L’intégration de Mac OS X dans un environnement Windows et au sein d’un Active Directory
est un sujet souvent mal connu et...
Ainsi que les services UNIX pour le rôle AD :
La dernière chose à faire, c’est avoir accès à un Mac OS X Server avec le se...
Maintenant nous pouvons lancer l’outil qui va faire 50% du travail d’extension du schéma,
l’ADSchemaAnalyzer :
Cet outil p...
Une fois cette tâche terminée, vous pouvez utiliser le menu Fichier pour enregistrer le fichier
LDIF sur votre bureau par ...
donc falloir faire quelques modifications sur certaines classes (comme les utilisateurs ou les
ordinateurs, pour spécifier...
# ==================================================================
# Updating present elements
# =======================...
Maintenant que cette longue et fastidieuse étape est terminée, il ne nous reste plus qu’à
envoyer les modifications.
L’act...
Et c’est tout ! Voyons voir les vérifications d’usage :
L’utilisateur AD est bien identifié, il ne reste plus qu’à installer et ouvrir le gestionnaire de
groupe de travail (qui f...
Pour un utilisateur :
Il ne reste plus qu’à vérifier en se déconnectant de la session administrateur pour se rendre sur
la session AD.
Il reste un dernier problème à résoudre, Mac OS X est préconfiguré au niveau de son
connecteur Active Directory pour autor...
Bien penser à cocher la case d’autorisation d’administration ici qui ne l’est pas par défaut.
Ma solution consiste à recréer ces deux groupes (attention, le groupe enterprise admins est de
portée locale) puis y ajout...
Intégration d’un Mac OSX dans un domaine Active Directory Windows
Pré-requis :
 Effectuer les mises à jours de votre cont...
 Choisir « l’ethernet intégré » (si vous avez une connectivité sans fil, vous choisirez
« Air port ») et cliquer sur "con...
reseau
 Et dans « configurer IP V4 », choisir : « VIA DHCP » ou « VIA DHCP avec IP Fixe »
si vous voulez travailler en IP...
ethernet
2. Réglage de la date et de l’heure.
 On ne peut intégrer un client dans un domaine Windows que si la date et l’...
date et heure
3. Intégration à votre contrôleur de domaine.
* Allez dans « Applications » puis « utilitaires » pour lancer...
annuaire1
* Cliquez ensuite sur le bouton « + »
* Choisissez dans le menu déroulant "Active Directory"
* Entrez le nom de ...
ad
ad2
 Dans l’onglet « Administration » cochez « Permettre l’administration par : » et ajouter
votre administrateur de d...
ad3
 Remplir la ligne « Domaine Active Directory » avec le nom de votre domaine avec un
.LOCAL :
votredomaineAD.LOCAL
 R...
ad4
Dans la nouvelle fenêtre : entrez votre nom d’administrateur du domaine AD et le mot de
passe. La 3ème ligne vous donn...
 Icône « Comptes »
 Cliquez sur « Options » si le cadenas tout en bas et en mode fermé, cliquez dessus afin
de le déverr...
profils
Si votre serveur de fichiers est un contrôleur de domaine, il va vous falloir modifier les
stratégies du contrôleu...
Intégrer des Mac dans AD
Intégrer des Mac dans AD
Prochain SlideShare
Chargement dans…5
×

Intégrer des Mac dans AD

393 vues

Publié le

Afin de sécuriser vos échanges professionnels entre Mac et Pc, vous pouvez suivre cette méthode pour homogénéiser votre parc informatique.

Publié dans : Technologie
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
393
Sur SlideShare
0
Issues des intégrations
0
Intégrations
12
Actions
Partages
0
Téléchargements
0
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Intégrer des Mac dans AD

  1. 1. L’intégration de Mac OS X dans un environnement Windows et au sein d’un Active Directory est un sujet souvent mal connu et emplis de toute sorte de mythes plus ou moins obscurs en provenance de personne autodéclarés administrateur système… Pour celles (quoi ? on peut toujours rêver non ?) et ceux (ok) qui souhaiterait gérer correctement Mac OS X dans un Active Directory, voici un article résumant le cas de l’extension du schéma AD sur un 2008 Serveur R2 Il y a grosso modo 2 possibilités pour gérer Mac OS X dans un AD (gérer dans le sens utiliser les MCX comme on le ferait des GPO sous Windows, pas simplement gérer l’authentification) : - Triangle magique : On rajoute un OS X Server qui viens stocker les informations normalement impossibles à stocker dans un AD (les MCX sont des fichiers XML stockés dans le serveur LDAP de l’annuaire). Cette solution est la plus utilisée, mais également la plus chère puisque demandant un OS X Server pour pas grand-chose… - Extension de schéma : On modifie le schéma LDAP de l’AD pour y ajouter les champs manquant par rapport au schéma d’Apple, de cette manière l’AD se comporte exactement comme un OD. Cette solution n’est habituellement pas retenue, la légende veut que les administrateurs systèmes Windows aient peur de toucher au schéma LDAP… Pour couper court à toute légende urbaine, l’extension de schéma sur un AD c’est tout à fait possible et supporté, d’ailleurs Microsoft Exchange fait des modifications de schéma lorsqu’il s’installe. Cela n’empêche cependant pas de faire des sauvegardes de votre AD, comme avant chaque tâche administrative. Pour mener à bien cette opération, il vous faudra installer le rôle AD LDS :
  2. 2. Ainsi que les services UNIX pour le rôle AD : La dernière chose à faire, c’est avoir accès à un Mac OS X Server avec le service OpenDirectory lancé, cela va nous permettre d’utiliser un outil très pratique fourni par Microsoft, un comparateur de schéma.
  3. 3. Maintenant nous pouvons lancer l’outil qui va faire 50% du travail d’extension du schéma, l’ADSchemaAnalyzer : Cet outil permet via son menu Fichier de charger un schéma cible, celui de l’OpenDirectory puis celui de charger le schéma de base, celui de l’Active Directory et nous offrira à la fin les différences entre les deux. La connexion se fait sans authentification pour l’OD et avec pour l’AD. Une fois les deux sources chargées, allez dans le menu schéma pour demander à voir uniquement les différences en masquant les éléments déjà présents. Vous vous retrouvez donc ici avec la liste des classes et attributs manquant à l’AD. Il va maintenant falloir choisir lesquels prendre.
  4. 4. Une fois cette tâche terminée, vous pouvez utiliser le menu Fichier pour enregistrer le fichier LDIF sur votre bureau par exemple. Si vous ne terminez pas avec 36 attributs pour 10 classes. Avant d’importer tout cela, il faut faire quelques modifications manuelles dans le fichier que vous venez de créer. En effet, les classes que nous venons de préparer sont faites pour être sur un Open Directory, donc indépendante. Or ici l’objectif est de les intégrer dans un AD, il va
  5. 5. donc falloir faire quelques modifications sur certaines classes (comme les utilisateurs ou les ordinateurs, pour spécifier que ce ne sont pas des classes autonomes, mais annexes). Pour cela nous allons ouvrir notre fichier LDIF avec le bloc-notes et repérer le bloc définissant les classes apple-user, apple-group et apple-computer pour changer leur attribut objectClassCategory. Cette propriété numérique indique si la classe est structurale (1) ou plutôt auxiliaire (3), soit ce que l’on recherche. Toutes les autres classes doivent par contre être à 1 et non à 0 comme c’est le cas par défaut. Autre problème généré par l’outil, l’ajout de préfixes attr- et cls- pour certaines entrées qui ne sont pas nécessaires. Un bon usage du rechercher/remplacer serrait intéressant ici. Ces préfixes étaient présents pour éviter des conflits de noms; or presque tous les classes et attributs ont déjà le préfixe apple-. Nous allons donc rajouter ce préfixe sur les entrées restantes sauf une, ttl, qui doit rester sans. Histoire d’être efficace pour ce passage, je vous propose de faire un rechercher/remplacer sur dn: cn= par dn: cn=apple- puis dn: cn=apple-apple- par dn: cn=apple-. De cette manière, vous devriez avoir toutes les entrées préfixées Le même type de manip doit être fait pour les champs ldapDisplayName:. Pensez bien à défaire ce qui vient d’être fait pour le ttl. Autre chose à faire, rajouter à la fin du fichier les instructions nécessaires à la modification des classes existantes pour spécifier que le type User supporte désormais les options de apple- user.
  6. 6. # ================================================================== # Updating present elements # ================================================================== dn: cn=User,CN=Schema,CN=Configuration,DC=X changetype: modify add: auxiliaryClass auxiliaryClass: apple-user - dn: cn=Computer,CN=Schema,CN=Configuration,DC=X changetype: modify add: auxiliaryClass auxiliaryClass: apple-computer - dn: cn=Group,CN=Schema,CN=Configuration,DC=X changetype: modify add: auxiliaryClass auxiliaryClass: apple-group - dn: cn=macAddress,CN=Schema,CN=Configuration,DC=X changetype: modify replace: searchFlags searchFlags: 1 - dn: changetype: modify add: schemaUpdateNow schemaUpdateNow: 1 - Attention, chaque – doit être suivit d’une ligne vide. Et comme ultime étape, il faut spécifier quelles sont les valeurs possSuperiors qui règlementent l’AD en indiquant quel type de conteneur à le droit de contenir une classe structurale. Il va donc falloir rajouter ces deux lignes à toutes les classes de catégorie 1 : possSuperiors: organizationalUnit possSuperiors: container En voici la liste :  apple-computer-list  apple-configuration  apple-location  apple-neighborhood  apple-serverassistant-config  apple-service  apple-mount
  7. 7. Maintenant que cette longue et fastidieuse étape est terminée, il ne nous reste plus qu’à envoyer les modifications. L’action longue en préparation est très simple, il suffit d’utiliser une petite ligne de commande : ldifde /j . /k /i /f ldap-mods.ldf /v /c "DC=X" "DC=marseille,DC=inig- services,DC=com" Traduction :  /j : localisation du journal d’opération  /k : ignore les erreurs pour des entrées déjà existantes  /i : pour importer  /f : le fichier source de modifications  /v : mode verbeux  /c : rechercher et remplacer « DC=X » par votre nom de domaine. Regardez les fichiers journaux créés par la commande, mais normalement votre AD est prêt pour recevoir les Mac ! Faisons un essai ! Comme vous avez dû vous en rendre compte, le Windows Server utilisé pour cet article est virtualisé, comme il est interdit de virtualiser OS X dans sa version cliente, j’ai pris ici un OS X Server, mais cela ne change rien au fonctionnement. La première chose à faire est de vérifier que le serveur DNS utilisé est bien celui de l’Active Directory puis relier notre Mac à l’AD avec le connecteur adéquat dans l’utilitaire d’annuaire.
  8. 8. Et c’est tout ! Voyons voir les vérifications d’usage :
  9. 9. L’utilisateur AD est bien identifié, il ne reste plus qu’à installer et ouvrir le gestionnaire de groupe de travail (qui fait partie des outils d’administrations d’OS X Server) et à appliquer vos MCX ! Pour une machine :
  10. 10. Pour un utilisateur :
  11. 11. Il ne reste plus qu’à vérifier en se déconnectant de la session administrateur pour se rendre sur la session AD.
  12. 12. Il reste un dernier problème à résoudre, Mac OS X est préconfiguré au niveau de son connecteur Active Directory pour autoriser les membres du groupe d’administrateur de l’entreprise et du domaine à être administrateur local à la machine, ce qui serait une bonne chose si Microsoft n’avait pas eu la bonne idée de traduire tout, y compris les noms des groupes…
  13. 13. Bien penser à cocher la case d’autorisation d’administration ici qui ne l’est pas par défaut.
  14. 14. Ma solution consiste à recréer ces deux groupes (attention, le groupe enterprise admins est de portée locale) puis y ajouter les ayants droit dedans.
  15. 15. Intégration d’un Mac OSX dans un domaine Active Directory Windows Pré-requis :  Effectuer les mises à jours de votre contrôleur (winupdate)  Effectuer les mises à jours de votre OSX  Avoir de préférence un serveur Windows qui soit serveur DHCP  Nom et mot de passe d’un utilisateur ayant les droits d’ajout au domaine Windows (administrateur du domaine)  Nom et mot de passe d’un utilisateur ayant les droits d’administration du OSX (utilisateur principal) 1. Vérification de la connectivité réseau du OSX  Cliquez sur « Préférences Systèmes »  Cliquez sur « Réseau »
  16. 16.  Choisir « l’ethernet intégré » (si vous avez une connectivité sans fil, vous choisirez « Air port ») et cliquer sur "configurer". prefs systeme
  17. 17. reseau  Et dans « configurer IP V4 », choisir : « VIA DHCP » ou « VIA DHCP avec IP Fixe » si vous voulez travailler en IP fixe
  18. 18. ethernet 2. Réglage de la date et de l’heure.  On ne peut intégrer un client dans un domaine Windows que si la date et l’heure coïncident.  Cliquez sur « Préférences Systèmes »  Cliquez sur « Date et heure ». il y a deux possibilités : - soit vous cochez la case « Régler automatiquement » et vous prenez « Apple europe » - soit vous entrez à la main celle de votre serveur.
  19. 19. date et heure 3. Intégration à votre contrôleur de domaine. * Allez dans « Applications » puis « utilitaires » pour lancer l’ « Utilitaire d’annuaire » * Cliquez sur le cadenas : « Pour modifier, cliquez sur le cadenas » * Puis authentifiez-vous avec un compte d’administrateur de la station sur laquelle vous vous connectez.
  20. 20. annuaire1 * Cliquez ensuite sur le bouton « + » * Choisissez dans le menu déroulant "Active Directory" * Entrez le nom de votre domaine en mondomaine.local * Donnez un nom unique pour la station * Entrez vos identifiants d’administrateur du domaine. format rep  Cliquez sur la puce "afficher les options avancées"
  21. 21. ad ad2  Dans l’onglet « Administration » cochez « Permettre l’administration par : » et ajouter votre administrateur de domaine (votredomainevotreadministrateur)
  22. 22. ad3  Remplir la ligne « Domaine Active Directory » avec le nom de votre domaine avec un .LOCAL : votredomaineAD.LOCAL  Remplir la ligne « identifiant de l’ordinateur » exemple : imac  Si dans la « Forêt active directory » le champ ne ce remplit pas automatiquement, y écrire la même adresse qu’à la ligne « Domaine active directory »
  23. 23. ad4 Dans la nouvelle fenêtre : entrez votre nom d’administrateur du domaine AD et le mot de passe. La 3ème ligne vous donne le nom du container AD dans lequel sera rangé votre OSX si vous l’enregistrez dans un autre container vous n’avez qu’à changer le nom. relier2 4. Configuration de la fenêtre de connexion  Dans « Préférences système »
  24. 24.  Icône « Comptes »  Cliquez sur « Options » si le cadenas tout en bas et en mode fermé, cliquez dessus afin de le déverrouiller.  Décochez si besoin « Ouvrir une session automatiquement en tant que : »  Et positionnez la puce « Ouverture de session » sur : « Nom et mot de passe » compte2 A cette étape votre Mac est intégrer au domaine Acitve Directory, si vous ouvrez une nouvelle session une case « autre » est disponible. Monter un lecteur réseau à l’identification d’un utilisateur. Si vous avez un lecteur réseau à « mapper » vous pouvez les configurer dans le profil du compte en question, sur votre serveur Windows :  Utilisateurs et ordinateurs active directory  Choisir le compte sur lequel vous voulez monter un lecteur réseau ou la stratégie avec laquelle vous allez monter un lecteur réseau pour un groupe d’utilisateurs.
  25. 25. profils Si votre serveur de fichiers est un contrôleur de domaine, il va vous falloir modifier les stratégies du contrôleur de domaine :  Stratégie de sécurité du contrôleur de domaine (attention ne prenez pas les stratégies du domaine mais juste celle du contrôleur)  Paramètres de sécurité  Stratégies locales  Options de sécurité  « Serveur réseau microsoft : communication signées numériquement (lorsque le serveur l’accepte) » => la passer sur désactivé  « Serveur réseau microsoft : communication signées numériquement (toujours) » => la passer sur désactivé.

×