Est-il possible pour des clients sous Mac OS X de s'appuyer sur un
serveur AD pour s'authentifier et ensuite se connecter avec les bonnes
prérogtives sur un serveur de fichier Xserver par exemple ?
Est-il possible pour des clients sous Mac OS X de s'appuyer sur un serveur AD pour s'authentifier et ensuite se connecter avec les bonnes prérogtives sur un serveur de fichier Xserver par exemple ?
Oui, bien sûr.
Des liens, pistes à proposer ?
Etant le bracaillon de service, je le fais avec des "serveurs" Mac OS X client, donc c'est pas pareil, m'enfin Mac OS X serveur le fait aussi.
Après install de base tu inclus ton serveur dans l'AD via les directory services puis il faut paramétrer les services pour qu'ils acceptent une authentification via l'AD ou via kerberos.
Pour le smb d'un "mac os x client" je le fais en modifiant smb.conf : security = ads puis je balance un "net join ads ..."
Avec une version serveur on peut le faire en gui via la gestion des services mais d'autres t'en dirons plus que moi à ce sujet : J'ai pas de Mac OS X Serveur sous la main.
Une fois effectué, tu peux te loguer sur ton serveur soit avec un ticket kerberos du domaine, soit en entrant le couple user/passwd qui sera soumis au controleur de l'ad.
-- Nicolas
Karim <karim@non.merci.com> wrote:
Est-il possible pour des clients sous Mac OS X de s'appuyer sur un
serveur AD pour s'authentifier et ensuite se connecter avec les bonnes
prérogtives sur un serveur de fichier Xserver par exemple ?
Oui, bien sûr.
Des liens, pistes à proposer ?
Etant le bracaillon de service, je le fais avec des "serveurs" Mac OS X
client, donc c'est pas pareil, m'enfin Mac OS X serveur le fait aussi.
Après install de base tu inclus ton serveur dans l'AD via les directory
services puis il faut paramétrer les services pour qu'ils acceptent une
authentification via l'AD ou via kerberos.
Pour le smb d'un "mac os x client" je le fais en modifiant smb.conf :
security = ads
puis je balance un "net join ads ..."
Avec une version serveur on peut le faire en gui via la gestion des
services mais d'autres t'en dirons plus que moi à ce sujet :
J'ai pas de Mac OS X Serveur sous la main.
Une fois effectué, tu peux te loguer sur ton serveur soit avec un ticket
kerberos du domaine, soit en entrant le couple user/passwd qui sera
soumis au controleur de l'ad.
Est-il possible pour des clients sous Mac OS X de s'appuyer sur un serveur AD pour s'authentifier et ensuite se connecter avec les bonnes prérogtives sur un serveur de fichier Xserver par exemple ?
Oui, bien sûr.
Des liens, pistes à proposer ?
Etant le bracaillon de service, je le fais avec des "serveurs" Mac OS X client, donc c'est pas pareil, m'enfin Mac OS X serveur le fait aussi.
Après install de base tu inclus ton serveur dans l'AD via les directory services puis il faut paramétrer les services pour qu'ils acceptent une authentification via l'AD ou via kerberos.
Pour le smb d'un "mac os x client" je le fais en modifiant smb.conf : security = ads puis je balance un "net join ads ..."
Avec une version serveur on peut le faire en gui via la gestion des services mais d'autres t'en dirons plus que moi à ce sujet : J'ai pas de Mac OS X Serveur sous la main.
Une fois effectué, tu peux te loguer sur ton serveur soit avec un ticket kerberos du domaine, soit en entrant le couple user/passwd qui sera soumis au controleur de l'ad.
-- Nicolas
laurent.pertois
Karim wrote:
Des liens, pistes à proposer ?
Oui, on peut, effectivement. Pour les liens, soit lire la doc Apple, ils parlent de ça :
<http://www.apple.com/server/documentation/>
soit chercher sur le grand nain ternet, afp548.com est une bonne base.
Enfin, mais là je prêche pour ma paroisse, il y a des formations Apple :
-- Politically Correct Unix - UTILITIES The "touch" command has been removed from the standard distribution due to its inappropriate use by high-level managers.
Karim <karim@non.merci.com> wrote:
Des liens, pistes à proposer ?
Oui, on peut, effectivement. Pour les liens, soit lire la doc Apple, ils
parlent de ça :
<http://www.apple.com/server/documentation/>
soit chercher sur le grand nain ternet, afp548.com est une bonne base.
Enfin, mais là je prêche pour ma paroisse, il y a des formations Apple :
--
Politically Correct Unix - UTILITIES
The "touch" command has been removed from the standard distribution due
to its inappropriate use by high-level managers.
-- Politically Correct Unix - UTILITIES The "touch" command has been removed from the standard distribution due to its inappropriate use by high-level managers.
karim
Laurent Pertois wrote:
Karim wrote:
Des liens, pistes à proposer ?
Oui, on peut, effectivement. Pour les liens, soit lire la doc Apple, ils parlent de ça :
<http://www.apple.com/server/documentation/>
soit chercher sur le grand nain ternet, afp548.com est une bonne base.
Enfin, mais là je prêche pour ma paroisse, il y a des formations Apple :
Le projet (à l'état embryonnaire chez nous) nécessitera certainement un passage par la paroisse de Laurent P.
Je soumettrai le moment venu :-)
Merci encore.
laurent.pertois
Karim wrote:
Le projet (à l'état embryonnaire chez nous) nécessitera certainement un passage par la paroisse de Laurent P.
Je soumettrai le moment venu :-)
Je n'oblige en rien, cela dit. Mais oui, c'est faisable et si vous n'êtes pas pressés, attendez le prochain gros chat, il devrait encore améliorer les choses.
-- Politically Correct Unix - UTILITIES The "touch" command has been removed from the standard distribution due to its inappropriate use by high-level managers.
Karim <karim@non.merci.com> wrote:
Le projet (à l'état embryonnaire chez nous) nécessitera certainement un
passage par la paroisse de Laurent P.
Je soumettrai le moment venu :-)
Je n'oblige en rien, cela dit. Mais oui, c'est faisable et si vous
n'êtes pas pressés, attendez le prochain gros chat, il devrait encore
améliorer les choses.
--
Politically Correct Unix - UTILITIES
The "touch" command has been removed from the standard distribution due
to its inappropriate use by high-level managers.
Le projet (à l'état embryonnaire chez nous) nécessitera certainement un passage par la paroisse de Laurent P.
Je soumettrai le moment venu :-)
Je n'oblige en rien, cela dit. Mais oui, c'est faisable et si vous n'êtes pas pressés, attendez le prochain gros chat, il devrait encore améliorer les choses.
-- Politically Correct Unix - UTILITIES The "touch" command has been removed from the standard distribution due to its inappropriate use by high-level managers.
karim
Laurent Pertois wrote:
Je n'oblige en rien, cela dit. C'est bien comme ça que je l'ai entendu, tqt ;-)
Mais oui, c'est faisable et si vous n'êtes pas pressés, attendez le prochain gros chat, il devrait encore améliorer les choses. Oui... C'est exactement ce à quoi je pensais dans le métro ce matin.
En gros, je vois deux alternatives : 1 - s'appuyer sur un serveur AD maître pour tout ce qui identification/authentifiction des services réseau (Xserve inclus), pour les clients PC et Mac.
2 - soit s'appuyer sur OpenDirectory de Mac OS X server et en faire l'annuaire mître de notre réseau (en activant les services AD dessus).
Moi j'opterai pour la solution n°1 vu que la plupart de nos serveurs sont sous Wndows Server 2003 et/ou Linux....
Je n'oblige en rien, cela dit.
C'est bien comme ça que je l'ai entendu, tqt ;-)
Mais oui, c'est faisable et si vous
n'êtes pas pressés, attendez le prochain gros chat, il devrait encore
améliorer les choses.
Oui... C'est exactement ce à quoi je pensais dans le métro ce matin.
En gros, je vois deux alternatives :
1 - s'appuyer sur un serveur AD maître pour tout ce qui
identification/authentifiction des services réseau (Xserve inclus), pour
les clients PC et Mac.
2 - soit s'appuyer sur OpenDirectory de Mac OS X server et en faire
l'annuaire mître de notre réseau (en activant les services AD dessus).
Moi j'opterai pour la solution n°1 vu que la plupart de nos serveurs
sont sous Wndows Server 2003 et/ou Linux....
Je n'oblige en rien, cela dit. C'est bien comme ça que je l'ai entendu, tqt ;-)
Mais oui, c'est faisable et si vous n'êtes pas pressés, attendez le prochain gros chat, il devrait encore améliorer les choses. Oui... C'est exactement ce à quoi je pensais dans le métro ce matin.
En gros, je vois deux alternatives : 1 - s'appuyer sur un serveur AD maître pour tout ce qui identification/authentifiction des services réseau (Xserve inclus), pour les clients PC et Mac.
2 - soit s'appuyer sur OpenDirectory de Mac OS X server et en faire l'annuaire mître de notre réseau (en activant les services AD dessus).
Moi j'opterai pour la solution n°1 vu que la plupart de nos serveurs sont sous Wndows Server 2003 et/ou Linux....
C'est un mauvais reflexe ?
Nicolas.MICHEL
Laurent Pertois wrote:
attendez le prochain gros chat, il devrait encore améliorer les choses.
On ne choisis pas son système quand on achète un mac, on le subis. Alors autant subir un truc connu et plus ou moins débuggé que de partir avec un nouveau truc dont la liste des problèmes n'est pas encore connue.
Au besoins, tu pourras toujours faire l'update. Le cas inverse n'étant hélas pas possible.
(a noter ici que spécifiquement pour le plugin active directory, un certain bug est apparu depuis la version 10.4.6 qui rends ce truc innutilisable sur nos portables) -- Nicolas
attendez le prochain gros chat, il devrait encore
améliorer les choses.
On ne choisis pas son système quand on achète un mac, on le subis.
Alors autant subir un truc connu et plus ou moins débuggé que de partir
avec un nouveau truc dont la liste des problèmes n'est pas encore
connue.
Au besoins, tu pourras toujours faire l'update.
Le cas inverse n'étant hélas pas possible.
(a noter ici que spécifiquement pour le plugin active directory, un
certain bug est apparu depuis la version 10.4.6 qui rends ce truc
innutilisable sur nos portables)
--
Nicolas
attendez le prochain gros chat, il devrait encore améliorer les choses.
On ne choisis pas son système quand on achète un mac, on le subis. Alors autant subir un truc connu et plus ou moins débuggé que de partir avec un nouveau truc dont la liste des problèmes n'est pas encore connue.
Au besoins, tu pourras toujours faire l'update. Le cas inverse n'étant hélas pas possible.
(a noter ici que spécifiquement pour le plugin active directory, un certain bug est apparu depuis la version 10.4.6 qui rends ce truc innutilisable sur nos portables) -- Nicolas
laurent.pertois
Karim wrote:
En gros, je vois deux alternatives : 1 - s'appuyer sur un serveur AD maître pour tout ce qui identification/authentifiction des services réseau (Xserve inclus), pour les clients PC et Mac.
2 - soit s'appuyer sur OpenDirectory de Mac OS X server et en faire l'annuaire mître de notre réseau (en activant les services AD dessus).
Moi j'opterai pour la solution n°1 vu que la plupart de nos serveurs sont sous Wndows Server 2003 et/ou Linux....
Surtout que le 2 n'est pas possible, il n'y a pas de service AD sur Mac OS X Server, juste un PDC.
-- Politically Correct Unix - UTILITIES The "touch" command has been removed from the standard distribution due to its inappropriate use by high-level managers.
Karim <karim@non.merci.com> wrote:
En gros, je vois deux alternatives :
1 - s'appuyer sur un serveur AD maître pour tout ce qui
identification/authentifiction des services réseau (Xserve inclus), pour
les clients PC et Mac.
2 - soit s'appuyer sur OpenDirectory de Mac OS X server et en faire
l'annuaire mître de notre réseau (en activant les services AD dessus).
Moi j'opterai pour la solution n°1 vu que la plupart de nos serveurs
sont sous Wndows Server 2003 et/ou Linux....
Surtout que le 2 n'est pas possible, il n'y a pas de service AD sur Mac
OS X Server, juste un PDC.
--
Politically Correct Unix - UTILITIES
The "touch" command has been removed from the standard distribution due
to its inappropriate use by high-level managers.
En gros, je vois deux alternatives : 1 - s'appuyer sur un serveur AD maître pour tout ce qui identification/authentifiction des services réseau (Xserve inclus), pour les clients PC et Mac.
2 - soit s'appuyer sur OpenDirectory de Mac OS X server et en faire l'annuaire mître de notre réseau (en activant les services AD dessus).
Moi j'opterai pour la solution n°1 vu que la plupart de nos serveurs sont sous Wndows Server 2003 et/ou Linux....
Surtout que le 2 n'est pas possible, il n'y a pas de service AD sur Mac OS X Server, juste un PDC.
-- Politically Correct Unix - UTILITIES The "touch" command has been removed from the standard distribution due to its inappropriate use by high-level managers.
Nicolas.MICHEL
Karim wrote:
En gros, je vois deux alternatives : 1 - s'appuyer sur un serveur AD maître pour tout ce qui identification/authentifiction des services réseau (Xserve inclus), pour les clients PC et Mac.
2 - soit s'appuyer sur OpenDirectory de Mac OS X server et en faire l'annuaire mître de notre réseau (en activant les services AD dessus).
Moi j'opterai pour la solution n°1 vu que la plupart de nos serveurs sont sous Wndows Server 2003 et/ou Linux....
Donc tu n'as pas encore de domaine ? (par domaine, j'entends un serveur ldap + kerberos)
C'est un mauvais reflexe ?
L'Active Directory de M$ est un bon serveur. Il est requis si tu as un serveur M$ exchange. Il intègre des facilités, évidement, pour gérer les clients windows. (les gpo, pour ne pas les nomer)
L'Open Directory de Apple est un bon serveur également. Il est certainement assez simple à mettre en place (comparativement au couple openldap + kerberos sur linux, par ex.) Il sera plus ouvert à linux de base puisqu'il s'appuyes sur du openldap et il intègre de base les trucs pour bien gérer les clients mac. (on peut modifier le schéma des autres serveurs ldap pour y ajouter les attributs requis, au besoins)
Mais il y a d'autres Directory, chaque grosse boite ayant le sien propre. Tu as donc un vaste choix. Il y a une liste ici : <http://en.wikipedia.org/wiki/Directory_service> Dureste je suis certain d'avoir vu que l'un d'entre eux fournissait des clients pour linux, win et mac, mais je en retrouve plus lequel...
-- Nicolas
Karim <karim@non.merci.com> wrote:
En gros, je vois deux alternatives :
1 - s'appuyer sur un serveur AD maître pour tout ce qui
identification/authentifiction des services réseau (Xserve inclus), pour
les clients PC et Mac.
2 - soit s'appuyer sur OpenDirectory de Mac OS X server et en faire
l'annuaire mître de notre réseau (en activant les services AD dessus).
Moi j'opterai pour la solution n°1 vu que la plupart de nos serveurs
sont sous Wndows Server 2003 et/ou Linux....
Donc tu n'as pas encore de domaine ?
(par domaine, j'entends un serveur ldap + kerberos)
C'est un mauvais reflexe ?
L'Active Directory de M$ est un bon serveur.
Il est requis si tu as un serveur M$ exchange.
Il intègre des facilités, évidement, pour gérer les clients windows.
(les gpo, pour ne pas les nomer)
L'Open Directory de Apple est un bon serveur également.
Il est certainement assez simple à mettre en place
(comparativement au couple openldap + kerberos sur linux, par ex.)
Il sera plus ouvert à linux de base puisqu'il s'appuyes sur du openldap
et il intègre de base les trucs pour bien gérer les clients mac.
(on peut modifier le schéma des autres serveurs ldap pour y ajouter les
attributs requis, au besoins)
Mais il y a d'autres Directory, chaque grosse boite ayant le sien
propre. Tu as donc un vaste choix. Il y a une liste ici :
<http://en.wikipedia.org/wiki/Directory_service>
Dureste je suis certain d'avoir vu que l'un d'entre eux fournissait des
clients pour linux, win et mac, mais je en retrouve plus lequel...
En gros, je vois deux alternatives : 1 - s'appuyer sur un serveur AD maître pour tout ce qui identification/authentifiction des services réseau (Xserve inclus), pour les clients PC et Mac.
2 - soit s'appuyer sur OpenDirectory de Mac OS X server et en faire l'annuaire mître de notre réseau (en activant les services AD dessus).
Moi j'opterai pour la solution n°1 vu que la plupart de nos serveurs sont sous Wndows Server 2003 et/ou Linux....
Donc tu n'as pas encore de domaine ? (par domaine, j'entends un serveur ldap + kerberos)
C'est un mauvais reflexe ?
L'Active Directory de M$ est un bon serveur. Il est requis si tu as un serveur M$ exchange. Il intègre des facilités, évidement, pour gérer les clients windows. (les gpo, pour ne pas les nomer)
L'Open Directory de Apple est un bon serveur également. Il est certainement assez simple à mettre en place (comparativement au couple openldap + kerberos sur linux, par ex.) Il sera plus ouvert à linux de base puisqu'il s'appuyes sur du openldap et il intègre de base les trucs pour bien gérer les clients mac. (on peut modifier le schéma des autres serveurs ldap pour y ajouter les attributs requis, au besoins)
Mais il y a d'autres Directory, chaque grosse boite ayant le sien propre. Tu as donc un vaste choix. Il y a une liste ici : <http://en.wikipedia.org/wiki/Directory_service> Dureste je suis certain d'avoir vu que l'un d'entre eux fournissait des clients pour linux, win et mac, mais je en retrouve plus lequel...
-- Nicolas
laurent.pertois
Nicolas MICHEL wrote:
Dureste je suis certain d'avoir vu que l'un d'entre eux fournissait des clients pour linux, win et mac, mais je en retrouve plus lequel...
Novell ?
Bon, ils ne livrent pas directement un client Mac mais il n'est pas réellement nécessaire, c'est conforme à la RFC 2307, ça se passe sans grands soucis pour les Mac.
-- Politically Correct Unix - UTILITIES The "touch" command has been removed from the standard distribution due to its inappropriate use by high-level managers.
Nicolas MICHEL <Nicolas.MICHEL@BonBon.net> wrote:
Dureste je suis certain d'avoir vu que l'un d'entre eux fournissait des
clients pour linux, win et mac, mais je en retrouve plus lequel...
Novell ?
Bon, ils ne livrent pas directement un client Mac mais il n'est pas
réellement nécessaire, c'est conforme à la RFC 2307, ça se passe sans
grands soucis pour les Mac.
--
Politically Correct Unix - UTILITIES
The "touch" command has been removed from the standard distribution due
to its inappropriate use by high-level managers.
Dureste je suis certain d'avoir vu que l'un d'entre eux fournissait des clients pour linux, win et mac, mais je en retrouve plus lequel...
Novell ?
Bon, ils ne livrent pas directement un client Mac mais il n'est pas réellement nécessaire, c'est conforme à la RFC 2307, ça se passe sans grands soucis pour les Mac.
-- Politically Correct Unix - UTILITIES The "touch" command has been removed from the standard distribution due to its inappropriate use by high-level managers.
cborel
On Feb 19, 7:22 am, (Nicolas MICHEL) wrote:
Karim wrote:
En gros, je vois deux alternatives : 1 - s'appuyer sur un serveur AD maître pour tout ce qui identification/authentifiction des services réseau (Xserve inclus), p our les clients PC et Mac.
Effectivement, il est possible d'aller au-delà de la simple authentification du Mac sur un serveur AD (ce qu'Apple appelle le "golden triangle"), nous avons déployé (un AD de 320,000 usagers) et mis au point une méthode permettant "l'ASSIMILATION" des usagers Macs sous AD... C'est-à-dire que l'AD gère complètement les Groupes et Usagers Mac (dans les limites de l'OS d'Apple) comme s'il s'agissait de PC permettant d'appliquer les "politiques de gestion" établies sous AD aux usagers Mac. Pour référence, ce document en PDF publié au Canada il y a quelque temps maintenant. <http://www.humanit.ca/ Librairie/Articles/Les-Affaires--Gestion-centralisee-des-identites-et- des-acces.pdf> <http://www.humanit.ca/Librairie/Articles/Les-Affaires-- Gestion-centralisee-des-identites-et-des-acces.pdf> . --
Christophe
On Feb 19, 7:22 am, Nicolas.MIC...@BonBon.net (Nicolas MICHEL) wrote:
Karim <k...@non.merci.com> wrote:
En gros, je vois deux alternatives :
1 - s'appuyer sur un serveur AD maître pour tout ce qui
identification/authentifiction des services réseau (Xserve inclus), p our
les clients PC et Mac.
Effectivement, il est possible d'aller au-delà de la simple
authentification du Mac sur un serveur AD (ce qu'Apple appelle le
"golden triangle"), nous avons déployé (un AD de 320,000 usagers) et
mis au point une méthode permettant "l'ASSIMILATION" des usagers Macs
sous AD... C'est-à-dire que l'AD gère complètement les Groupes et
Usagers Mac (dans les limites de l'OS d'Apple) comme s'il s'agissait
de PC permettant d'appliquer les "politiques de gestion" établies sous
AD aux usagers Mac. Pour référence, ce document en PDF publié au
Canada il y a quelque temps maintenant. <http://www.humanit.ca/
Librairie/Articles/Les-Affaires--Gestion-centralisee-des-identites-et-
des-acces.pdf> <http://www.humanit.ca/Librairie/Articles/Les-Affaires--
Gestion-centralisee-des-identites-et-des-acces.pdf> .
--
En gros, je vois deux alternatives : 1 - s'appuyer sur un serveur AD maître pour tout ce qui identification/authentifiction des services réseau (Xserve inclus), p our les clients PC et Mac.
Effectivement, il est possible d'aller au-delà de la simple authentification du Mac sur un serveur AD (ce qu'Apple appelle le "golden triangle"), nous avons déployé (un AD de 320,000 usagers) et mis au point une méthode permettant "l'ASSIMILATION" des usagers Macs sous AD... C'est-à-dire que l'AD gère complètement les Groupes et Usagers Mac (dans les limites de l'OS d'Apple) comme s'il s'agissait de PC permettant d'appliquer les "politiques de gestion" établies sous AD aux usagers Mac. Pour référence, ce document en PDF publié au Canada il y a quelque temps maintenant. <http://www.humanit.ca/ Librairie/Articles/Les-Affaires--Gestion-centralisee-des-identites-et- des-acces.pdf> <http://www.humanit.ca/Librairie/Articles/Les-Affaires-- Gestion-centralisee-des-identites-et-des-acces.pdf> . --