapitre 3 Configuration de points de partage Désactivation d’un point de partage Pour arrêter de partager un point de partage, utilisez le Partage de fichiers dans Admin Serveur pour le retirer de la liste Points de partage. Remarque : avant de supprimer ou de renommer un point de partage dans le Finder, désactivez le point de partage dans Admin Serveur. Pour supprimer un point de partage, procédez de la manière suivante : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur Partage de fichiers. 3 Cliquez sur Points de partage et sélectionnez le point de partage à supprimer. 4 Cliquez sur Départager. 5 Cliquez sur Enregistrer. Le protocole et les réglages de montage de réseau que vous aviez mis en place sont annulés. À partir de la ligne de commande Vous pouvez désactiver un point de partage à l’aide de la commande sharing dans Terminal. Pour en savoir plus, consultez le chapitre sur les services de fichiers du guide Administration de ligne de commande. Désactivation du protocole d’un point de partage Vous pouvez utiliser le Partage de fichiers dans Admin Serveur pour arrêter de partager un point de partage à l’aide d’un protocole spécifique, mais continuer à autoriser le partage via d’autres protocoles. Pour arrêter le partage via un protocole en particulier, procédez de la manière suivante : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur Partage de fichiers. 3 Cliquez sur Points de partage et sélectionnez le point de partage à reconfigurer. 4 Cliquez sur Point de partage en dessous de la liste. 5 Cliquez sur Options de protocole et sélectionnez le protocole. 6 Désactivez la case à cocher « Partager cet élément via ». Vous pouvez désactiver un protocole pour tous les points de partage en arrêtant le service sous-jacent qui permet la prise en charge du protocole. Pour en savoir plus, consultez les rubriques « Arrêt du service AFP » à la page 81, « Arrêt du service NFS » à la page 120, ou « Arrêt du service FTP » à la page 138. Chapitre 3 Configuration de points de partage 53 À partir de la ligne de commande Vous pouvez également désactiver un protocole d’un point de partage en vous servant de la commande sharing dans Terminal. Pour en savoir plus, consultez le chapitre sur les services de fichiers du guide Administration de ligne de commande. Affichage de la configuration des points de partage et des réglages des protocoles Vous pouvez afficher la configuration des points de partage et les réglages des protocoles dans Admin Serveur, dans la liste Points de partage. Pour afficher la configuration des points de partage et les réglages des protocoles sur un serveur, procédez de la manière suivante : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur Partage de fichiers. 3 Cliquez sur Points de partage. Vous pouvez afficher les réglages relatifs au nom du point de partage, au chemin, à l’espace disque, au partage, à l’accès en tant qu’invité, au montage automatique et à Spotlight. Utilisez les bulles d’informations pour afficher rapidement les protocoles partagés et ceux d’accès en tant qu’invité pour un point de partage. 4 Sélectionnez le point de partage, puis cliquez sur Point de partage en dessous de la liste. 5 Affichez les réglages des protocoles en cliquant sur Options de protocole et en sélectionnant le protocole (AFP, SMB, FTP ou NFS). À partir de la ligne de commande Vous pouvez également afficher les réglages des points de partage à l’aide de la commande sharing dans Terminal. Pour en savoir plus, consultez le chapitre sur les services de fichiers du guide Administration de ligne de commande. Affichage du contenu et des privilèges des points de partage Vous pouvez utiliser le Partage de fichiers dans Admin Serveur pour afficher le contenu et les privilèges d’accès des points de partage. Pour afficher le contenu et les privilèges d’accès des points de partage sur un serveur, procédez de la manière suivante : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur Partage de fichiers. 3 Cliquez sur Points de partage et sélectionnez un point de partage dans la liste. 4 Cliquez sur Autorisations en dessous de la liste. Vous pouvez maintenant afficher le contenu du point de partage sélectionné et accéder aux éléments de la hiérarchie des dossiers. 54 Chapitre 3 Configuration de points de partage Vous pouvez également afficher les réglages des privilèges (POSIX et ACL) du point de partage, ainsi que chaque élément de la hiérarchie des dossiers. À partir de la ligne de commande Vous pouvez également afficher les points de partage et leur contenu à l’aide des commandes sharing et ls dans Terminal. Pour en savoir plus, consultez le chapitre sur les services de fichiers du guide Administration de ligne de commande. Gestion des privilèges d’accès de points de partage Cette rubrique décrit les tâches classiques que vous pouvez être amené à effectuer pour gérer les privilèges d’accès de votre point de partage. Modification d’autorisations POSIX Utilisez Admin Serveur pour afficher et modifier les autorisations POSIX standard d’un point de partage. Pour modifier les autorisations POSIX standard d’un point de partage, procédez de la manière suivante : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur Partage de fichiers. 3 Cliquez sur Points de partage et sélectionnez dans la liste le point de partage à mettre à jour. 4 Cliquez sur Autorisations en dessous de la liste. Pour modifier les autorisations POSIX, changez le propriétaire et le groupe de l’élément partagé en faisant glisser les noms du volet Utilisateurs et groupes vers les fiches du propriétaire ou du groupe, dans le tableau des autorisations. Les fiches du propriétaire et du groupe sont listées dans l’en-tête POSIX. L’icône contenant un seul utilisateur correspond à la fiche du propriétaire et l’icône de groupe correspond à la fiche du groupe. Ouvrez le volet en cliquant sur le bouton Ajouter (+). 5 Pour modifier les autorisations du Propriétaire, du Groupe ou de Autres, utilisez le menu local Autorisations dans la ligne concernée du tableau des autorisations. « Autres » représente n’importe quel utilisateur qui n’est pas le propriétaire et n’appartient pas au groupe, mais qui peut se connecter au serveur de fichiers. À partir de la ligne de commande Vous pouvez également modifier les privilèges d’un point de partage à l’aide des commandes chmod, chgrp et chown dans Terminal. Pour en savoir plus, consultez le chapitre sur les services de fichiers du guide Administration de ligne de commande. Chapitre 3 Configuration de points de partage 55 Ajout d’ACE à des ACL Contrôlez l’accès à un point de partage en ajoutant ou en supprimant des ACE de l’ACL propre au point de partage. Chaque ACE définit les autorisations d’accès pour un utilisateur ou un groupe. Pour ajouter une ACE à une ACL, procédez de la manière suivante : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur Partage de fichiers. 3 Cliquez sur Points de partage et sélectionnez dans la liste le point de partage à mettre à jour. 4 Cliquez sur Autorisations en dessous de la liste. 5 Ouvrez la liste Utilisateurs et groupes en cliquant sur le bouton Ajouter (+). 6 Faites glisser les utilisateurs et les groupes à ajouter à la liste de contrôle d’accès. 7 Cliquez sur Enregistrer. Par défaut, chaque nouvelle ACE confère à l’utilisateur ou au groupe des autorisations de lecture complètes. De plus, les quatre options d’héritage sont sélectionnées. Pour en savoir plus sur les options d’héritage, consultez la rubrique « Comprendre l’héritage » à la page 26. Pour modifier les réglages ACE, consultez la rubrique « Modification d’ACE » à la page 57. À partir de la ligne de commande Vous pouvez également ajouter des ACE à l’aide de la commande chmod dans Terminal. Pour en savoir plus, consultez le chapitre sur les services de fichiers du guide Administration de ligne de commande. Suppression d’ACE Contrôlez l’accès à un point de partage en ajoutant ou en supprimant des ACE de l’ACL propre au point de partage. Chaque ACE définit les autorisations d’accès pour un utilisateur ou un groupe. Pour supprimer une ACE d’une ACL, procédez de la manière suivante : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur Partage de fichiers. 3 Cliquez sur Points de partage et sélectionnez dans la liste le point de partage à mettre à jour. 4 Cliquez sur Autorisations en dessous de la liste. 5 Dans la liste de contrôle d’accès, sélectionnez l’ACE. 6 Cliquez sur le bouton Supprimer (–). 7 Cliquez sur Enregistrer. 56 Chapitre 3 Configuration de points de partage À partir de la ligne de commande Vous pouvez également supprimer des ACE à l’aide de la commande chmod dans Terminal. Pour en savoir plus, consultez le chapitre sur les services de fichiers du guide Administration de ligne de commande. Modification d’ACE Utilisez Admin Serveur si vous avez besoin de modifier les réglages d’une ACE pour autoriser ou restreindre les tâches qu’un utilisateur ou un groupe peut effectuer dans un point de partage. Pour modifier une ACE, procédez de la manière suivante : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur Partage de fichiers. 3 Cliquez sur Points de partage et sélectionnez dans la liste le point de partage à mettre à jour. 4 Cliquez sur Autorisations en dessous de la liste. 5 Dans la liste de contrôle d’accès, sélectionnez l’ACE. 6 Cliquez sur le bouton Modifier (/). 7 Dans le menu local Type d’autorisation, sélectionnez « Autoriser » ou « Refuser ». 8 Dans la liste Autorisations, sélectionnez les autorisations. 9 Cliquez sur OK. 10 Cliquez sur Enregistrer. Vous pouvez également modifier les champs Type et Autorisation d’une ACE en cliquant dans le champ et en sélectionnant une option dans le menu local. Le champ Autorisation contient cinq options :  Contrôle complet  Lecture et écriture  Lecture  Écriture  Personnalisé (Cette option s’affiche si l’ensemble des autorisations ne correspond à aucune des autres options.) Pour en savoir plus sur les autorisations et les types d’autorisations, consultez la rubrique « Entrées de contrôle d’accès (ACE) » à la page 25. Chapitre 3 Configuration de points de partage 57 Suppression des ACE héritées d’un dossier Si vous ne souhaitez pas appliquer d’ACE héritées à un dossier ou à un fichier, vous pouvez supprimer ces entrées à l’aide d’Admin Serveur. Pour supprimer les ACE héritées d’un dossier, procédez de la manière suivante : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur Partage de fichiers. 3 Cliquez sur Points de partage et sélectionnez dans la liste le point de partage à mettre à jour. 4 Cliquez sur Autorisations en dessous de la liste. 5 À l’aide du bouton de menu Action (engrenage), sélectionnez « Supprimer les entrées héritées ». Les ACE héritées apparaissent estompées, sauf si vous avez choisi de les rendre explicites, comme décrit à la rubrique « Transformation des ACE héritées d’un dossier en ACE explicites » à la page 58. 6 Cliquez sur Enregistrer. Admin Serveur supprime les ACE héritées. À partir de la ligne de commande Vous pouvez également supprimer des ACE héritées à l’aide de la commandechmod dans Terminal. Pour en savoir plus, consultez le chapitre sur les services de fichiers du guide Administration de ligne de commande. Transformation des ACE héritées d’un dossier en ACE explicites Les ACE apparaissent estompées dans l’ACL d’Admin Serveur et vous ne pouvez pas les modifier. Pour les modifier, changez l’héritage pour qu’il devienne explicite. Pour rendre explicites les ACE héritées d’un dossier, procédez de la manière suivante : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur Partage de fichiers. 3 Cliquez sur Points de partage et sélectionnez dans la liste le point de partage à mettre à jour. 4 Cliquez sur Autorisations en dessous de la liste. 5 À l’aide du bouton de menu Action (engrenage), sélectionnez « Rendre les entrées héritées explicites ». 6 Cliquez sur Enregistrer. Vous pouvez maintenant modifier les ACE. 58 Chapitre 3 Configuration de points de partage Propagation d’autorisations Admin Serveur vous permet de spécifier les autorisations à propager à tous les fichiers et dossiers descendants. Dans le cas d’autorisations POSIX, vous pouvez choisir de propager les éléments suivants :  Nom du propriétaire  Nom du groupe  Autorisations du propriétaire  Autorisations du groupe  Autorisations de tout le monde La possibilité de sélectionner les informations à propager vous permet de contrôler précisément qui peut accéder aux fichiers et dossiers. Pour ce qui est des autorisations d’ACL, vous pouvez propager uniquement l’ACL entière. Vous ne pouvez pas propager d’ACE prises individuellement. Pour propager les autorisations de dossier, procédez de la manière suivante : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur Partage de fichiers. 3 Cliquez sur Points de partage et sélectionnez dans la liste le point de partage à mettre à jour. 4 Cliquez sur Autorisations en dessous de la liste. 5 À l’aide du bouton de menu Action (engrenage), sélectionnez « Propager les autorisations ». 6 Sélectionnez les autorisations à propager. 7 Cliquez sur OK. Admin Serveur propage les autorisations sélectionnées à tous les descendants. Suppression de l’ACL d’un fichier Pour supprimer l’ACL héritée d’un fichier, utilisez Admin Serveur. Remarque : les ACE d’un fichier étant généralement héritées, elles peuvent apparaître estompées. Pour supprimer l’ACL d’un fichier, procédez de la manière suivante : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur Partage de fichiers. 3 Cliquez sur Points de partage et sélectionnez dans la liste le point de partage à mettre à jour. 4 Cliquez sur Autorisations en dessous de la liste. 5 Sélectionnez toutes les ACE dans la liste Autorisations d’ACL, puis cliquez sur le bouton Supprimer (–). Chapitre 3 Configuration de points de partage 59 6 Cliquez sur Enregistrer. Admin Serveur supprime toutes les ACE de l’ACL d’un fichier. Les seules autorisations qui s’appliquent alors sont les autorisations POSIX standard. À partir de la ligne de commande Vous pouvez également supprimer l’ACL d’un fichier à l’aide de la commande chmod dans Terminal. Pour en savoir plus, consultez le chapitre sur les services de fichiers du guide Administration de ligne de commande. Application de l’héritage d’ACL à un fichier Si vous avez supprimé l’ACL d’un fichier et si vous souhaitez la restaurer, utilisez Admin Serveur. Pour appliquer l’héritage d’ACL à un fichier, procédez de la manière suivante : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur Partage de fichiers. 3 Cliquez sur Points de partage et sélectionnez dans la liste le point de partage à mettre à jour. 4 Cliquez sur Autorisations en dessous de la liste. 5 À l’aide du bouton de menu Action (engrenage), sélectionnez « Propager les autorisations ». 6 Sélectionnez Liste de contrôle d’accès. 7 Cliquez sur OK, puis sur Enregistrer. Détermination des autorisations de fichier ou de dossier d’un utilisateur Pour déterminer instantanément les autorisations dont dispose un utilisateur par rapport à un fichier ou à un dossier, utilisez l’Inspecteur d’autorisation effective d’Admin Serveur. Pour déterminer les autorisations de fichier ou de dossier d’un utilisateur, procédez de la manière suivante : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur Partage de fichiers. 3 Cliquez sur Points de partage et sélectionnez dans la liste le point de partage à mettre à jour. 4 Cliquez sur Autorisations en dessous de la liste. 5 À l’aide du bouton de menu Action (engrenage), sélectionnez « Afficher l’inspecteur d’autorisation effective ». Remarque : dans l’inspecteur, les autorisations et réglages d’héritage apparaissent estompés pour indiquer que vous ne pouvez pas les modifier. 6 Ouvrez la liste Utilisateurs et groupes en cliquant sur le bouton Ajouter (+). 60 Chapitre 3 Configuration de points de partage 7 À partir de la liste Utilisateurs et groupes, faites glisser un utilisateur dans l’Inspecteur d’autorisation effective. Si un utilisateur récemment créé ne s’affiche pas, cliquez sur le bouton Actualiser. Après avoir fait glisser l’utilisateur à partir de la liste, l’inspecteur affiche les autorisations de l’utilisateur pour le fichier ou le dossier sélectionné. Une entrée cochée signifie que l’utilisateur dispose de l’autorisation indiquée (équivalent d’Autoriser). Une entrée non cochée signifie l’inverse (équivalent de Refuser). 8 Lorsque vous avez terminé, fermez la fenêtre de l’inspecteur. Modification des protocoles utilisés par un point de partage Vous pouvez utiliser Admin Serveur pour modifier les protocoles disponibles pour l’accès à un point de partage. Les protocoles suivants sont disponibles :  AFP (consultez la rubrique « Modification des réglages AFP d’un point de partage » à la page 45)  SMB (consultez la rubrique « Modification des réglages SMB d’un point de partage » à la page 46)  FTP (consultez la rubrique « Modification des réglages FTP d’un point de partage » à la page 47)  NFS (consultez la rubrique « Exportation d’un point de partage NFS » à la page 48) Pour modifier les protocoles d’un point de partage, procédez de la manière suivante : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur Partage de fichiers. 3 Cliquez sur Points de partage et sélectionnez dans la liste le point de partage à mettre à jour. 4 Cliquez sur Point de partage en dessous de la liste. 5 Cliquez sur Options de protocole et sélectionnez le protocole. 6 Sélectionnez les protocoles à changer et modifiez la configuration. 7 Cliquez sur OK, puis sur Enregistrer. À partir de la ligne de commande Vous pouvez également modifier les réglages des protocoles d’un point de partage à l’aide de la commande sharing dans Terminal. Pour en savoir plus, consultez le chapitre sur les services de fichiers du guide Administration de ligne de commande. Chapitre 3 Configuration de points de partage 61 Modification de l’accès client à un point de partage NFS Vous pouvez utiliser Admin Serveur pour restreindre les clients pouvant accéder à une exportation NFS. Pour modifier les clients NFS autorisés, procédez de la manière suivante : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur Partage de fichiers. 3 Cliquez sur Points de partage et sélectionnez le point de partage NFS. 4 Cliquez sur Options de protocole et sélectionnez NFS. 5 Cochez la case « Exporter cet élément et son contenu vers » et choisissez une option dans le menu local : Pour limiter les clients à certains ordinateurs, sélectionnez Liste de clients, cliquez sur le bouton Ajouter (+), puis saisissez les adresses IP des ordinateurs pouvant accéder au point de partage. Pour supprimer un client, sélectionnez une adresse dans la Liste de clients, puis cliquez sur le bouton Supprimer (–). Pour limiter les clients au sous-réseau entier, sélectionnez Sous-réseau, puis saisissez l’adresse IP et le masque de sous-réseau pour le sous-réseau. Pour permettre un accès illimité (et non authentifié) au point de partage, choisissez Monde. 6 Cliquez sur OK, puis sur Enregistrer. Activation de l’accès comme invité à un point de partage Vous pouvez utiliser Admin Serveur pour autoriser des utilisateurs invités (utilisateurs non définis dans les répertoires utilisés par votre serveur) à se connecter à des points de partage donnés. Remarque : cette rubrique ne s’applique pas à NFS. Pour modifier les privilèges d’accès en tant qu’invité à un point de partage, procédez de la manière suivante : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur Partage de fichiers. 3 Cliquez sur Points de partage et sélectionnez dans la liste le point de partage à mettre à jour. 4 Cliquez sur Point de partage en dessous de la liste. 5 Cliquez sur Options de protocole et sélectionnez le protocole que vous utilisez pour fournir l’accès au point de partage. 6 Sélectionnez l’option « Autoriser l’accès comme invité ». 62 Chapitre 3 Configuration de points de partage 7 Cliquez sur OK, puis sur Enregistrer. Remarque : vérifiez que l’accès comme invité est également activé au niveau du service dans Admin Serveur. À partir de la ligne de commande Vous pouvez également activer l’accès comme invité à un point de partage à l’aide de la commande sharing dans Terminal. Pour en savoir plus, consultez le chapitre sur les services de fichiers du guide Administration de ligne de commande. Configuration d’une boîte de dépôt Une boîte de dépôt est un dossier partagé comportant des autorisations personnalisées. Si vous utilisez seulement des ACL, vous pouvez définir les autorisations de manière à ce que certains utilisateurs puissent uniquement copier des fichiers dans le dossier, sans pouvoir voir son contenu. Si vous utilisez seulement des autorisations POSIX, vous pouvez les définir de manière à autoriser toute personne à copier des fichiers dans la boîte de dépôt, mais à donner un accès complet uniquement au propriétaire de la boîte de dépôt. Pour créer une boîte de dépôt, procédez de la manière suivante : 1 Créez le dossier qui va servir de boîte de dépôt dans un point de partage AFP. 2 Ouvrez Admin Serveur et connectez-vous au serveur. 3 Cliquez sur Partage de fichiers. 4 Cliquez sur Points de partage et sélectionnez le dossier dans le point de partage AFP que vous souhaitez utiliser comme boîte de dépôt. 5 Cliquez sur Autorisations en dessous de la liste. 6 Définissez des autorisations de lecture seule à l’aide des autorisations POSIX ou d’une combinaison d’autorisations POSIX et d’ACE. Pour créer une boîte de dépôt utilisant les autorisations standard, définissez les Autorisations de lecture seule pour le Propriétaire, le Groupe et Autres. Pour en savoir plus, consultez la rubrique « Définition d’autorisations standard » à la page 43. Remarque : pour plus de sécurité, attribuez Aucune à la catégorie Autres. Pour créer une boîte de dépôt utilisant les autorisations d’ACL, ajoutez deux types d’ACE :  Si vous souhaitez que les utilisateurs puissent copier des éléments dans une boîte de dépôt mais ne pas voir son contenu, ajoutez des ACE qui leur refusent les autorisations Administration et lecture et leur accordent uniquement les autorisations « Parcourir le dossier », « Créer les fichiers (écrire les données) » et « Créer le dossier (ajouter les données) ». Chapitre 3 Configuration de points de partage 63  Si vous souhaitez que les utilisateurs puissent contrôler entièrement la boîte de dépôt, ajoutez des ACE qui leur accordent entièrement les autorisations Administration, Lecture, Écriture et les autorisations pouvant être héritées. Pour en savoir plus, consultez la rubrique « Définition d’autorisations d’ACL » à la page 44. 7 Cliquez sur Enregistrer. À partir de la ligne de commande Vous pouvez également configurer une boîte de dépôt à l’aide des commandes mkdir et chmod dans Terminal. Pour en savoir plus, consultez le chapitre sur les services de fichiers du guide Administration de ligne de commande. Configuration d’une bibliothèque de réseau La configuration d’une bibliothèque de réseau entraîne la création d’un référentiel sur le réseau destiné à contenir des informations partagées, telles que les configurations par défaut, les polices, les images et d’autres ressources communes. Une bibliothèque partagée est automatiquement montée dans /Réseau/Bibliothèque/ et est accessible via le Finder. L’accès comme invité doit être activé pour accorder à tous les utilisateurs l’accès à la bibliothèque de réseau. Tous les utilisateurs ou groupes ayant accès au réseau comme invité auront accès à ces informations partagées ; la bibliothèque de réseau devient alors un élément du chemin de recherche par défaut. L’accès à la bibliothèque de réseau peut être restreint à l’aide des contrôles d’accès. Pour configurer une bibliothèque de réseau, procédez de la manière suivante : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur Partage de fichiers. 3 Cliquez sur Points de partage et sélectionnez le point de partage qui servira de bibliothèque de réseau. Pour créer un point de partage pour votre bibliothèque de réseau, consultez la rubrique « Création d’un point de partage » à la page 42. 4 Cliquez sur Point de partage en dessous de la liste. 5 Cochez la case Montage automatique. 6 Dans le menu local Répertoire, sélectionnez le domaine de répertoire contenant vos utilisateurs et ordinateurs. 7 Dans le menu local Protocole, choisissez le protocole de partage (AFP ou NFS). Si vous choisissez AFP, l’accès en tant qu’invité doit être activé pour que les points de partage AFP montés automatiquement fonctionnent, sauf si tous les utilisateurs ont accès à leurs dossiers de départ grâce à la signature unique Kerberos. Pour en savoir plus, consultez la rubrique « Configuration des réglages d’accès » à la page 75. 64 Chapitre 3 Configuration de points de partage 8 Sélectionnez « Dossier Bibliothèque partagée » pour que le point de partage apparaisse dans /Réseau/Bibliothèque/. 9 Cliquez sur OK. 10 Procédez à l’authentification lorsque vous y êtes invité. 11 Cliquez sur Enregistrer. Utilisation de Mac OS X Server pour le stockage NAS Vous pouvez configurer votre Mac OS X Server pour le stockage NAS (Network Attached Storage), afin de fournir tous les nouveaux partages de fichiers basiques de type NAS utilisant les protocoles AFP, SMB, FTP et NFS, ainsi que des fonctionnalités avancées, telles que l’intégration des répertoires. Le stockage NAS fonctionne également avec des architectures de stockage plus avancées, telles que la protection des données RAID et Xsan pour le stockage en grappes. Pour fournir aux utilisateurs du réseau un partage de fichiers de type NAS, vous devez configurer votre Mac OS X server de manière à ce qu’il prenne en charge le stockage NAS. La configuration la plus courante utilise un Xserve (comme serveur de fichiers) avec un périphérique RAID (stockage de données). Vous pouvez également utiliser Xsan pour une configuration NAS plus avancée. Les étapes suivantes expliquent comment configurer un système NAS Xserve. Étape 1 : Connectez le système Xserve au réseau Le système Xserve dispose d’un matériel Gigabit Ethernet pour les communications extrêmement rapides avec d’autres périphériques réseau. Les vitesses de transmission des données sont déterminées par la vitesse d’autres composants, tels que le concentrateur réseau ou le commutateur et les câbles utilisés. Si vous utilisez également une unité RAID intégrée au système NAS, connectez-la à l’unité Xserve en installant la carte PCI Fibre Channel Apple dans l’unité Xserve, et en installant les câbles Fibre Channel entre les deux composants matériels. Pour être sûr que la connexion du système au réseau ne perturbera pas les opérations effectuées sur le réseau, travaillez avec l’administrateur système ou un autre expert. Suivez les instructions du guide Xserve, le cas échéant, pour installer correctement le système dans un rack. Chapitre 3 Configuration de points de partage 65 Étape 2 : Établissez des volumes, partitions et ensembles RAID sur les modules de disque Voyez comment vous souhaitez répartir le stockage total sur le système NAS Xserve, en prenant en compte le nombre d’utilisateurs, les demandes de NAS probables et la croissance future. Puis utilisez l’Utilitaire de disque pour créer des partitions ou des matrices RAID sur les disques. Si vous disposez d’un système RAID, utilisez RAID Admin pour créer des matrices RAID sur les disques et l’Utilitaire de disque pour mettre le système de fichiers sur les matrices. Pour obtenir des informations sur l’utilisation de ces applications, consultez l’aide en ligne de l’Utilitaire de disque et la documentation RAID Admin. Vous pouvez également utiliser Xsan pour configurer vos partitions et configurations RAID. Pour en savoir plus sur Xsan, consultez la documentation Xsan. Étape 3 : Configurez le système comme périphérique de stockage NAS Si vous avez acheté un nouvel Xserve, le logiciel Mac OS X Server est déjà installé. Vous devez juste effectuer la configuration initiale du serveur en activant le système et en répondant aux questions posées par l’Assistant du serveur. Si vous devez installer le logiciel Mac OS X Server, servez-vous du guide Premiers contacts pour comprendre les configurations requises et les options d’installation, puis utilisez l’Assistant du serveur une fois le serveur redémarré pour effectuer la configuration initiale relative au stockage. L’Assistant du serveur se trouve dans /Applications/Serveur/. Remarque : vous pouvez configurer le stockage NAS d’Xserve à distance ou localement. Si vous effectuez la configuration à partir d’un ordinateur distant, installez les applications sur le disque d’outils Admin Tools de l’ordinateur distant. Si vous configurez localement, connectez un moniteur et un clavier à votre Xserve. Le système doit être doté d’une carte vidéo pour la connexion directe d’un moniteur. La carte vidéo est facultative sur certains modèles Xserve, notamment Xserve G5. Pour effectuer la configuration initiale du stockage NAS, procédez de la manière suivante : 1 Assurez-vous que le système est connecté au réseau. 2 Ouvrez l’Assistant du serveur et parcourez les sous-fenêtres, en saisissant les informations suivantes le cas échéant :  Un numéro de série serveur valide.  Une adresse IP fixe pour le serveur, soit statique, soit utilisant DHCP avec une adresse manuelle.  Activez les services AFP, NFS, FTP et SMB pour qu’ils soient immédiatement disponibles. Si vous souhaitez que les utilisateurs partagent les fichiers avec le protocole FTP, assurez-vous que votre réseau est configuré de manière sécurisée. 66 Chapitre 3 Configuration de points de partage AFP est le standard pour les fichiers Mac OS X ; NFS est le protocole de fichiers pour les utilisateurs UNIX et Linux, et le service SMB inclut le protocole Server Message Block (SMB), qui prend en charge Microsoft Windows 95, 98, ME (millennium Edition), NT 4.0, 2000, XP et Vista. Le protocole FTP permet à toute personne se connectant au système NAS d’accéder aux fichiers partagés. 3 Redémarrez le serveur. Étape 4 : Configurez les services de fichiers pour AFP, NFS, FTP et SMB Si vous avez activé les services de fichiers avec l’Assistant du serveur, vous pouvez configurer AFP, NFS, FTP et SMB de manière à ce que les clients sur le réseau puissent partager leurs fichiers. Les instructions récapitulatives qui suivent fournissent une vue d’ensemble sur la configuration de ces services de fichiers. Pour en savoir plus sur la configuration de ces protocoles, consultez le chapitre correspondant dans ce guide. Étape 5 : Configurez des points de partage et des privilèges d’accès pour le stockage NAS Xserve Utilisez Admin Serveur pour définir des points de partage et des privilèges d’accès des points de partage. Pour en savoir plus, consultez la rubrique « Configuration d’un point de partage » à la page 42. Une fois ces étapes effectuées, la configuration basique du système NAS Xserve est terminée. Vous pouvez ajouter ou modifier des points de partage, des utilisateurs et des groupes à chaque fois que cela est nécessaire. Configuration de Spotlight pour les points de partage Si vos ordinateurs clients ont besoin de rechercher des points de partage, vous pouvez activer l’indexation Spotlight dans Admin Serveur. L’indexation Spotlight est uniquement disponible avec un point de partage pour lequel le protocole AFP ou SMB est activé. Si votre point de partage n’utilise pas le protocole AFP ou SMB, n’activez pas la recherche Spotlight. Si Spotlight est activé avec un point de partage et si vous désactivez AFP et SMB, l’indexation Spotlight ne fonctionnera pas. Spotlight permet d’effectuer des recherches rapides de volumes de réseau ; par conséquent, le serveur doit tenir un index de tous les fichiers et dossiers sur un point de partage. Ce processus d’indexation utilise plus de ressources serveur. Pour libérer ces ressources, désactivez Spotlight lorsque vous n’avez pas l’intention de vous en servir. Chapitre 3 Configuration de points de partage 67 Pour configurer Spotlight avec des points de partage, procédez de la manière suivante : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur Partage de fichiers. 3 Cliquez sur Points de partage et sélectionnez le point de partage pour lequel vous souhaitez activer Spotlight. 4 Cliquez sur Point de partage en dessous de la liste. 5 Cochez la case « Activer la recherche Spotlight ». 6 Cliquez sur Enregistrer. Configuration de la destination de sauvegarde Time Machine Time Machine est une application de sauvegarde conservant une copie à jour de tout ce qui se trouve sur votre ordinateur, comprenant des fichiers système, des applications, des comptes, des préférences et des documents. Time Machine peut restaurer des fichiers individuels, des dossiers complets ou même votre ordinateur entier, en remettant tout en place et au bon endroit. La sélection de cette option entraîne la diffusion du partage via Bonjour, comme éventuelle destination Time Machine, qui apparaîtra alors sous forme d’option dans les Préférences Système. Sur un serveur standard ou de groupe de travail, la sélection de cette option règle également les autorisations POSIX sur 770 et définit le groupe POSIX sur com.apple.access_backup. Un point de partage peut être désigné comme copie de sauvegarde Time Machine dans Admin Serveur. Pour configurer la destination de sauvegarde Time Machine, procédez de la manière suivante : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur Partage de fichiers. 3 Cliquez sur Points de partage et sélectionnez le point de partage. 4 Cliquez sur Point de partage en dessous de la liste. 5 Cochez la case « Activer comme destination de sauvegarde Time Machine ». 6 Cliquez sur Enregistrer. 68 Chapitre 3 Configuration de points de partage Contrôle des quotas de point de partage Utilisez Admin Serveur pour voir l’espace consacré à un utilisateur sur un volume. Cet espace (quota de disque), configuré dans le Gestionnaire de groupe de travail, correspond à la taille maximale du dossier de départ d’un utilisateur. Pour contrôler les quotas de point de partage, procédez de la manière suivante : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur Partage de fichiers. 3 Cliquez sur Volumes et sélectionnez le volume à contrôler. 4 Cliquez sur Quotas en dessous de la liste. 5 Cochez la case « Activer les quotas sur ce volume ». Les informations relatives aux quotas de disque pour les volumes activés sont listées dans le Contrôleur de quotas. Elles comprennent le nom d’utilisateur, l’espace utilisé (en Mo), l’espace libre (en Mo) et la limite (en Mo). 6 Cliquez sur Enregistrer. Définition d’autorisations de liste SACL Les SACL vous permettent d’indiquer qui a accès aux services de fichiers AFP, FTP et SMB. Cela vous permet de mieux contrôler qui peut utiliser les services et quels administrateurs y ont accès pour les contrôler et les gérer. Définition d’autorisations de liste SACL pour les Utilisateurs et groupes Utilisez Admin Serveur pour définir des autorisations de liste SACL afin de permettre aux utilisateurs et groupes d’accéder aux services de fichiers. Pour définir des autorisations de liste SACL pour les utilisateurs et groupes sur un service de fichiers, procédez de la manière suivante : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur Réglages. 3 Cliquez sur Accès. 4 Cliquez sur Services. 5 Sélectionnez le niveau de restriction que vous souhaitez appliquer aux services : Pour restreindre l’accès à tous les services, sélectionnez « Pour tous les services ». Pour définir des autorisations d’accès à certains services, choisissez « Pour les services sélectionnés », puis choisissez les services dans la liste. Chapitre 3 Configuration de points de partage 69 6 Sélectionnez le niveau de restriction que vous souhaitez appliquer aux utilisateurs et groupes : Pour accorder un accès sans restriction, cliquez sur « Autoriser tous les utilisateurs et groupes » Pour restreindre l’accès à certains utilisateurs et groupes, sélectionnez « Autoriser les utilisateurs et groupes ci-dessous », cliquez sur le bouton Ajouter (+) pour ouvrir le volet Utilisateurs et groupes, puis faites glisser les utilisateurs et groupes de ce volet à la liste. 7 Cliquez sur Enregistrer. Définition d’autorisations de liste SACL pour les administrateurs Utilisez Admin Serveur pour définir des autorisations de liste SACL en matière de contrôle et de gestion des services de fichiers par les administrateurs. Pour définir des autorisations de liste SACL pour les administrateurs sur un service de fichiers, procédez de la manière suivante : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur Réglages. 3 Cliquez sur Accès. 4 Cliquez sur Administrateurs. 5 Sélectionnez le niveau de restriction que vous souhaitez appliquer aux services : Pour restreindre l’accès à tous les services, sélectionnez « Pour tous les services ». Pour définir des autorisations d’accès à certains services, choisissez « Pour les services sélectionnés », puis choisissez un service dans la liste. 6 Ouvrez la liste Utilisateurs et groupes en cliquant sur le bouton Ajouter (+). 7 Faites glisser les utilisateurs et groupes dans la liste. 8 Définissez l’autorisation de l’utilisateur : Pour accorder l’accès administrateur, sélectionnez Administrateur dans le menu local Autorisation, près du nom d’utilisateur. Pour accorder l’accès à des fins de contrôle, sélectionnez Surveiller dans le menu local Autorisation, près du nom d’utilisateur. 9 Cliquez sur Enregistrer. 70 Chapitre 3 Configuration de points de partage 4 Utilisation du service AFP 4 Ce chapitre décrit comment configurer et gérer le service AFP dans Mac OS X Server. Le service AFP (Apple Filing Protocol, en anglais) permet aux clients Mac OS de se connecter à votre serveur et d’accéder aux dossiers et aux fichiers. Les clients autres que Mac OS peuvent également se connecter à votre serveur via AFP à l’aide d’un logiciel client AFP de tierce partie. Le service AFP utilise la version 3.3 d’AFP, qui prend en charge de nouvelles fonctionnalités telles que les noms de fichiers Unicode, les listes de contrôle d’accès (ACL), les tailles de fichier de 64 octets, des attributs étendus et la recherche Spotlight. Unicode est une norme qui attribue un numéro unique à chaque caractère, quelle que soit la langue ou le système d’exploitation utilisés pour afficher la langue. Authentification Kerberos AFP prend en charge l’authentification Kerberos. Kerberos est un protocole d’authentification de réseau développé par le MIT pour offrir une authentification et une communication sécurisées sur les réseaux ouverts. En plus de la méthode d’authentification standard, Mac OS X Server utilise le protocole d’authentification GSSAPI (Generic Security Services Application Programming Interface). GSSAPI est utilisé pour l’authentification à l’aide de Kerberos version 5. Spécifiez la méthode d’authentification dans la sous-fenêtre Accès des réglages du service AFP dans Admin Serveur. Consultez la rubrique « Configuration des réglages d’accès » à la page 75. Pour plus d’informations sur la configuration de Kerberos, consultez le guide Administration d’Open Directory. 71 Reconnexion automatique Mac OS X Server peut automatiquement reconnecter les clients Mac OS X qui sont inactifs ou en suspension d’activité. Lorsque les clients sont inactifs ou en suspension d’activité, Mac OS X Server les déconnecte afin de libérer des ressources du serveur. Cependant, vous pouvez configurer Mac OS X Server de sorte qu’il enregistre les sessions des clients Mac OS X, ce qui permet à ces clients de reprendre leur travail sur des fichiers ouverts sans perdre de données. Configurez ce réglage dans la sous-fenêtre Utilisateurs inactifs de la fenêtre de configuration du service AFP dans Admin Serveur. Consultez la rubrique « Configuration des réglages des utilisateurs inactifs » à la page 77. Recherche de contenu Les clients Mac OS X peuvent utiliser Spotlight pour effectuer des recherches sur le contenu des serveurs AFP. Cette fonction applique des privilèges selon lesquels les recherches ne sont effectuées que dans les fichiers auxquels l’utilisateur a accès. Prise en charge d’AppleTalk Le service AFP ne prend plus en charge AppleTalk comme méthode de connexion client. Bien que les clients AppleTalk puissent voir les serveurs AFP dans le Sélecteur, ils doivent utiliser le protocole TCP/IP pour se connecter à ces serveurs. Pour plus d’informations, consultez les rubriques « Clients Mac OS X » à la page 88 et « Connexion au serveur AFP à partir des clients Mac OS 8 et Mac OS 9 » à la page 91. Spécifications du service AFP Le service AFP dispose des spécifications par défaut suivantes :  Nombre maximal d’utilisateurs connectés, en fonction de votre contrat de licence : illimité (selon le matériel)  Taille de volume maximale : 16 téraoctets  Numéro de port TCP : 548  Emplacement des fichiers d’historique : /Bibliothèque/Historiques/AppleFileService/  Type d’enregistrement Bonjour : afpserver 72 Chapitre 4 Utilisation du service AFP Présentation générale de la configuration Voici un aperçu des principales étapes pour configurer le service AFP. Étape 1 : Activez le service AFP Avant de configurer le service AFP, AFP doit être activé. Consultez la rubrique « Activation du service AFP » à la page 73. Étape 2 : Configurez les réglages AFP Général Configurez les réglages Général pour rendre public le point de partage AFP, activer les clients Mac OS 8 et Mac OS 9 pour trouver le serveur et spécifier un message d’accueil qui doit s’afficher lors de l’ouverture de session. Consultez la rubrique « Configuration des réglages Général » à la page 74. Étape 3 : Configurez les réglages d’accès AFP Utilisez les réglages d’accès pour autoriser les utilisateurs AFP invités, limiter le nombre de connexions simultanées de clients Windows ou définir les options d’authentification AFP. Consultez la rubrique « Configuration des réglages d’accès » à la page 75. Étape 4 : Configurez les réglages de journalisation AFP Utilisez les réglages de journalisation pour spécifier la quantité d’informations enregistrée dans les fichiers d’historique AFP. Consultez la rubrique « Configuration des réglages de journalisation » à la page 76. Étape 5 : Configurez les réglages d’utilisateurs inactifs AFP Utilisez les réglages Utilisateurs inactifs pour déconnecter les clients inactifs, permettre aux clients de se reconnecter après une suspension d’activité (dans un délai spécifié) et personnaliser un message de déconnexion. Consultez la rubrique « Configuration des réglages des utilisateurs inactifs » à la page 77. Étape 6 : Démarrez les services AFP Après avoir configuré le service AFP, démarrez-le pour le rendre disponible. Consultez la rubrique « Démarrage du service AFP » à la page 78. Activation du service AFP Avant de pouvoir configurer les réglages AFP, vous devez activer le service AFP dans Admin Serveur. Pour activer le service AFP, procédez de la manière suivante : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur Réglages, puis sur Services. 3 Cochez la case AFP. 4 Cliquez sur Enregistrer. Chapitre 4 Utilisation du service AFP 73 Configuration du service AFP Si vous avez activé l’Assistant du serveur pour démarrer le service AFP lorsque vous avez installé Mac OS X Server, vous n’avez rien d’autre à faire. Vérifiez que les réglages par défaut du service répondent à vos besoins. Il existe quatre groupes de réglages dans la sous-fenêtre Réglages du service AFP dans Admin Serveur :  Général. Définissez les informations qui identifient votre serveur, activez le démarrage automatique et créez un message d’accueil à l’ouverture de session pour le service AFP.  Accès. Configurez les connexions client et l’accès comme invité.  Journalisation. Configurez et gérez les historiques pour le service AFP.  Utilisateurs inactifs. Configurez et administrez les réglages des utilisateurs inactifs. Les rubriques suivantes décrivent comment configurer ces réglages ; une cinquième rubrique vous indique comment démarrer le service AFP, une fois sa configuration terminée. Configuration des réglages Général Utilisez la sous-fenêtre de réglages Général dans AFP pour activer le démarrage automatique et la navigation avec Bonjour, et créer un message d’accueil pour vos utilisateurs lorsqu’ils ouvrent une session. Pour configurer les réglages Général du service AFP, procédez de la manière suivante : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle à gauche du serveur. La liste des services s’affiche. 3 Dans la liste Serveurs développée, sélectionnez AFP. 4 Cliquez sur Réglages, puis cliquez sur Général. 5 Rendez public le point de partage AFP via Bonjour en sélectionnant « Activer l’enregistrement Bonjour ». Cette option permet aux clients d’accéder au point de partage à l’aide de la commande de Mac OS X « Se connecter au serveur » ou par le biais du navigateur réseau de Mac OS 9. Pour obtenir des informations sur le protocole SLP (Service Location Protocol) et la multidiffusion IP, consultez le guide Administration des services de réseau. 6 Si vous disposez de clients Mac OS 8 et Mac OS 9 ayant des besoins de certaines langues en particulier, choisissez le jeu de caractères approprié dans le menu local « Codage des anciens clients ». Lorsque les clients Mac OS 9 (ou antérieurs) sont connectés, le serveur convertit les noms de fichiers à partir de l’encodage de caractères UTF-8 du système vers le jeu de caractères de votre choix. Cela n’a aucun effet sur les utilisateurs clients Mac OS X. 74 Chapitre 4 Utilisation du service AFP 7 Dans le champ Salutation de connexion, saisissez le message que vous souhaitez afficher pour les utilisateurs. Le message ne s’affiche pas lorsqu’un utilisateur ouvre une session dans son dossier de départ. Pour éviter de présenter le message d’accueil aux utilisateurs à plusieurs reprises, sélectionnez « Ne pas envoyer le même message deux fois au même utilisateur ». 8 Cliquez sur Enregistrer. À partir de la ligne de commande Vous pouvez également modifier les réglages du service AFP à l’aide de la commande serveradmin dans Terminal ou en modifiant le fichier des préférences AFP. Pour plus d’informations, consultez le chapitre sur les services de fichiers du guide Administration de ligne de commande. Configuration des réglages d’accès Utilisez la sous-fenêtre Accès des réglages AFP dans Admin Serveur pour contrôler les connexions client et l’accès comme invité. Pour configurer les réglages d’accès au service AFP, procédez de la manière suivante : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle à gauche du serveur. La liste des services s’affiche. 3 Dans la liste Serveurs développée, sélectionnez AFP. 4 Cliquez sur Réglages, puis sur Accès. 5 Choisissez la méthode d’authentification que vous souhaitez utiliser dans menu local Authentification : Standard, Kerberos ou Toute méthode. 6 Si nécessaire, autorisez les utilisateurs enregistrés à accéder aux points de partage AFP en sélectionnant « Autoriser l’accès comme invité ». L’accès comme invité est approprié pour permettre aux utilisateurs occasionnels d’accéder à des fichiers et à d’autres éléments. Cependant, pour une sécurité accrue, ne sélectionnez pas cette option. Remarque : après avoir autorisé l’accès comme invité au service de fichiers Apple en général, vous pouvez toujours activer ou désactiver de manière sélective l’accès comme invité à des points de partage individuels. 7 Pour permettre à un administrateur d’ouvrir une session à l’aide d’un nom d’utilisateur avec un mot de passe d’administrateur (et utiliser ainsi le service AFP comme le fait l’utilisateur), sélectionnez « Permettre à l’administrateur de passer pour un utilisateur référencé ». Chapitre 4 Utilisation du service AFP 75 8 Limitez le nombre de connexions simultanées de clients en cliquant sur le bouton proche du champ Connexions client ou Connexions comme invité, et saisissez un nombre. Le nombre maximal d’utilisateurs simultanés est limité par le type de licence dont vous disposez. Par exemple, si vous disposez d’une licence de 10 utilisateurs pour votre serveur, 10 utilisateurs au maximum peuvent se connecter à la fois. Sélectionnez Illimitées si vous ne souhaitez pas limiter le nombre maximal de connexions. Le nombre maximal d’invités ne peut pas dépasser celui des connexions client totales autorisées. 9 Cliquez sur Enregistrer. À partir de la ligne de commande Vous pouvez également modifier les réglages d’accès AFP à l’aide de la commande serveradmin dans Terminal ou en reconfigurant le fichier des préférences AFP. Pour plus d’informations, consultez le chapitre sur les services de fichiers du guide Administration de ligne de commande. Configuration des réglages de journalisation Utilisez la sous-fenêtre Journalisation des réglages du service AFP dans Admin Serveur pour configurer et gérer les historiques du service. Pour configurer les réglages de journalisation du service AFP, procédez de la manière suivante : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle à gauche du serveur. La liste des services s’affiche. 3 Dans la liste Serveurs développée, sélectionnez AFP. 4 Cliquez sur Réglages, puis sur Journalisation. 5 Pour conserver un enregistrement des utilisateurs qui se connectent au serveur via AFP, sélectionnez « Activer l’historique des accès ». 6 Pour fermer et enregistrer périodiquement l’historique actif et en ouvrir un nouveau, sélectionnez « Archiver tous les __ jour(s) » et saisissez le nombre de jours après lesquels l’historique doit être archivé. Par défaut, il est archivé au bout de 7 jours. Le serveur ferme l’historique actif à la fin de chaque période d’archivage, le renomme pour inclure la date actuelle, puis ouvre un nouveau fichier d’historique. 7 Sélectionnez les événements que vous souhaitez que le service de fichiers Apple journalise. Une entrée est ajoutée à l’historique dès qu’un utilisateur effectue une action que vous avez sélectionnée. Lorsque vous choisissez le nombre d’événements à journaliser, tenez compte de l’espace disque disponible. Plus vous choisissez d’événements, plus le fichier d’historique s’agrandira vite. 76 Chapitre 4 Utilisation du service AFP 8 Pour spécifier à quelle fréquence le contenu du fichier d’historique des erreurs doit être enregistré dans une archive, sélectionnez « Historique des erreurs : Archiver tous les __ jour(s) » et saisissez le nombre de jours. 9 Cliquez sur Enregistrer. Vous pouvez conserver les historiques archivés de vos enregistrements ou les supprimer manuellement pour libérer de l’espace disque lorsqu’ils ne sont plus nécessaires. Les fichiers d’historique sont stockés dans /Bibliothèque/Historiques/AppleFileService/. Vous pouvez utiliser les scripts constamment remis à jour des historiques fournis avec Mac OS X Server pour récupérer l’espace disque utilisé par les fichiers d’historique. À partir de la ligne de commande Vous pouvez également modifier les réglages de journalisation du service AFP à l’aide de la commande serveradmin dans Terminal ou en modifiant le fichier des préférences AFP. Pour plus d’informations, consultez le chapitre sur les services de fichiers du guide Administration de ligne de commande. Configuration des réglages des utilisateurs inactifs Utilisez la sous-fenêtre Utilisateurs inactifs des réglages du service AFP pour spécifier la manière dont votre serveur doit gérer les utilisateurs inactifs. Un utilisateur inactif est une personne connectée au serveur mais dont la connexion est inactive pendant une durée prédéfinie. Si un client est inactif ou en veille pendant plus longtemps que la durée d’inactivité spécifiée, les fichiers ouverts sont alors fermés, le client est déconnecté et tout travail non enregistré est perdu. Pour configurer les réglages des utilisateurs inactifs : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle à gauche du serveur. La liste des services s’affiche. 3 Dans la liste Serveurs développée, sélectionnez AFP. 4 Cliquez sur Réglages, puis sur Utilisateurs inactifs. 5 Pour permettre aux ordinateurs clients de se reconnecter après avoir suspendu leur activité pendant une certaine durée, sélectionnez « Autoriser les clients à suspendre leur activité __ heure(s) » et saisissez un nombre dans le champ approprié. Les clients dont l’activité est suspendue ne s’afficheront pas comme inactifs. Bien que le serveur déconnecte les clients dont l’activité est suspendue, leurs sessions sont maintenues pendant la durée spécifiée. Un client Mac OS X 10.2 (ou ultérieur) dont l’activité est suspendue peut reprendre son travail sur les fichiers ouverts dans les limites définies dans le réglage « Autoriser les clients à suspendre leur activité ». Chapitre 4 Utilisation du service AFP 77 6 Pour spécifier la limite d’inactivité, sélectionnez « Déconnecter les utilisateurs inactifs après __ minute(s) » et saisissez le nombre de minutes après lesquelles la session AFP d’une connexion inactive doit être déconnectée. Pour empêcher la déconnexion de certains types d’utilisateurs, sélectionnez-les dans le champ « Excepté ». 7 Dans le champ « Message de déconnexion », saisissez le message que vous souhaitez présenter aux utilisateurs lorsqu’ils sont déconnectés. Si vous ne saisissez pas de message, un message par défaut s’affichera en indiquant à l’utilisateur qu’il a été déconnecté du fait de l’inactivité de sa connexion pendant une certaine durée. 8 Cliquez sur Enregistrer. À partir de la ligne de commande Vous pouvez également modifier les réglages d’utilisateurs inactifs du service AFP à l’aide de la commande serveradmin dans Terminal ou en modifiant le fichier des préférences AFP. Pour plus d’informations, consultez le chapitre sur les services de fichiers du guide Administration de ligne de commande. Démarrage du service AFP Démarrez le service AFP pour permettre à vos utilisateurs clients d’accéder aux points de partage AFP. Pour démarrer le service AFP, procédez de la manière suivante : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle à gauche du serveur. La liste des services s’affiche. 3 Dans la liste Serveurs développée, sélectionnez AFP. 4 Cliquez sur Démarrer AFP (en dessous de la liste Serveurs). Le service fonctionne jusqu’à ce que vous l’arrêtiez ; il redémarrera si votre serveur est redémarré. À partir de la ligne de commande Vous pouvez également démarrer le service AFP à l’aide de la commande serveradmin dans Terminal. Pour plus d’informations, consultez le chapitre sur les services de fichiers du guide Administration de ligne de commande. 78 Chapitre 4 Utilisation du service AFP Gestion du service AFP Cette rubrique décrit les tâches quotidiennes classiques que vous pourrez effectuer après avoir configuré le service AFP sur votre serveur. Vous trouverez des informations sur la configuration initiales à la rubrique « Configuration du service AFP » à la page 74. Vérification de l’état du service AFP Utilisez Admin Serveur pour vérifier l’état du service AFP. Pour afficher l’état du service AFP, procédez de la manière suivante : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle à gauche du serveur. La liste des services s’affiche. 3 Dans la liste Serveurs développée, sélectionnez AFP. 4 Pour consulter des informations telles que savoir si le service fonctionne, quand il a été démarré, connaître son débit, le nombre de connexions et savoir si l’accès comme invité est activé, cliquez sur Vue d’ensemble. 5 Pour voir les historiques des accès et ceux des erreurs, cliquez sur Historiques. Pour choisir quel historique consulter, utilisez le menu local Présentation. 6 Pour afficher les graphiques des utilisateurs connectés ou du débit, cliquez sur Graphiques. Utilisez les menus locaux pour choisir quel graphique afficher et quelle doit être la durée correspondant au graphique des données. 7 Pour afficher une liste d’utilisateurs connectés, cliquez sur Connexions. Cette liste comporte le nom d’utilisateur, l’état de la connexion, l’adresse IP ou le nom de domaine de chacun des utilisateurs, la durée de connexion et le temps écoulé depuis le dernier transfert de données (durée d’inactivité). À partir de la ligne de commande Vous pouvez également vérifier l’état du processus du service AFP en utilisant les commandes ps ou top dans Terminal ou en consultant les fichiers d’historique dans /Bibliothèque/Historiques/AppleFileService/ à l’aide de la commande cat ou tail. Pour plus d’informations, consultez le chapitre sur les services de fichiers du guide Administration de ligne de commande. Chapitre 4 Utilisation du service AFP 79 Affichage des historiques du service AFP Utilisez Admin Serveur pour afficher les historiques des erreurs et ceux des accès du service AFP, si vous les avez activés. Pour afficher les historiques, procédez de la manière suivante : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle à gauche du serveur. La liste des services s’affiche. 3 Dans la liste Serveurs développée, sélectionnez AFP. 4 Choisissez entre les historiques des erreurs et ceux des accès en cliquant sur Historiques, puis utilisez le menu local Présentation. Utilisez le champ Filtre en haut à droite pour rechercher des entrées spécifiques. À partir de la ligne de commande Vous pouvez également afficher les historiques du service AFP dans /Bibliothèque/ Historiques/AppleFileService/ à l’aide des commandes cat ou tail dans Terminal. Pour plus d’informations, consultez le chapitre sur les services de fichiers du guide Administration de ligne de commande. Affichage des graphiques AFP Utilisez Admin Serveur pour afficher les graphiques AFP. Pour afficher les graphiques AFP, procédez de la manière suivante : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle à gauche du serveur. La liste des services s’affiche. 3 Dans la liste Serveurs développée, sélectionnez AFP. 4 Pour afficher les graphiques des utilisateurs connectés ou du débit, cliquez sur Graphiques. Pour choisir quel graphique afficher et la durée correspondant au graphique des données, utilisez les menus locaux. 5 Pour mettre à jour les données dans les graphiques, cliquez sur le bouton Actualiser (situé sous la liste Serveurs). 80 Chapitre 4 Utilisation du service AFP Affichage des connexions AFP Utilisez Admin Serveur pour afficher les clients connectés au serveur via le service AFP. Pour afficher les connexions AFP, procédez de la manière suivante : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle à gauche du serveur. La liste des services s’affiche. 3 Dans la liste Serveurs développée, sélectionnez AFP. 4 Pour afficher une liste d’utilisateurs connectés, cliquez sur Connexions. Cette liste comporte le nom d’utilisateur, l’état de la connexion, l’adresse IP ou le nom de domaine de chacun des utilisateurs, la durée de connexion et le temps écoulé depuis le dernier transfert de données (durée d’inactivité). Vous pouvez envoyer un message de déconnexion à tous les ordinateurs clients et arrêter le service en cliquant sur Arrêter, en spécifiant quand le service doit être arrêté, en saisissant un message puis en cliquant sur Envoyer. Vous pouvez envoyer un message à un utilisateur en sélectionnant celui-ci dans la liste, en cliquant sur Envoyer le message, en saisissant le message puis en cliquant sur Envoyer. Vous pouvez envoyer un message de déconnexion à des ordinateurs clients individuels et les déconnecter du serveur en cliquant sur Déconnecter, en spécifiant quand l’utilisateur doit être déconnecté, en saisissant un message et en cliquant sur Envoyer. Important : les utilisateurs déconnectés peuvent perdre les modifications non enregistrées dans les fichiers ouverts. 5 Pour mettre à jour la liste des utilisateurs connectés, cliquez sur le bouton Actualiser (situé sous la liste Serveurs). Arrêt du service AFP Utilisez Admin Serveur pour arrêter le service AFP. Cela déconnecte tous les utilisateurs ; les utilisateurs connectés risquent alors de perdre les modifications non enregistrées dans les fichiers ouverts. Pour initier l’arrêt du service AFP et avertir les utilisateurs, procédez de la manière suivante : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle à gauche du serveur. La liste des services s’affiche. 3 Dans la liste Serveurs développée, sélectionnez AFP. 4 Cliquez sur Connexions, puis sur Arrêter. 5 Saisissez la durée dont disposent les clients pour enregistrer leurs fichiers avant l’arrêt du service AFP. Chapitre 4 Utilisation du service AFP 81 6 Si vous souhaitez que les utilisateurs sachent pourquoi ils doivent se déconnecter, saisissez un message dans le champ Message supplémentaire. Si ce n’est pas le cas, un message par défaut sera envoyé, indiquant que le serveur s’éteindra dans le nombre de minutes spécifié. 7 Cliquez sur Envoyer. À partir de la ligne de commande Vous pouvez également arrêter le service AFP immédiatement à l’aide de la commande serveradmin dans Terminal. Pour plus d’informations, consultez le chapitre sur les services de fichiers du guide Administration de ligne de commande. Activation de la navigation Bonjour Vous pouvez enregistrer le service AFP avec Bonjour pour permettre aux utilisateurs de trouver le serveur en en parcourant une liste de serveurs disponibles. Sinon, les utilisateurs qui ne peuvent pas naviguer doivent saisir le nom d’hôte ou l’adresse IP du serveur lorsqu’ils se connectent. Pour procéder à l’enregistrement avec Bonjour : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle à gauche du serveur. La liste des services s’affiche. 3 Dans la liste Serveurs développée, sélectionnez AFP. 4 Cliquez sur Réglages, puis cliquez sur Général. 5 Sélectionnez « Activer l’enregistrement Bonjour ». 6 Cliquez sur Enregistrer. Les points de partage AFP utilisent le type d’enregistrement Bonjour afpserver. À partir de la ligne de commande Vous pouvez également définir le service AFP pour qu’il s’enregistre avec Bonjour à l’aide de la commande serveradmin dans Terminal. Pour plus d’informations, consultez le chapitre sur les services de fichiers du guide Administration de ligne de commande. 82 Chapitre 4 Utilisation du service AFP Limitation des connexions Si votre serveur propose une grande variété de services, vous pouvez éviter qu’une foule d’utilisateurs n’affecte les performances de ces services en limitant le nombre de clients et d’invités qui peuvent se connecter simultanément. Pour définir le nombre maximal de connexions, procédez de la manière suivante : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle à gauche du serveur. La liste des services s’affiche. 3 Dans la liste Serveurs développée, sélectionnez AFP. 4 Cliquez sur Réglages, puis sur Accès et regardez sous « Nombre de connexions maximum ». Par défaut, le nombre de connexions maximal de clients et d’invités est défini sur Illimitées. 5 Cliquez sur le bouton situé à côté du champ de nombre suivant « Connexions client (Invités compris) » et saisissez le nombre de connexions maximal que vous souhaitez autoriser. La limite des connexions comme invité est basée sur la limite des connexions client, et les connexions comme invité sont pris en compte dans la limite totale de connexions. Par exemple, si vous spécifiez un nombre maximal de 400 connexions client et de 50 connexions comme invité, et si 50 invités sont connectés, il reste 350 connexions pour les utilisateurs enregistrés. 6 Cliquez sur le bouton situé à côté des champs de nombre et adjacent à « Connexions comme invité », et saisissez le nombre maximal d’invités que vous souhaitez autoriser. 7 Cliquez sur Enregistrer. À partir de la ligne de commande Vous pouvez également définir la limite de connexions du service AFP à l’aide de la commande serveradmin dans Terminal. Pour plus d’informations, consultez le chapitre sur les services de fichiers du guide Administration de ligne de commande. Conservation d’un historique des accès L’historique des accès enregistre les moments auxquels un utilisateur se connecte ou se déconnecte, ouvre un fichier, crée ou supprime un fichier ou un dossier. Pour configurer la journalisation des accès, procédez de la manière suivante : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle à gauche du serveur. La liste des services s’affiche. 3 Dans la liste Serveurs développée, sélectionnez AFP. Chapitre 4 Utilisation du service AFP 83 4 Cliquez sur Réglages, puis sur Journalisation. 5 Sélectionnez « Activer l’historique des accès ». 6 Sélectionnez les événements que vous souhaitez enregistrer. Lorsque vous sélectionnez les événements à journaliser, tenez compte de l’espace disque disponible. Plus vous choisissez d’événements, plus le fichier d’historique s’agrandira vite. Pour afficher l’historique, ouvrez Admin Serveur, sélectionnez AFP et cliquez sur Historiques. Autrement, utilisez Terminal pour afficher les historiques stockés dans /Bibliothèque/ Historiques/AppleFileService/. À partir de la ligne de commande Vous pouvez également définir le service AFP pour enregistrer les historiques à l’aide de la commande serveradmin dans Terminal. Pour plus d’informations, consultez le chapitre sur les services de fichiers du guide Administration de ligne de commande. Déconnexion d’un utilisateur Utilisez Admin Serveur pour déconnecter les utilisateurs du serveur de fichiers Apple. Important : les utilisateurs perdent les informations qu’ils n’ont pas enregistrées lorsqu’ils sont déconnectés. Pour déconnecter un utilisateur, procédez de la manière suivante : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle à gauche du serveur. La liste des services s’affiche. 3 Dans la liste Serveurs développée, sélectionnez AFP. 4 Cliquez sur Connexions. 5 Sélectionnez l’utilisateur et cliquez sur Déconnecter. 6 Saisissez la durée avant la déconnexion de l’utilisateur, ainsi qu’un message de déconnexion. Si vous ne tapez pas de message, un message par défaut s’affichera. 7 Cliquez sur Envoyer. 84 Chapitre 4 Utilisation du service AFP Déconnexion automatique des utilisateurs inactifs Vous pouvez définir le service AFP pour déconnecter les utilisateurs n’ayant pas utilisé le serveur pendant une certaine durée. Pour définir la manière dont le serveur gère les utilisateurs inactifs, procédez de la manière suivante : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle à gauche du serveur. La liste des services s’affiche. 3 Dans la liste Serveurs développée, sélectionnez AFP. 4 Cliquez sur Réglages, puis sur Utilisateurs inactifs. 5 Pour permettre aux ordinateurs clients de se reconnecter après une suspension d’activité ayant duré un certain temps, sélectionnez « Autoriser les clients à suspendre leur activité __ heure(s) » et saisissez le nombre d’heures pendant lesquelles les clients peuvent suspendre leur activité et se reconnecter automatiquement au serveur. Bien que le serveur déconnecte les clients dont l’activité est suspendue, les sessions des clients sont maintenues pendant la durée spécifiée. Lorsqu’un utilisateur reprend son travail pendant ce délai, le client est reconnecté sans interruption apparente de ses tâches. 6 Pour spécifier la limite de temps d’inactivité, sélectionnez « Déconnecter les utilisateurs inactifs après __ minute(s) » et saisissez le nombre de minutes après lesquelles un ordinateur inactif doit être déconnecté. Un client Mac OS X 10.2 (ou ultérieur) dont l’activité est suspendue peut reprendre son travail sur des fichiers ouverts dans les limites du réglage « Autoriser les clients à suspendre leur activité ». 7 Pour empêcher la déconnexion de certains types d’utilisateurs, sélectionnez-les dans le champ « Excepté ». 8 Dans le champ « Message de déconnexion », saisissez le message que vous souhaitez présenter aux utilisateurs lorsqu’ils sont déconnectés. Si vous ne saisissez pas de message, un message par défaut s’affichera en indiquant à l’utilisateur qu’il a été déconnecté du fait de l’inactivité de sa connexion. 9 Cliquez sur Enregistrer. À partir de la ligne de commande Vous pouvez également modifier les réglages d’utilisateurs inactifs du service AFP à l’aide de la commande serveradmin dans Terminal ou en modifiant le fichier des préférences AFP. Pour plus d’informations, consultez le chapitre sur les services de fichiers du guide Administration de ligne de commande. Chapitre 4 Utilisation du service AFP 85 Envoi d’un message à un utilisateur Vous pouvez utiliser le service AFP dans Admin Serveur pour envoyer un messages aux clients. Pour envoyer un message à un utilisateur : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle à gauche du serveur. La liste des services s’affiche. 3 Dans la liste Serveurs développée, sélectionnez AFP. 4 Cliquez sur Connexions et sélectionnez le nom d’utilisateur dans la liste. 5 Cliquez sur Envoyer le message. 6 Saisissez le message et cliquez sur Envoyer. Remarque : les utilisateurs ne peuvent pas répondre au message. Activation de l’accès comme invité Les invités sont des utilisateurs qui peuvent voir des informations concernant votre serveur sans utiliser un nom ou un mot de passe pour ouvrir une session. Pour une sécurité accrue, n’autorisez pas l’accès comme invité. Après avoir permis l’accès comme invité pour un service, autorisez l’accès comme invité pour des points de partage spécifiques. Consultez la rubrique « Activation de l’accès comme invité à un point de partage » à la page 62. Pour autoriser l’accès comme invité, procédez de la manière suivante : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle à gauche du serveur. La liste des services s’affiche. 3 Dans la liste Serveurs développée, sélectionnez AFP. 4 Cliquez sur Réglages, puis sur Accès. 5 Sélectionnez « Activer l’accès comme invité ». 6 Si vous souhaitez limiter le nombre de connexions client pouvant être utilisées par des invités, saisissez un nombre dans l’option « Nombre de connexions maximum : Connexions comme invité ». Si vous ne souhaitez pas limiter le nombre d’utilisateurs invités pouvant être connectés à votre serveur simultanément, sélectionnez « Illimitées ». 7 Cliquez sur Enregistrer. 86 Chapitre 4 Utilisation du service AFP À partir de la ligne de commande Vous pouvez également définir le service AFP pour autoriser l’accès comme invité à l’aide de la commande serveradmin dans Terminal. Pour plus d’informations, consultez le chapitre sur les services de fichiers du guide Administration de ligne de commande. Création d’un message d’accueil à l’ouverture de session Le message d’accueil à l’ouverture de session est un message que les utilisateurs voient lorsqu’ils ouvrent une session sur le serveur. Pour créer un message d’ouverture de session : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle à gauche du serveur. La liste des services s’affiche. 3 Dans la liste Serveurs développée, sélectionnez AFP. 4 Cliquez sur Réglages, puis cliquez sur Général. 5 Dans le champ Salutation de connexion, saisissez un message. Si vous modifiez le message, les utilisateurs verront le nouveau message la prochaine fois qu’ils se connecteront au serveur. 6 Pour éviter que les utilisateurs visualisent le message à plusieurs reprises, sélectionnez « Ne pas envoyer le même message deux fois au même utilisateur ». 7 Cliquez sur Enregistrer. À partir de la ligne de commande Vous pouvez également modifier le message du service AFP à l’aide de la commande serveradmin dans Terminal. Pour plus d’informations, consultez le chapitre sur les services de fichiers du guide Administration de ligne de commande. Intégration d’Active Directory et des services AFP Vous pouvez configurer vos services AFP de manière à utiliser Active Directory pour l’authentification et l’autorisation des utilisateurs Mac sur un point de partage AFP. Si vous disposez d’un environnement à plate-forme mixte avec des ordinateurs Windows et Mac, vous pouvez intégrer un serveur AFP Mac OS X à votre serveur Active Directory Windows. Les utilisateurs Mac peuvent accéder au point de partage AFP en utilisant leurs informations d’authentification de compte d’utilisateur Active Directory. Pour intégrer AFP à Active Directory, procédez de la manière suivante : 1 Créez un point de partage AFP pour vos utilisateurs Mac. Pour en savoir plus, consultez la rubrique « Création d’un point de partage » à la page 42. 2 Ouvrez l’Utilitaire d’annuaire (situé dans /Applications/Utilitaires/). 3 Si l’icône de verrouillage est verrouillé, cliquez dessus, puis saisissez le nom et le mot de passe d’un administrateur. Chapitre 4 Utilisation du service AFP 87 4 Cliquez sur Serveurs d’annuaire, puis sur le bouton Ajouter (+). 5 À partir du menu local « Ajouter un nouveau répertoire de type », choisissez Active Directory, puis saisissez les informations suivantes :  Domaine Active Directory: il s’agit du nom DNS ou de l’adresse IP du serveur Active Directory.  Identifiant de l’ordinateur: vous avez la possibilité de modifier l’identifiant qui doit être utilisé par Active Directory pour votre serveur. Il s’agit du nom du serveur NetBIOS. Ce nom ne doit pas contenir plus de 15 caractères, ni aucun caractères spéciaux et signes de ponctuation. Si possible, utilisez pour le nom du serveur son nom d’hôte DNS non qualifié. Par exemple, si votre serveur DNS comporte l’entrée « serveur.exemple.com » pour votre serveur, donnez à votre serveur le nom « serveur ».  Nom d’utilisateur administrateur AD et mot de passe d’administrateur AD: saisissez le nom d’utilisateur et le mot de passe de l’administrateur Active Directory. 6 Cliquez sur OK et fermez l’Utilitaire d’annuaire. Prise en charge des clients AFP Après avoir configuré votre service AFP et point de partage, vos clients peuvent se connecter via la fenêtre Connexion au serveur du Finder, ou bien ils peuvent faire en sorte que le volume partagé soit monté lorsqu’ils ouvrent une session. Remarque : les clients autres qu’Apple peuvent également se connecter via AFP à l’aide d’un logiciel client AFP de tierce partie. Clients Mac OS X Le service AFP requiert les logiciels système Mac OS X suivants :  Connectivité TCP/IP  AppleShare 3.7 ou ultérieur Pour en savoir plus sur la dernière version du logiciel client AppleShare pris en charge par Mac OS X, consultez le site web d’assistance Apple à l’adresse www.apple.com/fr/support. Connexion au serveur AFP dans Mac OS X Vous pouvez vous connecter aux serveurs de fichiers Apple en saisissant le nom DNS du serveur ou son adresse IP dans la fenêtre Connexion au serveur. Ou, si le serveur est enregistré avec Bonjour, recherchez-le dans le globe Réseau du Finder. Remarque : le service de fichiers Apple ne prend pas en charge les connexions AppleTalk ; les clients doivent donc utiliser le protocole TCP/IP pour accéder aux services de fichiers. 88 Chapitre 4 Utilisation du service AFP Pour se connecter au serveur de fichiers Apple dans Mac OS X, procédez de la manière suivante : 1 Dans le Finder, choisissez Aller > Se connecter au serveur. 2 Dans la sous-fenêtre Connexion au serveur, procédez de l’une des manières suivantes :  Recherchez le serveur dans la liste. S’il s’affiche, sélectionnez-le.  Saisissez le nom DNS du serveur dans le champ Adresse en utilisant l’une des formes suivantes : server afp://server afp://server/share point  Saisissez l’adresse IP du serveur dans le champ Adresse. 3 Cliquez sur Se connecter. 4 Saisissez votre nom d’utilisateur et votre mot de passe ou sélectionnez Invité, puis cliquez sur Se connecter. 5 Sélectionnez le point de partage que vous souhaitez utiliser et cliquez sur OK. Modification du nom d’utilisateur par défaut pour les connexions AFP Lorsque vous utilisez la commande Se connecter au serveur dans le Finder pour vous connecter à un serveur AFP, le panneau d’ouverture de session inscrit par défaut votre nom d’utilisateur complet. Dans Mac OS X 10.5, vous pouvez personnaliser ce panneau pour présenter votre nom abrégé, un nom personnalisé ou bien aucun nom d’utilisateur. Important : ces instructions recommandent l’utilisation de la commande defaults pour modifier un fichier de liste de propriétés (.plist) et sont destinées aux administrateurs Mac OS X expérimentés. Une modification incorrecte de ce fichier peut entraîner un comportement Mac OS X inattendu. Avant de suivre ces instructions, effectuez une copie de sauvegarde du fichier /Bibliothèque/Preferences/com.apple.NetworkAuthorization.plist. Vous pouvez modifier ce fichier pour que le champ Nom de la zone de dialogue Connexion au serveur comporte l’un des éléments suivants :     Nom long de l’utilisateur actuel (comportement par défaut) Nom abrégé de l’utilisateur actuel Nom personnalisé Aucun nom Remarque : si vous sélectionnez l’option « Mémoriser le mot de passe dans le trousseau » dans la zone de dialogue Connexion au serveur, le nom stocké dans l’entrée du trousseau écrase le réglage dans ce fichier de préférences. Utilisez la commande defaults dans Terminal pour modifier le nom par défaut et le remplacer par le suivant : Chapitre 4 Utilisation du service AFP 89 Pour définir le nom abrégé de l’utilisateur actuel : $ defaults write /Library/Preferences/com.apple.NetworkAuthorization UseDefaultName -bool NO $ defaults write /Library/Preferences/com.apple.NetworkAuthorization UseShortName -bool YES Pour définir un nom personnalisé : $ defaults write /Library/Preferences/com.apple.NetworkAuthorization UseDefaultName -bool YES $ defaults write /Library/Preferences/com.apple.NetworkAuthorization DefaultName “user” Remplacez “user” par le nom personnalisé souhaité et entourez-le de guillemets. Pour ne définir aucun nom : $ defaults write /Library/Preferences/com.apple.NetworkAuthorization UseDefaultName -bool YES $ defaults write /Library/Preferences/com.apple.NetworkAuthorization DefaultName “” Pour définir le nom long de l’utilisateur actuel : Cela est uniquement nécessaire si vous avez apporté l’une des modifications répertoriées ci-dessus. $ defaults write /Library/Preferences/com.apple.NetworkAuthorization UseDefaultName -bool NO $ defaults write /Library/Preferences/com.apple.NetworkAuthorization UseShortName -bool NO ou $ defaults delete /Library/Preferences/com.apple.NetworkAuthorization UseDefaultName $ defaults delete /Library/Preferences/com.apple.NetworkAuthorization UseShortName 90 Chapitre 4 Utilisation du service AFP Configuration d’un client Mac OS X pour le montage automatique d’un point de partage Au lieu d’utiliser la fonction de montage réseau d’AFP ou NFS, les clients Mac OS X peuvent définir leurs ordinateurs de sorte qu’ils montent automatiquement les volumes de serveur. Pour définir un client Mac OS X 10.2.8 (ou version antérieure) de sorte qu’il monte automatiquement un volume de serveur : 1 Ouvrez une session sur l’ordinateur client en tant qu’utilisateur et montez le volume. 2 Ouvrez les Préférences Système et cliquez sur Éléments d’ouverture de session. 3 Cliquez sur Ajouter, puis localisez le dossier Serveurs récents et double-cliquez sur le volume qui doit être monté automatiquement. Lors de la prochaine ouverture de session de l’utilisateur client, le serveur sera monté automatiquement, s’il est disponible. L’utilisateur client peut également ajouter le volume de serveur aux Signets, puis utiliser l’élément dans le dossier Signets de la Bibliothèque de départ. Pour définir un client Mac OS X 10.3 ou ultérieur afin qu’il monte automatiquement un volume de serveur, procédez de la manière suivante : 1 Ouvrez une session sur l’ordinateur client en tant qu’utilisateur et montez le volume. 2 Ouvrez les Préférences Système et cliquez sur Comptes. 3 Sélectionnez l’utilisateur et cliquez sur Ouverture au démarrage (dans Mac OS X 10.3) ou Éléments d’ouverture de session (dans Mac OS X 10.4 ou ultérieur). 4 Cliquez sur le bouton Ajouter (+) (sous la liste Serveurs), sélectionnez le volume de serveur et cliquez sur Ajouter. Connexion au serveur AFP à partir des clients Mac OS 8 et Mac OS 9 Le service de fichiers Apple requiert le logiciel système Mac OS 8 ou 9 suivant :  Mac OS 8 (version 8.6) ou Mac OS 9 (version 9.2.2)  Protocole TCP/IP  Client AppleShare 3.7 ou ultérieur Pour trouver la dernière version du logiciel client AppleShare pris en charge par Mac OS 8 et Mac OS 9, consultez le site web d’assistance Apple à l’adresse www.apple.com/fr/support. Remarque : le service de fichiers Apple ne prend pas en charge les connexions AppleTalk ; les clients doivent donc utiliser le protocole TCP/IP pour accéder aux services de fichiers. Chapitre 4 Utilisation du service AFP 91 Pour se connecter à partir de Mac OS 8 ou Mac OS 9 : 1 Ouvrez le Sélecteur et cliquez sur AppleShare. 2 Sélectionnez un serveur de fichiers et cliquez sur OK. 3 Saisissez vos nom d’utilisateur et mot de passe ou sélectionnez Invité et cliquez sur Se connecter. 4 Sélectionnez le volume que vous souhaitez utiliser et cliquez sur OK. Configuration d’un client Mac OS 8 ou Mac OS 9 en vue du montage automatique d’un point de partage Au lieu d’utiliser la fonction de montage réseau d’AFP ou NFS, les clients peuvent définir leurs ordinateurs de sorte qu’ils montent automatiquement les volumes de serveur. Pour configurer un client Mac OS 8 ou Mac OS 9 de sorte qu’il monte automatiquement un volume de serveur : 1 Utilisez le Sélecteur pour monter le volume sur l’ordinateur client. 2 Dans la zone de dialogue de sélection d’éléments qui s’affiche après l’ouverture de session, sélectionnez le volume de serveur qui doit être monté automatiquement. Configuration du basculement IP Le basculement IP est une technologie qui permet de configurer deux ordinateurs dans une relation maître-sauvegarde de sorte qu’en cas de panne de l’ordinateur maître, l’ordinateur de sauvegarde assume le rôle de l’ordinateur maître de façon transparente, avec une interruption minimale du service. Par exemple, si vous disposez d’un serveur de répertoires de départ doté de 1 000 utilisateurs et ne possédez pas de serveur de sauvegarde, vos utilisateurs ne pourront pas accéder à leurs fichiers en cas de panne du serveur de répertoires. Mais si vous configurez un autre serveur en tant que serveur de sauvegarde, même en cas de panne du serveur maître, les utilisateurs pourront continuer à avoir accès à leurs fichiers via le serveur de sauvegarde, sans se rendre de compte de l’interruption du service, dès lors que les données sont stockées sur un espace de stockage partagé accessible aux deux ordinateurs. Mac OS X Server offre une prise en charge intégrée du basculement IP. Dans cette rubrique, vous apprenez comment le basculement IP fonctionne dans Mac OS X Server et comment le configurer. 92 Chapitre 4 Utilisation du service AFP Vue d’ensemble du basculement IP Le basculement IP vous permet de garantir la haute disponibilité de vos serveurs. Une solution simple de basculement IP est possible avec deux ordinateurs Mac OS X Server : un ordinateur maître et un ordinateur de sauvegarde. L’ordinateur maître fournit des services tandis que l’ordinateur de sauvegarde attend en arrière-plan pour prendre le relais en cas de panne du maître : AFP SMB/CIFS homedirs.exemple.com nœud1.exemple.com Serveur maître nœud2.exemple.com Serveur de sauvegarde Dans ce scénario, les deux ordinateurs se connectent au même réseau. Chaque ordinateur a une adresse IP unique et éventuellement un nom de domaine ou DNS. Les ordinateurs sont directement connectés entre eux à l’aide d’IP via FireWire. Pour assurer la gestion du basculement IP, Mac OS X Server utilise les daemons et failoverd :  Le daemon heartbeatd est exécuté sur l’ordinateur maître et diffuse des battements de cœur toutes les secondes sur le port 1694 à partir des deux interfaces réseau, annonçant la disponibilité de l’hôte aux autres nœuds écoutant avec failoverd. L’envoi de battements de cœur sur les liens réseau primaire et secondaire permet d’éviter les fausses alarmes. heartbeatd utilise l’entrée FAILOVER_BCAST_IPS du fichier /etc/hostconfig pour déterminer à qui envoyer diffuser les battements de cœur.  Le démon failoverd est exécuté sur l’ordinateur de sauvegarde et écoute le port 1694 pour repérer les diffusions provenant d’une adresse spécifique sur les deux interfaces. Dès l’instant que failoverd ne reçoit plus les battements de cœur sur les deux interfaces, il prend le contrôle de l’adresse IP publique du serveur maître, ce qui permet au serveur de basculement de répondre aux requêtes client entrantes, garantissant ainsi la disponibilité. failoverd utilise les entrées FAILOVER_PEER_IP et FAILOVER_PEER_IP du fichier /etc/hostconfig pour obtenir les adresses IP publique et privée du serveur maître. heartbeatd Chapitre 4 Utilisation du service AFP 93 Pour que le basculement IP fonctionne, vous devez maintenir la synchronisation de l’ordinateur de sauvegarde avec l’ordinateur maître. Par exemple, si vous utilisez l’ordinateur maître en tant que serveur de fichiers AFP, assurez-vous que l’ordinateur de sauvegarde possède les mêmes réglages de service AFP. Si ces réglages ne sont pas identiques, les utilisateurs risquent de ne pas pouvoir accéder au service de fichiers. Pour garantir le fonctionnement du basculement IP, il faut également que l’ordinateur de sauvegarde puisse accéder aux données dont ont besoin les ordinateurs clients. Pour assurer la disponibilité des données, vous devrez synchroniser les données des deux ordinateurs à l’aide des commandes cron et rsync ou d’autres solutions de tierces parties. Une autre possibilité consiste à utiliser un périphérique de stockage partagé RAID dans lequel stocker des données. AFP homedirs.exemple.com nœud1.exemple.com Serveur maître nœud2.exemple.com Serveur de sauvegarde Interrupteur Fibre Channel Xserve RAID Pour tirer profit d’un périphérique RAID en cas de basculement IP, vous pouvez utiliser Xsan ou un logiciel de réseau de stockage de tierce partie (SAN) pour permettre au serveur maître et au serveur de sauvegarde d’accéder au même volume sans le corrompre. 94 Chapitre 4 Utilisation du service AFP Vous pouvez également utiliser le masquage de numéro d’unité logique (LUN) au niveau du commutateur Fibre pour octroyer l’accès aux données partagées sur un RAID. Vous devez créer des scripts pour indiquer au commutateur de permuter l’accès entre un serveur et l’autre. Le masquage LUN au niveau du commutateur garantit qu’un seul serveur ait accès aux données, mais jamais les deux à la fois. AVERTISSEMENT : donner aux deux serveurs l’accès au même volume RAID sans Xsan ni logiciel SAN de tierce partie peut entraîner la corruption du volume. Après avoir lancé les démons heartbeatd et failoverd, l’ordinateur maître commence à envoyer des battements de cœur au serveur de sauvegarde à intervalles réguliers. Dès lors que l’ordinateur de sauvegarde ne reçoit plus ces messages, il déclenche une chaîne d’événements au bout de laquelle le serveur de sauvegarde reprend l’adresse IP du serveur maître et assume le rôle de ce dernier. Du point de vue du client, le basculement est transparent, avec une interruption minime du service. Cela est dû au fait que le client accède aux services à l’aide d’une adresse IP virtuelle (c’est-à-dire une adresse non associée à un ordinateur en particulier) ou d’un nom de domaine virtuel (homedirs.exemple.com par exemple). Quand le serveur de sauvegarde assume le rôle du maître, le client ne remarque aucune différence tant que les services sont configurés de manière totalement identique sur les deux ordinateurs. Une brève interruption de service peut éventuellement être perceptible si le basculement IP a lieu alors que le client communique activement avec un service. Ainsi, si un utilisateur copie un fichier à partir d’un serveur et que ce dernier bascule, le processus de copie est interrompu et l’utilisateur doit alors recommencer le processus de copie depuis le début. Chapitre 4 Utilisation du service AFP 95 Acquisition d’une adresse maître — Chaîne d’événements Lorsque le serveur maître bascule, la chaîne d’événements suivante a lieu sur le serveur de sauvegarde : 1 Le démon failoverd (situé dans /usr/sbin/) ne détecte aucune diffusion émanant du serveur primaire sur l’interface FireWire. 2 Le démon failoverd indique au script NotifyFailover (situé dans /usr/libexec/) d’informer les utilisateurs répertoriés dans /etc/hostconfig. Si aucun destinataire n’est spécifié, un message est envoyé à l’utilisateur root. 3 failoverd exécute le script ProcessFailover (situé dans /usr/libexec/). 4 Le script ProcessFailover exécute le script /Library/Failover/IP_address/Test, où IP_address est l’adresse IP ou le nom de domaine du serveur maître et ce qui suit se produit :  Si le script Test renvoie “faux”, ProcessFailover quitte et le serveur de sauvegarde n’acquiert pas l’adresse IP du serveur maître.  Si le script Test renvoie “vrai” (ou “n’existe pas”), ProcessFailover poursuit son exécution. Remarque : par défaut, le script Test est vierge mais vous pouvez le personnaliser afin de l’adapter à vos besoins. 5 Le script ProcessFailover exécute, dans l’ordre alphabétique, tous les scripts portant le préfixe PreAcq dans le dossier /Bibliothèque/Failover/adresse_IP. Les scripts de type PreAcq préparent le serveur de sauvegarde à acquérir l’adresse IP du serveur maître. Par défaut, Mac OS X Server s’accompagne d’un certain nombre de scripts PreAcq mais vous pouvez les personnaliser ou ajouter les vôtres. 6 Le script ProcessFailover configure l’interface réseau de sorte qu’elle utilise l’adresse IP du serveur maître. 7 Le script ProcessFailover exécute, dans l’ordre alphabétique, tous les scripts portant le préfixe PostAcq dans le dossier /Bibliothèque/Failover/adresse_IP. Les scripts PostAcq sont exécutés une fois que le serveur de sauvegarde a acquis l’adresse IP du maître. Tout comme c’est le cas avec les scripts PreAcq, Mac OS X Server est fourni avec un certain nombre de scripts de type PostAcq. Là aussi, vous pouvez ajouter les vôtres. Par exemple, un script PostAcq peut vous envoyer un courrier électronique afin de vous informer que le basculement a réussi. Pour en savoir plus sur failoverd, NotifyFailover et ProcessFailover, consultez les pages man correspondantes ou le chapitre portant sur la haute disponibilité du guide Administration par ligne de commande. Remarque : le basculement s’effectue en 30 secondes environ. 96 Chapitre 4 Utilisation du service AFP Libération d’une adresse maître — Chaîne d’événements Voici ce qui se passe au niveau du serveur de sauvegarde lorsque vous déclenchez la restauration : 1 Le démon failoverd indique au script NotifyFailover (situé dans /usr/libexec/) d’informer les utilisateurs répertoriés dans /etc/hostconfig. Si aucun destinataire n’est spécifié, un courrier électronique est envoyé à l’utilisateur root. 2 failoverd exécute le script ProcessFailover (situé dans /usr/libexec/). 3 Le script ProcessFailover exécute le script Test (situé dans /Bibliothèque/Failover/ IP_address, où IP_address est l’adresse IP ou le nom de domaine du serveur maître) et ce qui suit se produit :  Si le script Test renvoie “faux”, ProcessFailover se termine, et le serveur maître n’acquiert pas l’adresse IP du serveur de sauvegarde.  Si le script Test renvoie “vrai” (ou “n’existe pas”), ProcessFailover poursuit son exécution. 4 Le script ProcessFailover exécute, dans l’ordre alphabétique, tous les scripts portant le préfixe PreRel dans le dossier /Bibliothèque/Failover/adresse_IP. 5 Le script ProcessFailover libère l’adresse IP du serveur maître. 6 Le script ProcessFailover exécute, dans l’ordre alphabétique, tous les scripts portant le préfixe PostRel dans le dossier /Bibliothèque/Failover/adresse_IP. Remarque : par défaut, le script Test est vierge mais vous pouvez le personnaliser afin de l’adapter à vos besoins. Configuration du basculement IP Voici un aperçu de la marche à suivre pour configurer vos ordinateurs Mac OS X Server pour le basculement IP : Étape 1 : Connectez les ordinateurs maître et de sauvegarde au même réseau et configurez leurs réglages TCP/IP Cette étape permettra à vos serveurs de communiquer avec les ordinateurs clients. Chaque serveur doit posséder sa propre adresse IP. Étape 2 : Connectez directement les deux ordinateurs à l’aide d’une interface Ethernet secondaire ou IP via FireWire et configurez les réglages IP Cette étape permet d’assurer la communication directe des événements de basculement IP entre les serveurs. Étape 3 : Configurez et démarrez le service de basculement IP sur les serveurs maître et de sauvegarde Cette étape garantit le basculement et la restauration des ordinateurs maître et de sauvegarde. Chapitre 4 Utilisation du service AFP 97 Connexion des serveurs maître et de sauvegarde au même réseau Pour configurer vos serveurs pour le basculement, la première chose à faire est de connecter les ordinateurs maître et de sauvegarde au même réseau et de configurer leurs réglages de réseau. Pour connecter les serveurs maître et de sauvegarde au même réseau : 1 À l’aide de l’interface Ethernet primaire, connectez les serveurs maître et de sauvegarde au même réseau. 2 Dans la sous-fenêtre Réseau des Préférences Système, configurez les réglages TCP/IP des ordinateurs maître et de sauvegarde de sorte que chacun possède une adresse IP unique et que tous deux se trouvent sur le même sous-réseau. Dans l’idéal, demandez à votre administrateur système de mapper l’adresse IP du serveur maître sur un nom DNS virtuel (homedirs.exemple.com par exemple) dont les utilisateurs pourront se servir pour se connecter à votre serveur. Cela vous permet ainsi de libérer l’adresse IP du serveur maître de façon transparente pour les utilisateurs. Vous pouvez également mapper les adresses IP des serveurs maître et de sauvegarde sur des noms DNS (noeud1.exemple.com et noeud2.exemple.com, par exemple) que vous pourrez utiliser pour vous référer aux deux ordinateurs lors de la configuration du basculement IP. Connexion des serveurs maître et de sauvegarde entre eux Connectez entre eux les ordinateurs maître et de sauvegarde à l’aide d’une interface Ethernet secondaire ou d’IP via FireWire. Il s’agit là d’une étape importante car c’est par cette connexion que les deux ordinateurs communiquent les événements de basculement. Pour connecter les serveurs maître et de sauvegarde entre eux : 1 Pour relier les ordinateurs maître et de sauvegarde ensemble, utilisez un câble Ethernet ou FireWire. 2 Dans la sous-fenêtre réseau des Préférences Système, configurez les réglages TCP/IP de l’interface Ethernet secondaire ou de ’interface IP via FireWire sur les deux ordinateurs. Attribuez à chaque ordinateur une adresse IP de réseau privé (10.1.0.2 et 10.1.0.3, par exemple) et assurez-vous que tous deux se trouvent sur le même sous-réseau. 98 Chapitre 4 Utilisation du service AFP Configuration du serveur maître pour le basculement IP Il est simple de configurer un serveur maître pour le basculement IP. Il suffit en effet d’ajouter ou de modifier deux entrées dans le fichier /etc/hostconfig, puis de redémarrer le serveur. Pour configurer le serveur maître pour le basculement IP : 1 Ajoutez ou modifiez l’entrée FAILOVER_BCAST_IPS dans /etc/hostconfig afin de spécifier les adresses auxquelles envoyer les messages de battements de cœur. Par exemple, si l’adresse IP primaire du serveur maître est 17.1.0.50 et que l’adresse IP secondaire est 10.1.0.2, ajoutez la ligne suivante à /etc/hostconfig afin de diffuser le message sur les deux réseaux : FAILOVER_BCAST_IPS=”10.1.0.255 17.1.0.255” Mais votre commutateur réseau sera plus efficace s’il envoie les battements de cœur à des adresses spécifiques : FAILOVER_BCAST_IPS=”10.1.0.3 17.1.0.51” Cette ligne ordonne au serveur maître d’envoyer les battements de cœur (ou « heartbeat », en anglais) aux adresses IP primaire et secondaire du serveur de sauvegarde. Remarque : pour modifier le fichier /etc/hostconfig, vous devez être l’utilisateur root. Utilisez la commande sudo lorsque vous ouvrez ce fichier à l’aide de votre éditeur de lignes de commande favori. 2 Ajoutez ou modifiez l’entrée FAILOVER_EMAIL_RECIPIENT pour spécifier l’adresse électronique à laquelle envoyer les notifications. Si vous n’ajoutez pas cette entrée, les notifications par courrier électronique seront envoyées à l’utilisateur root. 3 Redémarrez le serveur. L’élément de démarrage IPFailover lance heartbeatd au cours du démarrage. Une fois le lancement effectué, heartbeatd contrôle sa liste d’arguments, se place en arrièreplan et envoie régulièrement des messages de battements de cœur aux adresses spécifiées dans l’entrée FAILOVER_BCAST_IPS du fichier /etc/hostconfig. Chapitre 4 Utilisation du service AFP 99 Configuration du serveur de sauvegarde pour le basculement IP Il est simple de configurer un serveur de sauvegarde pour le basculement IP. Il suffit en effet d’ajouter ou de modifier deux entrées dans le fichier /etc/hostconfig, de déconnecter le serveur maître et le serveur de sauvegarde, de redémarrer le serveur de sauvegarde et enfin de reconnecter les serveurs. Pour configurer le serveur de sauvegarde pour le basculement IP : 1 Ajoutez ou modifiez l’entrée FAILOVER_PEER_IP_PAIRS dans le fichier /etc/hostconfig afin de spécifier l’adresse IP de l’interface réseau primaire sur le serveur maître. Par exemple, si l’adresse IP de l’interface réseau primaire sur le serveur maître est 17.1.0.50, ajoutez l’entrée suivante : FAILOVER_PEER_IP_PAIRS=”en0:17.1.0.50” Remarque : pour modifier le fichier /etc/hostconfig, vous devez être l’utilisateur root. Utilisez la commande sudo lorsque vous ouvrez ce fichier à l’aide de votre éditeur de lignes de commande favori. 2 Ajoutez ou modifiez l’entrée FAILOVER_PEER_IP dans /etc/hostconfig afin de spécifier l’adresse IP de l’interface réseau secondaire sur le serveur maître. Par exemple, si l’adresse IP du port FireWire sur le serveur maître est 10.1.0.2, ajoutez l’entrée suivante : FAILOVER_PEER_IP=”10.1.0.2” 3 Déconnectez la connexion directe entre le serveur de sauvegarde et le serveur maître. Si vous utilisez IP via FireWire pour l’interface secondaire, déconnectez le câble FireWire reliant les deux ordinateurs. 4 Redémarrez le serveur de sauvegarde. 5 Une fois qu’il a redémarré, reconnectez-le au serveur primaire. Configuration de la clé de serveur de reconnexion AFP En cas de déconnexion du réseau, AFP peut permettre à des clients initialement authentifiés de se reconnecter au serveur à l’aide d’un jeton de reconnexion plutôt que de s’authentifier à nouveau avec des informations d’authentification. Le jeton de reconnexion contient des informations permettant au serveur de vérifier les données de session et les données d’utilisateur sur le serveur. Lorsque le client ouvre une session initialement (à l’aide d’informations d’authentification), le serveur envoie au client un jeton de reconnexion. Ce jeton est chiffré avec la clé de serveur de reconnexion située dans /etc/AFP.conf ; seul le serveur peut le lire. 100 Chapitre 4 Utilisation du service AFP À la suite de la déconnexion d’une session établie, le client tente de se reconnecter en envoyant la clé de reconnexion au serveur. Ce dernier décrypte le jeton de reconnexion à l’aide de la clé de serveur de reconnexion. Puis le serveur vérifie qu’il s’agit d’un jeton valide de session authentifiée en comparant les données du jeton de reconnexion avec les données du serveur (par exemple, les données d’utilisateur obtenues à partir de l’enregistrement de l’utilisateur). Lorsque les informations sont vérifiées, le serveur achève la reconnexion. En cas de basculement, la clé de serveur de reconnexion utilisée pour chiffrer initialement le jeton de reconnexion dont dispose le client doit être utilisée par le serveur de sauvegarde pour traiter toutes les reconnexions. Par défaut, la clé de serveur de reconnexion est stockée dans /etc/AFP.conf. Ce fichier doit être copié à partir du serveur maître sur le serveur de sauvegarde, ou bien il doit être placé sur un espace de stockage partagé auquel les deux serveurs peuvent accéder. Le chemin vers la clé est spécifié par la valeur d’attribut reconnectKeyLocation, qui se situe dans le fichier des préférences /Bibliothèque/Preferences/com.AppleFileServer.plist. Si votre serveur maître et votre serveur de sauvegarde partagent un espace de stockage de données, vous pouvez modifier la valeur de reconnectKeyLocation dans le fichier des préférences du serveur. Cela garantit que la même clé de serveur de reconnexion est utilisée par les deux serveurs. Consultation de l’historique Basculement IP Mac OS X Server enregistre toute l’activité de basculement IP dans /Bibliothèque/Logs/ failoverd.log Pour consulter les historiques de service de basculement : 1 Ouvrez/Applications/Utilitaires/Console. 2 Sélectionnez Fichier > Ouvrir. 3 Localisez et sélectionnez le fichier failoverd.log dans le dossier /Bibliothèque/Historiques/. 4 Cliquez sur Ouvrir. Vous pouvez utiliser le champ Filtre pour n’afficher que les entrées d’historique qui vous intéressent. À partir de la ligne de commande Vous pouvez également consulter le fichier failoverd.log à l’aide des commandes de Terminal. Pour automatiser le contrôle des historiques, pensez à utiliser les commandes cron et grep pour rechercher automatiquement des mots-clés liés au basculement IP dans les fichiers d’historique et envoyez ces entrées à votre adresse électronique. Pour plus d’informations, consultez le chapitre consacré au basculement IP du guide Administration par ligne de commande. Chapitre 4 Utilisation du service AFP 101 5 Utilisation du service SMB 5 Ce chapitre décrit comment configurer et gérer le service SMB dans Mac OS X Server. Mac OS X Server peut proposer les services natifs suivants aux clients Windows :  Ouverture de session de domaine. Permet à chaque utilisateur d’ouvrir une session en utilisant le même nom d’utilisateur, mot de passe, profil itinérant et dossier de départ réseau sur tout ordinateur Windows capable de se connecter à un domaine Windows NT.  Service de fichiers. Permet aux clients Windows d’accéder aux fichiers stockés dans des points de partage sur le serveur, à l’aide du protocole SMB (Server Messager Block) via TCP/IP.  Service d’impression. Permet aux clients Windows d’imprimer sur des imprimantes PostScript, les files d’attente étant conservées sur le serveur.  Service WINS (Windows Internet Naming Service). Permet aux clients de résoudre des noms NetBIOS et des adresses IP sur de multiples sous-réseaux.  Navigation de domaines Windows. Permet aux clients de parcourir les sous-réseaux pour rechercher des serveurs disponibles. Verrouillage de fichiers avec les points de partage SMB Le verrouillage de fichiers évite que plusieurs clients modifient simultanément les mêmes informations. Lorsqu’un client ouvre un fichier (ou une partie de fichier), ce fichier est verrouillé, si bien que le client bénéficie d’un accès exclusif. Avant toute lecture ou écriture dans un fichier, la base de données de verrouillage est utilisée pour vérifier l’état de verrouillage du fichier. Le verrouillage strict, activé par défaut, contribue à éviter que plusieurs clients écrivent dans le même fichier. Lorsque le verrouillage strict est activé, le serveur SMB vérifie et applique les verrouillages des fichiers. Le verrouillage opportuniste (oplocks) accorde un accès exclusif au fichier, tout comme le verrouillage strict, mais il permet également au client de mettre en cache localement ses modifications (sur l’ordinateur client). Ce type de verrouillage améliore les performances. 103 Dans Mac OS X Server, les points de partage SMB prennent en charge les oplocks. Pour activer les oplocks, modifiez les réglages du protocole SMB pour un point de partage, en utilisant le Gestionnaire de groupe de travail. Pour en savoir plus, consultez la rubrique « Modification des réglages SMB d’un point de partage » à la page 46. Important : vous ne devez pas activer les oplocks si le point de partage n’utilise pas uniquement SMB. En effet, si le point de partage utilise tout autre protocole, les données risquent d’être corrompues. Présentation générale de la configuration Voici une vue d’ensemble des principales étapes pour configurer le service SMB. Étape 1 : Activez le service SMB Avant de configurer le service SMB, SMB doit être activé. Consultez la rubrique « Activation du service SMB » à la page 105. Étape 2 : Configurez les réglages SMB Général Les réglages SMB Général permettent de spécifier le nombre d’utilisateurs authentifiés et anonymes qui sont autorisés à se connecter au serveur. Consultez la rubrique « Configuration des réglages Général » à la page 106. Étape 3 : Configurez les réglages d’accès SMB Les réglages d’accès permettent d’autoriser des utilisateurs Windows comme invités, de limiter le nombre de connexions clientes Windows simultanées ou de définir des options d’authentification Windows. Consultez la rubrique « Configuration des réglages d’accès » à la page 108. Étape 4 : Configurez les réglages de journalisation SMB Les réglages de journalisation permettent de spécifier la quantité d’informations enregistrée dans les fichiers d’historique SMB. Consultez la rubrique « Configuration des réglages de journalisation » à la page 109. Étape 5 : Configurez les réglages avancés SMB Les réglages avancés vous permettent de choisir un code de page client, de définir le serveur comme navigateur maître de groupe de travail ou de domaine, de spécifier l’inscription WINS du serveur et d’activer des points de partage virtuels pour les dossiers de départ des utilisateurs. Consultez la rubrique « Configuration des réglages avancés » à la page 109. 104 Chapitre 5 Utilisation du service SMB Étape 6 : Créez des points de partage et partagez-les au via SMB Utilisez le service Partage d’Admin Serveur pour spécifier les points de partage que vous souhaitez rendre disponibles via SMB. Pour que des utilisateurs Windows puissent accéder à un point de partage, vous devez configurer celui-ci explicitement pour qu’il utilise le service SMB. Consultez les rubriques « Création d’un point de partage » à la page 42 et « Modification des réglages SMB d’un point de partage » à la page 46. Vous pouvez également créer des points de partage virtuels qui permettent à chaque utilisateur de disposer du même dossier de départ, qu’il ouvre une session depuis une station de travail Windows ou un ordinateur Mac OS X. Consultez la rubrique « Activation ou désactivation des points de partage virtuels » à la page 114. Étape 7 : Démarrez le service SMB Une fois SMB configuré, démarrez les services pour les rendre disponibles. Consultez la rubrique « Démarrage du service SMB » à la page 110. Activation du service SMB Avant de pouvoir configurer les réglages SMB, vous devez activer le service SMB. Pour activer le service SMB : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur Réglages, puis sur Services. 3 Cochez la case SMB. 4 Cliquez sur Enregistrer. Configuration du service SMB Pour configurer le service SMB, vous devez configurer quatre groupes de réglages dans la sous-fenêtre Réglages, pour le service SMB, dans Admin Serveur :  Général. Spécifiez le rôle du serveur en fournissant le service SMB et l’identité du serveur aux clients de son service SMB.  Accès. Limitez le nombre de clients et contrôlez l’accès comme invité.  Journalisation. Choisissez la quantité d’informations enregistrées dans l’historique du service.  Avancé. Configurez l’inscription WINS et les services de navigation de domaine, choisissez un code de page pour les clients et contrôlez les points de partage virtuels pour les dossiers de départ. Comme les réglages par défaut sont appropriés si vous souhaitez fournir uniquement des services de fichiers et d’impression SMB, il vous suffit peut-être de démarrer le service SMB. Toutefois, vérifiez les réglages et modifiez toute option incorrecte pour votre réseau. Chapitre 5 Utilisation du service SMB 105 Si vous souhaitez configurer Mac OS X Server pour l’un des rôles suivants, vous devez modifier certains réglages :  Contrôleur de domaine principal (PDC)  Contrôleur de domaine secondaire (BDC)  Membre d’un domaine Windows du PDC Mac OS X Server  Membre d’un domaine Active Directory d’un serveur Windows En outre, vos ordinateurs clients Windows doivent être configurés pour accéder au service SMB de Mac OS X Server comme décrit à la fin de ce chapitre, en particulier si les utilisateurs ouvrent une session dans le domaine Windows. Les rubriques suivantes décrivent comment configurer ces réglages ; une dernière rubrique vous indique comment démarrer le service SMB. Configuration des réglages Général Utilisez les réglages Général pour sélectionner le rôle du serveur et fournir la description, le nom d’ordinateur et le groupe de travail pour le serveur. Pour configurer les réglages SMB Général : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle situé à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez SMB. 4 Cliquez sur Réglages, puis sur Général. 5 Dans le menu local Rôle, définissez le rôle du serveur Windows : Choisissez « Serveur autonome » si vous souhaitez que votre serveur fournisse des services de fichiers et d’impression SMB aux utilisateurs disposant de comptes dans le domaine de répertoire local du serveur. Le serveur ne fournit pas de services d’authentification pour les connexions aux domaines Windows sur des ordinateurs Windows. Il s’agit de la configuration par défaut. Choisissez « Membre du domaine » si vous souhaitez que votre serveur fournisse des services de fichiers et d’impression Windows aux utilisateurs qui se connectent au domaine Windows d’un Contrôleur de domaine principal Mac OS X Server ou au domaine Active Directory d’un serveur Windows. Un membre de domaine peut héberger des profils d’utilisateurs et des dossiers de départ réseau pour les comptes d’utilisateurs sur le Contrôleur de domaine principal ou sur le domaine Active Directory. 106 Chapitre 5 Utilisation du service SMB Choisissez « Contrôleur de domaine principal (CDP) » si vous souhaitez que votre serveur héberge un domaine Windows, stocke les fiches d’utilisateur, de groupe et d’ordinateur et fournisse l’authentification pour l’ouverture de session de domaine et d’autres services. Si aucun membre de domaine n’est disponible, le serveur Contrôleur de domaine principal (PDC) peut fournir des services de fichiers et d’impression Windows et il peut héberger des profils d’utilisateurs et des dossiers de départ réseau pour les utilisateurs disposant de comptes d’utilisateurs sur le PDC. Choisissez « Contrôleur de domaine secondaire (BDC) » si vous souhaitez que votre serveur fournisse un basculement et une sauvegarde automatiques pour le Contrôleur de domaine principal Mac OS X Server. Le Contrôleur de domaine secondaire traite les demandes d’authentification pour l’ouverture de session de domaine et d’autres services, selon les besoins. Le Contrôleur de domaine secondaire peut héberger des profils d’utilisateurs et des dossiers de départ réseau pour les comptes d’utilisateurs sur le Contrôleur de domaine principal. Remarque : Mac OS X Server peut héberger un Contrôleur de domaine principal (PDC) uniquement si le serveur est un maître Open Directory ; il peut héberger un Contrôleur de domaine secondaire (BDC) uniquement si le serveur est une réplique Open Directory. Pour en savoir plus sur les services de répertoire et d’authentification Mac OS X Server, y compris les maîtres et répliques Open Directory, consultez le guide Administration Open Directory. 6 Tapez une description, un nom d’ordinateur et un domaine ou groupe de travail : Pour la Description, tapez une description de l’ordinateur. Elle apparaît dans la fenêtre des emplacements réseau sur les ordinateurs Windows, et elle est facultative. Pour le Nom de l’ordinateur, tapez le nom que vous souhaitez afficher aux utilisateurs Windows lorsqu’ils se connectent au serveur. Il s’agit du nom NetBIOS du serveur. Ce nom ne doit pas contenir plus de 15 caractères, ni aucun caractères spéciaux et signes de ponctuation. Si possible, utilisez pour le nom du serveur son nom d’hôte DNS non qualifié. Par exemple, si votre serveur DNS comporte l’entrée « serveur.exemple.com » pour votre serveur, donnez à votre serveur le nom « serveur ». Pour le Domaine, tapez le nom du domaine Windows que le serveur hébergera. Le nom du domaine ne doit pas dépasser 15 caractères et ne doit pas être « groupe de travail ». Pour le Groupe de travail, tapez un nom de groupe de travail. Les utilisateurs Windows voient le nom du groupe de travail dans la fenêtre Mon réseau (ou Voisinage de réseau). Si votre sous-réseau comporte des domaines Windows, utilisez l’un d’entre eux comme nom de groupe de travail, afin de faciliter la communication d’un sous-réseau à l’autre pour les clients. Si tel n’est pas le cas, consultez votre administrateur réseau Windows pour obtenir le nom adéquat. Le nom du groupe de travail ne doit pas dépasser 15 caractères. 7 Cliquez sur Enregistrer. Chapitre 5 Utilisation du service SMB 107 À partir de la ligne de commande Vous pouvez également modifier les réglages du service SMB en utilisant la commande serveradmin dans Terminal. Pour en savoir plus, consultez le chapitre sur les services de fichiers du guide Administration de ligne de commande. Configuration des réglages d’accès Utilisez la sous-fenêtre Accès des réglages du service SMB dans Admin Serveur pour autoriser l’accès des utilisateurs Windows anonymes ou pour limiter le nombre de connexions de clients Windows simultanées. Vous pouvez également sélectionner les différentes formes d’authentification acceptées par le service SMB. Pour configurer les réglages d’accès au service SMB : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle situé à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez SMB. 4 Cliquez sur Réglages, puis sur Accès. 5 Pour autoriser des utilisateurs Windows ou d’autres utilisateurs SMB à se connecter aux services de fichiers Windows sans fournir de nom d’utilisateur ou de mot de passe, sélectionnez « Autoriser l’accès comme invité ». 6 Pour limiter le nombre d’utilisateurs qui peuvent être connectés simultanément au service SMB, sélectionnez « __ maximum », puis tapez un nombre dans le champ. 7 Sélectionnez les formes d’authentification disponibles pour les utilisateurs Windows. Les options d’authentification sont NTLMv2 et Kerberos, NTLM ou LAN Manager. NTLMv2 et Kerberos est l’option la plus sûre, mais les clients doivent utiliser Windows NT, Windows 98 ou une version ultérieure pour en bénéficier. LAN Manager est l’option la moins sûre, mais les clients Windows 95 peuvent l’utiliser. 8 Cliquez sur Enregistrer. À partir de la ligne de commande Vous pouvez également modifier les réglages du service SMB en utilisant la commande serveradmin dans Terminal. Pour en savoir plus, consultez le chapitre sur les services de fichiers du guide Administration de ligne de commande. 108 Chapitre 5 Utilisation du service SMB Configuration des réglages de journalisation Utilisez la sous-fenêtre Journalisation des réglages du service SMB dans Admin Serveur pour spécifier la quantité d’informations à enregistrer dans le fichier d’historique SMB. Pour configurer le niveau de journalisation du service SMB : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle situé à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez SMB. 4 Cliquez sur Réglages, puis sur Journalisation. 5 Dans le menu local, définissez le niveau de détail d’historique : Choisissez « Faible » pour enregistrer les messages d’erreur et d’avertissement uniquement. Choisissez « Moyen » pour enregistrer les messages d’erreur et d’avertissement, les heures de démarrage et d’arrêt du service, les échecs d’authentification et les inscriptions des noms de navigateurs. Choisissez « Élevé » pour enregistrer les messages d’erreur et d’avertissement, les heures de démarrage et d’arrêt du service, les échecs d’authentification, les inscriptions des noms de navigateurs et les accès aux fichiers. 6 Cliquez sur Enregistrer. À partir de la ligne de commande Vous pouvez également modifier les réglages du service SMB en utilisant la commande serveradmin dans Terminal. Pour en savoir plus, consultez le chapitre sur les services de fichiers du guide Administration de ligne de commande. Configuration des réglages avancés Utilisez la sous-fenêtre Avancé des réglages du service SMB dans Admin Serveur pour choisir un code de page client, définir le serveur comme navigateur maître de groupe de travail ou de domaine, spécifier l’inscription WINS du serveur et activer les points de partage virtuels pour les dossiers de départ des utilisateurs. Pour configurer les réglages avancés du service SMB : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle situé à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez SMB. 4 Cliquez sur Réglages, puis sur Avancé. 5 Dans le menu local Code de la page, choisissez le jeu de caractères à utiliser par les clients. Chapitre 5 Utilisation du service SMB 109 6 Sélectionnez la manière dont le serveur doit effectuer la découverte et les services de navigation : Pour fournir la découverte et la navigation de serveurs dans un seul sous-réseau, sélectionnez « Services : navigateur maître de groupe de travail ». Pour fournir la découverte et la navigation de serveurs d’un sous-réseau à l’autre, sélectionnez « Services : Navigateur maître de domaine ». 7 Sélectionnez comment le serveur doit s’inscrire auprès de WINS : Pour empêcher votre serveur d’utiliser ou de fournir le service WINS pour la résolution de nom NetBIOS, sélectionnez « Désactiver ». Pour permettre à votre serveur de fournir le service de résolution de nom NetBIOS, sélectionnez « Activer le serveur WINS » Cette fonction permet aux clients sur plusieurs sous-réseaux de résoudre des noms et des adresses. Pour permettre à votre serveur d’utiliser un service WINS existant pour la résolution de nom NetBIOS, sélectionnez « S’inscrire sur serveur WINS » puis tapez l’adresse IP ou le nom DNS du serveur WINS. 8 Sélectionnez si vous souhaitez activer les points de partage virtuels : Si vous activez les points de partage virtuels, chaque utilisateur dispose du même dossier de départ réseau, qu’il ouvre une session depuis une station de travail Windows ou depuis un ordinateur Mac OS X. Si vous désactivez les points de partage virtuels, vous devez configurer un point de partage SMB pour les dossiers de départ Windows et vous devez configurer chaque compte d’utilisateur Windows pour qu’il utilise ce point de partage. À partir de la ligne de commande Vous pouvez également modifier les réglages du service SMB en utilisant la commande serveradmin dans Terminal. Pour en savoir plus, consultez le chapitre sur les services de fichiers du guide Administration de ligne de commande. Démarrage du service SMB Vous devez démarrer le service SMB pour le rendre disponible auprès de vos utilisateurs clients. Pour démarrer le service SMB : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle situé à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez SMB. 4 Cliquez sur Démarrer SMB (sous la liste Serveurs). 110 Chapitre 5 Utilisation du service SMB À partir de la ligne de commande Vous pouvez également démarrer le service SMB en utilisant la commande serveradmin dans Terminal. Pour en savoir plus, consultez le chapitre sur les services de fichiers du guide Administration de ligne de commande. Gestion du service SMB Cette rubrique décrit les tâches courantes que vous aurez probablement à effectuer une fois le service SMB configuré sur votre serveur. Les informations de configuration initiale sont décrites à la rubrique « Configuration du service SMB » à la page 105. Affichage de l’état du service SMB Utilisez Admin Serveur pour afficher l’état du service SMB. Pour afficher l’état du service SMB : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle situé à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez SMB. 4 Pour voir si le service s’exécute, l’heure à laquelle il a démarré, le nombre de connexions et si l’accès comme invité est activé, cliquez sur Vue d’ensemble. 5 Pour étudier l’historique des événements, cliquez sur Historiques. Utilisez le menu local Présentation pour choisir les historiques à afficher. 6 Pour afficher un graphique des utilisateurs connectés, cliquez sur Graphiques. Utilisez le menu local afin de choisir la durée pendant laquelle les données de graphique sont recueillies. 7 Pour afficher une liste des utilisateurs connectés, cliquez sur Connexions. Cette liste comprend le nom d’utilisateur, l’adresse IP ou le nom de domaine de chacun des utilisateurs, ainsi que la durée de la connexion. À partir de la ligne de commande Vous pouvez également afficher l’état du processus du service SMB en utilisant la commande ps ou top dans Terminal. Pour afficher les fichiers d’historique (situés dans /Bibliothèque/Historiques/WindowsServices/), utilisez la commande cat ou tail. Pour en savoir plus, consultez le chapitre sur les services de fichiers du guide Administration de ligne de commande. Chapitre 5 Utilisation du service SMB 111 Affichage des historiques du service SMB Utilisez Admin Serveur pour afficher les historiques SMB. Pour afficher les historiques SMB : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle situé à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez SMB. 4 Cliquez sur Historiques et utilisez le menu local Présentation pour choisir entre « Historique du service de fichiers SMB » et « Historique du service de noms SMB ». Pour choisir les types d’événements enregistrés, consultez la rubrique « Configuration des réglages de journalisation » à la page 109. À partir de la ligne de commande Vous pouvez également afficher l’historique SMB en utilisant la commande cat ou tail dans Terminal. Pour en savoir plus, consultez le chapitre sur les services de fichiers du guide Administration de ligne de commande. Affichage de graphiques SMB Utilisez Admin Serveur pour afficher des graphiques SMB. Pour afficher des graphiques SMB : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle situé à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez SMB. 4 Pour afficher un graphique du débit moyen des utilisateurs connectés au cours d’une période donnée, cliquez sur Graphiques. Pour choisir la durée pendant laquelle les données de graphique sont recueillies, utilisez le menu local. 5 Pour mettre à jour les données du graphique, cliquez sur le bouton Actualiser (situé sous la liste Serveurs). 112 Chapitre 5 Utilisation du service SMB Affichage des connexions SMB Utilisez Admin Serveur pour afficher les clients connectés au serveur au moyen de services SMB. Pour afficher des connexions SMB : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle situé à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez SMB. 4 Pour afficher une liste d’utilisateurs connectés, cliquez sur Connexions. Cette liste comprend le nom d’utilisateur, l’adresse IP ou le nom de domaine de chacun des utilisateurs, ainsi que la durée de la connexion. Vous pouvez déconnecter un client donné en sélectionnant l’utilisateur dans la liste Connexions, puis en cliquant sur Déconnecter. Important : les utilisateurs ainsi déconnectés risquent de perdre des modifications non enregistrées dans des fichiers ouverts. 5 Mettez à jour la liste des utilisateurs connectés en cliquant sur le bouton Actualiser (situé sous la liste Serveurs). Arrêt du service SMB Utilisez Admin Serveur pour arrêter le service SMB. Important : lorsque vous arrêtez le service SMB, tout utilisateur connecté risque de perdre des modifications non enregistrées dans des fichiers ouverts. Pour arrêter le service SMB : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle situé à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez SMB. 4 Cliquez sur Arrêter SMB (sous la liste Serveurs). À partir de la ligne de commande Vous pouvez également arrêter le service SMB en utilisant la commande serveradmin dans Terminal. Pour en savoir plus, consultez le chapitre sur les services de fichiers du guide Administration de ligne de commande. Chapitre 5 Utilisation du service SMB 113 Activation ou désactivation des points de partage virtuels Admin Serveur vous permet de contrôler si Mac OS X Server doit créer un point de partage SMB virtuel qui corresponde au point de partage sélectionné pour chaque utilisateur dans Admin Serveur. Cela simplifie la configuration des dossiers de départ pour les utilisateurs Windows, car le même dossier de départ est utilisé pour Windows et pour Mac OS X. Si vous activez les points de partage virtuels, chaque utilisateur dispose du même dossier de départ réseau, qu’il ouvre une session depuis une station de travail Windows ou depuis un ordinateur Mac OS X. Si vous désactivez les points de partage virtuels, vous devez configurer un point de partage SMB pour les dossiers de départ Windows et vous devez configurer chaque compte d’utilisateur Windows pour qu’il utilise ce point de partage. Pour activer ou désactiver des points de partage SMB virtuels pour les dossiers de départ Windows : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle situé à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez SMB. 4 Cliquez sur Réglages, puis sur Avancé. 5 Cliquez sur « Activer les points de partage virtuels ». 6 Cliquez sur Enregistrer. 114 Chapitre 5 Utilisation du service SMB 6 Utilisation du service NFS 6 Ce chapitre décrit comment configurer et gérer le service NFS dans Mac OS X Server. NFS (Network File System, en anglais) est le protocole utilisé pour les services de fichiers sur les ordinateurs UNIX. Utilisez le service NFS dans Mac OS X Server pour fournir des services de fichiers à des clients UNIX (y compris les clients Mac OS X). Vous pouvez partager un volume, ou l’exporter, selon la terminologie standard NFS, vers un ensemble d’ordinateurs clients ou vers le « Monde ». Si un volume NFS est exporté vers le « Monde », toute personne accédant à votre serveur peut également accéder à ce volume. Le service NFS prend en charge les autorisations de fichier POSIX. NFS ne prend pas en charge la lecture ou la modification des autorisations de listes de contrôle d’accès (ACL). Les ACL sont appliquées par le système de fichiers exporté par NFS. Présentation générale de la configuration Voici un aperçu des principales étapes pour configurer le service NFS. Étape 1 : Avant de commencer Pour les questions à garder à l’esprit lorsque vous installez le service NFS, lisez la rubrique « Avant de configurer le service NFS » à la page 116. Étape 2 : Activez le service NFS Avant de configurer le service NFS, activez NFS. Consultez la rubrique « Activation du service NFS » à la page 117. Étape 3 : Configurez les réglages NFS Configurez les réglages NFS pour définir le nombre maximal de démons et choisir comment servir les clients —à l’aide du protocole TCP (Transmission Control Protocol), du protocole UDP (User Datagram Protocol) ou des deux. Consultez la rubrique « Configuration des réglages NFS » à la page 117. 115 Étape 4 : Créez des points de partage et partagez-les via NFS Utilisez le service Partage d’Admin Serveur pour spécifier les points de partage à exporter (partager) via NFS. Un point de partage doit être configuré explicitement de manière à utiliser NFS afin que les utilisateurs d’NFS puissent y accéder. Consultez les rubriques « Création d’un point de partage » à la page 42, « Exportation d’un point de partage NFS » à la page 48 et « Montage automatique de points de partage pour les clients » à la page 51. Lorsque vous exportez un point de partage, NFS démarre automatiquement. Lorsque vous supprimez tous les exportations, le service s’arrête. Pour voir si le service NFS est en cours d’exécution, ouvrez Admin Serveur, sélectionnez NFS dans la liste des services de votre serveur, puis cliquez sur Vue d’ensemble. Avant de configurer le service NFS Mac OS X 10.5 propose NFS avec Kerberos, fournissant ainsi un autre service de partage de fichiers sécurisé. L’accès sécurisé aux éléments partagés NFS est contrôlé par Kerberos, le logiciel client et les autorisations de fichier. NFS avec Kerberos peut être configuré de manière à n’accorder l’accès qu’à des volumes partagés basés sur l’adresse IP d’un ordinateur et sur les références de signature unique d’un utilisateur. Si votre réseau comporte à la fois des ordinateurs Mac OS X 10.4 et Mac OS X 10.5, vous pouvez autoriser l’authentification à la fois via l’authentification système et via Kerberos (en réglant l’option Sécurité minimale sur Quelconque), puis exporter votre partage NFS vers Monde. Il faut alors que les utilisateurs, dans un royaume Kerberos, obtiennent un ticket d’attribution de tickets sur un serveur Kerberos avec signature unique avant d’accéder aux volumes partagés NFS. Les ordinateurs Mac OS X 10.4 peuvent toujours accéder au point de partage NFS à l’aide de l’authentification système. Si votre réseau est constitué uniquement d’ordinateurs Mac OS X 10.5, il est recommandé de ne régler la sécurité que sur Autorisation Kerberos. L’utilisation d’NFS avec Kerberos est recommandée pour configurer un accès sécurisé aux fichiers. 116 Chapitre 6 Utilisation du service NFS Activation du service NFS Avant de pouvoir configurer les réglages NFS, vous devez activer le service NFS dans Admin Serveur. Pour activer le service NFS, procédez de la manière suivante : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur Réglages, puis sur Services. 3 Cochez la case NFS. 4 Cliquez sur Enregistrer. Configuration du service NFS Utilisez Admin Serveur pour modifier les réglages du service NFS. Les rubriques suivantes décrivent les tâches à accomplir pour configurer et démarrer le service NFS. Configuration des réglages NFS Les réglages NFS permettent de définir le nombre maximal de démons et de choisir comment servir les clients —via TCP, UDP ou les deux. Pour configurer les réglages NFS, procédez de la manière suivante : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez NFS. 4 Cliquez sur Réglages. 5 Dans le champ « Utiliser__segments serveur », entrez le nombre maximal de segments NFS que vous souhaitez exécuter en même temps. Un segment NFS est un segment s’exécutant dans le processus nfsd. Il s’exécute continuellement en arrière-plan et traite les requêtes de lecture et d’écriture émises par les clients. Plus il y a de segments disponibles, plus le nombre de clients pouvant être servis simultanément est important. 6 Sélectionnez le mode de transfert des données vers vos ordinateurs clients. Le protocole TCP sépare les données en paquets (petits bits de données envoyés sur le réseau via le protocole IP) et utilise la correction d’erreurs pour s’assurer que les informations sont correctement transmises. Le protocole UDP est un protocole de transport sans correction ni connexion. Le protocole UDP ne découpe pas les données en paquets, utilisant ainsi moins de ressources système. Il est plus extensible que le protocole TCP et constitue un choix approprié dans le cas d’un serveur très utilisé car il permet d’en alléger la charge. Toutefois, n’utilisez pas le protocole UDP si le service est utilisé par des clients distants. Chapitre 6 Utilisation du service NFS 117 Pour les clients, les performances du protocole TCP sont meilleures que celles du protocole UDP. Toutefois, à moins que vous n’ayez des exigences spécifiques en matière de performances, sélectionnez à la fois TCP et UDP. 7 Cliquez sur Enregistrer. À partir de la ligne de commande Vous pouvez également modifier les réglages du service NFS à l’aide de la commande serveradmin dans Terminal. Pour en savoir plus, consultez le chapitre sur les services de fichiers du guide Administration de ligne de commande. Lancement du service NFS Démarrez le service NFS afin que les exportations NFS soient disponibles pour les utilisateurs clients. Pour démarrer le service NFS, procédez de la manière suivante : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez NFS. 4 Cliquez sur Démarrer NFS (en dessous de la liste des serveurs). Le service fonctionne jusqu’à ce que vous l’arrêtiez et il redémarre si votre serveur est redémarré. Gestion du service NFS Utilisez Admin Serveur pour gérer les réglages du service NFS. Vérification de l’état du service NFS Utilisez Admin Serveur pour vérifier l’état des périphériques et services de Mac OS X Server. Pour afficher l’état du service NFS, procédez de la manière suivante : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez NFS. 4 Cliquez sur Vue d’ensemble. La sous-fenêtre Vue d’ensemble vous indique si le service et les processus nfsd, portmap, rpc.lockd et rpc.statd sont en cours d’exécution. Le processus nfsd répond à toutes les requêtes de protocole NFS et de protocole de montage émises par des ordinateurs clients sur lesquels des dossiers sont montés. 118 Chapitre 6 Utilisation du service NFS Le processus portmap permet aux ordinateurs clients de trouver des démons nfs (toujours un processus). Le démon rpc.lockd fournit des services de fichiers et de verrouillage d’enregistrements dans un environnement NFS. Le démon rpc.statd coopère avec les démons rpc.statd sur d’autres hôtes pour fournir un service de contrôle d’état. Si un service NFS local s’arrête de façon inopinée et redémarre, le démon local rpc.statd le notifie aux hôtes qui sont contrôlés au moment de l’arrêt du service. 5 Pour afficher une liste des utilisateurs connectés, cliquez sur Connexions. Cette liste comporte le nom d’utilisateur, l’adresse IP ou le nom de domaine pour chacun des utilisateurs, le temps écoulé depuis le dernier transfert de données (temps d’inactivité), les requêtes NFS et les octets lus et écrits. À partir de la ligne de commande Vous pouvez également vérifier l’état du service NFS à l’aide des commandes ps, nfsd status ou serveradmin dans Terminal. Pour en savoir plus, consultez le chapitre sur les services de fichiers du guide Administration de ligne de commande. Affichage des connexions NFS Utilisez Admin Serveur pour afficher les clients actifs connectés au serveur via le service NFS. Pour afficher les connexions NFS, procédez de la manière suivante : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez NFS. 4 Pour afficher une liste des utilisateurs actifs, cliquez sur Connexions. Cette liste comporte le nom d’utilisateur, l’adresse IP ou le nom de domaine pour chacun des utilisateurs, le temps écoulé depuis le dernier transfert de données (temps d’inactivité), les requêtes NFS et les octets lus et écrits. 5 Pour mettre à jour la liste des utilisateurs connectés, cliquez sur le bouton Actualiser (situé sous la liste Serveurs). Chapitre 6 Utilisation du service NFS 119 Arrêt du service NFS Utilisez Admin Serveur pour arrêter le service NFS et déconnecter les utilisateurs. Les utilisateurs connectés lorsque vous arrêtez le service NFS risquent de perdre les modifications non enregistrées dans les fichiers ouverts. Pour arrêter le service NFS après avoir prévenu les utilisateurs, procédez de la manière suivante : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez NFS. 4 Cliquez sur Connexions : vous voyez alors si des utilisateurs sont connectés à un volume partagé NFS. Si vous arrêtez le service alors que des utilisateurs sont connectés, ceux-ci risquent de perdre les données non enregistrées. 5 Cliquez sur Arrêter NFS. À partir de la ligne de commande Vous pouvez également arrêter le service NFS immédiatement à l’aide de la commande serveradmin dans Terminal. Pour en savoir plus, consultez le chapitre sur les services de fichiers du guide Administration de ligne de commande. Affichage des exportations NFS en cours Utilisez l’application Terminal pour afficher une liste des exportations NFS en cours. Pour afficher les exportations NFS en cours, procédez de la manière suivante : 1 Ouvrez Terminal. 2 Entrez la commande suivante pour afficher les exportations NFS : $ showmount -e Si cette commande ne donne pas de résultat en quelques secondes, il n’y a aucune exportation et le processus ne répond pas. 3 Quitter Terminal. Appuyez sur Ctrl + C pour quitter la commande showmount et retourner à une ligne de commande active dans votre fenêtre Terminal. 120 Chapitre 6 Utilisation du service NFS 7 Utilisation du service FTP 7 Ce chapitre décrit comment configurer et gérer le service FTP dans Mac OS X Server. FTP (File Transfer Protocol) constitue un moyen simple de transférer des fichiers sur Internet à partir de n’importe quel type d’ordinateur. Tout utilisateur d’un ordinateur prenant en charge FTP ou une application client FTP peut se connecter à votre serveur FTP et télécharger des fichiers, dans les deux sens, en fonction des autorisations que vous avez définies. La plupart des navigateurs Internet et un certain nombre d’applications gratuites ou partagées peuvent être utilisés pour accéder à votre serveur FTP. Dans Mac OS X Server, le service FTP est basé sur le code source du serveur FTP de l’université de Washington, connu sous le nom de « wu-FTPd ». Toutefois, le code source d’origine a été considérablement modifié en vue d’une plus grande convivialité. Certaines de ces différences sont décrites dans les rubriques ci-après. Un environnement FTP sécurisé La plupart des serveurs FTP restreignent l’accès des utilisateurs à des dossiers spécifiques sur le serveur. Les utilisateurs peuvent voir uniquement le contenu de ces répertoires, si bien que le serveur reste sûr. Les utilisateurs ne peuvent pas accéder aux volumes montés en dehors des dossiers restreints, et les liens symboliques et les alias ne peuvent pas atteindre de données au-delà de ces frontières. Dans Mac OS X Server, le service FTP étend l’environnement restreint pour autoriser l’accès à des liens symboliques, tout en préservant la sécurité de l’environnement FTP. Vous pouvez autoriser les utilisateurs FTP à accéder au dossier de départ FTP, à leur propre dossier de départ ou à tout autre dossier sur le serveur que vous avez configuré en tant que point de partage FTP. L’accès d’un utilisateur au dossier de départ FTP, aux points de partage FTP et à son propre dossier de départ est déterminé par l’environnement utilisateur que vous spécifiez (comme décrit à la rubrique suivante) et par ses privilèges d’accès. Remarque : le service FTP applique les autorisations d’ACL. 121 Utilisateurs FTP FTP prend en charge deux types d’utilisateurs :  Les utilisateurs authentifiés. Ces utilisateurs disposent de comptes sur votre serveur et leur dossier de départ peut se trouver sur ce serveur. Certains logiciels FTP appellent ces utilisateurs des utilisateurs réels. Un utilisateur authentifié doit fournir un nom d’utilisateur et un mot de passe pour accéder aux fichiers du serveur via FTP. Vous pouvez examiner ou configurer les utilisateurs authentifiés à l’aide du module Comptes du Gestionnaire de groupe de travail.  Les utilisateurs anonymes. Ces utilisateurs ne disposent pas de compte sur votre serveur. Ils sont également appelés des utilisateurs invités (par exemple, lorsque vous configurez un point de partage FTP dans Admin Serveur). Un utilisateur anonyme peut accéder aux dossiers FTP sur le serveur en utilisant le nom d’utilisateur commun « anonyme » et une adresse électronique fictive comme mot de passe. Vous pouvez autoriser un accès anonyme à votre serveur en utilisant la sous-fenêtre Général des réglages du service FTP dans Admin Serveur. Consultez la rubrique « Configuration des réglages Général » à la page 129. Dossier de départ FTP Le dossier de départ FTP (ou départ FTP) correspond à une partie de l’espace disque de votre serveur réservée aux utilisateurs FTP. Lorsque vous installez le logiciel serveur, le dossier de départ FTP est défini ainsi : /Bibliothèque/FTPServer/FTPRoot/. Vous pouvez modifier le départ FTP. Consultez la rubrique « Modification du dossier de départ FTP » à la page 136. Environnements utilisateurs FTP Mac OS X Server propose un choix de trois environnements FTP :  Départ FTP et les points de partage  Dossier de départ avec points de partage  Dossier de départ uniquement Pour choisir l’environnement utilisateur de votre serveur, utilisez la sous-fenêtre Avancé des réglages du service FTP dans Admin Serveur. Pour en savoir plus, consultez la rubrique « Configuration des réglages FTP Avancé » à la page 133. 122 Chapitre 7 Utilisation du service FTP Départ FTP et les points de partage L’environnement « Départ FTP et les points de partage » donne accès au départ FTP et à tout point de partage FTP pour lequel les utilisateurs disposent de privilèges d’accès, comme illustré ci-dessous. Utilisateurs Correspond à “/ ” lors de l'accès en tant qu'utilisateur “Richard” Richard bin etc Bibliothèque system Volumes Correspond à “/ ” lors de l'accès en tant qu'utilisateur “Charlotte” Point de partage FTP incorporé dans la racine virtuelle Données Charlotte Photos Serveur FTP Répertoire de départ FTP Répertoire de départ FTP Correspond à “/ ” pour les utilisateurs FTP anonymes Répertoire de départ FTP Lien symbolique Données Photos Les utilisateurs accèdent aux points de partage FTP au moyen de liens symboliques attachés au dossier de départ FTP. Ces liens sont créés lorsque vous créez les points de partage FTP. Dans cet exemple, /Utilisateurs, /Volumes/Données/ et /Volumes/Photos/ sont des points de partage FTP. Tous les utilisateurs peuvent voir les dossiers de départ des autres utilisateurs, parce qu’il s’agit de sous-dossiers du point de partage Utilisateurs. Important : quel que soit le réglage de l’environnement utilisateur, les utilisateurs anonymes et les utilisateurs dépourvus de dossier de départ ouvrent toujours une session dans l’environnement « Départ FTP et les points de partage ». Chapitre 7 Utilisation du service FTP 123 Dossier de départ avec les points de partage Lorsque l’environnement utilisateur est défini sur « Dossier de départ avec les points de partage », les utilisateurs authentifiés ouvrent une session dans leur dossier de départ et accèdent au départ FTP au moyen d’un lien symbolique créé dans leur dossier de départ. Les utilisateurs accèdent à d’autres points de partage FTP au moyen de liens symboliques se trouvant dans le départ FTP. Comme toujours, l’accès aux points de partage FTP est contrôlé par les privilèges d’accès de l’utilisateur. Pour que les utilisateurs puissent accéder à leur dossier de départ, le point de partage où se trouvent ces dossiers doit être configuré pour être partagé via FTP, comme illustré ci-dessous : bin etc Utilisateurs system Bibliothèque Serveur FTP Richard Charlotte Correspond à “/ ” Volumes Données Point de partage FTP incorporé dans la racine virtuelle Photos Point de partage Répertoire de départ FTP Utilisateurs Données Photos Liens symboliques Si vous modifiez le départ FTP, le lien symbolique dans le dossier de départ d’un utilisateur reflètera cette modification. Par exemple, si vous remplacez le départ FTP par /Volumes/Extra/NewRoot/, le lien symbolique créé dans le dossier de départ de l’utilisateur sera alors nommé NewRoot. 124 Chapitre 7 Utilisation du service FTP Dossier de départ uniquement Lorsque vous choisissez l’option « Dossier de départ uniquement », les utilisateurs authentifiés sont restreints à leur propre dossier de départ et n’ont pas accès au départ FTP ou à d’autres points de partage FTP, comme illustré ci-après. Utilisateurs bin etc Bibliothèque system Volumes Point de partage FTP incorporé dans la racine virtuelle Richard Charlotte Données Photos Serveur FTP Point de partage Projets Rapports Correspond à “/ ” pour les utilisateurs FTP anonymes Répertoire de départ FTP Lien symbolique Données Photos Les utilisateurs anonymes et les utilisateurs dépourvus de dossier de départ peuvent accéder au départ FTP mais ne peuvent pas naviguer dans les points de partage FTP. Conversion de fichiers à la volée Le service FTP dans Mac OS X Server permet aux utilisateurs de demander des versions compressées ou décompressées d’informations sur le serveur. Une extension de nom de fichier, telle que « .Z » ou « .gz », indique que le fichier est compressé. Si un utilisateur demande un fichier appelé « Hamlet.txt » et que le serveur dispose uniquement d’un fichier appelé « Hamlet.txt.Z », le serveur comprendra alors que l’utilisateur souhaite obtenir la version décompressée, et la lui fournira à ce format. Chapitre 7 Utilisation du service FTP 125 Le service FTP dans Mac OS X Server peut donc non seulement reconnaître des formats de compression de fichier standard, mais aussi lire des fichiers depuis des volumes HFS (Hierarchical File System) ou non-HFS et convertir ces fichiers au format MacBinary (.bin). MacBinary est l’un des formats de compression de fichier les plus couramment utilisés pour le système d’exploitation Macintosh. Le tableau ci-dessous présente des extensions de fichier courantes et le type de compression correspondant. Extension de fichier Signification .gz compression DEFLATE .Z compression UNIX .bin encodage MacBinary .tar archivage tar UNIX .tZ archivage tar compressé UNIX .tar.Z archivage tar compressé UNIX .crc fichier de somme de contrôle UNIX .dmg image disque Mac OS X Fichiers comportant des parties ressources Les clients Mac OS X peuvent tirer profit de la conversion à la volée pour transférer des fichiers créés à l’aide de systèmes de fichiers plus anciens qui conservent les informations dans des parties ressources. Si vous activez l’autoconversion MacBinary et image disque dans les réglages du service FTP, les fichiers comportant des parties ressources sont répertoriés sous forme de fichiers .bin sur les clients FTP. Lorsqu’un client demande le transfert de l’un de ces fichiers, la conversion à la volée reconnaît l’extension .bin et convertit le fichier en un fichier .bin réel pour le transfert . Authentification Kerberos FTP prend en charge l’authentification Kerberos. Vous choisissez la méthode d’authentification dans la sous-fenêtre Général des réglages du service FTP, dans Admin Serveur. Consultez la rubrique « Configuration des réglages Général » à la page 129. Spécifications du service FTP Les spécifications par défaut du service FTP sont les suivantes :  Nombre maximal d’utilisateurs authentifiés : 50  Nombre maximal d’utilisateurs anonymes : 50  Nombre maximal d’utilisateurs connectés : 1000  Numéro de port FTP : 21  Nombre d’échecs de tentatives d’ouverture de session avant la déconnexion de l’utilisateur : 3 126 Chapitre 7 Utilisation du service FTP Présentation générale de la configuration Voici un aperçu des principales étapes pour configurer le service FTP. Étape 1 : Avant de commencer Consultez la rubrique « Avant de configurer le service FTP » à la page 128 au sujet des problèmes à ne pas oublier lorsque vous configurez le service FTP. Étape 2 : Activez le service FTP Avant de configurer le service FTP, FTP doit être activé. Consultez la rubrique « Activation du service FTP » à la page 128. Étape 3 : Configurez les réglages FTP Général Les réglages Général permettent de spécifier le nombre d’utilisateurs authentifiés et anonymes qui peuvent se connecter au serveur, de limiter le nombre de tentatives d’ouverture de session et de fournir une adresse électronique d’administrateur. Consultez la rubrique « Configuration des réglages Général » à la page 129. Étape 4 : Configurez les réglages des messages FTP Les réglages des messages vous permettent d’afficher une bannière et des messages d’accueil, de définir le nombre de tentatives d’ouverture de session et de fournir une adresse électronique d’administrateur. Consultez la rubrique « Configuration des messages d’accueil » à la page 130. Étape 5 : Configurez les réglages de journalisation FTP Les réglages de journalisation vous permettent de spécifier les événements relatifs à FTP que vous souhaitez conserver pour les utilisateurs authentifiés ou anonymes. Consultez la rubrique « Configuration des réglages de journalisation FTP » à la page 132. Étape 6 : Configurez les réglages FTP avancés Les réglages avancés vous permettent de modifier le départ FTP et de choisir les éléments que les utilisateurs peuvent voir. Consultez la rubrique « Configuration des réglages FTP Avancé » à la page 133. Étape 7 : Créez un dossier de téléchargements pour les utilisateurs anonymes Si vous avez activé l’accès anonyme à l’étape 2, vous souhaitez peut-être créer un dossier destiné au téléchargement de fichiers par les utilisateurs anonymes. Le dossier doit être appelé « Téléchargements vers le serveur ». Il ne s’agit pas d’un point de partage, mais il doit disposer de privilèges d’accès adéquats. Consultez la rubrique « Création d’un dossier de téléchargement pour les utilisateurs anonymes » à la page 134. Étape 8 : Créez des points de partage et partagez-les via FTP Utilisez le service Partage d’Admin Serveur pour spécifier les points de partage que vous souhaitez rendre disponibles via FTP. Vous devez configurer explicitement un point de partage pour utiliser FTP, afin que les utilisateurs FTP puissent accéder à ce point de partage. Consultez les rubriques « Création d’un point de partage » à la page 42 et « Modification des réglages FTP d’un point de partage » à la page 47. Chapitre 7 Utilisation du service FTP 127 Étape 9 : Démarrez le service FTP Une fois le service FTP configuré, démarrez-le pour le rendre disponible. Consultez la rubrique « Démarrage du service FTP » à la page 133. Avant de configurer le service FTP Lorsque vous décidez de proposer ou non un service FTP, tenez compte du type d’informations que vous souhaitez partager et des caractéristiques de vos clients. FTP est approprié pour le transfert de fichiers volumineux, tels que des applications et des bases de données. En outre, si vous souhaitez autoriser des utilisateurs invités (anonymes) à télécharger des fichiers, FTP constitue un moyen sûr d’offrir ce service. Sécurité du serveur et utilisateurs anonymes L’activation du FTP anonyme comporte un risque de sécurité pour votre serveur et vos données, car vous ouvrez votre serveur à des utilisateurs que vous ne connaissez pas. Les privilèges d’accès que vous définissez pour les fichiers et les dossiers de votre serveur constituent le moyen le plus efficace pour protéger vos informations. Les réglages par défaut d’FTP interdisent aux utilisateurs anonymes d’effectuer les actions suivantes :  Supprimer des fichiers  Renommer des fichiers  Écraser des fichiers  Modifier des autorisations de fichiers Les utilisateurs anonymes FTP sont autorisés uniquement à télécharger des fichiers dans un dossier spécial appelé « Téléchargements vers le serveur » dans le départ FTP. Si ce dossier n’existe pas, les utilisateurs anonymes ne peuvent pas télécharger de fichiers. Activation du service FTP Avant de pouvoir configurer les réglages FTP, vous devez activer le service FTP dans Admin Serveur. Pour activer le service FTP : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur Réglages, puis sur Services. 3 Cochez la case FTP. 4 Cliquez sur Enregistrer. 128 Chapitre 7 Utilisation du service FTP Configuration du service FTP La sous-fenêtre Réglages du service FTP dans Admin Serveur comporte quatre groupes de réglages :  Général. Utilisez cette option pour définir des informations sur l’accès, la conversion de fichier et les tentatives d’ouverture de session pour le service FTP.  Messages. Utilisez cette option pour configurer les messages affichés auprès des clients utilisant le service FTP.  Journalisation. Utilisez cette option pour configurer et gérer les historiques du service FTP.  Avancé. Utilisez cette option pour configurer et administrer les réglages avancés. Les rubriques suivantes décrivent comment configurer ces réglages et une dernière rubrique vous décrit comment démarrer le service FTP lorsque vous avez terminé. Configuration des réglages Général Vous pouvez utiliser les réglages Général pour limiter le nombre de tentatives d’ouverture de session, fournir une adresse électronique d’administrateur et limiter le nombre et les types d’utilisateurs. Pour configurer les réglages FTP Général, procédez de la manière suivante : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle situé à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez FTP. 4 Cliquez sur Réglages, puis sur Général. 5 Pour indiquer le nombre de tentatives de connexion par un utilisateur avant que celuice ne soit déconnecté, tapez un nombre dans le champ « Déconnecter le client après __ échecs de connexion ». 6 Pour fournir un contact à vos utilisateurs, saisissez une adresse électronique après « Adresse électronique de l’administrateur FTP ». 7 Dans le menu local Authentification, choisissez une méthode d’authentification. 8 Pour limiter le nombre d’utilisateurs authentifiés qui peuvent se connecter simultanément à votre serveur, tapez un nombre dans le champ « Autoriser un maximum de __ utilisateurs authentifiés ». Les utilisateurs authentifiés disposent de comptes sur le serveur. Vous pouvez afficher ou ajouter des utilisateurs à l’aide du module Comptes du Gestionnaire de groupe de travail. Chapitre 7 Utilisation du service FTP 129 9 Pour autoriser des utilisateurs anonymes à se connecter au serveur, sélectionnez « Activer l’accès anonyme ». Important : avant de sélectionner cette option, vérifiez les privilèges attribués à vos points de partage sous Privilèges de fichiers dans la sous-fenêtre Partage, pour vous assurer de l’absence de brèche de sécurité. Les utilisateurs anonymes peuvent ouvrir une session en utilisant le nom « ftp » ou « anonyme ». Ils n’ont pas besoin d’un mot de passe pour ouvrir une session, mais ils sont invités à taper leur adresse électronique. 10 Pour limiter le nombre d’utilisateurs anonymes qui peuvent se connecter simultanément à votre serveur, tapez un nombre dans le champ « Autoriser un maximum de __ utilisateurs anonymes ». 11 Si vous souhaitez que les fichiers comportant des parties ressources soient répertoriés avec l’extension .bin, afin que les clients puissent bénéficier de la conversion automatique de ces fichiers lorsqu’ils les transfèrent, sélectionnez « Activer l’autoconversion d’image disque et MacBinary ». 12 Cliquez sur Enregistrer. À partir de la ligne de commande Vous pouvez également modifier les réglages du service FTP en utilisant la commande serveradmin dans Terminal. Pour en savoir plus, consultez le chapitre sur les services de fichiers du guide Administration de ligne de commande. Configuration des messages d’accueil Les utilisateurs voient la bannière lorsqu’ils contactent votre serveur pour la première fois (avant d’ouvrir une session), puis ils voient le message d’accueil lorsqu’ils ouvrent la session. Pour modifier la bannière et les messages d’accueil : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle situé à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez FTP. 4 Cliquez sur Réglages, puis sur Messages. La sous-fenêtre Messages apparaît et affiche le texte actuel des deux messages. 5 Modifiez le texte. 6 Sélectionnez « Afficher le message d’accueil » et « Afficher la bannière ». 7 Cliquez sur Enregistrer. 130 Chapitre 7 Utilisation du service FTP À partir de la ligne de commande Vous pouvez également modifier la bannière du service FTP en utilisant la commande serveradmin dans Terminal ou en modifiant les fichiers /Bibliothèque/FTPServer/Messages/ banner.txt et /Bibliothèque/FTPServer/Messages/welcome.txt. Pour en savoir plus, consultez le chapitre sur les services de fichiers du guide Administration de ligne de commande. Affichage de la bannière et du message d’accueil Le service FTP dans Mac OS X Server vous permet d’accueillir les utilisateurs qui contactent votre serveur ou qui y ouvrent une session. Remarque : certains clients FTP n’affichent pas le message en évidence ou même ne l’affichent pas du tout. Par exemple, dans les versions récentes du client FTP Fetch, vous devez définir une préférence pour afficher les messages du serveur. La bannière apparaît lorsqu’un utilisateur contacte le serveur, avant d’ouvrir une session. Le message d’accueil apparaît une fois la session correctement ouverte. Pour afficher la bannière et le message d’accueil aux utilisateurs : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle situé à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez FTP. 4 Cliquez sur Réglages, puis sur Messages. 5 Sélectionnez « Afficher le message d’accueil ». 6 Sélectionnez « Afficher la bannière ». 7 Cliquez sur Enregistrer. À partir de la ligne de commande Vous pouvez également modifier la bannière du service FTP en utilisant la commande serveradmin dans Terminal ou en modifiant les fichiers /Bibliothèque/FTPServer/Messages/ banner.txt et /Bibliothèque/FTPServer/Messages/welcome.txt. Pour en savoir plus, consultez le chapitre sur les services de fichiers du guide Administration de ligne de commande. Affichage des messages avec des fichiers message.txt Si un utilisateur FTP ouvre un dossier sur votre serveur qui contient un fichier appelé « message.txt », le contenu du fichier apparaît sous forme de message. L’utilisateur ne voit le message que la première fois qu’il se connecte au dossier lors d’une session FTP. Vous pouvez utiliser ce message pour signaler aux utilisateurs des informations importantes ou des changements. Chapitre 7 Utilisation du service FTP 131 Utilisation de messages OUVREZ-MOI Si vous placez un fichier appelé OUVREZ-MOI dans un dossier, un utilisateur FTP qui ouvre ce dossier reçoit alors un message l’informant de l’existence de ce fichier et de la date de sa dernière mise à jour. L’utilisateur peut alors choisir d’ouvrir ou non ce fichier et de le lire. Configuration des réglages de journalisation FTP Les réglages Journalisation vous permettent de choisir les événements relatifs à FTP qui doivent être enregistrés. Pour les utilisateurs authentifiés ou anonymes, vous pouvez enregistrer les éléments suivants :  Les téléchargements vers le serveur  Les téléchargements vers l’utilisateur  Les commandes FTP  Les tentatives de violations de règles Pour configurer les réglages FTP de journalisation, procédez de la manière suivante : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle situé à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez FTP. 4 Cliquez sur Réglages, puis sur Journalisation. 5 Dans l’historique FTP pour les utilisateurs authentifiés, dans la section « Journaliser les utilisateurs authentifiés », sélectionnez les événements que vous souhaitez enregistrer. 6 Dans l’historique FTP pour les utilisateurs anonymes, dans la section « Journaliser les utilisateurs anonymes », sélectionnez les événements que vous souhaitez enregistrer. 7 Cliquez sur Enregistrer. Pour afficher l’historique, sélectionnez FTP dans Admin Serveur, puis cliquez sur Historique. À partir de la ligne de commande Vous pouvez également modifier les réglages de journalisation du service FTP en utilisant la commande serveradmin dans Terminal. Pour en savoir plus, consultez le chapitre sur les services de fichiers du guide Administration de ligne de commande. 132 Chapitre 7 Utilisation du service FTP Configuration des réglages FTP Avancé Les réglages Avancé vous permettent de modifier le dossier de départ FTP et de spécifier les dossiers auxquels les utilisateurs FTP authentifiés ont accès. Pour configurer les réglages FTP Avancé : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle situé à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez FTP. 4 Cliquez sur Réglages, puis sur Avancé. 5 Pour « Les utilisateurs authentifiés voient », choisissez le type d’environnement utilisateur que vous souhaitez utiliser : Départ FTP et les points de partage, Dossier de départ avec les points de partage ou Dossier de départ uniquement. Pour en savoir plus, consultez la rubrique « Utilisateurs FTP » à la page 122. 6 Pour modifier le départ FTP, tapez le nouveau chemin d’accès dans le champ Départ FTP. Pour en savoir plus, consultez la rubrique « Dossier de départ FTP » à la page 122. À partir de la ligne de commande Vous pouvez également modifier les réglages du service FTP en utilisant la commande serveradmin dans Terminal. Pour en savoir plus, consultez le chapitre sur les services de fichiers du guide Administration de ligne de commande. Démarrage du service FTP Vous devez démarrer le service FTP pour le mettre à la disposition de vos utilisateurs. Pour démarrer le service FTP : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle situé à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez FTP. 4 Cliquez sur Démarrer FTP (sous la liste des serveurs). À partir de la ligne de commande Vous pouvez également démarrer le service FTP en utilisant la commande serveradmin dans Terminal. Pour en savoir plus, consultez le chapitre sur les services de fichiers du guide Administration de ligne de commande. Chapitre 7 Utilisation du service FTP 133 Autorisation de l’accès utilisateur anonyme Vous pouvez autoriser des invités à ouvrir une session sur votre serveur FTP en utilisant le nom d’utilisateur « ftp » ou « anonyme ». Ces utilisateurs n’ont pas besoin d’un mot de passe pour ouvrir une session, mais ils sont invités à taper une adresse électronique. Pour une meilleure sécurité, n’activez pas l’accès anonyme. Pour activer le service FTP anonyme : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle situé à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez FTP. 4 Cliquez sur Réglages, puis sur Général. 5 Sous Accès, sélectionnez « Activer l’accès anonyme ». 6 Cliquez sur Enregistrer. À partir de la ligne de commande Vous pouvez également activer l’accès FTP anonyme en utilisant la commande serveradmin dans Terminal. Pour en savoir plus, consultez le chapitre sur les services de fichiers dans l’Administration de ligne de commande. Création d’un dossier de téléchargement pour les utilisateurs anonymes Le dossier de téléchargement fournit aux utilisateurs anonymes un emplacement où télécharger des fichiers vers le serveur FTP. Ce dossier doit se trouver au niveau le plus élevé du dossier de départ FTP et il doit être appelé « Téléchargements vers le serveur ». Si vous modifiez le dossier de départ FTP, le dossier de téléchargement doit également être modifié. Pour créer un dossier de téléchargements vers le serveur destiné aux utilisateurs anonymes : 1 Utilisez le Finder pour créer un dossier nommé « Téléchargements vers le serveur » au niveau le plus élevé de votre dossier de départ FTP. 2 Définissez les privilèges du dossier afin de permettre aux utilisateurs invités de pouvoir y écrire. À partir de la ligne de commande Vous pouvez également configurer un dossier de téléchargement FTP en utilisant les commandes mkdir et chmod dans Terminal. Pour en savoir plus, consultez le chapitre sur les services de fichiers du guide Administration de ligne de commande. 134 Chapitre 7 Utilisation du service FTP Modification de l’environnement utilisateur Utilisez la sous-fenêtre Avancé des réglages du service FTP pour modifier l’environnement utilisateur. Pour modifier l’environnement utilisateur FTP, procédez de la manière suivante : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle situé à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez FTP. 4 Cliquez sur Réglages, puis sur Avancé. 5 Dans le menu local « Les utilisateurs authentifiés voient », choisissez le type d’environnement utilisateur que vous souhaitez proposer. L’option « Départ FTP et les points de partage » configure le dossier Utilisateurs en tant que un point de partage. Les utilisateurs authentifiés ouvrent une session dans leur dossier de départ, s’il est disponible. Les utilisateurs authentifiés et anonymes peuvent voir les dossiers de départ d’autres utilisateurs. L’option « Dossier de départ avec les points de partage » ouvre les sessions des utilisateurs FTP authentifiés dans leur dossier de départ. Ces utilisateurs ont accès à leur propre dossier de départ, au départ FTP et aux points de partage FTP. L’option « Dossier de départ uniquement » restreint les utilisateurs authentifiés FTP à leur dossier de départ. 6 Cliquez sur Enregistrer. Quel que soit l’environnement utilisateur que vous avez choisi, l’accès aux données est contrôlé par les privilèges d’accès attribués, par vous ou par les utilisateurs, aux fichiers et aux dossiers. Les utilisateurs anonymes et authentifiés qui ne disposent pas de dossier de départ (ou dont le dossier de départ n’est pas présent sur un point de partage auquel ils ont accès) ouvrent toujours une session au niveau le plus élevé de l’environnement FTP. Chapitre 7 Utilisation du service FTP 135 Modification du dossier de départ FTP Utilisez la sous-fenêtre Avancé des réglages du service FTP pour modifier le chemin du dossier de départ FTP. Pour spécifier un autre départ FTP : 1 Sélectionnez le dossier que vous souhaitez utiliser. Si ce dossier n’existe pas, créez-le et configurez-le comme un point de partage FTP. 2 Ouvrez Admin Serveur et connectez-vous au serveur. 3 Cliquez sur le triangle situé à gauche du serveur. La liste des services apparaît. 4 Dans la liste Serveurs développée, sélectionnez FTP. 5 Cliquez sur Réglages, puis sur Avancé. 6 Dans le champ « Départ FTP », tapez le chemin du nouveau dossier ou cliquez sur le bouton Parcourir (...) situé sous le champ et sélectionnez le dossier. À partir de la ligne de commande Vous pouvez également modifier le dossier de départ du service FTP en utilisant la commande serveradmin dans Terminal. Pour en savoir plus, consultez le chapitre sur les services de fichiers du guide Administration de ligne de commande. Gestion du service FTP Cette rubrique décrit les tâches courantes que vous effectuez une fois le service FTP configuré sur votre serveur. Les informations de configuration initiale sont décrites à la rubrique « Configuration du service FTP » à la page 129. Vérification de l’état du service FTP Utilisez Admin Serveur pour vérifier l’état du service FTP. Pour afficher l’état du service FTP : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle situé à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez FTP. 4 Pour voir si le service fonctionne, savoir quand il a été démarré, connaître le nombre de connexions authentifiées et anonymes et savoir si l’accès anonyme est activé, cliquez sur Vue d’ensemble. 5 Pour examiner l’historique des événements, cliquez sur Historique. 136 Chapitre 7 Utilisation du service FTP 6 Pour afficher un graphique des utilisateurs connectés, cliquez sur Graphiques. Pour choisir la durée pendant laquelle les données de graphique sont recueillies, utilisez le menu local. 7 Pour afficher une liste d’utilisateurs connectés, cliquez sur Connexions. Cette liste comprend le nom d’utilisateur, le type de connexion, l’adresse IP ou le nom de domaine de chacun des utilisateurs, ainsi que l’activité des événements. À partir de la ligne de commande Vous pouvez également vérifier l’état du processus du service AFP en utilisant les commandes ps ou top dans Terminal ou en consultant les fichiers d’historique dans / Bibliothèque/Historiques/AppleFileService/ à l’aide de la commande cat ou tail. Pour en savoir plus, consultez le chapitre sur les services de fichiers du guide Administration de ligne de commande. Affichage de l’historique du service FTP Utilisez Admin Serveur pour afficher l’historique d’FTP. Pour afficher l’historique d’FTP : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle situé à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez FTP. 4 Cliquez sur Historique. Pour rechercher des entrées spécifiques, utilisez le champ Filtre situé dans le coin supérieur droit. À partir de la ligne de commande Vous pouvez également afficher l’historique d’FTP en utilisant les commandes cat ou tail dans Terminal. Pour en savoir plus, consultez le chapitre sur les services de fichiers du guide Administration de ligne de commande. Affichage des graphiques FTP Utilisez Admin Serveur pour afficher les graphiques FTP. Pour afficher les graphiques FTP : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle situé à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez FTP. Chapitre 7 Utilisation du service FTP 137 4 Pour afficher un graphique du débit moyen des utilisateurs connectés au cours d’une période donnée, cliquez sur Graphiques. Pour choisir la durée pendant laquelle les données de graphique sont recueillies, utilisez le menu local. 5 Pour mettre à jour les données du graphique, cliquez sur le bouton Actualiser (situé sous la liste Serveurs). Affichage des connexions FTP Utilisez Admin Serveur pour afficher les clients connectés au serveur au moyen du service FTP. Pour afficher les connexions FTP : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle situé à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez FTP. 4 Pour afficher une liste d’utilisateurs connectés, cliquez sur Connexions. Cette liste comprend le nom d’utilisateur, le type de connexion, l’adresse IP ou le nom de domaine de chacun des utilisateurs, ainsi que l’activité des événements. 5 Pour mettre à jour la liste des utilisateurs connectés, cliquez sur le bouton Actualiser (situé sous la liste Serveurs). Arrêt du service FTP Vous arrêtez le service FTP en utilisant Admin Serveur. Pour arrêter le service FTP : 1 Ouvrez Admin Serveur et connectez-vous au serveur. 2 Cliquez sur le triangle situé à gauche du serveur. La liste des services apparaît. 3 Dans la liste Serveurs développée, sélectionnez FTP. 4 Cliquez sur Arrêter FTP (sous la liste des serveurs). À partir de la ligne de commande Vous pouvez également arrêter le service FTP en utilisant la commande serveradmin dans Terminal. Pour en savoir plus, consultez le chapitre sur les services de fichiers du guide Administration de ligne de commande. 138 Chapitre 7 Utilisation du service FTP 8 Résolution de problèmes 8 Ce chapitre présente des solutions de problèmes courants pouvant se produire lorsque vous utilisez des services de fichiers dans Mac OS X Server. Les problèmes sont répartis parmi les catégories suivantes :  Problèmes de points de partage  Problèmes de service AFP  Problèmes de service SMB  Problèmes de service NFS  Problèmes de service FTP  Problèmes de basculement IP Problèmes de points de partage Cette rubrique décrit des problèmes possibles de points de partage et des moyens de diagnostiquer et de résoudre ces problèmes. Si des utilisateurs ne parviennent pas à accéder au support optique partagé Si des utilisateurs ne parviennent pas à accéder au support optique partagé, procédez de la manière suivante :  Vérifiez que le support optique est un point de partage.  Si vous partagez plusieurs supports, assurez-vous que chacun dispose d’un nom unique dans la sous-fenêtre Partage. Si des utilisateurs ne parviennent pas à accéder aux volumes externes au moyen d’Admin Serveur Assurez-vous que le serveur est bien connecté. 139 Si des utilisateurs ne parviennent pas à trouver un élément partagé Si des utilisateurs ne parviennent pas à trouver un élément partagé, procédez de la manière suivante :  Vérifiez les privilèges d’accès à l’élément. L’utilisateur doit disposer de privilèges d’accès en lecture pour le point partagé où se trouve l’élément, ainsi que chaque dossier dans le chemin de l’élément.  Les points de partage ne présentent pas la même apparence aux administrateurs de serveurs qu’aux utilisateurs sous AFP parce que les administrateurs peuvent tout voir sur le serveur. Pour afficher les points de partage du point de vue de l’utilisateur, sélectionnez « Permettre à l’administrateur de passer pour un utilisateur référencé » dans la sousfenêtre Accès de la sous-fenêtre Réglages du service AFP dans Admin Serveur. Vous pouvez également ouvrir une session en utilisant le nom et le mot de passe d’un utilisateur.  Bien qu’un DNS ne soit pas requis pour les services de fichiers, un DNS qui n’est pas configuré correctement peut faire échouer un service de fichiers. Pour en savoir plus sur la configuration de DNS, consultez la rubrique Administration des services de réseau. Si des utilisateurs ne parviennent pas à ouvrir leur dossier de départ Si des utilisateurs ne parviennent pas à ouvrir leur dossier de départ, procédez de la manière suivante :  Vérifiez que le point de partage utilisé pour les dossiers de départ est configuré en montage automatique pour ces dossiers dans Admin Serveur.  Assurez-vous que le point de partage est créé dans le même domaine Open Directory que les comptes d’utilisateurs.  Veillez à ce que l’ordinateur client soit défini pour utiliser le domaine Open Directory correct en utilisant l’Utilitaire d’annuaire. Si des utilisateurs ne parviennent pas à trouver un volume ou un dossier à utiliser comme point de partage Si des utilisateurs ne parviennent pas à trouver un volume ou un dossier à utiliser comme point de partage, procédez de la manière suivante :  Assurez-vous que le nom du volume ou du dossier ne contient pas de barre oblique (« / »). La sous-fenêtre Points de partage d’Admin Serveur répertorie les volumes et les dossiers de votre serveur mais elle ne peut pas afficher correctement les noms de volumes ou de dossiers qui contiennent ce caractère.  Vérifiez que vous n’utilisez pas de caractères spéciaux dans le nom du volume ou du dossier. 140 Chapitre 8 Résolution de problèmes Si des utilisateurs ne parviennent pas à visualiser le contenu d’un point de partage Si vous définissez des privilèges d’accès en écriture seule pour un point de partage, les utilisateurs ne peuvent pas en voir le contenu. Modifiez les privilèges d’accès en les définissant en lecture seule ou en lecture et écriture. Problèmes de service AFP Cette rubrique décrit des problèmes possibles de service AFP et des moyens de diagnostiquer et de résoudre ces problèmes. Si des utilisateurs ne parviennent pas à trouver le serveur AFP Si des utilisateurs ne parviennent pas à trouver le serveur AFP, procédez de la manière suivante :  Veillez à ce que les réglages du réseau soient corrects sur l’ordinateur de l’utilisateur et sur l’ordinateur qui exécute le service AFP. Si vous ne pouvez pas vous connecter à d’autres ressources du réseau depuis l’ordinateur de l’utilisateur, la connexion réseau ne fonctionne peut-être pas.  Assurez-vous que le serveur de fichiers s’exécute. Utilisez la sous-fenêtre Ping dans l’Utilitaire de réseau pour confirmer que le serveur à l’adresse IP spécifiée peut recevoir des paquets provenant de clients via le réseau.  Vérifiez le nom que vous avez attribué au serveur de fichiers et assurez-vous que les utilisateurs recherchent le nom correct. Si des utilisateurs ne parviennent pas à se connecter au serveur AFP Si des utilisateurs ne parviennent pas à se connecter au serveur AFP, procédez de la manière suivante :  Assurez-vous que l’utilisateur a saisi le nom d’utilisateur et le mot de passe corrects. Le nom d’utilisateur n’est pas sensible à la casse, mais le mot de passe l’est.  Dans le module Comptes du Gestionnaire de groupe de travail, vérifiez que l’ouverture de session est activée pour l’utilisateur.  Vérifiez si le nombre maximal de connexions de clients a été atteint (dans la Vue d’ensemble du service AFP).Si tel est le cas, l’utilisateur doit réessayer de se connecter ultérieurement.  Assurez-vous que le serveur sur lequel sont stockés les utilisateurs et les groupes fonctionne.  Vérifiez qu’AppleShare 3.7 ou ultérieur est installé sur l’ordinateur de l’utilisateur. Les administrateurs qui souhaitent utiliser le mot de passe admin pour ouvrir une session en tant qu’utilisateur ont besoin d’AppleShare, version 3.7 ou ultérieure.  Veillez à ce que le service de filtres IP soit configuré pour permettre l’accès au port 548 si l’utilisateur tente de se connecter au serveur depuis un emplacement distant. Pour en savoir plus sur le filtrage IP, consultez la rubrique Administration des services de réseau. Chapitre 8 Résolution de problèmes 141 Si des utilisateurs ne voient pas le message d’ouverture de session Si des utilisateurs ne voient pas le message d’ouverture de session, mettez à jour le logiciel sur leur ordinateur. Les ordinateurs clients AFP doivent utiliser le logiciel client AppleShare, version 3.7 ou ultérieure. Problèmes de service SMB Cette rubrique décrit des problèmes possibles de service SMB et des moyens de diagnostiquer et de résoudre ces problèmes. Si des utilisateurs Windows ne parviennent pas à voir le serveur Windows dans Voisinage de réseau Si des utilisateurs Windows ne parviennent pas à voir le serveur Windows dans Voisinage de réseau, procédez de la manière suivante :  Assurez-vous que l’ordinateur de l’utilisateur est configuré correctement pour TCP/IP et que le logiciel approprié de mise en réseau Windows est installé.  Vérifiez que l’utilisateur dispose d’un accès comme invité.  Allez à l’invite DOS sur l’ordinateur client et tapez ping <adresse IP>, où <adresse IP> est l’adresse de votre serveur. Si cette commande ping échoue, vous êtes en présence d’un problème de TCP/IP.  Si l’utilisateur se trouve sur un sous-réseau différent de celui du serveur, assurez-vous que vous disposez d’un serveur WINS sur votre réseau. Remarque : si les ordinateurs Windows sont configurés correctement pour la mise en réseau et bien connectés au réseau, les utilisateurs clients peuvent se connecter au serveur de fichiers, même s’ils ne peuvent pas voir l’icône du serveur dans la fenêtre Voisinage de réseau. Si des utilisateurs ne parviennent pas à ouvrir une session sur le serveur Windows Si des utilisateurs ne parviennent pas à ouvrir une session sur le serveur Windows, vérifiez que le serveur de mots de passe est configuré correctement (sous réserve que vous utilisiez ce serveur pour authentifier les utilisateurs). 142 Chapitre 8 Résolution de problèmes Problèmes de service NFS Voici quelques problèmes généraux et recommandations à ne pas oublier pour l’utilisation du service NFS :  Si vous ne saisissez pas le chemin complet du partage NFS, des erreurs se produisent côté client.  Si vous exportez plusieurs points de partage NFS, vous ne pouvez pas disposer des exportations imbriquées sur un seul volume, c’est-à-dire qu’un répertoire exporté ne peut pas être l’enfant d’un autre répertoire exporté sur le même volume.  Pour voir les points de montage NFS disponibles, utilisez la commande showmount -e adresse IP dans Terminal, où adresse IP est l’adresse du serveur.  Les erreurs et avertissements NFS sont journalisés dans le fichier /var/log/system.log.  La commande nfsd status peut être utilisée pour afficher l’état des démons NFS.  La commande nfsd checkexports peut être utilisée pour vérifier l’ensemble actuel des définitions d’exportations. Pour en savoir plus sur l’utilisation de NFS pour héberger des dossiers de départ, consultez la rubrique Gestion des utilisateurs. Problèmes de service FTP Cette rubrique décrit des problèmes possibles de service FTP et des moyens de diagnostiquer et de résoudre ces problèmes. Si des connexions FTP sont refusées Si des connexions FTP sont refusées, procédez de la manière suivante :  Vérifiez que l’utilisateur saisit correctement le nom DNS ou l’adresse IP du serveur.  Assurez-vous que le service FTP est activé.  Assurez-vous que l’utilisateur dispose des bons privilèges d’accès au volume partagé.  Vérifiez si le nombre maximal de connexions a été atteint. Pour ce faire, ouvrez Admin Serveur, sélectionnez FTP dans la liste Serveurs, puis cliquez sur Vue d’ensemble. Notez le nombre d’utilisateurs connectés, cliquez sur Réglages, puis sur Général, et comparez ce nombre au nombre maximal d’utilisateurs que vous avez défini.  Assurez-vous que l’ordinateur de l’utilisateur est bien configuré pour TCP/IP. Si les réglages TCP/IP semblent corrects, utilisez la sous-fenêtre Ping dans Utilitaire de réseau pour vérifier les connexions réseau.  Afin d’évaluer s’il s’agit d’un problème de DNS, essayez de vous connecter en utilisant l’adresse IP du serveur FTP au lieu de son nom DNS. S’il est possible d’établir la connexion au moyen de l’adresse IP, c’est que le problème peut provenir du serveur DNS. Chapitre 8 Résolution de problèmes 143  Vérifiez que l’utilisateur tape correctement son nom abrégé et son mot de passe. Les noms d’utilisateur et les mots de passe qui comportent des caractères spéciaux ou des caractères à deux octets ne fonctionnent pas. Pour rechercher le nom abrégé de l’utilisateur, double-cliquez sur le nom de l’utilisateur dans la liste Utilisateurs et groupes.  Assurez-vous de l’absence de problème dans les services d’annuaire, vérifiez que le serveur de ces services fonctionne et qu’il est connecté au réseau. Si vous avez besoin d’aide au sujet des services d’annuaire, consultez la rubrique Administration d’Open Directory.  Veillez à ce que le service de filtres IP soit configuré pour permettre l’accès aux ports appropriés. Si des clients ne parviennent toujours pas à se connecter, regardez s’ils utilisent le mode FTP passif et désactivez-le, le cas échéant. En effet, en mode passif, le serveur FTP ouvre une connexion au client sur un port déterminé dynamiquement, qui peut entrer en conflit avec les filtres de port configurés dans le service de filtres IP.  Consultez le fichier /Bibliothèque/FTPServer/Messages/error.txt qui peut contenir des indices sur la nature du problème. Si des clients ne parviennent pas se connecter au serveur FTP Si des utilisateurs ne parviennent pas se connecter au serveur FTP, vérifiez si le client utilise le mode passif FTP et désactivez-le, le cas échéant. En effet, en mode passif, le serveur FTP ouvre une connexion au client sur un port déterminé dynamiquement, qui peut entrer en conflit avec les filtres de port configurés dans le service de filtres IP. Si des utilisateurs FTP anonymes ne parviennent pas se connecter Si des utilisateurs anonymes ne parviennent pas se connecter au service FTP, procédez de la manière suivante :  Vérifiez que l’accès anonyme est activé.  Vérifiez si le nombre maximal de connexions d’utilisateurs anonymes a été atteint. Pour ce faire, ouvrez Admin Serveur, puis cliquez sur FTP dans la liste Serveurs. Problèmes de basculement IP Cette rubrique décrit des problèmes possibles de basculement IP et des moyens de diagnostiquer et de résoudre ces problèmes. Essayez les solutions suggérées ici pour résoudre ou éviter les problèmes de basculement lors de la configuration ou de l’utilisation du service de basculement. 144 Chapitre 8 Résolution de problèmes Si un basculement IP n’a pas lieu Voici des astuces de dépannage des problèmes de basculement IP généraux :  Vérifiez que le numéro de série du logiciel du serveur a été saisi correctement et n’a pas expiré. Pour vérifier ce numéro, ouvrez Admin Serveur, sélectionnez le serveur dans la liste Ordinateurs et services, puis cliquez sur Vue d’ensemble. Pour saisir un numéro de série mis à jour, cliquez sur Réglages.  Vérifiez le fichier d’historique du basculement IP (/Bibliothèque/Historiques/failoverd.log) afin d’y trouver des indications à propos du problème.  Assurez-vous que les câbles sont correctement reliés aux composants matériels.  Vérifiez que les réglages réseau sont correctement configurés sur le serveur maître et sur le serveur de sauvegarde.  Vérifiez que l’entrée FAILOVER_BCAST_IPS du fichier /etc/hostconfig est configurée correctement sur le serveur maître.  Vérifiez que les entrées FAILOVER_PEER_IP_PAIRS et FAILOVER_PEER_IP du fichier /etc/hostconfig sont correctement configurées sur le serveur de sauvegarde. Si les notifications par courrier de basculement IP ne fonctionnent pas Voici des astuces de dépannage des problèmes de notification par courrier de basculement IP :  Vérifiez que les adresses électroniques indiquées dans l’entrée FAILOVER_EMAIL_RECIPIENT du fichier /etc/hostconfig sont correctes.  Assurez-vous que votre interface réseau publique fonctionne.  Assurez-vous que vous avez correctement configuré le basculement IP. Si des problèmes persistent après un basculement Si des problèmes persistent après un basculement IP, assurez-vous d’avoir éteint le serveur maître. Chapitre 8 Résolution de problèmes 145 Glossaire Glossaire ACL Liste de contrôle d’accès (Access Control List en anglais). Liste, gérée par un système, qui définit les droits accordés aux utilisateurs et aux groupes en matière d’accès aux ressources sur le système. administrateur Utilisateur disposant d’autorisations d’administration de serveur ou de domaine de répertoires. Les administrateurs sont toujours membres du groupe « admin » prédéfini. adresse Nombre ou autre identifiant qui identifie de manière unique un ordinateur sur un réseau, un bloc de données enregistrées sur un disque ou un emplacement dans la mémoire d’un ordinateur. Voir aussi adresse IP et adresse MAC. adresse IP Adresse numérique unique qui identifie un ordinateur sur Internet. AFP Apple Filing Protocol. Protocole client/serveur utilisé par le service de fichiers Apple pour partager des fichiers et des services réseau. AFP exploite TCP/IP et d’autres protocoles pour prendre en charge les communications entre les ordinateurs d’un réseau. alias Autre adresse électronique sur votre domaine qui redirige les messages électroniques entrants vers un utilisateur existant. Apple Filing Protocol Voir AFP. autorisations Réglages déterminant le type d’accès dont les utilisateurs bénéficient pour partager des éléments dans un système de fichiers. Vous pouvez attribuer quatre types d’autorisation pour un point de partage, un dossier ou un fichier : Lecture et écriture, Lecture seule, Écriture seule et Aucun accès. Voir aussi privilèges. bit Unité d’information unique de valeur égale à 0 ou 1. 147 boîte de dépôt Dossier partagé avec des privilèges permettant à d’autres utilisateurs de copier des fichiers dans le dossier, mais pas de voir son contenu. Seul le propriétaire a un accès complet. Les boîtes de dépôt doivent être créées uniquement avec le protocole AFP. Lorsque qu’un dossier est partagé via le protocole AFP, la propriété d’un élément copié dans le dossier est automatiquement transférée au propriétaire du dossier ; le propriétaire d’une boîte de dépôt peut donc accéder sans restriction aux éléments qui y sont placés et les contrôler. chemin d’accès Emplacement d’un élément dans un système de fichiers, représenté par une série de noms séparés par des barres obliques (/). CIFS Common Internet File System. Voir SMB. client Ordinateur (ou utilisateur de l’ordinateur) qui demande des données ou des services auprès d’un autre ordinateur ou d’un serveur. contrôle d’accès Méthode consistant à contrôler quels ordinateurs peuvent accéder à un réseau ou à des services réseau. daemon Programme exécuté en arrière-plan et qui fournit d’importants services système tels que le traitement du courrier électronique entrant ou la gestion des requêtes provenant du réseau. démon nfsd Processus de serveur NFS qui s’exécute de manière continue en arrièreplan et qui traite les requêtes de protocole NFS et de montage émises par des clients. nfsd peut avoir plusieurs segments. Plus il y a de segments dans le serveur NFS, plus les performances en matière d’accès simultané sont bonnes. DHCP Initiales de « Dynamic Host Configuration Protocol » (protocole de configuration dynamique d’hôtes). Protocole utilisé pour distribuer de manière dynamique des adresses IP à des ordinateurs clients. Chaque fois qu’un ordinateur client démarre, le protocole recherche un serveur DHCP, puis demande une adresse IP au serveur DHCP qu’il trouve. Le serveur recherche alors une adresse IP disponible et la transmet à l’ordinateur client en l’accompagnant d’une « durée de bail », durée pendant laquelle l’ordinateur client peut utiliser l’adresse. disque logique Dispositif de stockage qui apparaît à l’utilisateur sous forme de disque unique permettant de stocker des fichiers, même s’il peut en réalité être constitué de plusieurs disques physiques. Par exemple, un volume Xsan est un disque logique qui se comporte comme un disque unique, même s’il est constitué de plusieurs réserves de stockage, constituées elles-mêmes de plusieurs LUN, chacun contenant plusieurs disques. DNS Domain Name System. Base de données distribuée qui fait correspondre des adresses IP à des noms de domaines. Un serveur DNS, appelé également serveur de noms, conserve la liste des noms et des adresses IP associées à chaque nom. Domain Name System Voir DNS. 148 Glossaire domaine Partie du nom de domaine d’un ordinateur sur Internet. N’inclut pas l’indicateur de domaine de premier niveau (par exemple .com, .net, .fr, .be). Le nom de domaine « www.exemple.com » est constitué du sous-domaine, ou nom d’hôte, « www », du domaine « exemple » et du domaine de premier niveau « com ». domaine de répertoire Base de données spécialisée dans laquelle sont stockées des informations autorisées concernant les utilisateurs et les ressources réseau ; ces informations sont nécessaires au logiciel système et aux applications. Cette base de données est optimisée pour gérer de nombreuses demandes d’informations et pour rechercher et récupérer rapidement des informations. Connue également sous le nom de nœud de répertoire ou simplement répertoire. domaine DNS Nom unique d’un ordinateur, utilisé dans le système DNS (Domain Name System) pour convertir les adresses IP et les noms. Également appelé nom de domaine. dossier de départ Dossier destiné à l’usage personnel d’un utilisateur. Mac OS X utilise également le dossier de départ pour stocker les préférences du système et les réglages gérés des utilisateurs Mac OS X. Également connu sous le terme de répertoire de départ. exportation Dans le système NFS (Network File System, système de fichiers en réseau), il s’agit d’une méthode de partage de dossier avec des clients connectés à un réseau. File Transfer Protocol Voir FTP. FTP Initiales de « File Transfer Protocol » (protocole de transfert de fichiers). Protocole permettant à des ordinateurs de transférer des fichiers sur un réseau. Les clients FTP, utilisant tout système d’exploitation capable de prendre en charge le protocole FTP, peuvent se connecter à un serveur de fichiers et télécharger des fichiers, en fonction de leurs autorisations d’accès. La plupart des navigateurs Internet et un certain nombre de graticiels permettent d’accéder aux serveurs FTP. groupe Ensemble d’utilisateurs ayant des besoins semblables. Les groupes simplifient l’administration de ressources partagées. hôte Autre nom donné à un serveur. identifiant utilisateur Voir UID. interface de ligne de commande Manière d’interagir avec l’ordinateur (par exemple, pour exécuter des programmes ou modifier des autorisations de système de fichiers) en saisissant des commandes de texte à une invite de shell. Voir aussi shell ; invite de shell. interface réseau Connexion matérielle de votre ordinateur à un réseau. Les connexions Ethernet, les cartes AirPort et les connexions FireWire en sont des exemples. Glossaire 149 Internet Ensemble de réseaux d’ordinateurs interconnectés qui communiquent à travers un protocole commun (TCP/IP). Internet est le système public de réseaux d’ordinateurs interconnectés le plus étendu au monde. Internet Protocol Voir IP. IP Internet Protocol. Également désigné par IPv4. Méthode utilisée conjointement avec le protocole TCP (Transmission Control Protocol) pour envoyer des données d’un ordinateur à un autre via un réseau local ou via Internet. Le protocole IP envoie les paquets de données, alors que le protocole TCP se charge de leur suivi. Kerberos Système d’authentification réseau sécurisé. Kerberos utilise des tickets qui sont émis pour un utilisateur, un service et une durée spécifiques. Après avoir été authentifié, l’utilisateur peut accéder à d’autres services sans avoir à saisir à nouveau son mot de passe (on parle alors de signature unique) pour les services configurés pour accepter les tickets Kerberos. Mac OS X Server utilise Kerberos 5. LDAP Initiales de « Lightweight Directory Access Protocol ». Protocole client-serveur standard permettant l’accès à un domaine de répertoire. ligne de commande Texte que vous tapez après une invite de shell lorsque vous utilisez une interface de ligne de commande. liste de contrôle d’accès Voir ACL. Mac OS X La dernière version du système d’exploitation d’Apple. Mac OS X allie la fiabilité d’UNIX à la facilité d’emploi de Macintosh. Mac OS X Server Plate-forme de serveur puissante, capable de gérer immédiatement les clients Mac, Windows, UNIX et Linux et offrant un ensemble de services de réseau et de groupes de travail extensible, ainsi que des outils perfectionnés de gestion à distance. montage automatique Opération consistant à faire apparaître automatiquement un point de partage sur un ordinateur client. Voir aussi monter. monter Rendre un répertoire ou un volume distant accessible sur un système local. Dans Xsan, faire apparaître un volume Xsan sur le bureau d’un client, comme s’il s’agissait d’un disque local. mot de passe Chaîne alphanumérique utilisée pour authentifier l’identité d’un utilisateur ou pour autoriser l’accès à des fichiers ou à des services. 150 Glossaire multidiffusion DNS Protocole développé par Apple pour la découverte automatique d’ordinateurs, de périphériques et de services sur les réseaux IP. Appelé « Bonjour » (auparavant « Rendezvous ») par Apple, ce protocole, proposé comme standard Internet, est parfois appelé ZeroConf ou multidiffusion DNS. Pour en savoir plus, rendezvous sur www.apple.com/fr/ ou www.zeroconf.org (en anglais). Pour savoir comment ce protocole est utilisé sous Mac OS X Server, reportez-vous à nom d’hôte local. Network File System. Voir NFS. NFS Network File System. Protocole client/serveur utilisant le protocole IP (Internet Protocol) pour permettre aux utilisateurs distants d’accéder à des fichiers comme s’ils se trouvaient sur leur disque. NFS peut exporter des volumes partagés vers des ordinateurs en se basant sur l’adresse IP ; il prend par ailleurs en charge l’authentification par signature unique avec Kerberos. nom abrégé Abréviation du nom d’un utilisateur. Mac OS X utilise le nom abrégé pour les dossiers de départ, l’authentification et les adresses électroniques. nom d’hôte Nom unique d’un ordinateur, autrefois appelé nom d’hôte UNIX. nom d’hôte local Nom qui désigne un ordinateur sur un sous-réseau local. Il peut être utilisé sans système DNS global pour convertir les noms en adresses IP. Il est constitué de lettres minuscules, de nombres ou de tirets (sauf pour le dernier caractère) et se termine par « .local » (par exemple, ordinateur-jean.local). Bien que le nom par défaut soit dérivé du nom d’ordinateur, un utilisateur peut reprendre ce nom dans la sous-fenêtre Partage des Préférences Système. Il peut aussi être aisément modifié et utilisé dans tous les cas où un nom DNS ou un nom de domaine complet est utilisé. Il ne peut être converti que sur le même sous-réseau que l’ordinateur qui l’utilise. nom d’utilisateur Nom complet d’un utilisateur, parfois appelé nom réel de l’utilisateur. Voir aussi nom abrégé. nom de domaine Voir nom DNS. nom DNS Nom unique d’un ordinateur, utilisé dans le système DNS (Domain Name System) pour convertir les adresses IP et les noms. Également appelé nom de domaine. Open Directory Architecture de services de répertoire Apple, capable d’accéder à des informations autorisées concernant des utilisateurs et des ressources réseau à partir de domaines de répertoire utilisant les protocoles LDAP ou Active Directory, ou des fichiers de configuration BSD et des services de réseau. Open Source Terme désignant le développement coopératif de logiciels par la communauté Internet. Le principe de base consiste à impliquer le maximum de personnes dans l’écriture et la mise au point du code en publiant le code source et en encourageant la formation d’une large communauté de développeurs qui feront part de leurs modifications et améliorations. Glossaire 151 oplocks Voir verrouillage opportuniste. point de partage Dossier, disque dur (ou partition de disque dur) ou disque optique accessible via le réseau. Un point de partage constitue le point d’accès situé au premier niveau d’un groupe d’éléments partagés. Les points de partage peuvent être partagés à l’aide des protocoles AFP, SMB, NFS (exportation) ou FTP. port Sorte d’emplacement de messagerie virtuel. Un serveur utilise des numéros de port pour déterminer quelle application doit recevoir les paquets de données. Les coupe-feu utilisent des numéros de port pour déterminer si les paquets de données sont autorisés à transiter par un réseau local. Le terme « port » fait généralement référence à un port TCP ou UDP. privilèges Droit d’accéder à des zones restreintes d’un système ou d’effectuer certaines tâches (telles que les tâches de gestion) du système. processus Programme en cours d’exécution et qui monopolise une partie de la mémoire. propriétaire Le propriétaire d’un élément peut modifier les autorisations d’accès à l’élément. Il peut également remplacer l’entrée de groupe par tout groupe dont il fait partie. Par défaut, le propriétaire dispose d’autorisations de lecture et d’écriture. protocole Ensemble de règles qui déterminent la manière dont les données sont échangées entre deux applications. QTSS QuickTime Streaming Server. Technologie permettant de diffuser des données en temps réel sur Internet. QuickTime Ensemble d’extensions système Macintosh ou bibliothèque de liens dynamiques dans Windows prenant en charge la composition et la lecture de films. QuickTime Streaming Server (QTSS) Voir QTSS. répertoire Voir dossier. répertoire de départ Voir dossier de départ. Samba Logiciel open-source fournissant à des clients Windows, via le protocole SMB, l’accès aux fichiers, à l’impression, à l’authentification, à l’autorisation, à la résolution de noms et aux services réseau. Server Message Block Voir SMB. serveur Ordinateur fournissant des services (service de fichiers, service de courrier électronique ou service Web, par exemple) à d’autres ordinateurs ou périphériques de réseau. 152 Glossaire serveur de fichiers Ordinateur chargé de servir des fichiers à des clients. Un serveur de fichiers peut être un ordinateur polyvalent capable d’héberger des applications supplémentaires ou un ordinateur capable uniquement de transférer des fichiers. Signature unique Stratégie d’authentification qui permet aux utilisateurs d’éviter d’entrer séparément un nom et un mot de passe pour chaque service du réseau. Mac OS X Server utilise Kerberos pour activer la signature unique. SLP DA Initiales de « Service Location Protocol Directory Agent ». Protocole qui enregistre les services disponibles sur un réseau et permet aux utilisateurs d’y accéder aisément. Lorsqu’un service est ajouté au réseau, il utilise le protocole SLP pour s’enregistrer. SLP DA utilise un point de dépôt centralisé pour les services réseau enregistrés. SMB Protocole SMB (Server Message Block). Protocole permettant à des ordinateurs clients d’accéder à des fichiers et à des services de réseau. Il peut être utilisé via TCP/IP, Internet ou d’autres protocoles. Les services SMB utilisent ce protocole pour fournir l’accès aux serveurs, aux imprimantes et à d’autres ressources réseau. sous-réseau IP Partie d’un réseau IP, éventuellement un segment de réseau physiquement indépendant, partageant une adresse réseau avec d’autres parties du réseau et identifiée par un numéro de sous-réseau. système de fichiers Schéma de stockage de données sur des périphériques de stockage et qui permet aux applications de lire et d’écrire des fichiers sans s’occuper de détails de niveau inférieur. TCP Initiales de « Transmission Control Protocol » (protocole de contrôle des transmissions). Méthode utilisée conjointement avec le protocole IP (Internet Protocol) pour envoyer des données, sous la forme d’unités de message, d’un ordinateur à un autre à travers Internet. Le protocole IP gère la livraison effective des données, tandis que le protocole TCP assure le suivi des unités de données (chaque message est divisé en unités, appelées « paquets », qui permettent leur acheminement efficace sur Internet). ticket Kerberos Référence temporaire prouvant l’identité d’un client Kerberos qui utilise un service. tous Tout utilisateur pouvant ouvrir une session sur un serveur de fichiers : un utilisateur enregistré ou un invité, un utilisateur FTP anonyme ou encore un visiteur de site web. Transmission Control Protocol Voir TCP. UDP User Datagram Protocol. Méthode de communication qui utilise le protocole IP pour envoyer une unité de données (appelée datagramme) d’un ordinateur à un autre sur un réseau. Les applications réseau qui n’ont que de très petites unités de données à échanger peuvent utiliser le protocole UDP au lieu du TCP. Glossaire 153 UID Identifiant d’utilisateur (User ID en anglais). Numéro qui identifie un utilisateur de manière unique dans un système de fichiers. Les ordinateurs Mac OS X utilisent l’identifiant d’utilisateur pour suivre le dossier d’un utilisateur et savoir à tout moment qui est le propriétaire d’un fichier. URL Initiales de « Uniform Resource Locator » (localisateur uniforme de ressources). Adresse d’un ordinateur, d’un fichier ou d’une ressource, accessible à travers un réseau local ou Internet. L’URL se compose du nom du protocole nécessaire pour accéder à la ressource, d’un nom de domaine identifiant un ordinateur particulier sur Internet et d’une description hiérarchique de l’emplacement d’un fichier sur l’ordinateur. User Datagram Protocol Voir UDP. utilisateur invité Utilisateur autorisé à ouvrir une session sur un serveur sans nom d’utilisateur et mot de passe. verrouillage opportuniste Aussi appelé oplocks. Fonctionnalité des services Windows qui empêche les utilisateurs de fichiers partagés de modifier le même fichier au même moment. Le verrouillage opportuniste verrouille le fichier ou une partie de celui-ci pour permettre une utilisation exclusive ; il met également en cache, localement sur l’ordinateur client, les modifications apportées par l’utilisateur, améliorant ainsi les performances. volume Allocation d’unité de stockage montable, qui se comporte, du point de vue du client, comme un disque dur local, une partition de disque dur ou un volume réseau. Dans Xsan, les volumes sont composés d’une ou de plusieurs réserves de stockage. Voir aussi disque logique. WebDAV Web-based Distributed Authoring and Versioning. Environnement de création en direct permettant à des utilisateurs clients de prendre des pages web, de les modifier, puis de les rendre à leur site d’origine sans interruption de ce dernier. WINS Initiales de « Windows Internet Naming Service » (service de noms Internet pour Windows). Service de résolution de noms utilisé par les ordinateurs Windows pour faire correspondre le nom des clients aux adresses IP. Un serveur WINS peut se trouver sur un réseau local ou à l’extérieur sur Internet. 154 Glossaire A accès Voir aussi ACL; FTP; autorisations ACE 22, 44, 56 AFP 75 anonyme 122, 125, 128, 130, 134, 144 entrées de contrôle d’accès 25 NFS 115, 116 point de partage 34, 39, 44, 51, 56, 62 règles de priorité 29 SMB/CIFS 108 accès d’utilisateur anonyme, FTP 122, 125, 128, 130, 134, 144 ACE (access control entries) 56 ACE (entrées de contrôle d’accès) 22, 25, 44 ACL (access control lists) autorisations 56 points de partage 56 ACL (listes de contrôle d’accès) autorisations 20, 22 fichiers et dossiers 22 héritage 26, 58 points de partage 44 règles de priorité 29 SACL 33 vue d’ensemble 20 Active Directory, AFP 87 administrateur, privilèges de 21, 70 Admin Serveur autorisations de services de fichiers 29 autorisations des services de fichiers 19 contrôle d’accès 25 contrôle de l’accès 35, 37 aide, utilisation 10 AppleTalk 72 applications, sécurisation 32 authentification AFP 16, 71 FTP 16, 122 Kerberos 71, 126 liée au SMB/CIFS 16 NFS 16, 116 SMB/CIFS 108 Index Index autoconversion, FTP 125 autorisation Inspecteur d’autorisation effective 31 autorisation Aucun 20 autorisation Écriture seule 20 autorisation Lecture et écriture 20 autorisation Lecture seule 20 autorisations ACL 20, 22, 44 administrateur 70 dossiers 19 groupe 20, 22, 25, 31 héritage 24, 26, 58 Inspecteur d’autorisation effective 60 invité 35 points de partage 55 propagation 22 propagation d’ 26 propagation des 31 standard 20, 24, 29, 43, 55 types 20, 22, 29, 35 utilisateur 20, 21, 25, 60 volume 25 vue d’ensemble 19 autorisations explicites et autorisations héritées 21, 26, 58 Autorisations Refuser 30, 31 autorisations root 19 autorisations standard 20, 24, 29, 43, 55 Autres catégories d’utilisateurs 35 B basculement, planification de 17 basculement IP configuration du serveur de sauvegarde 100 définition 92 historique 101 périphérique RAID 94 serveur de sauvegarde 93 serveur maître 93 BDC (Contrôleur de domaine secondaire) 107 boîtes de dépôt 63, 67, 69 155 C Catégorie d’utilisateurs Autres 20 catégorie d’utilisateurs Autres 22 Catégorie d’utilisateurs Propriétaire 20 catégorie d’utilisateurs Propriétaire 21 cat outil 80 chiffrement 16 chmod outil 55 CIFS (Common Internet File System). Voir SMB/CIFS clé de serveur de reconnexion, configuration 100 clients Voir aussi utilisateurs accès au point de partage 39, 62 accès aux points de partage 51 autorisations de groupe 20, 22, 25, 31 contrôle d’accès 22, 75 sous-réseaux NFS 48 code de page, Windows 109 comptes d’invités accès AFP 75, 86 accès FTP 122, 125, 128, 130, 134, 144 autorisations 35 comptes d’utilisateur, noms 89 comptes des invités accès au point de partage 62 contrôleur de domaine principal. Voir PDC conventions de nom points de partage 42 utilisateurs 89 conversion à la volée, FTP 125 D entrées de contrôle d’accès. Voir ACE étude de l’alimentation électrique, planification d’interruption de service 17 exportation de points de partage NFS 48, 62 exportation des points de partage NFS 120 F FAILOVER_BCAST_IPS 93 FAILOVER_PEER_IP 93 failoverd 93 failoverd.log 101 fichiers compressés 125 fichiers partagés. Voirpartage de fichiers FireWire 98 G Generic Security Service Application Programming Interface. Voir GSSAPI Gestionnaire de groupe de travail, points de partage 37 graphiques AFP 80 FTP 137 SMB 112 groupes, autorisations 20, 22, 25, 31 GSSAPI (Generic Security Service Application Programming Interface) 71 H heartbeatd 93 daemons failoverd 93 heartbeatd 93 dépannage 139 documentation 11 domaines, répertoire, Windows 106 dossier Bibliothèque, réseau 34, 64 dossier de départ, FTP 122, 123, 136 dossiers accès 22 autorisations pour 19 Bibliothèque 34, 64 boîtes de dépôt 63 de départ 124 départ 38, 41, 140 départ FTP 122, 123, 136 dossiers de départ dépannage 140 environnements utilisateurs 124 points de partage 38, 41, 124 E entrées de configuration d’hôte 156 FAILOVER_BCAST_IPS 93 FAILOVER_PEER_IP 93 Index héritage, autorisation de fichier 24, 26, 58 HFS+ 25 historiques AFP 76, 80, 83 FTP 132, 137 SMB/CIFS 109, 112 I Initiales de « File Transfer Protocol » (protocole de transfert de fichiers). Voir FTP Inspecteur d’autorisation effective 31, 60 interface de ligne de commande ACE 55 affichage d’historique 80 montages NFS 120 points de partage 42 sécurité 16 vérification d’état 79 IP via FireWire 98 K Kerberos 71, 126 L P lecteurs optiques 139 liste de contrôle d’accès à un service (SACL) 33, 69 listes de contrôle d’accès. Voir ACL listes de contrôle d’accès à un service. Voir SACL NAS (Network Attached Storage, stockage relié au réseau) 65 navigateur maître 109, 110 Network File System. Voir NFS NFS (Network File System) accès 115, 116 activation 117 arrêt 120 configuration 115 configuration logicielle requise 16 connexions 119 dépannage 143 exportation 120 gestion de 118 lancement 118 partage de fichiers 35 points de partage 35, 40 ports pour 16 réglages 117 sécurité 16 vérification de l’état 118 vue d’ensemble 15 NFS (Système de gestion de fichiers en réseau) exportation 48, 62 nouveau partage de montages 50 points de partage 48, 62 nfsd démons 117 niveau d’autorisation Monde 35, 49 nom DNS virtuel 98 nom NetBios 110 NotifyFailover 96, 97 partage de fichiers personnalisation 34 planification de 17 partage outil 42 parties ressources 126, 130 PDC (Contrôleur de domaine principal) 107 points 62 points de défaillance uniques 17 points de partage accès client 39, 51, 62 activation 114 affichage 54 AFP 40, 45 autorisations 21 boîte de dépôt 63, 67, 69 configuration 37 contrôle d’accès 34 contrôle de l’accès 39, 44, 51, 56 dépannage 139 désactivation 53, 114 dossiers de départ 38, 41, 124 exportation 48, 120 FTP 40, 47, 123 gestion des 52 Gestionnaire de groupe de travail 37 montage 38, 50, 91 NFS 35, 40, 48, 120 nom 42 outils de ligne de commande 42 protocoles 53, 54 SMB/CIFS 40, 46 suppression 53 virtuels 109, 110, 114 points de partage à montage automatique 38, 51, 91 points de partage dynamiques 38 points de partage statiques 38 points de partage virtuels 109, 110, 114 POSIX (Portable Operating System Interface) 20, 29 PostAcq 96 PreAcq 96 privilèges, administrateur Consultez aussi autorisations privilèges administrateur 21, 70 problèmes. Voir dépannage ProcessFailover 96 protocoles 15, 25 Voir aussi protocoles spécifiques ps outil 79 O Q M Mac OS 9, gestion de clients 91 Mac OS X, gestion de clients 88 Matrice redondante de disques indépendants. VoirRAID messages d’erreur. Voir dépannage mode passif FTP 144 montage méthode de la ligne de commande 120 montage automatique 38, 51 points de partage 38, 50, 91 N ordinateurs clients, service AFP 72, 88 ouverture de session 87, 142 Index QuickTime Streaming Server (QTSS) 21 quotas, espace disque 41, 50, 69 quotas de disque, points de partage 41, 50, 69 157 R RAID (matrice redondante de disques indépendants) 17, 65 royaumes. Voir Kerberos; WebDAV S scripts NotifyFailover 96, 97 PostAcq 96 PreAcq 96 ProcessFailover 96 Test 96 sécurité 16, 34 Voir aussi accès; authentification; autorisations Server Message Block/Common Internet File System. Voir SMB/CIFS Serveur de mots de passe. Voir serveur de mots de passe Open Directory serveur de mots de passe Open Directory 142 Service AFP (Apple Filing Protocol) autorisations 25 service AFP (Apple Filing Protocol) accès 75 accès comme invité 75, 86 activation 73 Active Directory 87 arrêt 81 authentification 16, 71 authentification Kerberos 71 clé de serveur de reconnexion 100 configuration 73 configuration logicielle requise 16 connexions 81, 83, 141 démarrage 78 dépannage 141 gestion du 79 graphiques 80 historiques 76, 80, 83 messages 142 options de navigation 82 ordinateurs clients 72, 88 ouverture de session 87 points de partage 40, 45 ports pour 16 prise en charge d’AppleTalk 72 reconnexion automatique 72 réglages 74 réglages des utilisateurs inactifs 77, 85 spécifications 72 Spotlight 72 vérification de l’état 79 vue d’ensemble 71 service AFP (Apple Filing Protocol). Voir AFP service de navigation Bonjour 82 158 Index Service de protocole SMB/CIFS (Server Message Block/Common Internet File System) autorisations 25 service de protocole SMB/CIFS (Server Message Block/Common Internet File System) accès 108 activation 105 arrêt 113 authentification 16, 108 configuration 104 configuration logicielle requise 16 connexions 113, 142 démarrage 110 gestion 111 graphiques 112 historiques 109, 112 partage de fichiers 103 points de partage 40, 46 ports pour 16 réglages 105 vérification de l’état 111 vue d’ensemble 103 service DNS (système de noms de domaine) 140, 143 service FTP (File Transfer Protocol) accès d’utilisateur anonyme 122, 125, 128, 130, 134, 144 accès de téléchargement 128, 134 activation 128 arrêt 138 autoconversion 125 configuration 127 configuration logicielle requise 16 connexions 138, 143 conversion 125 démarrage 133 dépannage 143 dossier de départ 122, 123, 136 environnement utilisateur 122, 135 gestion 136 graphiques 137 historiques 132, 137 Kerberos 126 messages 130 mode passif 144 points de partage 40, 47, 123 ports pour 16 réglages 129 sécurité 16, 121, 128 spécifications 126 vérification de l’état 136 vue d’ensemble 121 Service Location Protocol. Voir SLP service Partage 52 Voir aussi points de partage Services Windows 106 services Windows 40 Voir également SMB/CIFS services Windows autonomes 106 showmount outil 120 sous-réseaux 48, 142 Spotlight 67, 68, 72 T tail outil 80 TCP (Transmission Control Protocol) 117 TCP/IP, dépannage 142, 143 Test 96 Time Machine configuration en tant que destination de sauvegarde 68 top outil 79 Transmission Control Protocol. Voir TCP U UDP (User Datagram Protocol) 117 User Datagram Protocol, protocole. Voir UDP utilisateurs anonymes 122, 125, 128, 130, 134, 144 autorisations 19, 20, 21, 25, 60 Index catégories 20, 21, 35 déconnexion 84 dépannage 139 environnement FTP 135 environnement FTP pour des 122 Gestionnaire de groupe de travail 37 inactifs 77, 85 messages 86 messages destinés aux 130, 142 non enregistré 35 utilitaire de disque 66 V verrouillage fichiers 103 volumes autorisations 25 exportation NFS 48, 120 vue d’ensemble des services de fichiers 15 W WebDAV (Web-Based Distributed Authoring and Versioning) 21 WINS (Windows Internet Naming Service) 109, 110 159