Note de l’éditeur: Cette histoire est reproduite de
Monde de l'ordinateur. Pour plus de couverture Mac, visitez le site
Centre de connaissances Macintosh de Computerworld.
La prise en charge des utilisateurs Mac peut constituer un défi pour les administrateurs système dans un environnement Windows Active Directory. Bien qu'Apple ait utilisé Samba pour permettre aux Mac d'accéder facilement aux partages et aux imprimantes hébergées par des serveurs Windows à l'aide du protocole SMB (Server Message Block) de Microsoft, la véritable intégration Active Directory nécessite plus qu'un simple accès aux ressources.
D'une part, il nécessite la prise en charge d'un environnement dans lequel les utilisateurs peuvent compter sur leurs comptes Active Directory pour se connecter à des ordinateurs Mac et Windows. En fonction de votre environnement, vous pouvez également vouloir mettre en œuvre des mesures de sécurité pour limiter ce que les utilisateurs peuvent faire lorsqu'ils sont connectés à un Mac ou gérer l'expérience utilisateur comme vous le feriez avec les stratégies de groupe pour les ordinateurs Windows.
Il existe un certain nombre de solutions et d'approches que vous pouvez adopter pour intégrer des Mac à votre infrastructure Active Directory, et je vais en parler ici.
Plug-in Active Directory d'Apple
La solution la moins coûteuse consiste à utiliser la prise en charge Active Directory intégrée d'Apple. Depuis Mac OS X Panther (10.3), Apple a introduit un plug-in dans son utilitaire d’accès au répertoire, qui permet de configurer l’authentification par rapport à Active Directory. Le plug-in Active Directory d'Apple utilise LDAP pour interroger Active Directory.
Le plug-in Active Directory fonctionne assez bien. Il prend en charge les forêts avec plusieurs domaines, le basculement du contrôleur de domaine et peut monter automatiquement le répertoire de base d'un utilisateur. Il peut également accorder aux utilisateurs un accès administrateur à un poste de travail Mac en fonction de leur appartenance à un groupe Active Directory. Vous pouvez également activer les comptes mobiles pour les ordinateurs portables et désigner un contrôleur de domaine préféré si nécessaire.
Le processus d'utilisation du plug-in pour joindre un Mac à un domaine Active Directory est simple et s'apparente à celui d'un ordinateur Windows à un domaine. Vous aurez besoin d'un compte Active Directory avec l'autorisation de joindre l'ordinateur au domaine. si le compte n'a pas été créé à l'avance, vous aurez besoin de l'autorité pour le créer. Vous devrez également configurer le chemin de recherche des répertoires disponibles pour inclure Active Directory à l'aide de l'onglet Authentification de l'outil d'accès à l'annuaire. Mac OS X peut rechercher plusieurs configurations de répertoire dans un chemin spécifié lorsqu'un utilisateur tente de se connecter.
Mappage UID dynamique vs mappage UID statique
L’un des obstacles à l’intégration de Mac OS X à Active Directory est que leurs schémas de services d’annuaire sont très différents. L'un des attributs de clé du schéma Open Directory utilisé par Mac OS X est le numéro d'utilisateur (UID). Comme dans d'autres systèmes Unix, l'UID est utilisé par le système de fichiers Mac OS X pour désigner la propriété et les autorisations des fichiers, tant pour les fichiers locaux que distants.
Chaque compte d'utilisateur local ou réseau utilisé pour se connecter à Mac OS X nécessite un UID. Mais il n'y a pas d'attribut en corrélation directe dans Active Directory.
Apple propose deux méthodes pour fournir aux utilisateurs Active Directory un attribut UID. La première option, celle par défaut, consiste à générer dynamiquement un UID pour chaque utilisateur lors de la connexion. Lorsque cette option est utilisée, Mac OS X génère un UID lors de la connexion, en fonction de l'attribut GUID (identificateur global unique) de Active Directory de l'utilisateur. compte et l'adresse MAC de la carte réseau Macintosh qu'il utilise. La deuxième option consiste à choisir un attribut inclus dans Active Directory en tant qu'UID de l'utilisateur. Vous pouvez mapper n'importe quel attribut, qu'il s'agisse d'un élément du schéma Active Directory par défaut ou d'un élément d'une extension de schéma personnalisé.
La génération dynamique d'UID est beaucoup plus facile et ne nécessite aucune action de la part de l'administrateur système. Cependant, ce n'est pas parfait. Chaque fois qu'un utilisateur se connecte sur un Mac différent, il aura un UID différent. Cela peut poser problème si vous avez des serveurs Mac (ou même des Mac individuels avec le partage de fichiers activé), car l'accès des utilisateurs aux fichiers sur ces serveurs changera chaque fois qu'ils utilisent un ordinateur différent, même s'ils utilisent le même compte Active Directory.
L'utilisation d'un UID statique en le mappant sur un attribut dans Active Directory évite ces problèmes potentiels. Il peut s'agir d'une solution que vous avez déjà implémentée pour d'autres systèmes Unix de votre réseau. Cependant, cela demande plus d'effort. Si vous choisissez de mapper sur un attribut existant, vous devrez renseigner manuellement ce numéro dans chaque compte d'utilisateur utilisé pour la connexion au Mac. Cela peut être un processus fastidieux. Si vous choisissez d'utiliser un attribut existant plutôt que d'étendre le schéma d'Active Directory, vous ne pourrez plus utiliser cet attribut dans un autre but.
Jeude ADmitMac
ADmitMac
de Thursby Software Systems offre plusieurs fonctionnalités que le plug-in Active Directory d’Apple et la configuration Samba ne proposent pas. A l'instar de la solution Apple, ADmitMac est basé sur un plug-in d'accès à un répertoire.
En particulier, ADmitMac prend entièrement en charge Kerberos sous Active Directory, ainsi que les communications signées LDAP et SMB et NT LAN Manager, permettant une sécurité beaucoup plus étroite avec Windows 2003 Server. En tant que tel, il n’est pas nécessaire de réduire les paramètres de sécurité par défaut de Windows 2003 Server. Les solutions Apple nécessitent des communications LDAP et SMB non signées.
Outre une sécurité améliorée, ADmit Mac prend en charge le système de fichiers distribués Windows et les noms de partage longs, et fournit des options supplémentaires pour la navigation sur un réseau Windows Server à la recherche de partages et d'imprimantes. Une version spécialisée est également disponible avec prise en charge du standard de carte à puce Common Access Card.
Admettre Mac offre également d'autres avantages. Premièrement, il offre une console de gestion Active Directory pour Mac OS X qui permet aux administrateurs de réinitialiser les mots de passe des utilisateurs, de déplacer les utilisateurs et les ordinateurs et de créer ou de modifier des comptes existants, à l’instar de la console de gestion Microsoft. Deuxièmement, il offre plus d'options que la solution Apple pour la gestion des répertoires réseau locaux et locaux. À cet égard, un outil qui peut être utilisé pour déplacer le dossier de base d’un utilisateur Mac local vers un emplacement réseau et l’associer à un compte Active Directory est particulièrement utile. Cela peut faciliter la transition vers l'intégration à Active Directory pour les utilisateurs finaux.
En outre, ADmitMac prend en charge un environnement client géré par Apple. À l'instar des stratégies de groupe dans Active Directory, l'environnement client géré de Mac OS X, parfois appelé MCX, permet aux administrateurs de limiter l'accès aux composants du système Mac OS X et de créer une expérience utilisateur hautement personnalisée. ADmit active plusieurs fonctionnalités de gestion des clients Apple et utilise le gestionnaire de groupe de travail de Mac OS X Server.
Pour ce faire, ADmit Mac crée un fichier stocké sur un partage Windows au sein du domaine et contenant toutes les informations utilisateur MCX qui seraient normalement stockées dans un domaine Open Directory hébergé par Mac OS X Server. Cependant, la propre documentation de Thursby admet que son approche de gestion client n'est pas parfaite et que certaines actions peuvent entraîner des messages d'erreur inexpliqués ou peuvent simplement ne pas fonctionner sans aucune indication d'erreur.
Contrôle direct de Centrify pour Mac
Centrify
Contrôle direct
est une série de solutions permettant d’intégrer diverses plates-formes à Active Directory, notamment Mac OS X.
Direct Control est installé en tant que plug-in d’accès au répertoire sous Mac OS X. Lorsque la solution côté serveur est installée sur des contrôleurs de domaine Windows, elle ajoute une série d’objets de stratégie de groupe (GPO) pouvant être utilisés pour gérer l’environnement Mac. Direct Control propose toute une gamme d'objets de stratégie de groupe pour les paramètres de sécurité et d'expérience utilisateur, dont beaucoup reflètent les options disponibles à l'aide de l'outil Gestionnaire de groupe de travail de Mac OS X Server. Pour ce faire, il intègre un fichier de registre local copié sur le Mac avec l’architecture MCX d’Apple. Direct Control offre également la possibilité d'utiliser des cartes à puce pour l'authentification.
Direct Control offre la solution d’intégration Active Directory la plus simple et la plus complète pour Mac OS X. Comme elle repose sur l’architecture de stratégie de groupe d’Active Directory, elle fonctionne de manière plus transparente pour gérer l’accès que ADmitMac de Thursby, en particulier pour les administrateurs système peu familiarisés avec Mac. OS X.
Aussi impressionnant: il réussit sans modifier le schéma Active Directory. Cependant, il n'offre pas la sécurité des connexions SMB signées, bien qu'il prenne en charge les requêtes LDAP chiffrées. Il fonctionne également bien avec des produits tels que DAVE de Thursby pour permettre la communication SMB signée, ainsi qu'avec des solutions côté serveur tierces prenant en charge le protocole Apple Filing Protocol de Mac OS X, qui offre une sécurité accrue par rapport au protocole SMB non signé.
Utilisation de Mac OS X Server pour une gestion client supplémentaire
Si vous souhaitez tirer pleinement parti de l'architecture de gestion client d'Apple, la meilleure solution consiste à implémenter Mac OS X Server dans votre environnement Active Directory. Cela peut constituer la méthode la plus difficile d’ajouter une prise en charge pour Mac OS X car Active Directory et Open Directory, le service d’annuaire natif de Mac OS X Server, ont des schémas très distincts. Ils partagent également trois attributs correspondants: nom d'utilisateur, mot de passe et répertoire de base. Cela peut rendre très difficile la création d’une infrastructure entièrement intégrée, car elle nécessite l’extension du schéma d’une ou des deux plates-formes.
Il existe une méthode permettant une gestion partielle du client Mac et l'accès à d'autres services Mac OS X Server sous Active Directory, qui ne nécessite pas de modification de schéma. L'approche est double. Tout d’abord, joignez les serveurs et les clients Mac à Active Directory à l’aide du plug-in Active Directory d’Apple. Deuxièmement, créez un chemin de recherche de répertoire sur les serveurs et les clients Mac, qui recherche à la fois le domaine Active Directory et un domaine Open Directory hébergé par un ou plusieurs serveurs Mac.
Cette configuration vous permet de créer des listes d’ordinateurs dans le domaine Open Directory contenant des comptes d’ordinateurs Mac à partir d’Active Directory. Les paramètres de gestion peuvent ensuite être appliqués aux listes d'ordinateurs à l'aide du gestionnaire de groupe de travail de Mac OS X Server, sans configuration supplémentaire.
La même approche peut être étendue à des groupes d'utilisateurs en créant des comptes de groupe dans le domaine Open Directory et en les renseignant avec des comptes d'utilisateur à partir d'Active Directory. Cette méthode n'est pas parfaite et certaines fonctions de gestion des clients peuvent ne pas répondre correctement, mais elles nécessitent beaucoup moins d'effort que la modification des schémas Open Directory et / ou Active Directory. Il peut fonctionner comme une solution temporaire si vous envisagez d'étendre le schéma mais que vous avez besoin d'une solution immédiate pendant que vous le faites.
Qu'en est-il des services pour Mac?
Windows Server inclut Services pour Mac (SFM) – des composants facultatifs qui permettent de créer et de gérer des partages et d'imprimer des files d'attente à l'aide du protocole AFP (Apple Filing Protocol) et du protocole AppleTalk obsolète. Services pour Mac est une solution conçue pour fonctionner avec les versions classiques de Mac OS, c'est-à-dire celles antérieures à Mac OS X.
Ses options de sécurité reposent sur l’installation d’un module d’authentification de l’utilisateur Microsoft sur des clients Mac, dont aucune version n’a été développée pour Mac OS X. En tant que tel, le seul moyen de prendre en charge l’accès Mac OS X aux partages SFM et aux files d’impression est de les mots de passe textuels ou le cryptage limité d’une ancienne version du protocole AppleShare.
Compte tenu de l'inclusion de Samba dans Mac OS X et de la limitation de la sécurité, cela fait longtemps que la GDF est considérée comme une solution terriblement solide. SFM souffre également de problèmes de performances en raison de sa conception et du fait qu’elle repose sur le protocole obsolète AppleTalk.
Cela dit, il existe d’autres serveurs AFP tiers pour Windows Server, notamment le robuste ExtremeZ IP de Group Logic et MacServerIP de Cyan Software.
Ces produits offrent des options de sécurité améliorées, mais ils offrent également une autre fonctionnalité qui peut être importante pour certains utilisateurs de Mac. Les fichiers Mac contiennent une branche de ressources faisant partie de leur structure. cette fourche n'est pas prise en charge par les systèmes de fichiers NTFS ou FAT. Lorsque vous travaillez avec des lecteurs montés SMB, Mac OS X effectue généralement une traduction de la fourchette de ressources dans un fichier séparé pour résoudre ce problème.
Pour la plupart des applications, cela fonctionne très bien. Cependant, certaines applications rencontrent des problèmes avec cette approche. Dans ces situations, une solution de serveur AFP peut permettre un flux de travail plus transparent.
Ryan Faas est un rédacteur pigiste et un consultant en technologie spécialisé dans les problèmes de réseau Mac et multiplateformes. En plus d'écrire pour Computerworld, il contribue régulièrement à InformIT.com. Ryan était également le co-auteur de "L'essentiel du serveur Mac OS X Panther Server Administration" d'O'Reilly. Vous pouvez trouver plus d'informations sur Ryan, ses services de conseil et les travaux récemment publiés sur www.ryanfaas.com et lui envoyer un courrier électronique à l'adresse ryan@ryanfaas.com.
Cette histoire, "Support Mac dans un environnement Active Directory" a été initialement publiée par
Monde de l'ordinateur.
Commentaires
Laisser un commentaire