Intégrer des Macs dans un environnement LDAP/NFS/NFS/CUPS...

mercredi 17 février 2010
par  f
popularité : 25%

<table_des_matieres124>


Voici en quelques mots et quelques images les opérations nécessaires pour intégrer un Mac sous OS X 10.6, nom de code Snow Leopard. Comme pour les PCs, cette intégration consiste en :

  1. une authentification par login et mot de passe sur un annuaire LDAP ;
  2. un accès à un répertoire personnel ;
  3. un accès aux imprimantes ;
  4. un partage des configurations pour les logiciels utilisés dans les divers environnements de travail (Windows, Linux et Mac) ;
  5. installation de l’agent du logiciel d’inventaire ;
  6. une sécurisation du poste contre tout accès physique : verrouiller le démarrage de la machine depuis tout autre média que le disque dur.

Dans ce qui suit, on suppose que l’ordinateur a une connexion au réseau, une adresse IP par DHCP, un nom dans le DNS.
Toutes les opérations doivent être exécutées avec un compte administrateur (celui créé lors de la finalisation de l’installation du Mac).

Le nom de l’ordinateur est modifiable via le Menu Pomme, puis Préférences systeme...,puis Partage. Ceci étant, on le changera de façon automatique au moment du déploiement avec DeployStudio.

Authentification sur le LDAP

Si certains menus ou options sont grisés et donc inaccessibles, il faut les déverrouiller en cliquant sur l’icône cadenas et en redonnant le mot de passe avec lequel on s’est connecté.

Pour commencer on va définir la façon dont les utilisateurs se connecte à la machine, à savoir avec un login et un mot de passe via une bannière login :
Cliquer sur Menu Pomme, puis Préférences systeme...,puis Compte (dans Système), puis Options (sous Mon compte) :
- cliquer sur désactivé en face d’ouverture de session automatique
- et nom et mot de passe en face d’ouverture de session par.

Ensuite on va configurer le service de répertoire pour ajouter l’authentification par l’annuaire LDAP :

Cliquer sur Menu Pomme, puis Préférences système..., puis Compte (dans Système), puis Options (sous Mon compte), et enfin Compte serveur réseau. Là, choisir Modifier, puis Ouvrir utilitaire d’annuaire, puis LDAPv3 et Nouveau.

Dans l’onglet Connexion :
- remplir Nom de la configuration : <NOM ANNUAIRE>
- remplir Nom du serveur ou adresse IP : <NOM DNS ANNUAIRE> (important : écrire le même nom que celui utilisé pour la génération du certificat SSL )
- cocher SSL et ignorer les références (pour ne pas aller sur d’autres serveurs)

Dans l’onglet Recherche et mappages
- sélectionner Group dans la partie droite et posixGroup dans la partie gauche
- sélectionner base de recherche et inscrire <BRANCHE DE RECHERCHE LDAP POUR LES GROUPES>

- sélectionner Users, puis base de recherche et inscrire <BRANCHE DE RECHERCHE LDAP POUR LES UTILISATEURS>

- sélectionner RecordName et ne laisser que uid dans la partie de gauche (supprimer le reste).

Il faut maintenant indiquer au système où trouver le certificat pour pouvoir établir une connexion sécurisée avec le serveur LDAP.

- ouvrir un terminal et passer en utilisateur root avec la commande sudo su
- remplir le fichier /etc/openldap/ldap.conf comme suit :

La valeur demand oblige la connexion sécurisée (équivalente à la valeur hard)
- copier le certificat depuis le serveur ldap dans l’emplacement indiqué par la directive TLS_CACERT
- éditer le fichier /etc/hosts et indiquer l’adresse IP et le nom dns du serveur ldap (pré-requis indispensable à la marche du client ldap sécurisé) :

Enfin, relancer le service de répertoires : killall DirectoryService

REMARQUES IMPORTANTES :

  1. dans /etc/group, admins est défini avec le gid 80, ce qui donne des autorisations aux personnes qui appartiennent au groupe gid 80 dans le ldap, ce qui est peu être plus embêtant. Les membres du groupe admins sont ceux, par exemple, autorisés à exécuter la commande sudo su. À bien retenir...
  2. Trouver qu’il faut obligatoirement renseigner le fichier /etc/hosts pour établir une connexion sécurisée vers le LDAP a nécessité d’obtenir des logs de la part du service de répertoires. Pour activer/désactiver le mode debug du service de répertoires, lancer la commande killall -USR1 DirectoryService. Le log généré se trouve dans le fichier /Library/Logs/DirectoryService/DirectoryService.debug.log. On peut également utiliser la commande dtruss, un ersatz de la commande strace de Linux.

Sommaire

Montages NFS

On crée le fichier /etc/fstab en y mettant les partitions exportées par les serveurs NFS :

on lance le montage de tout ça à une première fois à la main : mount -a -t nfs, et le montage est fait automatiquement au démarrage de la machine les fois suivantes.

Sommaire

Impression via le serveur CUPS

Comme sur les clients Linux, les clients OS X vont pouvoir imprimer en passant par le serveur central d’impressions CUPS. Comme sous Linux, il suffit de créer le fichier /etc/cups/client.conf contenant la ligne

Il faut redémarrer la machine pour que la configuration soit prise en compte.

Remarque : OS X 10.6 affiche les descriptions d’imprimantes et non leur nom CUPS, comme c’est le cas sur un client Linux.

Fichiers de configuration de Firefox et Thunderbird

Il est possible d’utiliser les mêmes profils Firefox et Thunderbird dans les environnements Windows, Linux et Mac OS X. Pour cela, il suffit d’indiquer dans les fichiers profiles.ini de chacune de ces applications, où seront stockés les répertoires FireFox et Thunderbird de l’utilisateur. Il est conseillé d’indiquer un chemin relatif vers ces répertoires :

Pour Firefox, le fichier profiles.ini doit se trouver dans  /Library/Application Support/Firefox/ et pour Thunderbird, dans  /Library/Thunderbird.

Sommaire

Installation de l’agent Ocsng Inventory

L’installation est relativement simple. Il faut commencer par télécharger l’agent pour MacOSX depuis sur le site d’Ocsng Inventory. Il s’agit d’un package zippé. On peut directement le décompresser dans le répertoire destinés au packages de DeployStudio et modifier le fichier de configuration ocsinventory-agent.cfg qui se trouve dans l’arborescence décompressée en y inscrivant :

ET voilà ! Une fois déployé, l’agent remontera les informations de la machine au serveur.

Remarque : l’agent voit toutes les imprimantes disponibles sur le serveur CUPS comme attachées à la machine.

Sommaire

Verrouiller les postes

Chaque PC du parc est verrouillé au niveau du BIOS, pour qu’un utilisateur lambda ne puisse pas démarrer l’ordinateur depuis un cdrom, par exemple, et qu’il n’endommage pas l’installation du PC ou en compromettre sa sécurité. Il va falloir faire de même sur les Macs. Il faut savoir qu’il existe un certains nombre de combinaisons de touches qui permettent de modifier le démarrage de la machine. Par exemple :
- C pour démarrer depuis le DVD ;
- N pour démarrer depuis le réseau ;
- ALT+Pomme+S pour démarrer en single user ;
- ALT pour choisir un périphérique de démarrage ;
- ...

Pour protéger les Macs contre l’utilisation de ces touches, nous allons forcer la demande d’un mot de passe en cas de modification du démarrage normal (à savoir le disque dur).
Pour cela :

  1. insérer le DVD d’installation de OS X 10.6 ;
  2. allumer le Mac en maintenant la touche C enfoncée ;
  3. une fois le DVD chargé, choisir utiliser le français comme langue principale, puis cliquer sur la petite flèche en bas de la fenêtre et attendre... ;
  4. ATTENDRE QUE LA BARRE DE MENUS EN HAUT DE L’ECRAN APPARAISSE ET NE PAS CLIQUER SUR CONTINUER ;
  5. cliquer sur Utilitaires dans le barre de menus en haut de l’écran ;
  6. sélectionner Utilitaire de mot de passe du programme interne... et attendre... ;
  7. cliquer sur le bouton Nouveau ;
  8. cocher Mot de passe exigé pour démarrer cet ordinateur depuis une autre source, et saisir 2 fois le mot de passe. IMPORTANT : comme on a choisit français au début, le mot de passe est saisi en AZERTY, mais lorsque la machine demandera ce même mot de passe au démarrage, il sera saisi en QWERTY. Moralité : choisir un mot de passe indépendant de la disposition du clavier ;
  9. valider et cliquer sur le bouton Quitter ;
  10. cliquer sur Programme d’installation de Mac OS X... et sélectionner Quitter le Programme d’installation de Mac OS X... ;
  11. à la question Souhaitez-vous quitter le programme d’installation "Mac OS X", répondez Disque de démarrage ;
  12. cliquer sur l’icône représentant le disque dur sous-titré "Mac OS X, 10.6.2 sur Macintosh HD" ;
  13. cliquer sur Redémarrer et à nouveau sur Redémarrer.

Pour éjecter le DVD pendant la redémarrage de l’ordinateur, pressez la souris sans relâcher jusqu’à ce que le DVD sorte.

REMARQUES IMPORTANTES :

- plus que verrouiller les raccourcis clavier par un mot de passe, la manipulation précédente a pour effet d’annihiler certaines combinaisons de touches : donc pour qu’elles reprennent effet, il faut refaire la manipulation en décochant cette fois Mot de passe exigé pour démarrer cet ordinateur depuis une autre source ;
- la touche ALT est toujours active avec ou sans mot de passe requis, et elle permet de choisir entre les différents démarrage possible pour la machine. Elle est parfois très salutaire, par exemple lorsqu’au démarrage le Mac reste bloqué sur l’affichage d’un dossier clignotant assorti d’un point d’interrogation...

Sommaire