10.5 - Configuration Open Directory
Un article de Serveur.
Sommaire |
Références
- Leopard Server: Advanced setup, rsync, backup and automated reporting
- Article de Guillaume Gete sur Open Directory
- Documentation officielle d'Apple
Comprendre Open Directory
Open Directory est une technologie permettant l'authentification des utilisateurs de manière centralisée. (Comme Active Directory sous Windows) Elle offre une grande souplesse et une gestion simplifiée pour l'utilisation d'ordinateurs dans un réseau.
Les données des utilisateurs sont en premier lieu stockées localement sur les ordinateurs. Le premier utilisateur créé sur ces ordinateurs est en général l'administrateur. Il dispose ainsi de prérogatives étendues par rapport à un utilisateur normal. C'est ici qu'intervient Open Directory. Le concept est de centraliser les données des utilisateurs dans une base de donnée consultable en réseau. Ainsi chaque utilisateur présent dans cette base de donnée peut s'authentifier et utiliser les ordinateurs, même s'ils ne disposent pas d'un compte local. Le poste client va d'abord chercher l'existence de l'utilisateur dans ses tables locales, avant de se connecter au serveur Open Directory pour y chercher si l'utilisateur, absent des tables locales, ne s'y trouve pas. S'il y est, le serveur va valider l'authentification.
Définitions de quelques technologies que nous utiliserons
Kerberos
Système d'authentification réseau sécurisé. Kerberos utilise des tickets, délivrés pour un utilisateur ou un service et pour une période déterminée. Une fois authentifié, l'utilisateur peut accéder à des services supplémentaires, configurés pour accepter les tickets Kerberos, sans saisir à nouveau son mot de passe. Les tickets sont distribués par un KDC, Kerberos Key Distribution Center, soit un serveur sécurisé qui émet les tickets.
LDAP
Lightweight Directory Access Protocol. Il s'agit d'un protocole d'accès à des annuaires, soit des systèmes de stockage de données, comme des noms d'utilisateurs et des mots de passes.
Maître Open Directory
Serveur qui fourni un service de répertoire LDAP, un service d'authentification Kerberos et un serveur de mot de passe Open Directory.
Harmoniser le nombre de serveurs Open Directory au nombres d'utilisateurs
John de Troye recommande de configurer un serveur Open Directory pour 900 noms d'utilisateurs. Ainsi, dans le cadre de nos établissements scolaires, dans la plupart des cas un seul serveur Maître Open Directory sera nécessaire.
Configurer le Maître Open Directory
Lors de la configuration élémentaire, nous avons créer un serveur autonome. Il est temps maintenant de le transformer en serveur Maître Open Directory.
- La configuration s'effectue avec Admin Server.
- Sélectionner son serveur dans la colonne de gauche et cliquer sur Réglages puis Services.
- Cocher la case Open Directory et cliquer sur Enregistrer.
- Sélectionner dans la colonne de gauche Open Directory. Nous avons la confirmation de la configuration en Serveur autonome.
- Cliquer sur Modifier.... Un assistant se lance alors.
- Choisir Maître Open Directory et cliquer sur Continuer.
- Entrer le mot de passe pour l'utilisateur diradmin et cliquer sur Continuer.
- ATTENTION! Il est d'une importance critique que le Royaume Kerberos soit identique au nom de domaine qualifié de votre serveur, en majuscule, et que la base de recherche soit composé des trois terme du nom de domaine qualifié de votre serveur, commençant par dc= et séparés par une virgule, sur le modèle dc=nom,dc=adresse,dc=extension.
- Nous terminons avec un récapitulatif de la configuration. Cliquer sur Continuer.
- La configuration est maintenant terminée.
- Nous avons maintenant un serveur Maître Open Directory.
Configuration des postes clients
La vérification de la connexion Open Directory se fait depuis un poste client.
Pour commencer, il faut lier le client au serveur.
Sur le poste client, ajouter le DNS du serveur en première position, dans les Préférences Système/Réseau. Cliquer sur Avancé... pour l'interface de son choix (Ethernet, Airport,...) et sélectionner DNS.
- Cliquer sur le + pour introduire en premier l'adresse IP du serveur DNS que nous venons de configurer (ici 192.168.1.20). Introduire ensuite les adresse IP du ou des serveurs DNS de votre fournisseur d'accès.
- Cliquer sur Ok, puis Appliquer.
- Lancer l'Utilitaire d'annuaire qui se trouve dans le répertoire Applications/Utilitaires.
Déverrouiller l'application en cliquant sur le cadenas en bas à gauche. Utiliser le nom d'utilisateur et le mot de passe administrateur du poste client.
- Cliquer sur le bouton + pour ajouter un serveur.
- Entrer le nom de domaine qualifié de votre serveur et cliquer sur Ok.
- Le programme effectue alors un test de connexion. Si tout est normal, le serveur doit apparaître avec un bouton vert et la mention Ce serveur répond normalement.
Vérifier la connexion Open Directory
Il s'agit de vérifier sur un client configuré la liste des utilisateurs du serveur est présente dans la base LDAP.
- Depuis un poste client configuré, lancer le Terminal et entrer la commande suivante et confirmer avec Enter:
dscl
- Au prompt >, entrer la commande suivante, en remplaçant FQDN par le nom de domaine qualifié de votre serveur. Ici: serveur.epsgimel.info. Utiliser les touches fléchées pour se délacer dans la commande. La valider avec un Enter.
cd /LDAPv3/FQDN/Users
- Au prompt >, entrer la commande ls, qui permet de lister le contenu du répertoire. Valider par Enter.
ls.
- On doit alors au moins voir l'utilisateur diradmin. Si tel est le cas, la configuration du serveur et du client est correcte.
F. Genevey 14 juillet 2008 à 23:11 (CEST)
