Apple Mac OS X Server v10.5 Leopard - Administration des services réseau - Mac OS X Server v10.5 Leopard - Administration des services réseau
Apple Mac OS X Server v10.5 Leopard - Administration des services réseau - Mac OS X Server v10.5 Leopard - Administration des services réseau
Apple Mac OS X Server v10.5 Leopard - Administration des services réseau - Mac OS X Server v10.5 Leopard - Administration des services réseau
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
<strong>Mac</strong> <strong>OS</strong> X <strong>Server</strong><br />
<strong>Administration</strong> <strong>des</strong> <strong>services</strong> ré<strong>seau</strong><br />
Pour <strong>Leopard</strong> version 10.5
apple <strong>Apple</strong> Inc.<br />
© 2007 <strong>Apple</strong> Inc. Tous droits réservés.<br />
Le propriétaire ou l’utilisateur autorisé d’une copie<br />
valide du logiciel <strong>Mac</strong> <strong>OS</strong> X <strong>Server</strong> version 10.2 peut<br />
reproduire cette publication à <strong>des</strong> fins d’apprentissage<br />
de l’utilisation de ce logiciel. La présente publication ne<br />
peut être reproduite ou transmise en totalité ou en partie<br />
à <strong>des</strong> fins commerciales, telles que la vente de copies<br />
ou la prestation d’un service d’assistance payant.<br />
Tous les efforts nécessaires ont été mis en œuvre pour<br />
que les informations contenues dans ce manuel soient<br />
les plus exactes possibles. <strong>Apple</strong> n’est pas responsable<br />
<strong>des</strong> erreurs d’écriture et d’impression.<br />
<strong>Apple</strong><br />
1 Infinite Loop<br />
Cupertino, CA 95014-2084<br />
408-996-1010<br />
www.apple.com<br />
En l’absence du consentement écrit d’<strong>Apple</strong>, l’utilisation<br />
à <strong>des</strong> fins commerciales de ce logo via le clavier (Option<br />
+ 1) pourra constituer un acte de contrefaçon et/ ou de<br />
concurrence déloyale.<br />
<strong>Apple</strong>, le logo <strong>Apple</strong>, AirPort, <strong>Apple</strong>Script, <strong>Apple</strong>Share,<br />
<strong>Apple</strong>Talk, Bonjour, Firewire, iCal, iTunes, <strong>Mac</strong>, <strong>Mac</strong>intosh,<br />
<strong>Mac</strong> <strong>OS</strong>, QuickTime, WebObjects, Xgrid, Xsan et<br />
Xserve sont <strong>des</strong> marques d’<strong>Apple</strong> Inc. déposées aux<br />
États-Unis et dans d’autres pays.<br />
Finder est une marque d’<strong>Apple</strong> Inc.<br />
Java et tous les logos et marques dérivés de Java sont<br />
<strong>des</strong> marques ou <strong>des</strong> marques déposées de Sun Microsystems,<br />
Inc. aux États-Unis et dans d’autres pays.<br />
UNIX est une marque déposée de The Open Group.<br />
Les autres noms de sociétés et de produits mentionnés<br />
ici sont <strong>des</strong> marques de leurs détenteurs respectifs. La<br />
mention de produits tiers n’est effectuée qu’à <strong>des</strong> fins<br />
informatives et ne constitue en aucun cas une approbation<br />
ni une recommandation. <strong>Apple</strong> n’assume aucune<br />
responsabilité vis-à-vis <strong>des</strong> performances ou de l’utilisation<br />
de ces produits.<br />
F019-0941/01-09-2007
1 Table<br />
<strong>des</strong> matières<br />
Préface 11 À propos de ce guide<br />
11 Nouveautés de la version 10.5<br />
11 Contenu de ce guide<br />
12 Utilisation du guide<br />
13 Utilisation de l’aide à l’écran<br />
13 Gui<strong>des</strong> d’administration de <strong>Mac</strong> <strong>OS</strong> X <strong>Server</strong><br />
15 Affichage <strong>des</strong> gui<strong>des</strong> PDF à l’écran<br />
15 Impression <strong>des</strong> gui<strong>des</strong> PDF<br />
15 Obtenir <strong>des</strong> mises à jour de documentation<br />
16 Pour obtenir <strong>des</strong> informations supplémentaires<br />
Chapitre 1 17 Connexion de votre ré<strong>seau</strong> à Internet<br />
17 À propos d’Assistant réglages passerelle<br />
18 Exécution de l’Assistant réglages passerelle<br />
19 Connexion d’un ré<strong>seau</strong> local câblé à Internet<br />
21 Connexion d’un ré<strong>seau</strong> local câblé et de clients sans fil à Internet<br />
23 Connexion d’un ré<strong>seau</strong> local sans fil à Internet<br />
Chapitre 2 27 Utilisation du service DHCP<br />
28 Présentation générale de la configuration<br />
29 Avant de configurer le service DHCP<br />
29 Création de sous-ré<strong>seau</strong>x<br />
29 Assignation dynamique d’adresses IP<br />
29 Utilisation d’adresses IP statiques<br />
30 Localisation du serveur DHCP<br />
30 Interaction avec d’autres serveurs DHCP<br />
31 Utilisation de plusieurs serveurs DHCP sur un ré<strong>seau</strong><br />
31 Assignation d’adresses IP réservées<br />
31 Obtention d’informations supplémentaires sur le processus DHCP<br />
31 Activation du service DHCP<br />
31 Configuration du service DHCP<br />
32 Création de sous-ré<strong>seau</strong>x dans le service DHCP<br />
33 Configuration de réglages d’historique<br />
3
33 Démarrage du service DHCP<br />
34 Gestion du service DHCP<br />
34 Arrêt du service DHCP<br />
34 Modification de réglages de sous-ré<strong>seau</strong> dans le service DHCP<br />
35 Suppression de sous-ré<strong>seau</strong>x du service DHCP<br />
35 Désactivation temporaire de sous-ré<strong>seau</strong>x<br />
36 Modification <strong>des</strong> durées de bail d’adresse IP d’un sous-ré<strong>seau</strong><br />
36 Configuration du serveur DNS d’un sous-ré<strong>seau</strong> DHCP<br />
37 Configuration <strong>des</strong> options LDAP d’un sous-ré<strong>seau</strong><br />
37 Configuration <strong>des</strong> options WINS d’un sous-ré<strong>seau</strong><br />
39 Assignation d’adresses IP statiques à l’aide de DHCP<br />
39 Suppression ou modification de mappages d’adresses statiques<br />
40 Surveillance du service DHCP<br />
40 Vérification de l’état du service DHCP<br />
41 Affichage d’entrées d’historique DHCP<br />
41 Affichage de la liste <strong>des</strong> clients DHCP<br />
41 Configurations ré<strong>seau</strong> courantes qui utilisent DHCP<br />
45 Configuration de DHCP pour l’utilisation d’une URL de serveur LDAP supplémentaire<br />
47 Service DHCP pour clients <strong>Mac</strong> <strong>OS</strong> X à l’aide de DHCP avec une adresse manuelle<br />
47 Autres sources d’informations<br />
Chapitre 3 49 Utilisation du service DNS<br />
50 À propos <strong>des</strong> zones DNS<br />
50 Zones principales<br />
50 Zones secondaires<br />
51 Zones de redirection<br />
51 À propos <strong>des</strong> enregistrements de machine DNS<br />
52 À propos de Bonjour<br />
53 Avant de configurer le service DNS<br />
53 Configuration initiale du service DNS<br />
56 Activation du service DNS<br />
57 Mise à niveau de la configuration DNS<br />
57 Configuration du service DNS<br />
58 Configuration de réglages de zone<br />
60 Configuration de réglages de zone secondaire<br />
60 Configuration de réglages Bonjour<br />
61 Configuration de réglages DNS<br />
62 Démarrage du service DNS<br />
62 Gestion du service DNS<br />
63 Vérification de l’état du service DNS<br />
63 Affichage <strong>des</strong> historiques du service DNS<br />
63 Modification du niveau de détail de l’historique DNS<br />
64 Arrêt du service DNS<br />
4 Table <strong>des</strong> matières
64 Activation ou désactivation <strong>des</strong> transferts entre zones<br />
65 Activation de la récursivité<br />
66 Gestion de zones DNS<br />
66 Ajout d’une zone principale<br />
67 Ajout d’une zone secondaire<br />
68 Ajout d’une zone de redirection<br />
68 Modification d’une zone<br />
68 Suppression d’une zone<br />
69 Importation d’un fichier de zone BIND<br />
70 Gestion d’enregistrements DNS<br />
70 Ajout d’un enregistrement d’alias à une zone DNS<br />
71 Ajout d’un enregistrement de machine à une zone DNS<br />
72 Ajout d’un enregistrement de service à une zone DNS<br />
72 Modification d’un enregistrement dans une zone DNS<br />
73 Suppression d’un enregistrement d’une zone DNS<br />
73 Sécurisation du serveur DNS<br />
74 Mystification du DNS<br />
74 Exploration de serveur<br />
75 Profilage du service DNS<br />
75 Déni de service<br />
76 Talonnage de service<br />
76 <strong>Administration</strong> du service Bonjour sur zone élargie<br />
77 Tâches d’administration de ré<strong>seau</strong> courantes qui utilisent le service DNS<br />
77 Configuration du DNS pour le service de courrier<br />
80 Configuration d’un espace de noms derrière une passerelle NAT<br />
81 Répartition de la charge du ré<strong>seau</strong> (permutation circulaire)<br />
81 Configuration d’un ré<strong>seau</strong> TCP/IP privé<br />
82 Hébergement de plusieurs <strong>services</strong> Internet à une seule adresse IP<br />
82 Hébergement de plusieurs domaines sur le même serveur<br />
83 Autres sources d’informations<br />
Chapitre 4 85 Utilisation du service de coupe-feu<br />
85 À propos du service de coupe-feu<br />
87 Pratiques élémentaires en matière de coupe-feu<br />
88 Démarrage du coupe-feu<br />
88 À propos <strong>des</strong> règles de coupe-feu<br />
89 Une règle de coupe-feu, qu’est-ce que c’est ?<br />
91 Utilisation de plages d’adresses<br />
91 Mécanisme et ordre <strong>des</strong> règles<br />
92 Adresses IP multiples<br />
92 Modification de règles de coupe-feu IPv6<br />
93 Présentation générale de la configuration<br />
95 Activation du service de coupe-feu<br />
Table <strong>des</strong> matières 5
95 Configuration du service de coupe-feu<br />
95 Configuration de réglages de groupes d’adresses<br />
96 Configuration de réglages de <strong>services</strong><br />
97 Configuration <strong>des</strong> réglages de journalisation<br />
98 Configuration <strong>des</strong> réglages avancés<br />
98 Démarrage du service de coupe-feu<br />
99 Gestion du service de coupe-feu<br />
99 Arrêt du service de coupe-feu<br />
99 Création d’un groupe d’adresses<br />
100 Modification ou suppression d’un groupe d’adresses<br />
100 Duplication d’un groupe d’adresses<br />
101 Ajout d’éléments à la liste <strong>des</strong> <strong>services</strong><br />
101 Modification ou suppression d’éléments dans la liste Services<br />
102 Configuration de règles de coupe-feu avancées<br />
103 Modification ou suppression de règles de coupe-feu avancées<br />
104 Modification de l’ordre de règles de coupe-feu avancées<br />
104 Dépannage de règles de coupe-feu avancées<br />
105 Activation du mode furtif<br />
105 Coupe-feu adaptatif<br />
105 Réinitialisation du coupe-feu aux réglages par défaut<br />
106 Surveillance du service de coupe-feu<br />
106 Vérification de l’état du service de coupe-feu<br />
107 Affichage <strong>des</strong> règles de coupe-feu actives<br />
107 Affichage de l’historique du service de coupe-feu<br />
108 Affichage <strong>des</strong> paquets refusés<br />
109 Affichage <strong>des</strong> paquets journalisés par les règles de coupe-feu<br />
109 Exemples de coupe-feu pratiques<br />
109 Utilisation du coupe-feu avec le service NAT<br />
110 Blocage de l’accès web à <strong>des</strong> utilisateurs Internet<br />
111 Journalisation de l’accès à Internet par les utilisateurs du ré<strong>seau</strong> local<br />
111 Blocage du courrier indésirable<br />
112 Autorisation d’un client à accéder à un serveur de fichiers <strong>Apple</strong><br />
113 Tâches d’administration de ré<strong>seau</strong> courantes qui utilisent le service de coupe-feu<br />
113 Lutte contre les attaques par déni de service<br />
114 Contrôle ou activation de l’utilisation du ré<strong>seau</strong> poste à poste<br />
114 Contrôle ou activation de l’utilisation de jeux en ré<strong>seau</strong><br />
115 Prévention de la propagation de virus ré<strong>seau</strong><br />
115 Référence <strong>des</strong> ports TCP et UDP<br />
119 Autres sources d’informations<br />
Chapitre 5 121 Utilisation du service NAT<br />
121 Utilisation de NAT avec d’autres <strong>services</strong> ré<strong>seau</strong><br />
122 Vue d’ensemble de la configuration du ré<strong>seau</strong> local pour NAT<br />
6 Table <strong>des</strong> matières
123 Activation du service NAT<br />
123 Configuration du service NAT<br />
124 Configuration de la redirection de port<br />
125 Exemples de redirection de port<br />
126 Test <strong>des</strong> règles de redirection de port<br />
127 Démarrage et arrêt du service NAT<br />
127 Création d’une passerelle sans NAT<br />
128 Surveillance du service NAT<br />
128 Affichage de la vue d’ensemble de l’état de NAT<br />
128 Tâches d’administration de ré<strong>seau</strong> courantes qui utilisent le service NAT<br />
128 Liaison d’un ré<strong>seau</strong> local à Internet par une adresse IP<br />
131 Configuration d’un tournoi de jeu en ré<strong>seau</strong><br />
131 Configuration de serveurs virtuels<br />
134 Autres sources d’informations<br />
Chapitre 6 135 Utilisation du service VPN<br />
136 VPN et la sécurité<br />
136 Protocoles de transport<br />
137 Méthode d’authentification<br />
137 Utilisation du service VPN avec <strong>des</strong> utilisateurs se trouvant dans un domaine LDAP<br />
de tierce partie<br />
137 Avant de configurer le service VPN<br />
138 Configuration d’autres <strong>services</strong> ré<strong>seau</strong> pour VPN<br />
139 Présentation générale de la configuration<br />
139 Activation du service VPN<br />
140 Configuration du service VPN<br />
140 Configuration <strong>des</strong> réglages L2TP<br />
141 Configuration <strong>des</strong> réglages PPTP<br />
142 Configuration de réglages d’informations sur les clients<br />
143 Configuration <strong>des</strong> réglages de journalisation<br />
143 Démarrage du service VPN<br />
144 Gestion du service VPN<br />
144 Arrêt du service VPN<br />
144 Configuration de définitions de routage de ré<strong>seau</strong> VPN<br />
146 Limitation de l’accès VPN à <strong>des</strong> utilisateurs ou groupes spécifiques<br />
146 Limitation de l’accès au VPN à <strong>des</strong> adresses IP entrantes spécifiques<br />
148 Instructions de configuration supplémentaires<br />
150 Surveillance du service VPN<br />
150 Affichage de la vue d’ensemble de l’état de VPN<br />
150 Modification du niveau de détail <strong>des</strong> historiques du service VPN<br />
151 Affichage de l’historique VPN<br />
151 Affichage <strong>des</strong> connexions <strong>des</strong> clients VPN<br />
152 Tâches d’administration de ré<strong>seau</strong> courantes qui utilisent le service VPN<br />
Table <strong>des</strong> matières 7
152 Liaison d’un ordinateur de la maison à un ré<strong>seau</strong> distant<br />
154 Accès à une ressource informatique unique se trouvant derrière le coupe-feu d’un<br />
ré<strong>seau</strong> distant<br />
154 Liaison de deux sites de ré<strong>seau</strong> distant ou plus<br />
159 Autres sources d’informations<br />
Chapitre 7 161 Utilisation du service RADIUS<br />
161 Avant de configurer le service RADIUS<br />
162 Configuration initiale du service RADIUS<br />
162 Activation du service RADIUS<br />
162 Configuration du service RADIUS<br />
163 Configuration de RADIUS à l’aide de l’assistant de configuration<br />
164 Ajout de bornes d’accès AirPort à un serveur RADIUS<br />
165 Configuration à distance de bornes d’accès AirPort<br />
165 Configuration de RADIUS de manière à ce qu’il utilise <strong>des</strong> certificats<br />
166 Archivage <strong>des</strong> historiques du service RADIUS<br />
166 Démarrage ou arrêt du service RADIUS<br />
166 Gestion du service RADIUS<br />
166 Vérification de l’état du service RADIUS<br />
167 Affichage d’historiques du service RADIUS<br />
167 Modification de l’accès au service RADIUS<br />
168 Suppression de bornes d’accès AirPort<br />
168 Modification d’un enregistrement de borne d’accès AirPort<br />
168 Enregistrement du fichier de connexion à Internet d’une borne d’accès AirPort<br />
Chapitre 8 171 Utilisation du service NTP<br />
171 Comme NTP fonctionne<br />
172 Utilisation de NTP sur votre ré<strong>seau</strong><br />
172 Configuration du service NTP<br />
173 Configuration de NTP sur <strong>des</strong> clients<br />
173 Autres sources d’informations<br />
Chapitre 9 175 Prise en charge d’un ré<strong>seau</strong> local virtuel<br />
175 Configuration de l’adhésion <strong>des</strong> clients à un ré<strong>seau</strong> local virtuel<br />
176 Autres sources d’informations<br />
Chapitre 10 177 Prise en charge d’IPv6<br />
178 Services compatibles avec IPv6<br />
178 Prise en charge <strong>des</strong> adresses IPv6 dans Admin Serveur<br />
178 Adresses IPv6<br />
178 Notation<br />
179 Adresses IPv6 réservées<br />
179 Modèle d’adressage IPv6<br />
179 Types d’adresses IPv6<br />
8 Table <strong>des</strong> matières
Glossaire 183<br />
Index 197<br />
180 Création d’une passerelle d’IPv4 à IPv6<br />
180 Autres sources d’informations<br />
Table <strong>des</strong> matières 9
À propos de ce guide<br />
Préface<br />
Ce guide explique comment configurer et administrer<br />
les <strong>services</strong> ré<strong>seau</strong> de <strong>Mac</strong> <strong>OS</strong> X <strong>Server</strong>.<br />
<strong>Mac</strong> <strong>OS</strong> X <strong>Server</strong> 10.5 comprend plusieurs <strong>services</strong> ré<strong>seau</strong> qui permettent de gérer et<br />
de maintenir votre ré<strong>seau</strong>.<br />
Nouveautés de la version 10.5<br />
<strong>Mac</strong> <strong>OS</strong> X <strong>Server</strong> 10.5 offre les améliorations majeures suivantes en matière de <strong>services</strong><br />
ré<strong>seau</strong> :<br />
 Nouvelle fonctionnalité RADIUS : <strong>Mac</strong> <strong>OS</strong> X <strong>Server</strong> 10.5 utilise RADIUS pour l’autorisation<br />
de l’accès <strong>des</strong> utilisateurs aux bornes d’accès AirPort.<br />
 Nouvel assistant de configuration <strong>des</strong> <strong>services</strong> : <strong>Mac</strong> <strong>OS</strong> X <strong>Server</strong> 10.5 comporte<br />
maintenant un assistant de configuration <strong>des</strong> <strong>services</strong> pour NAT et RADIUS.<br />
 Bonjour amélioré : <strong>Mac</strong> <strong>OS</strong> X <strong>Server</strong> 10.5 permet d’administrer Bonjour.<br />
 Coupe-feu révisé et amélioré : <strong>Mac</strong> <strong>OS</strong> X <strong>Server</strong> 10.5 utilise un coupe-feu adaptatif<br />
qui configure <strong>des</strong> règles de coupe-feu dynamiquement et qui ne requiert aucune<br />
configuration.<br />
Contenu de ce guide<br />
Ce guide comprend les chapitres suivants :<br />
 Le chapitre 1, « Connexion de votre ré<strong>seau</strong> à Internet, » explique comment utiliser<br />
Assistant réglages de passerelle pour relier un ré<strong>seau</strong> à Internet.<br />
 Le chapitre 2, « Utilisation du service DHCP, » explique comment configurer et utiliser<br />
DHCP pour assigner <strong>des</strong> adresses IP sur un ré<strong>seau</strong>.<br />
 Le chapitre 3, « Utilisation du service DNS, » explique comment utiliser <strong>Mac</strong> <strong>OS</strong> X<br />
<strong>Server</strong> comme serveur de noms de domaine.<br />
 Le chapitre 4, « Utilisation du service de coupe-feu, » explique comment préserver<br />
la sécurité d’un ré<strong>seau</strong> à l’aide d’un coupe-feu.<br />
11
 Le chapitre 5, « Utilisation du service NAT, » explique comment configurer et utiliser<br />
NAT pour connecter de nombreux ordinateurs à Internet avec une seule adresse IP<br />
publique.<br />
 Le chapitre 6, « Utilisation du service VPN, » explique comment configurer et utiliser<br />
VPN pour autoriser les utilisateurs distants à accéder à votre ré<strong>seau</strong> local privé de<br />
façon sécurisée.<br />
 Le chapitre 7, « Utilisation du service RADIUS, » explique comment configurer et utiliser<br />
le service RADIUS pour autoriser les utilisateurs et les groupes Open Directory<br />
à accéder aux bornes d’accès AirPort d’un ré<strong>seau</strong>.<br />
 Le chapitre 8, « Utilisation du service NTP, » explique comment faire de votre serveur<br />
un serveur d’horloge.<br />
 Le chapitre 9, « Prise en charge d’un ré<strong>seau</strong> local virtuel, » parle de la prise en charge<br />
de ré<strong>seau</strong>x locaux virtuels pour certaines configurations matérielles de serveur.<br />
 Le chapitre 10, « Prise en charge d’IPv6, » parle d’IPv6 et <strong>des</strong> <strong>services</strong> qui prennent<br />
en charge l’adressage IPv6.<br />
Un glossaire propose en outre une brève définition <strong>des</strong> termes utilisés dans ce guide.<br />
Remarque : étant donné qu’<strong>Apple</strong> publie souvent de nouvelles versions et mises à jour<br />
de ses logiciels, les illustrations de ce document peuvent être différentes de celles qui<br />
s’affichent à l’écran.<br />
Utilisation du guide<br />
Chaque chapitre couvre un service ré<strong>seau</strong> différent. Lisez tous les chapitres qui parlent<br />
<strong>des</strong> <strong>services</strong> que vous comptez fournir à vos utilisateurs. Apprenez comment le service<br />
fonctionne, ce qu’il permet de faire, les stratégies d’utilisation, la manière de le configurer<br />
pour la première fois et de l’administrer par la suite.<br />
Jetez aussi un œil aux chapitres relatifs aux <strong>services</strong> qui ne vous sont pas familiers. Vous<br />
constaterez peut-être que certains <strong>des</strong> <strong>services</strong> que vous n’avez encore jamais utilisés<br />
peuvent vous permettre de gérer votre ré<strong>seau</strong> de manière plus efficace et d’en améliorer<br />
les performances pour les utilisateurs.<br />
La plupart <strong>des</strong> chapitres se terminent par une rubrique appelée « Autres sources<br />
d’informations », qui vous indique les sites web et autres documents de référence<br />
dans lesquels figurent d’autres informations sur le service concerné.<br />
12 Préface À propos de ce guide
Utilisation de l’aide à l’écran<br />
Vous pouvez obtenir <strong>des</strong> instructions à l’écran tout en gérant <strong>Leopard</strong> <strong>Server</strong>. L’aide<br />
peut être affichée sur un serveur ou sur un ordinateur administrateur. (Un ordinateur<br />
administrateur est un ordinateur <strong>Mac</strong> <strong>OS</strong> X sur lequel est installé le logiciel d’administration<br />
de serveur <strong>Leopard</strong> <strong>Server</strong>.)<br />
Pour obtenir de l’aide dans le cas d’une configuration avancée de <strong>Leopard</strong> <strong>Server</strong> :<br />
m Ouvrez Admin Serveur ou Gestionnaire de groupe de travail, puis :<br />
 Utilisez le menu Aide pour rechercher une tâche à exécuter.<br />
 Choisissez Aide > Aide Admin Serveur ou Aide > Aide Gestionnaire de groupe de travail<br />
avant d’explorer les rubriques d’aide et d’effectuer <strong>des</strong> recherches.<br />
L’aide à l’écran contient <strong>des</strong> instructions issues de <strong>Administration</strong> du serveur et d’autres gui<strong>des</strong><br />
d’administration avancés décrits dans « Gui<strong>des</strong> d’administration de <strong>Mac</strong> <strong>OS</strong> X <strong>Server</strong> ».<br />
Pour visualiser les rubriques d’aide les plus récentes concernant les serveurs :<br />
m Assurez-vous que le serveur ou l’ordinateur administrateur est connecté à Internet<br />
pendant que vous consultez l’Aide.<br />
Visualisation Aide extrait automatiquement les rubriques d’aide les plus récentes<br />
depuis Internet et les stocke en mémoire cache. Lorsque vous n’êtes pas connecté<br />
à Internet, Visualisation Aide affiche les rubriques d’aide mises en cache.<br />
Gui<strong>des</strong> d’administration de <strong>Mac</strong> <strong>OS</strong> X <strong>Server</strong><br />
Premiers contacts traite de l’installation et de la configuration <strong>des</strong> configurations standard<br />
et de groupe de travail de <strong>Mac</strong> <strong>OS</strong> X <strong>Server</strong>. Pour les configurations avancées,<br />
consultez <strong>Administration</strong> du serveur, qui regroupe la planification, l’installation, la configuration<br />
et l’administration du serveur en général. Une série de gui<strong>des</strong> supplémentaires,<br />
énumérés ci-<strong>des</strong>sous, décrit la planification, la configuration, ainsi que la gestion<br />
avancée <strong>des</strong> <strong>services</strong> individuels. Vous pouvez obtenir ces gui<strong>des</strong> au format PDF sur<br />
le site web de documentation de <strong>Mac</strong> <strong>OS</strong> X <strong>Server</strong> :<br />
www.apple.com/fr/server/documentation.<br />
Ce guide ... explique comment :<br />
Premiers contacts et<br />
Installer <strong>Mac</strong> <strong>OS</strong> X <strong>Server</strong> et le configurer pour la première fois.<br />
Feuille d’opération d’installation<br />
et de configuration<br />
<strong>Administration</strong> de ligne<br />
de commande<br />
<strong>Administration</strong> <strong>des</strong> <strong>services</strong><br />
de fichier<br />
<strong>Administration</strong> du service iCal<br />
Installer, configurer et gérer <strong>Mac</strong> <strong>OS</strong> X <strong>Server</strong> à l’aide de fichiers<br />
de configuration et d’outils en ligne de commande UNIX.<br />
Partager certains volumes ou dossiers de serveur entre les clients<br />
du serveur, à l’aide <strong>des</strong> protocoles AFP, NFS, FTP et SMB.<br />
Configurer et gérer le service de calendrier partagé d’iCal.<br />
Préface À propos de ce guide 13
Ce guide ... explique comment :<br />
<strong>Administration</strong> du service iChat<br />
Configuration de la sécurité<br />
de <strong>Mac</strong> <strong>OS</strong> X<br />
Configuration de la sécurité<br />
de <strong>Mac</strong> <strong>OS</strong> X <strong>Server</strong><br />
<strong>Administration</strong> du service<br />
de messagerie<br />
<strong>Administration</strong> <strong>des</strong> <strong>services</strong><br />
de ré<strong>seau</strong><br />
<strong>Administration</strong> d’Open Directory<br />
<strong>Administration</strong> de Podcast Producer<br />
<strong>Administration</strong> du service<br />
d’impression<br />
<strong>Administration</strong> de QuickTime<br />
Streaming et Broadcasting<br />
<strong>Administration</strong> du serveur<br />
<strong>Administration</strong> de Mise à jour<br />
de logiciels et d’Imagerie système<br />
Mise à niveau et migration<br />
Gestion <strong>des</strong> utilisateurs<br />
<strong>Administration</strong> <strong>des</strong><br />
technologies web<br />
Informatique à haute performance<br />
et administration Xgrid<br />
Glossaire <strong>Mac</strong> <strong>OS</strong> X <strong>Server</strong><br />
Configurer et gérer le service de messagerie instantanée d’iChat.<br />
Renforcer la sécurité <strong>des</strong> ordinateurs (clients) <strong>Mac</strong> <strong>OS</strong> X, comme<br />
l’exigent les entreprises et les organismes publics.<br />
Renforcer la sécurité de <strong>Mac</strong> <strong>OS</strong> X <strong>Server</strong> et de l’ordinateur sur lequel<br />
il est installé, comme l’exigent les entreprises et les organismes publics.<br />
Configurer et gérer les <strong>services</strong> de messagerie IMAP, POP et SMTP<br />
sur le serveur.<br />
Installer, configurer et administrer les <strong>services</strong> DHCP, DNS, VPN, NTP,<br />
coupe-feu IP, NAT et RADIUS sur le serveur.<br />
Configurer et gérer les <strong>services</strong> d’annuaire et d’authentification<br />
et configurer les clients autorisés à accéder aux <strong>services</strong> d’annuaire.<br />
Configurer et gérer le service Podcast Producer <strong>des</strong>tiné à enregistrer,<br />
traiter et distribuer <strong>des</strong> podcasts.<br />
Héberger les imprimantes partagées et gérer les files d’attente<br />
et travaux d’impression associés.<br />
Capturer et encoder du contenu QuickTime. Configurer et gérer<br />
le service QuickTime Streaming en vue de diffuser <strong>des</strong> données<br />
multimédias en temps réel ou à la demande.<br />
Mettre en place l’installation et la configuration avancées du logiciel<br />
serveur et gérer <strong>des</strong> options qui s’appliquent à plusieurs <strong>services</strong><br />
ou à l’intégralité du serveur.<br />
Utiliser NetBoot, NetInstall et Mise à jour de logiciels pour automatiser<br />
la gestion du système d’exploitation et <strong>des</strong> autres logiciels<br />
utilisés par les ordinateurs clients.<br />
Utiliser <strong>des</strong> réglages de données et de <strong>services</strong> correspondant<br />
à une version antérieure de <strong>Mac</strong> <strong>OS</strong> X <strong>Server</strong> ou de Windows NT.<br />
Créer et gérer <strong>des</strong> comptes utilisateur, <strong>des</strong> groupes et <strong>des</strong> ordinateurs.<br />
Configurer les préférences gérées <strong>des</strong> clients <strong>Mac</strong> <strong>OS</strong> X.<br />
Configurer et gérer <strong>des</strong> technologies web telles que les blogs,<br />
WebMail, wiki, MySQL, PHP, Ruby on Rails (RoR) et WebDAV.<br />
Configurer et gérer <strong>des</strong> grappes de calcul de systèmes Xserve<br />
et d’ordinateurs <strong>Mac</strong>.<br />
Savoir à quoi correspondent les termes utilisés pour les produits<br />
de serveur et les produits de stockage.<br />
14 Préface À propos de ce guide
Affichage <strong>des</strong> gui<strong>des</strong> PDF à l’écran<br />
Lorsque vous lisez la version PDF d’un guide à l’écran, vous pouvez :<br />
 Afficher les signets pour visualiser le plan du guide et cliquer sur un signet pour<br />
accéder directement à la section correspondante.<br />
 Rechercher un mot ou une phrase pour afficher une liste <strong>des</strong> endroits où ce mot ou<br />
cette phrase apparaît dans le document. Cliquez sur un de ces endroits pour afficher<br />
la page correspondante.<br />
 Cliquer sur une référence croisée pour accéder directement à la rubrique référencée.<br />
Cliquer sur un lien pour visiter le site web à partir de votre navigateur.<br />
Impression <strong>des</strong> gui<strong>des</strong> PDF<br />
Si vous devez imprimer un guide, procédez comme suit pour économiser du papier<br />
et de l’encre :<br />
 Économisez de l’encre ou du toner en évitant d’imprimer la couverture.<br />
 Si vous disposez d’une imprimante couleur, économisez de l’encre en choisissant<br />
une option d’impression en niveaux de gris ou en noir et blanc dans une <strong>des</strong> sections<br />
de la zone de dialogue Imprimer.<br />
 Réduisez le volume du document imprimé et économisez du papier en imprimant<br />
plusieurs pages par feuille. Dans la zone de dialogue Imprimer, réglez Échelle sur 115 %<br />
(155 % pour Premiers contacts). Choisissez ensuite Mise en page dans le menu local sans<br />
titre. Si votre imprimante prend en charge l’impression recto verso (duplex), sélectionnez<br />
l’une <strong>des</strong> options proposées. Sinon, choisissez 2 dans le menu local Pages par feuille et,<br />
si vous le souhaitez, Simple extra fine dans le menu Bordure. (Si vous utilisez <strong>Mac</strong> <strong>OS</strong> X<br />
10.4 ou antérieur, le réglage Échelle se trouve dans la zone de dialogue Format d’impression<br />
et les réglages relatifs à la mise en page dans la zone de dialogue Imprimer.)<br />
Il peut s’avérer utile d’agrandir les pages imprimées même si vous n’imprimez pas en<br />
recto verso, car la taille <strong>des</strong> pages PDF est inférieure à celle du papier d’imprimante standard.<br />
Dans la zone de dialogue Imprimer ou dans la zone de dialogue Format d’impression,<br />
essayez de régler Échelle sur 115 % (155 % pour Premiers contacts qui possède <strong>des</strong><br />
pages de la taille d’un CD).<br />
Obtenir <strong>des</strong> mises à jour de documentation<br />
<strong>Apple</strong> publie régulièrement <strong>des</strong> pages d’aide révisées ainsi que de nouvelles éditions<br />
de ses gui<strong>des</strong>. Certaines pages d’aide révisées sont <strong>des</strong> mises à jour <strong>des</strong> dernières éditions<br />
de ces gui<strong>des</strong>.<br />
 Pour afficher les nouvelles rubriques d’aide à l’écran d’une application de serveur,<br />
assurez-vous que votre serveur ou votre ordinateur administrateur est connecté à<br />
Internet et cliquez sur le lien <strong>des</strong> dernières rubriques d’aide ou de mise à jour dans<br />
la page d’aide principale de l’application.<br />
Préface À propos de ce guide 15
 Pour télécharger les gui<strong>des</strong> les plus récents au format PDF, rendez-vous sur le site<br />
web de documentation sur <strong>Mac</strong> <strong>OS</strong> X <strong>Server</strong> à l’adresse :<br />
www.apple.com/fr/server/documentation/<br />
Pour obtenir <strong>des</strong> informations supplémentaires<br />
Pour plus d’informations, consultez les ressources suivantes :<br />
 Documents Ouvrez-moi : mises à jour importantes et informations spécifiques.<br />
Recherchez-les sur les disques du serveur.<br />
 Site web de <strong>Mac</strong> <strong>OS</strong> X <strong>Server</strong> (www.apple.com/fr/server/macosx) : passerelle vers<br />
<strong>des</strong> informations détaillées sur de nombreux produits et technologies.<br />
 Site web de service et d’assistance <strong>Mac</strong> <strong>OS</strong> X <strong>Server</strong><br />
(www.apple.com/fr/support/macosxserver) : accès à <strong>des</strong> centaines d’articles<br />
du service d’assistance d’<strong>Apple</strong>.<br />
 Site web de formation d’<strong>Apple</strong> (www.apple.com/fr/training) : cours dirigés par un professeur<br />
et autoformations pour affiner vos compétences en matière d’administration de serveur.<br />
 Groupes de discussions <strong>Apple</strong>, (discussions.apple.com) : un moyen de partager<br />
questions, connaissances et conseils avec d’autres administrateurs.<br />
 Site web <strong>des</strong> listes d’envoi <strong>Apple</strong>, (www.lists.apple.com) : abonnez-vous à <strong>des</strong> listes d’envoi<br />
afin de pouvoir communiquer par courrier électronique avec d’autres administrateurs.<br />
 Site web d’OpenLDAP (www.openldap.org) : découvrez le logiciel open source utilisé<br />
par Open Directory pour fournir le service de répertoires LDAP.<br />
 Site Web de Kerberos du MIT (web.mit.edu/kerberos/www/) : obtenez <strong>des</strong> informations<br />
élémentaires et <strong>des</strong> spécifications sur les protocoles utilisés par Open<br />
Directory pour fournir une authentification par signature unique robuste.<br />
 Site web de Berkeley DB (www.oracle.com/database/berkeley-db/) : consultez les<br />
<strong>des</strong>criptions de fonctionnalités et la documentation technique relatives à la base<br />
de données open source qu’Open Directory utilise pour stocker les données <strong>des</strong><br />
répertoires LDAP.<br />
 RFC3377, “Lightweight Directory Access Protocol (v3): spécification technique”<br />
(www.rfc-editor.org/rfc/rfc3377.txt) : accédez à huit autres documents RFC (Request<br />
for Comment) qui contiennent <strong>des</strong> informations d’ensemble et <strong>des</strong> spécifications<br />
détaillées sur le protocole LDAPv3.<br />
16 Préface À propos de ce guide
1 Connexion<br />
de votre ré<strong>seau</strong><br />
à Internet<br />
1<br />
Utilisez Assistant réglages passerelle pour vous guider dans<br />
la configuration initiale de votre serveur comme passerelle<br />
entre votre ré<strong>seau</strong> privé et Internet.<br />
Assistant réglages passerelle vous guide dans la configuration de votre serveur de<br />
façon à le connecter à Internet. Les modifications ultérieures à la configuration du<br />
service se font à l’aide d’Admin Serveur. Pour obtenir <strong>des</strong> instructions sur les <strong>services</strong><br />
ré<strong>seau</strong>, consultez la section correspondante dans le présent manuel.<br />
À propos d’Assistant réglages passerelle<br />
Assistant réglages passerelle vous aide à configurer rapidement et simplement<br />
<strong>Mac</strong> <strong>OS</strong> X <strong>Server</strong> 10.5 de façon à partager votre connexion Internet avec votre ré<strong>seau</strong><br />
local. Une fois que vous avez configuré certains réglages, l’assistant peut commencer<br />
le partage de la connexion au serveur.<br />
Selon vos choix en matière de configuration, l’assistant effectue les opérations suivantes<br />
lors de la configuration du serveur :<br />
 Il assigne au serveur une adresse IP statique par interface ré<strong>seau</strong> interne.<br />
L’adresse assignée est 192.168.x.1. La valeur de x est déterminée par l’ordre de l’interface<br />
ré<strong>seau</strong> dans la sous-fenêtre Préférences de système de ré<strong>seau</strong>. Par exemple, pour<br />
la première interface de la liste, x est égal à 0, pour la seconde interface, x est égal à 1.<br />
 Il active DHCP pour l’allocation d’adresses sur le ré<strong>seau</strong> interne en supprimant<br />
les sous-ré<strong>seau</strong>x DHCP existants.<br />
 Il désactive certaines adresses internes (192.168.x.x) pour l’utilisation de DHCP.<br />
Lorsque VPN n’est pas démarré, chaque interface peut allouer <strong>des</strong> adresses allant<br />
de 192.168.x.2 à 192.168.x.254.<br />
 (Facultatif) Il active VPN de façon à autoriser les clients externes autorisés à se connecter<br />
au ré<strong>seau</strong> local.<br />
Lorsque VPN L2TP est activé, vous devez saisir le secret partagé (la phrase clé)<br />
que les connexions client devront utiliser.<br />
17
 Il désactive certaines adresses internes (192.168.x.x) pour l’utilisation de VPN.<br />
Si VPN est sélectionné, la moitié <strong>des</strong> adresses IP allouées dans la plage d’adresses<br />
DHCP sont réservées pour les connexions VPN. Les adresses 192.168.x.128 à<br />
192.168.x.254 sont allouées aux connexions VPN.<br />
 Il active le coupe-feu de façon à améliorer la sécurisation du ré<strong>seau</strong> interne.<br />
Des groupes d’adresses autorisant tout le trafic à partir <strong>des</strong> plages d’adresses DHCP<br />
nouvellement crées vers toute adresse de <strong>des</strong>tination sont ajoutés pour chaque<br />
interface de ré<strong>seau</strong> interne.<br />
 Il active la traduction <strong>des</strong> adresses ré<strong>seau</strong> (en anglais « Network Address Translation »<br />
ou « NAT ») sur le ré<strong>seau</strong> interne et ajoute une règle de déviation NAT au coupe-feu<br />
IP pour diriger le trafic ré<strong>seau</strong> vers l’ordinateur qui convient. Cela protège aussi<br />
le ré<strong>seau</strong> interne contre les connexions externes non autorisées.<br />
 Il active DNS sur le serveur, configuré de façon à mettre les recherches en cache afin<br />
d’améliorer la réponse DNS pour les clients internes.<br />
Avant de configurer ces réglages, vous pouvez passer en revue les modifications proposées<br />
avant de les utiliser et d’écraser les réglages existants.<br />
Les modifications ultérieures à la configuration du service se font à l’aide d’Admin Serveur.<br />
Pour <strong>des</strong> informations sur les <strong>services</strong> ré<strong>seau</strong>, consultez la section correspondante dans<br />
le présent manuel.<br />
Si vous exécutez à nouveau Assistant réglages passerelle, il écrase les réglages manuels<br />
que vous avez faits.<br />
Exécution de l’Assistant réglages passerelle<br />
Assistant réglages passerelle se lance dans la sous-fenêtre Vue d’ensemble du service<br />
NAT d’Admin Serveur.<br />
Pour lancer Assistant réglages passerelle :<br />
1 Ouvrez Admin Serveur et connectez-vous au serveur.<br />
2 Cliquez sur Réglages, puis sur Services.<br />
3 Cochez la case NAT, puis cliquez sur Enregistrer.<br />
4 Cliquez sur le triangle situé à gauche du serveur.<br />
La liste <strong>des</strong> <strong>services</strong> apparaît.<br />
5 Dans la liste Serveurs développée, sélectionnez NAT.<br />
6 Cliquez sur Vue d’ensemble.<br />
7 Cliquez sur Assistant réglages de passerelle.<br />
18 Chapitre 1 Connexion de votre ré<strong>seau</strong> à Internet
8 Suivez les instructions de l’assistant, cliquez sur Continuer après chaque page, lisez<br />
attentivement le résumé de configuration final et assurez-vous que les réglages sont<br />
corrects avant de finaliser la configuration.<br />
AVERTISSEMENT : bien que vous puissiez utiliser l’Assistant de configuration de service<br />
pour configurer <strong>des</strong> serveurs distants, vous pourriez couper votre accès au serveur<br />
distant en tant qu’administrateur par accident.<br />
Connexion d’un ré<strong>seau</strong> local câblé à Internet<br />
Vous pouvez utiliser l’Assistant réglages passerelle pour connecter un ré<strong>seau</strong> local câblé<br />
à Internet. Votre ré<strong>seau</strong> local peut être composé d’un nombre quelconque d’ordinateurs<br />
connectés les uns aux autres par <strong>des</strong> concentrateurs et <strong>des</strong> commutateurs Ethernet,<br />
mais le ré<strong>seau</strong> local doit avoir un point de contact avec Internet (la passerelle).<br />
Votre passerelle dispose d’une connexion à Internet et d’une connexion au ré<strong>seau</strong> local.<br />
Tous les autres ordinateurs accèdent à Internet par la passerelle. Vous pouvez configurer<br />
votre serveur <strong>Mac</strong> <strong>OS</strong> X comme passerelle vers Internet, mais celui-ci doit disposer<br />
de deux ports Ethernet (en0 et en1). Ethernet en0 doit être connecté à Internet et en1<br />
au ré<strong>seau</strong> local.<br />
Une fois fait, les ordinateurs du ré<strong>seau</strong> local :<br />
 peuvent obtenir <strong>des</strong> adresses IP et <strong>des</strong> réglages ré<strong>seau</strong> configurés par DHCP ;<br />
 peuvent accéder à Internet si la passerelle est connectée à Internet ;<br />
 ne sont pas accessibles par <strong>des</strong> connexions ré<strong>seau</strong> non autorisées provenant<br />
d’Internet ;<br />
 sont accessibles par Internet par les clients VPN autorisés (si VPN est configuré) ;<br />
 peuvent bénéficier de la mise en cache <strong>des</strong> recherches DNS dans la passerelle,<br />
ce qui accélère la résolution DNS.<br />
Pour connecter un ré<strong>seau</strong> local câblé à Internet :<br />
1 Branchez la connexion à Internet au port Ethernet 1 (en0).<br />
2 Branchez la connexion à votre ré<strong>seau</strong> local au port Ethernet 2 (en1).<br />
3 Ouvrez Admin Serveur et connectez-vous au serveur.<br />
4 Cliquez sur Réglages, puis sur Services.<br />
5 Cochez la case NAT.<br />
6 Cliquez sur Enregistrer.<br />
7 Cliquez sur le triangle situé à gauche du serveur.<br />
La liste <strong>des</strong> <strong>services</strong> apparaît.<br />
8 Dans la liste Serveurs développée, sélectionnez NAT.<br />
Chapitre 1 Connexion de votre ré<strong>seau</strong> à Internet 19
9 Cliquez sur Vue d’ensemble, puis cliquez sur Assistant réglages de passerelle.<br />
10 Cliquez sur Continuer.<br />
Si votre serveur dispose de configurations DHCP, DNS, NAT et VPN existantes, vous êtes<br />
invité à écraser ces configurations. Si vous voulez écraser les configurations existantes,<br />
cliquez sur Écraser pour continuer.<br />
11 Dans le menu local Interface WAN vers la passerelle, sélectionnez Ethernet 1 (en0)<br />
comme interface WAN, puis cliquez sur Continuer.<br />
12 Dans la liste <strong>des</strong> interfaces ré<strong>seau</strong>, cochez la case Ethernet 2 de votre interface LAN,<br />
puis cliquez sur Continuer.<br />
Votre interface LAN est celle qui est connectée à votre ré<strong>seau</strong> local. Tous les ordinateurs<br />
du ré<strong>seau</strong> local partagent la connexion Internet du serveur par l’interface WAN du serveur.<br />
Si votre serveur dispose de plus d’une interface (port Ethernet 2, port Ethernet 3, etc.),<br />
sélectionnez celles que vous voulez activer.<br />
13 (Facultatif) Si vous voulez faire de votre serveur passerelle un point d’entrée VPN vers<br />
votre ré<strong>seau</strong> local, cochez la case Activer VPN pour ce serveur.<br />
Si vous activez VPN, vous devez disposer d’un secret partagé. Un secret partagé est une<br />
phrase clé que les utilisateurs doivent fournir pour se connecter de façon sécurisée à la<br />
passerelle VPN. Il doit s’agir d’une phrase clé très sûre, pas du mot de passe d’un utilisateur<br />
ou administrateur du serveur de passerelle.<br />
Pour définir une phrase clé très sûre, utilisez Assistant mot de passe dans Préférences<br />
de comptes. Pour en savoir plus, consultez la rubrique Configuration de la sécurité de<br />
<strong>Mac</strong> <strong>OS</strong> X <strong>Server</strong>.<br />
Pour plus d’informations, consultez le chapitre 6, « Utilisation du service VPN ».<br />
14 Cliquez sur Continuer.<br />
15 Vérifiez et confirmez votre configuration.<br />
16 Cliquez sur Continuer.<br />
NAT et tous les <strong>services</strong> qui en dépendent sont configurés et démarrés.<br />
17 Cliquez sur Fermer.<br />
Options<br />
Vous pouvez affiner les réglages de cette configuration de base, mais toute configuration<br />
supplémentaire se fait dans Admin Serveur.<br />
Par exemple, vous pouvez utiliser Admin Serveur pour assigner <strong>des</strong> adresses IP<br />
à certains ordinateurs. Pour ce faire, ajoutez <strong>des</strong> mappages d’adresses statiques<br />
dans les réglages relatifs au service DHCP. Pour en savoir plus, consultez le chapitre 2,<br />
« Utilisation du service DHCP ».<br />
20 Chapitre 1 Connexion de votre ré<strong>seau</strong> à Internet
Vous pouvez modifier <strong>des</strong> réglages relatifs au coupe-feu pour permettre <strong>des</strong> connexions<br />
au ré<strong>seau</strong> local à partir d’Internet. Pour ce faire, modifiez les réglages relatifs au coupefeu,<br />
ouvrez les ports IP dont vous avez besoin et configurez la redirection de ports (en<br />
éditant <strong>des</strong> fichiers UNIX à la ligne de commande) pour désigner l’ordinateur du ré<strong>seau</strong><br />
local qui doit accepter le trafic entrant.<br />
Connexion d’un ré<strong>seau</strong> local câblé et de clients sans fil<br />
à Internet<br />
Vous pouvez utiliser l’Assistant réglages de passerelle pour connecter un ré<strong>seau</strong> local<br />
câblé et <strong>des</strong> clients sans fil à Internet. Votre ré<strong>seau</strong> local peut être composé d’un nombre<br />
quelconque d’ordinateurs connectés les uns aux autres par <strong>des</strong> concentrateurs et <strong>des</strong><br />
commutateurs Ethernet, mais le ré<strong>seau</strong> local doit avoir un point de contact avec Internet<br />
(la passerelle).<br />
Votre ré<strong>seau</strong> local doit aussi posséder une borne d’accès AirPort pour connecter<br />
les ordinateurs sans fil au ré<strong>seau</strong> câblé. Vos clients sans fil doivent pouvoir se connecter<br />
au ré<strong>seau</strong> sans fil de la borne d’accès AirPort pour être reliés au ré<strong>seau</strong> local câblé.<br />
Une fois fait, les ordinateurs du ré<strong>seau</strong> local et ceux connectés à la borne d’accès AirPort :<br />
 peuvent obtenir <strong>des</strong> adresses IP et <strong>des</strong> réglages ré<strong>seau</strong> configurés par DHCP ;<br />
 peuvent accéder à Internet si la passerelle est connectée à Internet ;<br />
 ne sont pas accessibles par les connexions ré<strong>seau</strong> non autorisées provenant<br />
de la connexion câblée vers Internet ;<br />
 sont accessibles par Internet par les clients VPN autorisés (si VPN est configuré) ;<br />
 peuvent bénéficier de la mise en cache <strong>des</strong> recherches DNS dans la passerelle,<br />
ce qui accélère la résolution DNS.<br />
Pour connecter un ré<strong>seau</strong> local câblé et de clients sans fil à Internet :<br />
1 Branchez la connexion à Internet au port Ethernet 1 (en0).<br />
2 Branchez la connexion à votre ré<strong>seau</strong> local au port Ethernet 2 (en1).<br />
3 Connectez le port de la borne d’accès AirPort (le port WAN, s’il y en a deux) au ré<strong>seau</strong> câblé.<br />
4 À l’aide d’Utilitaire AirPort, configurez la borne d’accès de façon à ce qu’elle se connecte<br />
par Ethernet et reçoive son adresse par DHCP.<br />
Vous pouvez l’ouvrir à partir du dossier /Applications/Utilitaires/.<br />
5 Sélectionnez votre borne d’accès, puis choisissez Configuration manuelle dans le menu<br />
Borne d’accès.<br />
6 Saisissez le mot de passe de la borne d’accès, si nécessaire.<br />
7 Cliquez sur Internet dans la barre d’outils, puis sur Connexion Internet.<br />
8 Dans le menu local Se connecter via, choisissez Ethernet.<br />
Chapitre 1 Connexion de votre ré<strong>seau</strong> à Internet 21
9 Dans le menu local Configurer IPv4, choisissez Utilisation de DHCP.<br />
10 Dans le menu local Partage de connexion, choisissez Désactivé (mode pont).<br />
11 Pour modifier <strong>des</strong> réglages relatifs à la borne d’accès, cliquez sur Mettre à jour.<br />
12 Ouvrez Admin Serveur et connectez-vous au serveur.<br />
13 Cliquez sur Réglages, puis sur Services.<br />
14 Cochez la case NAT.<br />
15 Cliquez sur Enregistrer.<br />
16 Cliquez sur le triangle situé à gauche du serveur.<br />
La liste <strong>des</strong> <strong>services</strong> apparaît.<br />
17 Dans la liste Serveurs développée, sélectionnez NAT.<br />
18 Cliquez sur Vue d’ensemble, puis cliquez sur Assistant réglages de passerelle.<br />
19 Cliquez sur Continuer.<br />
20 Comme interface WAN (Internet), désignez Ethernet 1.<br />
21 Comme interface LAN (partage), désignez Ethernet 2.<br />
Votre interface LAN est celle qui est connectée à votre ré<strong>seau</strong> local. Tous les ordinateurs<br />
du ré<strong>seau</strong> local partagent la connexion Internet du serveur par l’interface WAN du serveur.<br />
Si votre serveur dispose de plus d’une interface (port Ethernet 2, port Ethernet 3, etc.),<br />
sélectionnez celles que vous voulez activer.<br />
22 Faites éventuellement de cette passerelle un point d’entrée VPN vers votre ré<strong>seau</strong> local.<br />
Si vous activez VPN, vous devez disposer d’un secret partagé. Un secret partagé est une<br />
phrase clé que les utilisateurs doivent fournir pour se connecter de façon sécurisée à la<br />
passerelle VPN. Il doit s’agir d’une phrase clé très sûre, pas du mot de passe d’un utilisateur<br />
ou administrateur du serveur passerelle.<br />
Pour définir une phrase clé très sûre, utilisez Assistant mot de passe dans Préférences<br />
de comptes. Pour en savoir plus, consultez la rubrique Configuration de la sécurité de<br />
<strong>Mac</strong> <strong>OS</strong> X <strong>Server</strong>.<br />
Pour en savoir plus sur VPN, consultez le chapitre 6, « Utilisation du service VPN ».<br />
23 Vérifiez et confirmez les modifications.<br />
Options<br />
Vous pouvez affiner les réglages de cette configuration de base, mais toute configuration<br />
supplémentaire se fait dans Admin Serveur.<br />
Par exemple, vous pouvez utiliser Admin Serveur pour assigner <strong>des</strong> adresses IP<br />
à certains ordinateurs. Pour ce faire, ajoutez <strong>des</strong> mappages d’adresses statiques dans<br />
l’onglet Réglages de la section DHCP. Pour en savoir plus, consultez le chapitre 2,<br />
« Utilisation du service DHCP ».<br />
22 Chapitre 1 Connexion de votre ré<strong>seau</strong> à Internet
Vous pouvez modifier <strong>des</strong> réglages relatifs au coupe-feu pour permettre <strong>des</strong> connexions<br />
au ré<strong>seau</strong> local à partir d’Internet. Pour ce faire, modifiez les réglages relatifs au coupefeu,<br />
ouvrez les ports IP dont vous avez besoin et configurez la réexpédition de ports<br />
dans la sous-fenêtre NAT pour désigner l’ordinateur du ré<strong>seau</strong> local qui doit accepter<br />
le trafic entrant.<br />
Connexion d’un ré<strong>seau</strong> local sans fil à Internet<br />
Connecter <strong>des</strong> clients sans fil à Internet par une passerelle <strong>Mac</strong> <strong>OS</strong> X <strong>Server</strong> offre<br />
les avantages suivants par rapport à l’utilisation <strong>des</strong> fonctions intégrées d’une borne<br />
d’accès AirPort :<br />
 Contrôle du coupe-feu avancé.<br />
 Allocation d’adresses IP statiques par DHCP.<br />
 Mise en cache DNS.<br />
 Connexions VPN entrantes vers le ré<strong>seau</strong> local.<br />
Si vous n’avez pas besoin de ces fonctions, utilisez la borne d’accès AirPort pour connecter<br />
vos clients sans fil à Internet sans utiliser un serveur <strong>Mac</strong> <strong>OS</strong> X <strong>Server</strong> entre la borne d’accès<br />
et Internet.<br />
Pour profiter <strong>des</strong> fonctionnalités de la passerelle, utilisez la borne d’accès comme<br />
un pont entre vos clients sans fil et la passerelle. Chaque client se connecte à la borne<br />
d’accès et celle-ci envoie le trafic ré<strong>seau</strong> au travers de la passerelle.<br />
Tous les clients sans fil doivent pouvoir se connecter au ré<strong>seau</strong> sans fil de la borne<br />
d’accès AirPort pour être reliés à la passerelle.<br />
Une fois fait, les ordinateurs connectés à la borne d’accès AirPort :<br />
 peuvent obtenir <strong>des</strong> adresses IP et <strong>des</strong> réglages ré<strong>seau</strong> configurés par DHCP ;<br />
 peuvent accéder à Internet si la passerelle est connectée à Internet ;<br />
 ne sont pas accessibles par les connexions ré<strong>seau</strong> non autorisées provenant<br />
de la connexion câblée vers Internet ;<br />
 sont accessibles par Internet par les clients VPN autorisés (si VPN est configuré) ;<br />
 peuvent bénéficier de la mise en cache <strong>des</strong> recherches DNS dans la passerelle,<br />
ce qui accélère la résolution DNS.<br />
Pour connecter un ré<strong>seau</strong> local câblé et de clients sans fil à Internet :<br />
1 Branchez la connexion à Internet au port Ethernet 1 (en0).<br />
2 Connectez le port de la borne d’accès AirPort (le port WAN, s’il y en a deux) au port<br />
Ethernet 2 (en1).<br />
3 À l’aide d’Utilitaire AirPort, configurez la borne d’accès de façon à ce qu’elle se connecte<br />
par Ethernet et reçoive son adresse par DHCP.<br />
Vous pouvez l’ouvrir à partir du dossier /Applications/Utilitaires/.<br />
Chapitre 1 Connexion de votre ré<strong>seau</strong> à Internet 23
4 Sélectionnez votre borne d’accès, puis choisissez Configuration manuelle dans<br />
le menu Borne d’accès.<br />
5 Saisissez le mot de passe de la borne d’accès, si nécessaire.<br />
6 Cliquez sur Internet dans la barre d’outils, puis cliquez sur Connexion Internet.<br />
7 Dans le menu local Se connecter via, choisissez Ethernet.<br />
8 Dans le menu local Configurer IPv4, choisissez Utilisation de DHCP.<br />
9 Dans le menu local Partage de connexion, choisissez Désactivé (mode pont).<br />
10 Pour modifier <strong>des</strong> réglages relatifs à la borne d’accès, cliquez sur Mettre à jour.<br />
11 Ouvrez Admin Serveur et connectez-vous au serveur.<br />
12 Cliquez sur Réglages, puis sur Services.<br />
13 Cochez la case NAT.<br />
14 Cliquez sur Enregistrer.<br />
15 Cliquez sur le triangle situé à gauche du serveur.<br />
La liste <strong>des</strong> <strong>services</strong> apparaît.<br />
16 Dans la liste Serveurs développée, sélectionnez NAT.<br />
17 Cliquez sur Vue d’ensemble, puis cliquez sur Assistant réglages de passerelle.<br />
18 Cliquez sur Continuer.<br />
19 Comme interface WAN (Internet), désignez Ethernet intégré 1.<br />
20 Comme interface LAN (partage), désignez Ethernet intégré 2.<br />
Votre interface LAN est celle qui est connectée à votre ré<strong>seau</strong> local. Les ordinateurs du<br />
ré<strong>seau</strong> local partagent la connexion Internet du serveur par l’interface WAN du serveur.<br />
Si votre serveur dispose de plus d’une interface (port Ethernet 2, port Ethernet 3, etc.),<br />
sélectionnez celles que vous voulez activer.<br />
21 Faites éventuellement de cette passerelle un point d’entrée VPN vers votre ré<strong>seau</strong> local.<br />
Si vous activez VPN, vous devez disposer d’un secret partagé. Un secret partagé est une<br />
phrase clé que les utilisateurs doivent fournir pour se connecter de façon sécurisée à la<br />
passerelle VPN. Il doit s’agir d’une phrase clé très sûre, pas du mot de passe d’un utilisateur<br />
ou administrateur du serveur passerelle.<br />
Pour définir une phrase clé très sûre, utilisez Assistant mot de passe dans Préférences<br />
de comptes. Pour en savoir plus, consultez la rubrique Configuration de la sécurité de<br />
<strong>Mac</strong> <strong>OS</strong> X <strong>Server</strong>.<br />
Pour en savoir plus sur VPN, consultez le chapitre 6, « Utilisation du service VPN ».<br />
22 Vérifiez et confirmez les modifications.<br />
24 Chapitre 1 Connexion de votre ré<strong>seau</strong> à Internet
Options<br />
Vous pouvez affiner les réglages de cette configuration de base, mais toute configuration<br />
supplémentaire se fait dans Admin Serveur.<br />
Par exemple, vous pouvez utiliser Admin Serveur pour assigner <strong>des</strong> adresses IP<br />
à certains ordinateurs. Pour ce faire, ajoutez <strong>des</strong> mappages d’adresses statiques<br />
dans l’onglet Réglages de la section DHCP. Pour en savoir plus, consultez le chapitre 2,<br />
« Utilisation du service DHCP »<br />
Vous pouvez modifier <strong>des</strong> réglages relatifs au coupe-feu pour permettre <strong>des</strong> connexions<br />
au ré<strong>seau</strong> local à partir d’Internet. Pour ce faire, modifiez les réglages relatifs au coupefeu,<br />
ouvrez les ports IP dont vous avez besoin et configurez la réexpédition de ports<br />
dans la sous-fenêtre NAT pour désigner l’ordinateur du ré<strong>seau</strong> local qui doit accepter<br />
le trafic entrant.<br />
Chapitre 1 Connexion de votre ré<strong>seau</strong> à Internet 25
2 Utilisation<br />
du service DHCP<br />
2<br />
Ce chapitre décrit comment configurer et gérer le service<br />
DHCP dans <strong>Mac</strong> <strong>OS</strong> X <strong>Server</strong>.<br />
Si votre organisation possède plus de clients que d’adresses IP, vous pouvez tirer avantage<br />
de l’utilisation du service Dynamic Host Configuration Protocol (DHCP). Les adresses<br />
IP sont assignées en fonction <strong>des</strong> besoins et, quand elles ne sont plus nécessaires,<br />
peuvent être utilisées par d’autres clients. Vous pouvez utiliser une combinaison<br />
d’adresses IP statiques et dynamiques dans votre ré<strong>seau</strong>.<br />
Le service DHCP vous permet d’administrer et de distribuer <strong>des</strong> adresses IP à <strong>des</strong><br />
ordinateurs à partir de votre serveur. Lorsque vous configurez le serveur DHCP,<br />
vous assignez un bloc d’adresses IP pouvant être distribuées aux clients.<br />
Chaque fois qu’un ordinateur configuré de façon à utiliser DHCP démarre, il recherche<br />
un serveur DHCP sur le ré<strong>seau</strong>. S’il trouve un serveur DHCP, l’ordinateur client lui demande<br />
une adresse IP. Le serveur DHCP cherche une adresse IP disponible et l’envoie à l’ordinateur<br />
accompagnée d’une durée de bail (période pendant laquelle l’ordinateur client est<br />
autorisé à utiliser l’adresse) et d’informations de configuration.<br />
Pour en savoir plus sur l’allocation statique et dynamique d’adresses IP, consultez la section<br />
« Avant de configurer le service DHCP » à la page 29.<br />
Les organisations peuvent tirer profit <strong>des</strong> fonctionnalités du service DHCP, par exemple<br />
la possibilité de définir les options d’ordinateurs relatives à Domain Name System (DNS)<br />
et au protocole Lightweight Directory Access Protocol (LDAP) sans devoir configurer<br />
chaque client séparément.<br />
Vous pouvez utiliser le module DHCP d’Admin Serveur pour :<br />
 configurer et administrer le service DHCP ;<br />
 créer et administrer <strong>des</strong> sous-ré<strong>seau</strong>x ;<br />
 configurer <strong>des</strong> options DNS, LDAP et Windows Internet Naming Service (WINS)<br />
pour <strong>des</strong> ordinateurs clients ;<br />
 visualiser <strong>des</strong> baux d’adresses DHCP.<br />
27
Présentation générale de la configuration<br />
Voici un aperçu <strong>des</strong> principales étapes pour configurer le service DHCP.<br />
Remarque : si vous avez utilisé l’Assistant réglages de passerelle pour configurer les<br />
ports de votre serveur quand vous avez installé <strong>Mac</strong> <strong>OS</strong> X <strong>Server</strong>, certaines informations<br />
DHCP sont déjà configurées. Suivez les étapes de cette section pour terminer<br />
la configuration du service DHCP. Vous trouverez plus d’informations sur les réglages<br />
de chaque étape dans la section « Gestion du service DHCP » à la page 34.<br />
Étape 1 : Avant de commencer<br />
Pour connaître les points à garder à l’esprit lors de la configuration du service DHCP,<br />
lisez la section « Avant de configurer le service DHCP » à la page 29.<br />
Étape 2 : Activez le service DHCP<br />
Avant de configurer le service DHCP, activez-le. Consultez la rubrique « Activation du service<br />
DHCP » à la page 31.<br />
Étape 3 : Créez <strong>des</strong> sous-ré<strong>seau</strong>x<br />
Utilisez Admin Serveur pour créer un groupe d’adresses IP partagées par les ordinateurs<br />
clients de votre ré<strong>seau</strong>. Créez une plage d’adresses partagées par sous-ré<strong>seau</strong>.<br />
Ces adresses sont assignées par le serveur DHCP lorsqu’un client en fait la demande.<br />
Consultez la rubrique « Création de sous-ré<strong>seau</strong>x dans le service DHCP » à la page 32.<br />
Étape 4 : Configurez les réglages relatifs à l’historique DHCP<br />
Vous pouvez consigner les activités et les erreurs de votre service DHCP pour vous<br />
aider à identifier les motifs d’utilisation et les problèmes liés à votre serveur.<br />
Le service DHCP enregistre les messages de diagnostic dans le fichier d’historique système.<br />
Pour éviter que ce fichier ne devienne trop volumineux, vous pouvez supprimer<br />
la plupart <strong>des</strong> messages en modifiant les réglages d’historique dans la sous-fenêtre Journalisation<br />
<strong>des</strong> réglages relatifs au service DHCP. Consultez la rubrique « Configuration<br />
de réglages d’historique » à la page 33.<br />
Étape 5 : Démarrez le service DHCP<br />
Après avoir configuré le service DHCP, démarrez-le pour le rendre disponible. Consultez<br />
la rubrique « Démarrage du service DHCP » à la page 33.<br />
28 Chapitre 2 Utilisation du service DHCP
Avant de configurer le service DHCP<br />
La présente section fournit <strong>des</strong> informations sur la manière de créer <strong>des</strong> sous-ré<strong>seau</strong>x,<br />
d’assigner <strong>des</strong> adresses IP statiques et dynamiques, de localiser votre serveur sur le ré<strong>seau</strong><br />
et d’éviter <strong>des</strong> adresses IP réservées.<br />
Création de sous-ré<strong>seau</strong>x<br />
Les sous-ré<strong>seau</strong>x sont <strong>des</strong> regroupements d’ordinateurs d’un ré<strong>seau</strong> <strong>des</strong>tinés à en simplifier<br />
l’administration. Vous pouvez organiser les sous-ré<strong>seau</strong>x comme vous le souhaitez.<br />
Par exemple, vous pouvez créer <strong>des</strong> sous-ré<strong>seau</strong>x pour différents groupes au sein<br />
de votre organisation ou pour les différents étages de votre bâtiment.<br />
Une fois que vous avez regroupé les ordinateurs au sein de sous-ré<strong>seau</strong>x, vous pouvez<br />
configurer les options de tous les ordinateurs d’un sous-ré<strong>seau</strong> à la fois plutôt que de<br />
définir les options <strong>des</strong> différents ordinateurs séparément.<br />
Chaque sous-ré<strong>seau</strong> a besoin d’une façon de se connecter à d’autres sous-ré<strong>seau</strong>x.<br />
Un appareil nommé routeur connecte généralement les sous-ré<strong>seau</strong>x entre eux.<br />
Assignation dynamique d’adresses IP<br />
Avec l’allocation dynamique d’adresses, une adresse IP est assignée pour une période<br />
de temps limitée (la durée de bail) ou jusqu’à ce que l’ordinateur n’ait plus besoin de<br />
l’adresse IP, selon ce qui se présente en premier.<br />
L’utilisation de baux courts permet au protocole DHCP de réattribuer <strong>des</strong> adresses IP<br />
sur les ré<strong>seau</strong>x comportant plus d’ordinateurs que d’adresses IP. Les baux sont renouvelés<br />
si l’adresse n’est plus utilisée par un autre ordinateur.<br />
Les adresses allouées à <strong>des</strong> clients de ré<strong>seau</strong>x privés virtuels (en anglais « Virtual Private<br />
Network » ou « VPN ») sont distribuées comme les adresses DHCP, mais elles ne proviennent<br />
pas de la même plage d’adresses que les adresses DHCP. Si vous prévoyez d’utiliser<br />
VPN, laissez certaines adresses non allouées par DHCP pour VPN. Pour en savoir plus sur<br />
VPN, consultez le chapitre 6, « Utilisation du service VPN, » à la page 135.<br />
Utilisation d’adresses IP statiques<br />
Les adresses IP statiques sont assignées à un ordinateur ou un périphérique, puis ne<br />
changent plus. Vous pouvez assigner <strong>des</strong> adresses IP statiques à <strong>des</strong> ordinateurs connectés<br />
en permanence à Internet, par exemple les serveurs web. Les autres périphériques<br />
qui doivent être disponibles en permanence aux utilisateurs du ré<strong>seau</strong>, par exemple les<br />
imprimantes, peuvent aussi recevoir <strong>des</strong> adresses IP statiques.<br />
Les adresses IP statiques peuvent être configurées manuellement en saisissant l’adresse IP<br />
sur l’ordinateur (ou le périphérique) auquel l’adresse est assignée ou en configurant DHCP<br />
de façon à assigner la même adresse à un ordinateur ou périphérique à chaque demande.<br />
Chapitre 2 Utilisation du service DHCP 29
Les adresses IP statiques configurées manuellement permettent d’éviter d’éventuels<br />
problèmes que certains <strong>services</strong> peuvent rencontrer avec les adresses assignées par<br />
DHCP et ne sont pas pénalisées par le délai de DHCP lors de l’assignation d’une adresse.<br />
Les adresses assignées par DHCP permettent d’apporter <strong>des</strong> modifications à la configuration<br />
<strong>des</strong> adresses directement sur le serveur DHCP plutôt que sur chaque client.<br />
N’incluez pas <strong>des</strong> adresses IP statiques assignées manuellement dans les plages distribuées<br />
par DHCP.<br />
Vous pouvez configurer DHCP de façon à ce qu’il assigne toujours la même adresse<br />
à un ordinateur. Pour en savoir plus, consultez la rubrique « Assignation d’adresses IP<br />
statiques à l’aide de DHCP » à la page 39.<br />
Localisation du serveur DHCP<br />
Lorsqu’un ordinateur recherche un serveur DHCP, il diffuse un message. Si votre serveur<br />
DHCP ne se trouve pas sur le même sous-ré<strong>seau</strong> que l’ordinateur, vérifiez que les<br />
routeurs qui connectent vos sous-ré<strong>seau</strong>x peuvent rediriger les diffusions <strong>des</strong> clients<br />
et les réponses du serveur DHCP.<br />
Un agent de relais ou routeur capable de relayer les communications BootP sur votre<br />
ré<strong>seau</strong> fera l’affaire pour DHCP. Si vous ne disposez pas d’un moyen de relayer les<br />
communications BootP, placez le serveur DHCP sur le même sous-ré<strong>seau</strong> que le client.<br />
Interaction avec d’autres serveurs DHCP<br />
Il se peut qu’il y ait déjà <strong>des</strong> serveurs DHCP sur votre ré<strong>seau</strong>, par exemple <strong>des</strong> bornes<br />
d’accès AirPort.<br />
<strong>Mac</strong> <strong>OS</strong> X <strong>Server</strong> peut coexister avec d’autres serveurs DHCP tant que chaque serveur<br />
DHCP utilise un groupe d’adresses IP unique. Il se peut toutefois que vous souhaitiez<br />
que votre serveur DHCP fournisse une adresse de serveur LDAP pour l’autoconfiguration<br />
<strong>des</strong> clients dans les environnements gérés.<br />
Comme les bornes d’accès AirPort ne peuvent pas fournir d’adresse de serveur LDAP, si<br />
vous voulez utiliser l’autoconfiguration, vous devez configurer les borne d’accès AirPort<br />
en mode pont Ethernet et faire fournir le service DHCP par <strong>Mac</strong> <strong>OS</strong> X <strong>Server</strong>.<br />
Si les bornes d’accès AirPort sont sur <strong>des</strong> sous-ré<strong>seau</strong>x différents, vos routeurs doivent<br />
être configurés de façon à rediriger les diffusions <strong>des</strong> clients et les réponses du serveur<br />
DHCP comme décrit plus haut.<br />
Pour que les bornes d’accès AirPort disposent du service DHCP, vous devez saisir les<br />
adresses de serveur LDAP <strong>des</strong> ordinateurs manuellement. Vous ne pouvez pas utiliser<br />
l’autoconfiguration <strong>des</strong> clients.<br />
30 Chapitre 2 Utilisation du service DHCP
Utilisation de plusieurs serveurs DHCP sur un ré<strong>seau</strong><br />
Il peut y avoir plusieurs serveurs DHCP sur le même ré<strong>seau</strong>. Ils doivent toutefois être<br />
configurés correctement pour éviter <strong>des</strong> interférences entre eux. Chaque serveur doit<br />
disposer de son propre groupe unique d’adresses IP à distribuer.<br />
Assignation d’adresses IP réservées<br />
Certaines adresses IP ne peuvent pas être assignées, notamment les adresses réservées<br />
pour le rebouclage et la diffusion. Votre fournisseur d’accès à Internet ne vous assignera<br />
pas ces adresses. Si vous tentez de configurer DHCP de façon à utiliser ces adresses, vous<br />
serez averti que ces adresses ne sont pas vali<strong>des</strong> et serez invité à saisir <strong>des</strong> adresses vali<strong>des</strong>.<br />
Obtention d’informations supplémentaires sur le processus DHCP<br />
<strong>Mac</strong> <strong>OS</strong> X <strong>Server</strong> utilise un processus démon nommé bootpd chargé de l’allocation<br />
d’adresses du service DHCP. Pour en savoir plus sur bootpd et ses options de configuration<br />
avancées, consultez la page man de bootpd.<br />
Activation du service DHCP<br />
Avant de pouvoir configurer les réglages DHCP, vous devez activer le service DHCP<br />
dans Admin Serveur.<br />
Pour activer le service DHCP :<br />
1 Ouvrez Admin Serveur et connectez-vous au serveur.<br />
2 Cliquez sur Réglages.<br />
3 Cliquez sur Services.<br />
4 Cochez la case DHCP.<br />
5 Cliquez sur Enregistrer.<br />
Configuration du service DHCP<br />
Configurez le service DHCP en configurant les éléments suivants dans Admin Serveur :<br />
 Sous-ré<strong>seau</strong>. Créez un groupe d’adresses IP partagées par <strong>des</strong> ordinateurs<br />
de votre ré<strong>seau</strong>.<br />
 Niveau d’historique. Configurez le niveau d’historique <strong>des</strong> événements DHCP.<br />
Les sections qui suivent décrivent les tâches requises pour la configuration de ces réglages.<br />
La section finale indique comme démarrer le service DHCP une fois que vous avez fini.<br />
Chapitre 2 Utilisation du service DHCP 31
Création de sous-ré<strong>seau</strong>x dans le service DHCP<br />
Les sous-ré<strong>seau</strong>x sont <strong>des</strong> regroupements, sur un même ré<strong>seau</strong>, d’ordinateurs organisés<br />
par emplacement (par exemple, selon les différents étages d’un bâtiment) ou par l’emploi<br />
<strong>des</strong> ressources (par exemple, tous les étudiants en classe de seconde). Au moins une<br />
plage d’adresses IP est assignée à chaque sous-ré<strong>seau</strong>.<br />
Pour créer un sous-ré<strong>seau</strong> :<br />
1 Ouvrez Admin Serveur et connectez-vous au serveur.<br />
2 Cliquez sur le triangle situé à gauche du serveur.<br />
La liste <strong>des</strong> <strong>services</strong> apparaît.<br />
3 Dans la liste Serveurs développée, sélectionnez DHCP.<br />
4 Cliquez sur Sous-ré<strong>seau</strong>x.<br />
5 Cliquez sur le bouton Ajouter (+).<br />
6 Saisissez un nom parlant pour le nouveau sous-ré<strong>seau</strong>.<br />
7 Saisissez une adresse IP de début et de fin pour la plage du sous-ré<strong>seau</strong>.<br />
Les adresses doivent être consécutives et ne peuvent pas chevaucher d’autres plages<br />
de sous-ré<strong>seau</strong>.<br />
8 Saisissez le masque de sous-ré<strong>seau</strong> de la plage d’adresses ré<strong>seau</strong>.<br />
9 Dans le menu local, sélectionnez l’interface ré<strong>seau</strong> qui hébergera le service DHCP.<br />
10 Saisissez l’adresse IP du routeur de ce sous-ré<strong>seau</strong>.<br />
Si le serveur que vous configurez est le routeur du sous-ré<strong>seau</strong>, saisissez l’adresse IP<br />
du ré<strong>seau</strong> local de ce serveur comme adresse du routeur.<br />
11 Définissez une durée de bail en heures, jours, semaines ou mois.<br />
12 Si vous voulez définir <strong>des</strong> informations DNS, LDAP ou WINS pour ce sous-ré<strong>seau</strong>, saisissez-les<br />
maintenant.<br />
Pour plus d’informations, consultez les sections « Configuration du serveur DNS d’un<br />
sous-ré<strong>seau</strong> DHCP » à la page 36, « Configuration <strong>des</strong> options LDAP d’un sous-ré<strong>seau</strong> »<br />
à la page 37 et « Configuration <strong>des</strong> options WINS d’un sous-ré<strong>seau</strong> » à la page 37.<br />
13 Cliquez sur Enregistrer.<br />
14 Pour activer le sous-ré<strong>seau</strong>, cochez la case Activer.<br />
15 Cliquez sur Enregistrer.<br />
32 Chapitre 2 Utilisation du service DHCP
Configuration de réglages d’historique<br />
Vous pouvez choisir le niveau de détail <strong>des</strong> historiques du service DHCP :<br />
 Faible (erreurs uniquement) : indique les conditions pour lesquelles vous devez prendre<br />
une mesure immédiate (par exemple, si le serveur DHCP ne peut pas démarrer).<br />
Ce niveau correspond à la signalisation bootpd en mode silencieux avec le drapeau « -q ».<br />
 Moyen (erreurs et messages) : vous averti <strong>des</strong> conditions dans lesquelles les données<br />
sont incohérentes mais sans que cela n’empêche le serveur DHCP de fonctionner.<br />
Ce niveau correspond à la signalisation bootpd par défaut.<br />
 Élevé (tous les événements) : enregistre toutes les activités du service DHCP, y compris<br />
les fonctions de routine. Ce niveau correspond à la signalisation bootpd en mode<br />
détaillé avec le drapeau « -v ».<br />
Pour configurer le niveau de détail d’historique :<br />
1 Ouvrez Admin Serveur et connectez-vous au serveur.<br />
2 Cliquez sur le triangle situé à gauche du serveur.<br />
La liste <strong>des</strong> <strong>services</strong> apparaît.<br />
3 Dans la liste Serveurs développée, sélectionnez DHCP.<br />
4 Cliquez sur Réglages.<br />
5 Dans le menu local Niveau d’historique, sélectionnez l’option de journalisation souhaitée.<br />
6 Cliquez sur Enregistrer.<br />
Démarrage du service DHCP<br />
Il faut démarrer le service DHCP pour fournir <strong>des</strong> adresses IP aux utilisateurs. Vous devez<br />
avoir créé et activé au moins un sous-ré<strong>seau</strong>.<br />
Pour démarrer le service DHCP :<br />
1 Ouvrez Admin Serveur et connectez-vous au serveur.<br />
2 Cliquez sur le triangle situé à gauche du serveur.<br />
La liste <strong>des</strong> <strong>services</strong> apparaît.<br />
3 Dans la liste Serveurs développée, sélectionnez DHCP.<br />
4 Cliquez sur le bouton Démarrer DHCP (sous la liste Serveurs).<br />
Si le service de coupe-feu est en service, un avertissement vous demandant de vérifier<br />
que tous les ports utilisés par DHCP sont ouverts s’affiche. Cliquez sur OK.<br />
Le service reste actif jusqu’à ce que vous l’arrêtiez. Il redémarre lorsque votre serveur<br />
redémarre.<br />
À partir de la ligne de commande<br />
Vous pouvez également démarrer le service DHCP à l’aide de la commande serveradmin<br />
dans Terminal. Pour plus d’informations, consultez le chapitre sur les <strong>services</strong> de fichiers<br />
du guide <strong>Administration</strong> de ligne de commande.<br />
Chapitre 2 Utilisation du service DHCP 33
Gestion du service DHCP<br />
La présente section décrit comment configurer et gérer le service DHCP sous<strong>Mac</strong> <strong>OS</strong> X<br />
<strong>Server</strong>. Cela couvre le démarrage du service, la création de sous-ré<strong>seau</strong>x et la configuration<br />
de réglages facultatifs, par exemple LDAP ou DNS pour un sous-ré<strong>seau</strong>.<br />
Arrêt du service DHCP<br />
Lorsque vous démarrez ou arrêtez DHCP, il faut avoir créé et activé au moins un sous-ré<strong>seau</strong>.<br />
Pour arrêter le service DHCP :<br />
1 Ouvrez Admin Serveur et connectez-vous au serveur.<br />
2 Cliquez sur le triangle situé à gauche du serveur.<br />
La liste <strong>des</strong> <strong>services</strong> apparaît.<br />
3 Dans la liste Serveurs développée, sélectionnez DHCP.<br />
4 Cliquez sur le bouton Arrêter DHCP (sous la liste Serveurs).<br />
5 Cliquez sur Arrêter.<br />
Modification de réglages de sous-ré<strong>seau</strong> dans le service DHCP<br />
Utilisez Admin Serveur pour modifier <strong>des</strong> réglages de sous-ré<strong>seau</strong> DHCP. Vous pouvez<br />
modifier la plage d’adresses IP, le masque de sous-ré<strong>seau</strong>, l’interface ré<strong>seau</strong>, le routeur<br />
et la durée de bail.<br />
Pour modifier <strong>des</strong> réglages de sous-ré<strong>seau</strong> :<br />
1 Ouvrez Admin Serveur et connectez-vous au serveur.<br />
2 Cliquez sur le triangle situé à gauche du serveur.<br />
La liste <strong>des</strong> <strong>services</strong> apparaît.<br />
3 Dans la liste Serveurs développée, sélectionnez DHCP.<br />
4 Cliquez sur Sous-ré<strong>seau</strong>x.<br />
5 Sélectionnez un sous-ré<strong>seau</strong>.<br />
6 Apportez les modifications souhaitées.<br />
Ces modifications peuvent être l’ajout d’informations DNS, LDAP ou WINS. Vous pouvez<br />
également redéfinir <strong>des</strong> plages d’adresses ou rediriger l’interface ré<strong>seau</strong> qui répond aux<br />
deman<strong>des</strong> DHCP.<br />
7 Cliquez sur Enregistrer.<br />
Si DHCP est en service, vous êtes invité à redémarrer DHCP pour que vos modifications<br />
soient prises en compte. À défaut, vos modifications ne seront prises en compte que<br />
lors du redémarrage de DHCP.<br />
34 Chapitre 2 Utilisation du service DHCP
Suppression de sous-ré<strong>seau</strong>x du service DHCP<br />
Vous pouvez supprimer <strong>des</strong> sous-ré<strong>seau</strong>x et <strong>des</strong> plages d’adresses IP de sous-ré<strong>seau</strong><br />
afin qu’elles ne soient plus distribuées aux ordinateurs.<br />
Pour supprimer <strong>des</strong> sous-ré<strong>seau</strong>x ou <strong>des</strong> plages d’adresses :<br />
1 Ouvrez Admin Serveur et connectez-vous au serveur.<br />
2 Cliquez sur le triangle situé à gauche du serveur.<br />
La liste <strong>des</strong> <strong>services</strong> apparaît.<br />
3 Dans la liste Serveurs développée, sélectionnez DHCP.<br />
4 Cliquez sur Sous-ré<strong>seau</strong>x.<br />
5 Sélectionnez un sous-ré<strong>seau</strong>.<br />
6 Cliquez sur le bouton Supprimer (–).<br />
7 Cliquez sur Enregistrer.<br />
Si DHCP est en service, vous êtes invité à redémarrer DHCP pour que vos modifications<br />
soient prises en compte. À défaut, vos modifications ne seront prises en compte que<br />
lors du prochain redémarrage de DHCP.<br />
Désactivation temporaire de sous-ré<strong>seau</strong>x<br />
Vous pouvez désactiver temporairement un sous-ré<strong>seau</strong> sans perdre ses réglages. Aucune<br />
adresse IP de la plage du sous-ré<strong>seau</strong> n’est alors distribuée à aucun ordinateur sur l’interface<br />
sélectionnée jusqu’à ce que vous réactiviez le sous-ré<strong>seau</strong>.<br />
Pour désactiver un sous-ré<strong>seau</strong> :<br />
1 Ouvrez Admin Serveur et connectez-vous au serveur.<br />
2 Cliquez sur le triangle situé à gauche du serveur.<br />
La liste <strong>des</strong> <strong>services</strong> apparaît.<br />
3 Dans la liste Serveurs développée, sélectionnez DHCP.<br />
4 Cliquez sur Sous-ré<strong>seau</strong>x.<br />
5 Décochez la case Activer en regard du sous-ré<strong>seau</strong> que vous voulez désactiver.<br />
6 Cliquez sur Enregistrer.<br />
Si DHCP est en service, vous êtes invité à redémarrer DHCP pour que vos modifications<br />
soient prises en compte. À défaut, vos modifications ne seront prises en compte que<br />
lors du prochain redémarrage de DHCP.<br />
Chapitre 2 Utilisation du service DHCP 35
Modification <strong>des</strong> durées de bail d’adresse IP d’un sous-ré<strong>seau</strong><br />
Vous pouvez modifier la durée pendant laquelle les ordinateurs peuvent disposer<br />
<strong>des</strong> adresses IP sur un sous-ré<strong>seau</strong>.<br />
Pour modifier la durée de bail d’un sous-ré<strong>seau</strong> :<br />
1 Ouvrez Admin Serveur et connectez-vous au serveur.<br />
2 Cliquez sur le triangle situé à gauche du serveur.<br />
La liste <strong>des</strong> <strong>services</strong> apparaît.<br />
3 Dans la liste Serveurs développée, sélectionnez DHCP.<br />
4 Cliquez sur Sous-ré<strong>seau</strong>x.<br />
5 Sélectionnez un sous-ré<strong>seau</strong>.<br />
6 Dans le menu local Durée de bail, sélectionnez un laps de temps (heures, jours, semaines<br />
ou mois).<br />
7 Dans le champ Durée de bail, saisissez un nombre.<br />
8 Cliquez sur Enregistrer.<br />
Si DHCP est en service, vous êtes invité à redémarrer DHCP pour que vos modifications<br />
soient prises en compte. À défaut, vos modifications ne seront prises en compte que<br />
lors du prochain redémarrage de DHCP.<br />
Configuration du serveur DNS d’un sous-ré<strong>seau</strong> DHCP<br />
Vous pouvez spécifier les serveurs DNS et le nom de domaine par défaut qu’un sous-ré<strong>seau</strong><br />
doit utiliser. Le service DHCP fourni ces informations aux ordinateurs du sous-ré<strong>seau</strong>.<br />
Pour définir les options DNS d’un sous-ré<strong>seau</strong> :<br />
1 Ouvrez Admin Serveur et connectez-vous au serveur.<br />
2 Cliquez sur le triangle situé à gauche du serveur.<br />
La liste <strong>des</strong> <strong>services</strong> apparaît.<br />
3 Dans la liste Serveurs développée, sélectionnez DHCP.<br />
4 Cliquez sur Sous-ré<strong>seau</strong>x.<br />
5 Sélectionnez un sous-ré<strong>seau</strong>.<br />
6 Cliquez sur DNS.<br />
7 Saisissez l’adresse IP <strong>des</strong> serveurs de noms principal et secondaire que les clients DHCP<br />
doivent utiliser.<br />
8 Saisissez le domaine par défaut du sous-ré<strong>seau</strong>.<br />
9 Cliquez sur Enregistrer.<br />
Si DHCP est en service, vous êtes invité à redémarrer DHCP pour que vos modifications<br />
soient prises en compte. À défaut, vos modifications ne seront prises en compte que<br />
lors du prochain redémarrage de DHCP.<br />
36 Chapitre 2 Utilisation du service DHCP
Configuration <strong>des</strong> options LDAP d’un sous-ré<strong>seau</strong><br />
Vous pouvez utiliser DHCP pour fournir automatiquement à vos clients <strong>des</strong> informations<br />
sur le serveur LDAP plutôt que de configurer manuellement les informations LDAP<br />
sur chaque client. L’ordre dans lequel les serveurs LDAP apparaissent dans la liste détermine<br />
l’ordre de recherche dans la politique de recherche Open Directory automatique.<br />
Si vous utilisez ce serveur <strong>Mac</strong> <strong>OS</strong> X <strong>Server</strong> comme maître LDAP, les informations de<br />
configuration nécessaires sont proposées par défaut dans les options LDAP. Si votre serveur<br />
maître LDAP est un autre ordinateur, vous devez connaître le nom de domaine ou<br />
l’adresse IP de la base de données LDAP que vous souhaitez utiliser ainsi que la base de<br />
recherche LDAP.<br />
Pour définir les options LDAP d’un sous-ré<strong>seau</strong> :<br />
1 Ouvrez Admin Serveur et connectez-vous au serveur.<br />
2 Cliquez sur le triangle situé à gauche du serveur.<br />
La liste <strong>des</strong> <strong>services</strong> apparaît.<br />
3 Dans la liste Serveurs développée, sélectionnez DHCP.<br />
4 Cliquez sur Sous-ré<strong>seau</strong>x.<br />
5 Sélectionnez un sous-ré<strong>seau</strong>.<br />
6 Cliquez sur LDAP.<br />
7 Saisissez le nom de domaine ou l’adresse IP du serveur LDAP de ce sous-ré<strong>seau</strong>.<br />
8 Saisissez la base de recherche pour les recherches LDAP.<br />
9 Si vous utilisez un port non standard, saisissez le numéro du port LDAP.<br />
10 Si nécessaire, sélectionnez LDAP via SSL.<br />
Utilisez cette option pour sécuriser les communications LDAP.<br />
11 Cliquez sur Enregistrer.<br />
Si DHCP est en service, vous êtes invité à redémarrer DHCP pour que vos modifications<br />
soient prises en compte. À défaut, vos modifications ne seront prises en compte que<br />
lors du prochain redémarrage de DHCP.<br />
Configuration <strong>des</strong> options WINS d’un sous-ré<strong>seau</strong><br />
Vous pouvez donner plus d’informations aux ordinateurs sous Windows d’un sousré<strong>seau</strong><br />
en ajoutant <strong>des</strong> réglages propres à Windows aux données de configuration<br />
ré<strong>seau</strong> fournies par DHCP. Ces réglages propres à Windows permettent aux clients<br />
Windows de parcourir leur voisinage ré<strong>seau</strong>.<br />
Vous devez connaître le nom de domaine ou l’adresse IP <strong>des</strong> serveurs Windows Internet<br />
Naming Service/NetBI<strong>OS</strong> Name <strong>Server</strong> (WINS/NBNS) principal et secondaire (il s’agit<br />
généralement de l’adresse IP du serveur DHCP) ainsi que le type de nœud NetBI<strong>OS</strong> sur<br />
TCP/IP (NBT).<br />
Chapitre 2 Utilisation du service DHCP 37
Types de nœud possibles :<br />
 Hybride (nœud-h) : consulte le serveur WINS puis diffuse.<br />
 Homologue (nœud-p) : consulte le serveur WINS pour la résolution du nom.<br />
 Diffusion (nœud-b) : diffuse pour la résolution du nom (le plus fréquemment utilisé).<br />
 Mélangé (nœud-m) : diffuse pour la résolution du nom puis consulte le serveur WINS.<br />
Le serveur NetBI<strong>OS</strong> Datagram Distribution (NBDD) utilise NBNS pour router les datagrammes<br />
vers les ordinateurs qui se trouvent sur un autre sous-ré<strong>seau</strong>.<br />
L’identifiant d’étendue NetBI<strong>OS</strong> isole la communication NetBI<strong>OS</strong> sur un ré<strong>seau</strong>. L’identifiant<br />
d’étendue NetBI<strong>OS</strong> est ajouté à la fin du nom NetBI<strong>OS</strong> de l’ordinateur. Tous les ordinateurs<br />
qui portent le même identifiant d’étendue NetBI<strong>OS</strong> peuvent communiquer.<br />
Le serveur NBDD et l’identifiant d’étendue NetBI<strong>OS</strong> ne sont généralement pas utilisés,<br />
mais il se peut que vous deviez les utiliser si la configuration de vos clients Windows<br />
et l’infrastructure ré<strong>seau</strong> Windows l’exigent.<br />
Pour définir <strong>des</strong> options WINS pour un sous-ré<strong>seau</strong> :<br />
1 Ouvrez Admin Serveur et connectez-vous au serveur.<br />
2 Cliquez sur le triangle situé à gauche du serveur.<br />
La liste <strong>des</strong> <strong>services</strong> apparaît.<br />
3 Dans la liste Serveurs développée, sélectionnez DHCP.<br />
4 Cliquez sur Sous-ré<strong>seau</strong>x.<br />
5 Sélectionnez un sous-ré<strong>seau</strong>.<br />
6 Cliquez sur WINS.<br />
7 Saisissez le nom de domaine ou l’adresse IP <strong>des</strong> serveurs WINS/NBNS principal<br />
et secondaire de ce sous-ré<strong>seau</strong>.<br />
8 Saisissez le nom de domaine ou l’adresse IP du serveur NBDD pour ce sous-ré<strong>seau</strong>.<br />
9 Dans le menu local, sélectionnez le type de nœud NBT.<br />
10 Saisissez l’identifiant d’étendue NetBI<strong>OS</strong>.<br />
11 Cliquez sur Enregistrer.<br />
Si DHCP est en service, vous êtes invité à redémarrer DHCP pour que vos modifications<br />
soient prises en compte. À défaut, vos modifications ne seront prises en compte que<br />
lors du prochain redémarrage de DHCP.<br />
38 Chapitre 2 Utilisation du service DHCP
Assignation d’adresses IP statiques à l’aide de DHCP<br />
Vous pouvez assigner la même adresse aux mêmes ordinateurs. Cela aide à simplifier<br />
la configuration lors de l’utilisation de DHCP et vous permet de disposer de serveurs<br />
ou de <strong>services</strong> statiques.<br />
Pour qu’un ordinateur conserve la même adresse IP, vous devez connaître l’adresse<br />
Ethernet de l’ordinateur (on parle aussi d’adresse MAC or d’adresse matérielle).<br />
Chaque interface ré<strong>seau</strong> a sa propre adresse Ethernet.<br />
Si un ordinateur est connecté à un ré<strong>seau</strong> câblé et à un ré<strong>seau</strong> sans fil, il utilise<br />
une adresse Ethernet différente pour chacune <strong>des</strong> connexions ré<strong>seau</strong>.<br />
Pour assigner <strong>des</strong> adresses IP statiques :<br />
1 Ouvrez Admin Serveur et connectez-vous au serveur.<br />
2 Cliquez sur le triangle situé à gauche du serveur.<br />
La liste <strong>des</strong> <strong>services</strong> apparaît.<br />
3 Dans la liste Serveurs développée, sélectionnez DHCP.<br />
4 Cliquez sur Cartes statiques.<br />
5 Cliquez sur Ajouter un ordinateur.<br />
6 Saisissez le nom de l’ordinateur.<br />
7 Dans la liste Interfaces ré<strong>seau</strong>, cliquez sur la colonne pour saisir les informations suivantes :<br />
Adresse MAC de l’ordinateur qui a besoin d’une adresse statique.<br />
Adresse IP que vous voulez assigner à l’ordinateur.<br />
8 Si votre ordinateur dispose d’autres interfaces ré<strong>seau</strong> qui nécessitent une adresse IP<br />
statique, cliquez sur le bouton Ajouter (+) et saisissez l’adresse IP que vous voulez<br />
assigner à chacune <strong>des</strong> interfaces.<br />
9 Cliquez sur OK.<br />
10 Cliquez sur Enregistrer.<br />
Si DHCP est en service, vous êtes invité à redémarrer DHCP pour que vos modifications<br />
soient prises en compte. À défaut, vos modifications ne seront prises en compte que<br />
lors du prochain redémarrage de DHCP.<br />
Suppression ou modification de mappages d’adresses statiques<br />
Vous pouvez modifier les mappages statiques ou les supprimer si nécessaire.<br />
Pour modifier le mappage d’adresses statique :<br />
1 Ouvrez Admin Serveur et connectez-vous au serveur.<br />
2 Cliquez sur le triangle situé à gauche du serveur.<br />
La liste <strong>des</strong> <strong>services</strong> apparaît.<br />
Chapitre 2 Utilisation du service DHCP 39
3 Dans la liste Serveurs développée, sélectionnez DHCP.<br />
4 Cliquez sur Cartes statiques.<br />
5 Sélectionnez le mappage à modifier ou supprimer.<br />
6 Cliquez sur le bouton Modifier ou Supprimer.<br />
Si vous modifiez le mappage, apportez les modifications souhaitées, puis cliquez sur OK.<br />
7 Cliquez sur Enregistrer.<br />
Si DHCP tourne, vous êtes invité à redémarrer DHCP pour que vos modifications soient<br />
prises en compte. À défaut, vos modifications ne seront prises en compte que lors du<br />
prochain redémarrage de DHCP.<br />
Surveillance du service DHCP<br />
Vous pouvez utiliser les métho<strong>des</strong> suivantes pour surveiller et dépanner le service DHCP :<br />
 Surveiller les ordinateurs qui utilisent le service en affichant la liste <strong>des</strong> clients.<br />
 Surveiller les fichiers d’historique générés par le service.<br />
 Utiliser les historiques du service pour résoudre <strong>des</strong> problèmes de ré<strong>seau</strong>.<br />
Les sections qui suivent décrivent ces aspects du service DHCP.<br />
Vérification de l’état du service DHCP<br />
La vue d’ensemble de l’état affiche le résumé suivant du service DHCP.<br />
 Si le service est en cours d’exécution.<br />
 Le nombre de clients dont il dispose.<br />
 Quand le service a été démarré.<br />
 Le nombre d’adresses IP qui sont assignées de façon statique à partir de vos sous-ré<strong>seau</strong>x.<br />
 Quand la base de données client a été mise à jour pour la dernière fois.<br />
Pour afficher l’état du service DHCP :<br />
1 Ouvrez Admin Serveur et connectez-vous au serveur.<br />
2 Cliquez sur le triangle situé à gauche du serveur.<br />
La liste <strong>des</strong> <strong>services</strong> apparaît.<br />
3 Dans la liste Serveurs développée, sélectionnez DHCP.<br />
4 Cliquez sur Vue d’ensemble pour savoir si le service est en cours d’exécution, quand<br />
il a été démarré, le nombre de clients connectés et quand la base de données a été<br />
mise à jour pour la dernière fois.<br />
40 Chapitre 2 Utilisation du service DHCP
Affichage d’entrées d’historique DHCP<br />
Si vous avez activé la journalisation pour le service DHCP, vous pouvez consulter<br />
l’historique système à la recherche d’erreurs DHCP.<br />
L’historique présenté correspond au contenu du fichier system.log filtré pour bootpd.<br />
Utilisez le champ Filtre pour rechercher <strong>des</strong> entrées particulières.<br />
Pour afficher <strong>des</strong> entrées d’historique DHCP :<br />
1 Ouvrez Admin Serveur et connectez-vous au serveur.<br />
2 Cliquez sur le triangle situé à gauche du serveur.<br />
La liste <strong>des</strong> <strong>services</strong> apparaît.<br />
3 Dans la liste Serveurs développée, sélectionnez DHCP.<br />
4 Cliquez sur Historique.<br />
5 Pour rechercher <strong>des</strong> entrées, utilisez le champ Filtrer (dans l’angle supérieur droit).<br />
Affichage de la liste <strong>des</strong> clients DHCP<br />
La fenêtre Clients DHCP affiche les informations suivantes sur chaque client :<br />
 L’adresse IP assignée au client.<br />
 Le nombre de jours de durée de bail restants (ou le nombre d’heures et minutes,<br />
s’il reste moins de 24 heures).....<br />
 L’identifiant du client DHCP (il est généralement identique à l’adresse matérielle).<br />
 Le nom de l’ordinateur.<br />
 L’adresse matérielle.<br />
Pour afficher la liste <strong>des</strong> clients DHCP :<br />
1 Ouvrez Admin Serveur et connectez-vous au serveur.<br />
2 Cliquez sur le triangle situé à gauche du serveur.<br />
La liste <strong>des</strong> <strong>services</strong> apparaît.<br />
3 Dans la liste Serveurs développée, sélectionnez DHCP.<br />
4 Cliquez sur Clients.<br />
Pour trier la liste selon différents critères, cliquez sur un en-tête de colonne.<br />
Configurations ré<strong>seau</strong> courantes qui utilisent DHCP<br />
La section qui suit contient <strong>des</strong> exemples de configurations DHCP pour différents<br />
usages de ré<strong>seau</strong>. Il y a, par exemple, une configuration pour un groupe de travail,<br />
une configuration pour un laboratoire d’étudiants et une configuration pour un café.<br />
Lorsque vous configurez un ré<strong>seau</strong> privé, vous choisissez <strong>des</strong> adresses IP dans les blocs<br />
d’adresses IP réservées par l’Internet Assigned Numbers Authority (IANA) <strong>des</strong>tinées aux<br />
intranets privés :<br />
Chapitre 2 Utilisation du service DHCP 41
 10.0.0.0–10.255.255.255 (préfixe 10/8)<br />
 172.16.0.0–172.31.255.255 (préfixe 172.16/12)<br />
 192.168.0.0–192.168.255.255 (préfixe 192.168/16)<br />
Attribution via DHCP d’adresses IP à <strong>des</strong> ordinateurs derrière une passerelle NAT<br />
Vous pouvez utiliser DHCP pour attribuer <strong>des</strong> adresses IP à <strong>des</strong> ordinateurs qui se trouvent<br />
derrière une passerelle Network Address Translation (NAT).<br />
Bien que cela ne soit pas strictement nécessaire (car NAT peut être utilisé avec <strong>des</strong> adresses<br />
IP statiques au lieu de DHCP), cela permet une configuration aisée <strong>des</strong> ordinateurs.<br />
Pour en savoir plus, consultez la rubrique « Liaison d’un ré<strong>seau</strong> local à Internet par<br />
une adresse IP » à la page 128.<br />
Configuration pour un groupe de travail<br />
Imaginez un groupe de travail possédant son propre groupe d’adresses DHCP. Il peut<br />
y avoir une imprimante connectée à un ré<strong>seau</strong> IP, un serveur de fichiers et un serveur<br />
Open Directory (sur le ré<strong>seau</strong> ou pas) pour la gestion <strong>des</strong> utilisateurs.<br />
Pour utiliser DHCP dans cette configuration, vous devez disposer <strong>des</strong> éléments suivants :<br />
 Coupe-feu configuré et opérationnel qui permet les connexions LDAP et d’imprimante<br />
(impression IP).<br />
Pour en savoir plus, consultez le chapitre 4, « Utilisation du service de coupe-feu ».<br />
 Serveur Open Directory ou LDAP configuré et opérationnel sur lequel <strong>des</strong> utilisateurs<br />
sont définis.<br />
Pour plus d’informations, consultez les sections <strong>Administration</strong> d’Open Directory<br />
et Gestion <strong>des</strong> utilisateurs.<br />
Dans cet exemple, la configuration de DHCP implique le mappage d’adresses IP<br />
statiques et <strong>des</strong> réglages clients ré<strong>seau</strong>x supplémentaires. Exemple de configuration:<br />
 Pour une imprimante devant recevoir une adresse IP statique, assurez-vous que la<br />
plage d’adresses DHCP allouées ne contient pas l’adresse IP réellement statique de<br />
l’imprimante. Si l’imprimante peut être configurée de façon à accepter une adresse<br />
par DHCP, ne vous inquiétez pas pour un éventuel chevauchement.<br />
Pour en savoir plus, consultez la rubrique « Utilisation d’adresses IP statiques » à la page 29.<br />
 Pour un serveur de fichiers devant toujours recevoir la même adresse, utilisez le mappage<br />
IP statique de <strong>Mac</strong> <strong>OS</strong> X <strong>Server</strong> pour toujours assigner la même adresse IP à son<br />
adresse Ethernet.<br />
Pour en savoir plus, consultez la rubrique « Assignation d’adresses IP statiques à l’aide<br />
de DHCP » à la page 39.<br />
 Concernant la configuration DHCP, définissez les options LDAP <strong>des</strong> clients DHCP. Cela<br />
donne automatiquement aux ordinateurs les informations de répertoire dont ils ont<br />
besoin.<br />
42 Chapitre 2 Utilisation du service DHCP
Pour en savoir plus, consultez la rubrique « Configuration <strong>des</strong> options LDAP d’un<br />
sous-ré<strong>seau</strong> » à la page 37.<br />
 Pour la configuration <strong>des</strong> clients sur <strong>des</strong> ordinateurs clients <strong>Mac</strong> <strong>OS</strong> X, assurez-vous<br />
que la méthode de configuration IPv4 dans la sous-fenêtre Ré<strong>seau</strong> <strong>des</strong> Préférences<br />
Système est définie sur DHCP.<br />
Cette configuration permet aux ordinateurs d’être gérés par un serveur LDAP ou Open<br />
Directory en obtenant leurs informations de configuration ré<strong>seau</strong> par DHCP. Ils peuvent<br />
avoir accès par une adresse IP réellement statique ou par <strong>des</strong> adresses IP assignées en<br />
permanence sur le même ré<strong>seau</strong>. Cela permet également de centraliser la configuration<br />
de tous les ordinateurs.<br />
Configuration d’un laboratoire d’étudiants<br />
L’exemple de configuration d’un laboratoire d’étudiants est très semblable à l’exemple<br />
de configuration d’un groupe de travail, si ce n’est que NetBoot y est en outre ajouté<br />
comme service supplémentaire utilisant DHCP.<br />
Outre le fait que DHCP permet de centraliser la configuration ré<strong>seau</strong>, NetBoot standardise<br />
les environnements de démarrage en démarrant chaque ordinateur à partir d’une<br />
image disque se trouvant sur un serveur NetBoot central.<br />
Cette configuration est identique à l’exemple de configuration d’un groupe de travail,<br />
à quelques exceptions près, à savoir :<br />
 Il peut exister <strong>des</strong> ressources à adresse statique.<br />
Cela dépend de la composition du laboratoire. Vous pouvez disposer d’une imprimante<br />
ou d’un serveur de fichiers de classe, mais si vous utilisez un chariot mobile<br />
qui se déplace de classe en classe, vous n’emporterez pas un serveur et une imprimante<br />
dans chaque classe.<br />
 NetBoot doit être activé et configuré ainsi que les réglages de coupe-feu nécessaires<br />
à sa prise en charge.<br />
Tout client sur le ré<strong>seau</strong> peut être configuré de façon à démarrer à partir du serveur<br />
NetBoot. De nouveaux ordinateurs peuvent être déployés en sélectionnant l’image<br />
NetBoot comme disque de démarrage pour l’ordinateur. Aucune autre configuration<br />
n’est nécessaire et vous pouvez facilement affecter une autre fonction à un ordinateur<br />
sans avoir à en modifier le disque dur.<br />
Avec cette configuration, les ordinateurs du ré<strong>seau</strong> peuvent être gérés par un serveur LDAP<br />
ou Open Directory en obtenant leurs informations de configuration ré<strong>seau</strong> par DHCP.<br />
De plus, l’environnement informatique de tous les ordinateurs est configuré de façon<br />
centralisée. De nouveaux ordinateurs peuvent être ajoutés ou remplacés très facilement.<br />
Chapitre 2 Utilisation du service DHCP 43
Configuration d’un café<br />
La configuration d’un café est un exemple de configuration avec environnement d’adressage<br />
dynamique, une configuration qui ne requiert pas de gestion <strong>des</strong> utilisateurs et qui<br />
ne fournit aucun service à l’exception <strong>des</strong> <strong>services</strong> d’accès web, d’accès DNS et autre.<br />
Cet exemple se caractérise par un grand nombre d’utilisateurs mobiles qui arrivent,<br />
se connectent à Internet, puis repartent.<br />
Cette configuration peut facilement être utilisée dans <strong>des</strong> situations similaires, par<br />
exemple un ré<strong>seau</strong> sans fil dans une école supérieure ou un bureau câblé mis à<br />
la disposition <strong>des</strong> consultants de passage dans une entreprise.<br />
AVERTISSEMENT : si vous hébergez temporairement <strong>des</strong> utilisateurs non authentifiés,<br />
assurez-vous que les informations sensibles de votre ré<strong>seau</strong> local sont protégées<br />
derrière un coupe-feu ou se trouvent sur un autre ré<strong>seau</strong>.<br />
Pour utiliser DHCP dans cette configuration, vous devez disposer d’un coupe-feu opérationnel<br />
configuré uniquement pour le trafic sortant d’accès web et les recherches sortantes<br />
DNS. Il se peut que vous deviez placer ce ré<strong>seau</strong> derrière votre coupe-feu et vous<br />
assurer que le trafic ré<strong>seau</strong> <strong>des</strong> adresses IP allouées par DHCP est contrôlé et surveillé<br />
de façon stricte.<br />
Pour en savoir plus, consultez le chapitre 4, « Utilisation du service de coupe-feu »<br />
Dans cet exemple, vous pourriez configurer le service DHCP de la façon suivante :<br />
 Activez la configuration automatique du ré<strong>seau</strong>. Configurez les clients DHCP<br />
de façon à ce qu’ils reçoivent la configuration ré<strong>seau</strong> par DHCP.<br />
 Ne configurez pas d’options dont les clients ne doivent pas bénéficier. Ne donnez<br />
pas aux clients DHCP plus d’informations sur votre organisation que nécessaire à<br />
l’aide de LDAP. Il est possible de configurer les clients Windows de façon à ce qu’ils<br />
aient plus d’options ré<strong>seau</strong>.<br />
Pour en savoir plus, consultez la rubrique « Configuration <strong>des</strong> options WINS d’un sousré<strong>seau</strong><br />
» à la page 37.<br />
 Limitez l’utilisation <strong>des</strong> ressources. Avoir un grand nombre d’utilisateurs sur<br />
un sous-ré<strong>seau</strong> peut consommer beaucoup de bande passante. Réduisez donc<br />
le nombre de clients DHCP pouvant se connecter simultanément en limitant le<br />
nombre d’adresses pouvant être allouées.<br />
Pour en savoir plus, consultez la rubrique « Création de sous-ré<strong>seau</strong>x dans le service<br />
DHCP » à la page 32.<br />
 Gardez une rotation <strong>des</strong> adresses élevée. Définissez <strong>des</strong> durées de bail sur les adresses<br />
aussi courtes que possible. De la sorte, les adresses peuvent être réallouées rapidement<br />
lors <strong>des</strong> allers et venues <strong>des</strong> utilisateurs.<br />
44 Chapitre 2 Utilisation du service DHCP
Pour en savoir plus, consultez la rubrique « Création de sous-ré<strong>seau</strong>x dans le service<br />
DHCP » à la page 32.<br />
 Surveillez votre trafic. Gardez un œil attentif sur les connexions et les clients DHCP,<br />
la journalisation de paquets de règles de coupe-feu ou les autres outils de surveillance.<br />
Les points d’accès ouverts constituent un danger s’ils ne sont pas bien gardés.<br />
Configuration de DHCP pour l’utilisation d’une URL de serveur LDAP<br />
supplémentaire<br />
Le module DHCP de l’application Admin Serveur ne permet aux administrateurs de<br />
spécifier qu’une seule URL de serveur LDAP par sous-ré<strong>seau</strong>. Si vous voulez spécifier<br />
plusieurs URL de serveur LDAP, vous pouvez modifier le fichier /etc/bootpd.plist ou<br />
utiliser l’outil de ligne de commande serveradmin (dans la fenêtre Terminal).<br />
Modification du fichier /etc/bootpd.plist pour l’ajout de plusieurs URL de serveur LDAP<br />
Une fois que vous avez créé un sous-ré<strong>seau</strong> à l’aide de DHCP dans Admin Serveur<br />
et spécifié une URL de serveur LDAP, vous pouvez consulter et modifier les réglages<br />
en modifiant le fichier /etc/bootpd.plist :<br />
1 Ouvrez le fichier /etc/bootpd.plist dans un éditeur de texte.<br />
2 Localisez la balise au sein de la balise de la clé dhcp_ldap_url.<br />
dhcp_ldap_url<br />
<br />
ldap://serveur.exemple.com/dc=serveur,dc=exemple,dc=com<br />
<br />
3 Ajoutez une URL de serveur LDAP en insérant une balise sous la balise <br />
existante et en saisissant votre URL de serveur LDAP entre la balise d’ouverture <br />
et la balise de fermeture .<br />
dhcp_ldap_url<br />
<br />
ldap://serveur.exemple.com/dc=serveur,dc=exemple,dc=com<br />
ldap://serveur2.exemple.com/dc=serveur2,dc=exemple,dc=com<br />
<br />
4 Enregistrez le fichier bootpd.plist et fermez l’éditeur.<br />
5 Si DHCP est en cours d’exécution, redémarrez le service DHCP afin qu’il puisse charger<br />
la nouvelle configuration.<br />
Dans Terminal, saisissez :<br />
$ sudo serveradmin stop DHCP<br />
$ sudo serveradmin start DHCP<br />
Utilisation de serveradmin avec plusieurs URL de serveur LDAP<br />
Une fois que vous avez créé un sous-ré<strong>seau</strong> à l’aide de DHCP dans Admin Serveur<br />
et spécifié une URL de serveur LDAP, vous pouvez consulter et modifier les réglages<br />
à l’aide de serveradmin. Procédez comme suit.<br />
Chapitre 2 Utilisation du service DHCP 45
1 Vérifiez tous les réglages de sous-ré<strong>seau</strong> DHCP dans Terminal en saisissant :<br />
$ sudo serveradmin settings dhcp:subnets<br />
Exemples de résultats (extrait) :<br />
...<br />
dhcp:subnets:_array_id:498D8E6D-88A8-4048-8B3C-<br />
14D96F317447:dhcp_ldap_url:_array_index:0 = "http://ldapxxx:123/<br />
basename1"<br />
...<br />
2 Préparez un fichier contenant les comman<strong>des</strong> serveradmin <strong>des</strong>tinées à ajouter une<br />
seconde URL de serveur LDAP.<br />
Comme les différents éléments de la matrice dhcp_ldap_url ne sont pas accessibles individuellement,<br />
vous ne pouvez pas utiliser la commande create/delete de serveradmin.<br />
Exemple de contenu de fichier :<br />
dhcp:subnets:_array_id:498D8E6D-88A8-4048-8B3C-<br />
14D96F317447:dhcp_ldap_url:_array_index:0 = "http://ldapxxx:123/<br />
basename1"<br />
dhcp:subnets:_array_id:498D8E6D-88A8-4048-8B3C-<br />
14D96F317447:dhcp_ldap_url:_array_index:1 = "http://ldapyyy:234/<br />
basename2"<br />
Remarque : les index de la matrice commencent à 0. L’ancienne entrée d’URL doit<br />
être présente même si vous ne faites qu’en ajouter une seconde. Les entrées doivent<br />
être dans le bon ordre.<br />
3 Utilisez l’outil serveradmin pour appliquer les réglages provenant du fichier en saisissant :<br />
$ sudo serveradmin settings < nomdefichier<br />
Exemple de résultats (les réglages sont confirmés) :<br />
dhcp:subnets:_array_id:498D8E6D-88A8-4048-8B3C-<br />
14D96F317447:dhcp_ldap_url:_array_index:0 = "http://ldapxxx:123/<br />
basename1"<br />
dhcp:subnets:_array_id:498D8E6D-88A8-4048-8B3C-<br />
14D96F317447:dhcp_ldap_url:_array_index:1 = "http://ldapyyy:234/<br />
basename2"<br />
4 Si DHCP tourne, redémarrez le service DHCP afin qu’il puisse charger la nouvelle configuration<br />
en saisissant :<br />
$ sudo serveradmin stop DHCP<br />
$ sudo serveradmin start DHCP<br />
46 Chapitre 2 Utilisation du service DHCP
Service DHCP pour clients <strong>Mac</strong> <strong>OS</strong> X à l’aide de DHCP avec une<br />
adresse manuelle<br />
La section DHCP d’Admin Serveur permet d’activer ou de désactiver chaque plage<br />
d’adresses de sous-ré<strong>seau</strong>. Lorsque le sous-ré<strong>seau</strong> est activé, le serveur DHCP alloue<br />
<strong>des</strong> adresses dans sa plage et distribue d’autres informations sur le ré<strong>seau</strong> aux clients<br />
qui sont définis sur « Via DHCP ».<br />
Lorsque le sous-ré<strong>seau</strong> est désactivé, le serveur DHCP n’alloue pas d’adresses pour<br />
le groupe de plages d’adresses de sous-ré<strong>seau</strong>, mais il distribue d’autres informations<br />
sur le ré<strong>seau</strong> (par exemple, les adresses <strong>des</strong> serveurs DNS et LDAP) aux clients qui sont<br />
définis sur « Utilisation de DHCP avec une adresse manuelle » (mappages statiques),<br />
tant que l’adresse du client se trouve dans la plage du sous-ré<strong>seau</strong>.<br />
Activer et désactiver le sous-ré<strong>seau</strong> désactive l’allocation automatique d’adresses pour<br />
la plage d’adresses mais pas les réponses du serveur DHCP aux clients dont l’adresse<br />
se trouve dans la plage du sous-ré<strong>seau</strong>.<br />
Autres sources d’informations<br />
Les documents RFC (Request for Comments) offrent <strong>des</strong> vues d’ensemble de protocoles<br />
ou de <strong>services</strong> particuliers et expliquent le comportement normal du protocole.<br />
Si vous êtes un administrateur de serveur débutant, certaines <strong>des</strong> informations générales<br />
qui figurent dans les documents RFC vous seront certainement utiles.<br />
En revanche, si vous êtes un administrateur de serveur confirmé, vous trouverez <strong>des</strong><br />
détails techniques concernant un protocole particulier dans le document RFC correspondant.<br />
Vous pouvez rechercher les documents RFC par leur numéro à l’adresse<br />
www.ietf.org/rfc.html (en anglais).<br />
Pour obtenir <strong>des</strong> détails sur DHCP, consultez le document RFC 2131.<br />
Pour en savoir plus sur <strong>des</strong> options de configuration avancées, consultez la page man<br />
de bootpd.<br />
Chapitre 2 Utilisation du service DHCP 47
3 Utilisation<br />
du service DNS<br />
3<br />
Le présent chapitre décrit comment configurer, sécuriser<br />
et gérer le service DNS sur votre ré<strong>seau</strong>.<br />
Lorsque vos clients veulent se connecter à une ressource ré<strong>seau</strong>, par exemple un serveur<br />
web ou un serveur de fichiers, ils l’identifient généralement par son nom de domaine (par<br />
exemple, www.exemple.com) plutôt que par son adresse IP (par exemple, 192.168.12.12).<br />
Le système Domain Name System (DNS) est une base de données distribuée qui met<br />
en correspondance <strong>des</strong> adresses IP et <strong>des</strong> noms de domaine pour que vos clients puissent<br />
trouver les ressources par leur nom plutôt que par leur adresse IP.<br />
Un serveur DNS maintient la liste <strong>des</strong> noms de domaine et <strong>des</strong> adresses IP associées<br />
à chaque nom de domaine. Lorsqu’un ordinateur a besoin de connaître l’adresse IP<br />
correspondant à un nom, il envoie un message au serveur DNS, également appelé<br />
serveur de noms.<br />
Le serveur de noms cherche l’adresse IP et la renvoie à l’ordinateur. Si le serveur de<br />
noms ne trouve pas l’adresse IP en local, il envoie <strong>des</strong> messages à d’autres serveurs<br />
de noms sur Internet pour l’obtenir.<br />
La configuration et la maintenance d’un serveur DNS sont une tâche complexe. C’est<br />
la raison pour laquelle de nombreux administrateurs confient le service DNS à leur fournisseur<br />
d’accès à Internet (FAI). Dans ce cas, il suffit de saisir l’adresse IP du serveur de<br />
noms fournie par votre FAI dans les préférences ré<strong>seau</strong>.<br />
Si votre FAI ne gère pas les requêtes DNS relatives à votre ré<strong>seau</strong> et au moins une<br />
<strong>des</strong> affirmations suivantes est vraie, vous devez configurer votre propre service DNS :<br />
 Vous ne pouvez pas utiliser le DNS de votre FAI ni d’aucune autre source.<br />
 Vous prévoyez d’apporter <strong>des</strong> modifications fréquentes à l’espace de noms et préférez<br />
le gérer vous-même.<br />
 Votre ré<strong>seau</strong> dispose d’un serveur de messagerie et vous éprouvez <strong>des</strong> difficultés<br />
à le coordonner avec le FAI qui gère votre domaine.<br />
 Vous avez <strong>des</strong> craintes en matière de sécurité parce que les noms et les adresses <strong>des</strong><br />
ordinateurs de votre ré<strong>seau</strong> sont accessibles par une organisation externe (votre FAI).<br />
49
<strong>Mac</strong> <strong>OS</strong> X <strong>Server</strong> utilise Berkeley Internet Name Domain (BIND) 9.2.2 pour son implémentation<br />
<strong>des</strong> protocoles DNS. BIND est une implémentation « open-source » et est<br />
utilisée par la plupart <strong>des</strong> serveurs de noms sur Internet.<br />
À propos <strong>des</strong> zones DNS<br />
Les zones sont l’unité organisationnelle de base du système DNS. Les zones contiennent<br />
<strong>des</strong> enregistrements et sont définies d’après la manière dont elles acquièrent<br />
ces enregistrements et la manière dont elles répondent aux requêtes DNS.<br />
Il existe trois zones de base :<br />
 Principale<br />
 Secondaire<br />
 Redirection<br />
Il existe d’autres types de zones, mais elles ne sont pas décrites ici.<br />
Zones principales<br />
Une zone principale possède la copie principale <strong>des</strong> enregistrements de la zone<br />
et fournit <strong>des</strong> réponses faisant autorité aux requêtes de recherche.<br />
Zones secondaires<br />
Une zone secondaire est une copie d’une zone principale et est stockée sur un serveur<br />
de noms secondaire. Elle a les caractéristiques suivantes :<br />
 Chaque zone secondaire possède la liste <strong>des</strong> serveurs principaux qu’elle contacte pour<br />
<strong>des</strong> mises à jour <strong>des</strong> enregistrements dans la zone principale. Les zones secondaires doivent<br />
être configurées de façon à demander la copie <strong>des</strong> données de la zone principale.<br />
 Les zones secondaires utilisent <strong>des</strong> transferts entre zones pour obtenir <strong>des</strong> copies<br />
<strong>des</strong> données de zone principale.<br />
 Les serveurs de noms secondaires peuvent répondre aux requêtes de recherche<br />
comme c’est le cas <strong>des</strong> serveurs principaux.<br />
En utilisant plusieurs zones secondaires reliées à une zone principale, vous pouvez distribuer<br />
la charge que représentent les requêtes DNS sur plusieurs ordinateurs et vous<br />
assurer que les deman<strong>des</strong> de recherche obtiennent une réponse lorsque le serveur<br />
de noms principal est éteint.<br />
Les zones secondaires ont également un intervalle d’actualisation. Cet intervalle détermine<br />
la fréquence à laquelle la zone secondaire recherche d’éventuelles modifications<br />
auprès de la zone principale. Vous pouvez modifier l’intervalle d’actualisation de la zone<br />
dans le fichier de configuration de BIND. Pour en savoir plus, consultez la documentation<br />
de BIND.<br />
50 Chapitre 3 Utilisation du service DNS
Zones de redirection<br />
Une zone de redirection dirige les requêtes de recherche adressées à cette zone à<br />
d’autres serveurs DNS. Les zones de redirection ne font pas de transferts entre zones.<br />
Les serveurs de zone de redirection sont souvent utilisés pour fournir <strong>des</strong> <strong>services</strong> DNS<br />
à un ré<strong>seau</strong> privé situé derrière un coupe-feu. Dans ce cas, le serveur DNS doit avoir<br />
accès à Internet et un serveur DNS situé devant le coupe-feu.<br />
Les zones de redirection mettent également en cache les réponses aux requêtes<br />
qu’elles transmettent. Cela peut améliorer les performances <strong>des</strong> recherches pour<br />
les clients qui utilisent la zone de redirection.<br />
Admin Serveur ne prend pas en charge la création et la modification d’une zone de redirection.<br />
Pour créer une zone de redirection, vous devez configurer BIND manuellement à l’aide<br />
de la ligne de commande. Pour obtenir plus de détails, consultez la documentation de BIND.<br />
À propos <strong>des</strong> enregistrements de machine DNS<br />
Chaque zone contient un certain nombre d’enregistrements. Ces enregistrements<br />
sont nécessaires quand un ordinateur traduit un nom de domaine (par exemple,<br />
www.exemple.com) en numéro IP. Les navigateurs web, les clients de courrier électronique<br />
et les autres applications ré<strong>seau</strong> utilisent ces enregistrements de zone pour contacter<br />
le serveur qui convient.<br />
Les enregistrements de zone principale sont consultés par d’autres sur Internet afin<br />
que ces derniers puissent se connecter à vos <strong>services</strong> ré<strong>seau</strong>.<br />
Plusieurs types d’enregistrements DNS sont disponibles pour la configuration par<br />
Admin Serveur :<br />
 Adresse (A) : stocke l’adresse IP associée au nom de domaine.<br />
 Nom canonique (CNAME) : stocke un alias en relation avec le vrai nom du serveur.<br />
Par exemple, mail.apple.com pourrait être l’alias d’un ordinateur portant le vrai nom<br />
canonique MailSrv473.apple.com.<br />
 Échangeur de courrier (MX) : stocke le nom de domaine de l’ordinateur utilisé pour<br />
le courrier électronique dans une zone.<br />
 Serveur de noms (NS) : stocke le serveur de noms faisant autorité pour une zone.<br />
 Pointeur (PTR) : stocke le nom de domaine d’une adresse IP (recherche inversée).<br />
 Texte (TXT) : stocke la chaîne de texte en réponse aux requêtes DNS.<br />
 Service (SRV) : stocke <strong>des</strong> informations sur les <strong>services</strong> qu’un ordinateur fournit.<br />
 Infos sur le matériel (HINFO) : stocke <strong>des</strong> informations sur le matériel et les logiciels<br />
d’un ordinateur.<br />
Chapitre 3 Utilisation du service DNS 51
<strong>Mac</strong> <strong>OS</strong> X <strong>Server</strong> simplifie la création de ces enregistrements en mettant l’accent sur<br />
l’ordinateur ajouté à la zone plutôt que sur les enregistrements proprement dits. Lorsque<br />
vous ajoutez un enregistrement d’ordinateur à une zone, <strong>Mac</strong> <strong>OS</strong> X <strong>Server</strong> crée<br />
les enregistrements de zone qui se traduisent en une adresse d’ordinateur. Grâce à<br />
ce modèle, vous pouvez vous concentrer sur ce que vos ordinateurs font dans votre<br />
domaine plutôt que sur les types d’enregistrement qui s’appliquent à ses fonctions.<br />
Si vous devez avoir accès à d’autres types d’enregistrements, vous devez modifier les<br />
fichiers de configuration BIND manuellement. Pour obtenir plus de détails, consultez<br />
la documentation de BIND.<br />
À propos de Bonjour<br />
Avec Bonjour, vous pouvez partager pratiquement tout, y compris <strong>des</strong> fichiers, <strong>des</strong><br />
données multimédia, <strong>des</strong> imprimantes et d’autres périphériques, de façon innovante<br />
et simple. Il simplifie les activités ré<strong>seau</strong> traditionnelles telles que le partage de fichiers<br />
et l’impression en permettant de découvrir les serveurs de fichiers et les imprimantes<br />
ré<strong>seau</strong> compatibles avec Bonjour de façon dynamique.<br />
Bonjour commence par simplifier le processus intrinsèquement complexe qu’est la<br />
configuration <strong>des</strong> périphériques d’un ré<strong>seau</strong>. Pour communiquer avec d’autres périphériques<br />
par IP, un périphérique a besoin d’informations spéciales telles qu’une adresse IP,<br />
un masque de sous-ré<strong>seau</strong>, une adresse DNS, un nom DNS et <strong>des</strong> chemins de recherche<br />
préconfigurés. Comprendre ces détails énigmatiques et procéder ensuite à la configuration<br />
peut s’avérer compliqué pour un utilisateur lambda.<br />
Lorsqu’un nouvel ordinateur ou périphérique est ajouté à un ré<strong>seau</strong> par autoconfiguration,<br />
comme un serveur DHCP, Bonjour configure le périphérique à l’aide d’une technique<br />
appelée l’adressage lien-local (si un serveur DHCP est disponible, Bonjour utilise<br />
l’adresse IP assignée).<br />
Avec l’adressage lien-local, l’ordinateur sélectionne une adresse IP au hasard parmi<br />
la plage d’adresses réservées par l’Internet Assigned Numbers Authority (IANA) pour<br />
l’adressage lien-local et s’assigne cette adresse. Ces adresses se trouvent dans la plage<br />
169.254.xxx.xxx.<br />
Le périphérique envoie ensuite un message par le ré<strong>seau</strong> pour déterminer si un autre<br />
périphérique utilise cette adresse. Si l’adresse est utilisée, le périphérique sélectionne <strong>des</strong><br />
adresses au hasard jusqu’à ce qu’il en trouve une qui soit disponible. Une fois que le périphérique<br />
s’est assigné une adresse IP, il peut envoyer et recevoir du trafic IP sur le ré<strong>seau</strong>.<br />
52 Chapitre 3 Utilisation du service DNS
Avant de configurer le service DNS<br />
La présente section contient <strong>des</strong> informations qu’il faut prendre en compte avant de<br />
configurer le système DNS sur votre ré<strong>seau</strong>. Comme les problèmes liés à l’administration<br />
du système DNS sont complexes et nombreux, ne configurez pas le service DNS<br />
sur votre ré<strong>seau</strong> si vous n’êtes pas un administrateur DNS expérimenté.<br />
Le livre DNS and BIND, 5th edition (en anglais) de Paul Albitz et Cricket Liu (O’Reilly and<br />
Associates, 2006) est une bonne source d’informations sur le système DNS.<br />
Remarque : <strong>Apple</strong> peut vous aider à trouver un consultant ré<strong>seau</strong> capable d’implémenter<br />
le service DNS. Vous pouvez contacter Services professionnels <strong>Apple</strong> et <strong>Apple</strong> Consultants<br />
Network sur le web à l’adresse www.apple.com/fr/<strong>services</strong> ou consultants.apple.com.<br />
Pensez à créer un alias de courrier électronique, comme « hostmaster », qui reçoit le<br />
courrier et le remet à la personne qui gère le serveur DNS sur votre site. Cela permet<br />
aux utilisateurs et aux autres administrateurs DNS de vous contacter au sujet de problèmes<br />
liés au DNS.<br />
Vous devez configurer au moins un serveur de noms principal et un serveur de noms<br />
secondaire. De la sorte, si le serveur de noms principal s’éteint, le serveur de noms<br />
secondaire peut prendre le relais. Un serveur secondaire obtient ses informations<br />
du serveur principal en copiant périodiquement toutes les informations de domaine<br />
du serveur principal.<br />
Une fois qu’un serveur de noms a reçu la paire nom/adresse d’un hôte situé dans un<br />
autre domaine (en dehors du domaine qu’il sert), les informations sont mises en cache,<br />
ce qui permet de stocker les adresses IP <strong>des</strong> noms résolus récemment pour une utilisation<br />
ultérieure.<br />
Les informations DNS sont généralement mises en cache sur votre serveur de noms<br />
pour une période déterminée que l’on nomme la durée de vie (en anglais « Time-to-Live<br />
value » ou « TTL value »). Lorsque la durée de vie d’une paire nom de domaine/adresse<br />
IP a expiré, l’entrée est supprimée de la mémoire cache du serveur de noms et votre<br />
serveur demande les informations dont il a besoin.<br />
Configuration initiale du service DNS<br />
Si vous utilisez un serveur de noms DNS externe et que vous avez saisi son adresse IP<br />
dans l’Assistant réglages de passerelle, vous ne devez rien faire d’autre.<br />
Si vous configurez votre propre serveur DNS, suivez les étapes de la présente section.<br />
Étape 1 : Enregistrez votre nom de domaine<br />
L’enregistrement <strong>des</strong> noms de domaine est gérée par l’IANA. L’enregistrement IANA<br />
permet de s’assurer que les noms de domaine sont uniques sur Internet (pour en savoir<br />
plus, consultez le site web www.iana.org).<br />
Chapitre 3 Utilisation du service DNS 53
Si vous n’enregistrez pas votre nom de domaine, votre ré<strong>seau</strong> ne peut pas communiquer<br />
sur Internet.<br />
Une fois que vous avez enregistré un nom de domaine, vous pouvez créer <strong>des</strong> sousdomaines<br />
si vous configurez un serveur DNS sur votre ré<strong>seau</strong> pour gérer les noms et<br />
les adresses IP <strong>des</strong> sous-domaines.<br />
Par exemple, si vous enregistrez le nom de domaine exemple.com, vous pourriez créer<br />
<strong>des</strong> sous-domaines tels que hote1.exemple.com, mail.exemple.com ou www.exemple.com.<br />
Un serveur dans un sous-domaine pourrait être nommé principal.www.exemple.com ou<br />
sauvegarde.www.exemple.com.<br />
Le serveur DNS d’exemple.com gère les informations relatives à ses sous-domaines<br />
comme les noms <strong>des</strong> hôtes (ordinateurs), les adresses IP statiques, les alias et les échangeurs<br />
de courrier.<br />
Si votre FAI gère votre service DNS, vous devez l’informer <strong>des</strong> modifications que vous<br />
apportez à votre nom de domaine, y compris aux sous-domaines ajoutés.<br />
La plage <strong>des</strong> adresses IP utilisées avec un domaine doit être clairement définie avant<br />
la configuration. Ces adresses doivent être utilisées exclusivement pour un seul domaine,<br />
jamais par un autre domaine ou sous-domaine. Coordonnez la plage d’adresses avec<br />
votre administrateur ré<strong>seau</strong> ou FAI.<br />
Étape 2 : Apprenez et planifiez<br />
Si vous découvrez le DNS, apprenez et essayez de comprendre les concepts, les outils<br />
et les fonctionnalités DNS de <strong>Mac</strong> <strong>OS</strong> X <strong>Server</strong> et de BIND. Reportez-vous à la section<br />
« Autres sources d’informations » à la page 83.<br />
Une fois que vous êtes prêt, planifiez votre service DNS. Posez-vous les questions suivantes :<br />
 Avez-vous besoin d’un serveur DNS local ? Est-ce que votre FAI fournit le service<br />
DNS ? Pouvez-vous plutôt utiliser <strong>des</strong> noms DNS de multidiffusion ?<br />
 De combien de serveurs avez-vous besoin ? De combien de serveurs supplémentaires<br />
avez-vous besoin à <strong>des</strong> fins de sauvegarde DNS ? Par exemple, devez-vous désigner<br />
un deuxième voire un troisième ordinateur pour la sauvegarde du service DNS ?<br />
 Quelle est votre stratégie en matière de sécurité pour lutter contre l’utilisation non<br />
autorisée ?<br />
 À quelle fréquence devez-vous programmer <strong>des</strong> inspections ou <strong>des</strong> tests périodiques<br />
<strong>des</strong> enregistrements DNS pour vérifier l’intégrité <strong>des</strong> données ?<br />
 Combien de <strong>services</strong> ou périphériques (par exemple, sites web intranet ou imprimantes<br />
ré<strong>seau</strong>) ont besoin d’un nom ?<br />
54 Chapitre 3 Utilisation du service DNS
Il y a deux façons de configurer le service DNS sous <strong>Mac</strong> <strong>OS</strong> X <strong>Server</strong> :<br />
 Utilisez la rubrique Admin Serveur. Cette méthode est recommandée. Pour obtenir<br />
<strong>des</strong> instructions, consultez la rubrique « Configuration du service DNS » à la page 57.<br />
 Modifiez le fichier de configuration BIND. BIND est l’ensemble de programmes utilisés<br />
par <strong>Mac</strong> <strong>OS</strong> X <strong>Server</strong> qui implémente le système DNS. L’un de ces programmes est name<br />
daemon ou named. Pour installer et configurer BIND, vous devez modifier le fichier<br />
de configuration et le fichier de zone. Le fichier de configuration est /etc/named.conf.<br />
Le nom du fichier de zone s’inspire du nom de la zone. Par exemple, le fichier<br />
de zone exemple.com est /var/named/exemple.com.zone.<br />
Si vous modifiez le fichier named.conf pour configurer BIND, ne modifiez pas<br />
les réglages inet de l’instruction de contrôle. Si vous le faites, Admin Serveur<br />
ne pourra pas extraire d’informations d’état sur le DNS.<br />
Les réglages inet ressemblent à ceci :<br />
controls {<br />
inet 127.0.0.1 port 54 allow {any;}<br />
keys { "rndc-key"; };<br />
};<br />
Important : dans <strong>Mac</strong> <strong>OS</strong> X <strong>Server</strong> 10.5, les fichiers de configuration et de zone utilisés<br />
par Admin Serveur ont changé. Si vous modifiez le fichier named.conf et <strong>des</strong> fichiers<br />
de zone manuellement dans Terminal, les informations sont utilisées par le DNS. Les<br />
informations n’apparaissent toutefois pas dans la sous-fenêtre Zones DNS d’Admin<br />
Serveur. En outre, les modifications apportées dans Admin Serveur ne sont pas répercutées<br />
sur le fichier named.conf.<br />
Étape 3 : Activez le service DNS<br />
Avant de configurer le service DNS, activez le service DNS. Consultez la rubrique<br />
« Activation du service DNS » à la page 56.<br />
Étape 4 : Créez une zone DNS et ajoutez <strong>des</strong> enregistrements de machine<br />
Utilisez Admin Serveur pour configurer les zones DNS. Consultez la rubrique<br />
« Configuration de réglages de zone » à la page 58. Après avoir ajouté une zone principale,<br />
Admin Serveur crée un enregistrement de serveur de noms portant le même nom<br />
que la source d’autorité (SOA).<br />
Pour chaque zone que vous créez, <strong>Mac</strong> <strong>OS</strong> X <strong>Server</strong> crée une zone de recherche inversée.<br />
Les zones de recherche inversée traduisent les adresses IP en noms de domaine (à l’inverse,<br />
les recherches normales traduisent <strong>des</strong> noms de domaine en adresses IP).<br />
Utilisez Admin Serveur pour ajouter <strong>des</strong> enregistrements à votre zone. Créez un enregistrement<br />
d’adresse pour chaque ordinateur ou périphérique (par exemple, pour chaque imprimante<br />
ou serveur de fichiers) qui possède une adresse IP statique et a besoin d’un nom.<br />
Différents enregistrements de zone DNS sont créés à partir <strong>des</strong> entrées de machine DNS.<br />
Chapitre 3 Utilisation du service DNS 55
Étape 5 : Configurez <strong>des</strong> zones secondaires<br />
Si nécessaire, utilisez Admin Serveur pour configurer <strong>des</strong> zones secondaires. Consultez<br />
la rubrique « Configuration de réglages de zone secondaire » à la page 60.<br />
Étape 6 : Configurez Bonjour<br />
Utilisez Admin Serveur pour configurer les réglages de Bonjour. Consultez la rubrique<br />
« Configuration de réglages Bonjour » à la page 60.<br />
Étape 7 : Configurez la journalisation<br />
Utilisez Admin Serveur pour spécifier les informations que le service DNS doit journaliser<br />
et l’emplacement du fichier d’historique. Consultez la rubrique « Modification<br />
du niveau de détail de l’historique DNS » à la page 63.<br />
Étape 8 : (Facultatif) Configurez un enregistrement d’échange de courrier (MX)<br />
Si vous fournissez le service de courrier par Internet, configurez un enregistrement<br />
MX pour votre serveur. Consultez la rubrique « Configuration du DNS pour le service<br />
de courrier » à la page 77.<br />
Étape 9 : Configurez votre coupe-feu<br />
Configurez votre coupe-feu pour vous assurer que votre service DNS est protégé contre<br />
les attaques et accessible par vos clients. Consultez le chapitre 4, « Utilisation du service<br />
de coupe-feu ».<br />
Étape 10 : Démarrez le service DNS<br />
<strong>Mac</strong> <strong>OS</strong> X <strong>Server</strong> comporte une interface simple pour le démarrage et l’arrêt du service<br />
DNS. Consultez la rubrique « Démarrage du service DNS » à la page 62.<br />
Activation du service DNS<br />
Avant de configurer <strong>des</strong> réglages DNS, activez le service DNS dans Admin Serveur.<br />
Pour activer le service DNS :<br />
1 Ouvrez Admin Serveur et connectez-vous au serveur.<br />
2 Cliquez sur Réglages.<br />
3 Cliquez sur Services.<br />
4 Cochez la case DNS.<br />
5 Cliquez sur Enregistrer.<br />
56 Chapitre 3 Utilisation du service DNS
Mise à niveau de la configuration DNS<br />
<strong>Mac</strong> <strong>OS</strong> X <strong>Server</strong> 10.5 a été modifié de façon à gérer les entrées DNS de manière plus<br />
efficace. Pour bénéficier de ces modifications, les enregistrements DNS crées dans<br />
les versions antérieures de <strong>Mac</strong> <strong>OS</strong> X <strong>Server</strong> doivent être mis à niveau.<br />
Une fois que vous avez effectué la mise à niveau à <strong>Mac</strong> <strong>OS</strong> X <strong>Server</strong> 10.5 et activé le DNS<br />
dans Admin Serveur, la sous-fenêtre de mise à niveau apparaît la première fois que vous<br />
cliquez sur DNS. (La sous-fenêtre de mise à niveau n’apparaît que si vous avez effectué<br />
la mise à niveau vers <strong>Mac</strong> <strong>OS</strong> X <strong>Server</strong> 10.5. Elle n’apparaît pas si <strong>Mac</strong> <strong>OS</strong> X <strong>Server</strong> 10.5<br />
a été installé directement.)<br />
La sous-fenêtre de mise à niveau comporte deux options :<br />
 « Ne pas mettre à niveau » : si vous choisissez de ne pas effectuer la mise à niveau<br />
de votre configuration, vous ne pouvez pas utiliser Admin Serveur pour configurer<br />
le DNS automatiquement. Vous pouvez configurer les fichiers manuellement en utilisant<br />
le fichier /etc/named.conf pour la configuration du DNS et le fichier /var/named<br />
pour la configuration <strong>des</strong> zones.<br />
 « Mise à niveau de » : l’option de mise à niveau convertit les enregistrements<br />
de fichier DNS puis donne accès aux sous-fenêtres DNS d’Admin Serveur.<br />
Lors de la mise à niveau, <strong>des</strong> fichiers de sauvegarde sont crées. Si les fichiers doivent<br />
être restaurés, cela peut être fait manuellement. Les fichiers de sauvegarde sont enregistrés<br />
dans les mêmes dossiers que les fichiers originaux.<br />
Configuration du service DNS<br />
Configurez le service DNS en configurant les trois groupes de réglages suivants dans<br />
Admin Serveur :<br />
 Zones. Permet de configurer une zone principale et <strong>des</strong> ordinateurs qui figurent dans<br />
la zone et de configurer une copie de la zone principale stockée sur un serveur de noms<br />
secondaire. Définit également <strong>des</strong> informations qui déterminent si vous autorisez<br />
les transferts entre zones.<br />
 Bonjour. Permet de configurer la navigation Bonjour automatique.<br />
 Réglages. Permet de configurer et de gérer les historiques relatifs au service DNS<br />
et de définir la récursivité du service DNS.<br />
Les sections suivantes décrivent comment définir ces réglages. La section finale explique<br />
comme démarrer le service DNS une fois que vous avez fini.<br />
Chapitre 3 Utilisation du service DNS 57
Configuration de réglages de zone<br />
Utilisez Admin Serveur sur le contrôleur de grappe de serveurs pour créer un fichier<br />
de zone DNS local et y ajouter <strong>des</strong> enregistrements pour mettre en correspondance<br />
<strong>des</strong> nœuds de grappe de serveurs avec les adresses IP correspondantes. Le service<br />
Open Directory sur le contrôleur de grappe de serveurs a besoin de ces informations<br />
pour activer la configuration de serveur automatique.<br />
Important : dans <strong>Mac</strong> <strong>OS</strong> X <strong>Server</strong> 10.5, les fichiers de configuration et de zone utilisés<br />
par Admin Serveur ont changé. Si vous modifiez le fichier named.conf et <strong>des</strong> fichiers<br />
de zone manuellement dans Terminal, les informations sont utilisées par le DNS. Les<br />
informations n’apparaissent toutefois pas dans la sous-fenêtre Zones DNS d’Admin Serveur.<br />
De plus, les modifications apportées dans Admin Serveur ne sont pas répercutées<br />
sur le fichier named.conf.Il est recommandé d’utiliser Admin Serveur.<br />
Pour configurer <strong>des</strong> réglages de zone du service DNS :<br />
1 Ouvrez Admin Serveur et connectez-vous au serveur.<br />
2 Cliquez sur le triangle situé à gauche du serveur.<br />
La liste <strong>des</strong> <strong>services</strong> apparaît.<br />
3 Dans la liste Serveurs développée, sélectionnez DNS.<br />
4 Cliquez sur Zones.<br />
5 Cliquez sur Ajouter une zone, puis choisissez « Ajouter une zone principale (maître) ».<br />
6 Sélectionnez la nouvelle zone.<br />
7 Dans le champ Noms dans la zone principale, saisissez le nom de la zone.<br />
Il s’agit du nom de domaine complet du serveur principal.<br />
8 Saisissez l’adresse de courrier électronique de l’administrateur de la zone.<br />
9 Sélectionnez « Autorise le transfert entre zones » pour autoriser les zones secondaires<br />
à obtenir <strong>des</strong> copies <strong>des</strong> données de zone principale.<br />
10 Ajoutez <strong>des</strong> serveurs de noms à cette zone en cliquant sur le bouton Ajouter (+)<br />
et en saisissant le nom dans le champ Serveurs de noms.<br />
11 Ajoutez <strong>des</strong> échangeurs de courrier à cette zone en cliquant sur le bouton Ajouter (+)<br />
et en saisissant le nom dans le champ échangeurs de courrier.<br />
Le contenu de ce champ sert de base à l’enregistrement MX de l’ordinateur.<br />
12 Spécifiez un numéro d’ordre de serveur de messagerie dans le champ Priorité.<br />
Les serveurs de messagerie source essayent de distribuer en priorité le courrier aux<br />
serveurs ayant les numéros les plus bas. Pour plus d’informations, consultez la rubrique<br />
« Configuration du DNS pour le service de courrier » à la page 77.<br />
13 Cliquez sur Expiration et saisissez le nombre d’heures pour chaque réglage.<br />
58 Chapitre 3 Utilisation du service DNS
Saisissez la durée de validité de la zone. Il s’agit de la durée de vie de la zone (sa valeur<br />
TTL). Celle-ci détermine pendant combien de temps les informations reçues en réponse<br />
aux requêtes peuvent être conservées en cache dans les systèmes DNS distants avant<br />
d’envoyer une nouvelle requête au serveur faisant autorité.<br />
Saisissez l’intervalle de temps entre les actualisations <strong>des</strong> zones secondaires à partir<br />
de la zone principale.<br />
Saisissez l’intervalle de temps entre chaque nouvelle tentative en cas d’échec<br />
de la zone secondaire.<br />
Saisissez combien de temps après l’actualisation les données de zone expirent.<br />
14 Cliquez sur Ajouter un enregistrement, puis choisissez « Ajouter un alias (CNAME) ».<br />
Pour afficher la liste <strong>des</strong> enregistrements d’une zone, cliquez sur le triangle à gauche<br />
de la zone.<br />
15 Sélectionnez newAlias sous la zone principale, puis saisissez les informations sur l’alias.<br />
Dans le champ Nom de l’alias, saisissez le nom correspondant. Le contenu de ce champ<br />
sert de base aux enregistrements CNAME de l’ordinateur. Les enregistrements pointeurs<br />
de recherche inversée de l’ordinateur sont créés automatiquement.<br />
Le nom de domaine complet de l’ordinateur apparaît sous le nom de l’alias.<br />
Ajoutez autant d’alias que vous voulez.<br />
16 Cliquez sur Ajouter un enregistrement, puis choisissez « Ajouter une machine (A) ».<br />
17 Sélectionnez new<strong>Mac</strong>hine sous la zone principale, puis saisissez les informations<br />
suivantes sur la machine.<br />
Dans le champ Nom de machine, saisissez le nom d’hôte de l’ordinateur. Le contenu<br />
de ce champ sert de base à l’enregistrement A de l’ordinateur. Les enregistrements<br />
pointeurs de recherche inversée de l’ordinateur sont créés automatiquement.<br />
Cliquez sur le bouton Ajouter (+), puis saisissez l’adresse IP de l’ordinateur.<br />
Saisissez toutes les informations sur le matériel et les logiciels de l’ordinateur dans<br />
les zones de texte correspondantes. Il s’agit <strong>des</strong> bases pour l’enregistrement HINFO<br />
de l’ordinateur.<br />
Saisissez <strong>des</strong> commentaires sur l’ordinateur dans la zone de texte Commentaire.<br />
Le contenu de ce champ sert de base à l’enregistrement TXT de l’ordinateur. Vous pouvez<br />
stocker pratiquement toute chaîne de texte dans la zone <strong>des</strong> commentaires (jusqu’à<br />
255 caractères ASCII). Vous pouvez notamment décrire l’emplacement physique de l’ordinateur<br />
(par exemple, « Serveur de l’étage, armoire B »), le propriétaire de l’ordinateur<br />
(par exemple, « Ordinateur de Jean ») ou écrire toute autre information sur l’ordinateur.<br />
18 Cliquez sur Ajouter un enregistrement, puis choisissez « Ajouter un service (SRV) ».<br />
19 Sous la zone principale, sélectionnez Homepage, puis saisissez les informations sur le service.<br />
20 Cliquez sur Enregistrer.<br />
Chapitre 3 Utilisation du service DNS 59
Configuration de réglages de zone secondaire<br />
Une zone secondaire est une copie d’une zone principale stockée sur un serveur de<br />
noms secondaire. Chaque zone secondaire maintient la liste <strong>des</strong> serveurs principaux<br />
qu’elle contacte pour <strong>des</strong> mises à jour <strong>des</strong> enregistrements dans la zone principale.<br />
Les zones secondaires doivent être configurées pour demander la copie <strong>des</strong> données<br />
de la zone principale. Les zones secondaires utilisent <strong>des</strong> transferts de zone pour obtenir<br />
<strong>des</strong> copies <strong>des</strong> données de zone principale.<br />
Les serveurs de noms secondaires peuvent répondre aux requêtes de recherche<br />
comme les serveurs principaux.<br />
Pour ajouter une zone secondaire :<br />
1 Assurez-vous que le serveur principal est configuré correctement et que les transferts<br />
entre zones sûrs sont activés sur le serveur principal, puis ouvrez Admin Serveur et<br />
connectez-vous au serveur.<br />
2 Cliquez sur le triangle situé à gauche du serveur.<br />
La liste <strong>des</strong> <strong>services</strong> apparaît.<br />
3 Dans la liste Serveurs développée, sélectionnez DNS.<br />
4 Cliquez sur Zones.<br />
5 Cliquez sur Ajouter une zone, puis choisissez « Ajouter une zone secondaire (esclave) ».<br />
6 Sélectionnez la nouvelle zone.<br />
7 Dans le champ Noms dans la zone secondaire, saisissez le nom de la zone.<br />
Le nom de la zone est identique à celui de la zone principale définie sur le serveur<br />
de noms principal.<br />
8 Sous la liste Adresses de la zone principale, cliquez sur le bouton Ajouter (+).<br />
9 Saisissez les adresses IP de chaque serveur principal dans la zone secondaire.<br />
10 Cliquez sur Enregistrer.<br />
Configuration de réglages Bonjour<br />
Avec Bonjour, vous pouvez facilement connecter un ordinateur ou tout autre périphérique<br />
électronique à un ré<strong>seau</strong> Ethernet câblé ou sans fil ou créer <strong>des</strong> ré<strong>seau</strong>x instantanés<br />
comportant plusieurs périphériques sans configuration ré<strong>seau</strong> supplémentaire.<br />
Pour configurer <strong>des</strong> réglages Bonjour du service DNS :<br />
1 Ouvrez Admin Serveur et connectez-vous au serveur.<br />
2 Cliquez sur le triangle situé à gauche du serveur.<br />
La liste <strong>des</strong> <strong>services</strong> apparaît.<br />
3 Dans la liste Serveurs développée, sélectionnez DNS.<br />
4 Cliquez sur Bonjour.<br />
60 Chapitre 3 Utilisation du service DNS
5 Pour activer la recherche Bonjour en zone élargie, cochez « Activer l’accès automatique<br />
aux clients via Bonjour pour le domaine », puis saisissez l’adresse du ré<strong>seau</strong>.<br />
Toutes les zones principales fournissent ce domaine aux clients pour la recherche Bonjour.<br />
6 Cliquez sur Enregistrer.<br />
Configuration de réglages DNS<br />
Utilisez la sous-fenêtre Réglages de DNS pour définir le niveau de détail de l’historique<br />
du service DNS. Vous avez le choix entre un historique très détaillé à <strong>des</strong> fins de débogage<br />
et un historique moins détaillé qui ne contient que les avertissements critiques.<br />
Définissez <strong>des</strong> requêtes récursives auxquelles le serveur DNS répond entièrement (ou<br />
donne une erreur). Sans réponde à la requête, celle-ci est réexpédiée aux adresses IP<br />
que vous avez ajoutées dans la liste Adresses IP du réexpéditeur.<br />
Pour configurer <strong>des</strong> réglages DNS :<br />
1 Ouvrez Admin Serveur et connectez-vous au serveur.<br />
2 Cliquez sur le triangle situé à gauche du serveur.<br />
La liste <strong>des</strong> <strong>services</strong> apparaît.<br />
3 Dans la liste Serveurs développée, sélectionnez DNS.<br />
4 Cliquez sur Réglages.<br />
5 Dans le menu local Niveau de détail de l’historique, sélectionnez le niveau de détail<br />
souhaité :<br />
 Sélectionnez Critique pour ne consigner que les erreurs critiques comme les erreurs<br />
matérielles.<br />
 Sélectionnez Erreur pour consigner toutes les erreurs à l’exception <strong>des</strong> messages<br />
d’avertissement.<br />
 Sélectionnez Avertissement pour consigner tous les avertissements et toutes les erreurs.<br />
 Sélectionnez Note pour ne consigner que les messages, les avertissements et<br />
les erreurs les plus importants.<br />
 Sélectionnez Information pour consigner la plupart <strong>des</strong> messages.<br />
 Sélectionnez Déboguer pour consigner tous les messages.<br />
L’emplacement de l’historique est /Bibliothèque/Logs/.<br />
6 Sous la liste « Accepter les requêtes récursives sur les ré<strong>seau</strong>x suivants », cliquez sur<br />
le bouton Ajouter (+) pour ajouter les ré<strong>seau</strong>x à partir <strong>des</strong>quels les requêtes récursives<br />
sont acceptées, puis saisissez l’adresse <strong>des</strong> ré<strong>seau</strong>x dans la liste.<br />
7 Sous la liste « Adresses IP du réexpéditeur », cliquez sur le bouton Ajouter (+) pour ajouter<br />
les ré<strong>seau</strong>x auxquels les requêtes non autorisées sont réexpédiées, puis saisissez<br />
l’adresse <strong>des</strong> ré<strong>seau</strong>x dans la liste.<br />
8 Cliquez sur Enregistrer.<br />
Chapitre 3 Utilisation du service DNS 61
Démarrage du service DNS<br />
Utilisez Admin Serveur pour démarrer le service DNS.<br />
N’oubliez pas de redémarrer le service DNS lorsque vous apportez <strong>des</strong> modifications<br />
au service DNS dans Admin Serveur.<br />
Pour démarrer le service DNS :<br />
1 Ouvrez Admin Serveur et connectez-vous au serveur.<br />
2 Cliquez sur le triangle situé à gauche du serveur.<br />
La liste <strong>des</strong> <strong>services</strong> apparaît.<br />
3 Dans la liste Serveurs développée, sélectionnez DNS.<br />
4 Cliquez sur Démarrer DNS (sous la liste Serveurs).<br />
Le démarrage du service peut prendre quelques secon<strong>des</strong>.<br />
Gestion du service DNS<br />
Cette section décrit les tâches courantes que vous aurez probablement à effectuer une<br />
fois le service DNS configuré sur votre serveur. Vous trouverez les informations relatives<br />
à la configuration initiale à la rubrique « Configuration du service DNS » à la page 57.<br />
Les fonctionnalités plus avancées nécessitent la configuration de BIND à l’aide de la ligne<br />
de commande et ne font pas l’objet du présent manuel.<br />
Vous pouvez surveiller l’état du DNS pour :<br />
 résoudre <strong>des</strong> problèmes de résolution de noms ;<br />
 vérifier la fréquence d’utilisation du service DNS ;<br />
 rechercher d’éventuelles utilisations non autorisées voire malveillantes du service DNS.<br />
La présente section décrit les tâches de surveillance courantes suivantes relatives<br />
au service DNS.<br />
 « Vérification de l’état du service DNS » à la page 63.<br />
 « Affichage <strong>des</strong> historiques du service DNS » à la page 63.<br />
 « Modification du niveau de détail de l’historique DNS » à la page 63.<br />
 « Arrêt du service DNS » à la page 64.<br />
 « Activation ou désactivation <strong>des</strong> transferts entre zones » à la page 64.<br />
 « Activation de la récursivité » à la page 65.<br />
62 Chapitre 3 Utilisation du service DNS
Vérification de l’état du service DNS<br />
Vous pouvez utiliser Admin Serveur pour vérifier l’état du service DNS.<br />
Pour vérifier l’état du service DNS :<br />
1 Ouvrez Admin Serveur et connectez-vous au serveur.<br />
2 Cliquez sur le triangle situé à gauche du serveur.<br />
La liste <strong>des</strong> <strong>services</strong> apparaît.<br />
3 Dans la liste Serveurs développée, sélectionnez DNS.<br />
4 Cliquez sur Vue d’ensemble pour vérifier si le service est en service, quand il a été<br />
démarré et le nombre de zones allouées.<br />
5 Cliquez sur Historique pour examiner l’historique du service.<br />
Utilisez le champ Filtre au-<strong>des</strong>sus de l’historique pour rechercher <strong>des</strong> entrées spécifiques.<br />
Affichage <strong>des</strong> historiques du service DNS<br />
Le service DNS crée <strong>des</strong> entrées pour les messages d’erreur et d’alerte dans l’historique<br />
système. Le fichier d’historique s’appelle named.log. Vous pouvez filtrer le contenu de<br />
l’historique afin de restreindre le nombre d’entrées affichées et accéder plus facilement<br />
à celles qui vous intéressent.<br />
Pour afficher les historiques, procédez de la manière suivante :<br />
1 Ouvrez Admin Serveur et connectez-vous au serveur.<br />
2 Cliquez sur le triangle situé à gauche du serveur.<br />
La liste <strong>des</strong> <strong>services</strong> apparaît.<br />
3 Dans la liste Serveurs développée, sélectionnez DNS.<br />
4 Cliquez sur Historique et utilisez le champ Filtre au-<strong>des</strong>sus de l’historique pour rechercher<br />
<strong>des</strong> entrées spécifiques.<br />
Modification du niveau de détail de l’historique DNS<br />
Vous pouvez modifier le niveau de détail de l’historique du service DNS. Vous avez le<br />
choix entre un historique très détaillé à <strong>des</strong> fins de débogage et un historique moins<br />
détaillé qui ne contient que les avertissements critiques.<br />
Pour modifier le niveau de détail de l’historique :<br />
1 Ouvrez Admin Serveur et connectez-vous au serveur.<br />
2 Cliquez sur le triangle situé à gauche du serveur.<br />
La liste <strong>des</strong> <strong>services</strong> apparaît.<br />
3 Dans la liste Serveurs développée, sélectionnez DNS.<br />
4 Cliquez sur Réglages.<br />
Chapitre 3 Utilisation du service DNS 63
5 Dans le menu local Niveau d’historique, sélectionnez le niveau de détail souhaité<br />
comme suit :<br />
 Sélectionnez Critique pour ne consigner que les erreurs critiques comme les erreurs<br />
matérielles.<br />
 Sélectionnez Erreur pour consigner toutes les erreurs à l’exception <strong>des</strong> messages<br />
d’avertissement.<br />
 Sélectionnez Avertissement pour consigner tous les avertissements et toutes<br />
les erreurs.<br />
 Sélectionnez Note pour ne consigner que les messages, les avertissements et<br />
les erreurs les plus importants.<br />
 Sélectionnez Information pour consigner la plupart <strong>des</strong> messages.<br />
 Sélectionnez Déboguer pour consigner tous les messages.<br />
6 Cliquez sur Enregistrer.<br />
Arrêt du service DNS<br />
Utilisez Admin Serveur pour arrêter le service DNS.<br />
Pour arrêter le service DNS :<br />
1 Ouvrez Admin Serveur et connectez-vous au serveur.<br />
2 Cliquez sur le triangle situé à gauche du serveur.<br />
La liste <strong>des</strong> <strong>services</strong> apparaît.<br />
3 Dans la liste Serveurs développée, sélectionnez DNS.<br />
4 Cliquez sur Arrêter DNS (sous la liste Serveurs).<br />
5 Cliquez sur Arrêter.<br />
L’arrêt du service peut prendre quelques secon<strong>des</strong>.<br />
Activation ou désactivation <strong>des</strong> transferts entre zones<br />
Dans le DNS, les données de zone sont répliquées sur les différents serveurs DNS faisant<br />
autorité à l’aide de transferts entre zones. Les serveurs DNS secondaires utilisent<br />
les transferts entre zones pour obtenir leurs données auprès <strong>des</strong> serveurs DNS principaux.<br />
Vous devez donc activer les transferts entre zones si vous voulez utiliser <strong>des</strong> serveurs<br />
DNS secondaires.<br />
Pour activer ou désactiver les transferts entre zones :<br />
1 Ouvrez Admin Serveur et connectez-vous au serveur.<br />
2 Cliquez sur le triangle situé à gauche du serveur.<br />
La liste <strong>des</strong> <strong>services</strong> apparaît.<br />
3 Dans la liste Serveurs développée, sélectionnez DNS.<br />
4 Cliquez sur Zones.<br />
64 Chapitre 3 Utilisation du service DNS
5 Sélectionnez la zone principale que vous voulez modifier.<br />
6 Cliquez sur Général.<br />
7 Cochez ou décochez « Autorise le transfert entre zones » pour autoriser les zones<br />
secondaires à obtenir <strong>des</strong> copies <strong>des</strong> données de zone principale.<br />
8 Cliquez sur Enregistrer.<br />
Activation de la récursivité<br />
La récursivité traduit entièrement les noms de domaine en adresses IP. Les applications<br />
dépendent du serveur DNS pour réaliser cette opération. Les autres serveurs DNS qui<br />
interrogent vos serveurs DNS n’ont pas besoin de réaliser la récursivité.<br />
Pour empêcher les utilisateurs malveillants de modifier les enregistrements de la zone<br />
principale (opération que l’on nomme l’empoisonnement du cache) et pour empêcher<br />
l’utilisation du serveur sans autorisation pour le service DNS, vous pouvez restreindre<br />
la récursivité. Toutefois, si vous restreignez la récursivité sur votre ré<strong>seau</strong> privé, vos utilisateurs<br />
ne pourront pas utiliser votre service DNS pour rechercher <strong>des</strong> noms en dehors<br />
de vos zones.<br />
Ne désactivez la récursivité que si :<br />
 aucun client n’utilise le serveur DNS pour la résolution de noms ;<br />
 aucun serveur ne l’utilise pour la redirection.<br />
Pour activer la récursivité :<br />
1 Ouvrez Admin Serveur et connectez-vous au serveur.<br />
2 Cliquez sur le triangle situé à gauche du serveur.<br />
La liste <strong>des</strong> <strong>services</strong> apparaît.<br />
3 Dans la liste Serveurs développée, sélectionnez DNS.<br />
4 Cliquez sur Réglages.<br />
5 Cliquez sur le bouton Ajouter (+) sous la liste « Accepter les requêtes récursives sur<br />
les ré<strong>seau</strong>x suivants ».<br />
6 Saisissez les adresses IP <strong>des</strong> serveurs <strong>des</strong>quels le DNS doit accepter <strong>des</strong> requêtes récursives.<br />
Vous pouvez également saisir <strong>des</strong> plages d’adresse IP.<br />
7 Cliquez sur Enregistrer.<br />
Si vous activez la récursivité, n’oubliez pas de la désactiver pour les adresses IP externes<br />
mais de l’activer pour les adresses IP de ré<strong>seau</strong> local en modifiant le fichier named.conf<br />
de BIND. Toutes les modifications que vous apportez au fichier named.conf n’apparaissent<br />
toutefois pas dans la section DNS d’Admin Serveur. Vous pouvez désactiver entièrement<br />
la récursivité en supprimant toutes les entrées de la liste <strong>des</strong> ré<strong>seau</strong>x. Pour en savoir plus<br />
sur BIND, consultez www.isc.org/sw/bind.<br />
Chapitre 3 Utilisation du service DNS 65
Gestion de zones DNS<br />
Les zones DNS se gèrent à l’aide d’Admin Serveur. Les sections suivantes décrivent<br />
comment gérer et modifier <strong>des</strong> zones DNS.<br />
 « Ajout d’une zone principale » à la page 66<br />
 « Ajout d’une zone secondaire » à la page 67<br />
 « Ajout d’une zone de redirection » à la page 68<br />
 « Modification d’une zone » à la page 68<br />
 « Suppression d’une zone » à la page 68<br />
Ajout d’une zone principale<br />
Utilisez Admin Serveur pour ajouter une zone principale à votre serveur DNS.<br />
Pour ajouter une zone principale :<br />
1 Ouvrez Admin Serveur et connectez-vous au serveur.<br />
2 Cliquez sur le triangle situé à gauche du serveur.<br />
La liste <strong>des</strong> <strong>services</strong> apparaît.<br />
3 Dans la liste Serveurs développée, sélectionnez DNS.<br />
4 Cliquez sur Zones.<br />
5 Cliquez sur Ajouter une zone, puis choisissez « Ajouter une zone principale (maître) ».<br />
6 Sélectionnez la nouvelle zone.<br />
7 Dans le champ Noms dans la zone principale, saisissez le nom de la zone.<br />
Il s’agit du nom de domaine complet du serveur principal.<br />
8 Saisissez l’adresse de courrier électronique de l’administrateur de la zone.<br />
9 Sélectionnez « Autorise le transfert entre zones » pour autoriser les zones secondaires<br />
à obtenir <strong>des</strong> copies <strong>des</strong> données de zone principale.<br />
10 Ajoutez <strong>des</strong> serveurs de noms à cette zone en cliquant sur le bouton Ajouter (+)<br />
et en saisissant le nom dans le champ Serveurs de noms.<br />
11 Ajoutez <strong>des</strong> échangeurs de courrier à cette zone en cliquant sur le bouton Ajouter (+)<br />
et en saisissant le nom dans le champ échangeurs de courrier.<br />
Le contenu de ce champ sert de base à l’enregistrement MX de l’ordinateur.<br />
12 Dans le champ Priorité, spécifiez le numéro d’ordre d’un serveur de messagerie.<br />
Les serveurs de messagerie source essayent de distribuer en priorité le courrier aux<br />
serveurs ayant les numéros les plus bas. Pour plus d’informations, consultez la rubrique<br />
« Configuration du DNS pour le service de courrier » à la page 77.<br />
66 Chapitre 3 Utilisation du service DNS
13 Cliquez sur Expiration et saisissez le nombre d’heures pour chaque réglage.<br />
Saisissez la durée de validité de la zone. Il s’agit de la durée de vie de la zone (sa valeur<br />
TTL). Celle-ci détermine pendant combien de temps les informations reçues en réponse<br />
aux requêtes peuvent être conservées en cache dans les systèmes DNS distants avant<br />
d’envoyer une nouvelle requête au serveur faisant autorité.<br />
Saisissez l’intervalle de temps entre les actualisations <strong>des</strong> zones secondaires à partir<br />
de la zone principale.<br />
Saisissez l’intervalle de temps entre chaque nouvelle tentative en cas d’échec de la zone<br />
secondaire.<br />
Saisissez au bout de combien de temps après l’actualisation les données de zone expirent.<br />
14 Cliquez sur Enregistrer.<br />
Ajout d’une zone secondaire<br />
Utilisez Admin Serveur pour ajouter une zone secondaire à votre serveur DNS.<br />
Effectuez les étapes suivantes sur le serveur secondaire. Avant d’effectuer ces étapes,<br />
vérifiez que le serveur principal est configuré correctement et que les transferts entre<br />
zones sont activés sur le serveur principal.<br />
Pour ajouter une zone secondaire :<br />
1 Sur le serveur secondaire, ouvrez Admin Serveur et connectez-vous au serveur principal.<br />
2 Cliquez sur le triangle situé à gauche du serveur.<br />
La liste <strong>des</strong> <strong>services</strong> apparaît.<br />
3 Dans la liste Serveurs développée, sélectionnez DNS.<br />
4 Cliquez sur Zones.<br />
5 Cliquez sur Ajouter une zone, puis sur « Ajouter une zone secondaire (esclave) ».<br />
6 Sélectionnez la nouvelle zone.<br />
7 Dans le champ Noms dans la zone secondaire, saisissez le nom de la zone.<br />
Le nom de la zone est identique à celui de la zone principale définie sur le serveur<br />
de noms principal.<br />
8 Sous la liste d’adresses Zone principale, cliquez sur le bouton Ajouter (+).<br />
9 Saisissez les adresses IP de chaque serveur principal dans la zone secondaire.<br />
10 Cliquez sur Enregistrer.<br />
Chapitre 3 Utilisation du service DNS 67
Ajout d’une zone de redirection<br />
Une zone de redirection dirige toutes les requêtes de recherche vers d’autres serveurs<br />
DNS. La zone de redirection met également en cache les requêtes de recherche antérieures<br />
pour améliorer la vitesse.<br />
Utilisez Admin Serveur pour ajouter une zone de redirection à votre serveur DNS.<br />
Pour ajouter une zone de redirection :<br />
1 Ouvrez Admin Serveur et connectez-vous au serveur.<br />
2 Cliquez sur le triangle situé à gauche du serveur.<br />
La liste <strong>des</strong> <strong>services</strong> apparaît.<br />
3 Dans la liste Serveurs développée, sélectionnez DNS.<br />
4 Cliquez sur Réglages.<br />
5 Sous la liste Adresses IP du réexpéditeur, cliquez sur le bouton Ajouter (+).<br />
6 Saisissez les adresses IP <strong>des</strong> serveurs maîtres de la zone de redirection.<br />
Une zone de redirection dirige toutes les requêtes de recherche vers d’autres serveurs<br />
DNS. La zone de redirection met également en cache les requêtes de recherche antérieures<br />
pour améliorer la vitesse.<br />
7 Cliquez sur Enregistrer.<br />
Modification d’une zone<br />
Utilisez Admin Serveur pour modifier <strong>des</strong> réglages de zone. Il se peut que vous deviez<br />
modifier l’adresse électronique de l’administrateur ou le nom de domaine d’une zone.<br />
Pour modifier une zone :<br />
1 Ouvrez Admin Serveur et connectez-vous au serveur.<br />
2 Cliquez sur le triangle situé à gauche du serveur.<br />
La liste <strong>des</strong> <strong>services</strong> apparaît.<br />
3 Dans la liste Serveurs développée, sélectionnez DNS.<br />
4 Cliquez sur Zones.<br />
5 Sélectionnez la zone que vous voulez modifier.<br />
6 Modifiez les informations sur la zone comme vous le souhaitez.<br />
7 Cliquez sur Enregistrer.<br />
Suppression d’une zone<br />
Lorsque vous supprimez une zone, tous les enregistrements associés sont également<br />
supprimés.<br />
Pour supprimer une zone :<br />
1 Ouvrez Admin Serveur et connectez-vous au serveur.<br />
68 Chapitre 3 Utilisation du service DNS
2 Cliquez sur le triangle situé à gauche du serveur.<br />
La liste <strong>des</strong> <strong>services</strong> apparaît.<br />
3 Dans la liste Serveurs développée, sélectionnez DNS.<br />
4 Cliquez sur Zones.<br />
5 Sélectionnez la zone que vous voulez supprimer.<br />
6 Cliquez sur Supprimer sous la liste Zones.<br />
7 Cliquez sur Enregistrer.<br />
Importation d’un fichier de zone BIND<br />
Il se peut que vous disposiez déjà d’un fichier de zone BIND provenant d’un serveur<br />
DNS d’une autre plate-forme. Si c’est le cas, plutôt que de saisir les informations dans<br />
Admin Serveur manuellement, vous pouvez utiliser le fichier de zone BIND directement<br />
dans <strong>Mac</strong> <strong>OS</strong> X <strong>Server</strong>.<br />
L’utilisation d’un fichier de zone nécessite :<br />
 <strong>des</strong> autorisations d’accès root au fichier de configuration BIND (/etc/named.conf) ;<br />
 le répertoire de la zone de travail (/var/named/) ;<br />
 <strong>des</strong> connaissances élémentaires de BIND et de l’application Terminal.<br />
À défaut, utilisez les outils DNS d’Admin Serveur.<br />
Important : dans <strong>Mac</strong> <strong>OS</strong> X <strong>Server</strong> 10.5, les fichiers de configuration et de zone utilisés<br />
par Admin Serveur ont changé. Si vous modifiez le fichier named.conf et <strong>des</strong> fichiers de<br />
zone manuellement dans Terminal, les informations sont utilisées par le DNS. Les informations<br />
n’apparaissent toutefois pas dans la sous-fenêtre Zones DNS d’Admin Serveur.<br />
De plus, les modifications apportées dans Admin Serveur ne sont pas répercutées sur<br />
le fichier named.conf.Il est recommandé d’utiliser Admin Serveur.<br />
Pour importer un fichier de zone :<br />
1 Ajoutez la directive de zone au fichier de configuration BIND, /etc/named.conf.<br />
Vous devez disposer de privilèges root pour modifier le fichier named.conf.<br />
Par exemple, pour la zone xyz.com décrite dans le fichier de zone db.xyz.com dans le<br />
dossier de zone de travail /var/named/, la directive de zone pourrait ressembler à ceci :<br />
zone "xyz.com" IN {<br />
// Zone de recherche avant pour xyz.com<br />
type master;<br />
// Il s’agit d’une zone principale<br />
file "db.xyz.com"; // Les infos sur la zone sont stockées dans /<br />
var/named/db.xyz.com<br />
allow-update { none; };<br />
};<br />
2 Confirmez que le fichier de zone doit être ajouté au dossier de zone de travail /var/named/.<br />
3 Redémarrez le service DNS à l’aide d’Admin Serveur.<br />
Chapitre 3 Utilisation du service DNS 69
Gestion d’enregistrements DNS<br />
Chaque zone contient un certain nombre d’enregistrements qui sont nécessaires lorsqu’un<br />
ordinateur client traduit un nom de domaine (par exemple, www.exemple.com) en numéro IP.<br />
Les navigateurs web, les clients de courrier électronique et les autres applications<br />
ré<strong>seau</strong> utilisent les enregistrements d’une zone pour contacter le serveur qui convient.<br />
Les sections suivantes décrivent comment ajouter, modifier et supprimer <strong>des</strong> enregistrements<br />
DNS.<br />
 « Ajout d’un enregistrement d’alias à une zone DNS » à la page 70.<br />
 « Ajout d’un enregistrement de machine à une zone DNS » à la page 71.<br />
 « Ajout d’un enregistrement de service à une zone DNS » à la page 72.<br />
 « Modification d’un enregistrement dans une zone DNS » à la page 72.<br />
 « Suppression d’un enregistrement d’une zone DNS » à la page 73.<br />
Ajout d’un enregistrement d’alias à une zone DNS<br />
Vous devez ajouter <strong>des</strong> enregistrements pour chaque ordinateur dont la zone principale<br />
DNS est responsable. N’ajoutez pas d’enregistrements pour les ordinateurs que<br />
cette zone ne contrôle pas.<br />
Un enregistrement d’alias, ou enregistrement de nom canonique (CNAME), est utilisé<br />
pour créer <strong>des</strong> alias qui pointent vers d’autres noms. Si vous voulez que cet ordinateur<br />
ait plus d’un nom, ajoutez <strong>des</strong> enregistrements d’alias à la zone.<br />
Pour ajouter un enregistrement d’alias DNS :<br />
1 Ouvrez Admin Serveur et connectez-vous au serveur.<br />
2 Cliquez sur le triangle situé à gauche du serveur.<br />
La liste <strong>des</strong> <strong>services</strong> apparaît.<br />
3 Dans la liste Serveurs développée, sélectionnez DNS.<br />
4 Cliquez sur Zones.<br />
5 Sélectionnez la zone à laquelle l’enregistrement doit être ajouté.<br />
6 Cliquez sur Ajouter un enregistrement, puis choisissez Ajouter un alias (CNAME).<br />
Cela ajoute l’enregistrement d’alias à la zone.<br />
7 Sélectionnez newAlias sous la zone, puis saisissez les informations sur l’alias.<br />
Dans le champ Nom de l’alias, saisissez le nom de l’alias. Le contenu de ce champ sert<br />
de base aux enregistrements CNAME de l’ordinateur. Les enregistrements pointeurs<br />
de recherche inversée de l’ordinateur sont créés automatiquement.<br />
Pour utiliser le nom de domaine complet de l’ordinateur, cochez la case Intégralement<br />
qualifié.<br />
70 Chapitre 3 Utilisation du service DNS
8 Cliquez sur Enregistrer.<br />
Ajoutez autant d’alias que vous le souhaitez en ajoutant d’autres enregistrements d’alias.<br />
Ajout d’un enregistrement de machine à une zone DNS<br />
Vous devez ajouter <strong>des</strong> enregistrements pour chaque ordinateur dont la zone principale<br />
DNS est responsable. N’ajoutez pas d’enregistrements pour les ordinateurs que<br />
cette zone ne contrôle pas.<br />
Un enregistrement de machine, ou enregistrement d’adresse (A), est utilisé pour associer<br />
un nom de domaine à une adresse IP. C’est pourquoi il ne peut y avoir qu’une seule<br />
machine par adresse IP car les adresses IP doivent être uniques au sein d’une zone.<br />
Pour ajouter un enregistrement de machine DNS :<br />
1 Ouvrez Admin Serveur et connectez-vous au serveur.<br />
2 Cliquez sur le triangle situé à gauche du serveur.<br />
La liste <strong>des</strong> <strong>services</strong> apparaît.<br />
3 Dans la liste Serveurs développée, sélectionnez DNS.<br />
4 Cliquez sur Zones.<br />
5 Sélectionnez la zone à laquelle l’enregistrement doit être ajouté.<br />
6 Cliquez sur Ajouter un enregistrement, puis choisissez « Ajouter une machine (A) ».<br />
Cela ajoute l’enregistrement de machine à la zone.<br />
7 Sélectionnez new<strong>Mac</strong>hine sous la zone, puis saisissez les informations suivantes sur<br />
la machine.<br />
Dans le champ Nom de machine, saisissez le nom d’hôte de l’ordinateur. Le contenu<br />
de ce champ sert de base à l’enregistrement A de l’ordinateur. Les enregistrements<br />
pointeurs de recherche inversée de l’ordinateur sont créés automatiquement.<br />
Cliquez sur le bouton Ajouter (+), puis saisissez l’adresse IP de l’ordinateur.<br />
Saisissez toutes les informations sur le matériel et les logiciels de l’ordinateur dans<br />
les zones de texte correspondantes. Il s’agit <strong>des</strong> bases pour l’enregistrement HINFO<br />
de l’ordinateur.<br />
Saisissez <strong>des</strong> commentaires sur l’ordinateur dans la zone de texte Commentaire.<br />
Le contenu de ce champ sert de base à l’enregistrement TXT de l’ordinateur.<br />
Vous pouvez stocker jusqu’à 255 caractères ASCII dans la zone <strong>des</strong> commentaires. Vous<br />
pouvez décrire l’emplacement physique de l’ordinateur (par exemple, « Serveur de l’étage,<br />
armoire B »), le propriétaire de l’ordinateur (par exemple, « Ordinateur de Jean ») ou écrire<br />
toute autre information sur l’ordinateur.<br />
8 Cliquez sur Enregistrer.<br />
Chapitre 3 Utilisation du service DNS 71
Ajout d’un enregistrement de service à une zone DNS<br />
Vous devez ajouter <strong>des</strong> enregistrements pour chaque ordinateur dont la zone principale<br />
DNS est responsable. N’ajoutez pas d’enregistrements pour les ordinateurs que<br />
cette zone ne contrôle pas.<br />
Les enregistrements de service (SRV) sont utilisés pour définir l’hôte et le port cible<br />
sur lequel le service DNS travaillera.<br />
Pour ajouter un enregistrement de service DNS :<br />
1 Ouvrez Admin Serveur et connectez-vous au serveur.<br />
2 Cliquez sur le triangle situé à gauche du serveur.<br />
La liste <strong>des</strong> <strong>services</strong> apparaît.<br />
3 Dans la liste Serveurs développée, sélectionnez DNS.<br />
4 Cliquez sur Zones.<br />
5 Sélectionnez la zone à laquelle l’enregistrement doit être ajouté.<br />
6 Cliquez sur Ajouter un enregistrement, puis choisissez Ajouter un service (SRV).<br />
Cela ajoute l’enregistrement de service à la zone.<br />
7 Sous la zone, sélectionnez Homepage, puis saisissez les informations sur le service.<br />
8 Cliquez sur Enregistrer.<br />
Modification d’un enregistrement dans une zone DNS<br />
Chaque fois que vous modifiez l’espace de noms du domaine, vous devez mettre<br />
à jour les enregistrements DNS. Les mises à niveau du matériel ou l’ajout à un nom<br />
de domaine peuvent aussi nécessiter la mise à jour <strong>des</strong> enregistrements DNS.<br />
Vous pouvez dupliquer un enregistrement puis le modifier pour aller plus vite lors<br />
de la configuration.<br />
Pour modifier un enregistrement :<br />
1 Ouvrez Admin Serveur et connectez-vous au serveur.<br />
2 Cliquez sur le triangle situé à gauche du serveur.<br />
La liste <strong>des</strong> <strong>services</strong> apparaît.<br />
3 Dans la liste Serveurs développée, sélectionnez DNS.<br />
4 Cliquez sur Zones.<br />
5 Cliquez sur le triangle à gauche de la zone qui contient l’enregistrement d’ordinateur<br />
à modifier.<br />
La liste <strong>des</strong> enregistrements apparaît.<br />
6 Sélectionnez l’enregistrement à modifier et apportez les modifications souhaitées aux<br />
champs sous la liste.<br />
7 Cliquez sur Enregistrer.<br />
72 Chapitre 3 Utilisation du service DNS
Suppression d’un enregistrement d’une zone DNS<br />
Lorsqu’un ordinateur n’est plus associé à un nom de domaine ou à une adresse utilisable,<br />
supprimez les enregistrements associés.<br />
Pour supprimer un enregistrement :<br />
1 Ouvrez Admin Serveur et connectez-vous au serveur.<br />
2 Cliquez sur le triangle situé à gauche du serveur.<br />
La liste <strong>des</strong> <strong>services</strong> apparaît.<br />
3 Dans la liste Serveurs développée, sélectionnez DNS.<br />
4 Cliquez sur Zones.<br />
5 Cliquez sur le triangle à gauche de la zone qui contient l’enregistrement d’ordinateur<br />
à supprimer.<br />
La liste <strong>des</strong> enregistrements apparaît.<br />
6 Sélectionnez l’enregistrement à supprimer et cliquez sur Supprimer sous la liste.<br />
7 Cliquez sur Enregistrer.<br />
Sécurisation du serveur DNS<br />
Les serveurs DNS sont souvent la cible d’utilisateurs d’ordinateurs malveillants (pirates).<br />
Les serveurs DNS sont la cible de plusieurs types d’attaques. En prenant <strong>des</strong> précautions<br />
supplémentaires, vous pouvez éviter <strong>des</strong> problèmes et les temps d’arrêt associés<br />
aux pirates.<br />
Plusieurs types d’attaques contre la sécurité sont associés au service DNS :<br />
 La mystification du DNS.<br />
 La prospection de serveur (en anglais « server mining »).<br />
 Le profilage du service DNS (en anglais « profiling »).<br />
 Le déni de service (en anglais « denial of service » ou « DoS »).<br />
 Le talonnage de service (en anglais « piggybacking »).<br />
Chapitre 3 Utilisation du service DNS 73
Mystification du DNS<br />
La mystification du DNS consiste à ajouter de fausses données dans le cache du<br />
serveur DNS. Cela permet aux pirates :<br />
 de rediriger les véritables requêtes de nom de domaine vers <strong>des</strong> adresses IP alternatives.<br />
Par exemple, un enregistrement A falsifié relatif à une banque pourrait pointer le navigateur<br />
d’un utilisateur d’ordinateur vers une autre adresse IP contrôlée par le pirate.<br />
Un faux double du site web d’origine pourrait y pousser les utilisateurs à donner leurs<br />
numéros de compte et mots de passe au pirate.<br />
De plus, un enregistrement de courrier électronique falsifié pourrait permettre à un<br />
pirate d’intercepter les courriers envoyés à un à partir d’un domaine. Si le pirate réexpédie<br />
ensuite ce courrier au bon serveur de messagerie après avoir copié le courrier,<br />
personne ne pourrait s’en apercevoir.<br />
 d’empêcher la résolution correcte <strong>des</strong> noms de domaine et l’accès à Internet.<br />
Ce sont les attaques de mystification du DNS les plus bénignes. Elles font juste croire<br />
qu’un serveur DNS ne fonctionne par correctement.<br />
La manière la plus efficace de se protéger de ces attaques est la vigilance. Cela couvre<br />
la mise à jour régulière <strong>des</strong> logiciels et l’analyse régulière <strong>des</strong> enregistrements DNS.<br />
En cas de découverte d’exploits sur la version courante de BIND, <strong>des</strong> corrections sont<br />
apportées et une mise à jour Security Update est publiée pour <strong>Mac</strong> <strong>OS</strong> X <strong>Server</strong>. Appliquez<br />
tous ces correctifs de sécurité. Des analyses régulières de vos enregistrements<br />
DNS peuvent aussi aider à prévenir de telles attaques.<br />
Exploration de serveur<br />
L’exploration de serveur consiste à obtenir une copie d’une zone principale complète<br />
en demandant un transfert de zone. Dans ce cas, un pirate prétend être une zone<br />
secondaire à une autre zone principale et demande une copie de tous les enregistrements<br />
de la zone principale.<br />
Avec une copie de votre zone principale, le pirate peut savoir quels types de <strong>services</strong><br />
un domaine fournit et les adresses IP <strong>des</strong> serveurs qui les fournissent. Il peut alors tenter<br />
<strong>des</strong> attaques spécifiques sur ces <strong>services</strong>. Il s’agit d’une reconnaissance avant une<br />
autre attaque.<br />
Pour se défendre contre une attaque de ce type, spécifiez quelles adresses IP sont autorisées<br />
à demander <strong>des</strong> transferts entre zones (vos serveurs de zone secondaire) et interdisez-le<br />
à tous les autres.<br />
Les transferts entre zones se font par TCP sur le port 53. Pour limiter les transferts entre<br />
zones, bloquez toutes les deman<strong>des</strong> de transfert de zone sauf celles qui proviennent<br />
de vos serveurs DNS secondaires.<br />
74 Chapitre 3 Utilisation du service DNS
Pour spécifier <strong>des</strong> adresses IP de transfert entre zones :<br />
1 Créez un filtre de coupe-feu qui n’autorise que les adresses IP derrière votre coupe-feu<br />
à accéder au port TCP 53.<br />
2 Suivez les instructions de la section « Configuration de règles de coupe-feu avancées »<br />
dans le chapitre 4, « Utilisation du service de coupe-feu, » en utilisant les réglages suivants :<br />
 Paquet : Autoriser<br />
 Port : 53<br />
 Protocole :TCP<br />
 IP source : l’adresse IP de votre serveur DNS secondaire<br />
 IP de <strong>des</strong>tination : l’adresse IP de votre serveur DNS principal<br />
Profilage du service DNS<br />
Une autre technique de reconnaissance fréquemment utilisée par les utilisateurs malveillants<br />
consiste à profiler votre service DNS. Un pirate fait d’abord une demande de<br />
version BIND. Le serveur répond en indiquant quelle version de BIND est en service.<br />
Le pirate compare ensuite la réponse à <strong>des</strong> exploits et vulnérabilités connus dans cette<br />
version de BIND.<br />
Pour se défendre contre ce type d’attaque, configurez BIND de façon à ce qu’il réponde<br />
autre chose que ce qu’il est.<br />
Pour modifier la réponse donnée lorsqu’on demande la version de BIND :<br />
1 Ouvrez un éditeur de texte de ligne de commande (par exemple vi, emacs ou pico).<br />
2 Ouvrez le fichier named.conf en modification.<br />
3 Aux crochets d’options du fichier de configuration, ajoutez ce qui suit :<br />
version "[votre texte, par exemple, « c’est notre affaire ! »]";<br />
4 Enregistrez named.conf.<br />
Déni de service<br />
Ce type d’attaque est fréquent et aisé. Un pirate envoie tellement de deman<strong>des</strong> de<br />
service et de requêtes qu’un serveur utilise toute sa puissance de traitement et toute<br />
sa bande passante ré<strong>seau</strong> pour tenter de répondre. Le pirate empêche donc l’utilisation<br />
légitime du service en le surchargeant.<br />
Il est difficile d’empêcher ce type d’attaque avant qu’elle ne commence. Une surveillance<br />
constante de la charge de travail du service DNS et du serveur permet à un administrateur<br />
de détecter l’attaque tôt et de réduire ses effets néfastes.<br />
La manière la plus simple de se prémunir contre ce type d’attaque consiste à bloquer<br />
l’adresse IP incriminée à l’aide de votre coupe-feu. Consultez la rubrique « Configuration de<br />
règles de coupe-feu avancées » à la page 102. Malheureusement, cela signifie que l’attaque<br />
est déjà en cours et que le serveur répond aux requêtes du pirate et consigne les activités.<br />
Chapitre 3 Utilisation du service DNS 75
Talonnage de service<br />
Ce type d’attaque n’est pas tant réalisée par <strong>des</strong> intrus malveillants que par <strong>des</strong> utilisateurs<br />
d’Internet communs qui apprennent l’astuce d’autres utilisateurs. S’ils trouvent<br />
que le temps de réponse du DNS de leur propre FAI est trop long, ils configurent leur<br />
ordinateur de façon à ce qu’il interroge un autre serveur DNS que les serveurs DNS<br />
de leur FAI. Dans les faits, cela se traduit par un nombre plus élevé d’utilisateurs qui<br />
accèdent au serveur DNS qu’initialement prévu.<br />
Vous pouvez vous protéger contre ce type d’attaque en limitant ou désactivant la récursivité<br />
DNS. Si vous prévoyez de fournir le service DNS aux utilisateurs de votre propre<br />
ré<strong>seau</strong> local, ils ont besoin de la récursivité pour résoudre <strong>des</strong> noms de domaine, mais<br />
ne fournissez pas ce service aux utilisateurs d’Internet.<br />
Pour empêcher entièrement la récursivité, consultez « Activation de la récursivité »<br />
à la page 65.<br />
Le juste milieu le plus fréquent consiste à autoriser la récursivité pour les requêtes provenant<br />
d’adresses IP qui figurent dans votre propre plage mais d’interdire la récursivité<br />
aux adresses externes.<br />
BIND vous permet de spécifier cela dans son fichier de configuration, named.conf.<br />
Modifiez votre fichier named.conf de façon à ce qu’il contienne ce qui suit :<br />
options {<br />
...<br />
allow-recursion{<br />
127.0.0.0/8;<br />
[votre propre plage d’adresses IP, par exemple 192.168.1.0/27];<br />
};<br />
};<br />
Pour en savoir plus, consultez la documentation de BIND.<br />
<strong>Administration</strong> du service Bonjour sur zone élargie<br />
Si votre ordinateur ou périphérique prend en charge Bonjour, il va automatiquement<br />
diffuser et découvrir les <strong>services</strong> fournis par les autres ordinateurs ou périphériques qui<br />
utilisent Bonjour. Vous pouvez mettre en ré<strong>seau</strong> rapidement et simplement <strong>des</strong> ordinateurs<br />
et <strong>des</strong> périphériques qui prennent en charge Bonjour.<br />
La recherche Bonjour peut être gérée et sécurisée à l’aide d’Admin Serveur. Vous pouvez<br />
gérer la recherche Bonjour en désignant un domaine Bonjour pour tous les ordinateurs<br />
et périphériques qui utilisent Bonjour. Lorsque vous activez cette fonctionnalité,<br />
toutes les zones principales fournissent le domaine de recherche Bonjour désigné aux<br />
ordinateurs clients afin qu’ils puissent rechercher les <strong>services</strong> Bonjour.<br />
76 Chapitre 3 Utilisation du service DNS
Pour activer la recherche Bonjour :<br />
1 Ouvrez Admin Serveur et connectez-vous au serveur.<br />
2 Cliquez sur le triangle situé à gauche du serveur.<br />
La liste <strong>des</strong> <strong>services</strong> apparaît.<br />
3 Dans la liste Serveurs développée, sélectionnez DNS.<br />
4 Cliquez sur Bonjour.<br />
5 Cochez la case « Activer l’accès automatique aux clients via Bonjour pour le domaine » et<br />
saisissez un nom de domaine pour la recherche Bonjour (par exemple, bonjour.societe.com).<br />
6 Cliquez sur Enregistrer.<br />
Tâches d’administration de ré<strong>seau</strong> courantes qui utilisent<br />
le service DNS<br />
Les sections qui suivent illustrent <strong>des</strong> tâches d’administration de ré<strong>seau</strong> courantes<br />
qui nécessitent le service DNS.<br />
Configuration du DNS pour le service de courrier<br />
Pour fournir le service de courrier sur votre ré<strong>seau</strong>, vous devez configurer le DNS de<br />
façon à ce que le courrier entrant soit envoyé au bon hôte de courrier sur votre ré<strong>seau</strong>.<br />
Lorsque vous configurez le service de courrier, vous définissez une série d’hôtes, appelés<br />
échangeurs de courrier ou hôtes MX (« Mail Exchanger »), chacun possédant un niveau<br />
de priorité déterminé. L’hôte possédant la priorité la plus élevée reçoit d’abord le courrier.<br />
Si cet hôte est indisponible, l’hôte possédant la priorité suivante reçoit le courrier,<br />
et ainsi de suite.<br />
Imaginons que le nom d’hôte du serveur de messagerie soit fiable dans le domaine exemple.com.<br />
Sans enregistrement MX, les adresses électroniques <strong>des</strong> utilisateurs contiendraient<br />
le nom de l’ordinateur faisant office de serveur de messagerie, comme ceci :<br />
nom@fiable.exemple.com<br />
Pour modifier le serveur de messagerie ou rediriger le courrier, vous devez prévenir<br />
les expéditeurs potentiels que vos utilisateurs ont une nouvelle adresse ou vous pouvez<br />
créer un enregistrement MX pour chaque domaine que vous voulez faire gérer<br />
par votre serveur de messagerie et diriger le courrier vers le ordinateur qui convient.<br />
Lorsque vous configurez un enregistrement MX, ajoutez la liste <strong>des</strong> ordinateurs potentiels<br />
qui peuvent recevoir du courrier pour un domaine. De la sorte, si le serveur est<br />
occupé ou éteint, le courrier est envoyé à un autre ordinateur.<br />
Chapitre 3 Utilisation du service DNS 77
Chaque ordinateur qui figure sur la liste se voit assigner un numéro d’ordre (sa priorité).<br />
Celui qui porte le plus petit numéro est essayé en premier. Si cet ordinateur n’est<br />
pas disponible, le système consulte l’ordinateur qui possède le numéro inférieur suivant,<br />
et ainsi de suite.<br />
Lorsqu’un ordinateur reçoit le courrier, il le conserve et l’envoie au serveur de messagerie<br />
principal une fois que ce dernier est à nouveau disponible, puis le serveur de messagerie<br />
principal distribue le courrier.<br />
Voici un exemple d’enregistrement MX contenant trois ordinateurs pouvant recevoir<br />
du courrier pour le domaine exemple.com :<br />
exemple.com<br />
10 fiable.exemple.com<br />
20 secours.exemple.com<br />
30 dernier-recours.exemple.com<br />
Les enregistrements MX sont également utilisés pour le courrier sortant. Lorsque votre serveur<br />
de courrier envoie du courrier, il consulte l’enregistrement MX pour voir si la <strong>des</strong>tination<br />
est locale ou sur Internet, puis le processus décrit ci-avant se répète en sens inverse.<br />
Si le serveur principal à la <strong>des</strong>tination n’est pas disponible, votre serveur de messagerie<br />
essaye chaque serveur qui figure dans la liste d’enregistrement MX de la <strong>des</strong>tination<br />
jusqu’à ce qu’il en trouve un qui accepte le courrier.<br />
La configuration du DNS pour le service de courrier implique la création d’enregistrement<br />
MX dans le DNS pour vos serveurs de messagerie. Si votre FAI fournit le service<br />
DNS, contactez-le afin qu’il puisse activer vos enregistrement MX. Suivez les étapes ci<strong>des</strong>sous<br />
uniquement si vous fournissez votre propre service DNS.<br />
Il se peut que vous souhaitiez configurer plusieurs serveurs à <strong>des</strong> fins de redondance.<br />
Si c’est le cas, créez un enregistrement MX par serveur auxiliaire.<br />
Pour activer <strong>des</strong> enregistrements MX de votre serveur de courrier :<br />
1 Ouvrez Admin Serveur et connectez-vous au serveur.<br />
2 Cliquez sur le triangle situé à gauche du serveur.<br />
La liste <strong>des</strong> <strong>services</strong> apparaît.<br />
3 Dans la liste Serveurs développée, sélectionnez DNS.<br />
4 Cliquez sur Zones.<br />
5 Sélectionnez la zone à laquelle l’enregistrement doit être ajouté.<br />
6 Cliquez sur le triangle situé à gauche de la zone.<br />
La liste <strong>des</strong> enregistrements apparaît.<br />
78 Chapitre 3 Utilisation du service DNS
7 Cliquez sur Ajouter un enregistrement, puis choisissez « Ajouter une machine (A) ».<br />
Cela ajoute un enregistrement de machine à la zone.<br />
8 Dans le champ Nom de machine, saisissez le nom d’hôte de l’ordinateur.<br />
Si vous voulez utiliser le nom de domaine complet de l’ordinateur, cochez la case Intégralement<br />
qualifié et saisissez le nom de domaine complet de l’ordinateur.<br />
Le contenu de ce champ sert de base à l’enregistrement A de l’ordinateur. Les enregistrements<br />
pointeurs de recherche inversée de l’ordinateur sont créés automatiquement.<br />
9 Cliquez sur le bouton Ajouter (+) et saisissez l’adresses IP de l’ordinateur.<br />
10 Dans les zones de texte correspondantes, saisissez <strong>des</strong> informations sur le matériel<br />
et les logiciels de l’ordinateur.<br />
11 Dans la zone de texte Commentaire, saisissez <strong>des</strong> commentaires sur l’ordinateur.<br />
Le contenu de ce champ sert de base à l’enregistrement TXT de l’ordinateur.<br />
Vous pouvez stocker jusqu’à 255 caractères ASCII dans la zone <strong>des</strong> commentaires. Vous<br />
pouvez décrire l’emplacement physique de l’ordinateur (par exemple, « Serveur de l’étage,<br />
armoire B »), le propriétaire de l’ordinateur (par exemple, « Ordinateur de Jean ») ou écrire<br />
toute autre information sur l’ordinateur.<br />
12 Cliquez sur Enregistrer.<br />
13 Pour ajouter d’autres noms pour cet ordinateur, cliquez sur Ajouter un enregistrement<br />
puis choisissez Ajouter un alias (CNAME).<br />
Ajoutez autant d’alias que vous voulez pour votre serveur.<br />
14 Dans le champ Nom de l’alias, saisissez le nom alternatif de votre ordinateur.<br />
Si vous voulez utiliser le nom de domaine complet de l’alias, cochez la case Intégralement<br />
qualifié et saisissez le nom de domaine complet.<br />
Le contenu de ce champ sert de base aux enregistrements CNAME de l’ordinateur. Les enregistrements<br />
pointeurs de recherche inversée de l’ordinateur sont créés automatiquement.<br />
15 Dans le champ Destination, saisissez le nom de l’ordinateur pour lequel vous créez l’alias.<br />
Si vous voulez utiliser le nom de domaine complet de la <strong>des</strong>tination, cochez la case<br />
Intégralement qualifié et saisissez le nom de domaine complet.<br />
16 Cliquez sur Enregistrer.<br />
17 Dans la liste Serveurs développée, sélectionnez Courrier.<br />
18 Cliquez sur Réglages, puis sur Avancé.<br />
19 Cliquez sur Hébergement.<br />
20 Cliquez sur le bouton Ajouter (+).<br />
21 Dans le champ Alias d’hôte local, saisissez le nom de l’alias que vous venez de créer.<br />
22 Cliquez sur OK, puis sur Enregistrer.<br />
Chapitre 3 Utilisation du service DNS 79
23 Répétez les étapes 7 à 22 pour chaque serveur de courrier.<br />
24 Cliquez sur Enregistrer.<br />
Configuration d’un espace de noms derrière une passerelle NAT<br />
Si vous vous trouvez derrière une passerelle de traduction d’adresses ré<strong>seau</strong> (en anglais<br />
« Network Address Translation » ou « NAT »), vous disposez d’un jeu d’adresses IP spécial<br />
qui ne sont utilisables qu’au sein de l’environnement NAT. Si vous deviez assigner un nom<br />
de domaine à ces adresses au-delà de la passerelle NAT, aucun nom de domaine ne serait<br />
traduit vers le bon ordinateur. Pour en savoir plus sur NAT, consultez le chapitre 5,<br />
« Utilisation du service NAT, » à la page 121.<br />
Vous pouvez toutefois exécuter un service DNS derrière la passerelle en assignant <strong>des</strong><br />
noms d’hôte aux adresses IP NAT. De la sorte, si vous vous trouvez derrière la passerelle<br />
NAT, vous pouvez saisir <strong>des</strong> noms de domaine au lieu <strong>des</strong> adresses IP pour accéder aux<br />
serveurs, aux <strong>services</strong> et aux stations de travail.<br />
Votre serveur DNS devrait aussi disposer d’une zone de redirection pour envoyer<br />
<strong>des</strong> requêtes DNS au-delà de la passerelle NAT pour permettre la résolution de<br />
noms en dehors de la zone de routage couverte.<br />
Les réglages ré<strong>seau</strong> de vos clients doivent mentionner le serveur DNS situé derrière<br />
la passerelle NAT. Le processus de configuration de l’un de ces ré<strong>seau</strong>x est identique<br />
à celui d’un ré<strong>seau</strong> privé. Pour en savoir plus, consultez la rubrique « Liaison d’un ré<strong>seau</strong><br />
local à Internet par une adresse IP » à la page 128.<br />
Si vous configurez un espace de noms derrière la passerelle, les noms saisis par les utilisateurs<br />
qui se trouvent au-delà de la passerelle NAT ne seront pas traduits dans les adresses<br />
qui y sont assignées. Configurez les enregistrements DNS en dehors de la zone couverte<br />
par NAT de façon à ce qu’ils pointent vers la passerelle NAT et utilisent la redirection de<br />
port NAT pour accéder aux ordinateurs qui se trouvent derrière la passerelle NAT. Pour en<br />
savoir plus, consultez la rubrique « Configuration de la redirection de port » à la page 124.<br />
La fonctionnalité DNS multidiffusion de <strong>Mac</strong> <strong>OS</strong> X vous permet d’utiliser, sur votre sousré<strong>seau</strong><br />
local, <strong>des</strong> noms d’hôte possédant le suffixe .local sans devoir activer le DNS. Tout<br />
service ou périphérique qui prend en charge Multicast DNS permet l’utilisation d’un<br />
espace de noms défini par l’utilisateur sur votre sous-ré<strong>seau</strong> local sans devoir installer<br />
ni configurer le DNS.<br />
80 Chapitre 3 Utilisation du service DNS
Répartition de la charge du ré<strong>seau</strong> (permutation circulaire)<br />
BIND permet une répartition de la charge simple en utilisant une méthode de permutation<br />
d’adresses connue sous le nom de permutation circulaire. Il vous suffit de configurer<br />
un ensemble d’adresses IP pour plusieurs hôtes fournissant le même contenu par écriture<br />
miroir et BIND utilise ces adresses l’une à la suite de l’autre lorsqu’il répond à <strong>des</strong> requêtes.<br />
La permutation circulaire ne surveille pas la charge <strong>des</strong> serveurs ni la puissance de traitement.<br />
Elle utilise seulement l’une à la suite de l’autre une série d’adresses pour un nom<br />
d’hôte donné.<br />
La permutation circulaire s’active en ajoutant <strong>des</strong> entrées d’adresse IP à un nom d’hôte<br />
donné. Par exemple, imaginons que vous souhaitiez distribuer le trafic serveur web<br />
entre trois serveurs de votre ré<strong>seau</strong> qui fournissent tous le même contenu par écriture<br />
miroir. Ces serveurs possèdent les adresses IP 192.168.12.12, 192.168.12.13 et 192.168.12.14.<br />
Vous devriez ajouter trois enregistrements de machine avec trois adresses IP différentes,<br />
mais le même nom de domaine.<br />
Lorsque le service DNS détecte plusieurs entrées pour le même hôte, son comportement<br />
par défaut consiste à répondre aux requêtes en les envoyant aux adresses de cette liste<br />
l’une à la suite de l’autre. La première requête reçoit les adresses dans l’ordre A, B, C.<br />
La requête suivante reçoit l’ordre B, C, A, puis C, A, B, et ainsi de suite.<br />
Pour diminuer les effets de la mise en cache locale, vous pouvez réduire la durée de vie<br />
de la zone à une durée de vie assez courte.<br />
Configuration d’un ré<strong>seau</strong> TCP/IP privé<br />
Si votre ré<strong>seau</strong> local dispose d’une connexion à Internet, configurez votre serveur et<br />
vos ordinateurs avec <strong>des</strong> adresses IP et d’autres informations propres à Internet. Vous<br />
obtiendrez ces adresses IP auprès de votre FAI.<br />
S’il n’est pas prévu de connecter votre ré<strong>seau</strong> local à Internet et que vous souhaitez utiliser<br />
TCP/IP pour transmettre <strong>des</strong> informations sur votre ré<strong>seau</strong>, vous pouvez configurer<br />
un ré<strong>seau</strong> TCP/IP privé. Lorsque vous configurez un ré<strong>seau</strong> privé, vous devez choisir <strong>des</strong><br />
adresses IP dans les blocs d’adresses IP réservées par l’IANA pour les intranets privés :<br />
 10.0.0.0–10.255.255.255 (préfixe 10/8)<br />
 172.16.0.0–172.31.255.255 (préfixe 172.16/12)<br />
 172.16.0.0–172.31.255.255 (préfixe 192.168/16)<br />
Important : si vous pensez devoir vous connecter à Internet à l’avenir, inscrivez-vous<br />
dans un registre Internet et utilisez les adresses IP fournies par le registre lors de la configuration<br />
de votre ré<strong>seau</strong> privé. Sinon, lorsque vous vous connecterez à Internet, tous<br />
les ordinateurs de votre ré<strong>seau</strong> devront être reconfigurés.<br />
Chapitre 3 Utilisation du service DNS 81
Si vous configurez un ré<strong>seau</strong> TCP/IP privé, vous pouvez également fournir le service<br />
DNS. Si vous configurez TCP/IP et le DNS sur votre ré<strong>seau</strong> local, vos utilisateurs pourront<br />
accéder facilement à <strong>des</strong> <strong>services</strong> de fichier, web, de courrier et autres sur votre ré<strong>seau</strong>.<br />
Hébergement de plusieurs <strong>services</strong> Internet à une seule adresse IP<br />
Il est possible de faire fournir tous les <strong>services</strong> Internet (par exemple, le service de courrier<br />
ou web) par un seul et même serveur. Ces <strong>services</strong> peuvent tous fonctionner sur<br />
un seul ordinateur à une seule adresse IP.<br />
Vous pouvez avoir plusieurs noms d’hôte dans la même zone pour un seul serveur.<br />
Par exemple, le nom de domaine www.exemple.com peut être traduit dans la même<br />
adresse IP que ftp.exemple.com ou mail.exemple.com. Ce domaine semble correspondre<br />
à plusieurs serveurs à toute personne qui accède à ces <strong>services</strong>, mais il s’agit en réalité<br />
d’un seul et même serveur à une seule et même adresse IP.<br />
La configuration d’enregistrements DNS pour ce service est facile : il suffit d’ajouter <strong>des</strong><br />
alias à l’enregistrement de machine DNS. La configuration de noms DNS pour ces <strong>services</strong><br />
n’active ou ne configure pas les <strong>services</strong>. Elle fournit simplement <strong>des</strong> noms faciles<br />
à retenir pour tous les <strong>services</strong> offerts. Cela peut simplifier l’installation et la configuration<br />
du logiciel client de chaque service.<br />
Par exemple, pour chaque service que vous voulez montrer, vous :<br />
 Créez mail.exemple.com pour la saisie dans les clients de courrier.<br />
N’oubliez pas de cocher la case Serveur de courrier dans la sous-fenêtre <strong>Mac</strong>hine.<br />
 Créez www.exemple.com pour la saisie dans les navigateurs web.<br />
 Créez afp.exemple.com pour le partage <strong>Apple</strong> File Sharing dans le Finder.<br />
 Créez ftp.exemple.com pour la saisie dans les clients FTP.<br />
Au fur et à mesure que vos besoins grandiront, vous pouvez toujours ajouter <strong>des</strong> ordinateurs<br />
au ré<strong>seau</strong> pour prendre en charge ces <strong>services</strong>. Il vous suffira de supprimer l’alias<br />
de l’enregistrement DNS de la machine et de créer un enregistrement pour la nouvelle<br />
machine sans devoir modifier les réglages de vos client.<br />
Hébergement de plusieurs domaines sur le même serveur<br />
Vous pouvez faire fournir tous les <strong>services</strong> Internet (par exemple, le service de courrier<br />
ou web) pour différents noms de domaine par un seul et même serveur. Par exemple,<br />
vous pouvez faire en sorte que le nom de domaine www.exemple.com soit traduit dans<br />
la même adresse IP que www.serveur.org. Ce domaine semble correspondre à plusieurs<br />
serveurs à toute personne qui accède à ces domaines, mais il s’agit en réalité d’un seul<br />
et même serveur à une seule et même adresse IP.<br />
La configuration d’enregistrements DNS pour ce service est facile : il suffit d’ajouter<br />
une zone DNS puis d’y ajouter vos noms d’hôte et informations sur le serveur.<br />
82 Chapitre 3 Utilisation du service DNS
La configuration <strong>des</strong> noms DNS de ces <strong>services</strong> n’active ni ne configure le service pour<br />
ces noms de domaine. Cette configuration est utilisée avec l’hébergement de domaines<br />
virtuel dans les <strong>services</strong> de courrier et web.<br />
Autres sources d’informations<br />
Pour en savoir plus sur DNS et BIND<br />
Consultez les sections suivantes :<br />
 DNS and BIND, 5th edition, par Paul Albitz et Cricket Liu (O’Reilly and Associates, 2006)<br />
 Le site web de l’International Software Consortium :<br />
www.isc.org et www.isc.org/sw/bind<br />
 Le répertoire de ressources DNS Resources Directory :<br />
www.dns.net/dnsrd<br />
Documents RFC<br />
Les documents RFC (Request for Comments) offrent <strong>des</strong> vues d’ensemble de protocoles<br />
ou de <strong>services</strong> particuliers et expliquent le comportement normal du protocole.<br />
Si vous êtes un administrateur de serveur débutant, certaines <strong>des</strong> informations générales<br />
qui figurent dans les documents RFC vous seront certainement utiles.<br />
En revanche, si vous êtes un administrateur de serveur confirmé, vous trouverez <strong>des</strong> détails<br />
techniques concernant un protocole particulier dans le document RFC correspondant.<br />
Vous pouvez rechercher les documents RFC par leur numéro à l’adresse<br />
www.ietf.org/rfc.html.<br />
 A, PTR, CNAME, MX (pour en savoir plus, consultez RFC 1035).<br />
 AAAA (pour en savoir plus, consultez RFC 1886).<br />
Chapitre 3 Utilisation du service DNS 83
4 Utilisation<br />
du service de coupe-feu<br />
4<br />
Ce chapitre décrit comment configurer et gérer le service<br />
de coupe-feu dans <strong>Mac</strong> <strong>OS</strong> X <strong>Server</strong>.<br />
Le service de coupe-feu est le logiciel qui protège les applications ré<strong>seau</strong> qui tournent<br />
sur votre ordinateur <strong>Mac</strong> <strong>OS</strong> X <strong>Server</strong>.<br />
Activer le service de coupe-feu, c’est comme construire un mur pour limiter l’accès à<br />
votre ré<strong>seau</strong>. Le service de coupe-feu analyse les paquets IP entrants et les rejette ou<br />
les accepte sur la base de règles que vous utilisez pour configurer le service de coupe-feu.<br />
Vous pouvez restreindre l’accès à tout service IP exécuté par le serveur ou personnaliser<br />
<strong>des</strong> règles pour les clients entrants ou pour une plage d’adresses IP client.<br />
À propos du service de coupe-feu<br />
Le service de coupe-feu se configure à l’aide d’Admin Serveur. Vous pouvez également<br />
configurer certains réglages en éditant manuellement <strong>des</strong> fichiers de configuration.<br />
85
L’illustration ci-<strong>des</strong>sous montre un exemple de processus de coupe-feu.<br />
L’ordinateur avec l’adresse<br />
IP 10.221.41.33 tente de se<br />
connecter au serveur via<br />
Internet (port 80).<br />
Le serveur commence<br />
à rechercher les règles.<br />
Existe-t-il une<br />
règle pour<br />
le port 80 ?<br />
Oui<br />
Existe-t-il une<br />
règle contenant<br />
l’adresse IP<br />
10.221.41.33 ?<br />
Non<br />
Localisez la règle<br />
Tout port avec<br />
la plage la<br />
plus spécifique<br />
comprenant<br />
l’adresse<br />
10.221.41.33.<br />
Oui<br />
Que précise<br />
la règle ?<br />
Autoriser<br />
Refuser<br />
La connexion<br />
est réalisée.<br />
La connexion<br />
est refusée.<br />
Les <strong>services</strong>, tels que les <strong>services</strong> web et FTP, sont identifiés sur le serveur par un numéro<br />
de port TCP (Transmission Control Protocol) ou UDP (User Datagram Protocol). Lorsqu’un<br />
ordinateur tente de se connecter à un service, le service de coupe-feu analyse la liste <strong>des</strong><br />
règles afin de retrouver le numéro de port correspondant.<br />
Lorsqu’un paquet arrive à une interface ré<strong>seau</strong> et que le coupe-feu est activé, le paquet<br />
est comparé à chaque règle, en commençant par celle portant le numéro le plus petit<br />
numéro (la plus haute priorité). Lorsqu’une règle s’applique au paquet, l’action spécifiée<br />
dans la règle (comme autoriser ou refuser) est exécutée. Ensuite, selon l’action, d’autres<br />
règles peuvent être appliquées.<br />
Les règles que vous définissez sont appliquées aux paquets TCP et UDP. Vous pouvez en<br />
outre définir <strong>des</strong> règles <strong>des</strong>tinées à restreindre les protocoles Internet Control Message Protocol<br />
(ICMP) ou Internet Group Management Protocol (IGMP) en créant <strong>des</strong> règles avancées.<br />
Important : la première fois que vous démarrez le service de coupe-feu, seuls les ports<br />
essentiels à l’administration à distance du serveur sont ouverts, notamment le shell sécurisé<br />
(22) et quelques autres. D’autres ports sont ouverts de manière dynamique pour autoriser<br />
<strong>des</strong> réponses spécifiques à <strong>des</strong> requêtes lancées par le serveur. Pour autoriser l’accès<br />
à distance à d’autres <strong>services</strong> sur votre ordinateur, ouvrez d’autres ports à l’aide de la section<br />
Services de la sous-fenêtre Réglages.<br />
86 Chapitre 4 Utilisation du service de coupe-feu
Si vous prévoyez de partager <strong>des</strong> données par Internet et ne disposez pas d’un routeur<br />
ou coupe-feu dédié pour protéger vos données contre les accès non autorisés, vous devez<br />
utiliser le service de coupe-feu. Ce service convient bien aux petites et moyennes entreprises,<br />
aux écoles et aux petits bureaux ou aux bureaux à domicile.<br />
Les organisations plus importantes disposant d’un coupe-feu peuvent utiliser le service<br />
de coupe-feu pour exercer plus de contrôle sur leurs serveurs. Par exemple, les groupes<br />
de travail d’une grande entreprise ou les écoles d’un groupement d’écoles peuvent utiliser<br />
le service de coupe-feu pour contrôler l’accès à leurs propres serveurs.<br />
Le service de coupe-feu procède également à l’inspection dynamique <strong>des</strong> paquets, ce qui<br />
détermine si un paquet entrant est une réponse légitime à une requête sortante ou fait<br />
partie d’une session en cours. Cela autorise les paquets qui, autrement, seraient refusés.<br />
Pratiques élémentaires en matière de coupe-feu<br />
Par défaut, <strong>Mac</strong> <strong>OS</strong> X <strong>Server</strong> utilise un modèle simple pour réaliser un coupe-feu sécurisé<br />
et pratique. Si un coupe-feu est trop restrictif, le ré<strong>seau</strong> qui se trouve derrière lui peut être<br />
trop isolé. À l’inverse, si un coupe-feu est trop laxiste, il ne sécurise pas les ressources qui<br />
se trouvent derrière lui.<br />
Adhérer aux aspects suivants du modèle élémentaire donne un maximum de flexibilité<br />
et d’utilité avec un minimum de risque involontaire :<br />
 Autoriser les activités IP essentielles.<br />
Les activités IP essentielles couvrent les activités ré<strong>seau</strong> nécessaires pour utiliser IP<br />
et fonctionner dans un environnement IP. Ces activités couvrent <strong>des</strong> opérations comme<br />
bouclage et sont exprimées sous la forme de règles de haute priorité (portant de petits<br />
numéros) que vous pouvez consulter dans la sous-fenêtre Avancé <strong>des</strong> réglages du service<br />
de coupe-feu. Ces règles sont configurées pour vous.<br />
 Autoriser <strong>des</strong> activités spécifiques à un service.<br />
On entend par activités spécifiques à un service les paquets ré<strong>seau</strong> <strong>des</strong>tinés à <strong>des</strong><br />
ports service spécifiques, comme le service web ou le service de courrier. En autorisant<br />
le trafic à accéder à <strong>des</strong> ports sur lesquels <strong>des</strong> <strong>services</strong> déterminés sont configurés,<br />
vous autorisez l’accès au travers du coupe-feu service par service.<br />
Ces <strong>services</strong> sont exprimés sous la forme de règles de priorité moyenne et correspondent<br />
aux cases à cocher de la sous-fenêtre Service <strong>des</strong> réglages de coupe-feu. Vous devez<br />
apporter ces modifications sur la base de vos propres réglages et groupes d’adresses.<br />
 Refuser les paquets qui ne sont pas déjà autorisés.<br />
Il s’agit de l’attrape-tout final. Si un paquet ou du trafic <strong>des</strong>tiné à un port n’est pas sollicité,<br />
le paquet ou trafic est éliminé et n’est pas autorisé à atteindre sa <strong>des</strong>tination. Cela<br />
est exprimé sous la forme de règles de basse priorité (portant un grand numéro) que<br />
vous pouvez consulter dans la sous-fenêtre Avancé <strong>des</strong> réglages du service de coupefeu.<br />
Un jeu de règles de refus de base <strong>des</strong>tinées au coupe-feu est créé par défaut.<br />
Chapitre 4 Utilisation du service de coupe-feu 87
Démarrage du coupe-feu<br />
Bien que le coupe-feu soit traité comme un service par Admin Serveur, il n’est pas<br />
implémenté sous la forme d’un processus exécuté comme les autres <strong>services</strong>. Il s’agit<br />
simplement d’un jeu de comportements au sein du noyau, contrôlé par les outils ipfw<br />
et sysctl. Pour démarrer et arrêter le coupe-feu, Admin Serveur définit un interrupteur<br />
à l’aide de l’outil sysctl.<br />
Lors du démarrage de l’ordinateur, un élément de démarrage nommé IPFilter recherche<br />
le drapeau IPFILTER dans le fichier /etc/hostconfig. Si le drapeau est définit, l’outil<br />
sysctl est utilisé pour activer le coupe-feu comme suit :<br />
$ sysctl -w net.inet.ip.fw.enable=1<br />
À défaut, il désactive le coupe-feu comme suit :<br />
$ sysctl -w net.inet.ip.fw.enable=0<br />
Les règles chargées dans le coupe-feu sont conservées, quel que soit ce réglage. Elles<br />
sont ignorées lorsque le coupe-feu est désactivé.<br />
Comme la plupart <strong>des</strong> éléments de démarrage, l’élément de démarrage IPFilter s’ouvre<br />
dans un ordre prédéterminé et uniquement après que certains éléments de démarrage<br />
prérequis aient démarré. Dans <strong>Mac</strong> <strong>OS</strong> X <strong>Server</strong>, la fenêtre d’ouverture de session est présentée<br />
alors que <strong>des</strong> éléments de démarrage peuvent toujours être en cours de démarrage.<br />
C’est pourquoi il est possible d’ouvrir une session avant que le coupe-feu n’ait activé<br />
ses réglages configurés.<br />
L’élément de démarrage qui configure le coupe-feu devrait, en principe, avoir terminé<br />
quelques minutes après le démarrage du système.<br />
À propos <strong>des</strong> règles de coupe-feu<br />
Lorsque vous démarrez le service de coupe-feu, la configuration par défaut refuse<br />
l’accès aux paquets entrants provenant d’ordinateurs distants, à l’exception de ceux<br />
qui entrent par les ports <strong>des</strong>tinés à la configuration à distance. Cela donne un niveau<br />
de sécurité élevé. Des règles à état sont également en place afin que les réponses aux<br />
requêtes sortantes émises par votre ordinateur soit également autorisées.<br />
Vous pouvez ensuite ajouter <strong>des</strong> règles IP pour autoriser l’accès au serveur aux clients<br />
qui demandent l’accès à <strong>des</strong> <strong>services</strong>. Pour apprendre comment les règles IP fonctionnent,<br />
lisez la section suivante. Pour apprendre comment créer <strong>des</strong> règles IP, consultez<br />
« Gestion du service de coupe-feu » à la page 99.<br />
88 Chapitre 4 Utilisation du service de coupe-feu
Une règle de coupe-feu, qu’est-ce que c’est ?<br />
Une règle de coupe-feu, c’est un ensemble de caractéristiques de paquet IP couplé à<br />
une action à exécuter pour chaque paquet qui répond aux caractéristiques. Parmi ces<br />
caractéristiques, il peut y avoir le protocole, l’adresse source ou de <strong>des</strong>tination, le port<br />
source ou de <strong>des</strong>tination ou l’interface ré<strong>seau</strong>.<br />
Les adresses peuvent être exprimées sous la forme d’une adresse IP unique ou d’une<br />
plage d’adresses.<br />
Un port de service peut être exprimé sous la forme d’une valeur unique, d’une liste<br />
de valeurs ou d’une plage de valeurs.<br />
L’adresse IP et le masque de sous-ré<strong>seau</strong> ensemble déterminent la plage d’adresses IP<br />
à laquelle la règle s’applique et peuvent être définis de manière à s’appliquer à toutes<br />
les adresses.<br />
Adresse IP<br />
Les adresses IP sont composées de quatre segments de valeurs comprises entre 0 et<br />
255 (la plage d’un nombre de 8 bits) séparés par <strong>des</strong> points (par exemple, 192.168.12.12).<br />
Les segments d’une adresses IP vont du plus général ou plus particulier. Par exemple,<br />
le premier segment peut être commun à tous les ordinateurs d’une entreprise alors<br />
que le dernier segment peut n’appartenir qu’à un seul ordinateur se trouvant à un<br />
certain étage d’un certain bâtiment.<br />
Masque de sous-ré<strong>seau</strong><br />
Le masque de sous-ré<strong>seau</strong> indique les segments de l’adresse IP spécifié qui peuvent<br />
varier sur un ré<strong>seau</strong> et dans quelle mesure. Le masque de sous-ré<strong>seau</strong> est exprimé<br />
dans la notation Classless InterDomain Routing (CIDR). Il est composé de l’adresse IP<br />
suivie par un barre oblique (/) et d’un nombre compris entre 1 et 32 appelé le préfixe IP.<br />
Le préfixe IP identifie le nombre de bits significatifs utilisé pour identifier un ré<strong>seau</strong>.<br />
Par exemple, 192.168.2.1/16 signifie que les 16 premiers bits (les deux premiers groupes<br />
de chiffres séparés par un point) sont utilisés pour représenter le ré<strong>seau</strong> (de sorte que<br />
toutes les machines du ré<strong>seau</strong> commencent par 192.168) et que les 16 bits restants (les<br />
deux derniers nombres séparés par <strong>des</strong> points) sont utilisés pour identifier les hôtes.<br />
Chaque machine possède un groupe de nombres final unique.<br />
Les masques de sous-ré<strong>seau</strong> peuvent être exprimés dans une autre notation, en l’occurrence,<br />
l’adresse IP suivie par un deux-points (:) et par le masque de ré<strong>seau</strong>. Le masque<br />
de ré<strong>seau</strong> est un groupe de 4 nombres compris entre 0 et 255 et séparés par <strong>des</strong> points<br />
équivalents à la barre oblique dans la notation CIDR.<br />
Chapitre 4 Utilisation du service de coupe-feu 89
Les adresses avec <strong>des</strong> masques de sous-ré<strong>seau</strong> dans la notation CIDR correspondent à<br />
<strong>des</strong> masque de sous-ré<strong>seau</strong> de notation d’adresse.<br />
CIDR<br />
Correspond au masque<br />
de ré<strong>seau</strong><br />
Nombre d’adresses<br />
dans la plage<br />
/1 128.0.0.0 4.29x10 9<br />
/2 192.0.0.0 2.14x10 9<br />
/3 224.0.0.0 1.07x10 9<br />
/4 240.0.0.0 5.36x10 8<br />
/5 248.0.0.0 1.34x10 8<br />
/6 252.0.0.0 6.71x10 7<br />
/7 254.0.0.0 3.35x10 7<br />
/8 255.0.0.0 1.67x10 7<br />
/9 255.128.0.0 8.38x10 6<br />
/10 255.192.0.0 4.19x10 6<br />
/11 255.224.0.0 2.09x10 6<br />
/12 255.240.0.0 1.04x10 6<br />
/13 255.248.0.0 5.24x10 5<br />
/14 255.252.0.0 2.62x10 5<br />
/15 255.254.0.0 1.31x10 5<br />
/16 255.255.0.0 65536<br />
/17 255.255.128.0 32768<br />
/18 255.255.192.0 16384<br />
/19 255.255.224.0 8192<br />
/20 255.255.240.0 4096<br />
/21 255.255.248.0 2048<br />
/22 255.255.252.0 1024<br />
/23 255.255.254.0 512<br />
/24 255.255.255.0 256<br />
/25 255.255.255.128 128<br />
/26 255.255.255.192 64<br />
/27 255.255.255.224 32<br />
/28 255.255.255.240 16<br />
/29 255.255.255.248 8<br />
/30 255.255.255.252 4<br />
/31 255.255.255.254 2<br />
/32 255.255.255.255 1<br />
90 Chapitre 4 Utilisation du service de coupe-feu
Utilisation de plages d’adresses<br />
Lorsque vous créez un groupe d’adresses à l’aide d’Admin Serveur, vous saisissez une<br />
adresse IP et un masque de sous-ré<strong>seau</strong>. Les trois types de notations d’adresses autorisés<br />
sont :<br />
 Un adresse unique : 192.168.2.1<br />
 Une plage exprimée dans la notation CIDR : 192.168.2.1/24<br />
 Une plage exprimée dans la notation de masque de ré<strong>seau</strong> : 192.168.2.1:255.255.255.0<br />
Admin Serveur affiche la plage d’adresses qui en résulte. Vous pouvez modifier la plage<br />
en modifiant le masque de sous-ré<strong>seau</strong>.<br />
Lorsque vous indiquez une plage de valeurs potentielles pour un segment d’une<br />
adresse, ce segment est appelé un caractère de remplacement. Le tableau qui suit<br />
contient <strong>des</strong> exemples de plages d’adresses créées à <strong>des</strong> fins spécifiques.<br />
Objectif<br />
Créer une règle qui spécifie<br />
une adresse IP unique.<br />
Créer une règle qui laisse le<br />
quatrième segment comme<br />
caractère de remplacement.<br />
Créer une règle qui laisse une partie<br />
du troisième segment et tout<br />
le quatrième segment comme<br />
caractère de remplacement.<br />
Créer une règle qui s’applique<br />
à toutes les adresses entrantes.<br />
Exemple<br />
Adresse IP<br />
Saisissez ceci dans<br />
le champ pour<br />
l’adresse<br />
10.221.41.33 10.221.41.33 ou<br />
10.221.41.33/32<br />
Plage d’adresses<br />
affectée<br />
10.221.41.33<br />
(adresse unique)<br />
10.221.41.33 10.221.41.33/24 10.221.41.0 à<br />
10.221.41.255<br />
10.221.41.33 10.221.41.33/22 10.221.40.0 à<br />
10.221.43.255<br />
Sélectionnez<br />
« Quelconque »<br />
Toutes les adresses IP<br />
Mécanisme et ordre <strong>des</strong> règles<br />
Les règles de la sous-fenêtre Service de Réglages de coupe-feu fonctionnent avec<br />
les règles illustrées dans la sous-fenêtre Avancé.<br />
Généralement, les règles générales de la sous-fenêtre Avancé bloquent l’accès à tous<br />
les ports. Il s’agit de règles de basse priorité (portant <strong>des</strong> numéros élevés) qui sont<br />
appliquées après les règles de la sous-fenêtre Services.<br />
Les règles créées dans la sous-fenêtre Services donnent accès à <strong>des</strong> <strong>services</strong> spécifiques et<br />
sont de plus haute priorité. Elles l’emportent sur celles créées dans la sous-fenêtre Avancé.<br />
Si vous créez plusieurs règles dans la sous-fenêtre Avancé, l’ordre <strong>des</strong> règles est déterminé<br />
par le numéro de règle. Ce numéro correspond à l’ordre de la règle dans la sousfenêtre<br />
Avancé.<br />
Chapitre 4 Utilisation du service de coupe-feu 91
Les règles peuvent être réorganisées en les faisant glisser dans la liste de la sous-fenêtre<br />
Avancé de Réglages de coupe-feu.<br />
Pour la plupart <strong>des</strong> utilisations normales, ouvrir l’accès à <strong>des</strong> <strong>services</strong> déterminés dans<br />
la sous-fenêtre Avancé suffit. Si nécessaire, vous pouvez ajouter <strong>des</strong> règles à l’aide de<br />
la sous-fenêtre Avancé.<br />
Adresses IP multiples<br />
Un serveur peut prendre en charge plusieurs adresses IP multiconnectées, mais le service<br />
de coupe-feu applique un ensemble de règles à toutes les adresses IP de serveur.<br />
Si vous créez plusieurs adresses IP alias, les règles que vous créez s’appliquent à toutes<br />
ces adresses IP.<br />
Modification de règles de coupe-feu IPv6<br />
Lorsque vous configurez et utilisez le service de coupe-feu dans <strong>Server</strong> Admin, par<br />
défaut, ipfw et ip6fw sont démarrés. Tout le trafic IPv6 à l’exception du trafic local<br />
est toutefois bloqué.<br />
Vous pouvez ignorer les règles IPv6 en utilisant l’outil ip6fw, mais vos règles seront<br />
écrasées après le redémarrage du service de coupe-feu ou du serveur.<br />
Vous pouvez contrôler la manière dont le coupe-feu dans <strong>Server</strong> Admin gère le coupefeu<br />
IPv6 avec les deux clés suivantes dans le fichier /etc/ipfilter/ip_address_groups.plist :<br />
IPv6Mode<br />
DenyAllExceptLocal<br />
IPv6Control<br />
<br />
La clé IPv6Mode vous permet de contrôler quelles règles IPv6 doivent être appliquées.<br />
Il existe trois réglages possibles pour la chaîne IPv6Mode :<br />
 DenyAllExceptLocal<br />
 DenyAll<br />
 NoRules<br />
Par défaut, la chaîne de la clé IPv6Mode est réglée sur DenyAllExceptLocal. Ce réglage<br />
s’applique aux règles suivantes, ce qui refuse tout trafic IPv6 mais autorise le trafic sur<br />
le ré<strong>seau</strong> local :<br />
add 1 allow udp from any to any 626<br />
add 1000 allow all from any to any via lo0<br />
add 1100 allow all from any to ff02::/16<br />
65000 deny ipv6 from any to any<br />
Si vous réglez la chaîne IPv6Mode sur DenyAll, seule la règle suivante est appliquée,<br />
ce qui bloque tout le trafic IPv6.<br />
65000 deny ipv6 from any to any<br />
92 Chapitre 4 Utilisation du service de coupe-feu
Si vous réglez la chaîne IPv6Mode sur NoRules, aucune règle n’est créée pour IPv6.<br />
Si votre ré<strong>seau</strong> est entièrement en IPv6, il se peut que vous vouliez utiliser cette règle<br />
et utiliser l’outil ip6fw pour créer <strong>des</strong> règles de redéfinition pour IPv6 et créer un script<br />
qui applique à nouveau les règles au redémarrage du service de coupe-feu ou du serveur.<br />
La clé IPv6Control vous permet de définir une valeur booléenne qui détermine si ip6fw<br />
démarre ou s’arrête lorsque ipfw démarre ou s’arrête. Si cette valeur est réglée sur vrai,<br />
ip6fw démarre et s’arrête quand ipfw démarre ou s’arrête. Si cette valeur est réglée sur<br />
faux, seul ipfw démarre ou s’arrête. Par défaut, la valeur est réglée sur vrai.<br />
Présentation générale de la configuration<br />
Une fois que vous avez décidé <strong>des</strong> types de règles à configurer, suivez les étapes ci-<strong>des</strong>sous<br />
pour configurer le service de coupe-feu. Si vous avez besoin d’aide pour effectuer ces étapes,<br />
consultez « Configuration du service de coupe-feu » à la page 95 et d’autres rubriques<br />
citées dans les étapes.<br />
Étape 1 : Apprenez et planifiez<br />
Si vous êtes un nouveau venu dans l’utilisation du service de coupe-feu, apprenez et<br />
comprenez les concepts liés au coupe-feu, les outils et les fonctionnalités de <strong>Mac</strong> <strong>OS</strong> X<br />
<strong>Server</strong> et de BIND. Pour en savoir plus, consultez la rubrique « À propos <strong>des</strong> règles de<br />
coupe-feu » à la page 88.<br />
Déterminez ensuite à quels <strong>services</strong> vous voulez donner accès. Pour les <strong>services</strong> de<br />
courrier, web et FTP il faut généralement donner un accès aux ordinateurs qui se trouvent<br />
sur Internet. Les <strong>services</strong> de fichiers et d’impression peuvent plus probablement<br />
être restreints à votre sous-ré<strong>seau</strong> local.<br />
Une fois que vous avez décidé <strong>des</strong> <strong>services</strong> à protéger à l’aide du service de coupe-feu,<br />
déterminez les adresses IP auxquelles vous voulez donner accès à votre serveur et les<br />
adresses IP auxquelles vous voulez refuser l’accès à votre serveur. Configurez ensuite<br />
les règles nécessaires.<br />
Étape 2 : Activez le service de coupe-feu<br />
Dans Admin Serveur, sélectionnez Coupe-feu puis cliquez sur Démarrer le coupe-feu.<br />
Par défaut, cela bloque tous les ports entrants à l’exception de ceux utilisés pour configurer<br />
le serveur à distance. Si vous configurez le serveur localement, désactivez immédiatement<br />
l’accès depuis l’extérieur.<br />
Important : si vous ajoutez ou modifiez une règle après avoir démarré le service de<br />
coupe-feu, la nouvelle règle a un effet sur les connexions déjà établies avec le serveur.<br />
Par exemple, si vous refusez l’accès à votre serveur FTP après avoir démarré le service<br />
de coupe-feu, les ordinateurs connectés à votre serveur FTP seront déconnectés.<br />
Chapitre 4 Utilisation du service de coupe-feu 93
Étape 3 : Configurez les réglages relatifs aux groupes d’adresses du coupe-feu<br />
Créez le groupe d’adresses IP auquel les règles de coupe-feu s’appliqueront. Par défaut,<br />
un groupe d’adresses IP est créé pour toutes les adresses IP entrantes. Les règles appliquées<br />
à ce groupe affectent l’ensemble du trafic ré<strong>seau</strong> entrant. Consultez la rubrique<br />
« Configuration de réglages de groupes d’adresses » à la page 95.<br />
Étape 4 : Configurez les réglages relatifs au service de coupe-feu<br />
Activez <strong>des</strong> règles de service pour chaque groupe d’adresses. Dans la sous-fenêtre Services,<br />
vous pouvez activer <strong>des</strong> règles sur la base de groupes d’adresses comme numéros IP<br />
de <strong>des</strong>tination. Consultez la rubrique « Configuration de réglages de <strong>services</strong> » à la page 96.<br />
Étape 5 : Configurez les réglages relatifs à la journalisation du coupe-feu<br />
Utilisez les réglages de journalisation pour activer la journalisation <strong>des</strong> événements du service<br />
de coupe-feu. Vous pouvez également définir les types et le nombre de paquets à journaliser.<br />
Consultez la rubrique « Configuration <strong>des</strong> réglages de journalisation » à la page 97.<br />
Étape 6 : Configurez les réglages avancés du coupe-feu<br />
Configurez les règles de coupe-feu avancées qui sont utilisées pour configurer plus<br />
avant tous les autres <strong>services</strong>, renforcer la sécurité de votre ré<strong>seau</strong> et affiner le trafic<br />
ré<strong>seau</strong> au travers du coupe-feu. Consultez la rubrique « Configuration de règles de<br />
coupe-feu avancées » à la page 102.<br />
Par défaut, tout le trafic UDP est bloqué, à l’exception du trafic en réponse à une<br />
requête sortante. Appliquez <strong>des</strong> règles aux ports UDP avec parcimonie, si vous en<br />
appliquez, car refuser certaines réponses UDP pourrait empêcher le fonctionnement<br />
normal du ré<strong>seau</strong>.<br />
Si vous configurez <strong>des</strong> règles pour les ports UDP, ne cochez pas la case « Journaliser<br />
tous les paquets acceptés » dans la sous-fenêtre Réglages de journalisation du coupefeu,<br />
dans Admin Serveur. Comme UDP est un protocole sans connexion, tout paquet<br />
adressé à un port UDP est journalisé si vous cochez cette case.<br />
Pour apprendre comment les règles IP fonctionnent, lisez « À propos <strong>des</strong> règles de coupefeu<br />
» à la page 88.<br />
Étape 7 : Activez le service de coupe-feu<br />
Le service de coupe-feu s’active dans Admin Serveur. Consultez la rubrique « Démarrage<br />
du service de coupe-feu » à la page 98.<br />
Important : si vous ajoutez ou modifiez une règle après avoir démarré le service<br />
de coupe-feu, la nouvelle règle affecte les connexions déjà établies avec le serveur.<br />
Par exemple, si vous refusez tout accès à votre serveur FTP après avoir démarré le service<br />
de coupe-feu, les ordinateurs connectés à votre serveur FTP seront déconnectés.<br />
94 Chapitre 4 Utilisation du service de coupe-feu
Activation du service de coupe-feu<br />
Avant de pouvoir configurer les réglages de coupe-feu, vous devez activer le service<br />
de coupe-feu dans Admin Serveur.<br />
Pour activer le service de coupe-feu :<br />
1 Ouvrez Admin Serveur et connectez-vous au serveur.<br />
2 Cliquez sur Réglages.<br />
3 Cliquez sur Services.<br />
4 Cochez la case Coupe-feu.<br />
5 Cliquez sur Enregistrer.<br />
Configuration du service de coupe-feu<br />
L’on configure le service de coupe-feu en configurant les réglages suivants dans la sousfenêtre<br />
Réglages du service de coupe-feu dans <strong>Server</strong> Admin.<br />
 Groupes d’adresses : permet de configurer les groupes d’adresses IP auxquelles<br />
les règles de coupe-feu s’appliquent.<br />
 Services : permet de spécifier quels <strong>services</strong> sont autorisés à envoyer et recevoir<br />
<strong>des</strong> informations au travers du coupe-feu.<br />
 Journalisation : permet d’activer la journalisation <strong>des</strong> événements du service<br />
de coupe-feu et de définir le type et le nombre de paquets à journaliser.<br />
 Avancée : (facultatif) permet de configurer <strong>des</strong> règles avancées et de définir l’ordre<br />
<strong>des</strong> règles.<br />
Les sections qui suivent décrivent les tâches requises pour la configuration de ces<br />
réglages. La section finale montre comment démarrer le service de coupe-feu une<br />
fois que vous l’avez configuré.<br />
Configuration de réglages de groupes d’adresses<br />
Vous pouvez définir <strong>des</strong> groupes d’adresses IP pour vos règles de coupe-feu. Vous<br />
pouvez ensuite utiliser ces groupes pour organiser et cibler les règles.<br />
Le groupe d’adresses Quelconque couvre toutes les adresses. Deux autres groupes<br />
d’adresses IP sont présents par défaut. Ils sont <strong>des</strong>tinés à l’ensemble de la plage de ré<strong>seau</strong><br />
10 d’adresses privées et à l’ensemble de la plage ré<strong>seau</strong> 192.168 d’adresses privées.<br />
Les adresses peuvent être affichées sous la forme d’adresses individuelles (192.168.2.2),<br />
d’adresses IP et masque de sous-ré<strong>seau</strong> en notation CIDR (192.168.2.0/24) ou d’adresses<br />
IP et masque de sous-ré<strong>seau</strong> en notation de masque de ré<strong>seau</strong><br />
(192.168.2.0:255.255.255.0).<br />
Chapitre 4 Utilisation du service de coupe-feu 95
Pour configurer <strong>des</strong> réglages de groupe d’adresses<br />
1 Ouvrez Admin Serveur et connectez-vous au serveur.<br />
2 Cliquez sur le triangle situé à gauche du serveur.<br />
La liste <strong>des</strong> <strong>services</strong> apparaît.<br />
3 Dans la liste Serveurs développée, sélectionnez Coupe-feu.<br />
4 Cliquez sur Réglages, puis sur Groupes d’adresses.<br />
5 Sous la sous-fenêtre Groupe d’adresses, cliquez sur le bouton Ajouter (+).<br />
6 Dans le champ Nom du groupe, saisissez le nom du groupe.<br />
7 Saisissez les adresses et le masque de sous-ré<strong>seau</strong> auxquels vous voulez appliquer les règles.<br />
Utilisez les boutons Ajouter (+) et Supprimer (–).<br />
Pour indiquer une adresse IP, utilisez la valeur « Quelconque ».<br />
8 Cliquez sur OK.<br />
9 Cliquez sur Enregistrer.<br />
Configuration de réglages de <strong>services</strong><br />
Par défaut, le service de coupe-feu autorise toutes les connexions UDP et bloque les<br />
connexions TCP entrantes sur les ports qui ne sont pas essentiels pour l’administration<br />
à distance du serveur. De plus, par défaut, <strong>des</strong> règles à état qui autorisent <strong>des</strong> réponses<br />
spécifiques à <strong>des</strong> requêtes sortantes sont en place.<br />
Avant d’activer le service de coupe-feu, assurez-vous que vous avez défini <strong>des</strong> règles<br />
autorisant l’accès à partir d’adresses IP de votre choix. À défaut, personne ne pourra<br />
accéder à votre serveur.<br />
Vous pouvez autoriser facilement les <strong>services</strong> standard à passer au travers du coupe-feu<br />
sans configuration avancée ni complète. Parmi les <strong>services</strong> Standard, il existe les <strong>services</strong><br />
suivants :<br />
 Accès SSH<br />
 Service web<br />
 Service de fichiers <strong>Apple</strong><br />
 Service de fichiers Windows<br />
 Service FTP<br />
 Partage d’imprimantes<br />
 DNS/Multicast DNS<br />
 ICMP Echo Reply (pings entrants)<br />
 IGMP<br />
 VPN PPTP<br />
 VPN L2TP<br />
96 Chapitre 4 Utilisation du service de coupe-feu
 Diffusion en continu de données QTSS<br />
 Partage de musique iTunes<br />
Important : si vous ajoutez ou modifiez une règle après avoir démarré le service de<br />
coupe-feu, la nouvelle règle a un effet sur les connexions déjà établies avec le serveur.<br />
Par exemple, si vous refusez tout accès à votre serveur FTP après avoir démarré le service<br />
de coupe-feu, les ordinateurs connectés à votre serveur FTP seront déconnectés.<br />
Pour configurer les <strong>services</strong> coupe-feu standard :<br />
1 Ouvrez Admin Serveur et connectez-vous au serveur.<br />
2 Cliquez sur le triangle situé à gauche du serveur.<br />
La liste <strong>des</strong> <strong>services</strong> apparaît.<br />
3 Dans la liste Serveurs développée, sélectionnez Coupe-feu.<br />
4 Cliquez sur Réglages, puis sur Services.<br />
5 Dans le menu local Modifier les <strong>services</strong> pour, sélectionnez un groupe d’adresses.<br />
6 Pour le groupe d’adresses, choisissez d’autoriser tout le trafic provenant de n’importe<br />
quel port ou de n’autoriser que le trafic sur les ports spécifiés.<br />
7 Pour chaque service que le groupe d’adresses doit utiliser, sélectionnez Autoriser.<br />
Si vous ne voyez pas le service dont vous avez besoin, ajoutez un port et une <strong>des</strong>cription<br />
à la liste <strong>des</strong> <strong>services</strong>.<br />
Pour créer une règle personnalisée, consultez « Configuration <strong>des</strong> réglages avancés »<br />
à la page 98.<br />
8 Cliquez sur Enregistrer.<br />
Configuration <strong>des</strong> réglages de journalisation<br />
Vous pouvez sélectionner les types de paquets à journaliser. Vous pouvez ne journaliser<br />
que les paquets auxquels l’accès est refusé, que les paquets auxquels l’accès est<br />
autorisé ou les deux.<br />
Chaque option de journalisation peut générer de nombreuses entrées d’historique<br />
mais il est possible de limiter le volume. Vous pouvez :<br />
 Ne journaliser que les paquets autorisés ou les paquets refusés, plutôt que tous<br />
les paquets.<br />
 Ne journaliser les paquets que le temps qu’il faut.<br />
 Utiliser la sous-fenêtre Réglages de journalisation pour limiter le nombre total de paquets.<br />
 Ajouter une règle de comptage dans la sous-fenêtre Réglages avancés pour enregistrer<br />
le nombre de paquets qui répondent aux caractéristiques que vous voulez mesurer.<br />
Chapitre 4 Utilisation du service de coupe-feu 97
Pour configurer <strong>des</strong> historiques du coupe-feu :<br />
1 Ouvrez Admin Serveur et connectez-vous au serveur.<br />
2 Cliquez sur le triangle situé à gauche du serveur.<br />
La liste <strong>des</strong> <strong>services</strong> apparaît.<br />
3 Dans la liste Serveurs développée, sélectionnez Coupe-feu.<br />
4 Cliquez sur Réglages, puis sur Journalisation.<br />
5 Cochez la case Activer la journalisation et choisissez de journaliser les paquets autorisés,<br />
les paquets refusés ou un nombre déterminé de paquets.<br />
6 Cliquez sur Enregistrer.<br />
Configuration <strong>des</strong> réglages avancés<br />
Utilisez la sous-fenêtre Réglages avancés d’Admin Serveur pour configurer <strong>des</strong> règles<br />
spécifiques au service de coupe-feu. Il s’agit d’une étape de configuration facultative<br />
pour le service de coupe-feu.<br />
Pour en savoir plus, consultez la rubrique « Configuration de règles de coupe-feu<br />
avancées » à la page 102.<br />
Démarrage du service de coupe-feu<br />
Par défaut, le service de coupe-feu bloque les connexions TCP entrantes et refuse les<br />
paquets UDP, à l’exception de ceux reçus en réponse à <strong>des</strong> requêtes sortantes du serveur.<br />
Avant d’activer le service de coupe-feu, assurez-vous que vous avez défini <strong>des</strong> règles<br />
autorisant l’accès à partir d’adresses IP de votre choix. À défaut, personne ne pourra<br />
accéder à votre serveur.<br />
Si vous ajoutez ou modifiez une règle après avoir démarré le service de coupe-feu, la nouvelle<br />
règle a un effet sur les connexions déjà établies avec le serveur. Par exemple, si vous<br />
refusez tout accès à votre serveur FTP après avoir démarré le service de coupe-feu, les ordinateurs<br />
connectés à votre serveur FTP seront déconnectés.<br />
Pour démarrer le service de coupe-feu :<br />
1 Ouvrez Admin Serveur et connectez-vous au serveur.<br />
2 Cliquez sur le triangle situé à gauche du serveur.<br />
La liste <strong>des</strong> <strong>services</strong> apparaît.<br />
3 Dans la liste Serveurs développée, sélectionnez Coupe-feu.<br />
4 Cliquez sur le bouton Démarrer le coupe-feu sous la liste Serveurs.<br />
98 Chapitre 4 Utilisation du service de coupe-feu
Gestion du service de coupe-feu<br />
Une fois que vous avez configuré le service de coupe-feu, vous pouvez utiliser Admin<br />
Serveur pour la gestion quotidienne.<br />
Arrêt du service de coupe-feu<br />
L’on utilise Admin Serveur pour arrêter le service de coupe-feu.<br />
Pour arrêter le service de coupe-feu :<br />
1 Ouvrez Admin Serveur et connectez-vous au serveur.<br />
2 Cliquez sur le triangle situé à gauche du serveur.<br />
La liste <strong>des</strong> <strong>services</strong> apparaît.<br />
3 Dans la liste Serveurs développée, sélectionnez Coupe-feu.<br />
4 Cliquez sur Arrêter le coupe-feu.<br />
Création d’un groupe d’adresses<br />
Utilisez Admin Serveur pour créer <strong>des</strong> groupes d’adresses pour le service de coupe-feu.<br />
Pour créer un groupe d’adresses :<br />
1 Ouvrez Admin Serveur et connectez-vous au serveur.<br />
2 Cliquez sur le triangle situé à gauche du serveur.<br />
La liste <strong>des</strong> <strong>services</strong> apparaît.<br />
3 Dans la liste Serveurs développée, sélectionnez Coupe-feu.<br />
4 Cliquez sur Réglages, puis sur Groupes d’adresses.<br />
5 Sous la liste Groupes d’adresses IP, cliquez sur le bouton Ajouter (+).<br />
6 Dans le champ Nom du groupe, saisissez le nom du groupe.<br />
7 Saisissez les adresses et le masque de sous-ré<strong>seau</strong> auxquels vous voulez appliquer les règles.<br />
Utilisez les boutons Ajouter (+) et Supprimer (–).<br />
Pour indiquer une adresse IP, utilisez la valeur « Quelconque ».<br />
8 Cliquez sur OK.<br />
9 Cliquez sur Enregistrer.<br />
Chapitre 4 Utilisation du service de coupe-feu 99
Modification ou suppression d’un groupe d’adresses<br />
Vous pouvez modifier <strong>des</strong> groupes d’adresses pour modifier la plage d’adresses IP<br />
affectées. Le groupe d’adresses par défaut couvre toutes les adresses. Vous pouvez supprimer<br />
<strong>des</strong> groupes d’adresses de la liste <strong>des</strong> règles du coupe-feu. Les règles associées<br />
à ces adresses sont également supprimées.<br />
Les adresses peuvent être affichées sous la forme d’adresses individuelles (192.168.2.2),<br />
d’adresses IP et masque de ré<strong>seau</strong> en notation CIDR (192.168.2.0/24) ou d’adresses IP<br />
et masque de ré<strong>seau</strong> en notation de masque de ré<strong>seau</strong> (192.168.2.0:255.255.255.0).<br />
Pour modifier ou supprimer un groupe d’adresses :<br />
1 Ouvrez Admin Serveur et connectez-vous au serveur.<br />
2 Cliquez sur le triangle situé à gauche du serveur.<br />
La liste <strong>des</strong> <strong>services</strong> apparaît.<br />
3 Dans la liste Serveurs développée, sélectionnez Coupe-feu.<br />
4 Cliquez sur Réglages, puis sur Groupes d’adresses.<br />
5 Dans la liste Groupes d’adresses IP, sélectionnez le nom du groupe.<br />
6 Faites votre choix parmi les suivants :<br />
Pour modifier un groupe d’adresses IP, cliquez sur le bouton Modifier (/) sous la liste.<br />
Pour supprimer un groupe d’adresses IP, cliquez sur le bouton Supprimer (–) sous la liste.<br />
7 Modifiez le nom du groupe ou les adresses comme vous le souhaitez, puis cliquez sur OK.<br />
8 Cliquez sur Enregistrer.<br />
Duplication d’un groupe d’adresses<br />
Vous pouvez dupliquer <strong>des</strong> groupes d’adresses de la liste <strong>des</strong> règles du coupe-feu.<br />
Cela peut accélérer la configuration de groupes d’adresses similaires.<br />
Pour dupliquer un groupe d’adresses :<br />
1 Ouvrez Admin Serveur et connectez-vous au serveur.<br />
2 Cliquez sur le triangle situé à gauche du serveur.<br />
La liste <strong>des</strong> <strong>services</strong> apparaît.<br />
3 Dans la liste Serveurs développée, sélectionnez Coupe-feu.<br />
4 Cliquez sur Réglages, puis sur Groupes d’adresses.<br />
5 Dans la liste Groupes d’adresses IP, sélectionnez le nom du groupe.<br />
6 Sous la liste Groupes d’adresses IP, cliquez sur le bouton Dupliquer.<br />
100 Chapitre 4 Utilisation du service de coupe-feu
Ajout d’éléments à la liste <strong>des</strong> <strong>services</strong><br />
Vous pouvez ajouter <strong>des</strong> ports personnalisés à la liste Services. Cela vous permet d’ouvrir<br />
<strong>des</strong> ports spécifiques à vos groupes d’adresses sans devoir créer de règle IP avancée.<br />
Pour ajouter <strong>des</strong> éléments à la liste Services :<br />
1 Ouvrez Admin Serveur et connectez-vous au serveur.<br />
2 Cliquez sur le triangle situé à gauche du serveur.<br />
La liste <strong>des</strong> <strong>services</strong> apparaît.<br />
3 Dans la liste Serveurs développée, sélectionnez Coupe-feu.<br />
4 Cliquez sur Réglages, puis sur Services.<br />
5 Sous la liste Services, cliquez sur le bouton Ajouter (+).<br />
6 Saisissez le nom de la règle pour le service.<br />
7 Saisissez un port unique (par exemple, 22) ou une plage de ports (par exemple, 650-750).<br />
8 Sélectionnez un protocole.<br />
Si vous voulez utiliser un autre protocole que TCP ou UDP, utilisez les réglages Avancés<br />
pour créer une règle personnalisée.<br />
9 Cliquez sur OK.<br />
10 Cliquez sur Enregistrer.<br />
Modification ou suppression d’éléments dans la liste Services<br />
Vous pouvez modifier ou supprimer <strong>des</strong> ports dans la liste Services. Cela vous permet<br />
de personnaliser les choix en matières de <strong>services</strong> pour une configuration plus aisée.<br />
Pour modifier la liste <strong>des</strong> <strong>services</strong> :<br />
1 Ouvrez Admin Serveur et connectez-vous au serveur.<br />
2 Cliquez sur le triangle situé à gauche du serveur.<br />
La liste <strong>des</strong> <strong>services</strong> apparaît.<br />
3 Dans la liste Serveurs développée, sélectionnez Coupe-feu.<br />
4 Cliquez sur Réglages, puis sur Services.<br />
5 Sélectionnez le service à modifier, puis procédez comme suit :<br />
Pour modifier la liste <strong>des</strong> <strong>services</strong>, cliquez sur le bouton Modifier (/) sous la liste <strong>des</strong> <strong>services</strong>.<br />
Pour modifier la liste <strong>des</strong> <strong>services</strong>, cliquez sur le bouton Supprimer (–) sous la liste <strong>des</strong><br />
<strong>services</strong>.<br />
6 Modifiez le nom, le port ou le protocole comme vous le souhaitez, puis cliquez sur OK.<br />
7 Cliquez sur Enregistrer.<br />
Chapitre 4 Utilisation du service de coupe-feu 101
Configuration de règles de coupe-feu avancées<br />
Utilisez la sous-fenêtre Réglages avancés d’Admin Serveur pour configurer <strong>des</strong> règles<br />
spécifiques au service de coupe-feu. Les règles de coupe-feu contiennent <strong>des</strong> adresses<br />
IP source et de <strong>des</strong>tination avec <strong>des</strong> masques de sous-ré<strong>seau</strong>. Elles spécifient également<br />
ce qu’il faut faire avec le trafic ré<strong>seau</strong> entrant. Vous pouvez appliquer une règle<br />
à toutes les adresses IP, à une adresse IP spécifique ou à une plage d’adresses IP.<br />
Les adresses peuvent être affichées sous la forme d’adresses individuelles (192.168.2.2),<br />
d’adresses IP et masque de sous-ré<strong>seau</strong> en notation CIDR (192.168.2.0/24) ou d’adresses<br />
IP et masque de sous-ré<strong>seau</strong> en notation de masque de ré<strong>seau</strong> (192.168.2.0:255.255.255.0).<br />
Pour configurer une règle de coupe-feu avancée :<br />
1 Ouvrez Admin Serveur et connectez-vous au serveur.<br />
2 Cliquez sur le triangle situé à gauche du serveur.<br />
La liste <strong>des</strong> <strong>services</strong> apparaît.<br />
3 Dans la liste Serveurs développée, sélectionnez Coupe-feu.<br />
4 Cliquez sur Réglages, puis sur Avancé.<br />
5 Cliquez sur le bouton Ajouter (+).<br />
Vous pouvez également sélectionner une règle similaire à celle que vous voulez créer,<br />
cliquez sur Dupliquer, puis sur Modifier.<br />
6 Dans le menu local Action, indiquez si cette règle autorise ou refuse l’accès.<br />
Si vous choisissez Autre, saisissez l’action souhaitée (par exemple, Historique).<br />
7 Dans le menu local Protocole, choisissez un protocole.<br />
Si vous choisissez Autre, saisissez le protocole souhaité (par exemple, icmp, esp, ipencap).<br />
8 Dans le menu local Service, choisissez un service.<br />
Pour sélectionner un port de service non standard, sélectionnez Autre.<br />
9 Si vous le souhaitez, choisissez de journaliser tous les paquets qui répondent à la règle.<br />
10 Comme source du trafic filtré, sélectionnez un groupe d’adresses dans le menu local<br />
Adresse.<br />
Si vous ne voulez pas utiliser un groupe d’adresses, saisissez la plage d’adresses IP<br />
source (en notation CIDR) que vous voulez filtrer.<br />
Si vous voulez appliquer la règle à toutes les adresses, sélectionnez « Quelconque »<br />
dans le menu local.<br />
11 Si vous avez sélectionné un port de service non standard, saisissez le numéro<br />
du port source.<br />
12 Comme <strong>des</strong>tination du trafic filtré, sélectionnez un groupe d’adresses dans le menu<br />
local Source.<br />
102 Chapitre 4 Utilisation du service de coupe-feu
Si vous ne voulez pas utiliser un groupe d’adresses, saisissez la plage d’adresses IP<br />
de <strong>des</strong>tination (en notation CIDR).<br />
Si vous voulez appliquer la règle à toutes les adresses, sélectionnez « Quelconque »<br />
dans le menu local.<br />
13 Si vous avez sélectionné un port de service non standard, saisissez le numéro du port<br />
de <strong>des</strong>tination.<br />
14 Dans le menu local de l’interface à laquelle cette règle s’appliquera, sélectionnez Entrée<br />
ou Sortie.<br />
« Entrée » fait référence aux paquets envoyés au serveur.<br />
« Sortie » fait référence aux paquets envoyés par le serveur.<br />
15 Si vous sélectionnez Autre, saisissez le nom de l’interface (en0, en1, fw1, etc.).<br />
16 Cliquez sur OK.<br />
17 Cliquez sur Enregistrer pour appliquer la règle immédiatement.<br />
Modification ou suppression de règles de coupe-feu avancées<br />
Vous pouvez modifier ou supprimer <strong>des</strong> règles de coupe-feu avancées. Si vous pensez<br />
que vous allez encore utiliser une règle et souhaitez simplement la désactiver, vous<br />
pouvez désélectionner la règle plutôt que la supprimer.<br />
Si vous modifiez une règle après avoir activé le service de coupe-feu, vos modifications<br />
ont un effet sur les connexions déjà établies avec le serveur. Par exemple, si <strong>des</strong> ordinateurs<br />
sont connectés à votre serveur web et que vous modifiez la règle de manière à<br />
refuser tout accès au serveur, les ordinateurs connectés sont déconnectés.<br />
Pour modifier une règle de coupe-feu avancée :<br />
1 Ouvrez Admin Serveur et connectez-vous au serveur.<br />
2 Cliquez sur le triangle situé à gauche du serveur.<br />
La liste <strong>des</strong> <strong>services</strong> apparaît.<br />
3 Dans la liste Serveurs développée, sélectionnez Coupe-feu.<br />
4 Cliquez sur Réglages, puis sur Avancé.<br />
5 Sélectionnez la règle à modifier, puis procédez comme suit :<br />
Pour modifier la liste <strong>des</strong> <strong>services</strong>, cliquez sur le bouton Modifier (/) sous la liste <strong>des</strong> <strong>services</strong>.<br />
Pour supprimer une règle, cliquez sur le bouton Supprimer (–) sous la liste <strong>des</strong> <strong>services</strong>.<br />
6 Modifiez la règle comme vous le souhaitez, puis cliquez sur OK.<br />
7 Cliquez sur Enregistrer.<br />
Chapitre 4 Utilisation du service de coupe-feu 103
Modification de l’ordre de règles de coupe-feu avancées<br />
Le niveau de priorité d’une règle de coupe-feu avancée est déterminé par son ordre<br />
dans la liste Règles avancées. L’ordre <strong>des</strong> règles par défaut qui sont verrouillées ne peut<br />
pas être modifié dans la liste.<br />
Pour modifier l’ordre <strong>des</strong> règles :<br />
1 Ouvrez Admin Serveur et connectez-vous au serveur.<br />
2 Cliquez sur le triangle situé à gauche du serveur.<br />
La liste <strong>des</strong> <strong>services</strong> apparaît.<br />
3 Dans la liste Serveurs développée, sélectionnez Coupe-feu.<br />
4 Cliquez sur Réglages, puis sur Avancé.<br />
5 Faites glisser les règles pour les réorganiser dans l’ordre souhaité.<br />
6 Cliquez sur Enregistrer.<br />
Dépannage de règles de coupe-feu avancées<br />
Les réglages de configuration de coupe-feu avancés acceptent toute entrée, en partant<br />
du principe que vous configurez la règle correctement.<br />
Les éventuelles erreurs ne sont détectées qu’une fois que les règles sont enregistrées<br />
et qu’Admin Serveur applique toutes les règles à l’aide de la commande ipfw. Ensuite,<br />
la première règle comportant une erreur de syntaxe provoque l’arrêt de l’opération<br />
et l’ajout d’un message d’erreur à l’historique.<br />
Ce message d’erreur n’indique pas quelle règle n’est pas valide, mais toutes les règles<br />
vali<strong>des</strong> avant la règle non valide sont chargées dans le coupe-feu.<br />
La section qui suit décrit comment vous pouvez déterminer quelle règle n’est pas valide.<br />
Pour déterminer quelle règle n’est pas valide :<br />
1 Lisez le message d’erreur dans l’historique.<br />
2 Attendez quelques minutes qu’Admin Serveur affiche les règles actives dans la sousfenêtre<br />
Vue d’ensemble du coupe-feu.<br />
3 Comparez la liste de règles actives de la sous-fenêtre Vue d’ensemble du coupe-feu<br />
avec la liste de règles de la section Réglages.<br />
4 Examinez le contenu du fichier /etc/ipfilter/ipfw.conf.apple pour voir quelles règles<br />
Admin Serveur a essayé de charger dans le coupe-feu.<br />
La première règle du fichier qui ne figure pas dans la sous-fenêtre Vue d’ensemble du<br />
coupe-feu est probablement celle qui n’est pas valide. Il peut toutefois y avoir d’autres<br />
règles non vali<strong>des</strong> après celle-là.<br />
5 Si la règle correspond à une règle de la sous-fenêtre Réglages avancés, désactivez-la<br />
ou corrigez-la.<br />
104 Chapitre 4 Utilisation du service de coupe-feu
Les règles désactivées apparaissent dans le fichier /etc/ipfilter/ipfw.conf.apple précédées<br />
par un caractère de commentaire afin qu’elles ne soient pas traitées par l’outil ipfw.<br />
Activation du mode furtif<br />
Vous pouvez cacher l’existence de votre coupe-feu en n’envoyant pas de notification<br />
d’échec de connexion lorsqu’une connexion est bloquée par le coupe-feu. On appelle cela<br />
le mode furtif. Ce dernier permet de cacher efficacement les ports fermés de votre serveur.<br />
Par exemple, si un intrus tente de se connecter à votre serveur, même si le port est bloqué,<br />
l’intrus sait qu’il y a un serveur et pourra essayer d’autres métho<strong>des</strong> d’intrusion.<br />
Si le mode furtif est activé, plutôt que d’être rejeté, le pirate ne recevra pas de notification<br />
qu’une tentative de connexion a eu lieu.<br />
Pour activer le mode furtif :<br />
1 Ouvrez Admin Serveur et connectez-vous au serveur.<br />
2 Cliquez sur le triangle situé à gauche du serveur.<br />
La liste <strong>des</strong> <strong>services</strong> apparaît.<br />
3 Dans la liste Serveurs développée, sélectionnez Coupe-feu.<br />
4 Cliquez sur Réglages, puis sur Avancé.<br />
5 Sélectionnez Activer pour TCP, Activer pour UDP ou les deux, selon vos besoins.<br />
6 Cliquez sur Enregistrer.<br />
Coupe-feu adaptatif<br />
<strong>Mac</strong> <strong>OS</strong> X 10.5 utilise un coupe-feu adaptatif qui génère une règle de coupe-feu de manière<br />
dynamique si un utilisateur échoue 10 fois de suite à ouvrir une session. La règle ainsi générée<br />
bloque l’ordinateur de l’utilisateur pendant 15 minutes, ce qui empêche l’utilisateur<br />
de tenter d’ouvrir une session.<br />
Le coupe-feu adaptatif vous aide à empêcher que votre ordinateur ne soit attaqué par<br />
<strong>des</strong> utilisateurs non autorisés. Le coupe-feu adaptatif ne nécessite aucune configuration<br />
et est actif dès que vous activez votre coupe-feu.<br />
Réinitialisation du coupe-feu aux réglages par défaut<br />
Il se peut qu’un serveur devienne injoignable pour l’administration à distance à cause<br />
d’une erreur de configuration du coupe-feu. Dans ce cas, vous devez remettre le coupefeu<br />
dans son état par défaut afin qu’Admin Serveur puisse y accéder.<br />
Cette procédure de récupération nécessite l’utilisation de l’interface de ligne de commande<br />
et doit être effectuée par un administrateur ayant un accès physique au serveur.<br />
Pour restaurer les réglages par défaut du coupe-feu :<br />
1 Déconnectez le serveur de l’Internet externe.<br />
Chapitre 4 Utilisation du service de coupe-feu 105
2 Redémarrez le serveur en mode utilisateur unique en maintenant les touches<br />
Commande + S enfoncées lors du démarrage.<br />
3 Supprimez ou renommez le fichier de groupes d’adresses /etc/ipfilter/ip_address_groups.conf.<br />
4 Supprimez ou renommez le fichier de configuration ipfw /etc/ipfilter/ipfw.conf.<br />
5 Forcez la suppression définitive <strong>des</strong> règles de coupe-feu en saisissant ce qui suit dans<br />
le Terminal :<br />
$ ipfw -f flush<br />
6 Modifiez le fichier /etc/hostconfig et réglez IPFILTER=-YES-.<br />
7 Terminez la séquence de démarrage dans la fenêtre d’ouverture de session en saisissant exit:<br />
L’ordinateur démarre avec les règles de coupe-feu par défaut et le coupe-feu activé.<br />
Utilisez ensuite Admin Serveur pour affiner la configuration du coupe-feu.<br />
8 Ouvrez une session à l’aide du compte d’administrateur local de votre serveur pour<br />
confirmer que la configuration par défaut du coupe-feu est restaurée.<br />
9 Reconnectez votre hôte à Internet.<br />
Surveillance du service de coupe-feu<br />
Les coupe-feu sont la première ligne de défense d’un ré<strong>seau</strong> contre les utilisateurs<br />
d’ordinateur malveillants (pirates). Pour maintenir la sécurité de vos ordinateurs et <strong>des</strong><br />
informations de vos utilisateurs, vous devez surveiller l’activité du coupe-feu et identifier<br />
les menaces potentielles. La présente section explique comment journaliser et surveiller<br />
l’activité de votre coupe-feu.<br />
Vérification de l’état du service de coupe-feu<br />
Utilisez Admin Serveur pour vérifier l’état du service de coupe-feu.<br />
Pour vérifier l’état du service de coupe-feu :<br />
1 Ouvrez Admin Serveur et connectez-vous au serveur.<br />
2 Cliquez sur le triangle situé à gauche du serveur.<br />
La liste <strong>des</strong> <strong>services</strong> apparaît.<br />
3 Dans la liste Serveurs développée, sélectionnez Coupe-feu.<br />
4 Cliquez sur Vue d’ensemble pour savoir si le service tourne, le nombre de règles statiques<br />
et dynamiques configurées, le nombre de paquets qui correspondent aux règles et le<br />
nombre d’octets dans les paquets correspondant aux règles traitées par le coupe-feu.<br />
5 Cliquez sur Historique pour examiner l’historique du service de coupe-feu.<br />
6 Pour afficher la liste <strong>des</strong> règles de coupe-feu actives, cliquez sur Règles actives.<br />
Cette liste contient le numéro de priorité de chaque règle, le nombre de paquets correspondants,<br />
le nombre d’octets dans les paquets correspondants et une <strong>des</strong>cription de la règle.<br />
106 Chapitre 4 Utilisation du service de coupe-feu
Affichage <strong>des</strong> règles de coupe-feu actives<br />
Utilisez Admin Serveur pour afficher un résumé <strong>des</strong> règles de coupe-feu actives.<br />
La sous-fenêtre Règles actives affiche le nombre de paquets et d’octets associés<br />
à chaque règle.<br />
Lorsqu’une modification est apportée à la configuration du coupe-feu à l’aide d’Admin<br />
Serveur, les anciennes règles de coupe-feu sont supprimées définitivement, de nouvelles<br />
règles sont générées et enregistrées dans un Fichier et la commande ipfw est invoquée<br />
pour charger les règles dans le service.<br />
Pendant l’opération de suppression, le nombre de paquets et le nombre d’octets associés<br />
à chaque règle sont effacés.<br />
La sous-fenêtre Règles actives fournit un instantané de l’état du coupe-feu. Dans cette sousfenêtre,<br />
il se peut que <strong>des</strong> règles dynamiques soient affichées avec <strong>des</strong> règles statiques.<br />
Les règles dynamiques apparaissent et disparaissent d’une seconde à l’autre en réponse<br />
à l’activité du ré<strong>seau</strong>. Elles résultent de règles possédant une clause de conservation de<br />
l’état (règles à état). La sous-fenêtre Règles actives indique le numéro de règle de la règle<br />
à état qui a été déclenchée pour créer la règle dynamique.<br />
Pour afficher les règles de coupe-feu actives :<br />
1 Ouvrez Admin Serveur et connectez-vous au serveur.<br />
2 Cliquez sur le triangle situé à gauche du serveur.<br />
La liste <strong>des</strong> <strong>services</strong> apparaît.<br />
3 Dans la liste Serveurs développée, sélectionnez Coupe-feu.<br />
4 Cliquez sur Règles actives.<br />
La liste <strong>des</strong> règles apparaît avec une <strong>des</strong>cription de chaque règle au format du code<br />
ipfw, la priorité, le nombre de paquets et le nombre total d’octets traités.<br />
Affichage de l’historique du service de coupe-feu<br />
Chaque règle que vous configurez dans Admin Serveur correspond à une ou plusieurs<br />
règles dans le logiciel de coupe-feu sous-jacent. Les entrées d’historique indiquent quand<br />
la règle a été appliquée, l’adresse IP du client et du serveur et d’autres informations.<br />
L’affichage de l’historique indique le contenu du fichier /var/log/ipfw.log. Vous pouvez<br />
affiner l’affichage à l’aide du champ de filtrage du texte.<br />
Pour afficher l’historique du service de coupe-feu :<br />
1 Ouvrez Admin Serveur et connectez-vous au serveur.<br />
2 Cliquez sur le triangle situé à gauche du serveur.<br />
La liste <strong>des</strong> <strong>services</strong> apparaît.<br />
3 Dans la liste Serveurs développée, sélectionnez Coupe-feu.<br />
Chapitre 4 Utilisation du service de coupe-feu 107
4 Cliquez sur Historique.<br />
Pour rechercher <strong>des</strong> entrées spécifiques, utilisez le champ Filtre au-<strong>des</strong>sus de l’historique.<br />
Voici quelques exemples d’entrées de l’historique du coupe-feu et comment il faut<br />
,les comprendre.<br />
Exemple d’historique 1<br />
Dec 12 13:08:16 ballch5 mach_kernel: ipfw: 65000 Unreach TCP<br />
10.221.41.33:2190 192.168.12.12:80 in via en0<br />
Cette entrée indique que le service de coupe-feu a utilisé la règle 65000 pour refuser<br />
(« unreach ») l’accès au serveur 192.168.12.12 au client distant à l’adresse 10.221.41.33:2190<br />
sur le port web 80 par le port Ethernet 0.<br />
Exemple d’historique 2<br />
Dec 12 13:20:15 mayalu6 mach_kernel: ipfw: 100 Accept TCP 10.221.41.33:721<br />
192.168.12.12:515 in via en0<br />
Cette entrée indique que le service de coupe-feu a utilisé la règle 100 pour autoriser<br />
l’accès au serveur 192.168.12.12 au client distant à l’adresse 10.221.41.33:721 sur le port<br />
d’impression LPR 515 par le port Ethernet 0.<br />
Exemple d’historique 3<br />
Dec 12 13:33:15 smithy2 mach_kernel: ipfw: 10 Accept TCP<br />
192.168.12.12:49152 192.168.12.12:660 out via lo0<br />
Cette entrée indique que la règle de détournement Network Address Translation (NAT)<br />
a été appliquée à un paquet sortant. Dans ce cas, il détourne la règle vers le port de<br />
service 660, le port que le démon NAT utilise.<br />
Affichage <strong>des</strong> paquets refusés<br />
L’affichage <strong>des</strong> paquets refusés peut vous aider à identifier <strong>des</strong> problèmes et à dépanner<br />
le service de coupe-feu.<br />
Pour afficher les paquets refusés :<br />
1 Ouvrez Admin Serveur et connectez-vous au serveur.<br />
2 Cliquez sur le triangle situé à gauche du serveur.<br />
La liste <strong>des</strong> <strong>services</strong> apparaît.<br />
3 Dans la liste Serveurs développée, sélectionnez Coupe-feu.<br />
4 Cliquez sur Réglages, puis sur Journalisation.<br />
5 Assurez-vous que la case « Journaliser tous les paquets refusés » est cochée.<br />
6 Pour afficher les entrées d’historique, cliquez sur Historique.<br />
7 Dans le champ de filtrage du texte, saisissez le terme « unreach. »<br />
108 Chapitre 4 Utilisation du service de coupe-feu
Affichage <strong>des</strong> paquets journalisés par les règles de coupe-feu<br />
L’affichage <strong>des</strong> paquets filtrés par les règles de coupe-feu peut vous aider à identifier<br />
<strong>des</strong> problèmes et à dépanner le service de coupe-feu.<br />
Pour afficher les paquets filtrés :<br />
1 Ouvrez Admin Serveur et connectez-vous au serveur.<br />
2 Cliquez sur le triangle situé à gauche du serveur.<br />
La liste <strong>des</strong> <strong>services</strong> apparaît.<br />
3 Dans la liste Serveurs développée, sélectionnez Coupe-feu.<br />
4 Cliquez sur Réglages, puis sur Journalisation.<br />
5 Assurez-vous que la case « Journaliser tous les paquets acceptes » est cochée.<br />
Si vous n’avez pas activé la journalisation pour une règle déterminée, consultez<br />
« Modification ou suppression de règles de coupe-feu avancées » à la page 103.<br />
6 Pour afficher les entrées d’historique, cliquez sur Historique.<br />
7 Dans le champ de filtrage du texte, saisissez le terme « Accept ».<br />
Exemples de coupe-feu pratiques<br />
Les règles de coupe-feu que vous définissez fonctionnent ensemble pour sécuriser<br />
votre ré<strong>seau</strong>. Les exemples qui suivent montrent comment utiliser <strong>des</strong> règles pour<br />
atteindre certains objectifs spécifiques.<br />
Utilisation du coupe-feu avec le service NAT<br />
Le service NAT doit être activé sur le coupe-feu. L’activation du service NAT crée une<br />
règle de détournement dans la configuration du coupe-feu.<br />
Bien qu’Admin Serveur autorise l’activation et la désactivation séparée du service NAT<br />
et du service de coupe-feu, le service NAT ne peut fonctionner que si le service NAT et<br />
le service de coupe-feu sont tous deux activés. Une composante essentielle du service<br />
NAT est la règle de détournement de paquets utilisée dans le coupe-feu.<br />
La règle de coupe-feu que vous définissez indique au coupe-feu comment router le trafic<br />
ré<strong>seau</strong> venant du ré<strong>seau</strong> qui se trouve derrière la passerelle NAT. Lorsque vous avez<br />
un ré<strong>seau</strong> local derrière une passerelle NAT, vous devez créer ou connaître le groupe<br />
d’adresses qui correspond au ré<strong>seau</strong> local.<br />
Pour <strong>des</strong> informations détaillées sur la configuration d’un ré<strong>seau</strong> local NAT, consultez<br />
la section « Liaison d’un ré<strong>seau</strong> local à Internet par une adresse IP » à la page 128.<br />
Chapitre 4 Utilisation du service de coupe-feu 109
Blocage de l’accès web à <strong>des</strong> utilisateurs Internet<br />
La présente section décrit comment vous pouvez autoriser <strong>des</strong> utilisateurs de votre<br />
sous-ré<strong>seau</strong> à accéder au service web de votre serveur et refuser l’accès au public<br />
général d’Internet.<br />
Dans cet exemple, le ré<strong>seau</strong> local a une plage d’adresses IP de 10.0.1.1 à 10.0.1.254, tandis<br />
que le service web du serveur se trouve à l’adresse 10.0.2.1 sur le port en2 du serveur.<br />
Pour bloquer l’accès au web avec une règle avancée :<br />
1 Dans Admin Serveur, créez un groupe d’adresses nommé « Ré<strong>seau</strong> local » avec la plage<br />
d’adresses10.0.1.1/24.<br />
Celle-ci couvre toutes les adresses de la plage de sous-ré<strong>seau</strong> 10.0.1.x.<br />
Pour en savoir plus, consultez la rubrique « Création d’un groupe d’adresses » à la page 99.<br />
2 Créez une règle avancée avec les réglages suivants :<br />
 Action : Autoriser<br />
 Protocole : TCP<br />
 Service : Web<br />
 Groupe d’adresses source : LAN<br />
 Adresse de <strong>des</strong>tination : Autre 10.0.2.1<br />
 Interface : en2<br />
Pour en savoir plus, consultez la rubrique « Configuration de règles de coupe-feu<br />
avancées » à la page 102.<br />
Pour bloquer l’accès au web à l’aide de règles standard :<br />
1 Dans Admin Serveur, créez un groupe d’adresses nommé « Serveur web » avec la plage<br />
d’adresses 10.0.2.1.<br />
Pour en savoir plus, consultez la rubrique « Création d’un groupe d’adresses » à la page 99.<br />
2 Cliquez sur Réglages, puis sur Services.<br />
3 Dans le menu local Modifier les <strong>services</strong> pour, sélectionnez le groupe d’adresses<br />
« Serveur web ».<br />
4 Cochez la case « Autoriser uniquement le trafic de « Serveur web » vers ces ports ».<br />
5 Cochez la case HTTP - service Web.<br />
6 Cliquez sur Enregistrer.<br />
110 Chapitre 4 Utilisation du service de coupe-feu
Journalisation de l’accès à Internet par les utilisateurs du ré<strong>seau</strong> local<br />
La présente section décrit comment vous pouvez autoriser les utilisateurs de votre<br />
ré<strong>seau</strong> local à accéder au service web d’un autre serveur et journaliser leurs tentatives<br />
d’accès au public général d’Internet.<br />
Dans cet exemple, le ré<strong>seau</strong> local a une plage d’adresses IP privées de 10.0.1.1 à 10.0.1.254.<br />
Pour journaliser l’accès à Internet par les utilisateurs du ré<strong>seau</strong> local :<br />
1 Ouvrez Admin Serveur et connectez-vous au serveur.<br />
2 Cliquez sur le triangle situé à gauche du serveur.<br />
La liste <strong>des</strong> <strong>services</strong> apparaît.<br />
3 Dans la liste Serveurs développée, sélectionnez Coupe-feu.<br />
4 Cliquez sur Réglages, puis sur Services.<br />
5 Dans le menu local Modifier les <strong>services</strong> pour, sélectionnez le groupe d’adresses<br />
« Quelconque ».<br />
6 Autorisez le trafic pour le groupe « Serveur web » sur le port désigné pour les <strong>services</strong> web.<br />
7 Cochez la case Autoriser le service web.<br />
8 Cliquez sur Enregistrer.<br />
9 Cliquez sur Consignation.<br />
10 Cochez la case Activer la journalisation.<br />
11 Cochez la case « Journaliser tous les paquets acceptés ».<br />
Les historiques sont visibles dans la sous-fenêtre Historique.<br />
Blocage du courrier indésirable<br />
La présente section décrit comment rejeter le courrier envoyé par un expéditeur de<br />
courrier indésirable possédant l’adresse IP 17.128.100.0 (par exemple) et accepter tous<br />
les autres messages électroniques.<br />
Important : pour bloquer le courrier électronique SMTP entrant, configurez <strong>des</strong> plages<br />
d’adresses spécifiques dans les règles que vous créez. Par exemple, si vous définissez<br />
une règle refusant le courrier provenant de toutes les adresses sur le port 25, vous<br />
empêchez la distribution du courrier à vos utilisateurs.<br />
Pour empêcher la distribution de courrier indésirable à vos utilisateurs :<br />
1 Ouvrez Admin Serveur et connectez-vous au serveur.<br />
2 Cliquez sur le triangle situé à gauche du serveur.<br />
La liste <strong>des</strong> <strong>services</strong> apparaît.<br />
3 Dans la liste Serveurs développée, sélectionnez Coupe-feu.<br />
4 Cliquez sur Réglages, puis sur Services.<br />
Chapitre 4 Utilisation du service de coupe-feu 111
5 Dans le menu local « Modifier les <strong>services</strong> pour », sélectionnez le groupe d’adresses<br />
« Quelconque ».<br />
6 Cochez la case « Autoriser uniquement le trafic de « Quelconque » vers ces ports ».<br />
7 Cochez la case « SMTP de courrier standard » dans la liste <strong>des</strong> ports.<br />
8 Sélectionnez Groupes d’adresses.<br />
9 Pour créer une plage d’adresses, cliquez sur le bouton Ajouter (+) et saisissez le nom<br />
du groupe d’adresses dans le champ Nom du groupe.<br />
10 Pour indiquer l’adresse de l’expéditeur de courrier indésirable, saisissez 17.128.100.0 dans<br />
la liste « Adresses dans le groupe » en cliquant sur le bouton Ajouter (+) en en saisissant<br />
l’adresse.<br />
11 Cliquez sur OK.<br />
12 Cliquez sur Services.<br />
13 Dans le menu local « Modifier les <strong>services</strong> pour », sélectionnez le groupe d’adresses<br />
que vous venez de créer.<br />
14 Cochez la case « Autoriser uniquement le trafic de « nom_du_nouveau_groupe_d’adresses »<br />
vers ces ports.<br />
15 Pour désactiver le transfert de courrier, décochez la case « SMTP de courrier standard »<br />
dans la liste <strong>des</strong> ports.<br />
16 Cliquez sur Enregistrer.<br />
Autorisation d’un client à accéder à un serveur de fichiers <strong>Apple</strong><br />
La présente section décrit comment autoriser un client possédant l’adresse IP<br />
10.221.41.33 (par exemple) à accéder à un serveur de fichiers <strong>Apple</strong>.<br />
Pour autoriser un client à accéder à un serveur de fichiers <strong>Apple</strong> :<br />
1 Ouvrez Admin Serveur et connectez-vous au serveur.<br />
2 Cliquez sur le triangle situé à gauche du serveur.<br />
La liste <strong>des</strong> <strong>services</strong> apparaît.<br />
3 Dans la liste Serveurs développée, sélectionnez Coupe-feu.<br />
4 Cliquez sur Réglages, puis sur Services.<br />
5 Dans le menu local « Modifier les <strong>services</strong> pour », sélectionnez « Quelconque ».<br />
6 Dans la sous-fenêtre du service, décochez la case « Service de fichiers <strong>Apple</strong> ».<br />
7 Sélectionnez Groupes d’adresses.<br />
8 Pour créer une plage d’adresses, cliquez sur le bouton Ajouter (+).<br />
9 Attribuez un nom au groupe d’adresses.<br />
10 Pour indiquer l’adresse du client, saisissez 10.221.41.33 dans le champ pour la plage<br />
d’adresses.<br />
112 Chapitre 4 Utilisation du service de coupe-feu
11 Cliquez sur OK.<br />
12 Cliquez sur Services.<br />
13 Sélectionnez le groupe d’adresses que vous venez de créer.<br />
14 Pour activer l’accès aux fichiers, cochez la case « Service de fichiers <strong>Apple</strong> » dans<br />
la sous-fenêtre du service.<br />
15 Cliquez sur Enregistrer.<br />
Tâches d’administration de ré<strong>seau</strong> courantes qui utilisent<br />
le service de coupe-feu<br />
Votre coupe-feu constitue la première ligne de défense contre les personnes non autorisées<br />
sur le ré<strong>seau</strong>, les utilisateurs malveillants et les attaques de virus ré<strong>seau</strong> qui peuvent<br />
nuire à vos données et profiter de vos ressources ré<strong>seau</strong>. La présente section décrit<br />
<strong>des</strong> utilisations courantes du service de coupe-feu dans l’administration d’un ré<strong>seau</strong>.<br />
Lutte contre les attaques par déni de service<br />
Lorsque le serveur reçoit une demande de connexion TCP d’un client qui s’est vu refuser<br />
l’accès, par défaut, le serveur envoie une réponse refusant la connexion. Cela permet<br />
d’éviter que le client éconduit ne renvoie sans arrêt de nouvelles deman<strong>des</strong>.<br />
Un utilisateur malveillant peut toutefois générer une séries de deman<strong>des</strong> de connexion<br />
TCP à partir d’une adresse IP refusée et forcer le serveur à continuer à répondre, bloquant<br />
ainsi d’autres utilisateurs tentant de se connecter au serveur. C’est un <strong>des</strong> types d’attaques<br />
par déni de service existants.<br />
Important : les attaques par déni de service sont rares, ne procédez donc à ces réglages<br />
que si vous pensez que votre serveur pourrait être soumis à une telle attaque.<br />
Si vous refusez les réponses d’écho ICMP, les <strong>services</strong> qui utilisent le ping pour<br />
localiser les <strong>services</strong> ré<strong>seau</strong> ne peuvent pas détecter votre serveur.<br />
Pour empêcher les attaques par déni de service par ping :<br />
1 Ouvrez Admin Serveur et connectez-vous au serveur.<br />
2 Cliquez sur le triangle situé à gauche du serveur.<br />
La liste <strong>des</strong> <strong>services</strong> apparaît.<br />
3 Dans la liste Serveurs développée, sélectionnez Coupe-feu.<br />
4 Cliquez sur Réglages, puis sur Services.<br />
5 Sélectionnez le groupe d’adresses « Quelconque ».<br />
6 Décochez la case « Réponse d’écho ICMP (ping) ».<br />
7 Cliquez sur Enregistrer.<br />
Chapitre 4 Utilisation du service de coupe-feu 113
Contrôle ou activation de l’utilisation du ré<strong>seau</strong> poste à poste<br />
Il arrive que les administrateurs ré<strong>seau</strong> doivent contrôler l’utilisation <strong>des</strong> applications<br />
de partage de fichiers poste à poste (P2P). Ces applications peuvent utiliser beaucoup<br />
de bande passante et <strong>des</strong> ressources ré<strong>seau</strong> de manière inadéquate ou disproportionnée.<br />
Le partage de fichiers P2P peut également présenter un risque en matière de sécurité<br />
ou de propriété intellectuelle pour une entreprise.<br />
Vous pouvez empêcher la mise en ré<strong>seau</strong> P2P en bloquant le trafic entrant et sortant<br />
sur le port utilisé par l’application P2P. Vous devez déterminer le port utilisé par chacun<br />
<strong>des</strong> ré<strong>seau</strong>x P2P en question. Par défaut, le coupe-feu de <strong>Mac</strong> <strong>OS</strong> X <strong>Server</strong> bloque tous<br />
les ports qui ne sont pas expressément ouverts.<br />
Vous pouvez limiter l’utilisation du ré<strong>seau</strong> P2P aux adresses IP qui se trouvent derrière<br />
le coupe-feu. Pour ce faire, ouvrez le port P2P sur votre interface LAN mais continuez<br />
à bloquer le port sur l’interface connectée à Internet (l’interface WAN). Pour apprendre<br />
à créer une règle de coupe-feu, consultez « Configuration de règles de coupe-feu<br />
avancées » à la page 102.<br />
Contrôle ou activation de l’utilisation de jeux en ré<strong>seau</strong><br />
Il arrive que les administrateurs ré<strong>seau</strong> doivent contrôler l’utilisation de jeux en ré<strong>seau</strong>.<br />
Les jeux peuvent utiliser beaucoup de bande passante ré<strong>seau</strong> et de manière inadéquate<br />
ou disproportionnée.<br />
Vous pouvez empêcher les jeux en ré<strong>seau</strong> en bloquant le trafic entrant et sortant sur<br />
le port utilisé par le jeu. Vous devez déterminer le port utilisé par chacun <strong>des</strong> jeux en<br />
ré<strong>seau</strong> en question. Par défaut, le coupe-feu de <strong>Mac</strong> <strong>OS</strong> X <strong>Server</strong> bloque tous les ports<br />
qui ne sont pas expressément ouverts.<br />
Vous pouvez limiter l’utilisation <strong>des</strong> jeux en ré<strong>seau</strong> aux adresses IP qui se trouvent derrière<br />
le coupe-feu. Pour ce faire, ouvrez le port correspondant sur votre interface LAN<br />
mais continuez à bloquer le port sur l’interface connectée à Internet (l’interface WAN).<br />
Certains jeux nécessitent une connexion à un service de jeu pour fonctionner. Cela ne<br />
fonctionnera pas. Pour apprendre à créer une règle de coupe-feu, consultez<br />
« Configuration de règles de coupe-feu avancées » à la page 102.<br />
Vous pouvez ouvrir le coupe-feu à certains jeux et autoriser certains jeux en ré<strong>seau</strong><br />
à se connecter à d’autres joueurs et <strong>services</strong> de jeu au-delà du coupe-feu. Pour ce faire,<br />
ouvrez le port correspondant sur vos interfaces LAN et WAN. Certains jeux nécessitent<br />
que plus d’un port soit ouvert. Pour obtenir plus de détails sur la mise en ré<strong>seau</strong>, consultez<br />
la documentation du jeu. Pour apprendre à créer une règle de coupe-feu, consultez<br />
« Configuration de règles de coupe-feu avancées » à la page 102.<br />
114 Chapitre 4 Utilisation du service de coupe-feu
Prévention de la propagation de virus ré<strong>seau</strong><br />
Un virus peut se propager rapidement sur votre ré<strong>seau</strong> et infecter vos ordinateurs.<br />
Par exemple, si un ordinateur de votre ré<strong>seau</strong> est infecté par un virus, cet ordinateur<br />
pourrait propager le virus à l’ensemble de votre ré<strong>seau</strong>.<br />
Une <strong>des</strong> portes d’entrée que les virus utilisent pour se propager sur un ré<strong>seau</strong>, c’est<br />
le courrier électronique. Vous pouvez empêcher la propagation <strong>des</strong> virus par le courrier<br />
électronique en analysant le courrier électronique avec clamav et en mettant à jour<br />
vos définitions de virus.<br />
Vous pouvez empêcher d’autres voies de propagation en n’utilisant que les <strong>services</strong><br />
dont vous avez besoin, en utilisant une bonne topologie de ré<strong>seau</strong> et en utilisant de<br />
bons mots de passe.<br />
La méthode la plus importante consiste à garder les ordinateurs de votre ré<strong>seau</strong> à jour.<br />
Votre ordinateur doit être configuré pour rechercher les mises à jour une ou deux fois<br />
par semaine.<br />
Pour en savoir plus sur la prévention <strong>des</strong> virus ré<strong>seau</strong>, consultez Configuration de la sécurité<br />
de <strong>Mac</strong> <strong>OS</strong> X <strong>Server</strong>.<br />
Référence <strong>des</strong> ports TCP et UDP<br />
Les tableaux qui suivent montrent les numéros de port TCP et UDP les plus fréquemment<br />
utilisés par les ordinateurs sous <strong>Mac</strong> <strong>OS</strong> X et <strong>Mac</strong> <strong>OS</strong> X <strong>Server</strong>. Vous pouvez utiliser<br />
ces ports quand vous configurez <strong>des</strong> règles d’accès. Pour accéder aux documents<br />
RFC référencés dans ces tableaux, consultez www.faqs.org/rfcs.<br />
Port TCP Utilisé pour Référence<br />
7 echo RFC 792<br />
20 Données FTP RFC 959<br />
21 Contrôle FTP RFC 959<br />
22 Shell sécurisé (SSH)<br />
Configuration <strong>des</strong> répliques Open Directory<br />
23 Telnet RFC 854<br />
25 SMTP (courrier électronique) RFC 821<br />
53 DNS RFC 1034<br />
79 Finger RFC 1288<br />
80 HTTP (web) RFC 2068<br />
88 Centre de distribution de clés Kerberos 5 RFC 1510<br />
106 Serveur de mots de passe Open Directory (avec<br />
le port 3659)<br />
110 POP3 (courrier électronique) RFC 1081<br />
Chapitre 4 Utilisation du service de coupe-feu 115
Port TCP Utilisé pour Référence<br />
111 Remote Procedure Call (RPC) RFC 1057<br />
113 AUTH RFC 931<br />
115 sftp<br />
119 NNTP (actualités) RFC 977<br />
123 Synchronisation de serveur d’horloge de ré<strong>seau</strong> (NTP) RFC 1305<br />
137 Noms Windows<br />
138 Navigateur Windows<br />
139 Service de fichiers et d’impression Windows (SMB/CIFS) RFC 100<br />
143 IMAP (accès au courrier électronique) RFC 2060<br />
201-208 <strong>Apple</strong>Talk<br />
311 Protocole SSL pour Admin Serveur, administration<br />
web à distance IP <strong>Apple</strong>Share, Contrôle de serveur,<br />
Admin Serveur (servermgrd), Gestionnaire de groupe<br />
de travail (DirectoryService)<br />
389 LDAP (répertoire) RFC 2251<br />
407 Timbuktu<br />
427 SLP (emplacement <strong>des</strong> <strong>services</strong>)<br />
443 SSL (HTTPS)<br />
445 Microsoft Domain <strong>Server</strong><br />
497 Dantz Retrospect<br />
514 shell, syslog<br />
515 LPR (désynchronisation de l’impression) RFC 1179<br />
532 netnews<br />
548 AFP (<strong>Apple</strong> File Service)<br />
554 Real-Time Streaming Protocol (QTSS) RFC 2326<br />
591 Accès au web FileMaker<br />
600–1023 Services basés sur RPC de <strong>Mac</strong> <strong>OS</strong> X (par exemple,<br />
NetInfo)<br />
625 Format de répertoire distant<br />
626 <strong>Administration</strong> IMAP (service de courrier <strong>Mac</strong> <strong>OS</strong> X<br />
et courrier électronique <strong>Apple</strong>Share IP 6.x)<br />
631 IPP (partage d’imprimantes)<br />
636 LDAPSSL<br />
660 Réglages de serveur, <strong>Server</strong> Manager<br />
687 Utilisateurs et groupes partagés <strong>Apple</strong>Share IP,<br />
Contrôle de serveur, Admin Serveur (servermgrd)<br />
749 <strong>Administration</strong> de Kerberos et changepw à l’aide<br />
de l’outil de ligne de commande kadmind<br />
116 Chapitre 4 Utilisation du service de coupe-feu
Port TCP Utilisé pour Référence<br />
985 Port statique NetInfo<br />
993 IMAP sur SSL (courrier)<br />
995 POP3 sur SSL (courrier)<br />
1085 WebObjects<br />
1099, 8043 RMI à distance et accès RMI/IIOP à JBoss<br />
1220 QTSS Admin<br />
1694 Basculement IP<br />
1723 VPN PPTP RFC 2637<br />
2049 NFS<br />
2399 Couche d’accès aux données FileMaker<br />
3004 iSync<br />
3031 Liaison de programmes, <strong>Apple</strong>Events à distance<br />
3283 <strong>Apple</strong> Remote Desktop 2.0<br />
3306 MySQL<br />
3632 Compilateur distribué XCode<br />
3659 Serveur de mots de passe Open Directory (avec<br />
le port 106)<br />
3689 Partage de musique iTunes<br />
4111 XGrid<br />
5003 Liaison de noms et transport FileMaker<br />
5100 Partage de caméras, d’appareils photo et de scanneurs<br />
5190 iChat et transfert de fichiers iChat<br />
5222 Serveur iChat<br />
5223 Serveur iChat SSL<br />
5269 Serveur iChat, de serveur à serveur<br />
5298 iChat, sous-ré<strong>seau</strong> local<br />
5432 Base de données <strong>Apple</strong> Remote Desktop 2.0<br />
5900 VNC <strong>Apple</strong> Remote Desktop 2.0<br />
7070 Real-Time Streaming Protocol (QTSS)<br />
7777 Serveur iChat , proxy de transfert de fichiers<br />
8000–8999 Service web<br />
8000-8001 Diffusion en continu de MP3 QTSS<br />
8005 Extinction à distance Tomcat<br />
8043, 1099 RMI à distance et accès RMI/IIOP à JBoss<br />
8080, 8443, 9006 Tomcat autonome et JBoss<br />
Chapitre 4 Utilisation du service de coupe-feu 117
Port TCP Utilisé pour Référence<br />
8080 Alternative pour le service web (valeur par défaut<br />
d’Apache 2)<br />
9007 Accès à distance du serveur web au port AIP<br />
16080 Service web avec redirection du cache <strong>des</strong> performances<br />
42000-42999 Flux radio iTunes<br />
Port UDP Utilisé pour Référence<br />
7 echo<br />
53 DNS<br />
67 Serveur DHCP (BootP), serveur NetBoot<br />
68 Client DHCP<br />
69 Trivial File Transfer Protocol (TFTP)<br />
111 Remote Procedure Call (RPC)<br />
123 Network Time Protocol RFC 1305<br />
137 Windows Name Service (WINS)<br />
138 Service de datagrammes de Windows (NETBI<strong>OS</strong>)<br />
161 Protocole SNMP (Simple Network Management Protocol)<br />
192 <strong>Administration</strong> AirPort<br />
427 SLP (emplacement <strong>des</strong> <strong>services</strong>)<br />
497 Retrospect<br />
500 VPN ISAKMP/IKE<br />
513 who<br />
514 Syslog<br />
554 Real-Time Streaming Protocol (QTSS)<br />
600–1023 Services basés sur RPC de <strong>Mac</strong> <strong>OS</strong> X (par exemple,<br />
NetInfo)<br />
626 Prise en charge du numéro de série<br />
985 NetInfo (lorsqu’un domaine partagé est créé à l’aide<br />
de NetInfo Domain Setup)<br />
1701 VPN L2TP<br />
3283 <strong>Apple</strong> Remote Desktop 1.2<br />
5353 Multicast DNS (mDNSResponder)<br />
2049 Service NFS (Network File System)<br />
3031 Liaison de programmes<br />
3283 <strong>Apple</strong> Network Assistant, <strong>Apple</strong> Remote Desktop<br />
4500 IKE NAT Traversal<br />
5060 Lancement d’iChat<br />
118 Chapitre 4 Utilisation du service de coupe-feu
Port UDP Utilisé pour Référence<br />
5297, 5678 iChat local<br />
5353 Multicast DNS (mDNSResponder)<br />
6970 -6999 Diffusion en continu QTSS RTP<br />
7070 Alternative Real-Time Streaming Protocol (QTSS)<br />
16384-16403 RTP et RTCP audio/vidéo iChat<br />
Autres sources d’informations<br />
Pour en savoir plus sur l’accès et l’implémentation de fonctionnalités de ipfw, l’outil<br />
qui contrôle le service de coupe-feu, consultez la page man de ipfw.<br />
Les documents RFC (Request for Comments) offrent <strong>des</strong> vues d’ensemble de protocoles<br />
ou de <strong>services</strong> particuliers et expliquent le comportement normal du protocole.<br />
Si vous êtes un administrateur de serveur débutant, certaines <strong>des</strong> informations générales<br />
qui figurent dans les documents RFC vous seront certainement utiles.<br />
En revanche, si vous êtes un administrateur de serveur confirmé, vous trouverez<br />
tous les détails techniques concernant un protocole particulier dans le document<br />
RFC correspondant.<br />
La section RFC du site web suivant contient plusieurs numéros RFC pour divers<br />
protocoles : www.ietf.org/rfc.html (en anglais).<br />
L’Internet Assigned Number Authority (IANA) maintient la liste <strong>des</strong> ports les plus connus<br />
et <strong>des</strong> ports TCP et UDP qui ont été assignés par l’organisation à différents protocoles. Vous<br />
trouverez cette liste à l’adresse : www.iana.org/assignments/port-numbers (en anglais).<br />
De plus, <strong>des</strong> adresses de multidiffusion importantes sont documentées dans<br />
le document RFC Assigned Numbers le plus récent à ce jour, à savoir RFC 1700.<br />
Chapitre 4 Utilisation du service de coupe-feu 119
5 Utilisation<br />
du service NAT<br />
5<br />
Ce chapitre décrit comment configurer et gérer le service NAT<br />
dans <strong>Mac</strong> <strong>OS</strong> X <strong>Server</strong>.<br />
Network Address Translation (NAT) est un protocole que l’on utilise pour donner à plusieurs<br />
ordinateurs l’accès à Internet en n’utilisant qu’une seule adresse IP publique ou externe<br />
assignée. NAT vous permet de créer un ré<strong>seau</strong> privé qui accède à Internet par un routeur<br />
ou une passerelle NAT. On appelle parfois le protocole NAT IP le masquage d’adresses IP.<br />
Le routeur NAT reçoit tout le trafic provenant de votre ré<strong>seau</strong> privé et mémorise les adresses<br />
interne qui ont émis <strong>des</strong> requêtes. Lorsque le routeur NAT reçoit une réponse à une<br />
requête, il la redirige à l’ordinateur d’origine. Le trafic venant d’Internet n’atteint pas les<br />
ordinateurs qui se trouvent derrière le routeur NAT sauf si la redirection de port est activée.<br />
Utilisation de NAT avec d’autres <strong>services</strong> ré<strong>seau</strong><br />
L’activation de NAT sous <strong>Mac</strong> <strong>OS</strong> X <strong>Server</strong> nécessite souvent un contrôle détaillé sur<br />
DHCP, c’est pourquoi DHCP est configuré séparément dans Admin Serveur. Pour en<br />
savoir plus sur DHCP, consultez le chapitre 2, « Utilisation du service DHCP, » à la page 27.<br />
L’activation du service NAT crée aussi une règle de détournement dans la configuration<br />
du coupe-feu. Admin Serveur permet d’activer et de désactiver le service NAT<br />
et le service de coupe-feu séparément. Toutefois, pour que le service NAT fonctionne,<br />
le service NAT et le service de coupe-feu doivent être activés. Cela est dû au fait que<br />
la règle de détournement de paquets est une part essentielle de NAT. Cette règle est<br />
ajoutée au coupe-feu lors de l’activation du service NAT, mais le service de coupe-feu<br />
doit être activé pour la règle de détournement de paquets ou pour toute autre règle<br />
de coupe-feu, pour obtenir un quelconque effet.<br />
121
Vue d’ensemble de la configuration du ré<strong>seau</strong> local pour NAT<br />
Pour configurer un segment de ré<strong>seau</strong> comme ré<strong>seau</strong> local NAT, vous devez exécuter plusieurs<br />
étapes. Chacune de ces étapes est nécessaire pour créer un ré<strong>seau</strong> privé fonctionnant<br />
derrière une passerelle NAT. Vous trouverez un exemple détaillé de la configuration<br />
dans la section « Liaison d’un ré<strong>seau</strong> local à Internet par une adresse IP » à la page 128.<br />
Vous pouvez également configurer NAT à l’aide de l’Assistant réglages de passerelle,<br />
qui configure chacun de ces <strong>services</strong> et démarre le service NAT. Pour en savoir plus,<br />
consultez la rubrique « À propos d’Assistant réglages passerelle » à la page 17.<br />
La section qui suit donne une vue d’ensemble du processus de configuration.<br />
Étape 1 : Choisissez votre passerelle NAT et les fonctions d’interface<br />
Vous devez localiser la passerelle NAT sur un ordinateur <strong>Mac</strong> <strong>OS</strong> X <strong>Server</strong> possédant<br />
au moins deux interfaces ré<strong>seau</strong> : une pour se connecter à Internet (la port WAN)<br />
et une pour se connecter à votre segment de ré<strong>seau</strong> privé (le port LAN).<br />
Étape 2 : Spécifiez la manière dont les clients du ré<strong>seau</strong> local NAT doivent recevoir<br />
leur adresse IP<br />
Vous pouvez assigner votre propre adresse IP statique choisie dans les plages <strong>des</strong>tinées<br />
aux ré<strong>seau</strong>x locaux privés ou utiliser la fonctionnalité DHCP de <strong>Mac</strong> <strong>OS</strong> X <strong>Server</strong><br />
pour assigner <strong>des</strong> adresses à votre place.<br />
Étape 3 : Configurez les ré<strong>seau</strong>x de la passerelle<br />
Assignez votre adresse IP publique au port WAN et l’adresse de votre passerelle interne<br />
au port LAN.<br />
Étape 4 : Activez le service NAT<br />
Pour pouvoir configurer le service NAT, vous devez d’abord l’activer. Consultez<br />
la rubrique « Activation du service NAT » à la page 123.<br />
Étape 5 : Configurez les réglages relatifs à NAT<br />
Utilisez les réglages NAT pour configurer l’interface ré<strong>seau</strong>. Consultez la rubrique<br />
« Configuration du service NAT » à la page 123.<br />
Étape 6 : Configurez les réglages relatifs à la redirection de port<br />
Utilisez l’application Terminal pour rediriger le trafic entrant adressé à votre ré<strong>seau</strong><br />
NAT vers une adresse IP spécifique derrière la passerelle NAT. Consultez la rubrique<br />
« Configuration de la redirection de port » à la page 124.<br />
Étape 7 : Démarrez le service NAT<br />
Après avoir configuré le service NAT, démarrez-le pour le rendre disponible. Consultez<br />
la rubrique « Démarrage et arrêt du service NAT » à la page 127.<br />
122 Chapitre 5 Utilisation du service NAT
Étape 8 : Démarrez le service de coupe-feu<br />
Pour que le service NAT fonctionne, vous devez activer le service NAT et le service<br />
de coupe-feu. Consultez la rubrique « Arrêt du service de coupe-feu » à la page 99.<br />
Étape 9 : (Conditionnel) Configurez et démarrez le service DHCP<br />
Si les adresses <strong>des</strong> clients vont être assignées dynamiquement, configurez le service<br />
DHCP et démarrez-le maintenant. Voir le chapitre 2, « Utilisation du service DHCP. »<br />
Activation du service NAT<br />
Pour pouvoir configurer les réglages NAT, vous devez activer le service NAT dans<br />
Admin Serveur.<br />
Pour activer le service NAT :<br />
1 Ouvrez Admin Serveur et connectez-vous au serveur.<br />
2 Cliquez sur Réglages.<br />
3 Cliquez sur Services.<br />
4 Cochez la case NAT.<br />
5 Cliquez sur Enregistrer.<br />
Configuration du service NAT<br />
Utilisez Admin Serveur pour indiquer quelle interface ré<strong>seau</strong> est connectée à Internet<br />
ou à tout autre ré<strong>seau</strong> externe.<br />
Il ne faut pas confondre la configuration du service NAT et la configuration d’un segment<br />
de ré<strong>seau</strong> comme ré<strong>seau</strong> local NAT.<br />
Pour configurer le service NAT :<br />
1 Ouvrez Admin Serveur et connectez-vous au serveur.<br />
2 Cliquez sur le triangle situé à gauche du serveur.<br />
La liste <strong>des</strong> <strong>services</strong> apparaît.<br />
3 Dans la liste Serveurs développée, sélectionnez NAT.<br />
4 Cliquez sur Réglages.<br />
5 Cochez la case « Transfert d’adresses IP et traduction d’adresse ré<strong>seau</strong> (NAT) ».<br />
6 Dans le menu local « Interface ré<strong>seau</strong> externe », choisissez l’interface ré<strong>seau</strong> qui<br />
est connectée à Internet ou au ré<strong>seau</strong> externe.<br />
7 Cliquez sur Enregistrer.<br />
Chapitre 5 Utilisation du service NAT 123
Configuration de la redirection de port<br />
Vous pouvez diriger le trafic adressé à votre ré<strong>seau</strong> NAT vers une adresse IP derrière<br />
la passerelle NAT. Cela s’appelle la redirection de port.<br />
La redirection de port vous permet de configurer, sur le ré<strong>seau</strong> interne, <strong>des</strong> ordinateurs<br />
qui gèrent les connexions entrantes sans exposer les autres ordinateurs aux connexions<br />
extérieures. Par exemple, vous pouvez configurer un serveur web derrière le service NAT<br />
et rediriger les deman<strong>des</strong> de connexion TCP entrantes adressées au port 80 vers le serveur<br />
web désigné.<br />
Vous ne pouvez pas rediriger le même port vers plusieurs ordinateurs, mais vous pouvez<br />
rediriger plusieurs ports vers un ordinateur.<br />
L’activation de la redirection de port requiert l’utilisation de l’application Terminal<br />
et un accès comme administrateur à <strong>des</strong> privilèges root par sudo.<br />
Vous devez également créer un fichier plist. Le contenu du fichier plist sert à générer<br />
le fichier /etc/nat/natd.conf.apple, qui est transmis au démon NAT lors du démarrage<br />
de ce dernier.<br />
Ne modifiez pas le fichier /etc/nat/natd.conf.apple directement. Si vous utilisez un<br />
éditeur de fichier plist plutôt qu’un éditeur de texte de ligne de commande, adaptez<br />
la procédure suivante en conséquence.<br />
Pour rediriger le trafic adressé à un port :<br />
1 Si le fichier /etc/nat/natd.plist n’existe pas, faites une copie du fichier plist par défaut<br />
du démon NAT.<br />
$ sudo cp /etc/nat/natd.plist.default /etc/nat/natd.plist<br />
2 À l’aide d’un éditeur de Terminal, ajoutez le bloc de texte XML suivant au fichier /etc/<br />
nat/natd.plist devant les deux lignes à la fin du fichier ( et ), en remplaçant<br />
le texte en italique par vos propres réglages :<br />
redirect_port<br />
<br />
<br />
proto<br />
tcp ou udp<br />
targetIP<br />
ip_du_LAN<br />
targetPortRange<br />
plage_d’adresses_ip<br />
aliasIP<br />
ip_du_WAN<br />
aliasPortRange<br />
plage_d’adresses_ip_du_WAN<br />
<br />
<br />
124 Chapitre 5 Utilisation du service NAT
3 Enregistrez les modifications de votre fichier.<br />
4 Dans le Terminal, tapez la commande suivante :<br />
$ sudo systemstarter stop nat<br />
$ sudo systemstarter start nat<br />
5 Vérifiez que vos modifications sont conservées en examinant le fichier /etc/nat/<br />
natd.conf.apple.<br />
Les modifications apportées, à l’exception <strong>des</strong> commentaires et <strong>des</strong> réglages qu’Admin<br />
Serveur peut modifier, sont utilisés par les outils de configuration du serveur (Admin<br />
Serveur, Assistant réglages de passerelle et serveradmin).<br />
6 Configurez le service NAT dans Admin Serveur comme vous le souhaitez.<br />
Pour en savoir plus, consultez la rubrique « Configuration du service NAT » à la page 123.<br />
7 Cliquez sur Enregistrer.<br />
8 Démarrez le service NAT.<br />
Exemples de redirection de port<br />
Vous pouvez rediriger un ou plusieurs ports vers une adresse IP. Les ports WAN ne doivent<br />
pas être identiques aux ports LAN, mais ils doivent correspondre.<br />
Par exemple, si vous redirigez 10 ports consécutifs WAN, vous devez les rediriger vers<br />
10 ports consécutifs LAN, mais il ne doit pas nécessairement s’agir <strong>des</strong> 10 mêmes ports.<br />
Redirection d’un port unique<br />
Cet exemple montre le réglage permettant de rediriger les connexions au port TCP 80<br />
(service web) sur l’adresse WAN 17.128.128.128 vers le port TCP 80 (service web) sur<br />
l’adresse LAN privée 192.168.1.1.<br />
Le bloc de texte à ajouter au fichier /etc/nat/natd.plist est :<br />
redirect_port<br />
<br />
<br />
proto<br />
tcp<br />
targetIP<br />
192.168.1.1<br />
targetPortRange<br />
80<br />
aliasIP<br />
17.128.128.128<br />
aliasPortRange<br />
80<br />
<br />
<br />
Chapitre 5 Utilisation du service NAT 125
Redirection de plusieurs ports<br />
Cet exemple montre le réglage permettant de rediriger les connexions aux ports<br />
TCP et UDP 600-1023 (NetInfo, plage complète) sur l’adresse WAN 17.128.128.128 vers<br />
les ports correspondants sur l’adresse LAN privée 192.168.1.1.<br />
Le bloc de texte à ajouter au fichier /etc/nat/natd.plist est :<br />
redirect_port<br />
<br />
<br />
proto<br />
tcp<br />
targetIP<br />
192.168.1.1<br />
targetPortRange<br />
600-1023<br />
aliasIP<br />
17.128.128.128<br />
aliasPortRange<br />
600-1023<br />
<br />
<br />
<br />
<br />
proto<br />
udp<br />
targetIP<br />
192.168.1.1<br />
targetPortRange<br />
600-1023<br />
aliasIP<br />
17.128.128.128<br />
aliasPortRange<br />
60-1023<br />
<br />
<br />
Test <strong>des</strong> règles de redirection de port<br />
Une fois que vous avez configuré vos règles de redirection de port, vous pouvez<br />
les tester en accédant au service à partir de l’adresse IP publique de votre routeur NAT.<br />
Si vous pouvez accéder aux <strong>services</strong>, c’est que vous avez configuré et testé correctement<br />
votre règle de redirection de port.<br />
Par exemple, si un site web est hébergé sur un ordinateur possédant l’adresse IP privée<br />
192.168.1.10 et que votre routeur NAT possède l’adresse IP publique 219.156.13.13 et une<br />
règle de redirection de port qui rediriger le port 80 vers l’adresse IP 192.168.1.10, vous<br />
accédez au site web en tapant l’adresse IP publique (http://219.156.13.13) dans votre<br />
navigateur web.<br />
126 Chapitre 5 Utilisation du service NAT
Si vos règles de redirection de port sont correctes, vous serez redirigé vers l’ordinateur<br />
qui héberge le site web (192.168.1.10).<br />
Démarrage et arrêt du service NAT<br />
Utilisez Admin Serveur pour démarrer et arrêter le service NAT sur votre interface<br />
ré<strong>seau</strong> par défaut. Le démarrage du service NAT ne démarre pas DHCP sur l’interface<br />
NAT, vous devez donc gérer l’adressage LAN séparément.<br />
Il ne faut pas confondre le démarrage du service NAT et la configuration d’un segment<br />
de ré<strong>seau</strong> comme ré<strong>seau</strong> local NAT.<br />
Pour que le service NAT fonctionne, vous devez activer le service NAT et le service de coupefeu.<br />
Pour plus d’informations, reportez-vous à la section « Arrêt du service de coupe-feu »<br />
à la page 99.<br />
Pour démarrer le service NAT :<br />
1 Ouvrez Admin Serveur et connectez-vous au serveur.<br />
2 Cliquez sur le triangle situé à gauche du serveur.<br />
La liste <strong>des</strong> <strong>services</strong> apparaît.<br />
3 Dans la liste Serveurs développée, sélectionnez NAT.<br />
4 Cliquez sur le bouton Démarrer le coupe-feu sous la liste Serveurs.<br />
Lorsque le service est activé, le bouton Arrêter NAT n’est pas disponible.<br />
Création d’une passerelle sans NAT<br />
Vous pouvez utiliser un ordinateur comme passerelle entre différents segments de ré<strong>seau</strong><br />
sans traduire les adresses IP de la plage publique vers la plage privée. Cela s’appelle la redirection<br />
d’adresses IP. <strong>Mac</strong> <strong>OS</strong> X <strong>Server</strong> prend en charge la redirection d’adresses IP, qui peut<br />
être configurée à l’aide d’Admin Serveur.<br />
Plusieurs configuration ré<strong>seau</strong> peuvent utiliser une passerelle sans NAT. Par exemple,<br />
un serveur peut traduire <strong>des</strong> adresses IP privées en adresses publiques à l’aide de NAT,<br />
mais votre passerelle <strong>Mac</strong> <strong>OS</strong> X <strong>Server</strong> peut router les informations entre plusieurs<br />
sous-ré<strong>seau</strong>x d’adresses privées. Il est également possible de placer un coupe-feu<br />
entre <strong>des</strong> segments de ré<strong>seau</strong> dans votre propre ré<strong>seau</strong> local.<br />
Toute situation dans laquelle vous voulez router du trafic ré<strong>seau</strong> au travers du serveur<br />
sans masquer les adresses IP est une situation qui nécessite la redirection d’adresses IP.<br />
Les étapes requises pour la création d’une passerelle pour la redirection d’adresses sont les<br />
mêmes que celles pour la création d’un ré<strong>seau</strong> local NAT. Cela signifie que les ports ré<strong>seau</strong><br />
doivent être configurés correctement et que le service de coupe-feu doit être activé.<br />
Chapitre 5 Utilisation du service NAT 127
Pour configurer une passerelle sans le service NAT :<br />
1 Ouvrez Admin Serveur et connectez-vous au serveur.<br />
2 Cliquez sur le triangle situé à gauche du serveur.<br />
La liste <strong>des</strong> <strong>services</strong> apparaît.<br />
3 Dans la liste Serveurs développée, sélectionnez NAT.<br />
4 Cliquez sur Réglages.<br />
5 Cochez la case « Transfert d’adresses IP uniquement ».<br />
6 Cliquez sur Enregistrer.<br />
Surveillance du service NAT<br />
Vous pouvez être amené à surveiller votre service NAT à <strong>des</strong> fins de dépannage<br />
et de sécurité. La présente section décrit comment accéder à la vue d’ensemble<br />
de l’état de NAT et comment surveiller l’activité de détournement de NAT.<br />
Affichage de la vue d’ensemble de l’état de NAT<br />
La vue d’ensemble de l’état de NAT vous permet de vérifier si le service est actif<br />
et combien de liens de protocole sont actifs.<br />
Pour afficher la vue d’ensemble :<br />
1 Ouvrez Admin Serveur et connectez-vous au serveur.<br />
2 Cliquez sur le triangle situé à gauche du serveur.<br />
La liste <strong>des</strong> <strong>services</strong> apparaît.<br />
3 Dans la liste Serveurs développée, sélectionnez NAT.<br />
4 Cliquez sur Vue d’ensemble pour vérifier que le service est actif, quand il a démarré<br />
et le nombre de liens TCP, UDP et ICMP.<br />
Tâches d’administration de ré<strong>seau</strong> courantes qui utilisent<br />
le service NAT<br />
Les sections qui suivent illustrent <strong>des</strong> tâches d’administration de ré<strong>seau</strong> courantes<br />
qui utilisent le service NAT.<br />
Liaison d’un ré<strong>seau</strong> local à Internet par une adresse IP<br />
Pour lier un ré<strong>seau</strong> local, vous devez disposer d’un ordinateur <strong>Mac</strong> <strong>OS</strong> X <strong>Server</strong> équipé<br />
de deux interfaces ré<strong>seau</strong> : une pour se connecter à Internet et une pour se connecter<br />
à votre ré<strong>seau</strong> privé. Les étapes ci-<strong>des</strong>sous utilisent la configuration suivante à titre<br />
d’exemple :<br />
 Noms et fonctions de l’interface Ethernet : Ethernet intégré (connecté à Internet),<br />
logement Ethernet PCI 1 (connecté au ré<strong>seau</strong> interne).<br />
128 Chapitre 5 Utilisation du service NAT
 Adresse IP publique ou Internet : 17.254.0.3 (à titre d’exemple uniquement, votre<br />
numéro IP est fourni par votre FAI).<br />
 Adresse IP DNS publique ou Internet : 17.254.1.6 (à titre d’exemple uniquement,<br />
votre numéro IP est fourni par votre FAI).<br />
 Plage d’adresses IP et masque de ré<strong>seau</strong> du ré<strong>seau</strong> privé : 192.168.0.2–192.168.0.254<br />
(également exprimé sous la forme 192.168.0.0/24 ou 192.168.0.0:255.255.255.0).<br />
 Adresse IP du ré<strong>seau</strong> privé du serveur : 192.168.0.1.<br />
 Réglages relatifs aux adresses IP <strong>des</strong> clients du ré<strong>seau</strong> local : configurez IPv4 à l’aide<br />
de DHCP.<br />
Ce dernier réglage n’est pas obligatoire car NAT peut être utilisé avec <strong>des</strong> adresses IP<br />
statiques plutôt qu’avec DHCP. La configuration de ce réglage rend toutefois la configuration<br />
<strong>des</strong> ordinateurs plus facile.<br />
Pour configurer votre ré<strong>seau</strong> local NAT :<br />
1 Sur le serveur passerelle, ouvrez la sous-fenêtre Ré<strong>seau</strong> <strong>des</strong> Préférences Système.<br />
2 Dans l’écran Ré<strong>seau</strong> actif, vérifiez que l’interface « Ethernet intégré » se trouve tout en<br />
haut de la liste <strong>des</strong> interfaces. Si ce n’est pas le cas, faites-la glisser vers le haut de la liste.<br />
Cela définit la passerelle par défaut dans la table de routage. L’interface du haut de<br />
la liste est toujours configurée pour Internet ou le WAN.<br />
3 Vérifiez que l’adresse IP et les réglages d’« Ethernet intégré » correspondent bien<br />
aux réglages de l’adresse publique que vous avez reçue de votre FAI.<br />
Dans notre exemple, il s’agit <strong>des</strong> réglages suivants :<br />
 Adresse IP : 17.254.0.3<br />
 Masque de ré<strong>seau</strong> : 255.255.252.0<br />
 DNS : 17.254.1.6<br />
4 Vérifiez que l’adresse IP et les réglages de « Logement Ethernet PCI 1 » correspondent<br />
bien aux réglages de votre adresse locale.<br />
Dans notre exemple, il s’agit <strong>des</strong> réglages suivants :<br />
 Adresse IP : 192.168.0.1<br />
 Masque de ré<strong>seau</strong> : 255.255.255.0<br />
 DNS : 17.254.1.6<br />
5 Si nécessaire, cliquez sur Appliquer.<br />
6 Ouvrez Admin Serveur et connectez-vous au serveur.<br />
7 Cliquez sur le triangle situé à gauche du serveur.<br />
La liste <strong>des</strong> <strong>services</strong> apparaît.<br />
8 Dans la liste Serveurs développée, sélectionnez DHCP.<br />
Chapitre 5 Utilisation du service NAT 129
9 Cliquez sur Sous-ré<strong>seau</strong>x et créez un sous-ré<strong>seau</strong> pour le ré<strong>seau</strong> local interne avec<br />
les paramètres de configuration suivants :<br />
 Nom du sous-ré<strong>seau</strong> : <br />
 Adresse IP de début : 192.168.0.2<br />
 Adresse IP de fin : 192.168.0.254<br />
 Masque de sous-ré<strong>seau</strong> : 255.255.255.0<br />
 Interface ré<strong>seau</strong> : en1<br />
 Routeur : 192.168.0.1<br />
 Durée de bail : <br />
 DNS : 17.254.1.6<br />
Pour <strong>des</strong> informations détaillées sur la configuration de DHCP, consultez la section<br />
« Création de sous-ré<strong>seau</strong>x » à la page 29.<br />
10 Pour démarrer le service DHCP, cliquez sur le bouton Démarrer DHCP sous la liste Serveurs.<br />
11 Dans Admin Serveur, dans la liste Serveurs développée, sélectionnez NAT.<br />
12 Configurez NAT à l’aide du réglage suivant :<br />
Interface ré<strong>seau</strong> externe :en0<br />
13 Si nécessaire, cliquez sur Enregistrer.<br />
14 Pour démarrer le service NAT, cliquez sur le bouton Démarrer NAT sous la liste Serveurs.<br />
15 Dans Admin Serveur, dans la liste Serveurs développée, sélectionnez Coupe-feu.<br />
16 Créez <strong>des</strong> règles de coupe-feu pour autoriser l’accès à et depuis votre ré<strong>seau</strong> privé.<br />
Par exemple, créez un groupe d’adresses IP nommé « Ré<strong>seau</strong> local privé » pour les<br />
adresses 192.168.0.0/16.<br />
Pour en savoir plus, consultez la rubrique « Création d’un groupe d’adresses » à la page 99.<br />
17 Pour démarrer le service de coupe-feu, cliquez sur le bouton Démarrer Coupe-feu sous<br />
la liste Serveurs.<br />
18 Démarrez tous les <strong>services</strong> auxquels vous voulez que le ré<strong>seau</strong> local privé accède (web,<br />
SSH, partage de fichiers, etc.) à l’aide du groupe « Ré<strong>seau</strong> local privé ».<br />
Pour en savoir plus, consultez la rubrique « Configuration de réglages de <strong>services</strong> »<br />
à la page 96.<br />
19 Démarrez tous les <strong>services</strong> auxquels vous voulez qu’Internet accède (web, SSH, partage<br />
de fichiers, etc.) à l’aide du groupe « Quelconque ».<br />
Pour en savoir plus, consultez la rubrique « Configuration de réglages de <strong>services</strong> » à<br />
la page 96.<br />
20 Cliquez sur Enregistrer.<br />
130 Chapitre 5 Utilisation du service NAT
Configuration d’un tournoi de jeu en ré<strong>seau</strong><br />
Certains jeux compatibles avec Internet permettent à plusieurs joueurs de se connecter<br />
en ligne via un ré<strong>seau</strong> local. Cela s’appelle un tournoi de jeu en ré<strong>seau</strong>. La configuration<br />
d’un tournoi de jeu en ré<strong>seau</strong> est essentiellement identique au processus décrit<br />
dans « Liaison d’un ré<strong>seau</strong> local à Internet par une adresse IP » à la page 128.<br />
Considérations spéciales :<br />
 N’ouvrez que les ports nécessaires pour jouer au jeu compatible avec Internet.<br />
 Si le jeu n’est joué qu’à l’intérieur du ré<strong>seau</strong> local, n’ouvrez pas les ports du jeu sur<br />
le coupe-feu.<br />
 Si <strong>des</strong> ordinateurs vont et viennent sur le ré<strong>seau</strong> local, utilisez DHCP pour la configuration<br />
<strong>des</strong> adresses <strong>des</strong> clients.<br />
Configuration de serveurs virtuels<br />
Un serveur virtuel est un serveur passerelle qui envoie <strong>des</strong> <strong>services</strong> derrière un NAT vers<br />
de véritables serveurs sur chaque port.<br />
Imaginons que vous disposez d’une passerelle NAT nommée domaine.exemple.com<br />
portant l’adresse 17.100.0.1 configurée pour rediriger le trafic web (port 80) vers<br />
l’adresse 10.0.0.5 (port 80) derrière le coupe-feu et qui envoie les requêtes de paquets<br />
pour le trafic ssh (port 22) vers l’adresse 10.0.0.15 (port 22).<br />
Dans cet exemple, la passerelle NAT ne sert pas réellement le contenu web (le serveur<br />
à l’adresse 10.0.0.5) mais le serveur qui se trouve à l’adresse 10.0.0.5 n’est pas visible par<br />
les clients qui naviguent sur le site web.<br />
Vu d’Internet, vous n’avez qu’un seul serveur, mais vu de derrière la passerelle NAT, vous en<br />
avez autant que vous le souhaitez. Vous pouvez utiliser cette configuration pour la répartition<br />
de la charge ou comme schéma organisationnel pour la topographie du ré<strong>seau</strong>.<br />
Les serveurs virtuels vous permettent également de rerouter facilement du trafic ré<strong>seau</strong><br />
vers d’autres ordinateurs du ré<strong>seau</strong> local en reconfigurant simplement la passerelle.<br />
Les serveurs virtuels requièrent la configuration de trois <strong>services</strong> :<br />
 NAT : le service NAT doit être configuré avec la redirection de port du port virtuel<br />
souhaité.<br />
 DNS : l’enregistrement DNS du serveur doit accepter quelques alias de <strong>services</strong><br />
communs et les traduire tous vers la même adresse IP.<br />
 Coupe-feu : le coupe-feu doit autoriser le trafic sur certains ports particuliers pour<br />
avoir accès au ré<strong>seau</strong> local NAT.<br />
Chapitre 5 Utilisation du service NAT 131
Dans cet exemple, vous configurez une passerelle NAT et routez deux noms de domaine<br />
et <strong>des</strong> <strong>services</strong> vers différents ordinateurs se trouvant derrière le coupe-feu de la passerelle.<br />
Nous utilisons la configuration suivante :<br />
 Noms et fonctions de l’interface Ethernet : Ethernet intégré (connecté à Internet),<br />
logement Ethernet PCI 1 (connecté au ré<strong>seau</strong> interne).<br />
 Adresse IP publique ou Internet : 17.100.0.1 (à titre d’exemple uniquement, votre<br />
numéro IP et vos informations de masque de ré<strong>seau</strong> seront fournies par votre FAI).<br />
 Plage d’adresses IP et masque de ré<strong>seau</strong> du ré<strong>seau</strong> privé : 192.168.0.0–192.168.0.255<br />
(également exprimé sous la forme 192.168.0.0/24 ou 192.168.0.0:255.255.255.0).<br />
 Adresse IP du ré<strong>seau</strong> privé du serveur passerelle : 192.168.0.1.<br />
 Adresse IP du ré<strong>seau</strong> privé du serveur web : 192.168.0.2.<br />
 Adresse IP du ré<strong>seau</strong> privé du serveur de courrier : 192.168.0.3.<br />
 Réglages relatifs aux adresses IP <strong>des</strong> serveurs web et de courrier : configurez IPv4<br />
à l’aide de DHCP.<br />
Ce dernier réglage n’est pas obligatoire car NAT peut être utilisé avec <strong>des</strong> adresses IP<br />
statiques plutôt qu’avec DHCP. La configuration de ce réglage rend toutefois la configuration<br />
<strong>des</strong> ordinateurs plus facile.<br />
Pour configurer <strong>des</strong> serveurs virtuels :<br />
1 Ouvrez Admin Serveur et connectez-vous au serveur.<br />
2 Cliquez sur le triangle situé à gauche du serveur.<br />
La liste <strong>des</strong> <strong>services</strong> apparaît.<br />
3 Dans la liste Serveurs développée, sélectionnez DHCP.<br />
4 Cliquez sur Sous-ré<strong>seau</strong>x et créez un groupe d’adresses pour le ré<strong>seau</strong> local interne<br />
avec les paramètres de configuration suivants :<br />
 Nom du sous-ré<strong>seau</strong> : <br />
 Adresse IP de début : 192.168.0.2<br />
 Adresse IP de fin : 192.168.0.254<br />
 Masque de sous-ré<strong>seau</strong> : 255.255.255.0<br />
 Interface ré<strong>seau</strong> : en1<br />
 Routeur : 192.168.0.1<br />
 Durée de bail : <br />
 DNS : <br />
 Mappage statique (web) : mise en correspondance<br />
avec l’adresse 192.168.0.2<br />
 Mappage statique (courrier) : mise en correspondance<br />
avec l’adresse 192.168.0.3<br />
Pour plus d’informations, consultez les sections « Création de sous-ré<strong>seau</strong>x » à la page 29<br />
et « Assignation d’adresses IP statiques à l’aide de DHCP » à la page 39.<br />
132 Chapitre 5 Utilisation du service NAT
5 Pour démarrer le service DHCP, cliquez sur le bouton Démarrer DHCP sous la liste Serveurs.<br />
6 Dans Admin Serveur, dans la liste Serveurs développée, sélectionnez NAT.<br />
7 Configurez NAT à l’aide du réglage suivant :<br />
 Interface du ré<strong>seau</strong> externe : en0<br />
 Redirection de port : port TCP 80 (web) vers l’adresse 192.168.0.2<br />
 Redirection de port : port TCP 25 (web) vers l’adresse 192.168.0.3<br />
8 Cliquez sur Enregistrer.<br />
9 Pour démarrer le service NAT, cliquez sur le bouton Démarrer NAT sous la liste Serveurs.<br />
10 Dans Admin Serveur, dans la liste Serveurs développée, sélectionnez Coupe-feu.<br />
11 Créez <strong>des</strong> règles de coupe-feu pour autoriser l’accès à votre ré<strong>seau</strong> privé.<br />
Pour en savoir plus, consultez la rubrique « Création d’un groupe d’adresses » à la page 99.<br />
12 Activez les deux <strong>services</strong> auxquels vous voulez qu’Internet accède (web et courrier<br />
SMTP) à l’aide du groupe « Quelconque ».<br />
Pour en savoir plus, consultez la rubrique « Configuration de réglages de <strong>services</strong> »<br />
à la page 96.<br />
13 Cliquez sur Enregistrer.<br />
14 Pour démarrer le service de coupe-feu, cliquez sur le bouton Démarrer Coupe-feu<br />
sous la liste Serveurs.<br />
15 Contactez votre fournisseur DNS (généralement votre FAI) pour ajouter deux alias<br />
à l’enregistrement DNS de votre serveur passerelle.<br />
Demandez un enregistrement A du nom de www.exemple.com vers l’adresse IP 17.100.0.1.<br />
Demandez un enregistrement MX du nom de mail.exemple.com vers la même adresse IP.<br />
Ces enregistrements s’ajoutent aux enregistrements A et CNAME existants pour votre<br />
domaine.<br />
Tout le trafic web vers www.exemple.com est maintenant redirigé vers le serveur<br />
interne à l’adresse 192.168.0.2 et le trafic de courrier entrant envoyé<br />
à mail.exemple.com est remis au serveur interne à l’adresse 192.168.0.3.<br />
Si vous voulez modifier les serveurs qui se trouvent derrière le NAT (par exemple, pour<br />
procéder à une mise à niveau matérielle), il suffit de remplacer l’adresse IP statique<br />
DHCP par les adresses Ethernet <strong>des</strong> nouveaux serveurs. Assignez simplement aux nouveaux<br />
serveurs les adresses IP internes existantes désignées pour le web et le courrier<br />
et la passerelle redirigera le trafic vers les nouveaux serveurs sans interruption.<br />
Chapitre 5 Utilisation du service NAT 133
Autres sources d’informations<br />
Pour en savoir plus sur natd<br />
Le processus démon qui contrôle le service NAT est natd. Pour obtenir <strong>des</strong> informations<br />
sur la manière d’accéder aux fonctionnalités de natd et les implémenter, consultez<br />
la page man de natd.<br />
Documents RFC<br />
Les documents RFC (Request for Comments) offrent <strong>des</strong> vues d’ensemble de protocoles<br />
ou de <strong>services</strong> particuliers et présentent de manière détaillée le comportement normal<br />
de chaque protocole.<br />
Si vous êtes un administrateur de serveur débutant, certaines <strong>des</strong> informations générales<br />
qui figurent dans les documents RFC vous seront certainement utiles.<br />
En revanche, si vous êtes un administrateur de serveur confirmé, vous trouverez tous<br />
les détails techniques concernant un protocole particulier dans le document RFC<br />
correspondant.<br />
Vous pouvez rechercher les documents RFC par leur numéro à l’adresse<br />
www.ietf.org/rfc.html.<br />
Pour les <strong>des</strong>criptions de NAT, consultez :<br />
 RFC 1631<br />
 RFC 3022<br />
134 Chapitre 5 Utilisation du service NAT
6 Utilisation<br />
du service VPN<br />
6<br />
Ce chapitre décrit comment configurer et gérer le service VPN<br />
dans <strong>Mac</strong> <strong>OS</strong> X <strong>Server</strong><br />
En créant un ré<strong>seau</strong> privé virtuel (en anglais « Virtual Private Network » ou « VPN »)<br />
sur votre serveur, vous pouvez donner aux utilisateurs un moyen plus sûr de communiquer<br />
à distance avec <strong>des</strong> ordinateurs de votre ré<strong>seau</strong>.<br />
Le présent chapitre décrit la méthode d’authentification et les protocoles de transport<br />
VPN et explique comment configurer, gérer et surveiller le service VPN. Il ne contient pas<br />
d’informations sur la configuration de clients VPN pour l’utilisation de votre serveur VPN.<br />
Un VPN est composé de deux ordinateurs ou ré<strong>seau</strong>x (nœuds) ou plus connectés par<br />
un lien privé de données chiffrées. Ce lien simule une connexion locale, comme si<br />
l’ordinateur distant était attaché au ré<strong>seau</strong> local.<br />
Les VPN connectent de manière sécurisée les utilisateurs qui travaillent à distance (par<br />
exemple, à la maison) au ré<strong>seau</strong> local par une connexion semblable à une connexion<br />
Internet. Du point de vue de l’utilisateur, la connexion VPN apparaît comme un lien<br />
privé dédié.<br />
La technologie VPN permet aussi de connecter par Internet une organisation à <strong>des</strong> filiales<br />
tout en maintenant <strong>des</strong> communications sécurisées. La connexion VPN par Internet<br />
agit alors comme un lien de ré<strong>seau</strong> étendu (WAN) entre les différents sites.<br />
Les VPN offrent plusieurs avantages aux organisations dont les ressources informatiques<br />
sont réparties sur plusieurs sites. Par exemple, les utilisateurs ou nœuds à distance<br />
utilisent les ressources ré<strong>seau</strong> de leur fournisseur d’accès à Internet (FAI) plutôt<br />
qu’un lien câblé direct au site principal.<br />
Les VPN permettent aux utilisateurs mobiles, dont l’identité à été vérifiée, d’accéder à<br />
<strong>des</strong> ressources informatiques privées (à <strong>des</strong> serveurs de fichiers, etc.) à l’aide de n’importe<br />
quelle connexion à Internet. Les VPN permettent aussi de relier plusieurs ré<strong>seau</strong>x locaux<br />
entre eux sur de gran<strong>des</strong> distances en utilisant l’infrastructure Internet existante.<br />
135
VPN et la sécurité<br />
Les VPN améliorent la sécurité en exigeant une authentification forte de l’identité et<br />
le chiffrement du transport <strong>des</strong> données entre les différents nœuds à <strong>des</strong> fins de confidentialité<br />
et de dépendance <strong>des</strong> données. La section qui suit contient <strong>des</strong> informations<br />
sur les différentes métho<strong>des</strong> de transport et d’authentification prises en charge.<br />
Protocoles de transport<br />
Il existe deux protocoles de transport chiffré : le protocole Layer Two Tunneling Protocol,<br />
Secure Internet Protocol (L2TP/IPSec) et le protocole Point–to–Point Tunneling Protocol<br />
(PPTP). Vous pouvez activer l’un ou l’autre de ces protocoles, ou les deux. Chacun<br />
a ses propres avantages et conditions requises.<br />
L2TP/IPSec<br />
L2TP/IPSec utilise le chiffrement IPSec fort pour faire transiter les données entre les<br />
différents nœuds ré<strong>seau</strong> par un tunnel. Il repose sur le protocole L2F de Cisco.<br />
IPSec requiert <strong>des</strong> certificats de sécurité (auto-signés ou signés par une autorité de certificat<br />
comme Verisign) ou un secret partagé prédéfini entre les nœuds qui se connectent.<br />
Le secret partagé doit être saisi sur le serveur et le client.<br />
Le secret partagé n’est pas un mot de passe pour l’authentification et ne génère pas<br />
de clés de chiffrement pour établir <strong>des</strong> tunnels sécurisés entre les nœuds. Il s’agit d’un<br />
jeton que les systèmes de gestion de clés utilisent pour se faire mutuellement confiance.<br />
L2TP est le protocole VPN préféré sous <strong>Mac</strong> <strong>OS</strong> X <strong>Server</strong> parce qu’il possède un chiffrement<br />
de transport de qualité supérieure et parce qu’il peut être authentifié à l’aide de Kerberos.<br />
PPTP<br />
PPTP est un protocole VPN standard très utilisé sous Windows. PPTP offre un bon chiffrement<br />
(en cas d’utilisation de mots de passe forts) et prend en charge un certain<br />
nombre de schémas d’authentification. Il utilise le mot de passe fourni par l’utilisateur<br />
pour produire une clé de chiffrement.<br />
Par défaut, PPTP prend en charge le chiffrement 128 bits (fort). PPTP prend également<br />
en charge le chiffrement de sécurité 40 bits (faible).<br />
PPTP est nécessaire si vous avez <strong>des</strong> clients Windows sous <strong>des</strong> versions de Windows<br />
antérieures à XP ou si vous avez <strong>des</strong> clients <strong>Mac</strong> <strong>OS</strong> X 10.2.x ou antérieur.<br />
136 Chapitre 6 Utilisation du service VPN
Méthode d’authentification<br />
Le VPN L2TP de <strong>Mac</strong> <strong>OS</strong> X <strong>Server</strong> utilise Kerberos 5 ou le protocole Challenge Handshake<br />
Authentication Protocol version 2 (MS-CHAPv2) de Microsoft pour l’authentification.<br />
Le VPN L2TP de <strong>Mac</strong> <strong>OS</strong> X <strong>Server</strong> n’utilise que MS-CHAPv2 pour l’authentification.<br />
Kerberos est un protocole d’authentification sécurisé qui utilise un serveur Kerberos<br />
Key Distribution <strong>Server</strong> comme tierce partie de confiance pour authentifier un client<br />
auprès d’un serveur.<br />
La méthode d’authentification MS-CHAPv2 encode les mots de passe lorsqu’ils sont<br />
envoyés sur le ré<strong>seau</strong> et les stocke sur le serveur sous forme brouillée. Cette méthode<br />
offre un bon niveau de sécurité lors <strong>des</strong> transmissions ré<strong>seau</strong>. Il s’agit également du<br />
schéma d’authentification standard de Windows pour les VPN.<br />
Le VPN PPTP de <strong>Mac</strong> <strong>OS</strong> X <strong>Server</strong> peut également utiliser d’autres métho<strong>des</strong> d’authentification.<br />
Chaque méthode a ses propres avantages et conditions requises. Ces autres<br />
métho<strong>des</strong> d’authentification pour PPTP ne sont pas disponibles dans Admin Serveur.<br />
Si vous voulez utiliser un schéma d’authentification alternatif (par exemple, pour utiliser<br />
l’authentification SecurID de RSA Security), vous devez éditer le fichier de configuration<br />
VPN manuellement. Le fichier de configuration se trouve dans /Bibliothèque/<br />
Preferences/SystemConfiguration/com.apple.RemoteAccess<strong>Server</strong>s.plist<br />
Pour en savoir plus, consultez la rubrique « Utilisation de l’authentification SecurID avec<br />
un serveur VPN » à la page 149.<br />
Utilisation du service VPN avec <strong>des</strong> utilisateurs se trouvant dans<br />
un domaine LDAP de tierce partie<br />
Pour utiliser le service VPN pour <strong>des</strong> utilisateurs se trouvant dans un domaine LDAP<br />
de tierce partie (un domaine Active Directory ou Linux OpenLDAP), vous devez pouvoir<br />
utiliser l’authentification Kerberos. Si vous devez utiliser MSCHAPv2 pour authentifier<br />
<strong>des</strong> utilisateurs, vous ne pouvez pas proposer le service VPN aux utilisateurs qui se<br />
trouvent dans un domaine LDAP de tierce partie.<br />
Avant de configurer le service VPN<br />
Avant de configurer le service VPN, déterminez quel protocole de transport vous allez<br />
utiliser. Le tableau ci-<strong>des</strong>sous indique quels protocoles sont pris en charge par les différentes<br />
plateformes.<br />
Si vous avez<br />
Vous pouvez utiliser<br />
L2TP/IPSec<br />
Vous pouvez utiliser PPTP<br />
<strong>des</strong> clients <strong>Mac</strong> <strong>OS</strong> X 10.5 et 10.4.x X X<br />
<strong>des</strong> clients <strong>Mac</strong> <strong>OS</strong> X 10.3.x X X<br />
<strong>des</strong> clients <strong>Mac</strong> <strong>OS</strong> X 10.2.x<br />
X<br />
Chapitre 6 Utilisation du service VPN 137
Si vous avez<br />
Vous pouvez utiliser<br />
L2TP/IPSec<br />
Vous pouvez utiliser PPTP<br />
<strong>des</strong> clients Windows X (si Windows XP) X<br />
<strong>des</strong> clients Linux ou Unix X X<br />
Si vous utilisez L2TP, vous devez posséder un certificat de sécurité (émis par une autorité<br />
de certificat ou auto-signé) ou un secret partagé prédéfini entre les nœuds qui se<br />
connectent. Si vous utilisez un secret partagé, ce dernier doit également être sécurisé<br />
(compter au moins 8 caractères alphanumériques, y compris <strong>des</strong> signes de ponctuation<br />
mais sans espaces ; de préférence 12 ou plus) et être gardé secret par les utilisateurs.<br />
Si vous utilisez PPTP, assurez-vous que tous vos clients prennent en charge les connexions<br />
PPTP 128 bits pour une sécurité de transport maximale. N’utiliser que la sécurité de transport<br />
40 bits représente un risque sérieux pour la sécurité.<br />
Configuration d’autres <strong>services</strong> ré<strong>seau</strong> pour VPN<br />
L’activation de VPN sous <strong>Mac</strong> <strong>OS</strong> X <strong>Server</strong> nécessite un contrôle détaillé de DHCP. DHCP<br />
se configure séparément dans Admin Serveur. Les adresses IP assignées aux clients VPN<br />
ne peuvent pas chevaucher les adresses assignées aux clients DHCP locaux. Pour en<br />
savoir plus sur DHCP, consultez le chapitre 2, « Utilisation du service DHCP, » à la page 27.<br />
Pour pouvoir activer VPN, il faut également configurer le service de coupe-feu. Les réglages<br />
de coupe-feu doivent permettre le passage du trafic ré<strong>seau</strong> d’adresses IP externes<br />
au travers du coupe-feu vers le ré<strong>seau</strong> local. Les réglages de coupe-feu peuvent être aussi<br />
ouverts ou fermés que vous le souhaitez.<br />
Par exemple, si vos clients VPN utilisent une grande plage d’adresses IP (si vous avez<br />
de nombreux utilisateurs qui se connectent par différents FAI), il se peut que vous<br />
deviez ouvrir le groupe d’adresses de coupe-feu « Quelconque » aux connexions VPN.<br />
Si vous voulez restreindre l’accès à une petite plage d’adresses IP, y compris à <strong>des</strong><br />
adresses statiques, vous pouvez créer un groupe d’adresses qui reflète la plus petite<br />
plage et n’autoriser que le trafic VPN provenant de cette liste. Vous devez également<br />
ouvrir les ports de coupe-feu associés au type de VPN que vous utilisez (L2TP ou PPTP).<br />
De plus, un VPN utilisant L2TP doit autoriser le trafic <strong>des</strong> clients VPN sur le port UDP<br />
4500 (IKE NAT Traversal) si vous utilisez une passerelle NAT.<br />
Il se peut que votre configuration ré<strong>seau</strong> nécessite également l’ouverture d’autres ports.<br />
138 Chapitre 6 Utilisation du service VPN
Présentation générale de la configuration<br />
Voici une vue d’ensemble <strong>des</strong> étapes requises pour configurer le service d’impression:<br />
Étape 1 : Avant de commencer<br />
Pour connaître les informations à garder à l’esprit lors de la configuration du service<br />
VPN, lisez « Avant de configurer le service VPN » à la page 137 et « Configuration<br />
d’autres <strong>services</strong> ré<strong>seau</strong> pour VPN » à la page 138.<br />
Étape 2 : Activez le service VPN<br />
Pour pouvoir configurer le service VPN, vous devez d’abord l’activer. Consultez la rubrique<br />
« Activation du service VPN » à la page 139.<br />
Étape 3 : Configurez <strong>des</strong> réglages VPN L2TP<br />
Utilisez Admin Serveur pour activer L2TP sur IPSec, définir la plage d’allocation <strong>des</strong><br />
adresses IP et définir le secret partagé ou le certificat de sécurité. Consultez la rubrique<br />
« Configuration <strong>des</strong> réglages L2TP » à la page 140.<br />
Étape 4 : Configurez <strong>des</strong> réglages VPN PPTP<br />
Utilisez Admin Serveur pour activer PPTP, pour spécifier la longueur <strong>des</strong> clés de chiffrement<br />
et pour spécifier la plage d’allocation <strong>des</strong> adresses IP. Consultez la rubrique<br />
« Configuration <strong>des</strong> réglages PPTP » à la page 141.<br />
Étape 5 : Configurez les réglages de journalisation VPN<br />
Utilisez les réglages de journalisation pour activer la journalisation VPN détaillée.<br />
Consultez la rubrique « Configuration <strong>des</strong> réglages de journalisation » à la page 143.<br />
Étape 6 : Configurez <strong>des</strong> réglages d’informations sur les clients VPN<br />
Utilisez Admin Serveur pour configurer <strong>des</strong> réglages ré<strong>seau</strong> pour les clients VPN. Consultez<br />
la rubrique « Configuration de réglages d’informations sur les clients » à la page 142.<br />
Activation du service VPN<br />
Pour configurer le service VPN, vous devez d’abord activer le service VPN dans<br />
Admin Serveur.<br />
Pour activer le service VPN :<br />
1 Ouvrez Admin Serveur et connectez-vous au serveur.<br />
2 Cliquez sur Réglages, puis sur Services.<br />
3 Cochez la case VPN.<br />
4 Cliquez sur Enregistrer.<br />
Chapitre 6 Utilisation du service VPN 139
Configuration du service VPN<br />
Il y a deux groupes de réglages relatifs au service VPN dans Admin Serveur :<br />
 Connexions. Affiche <strong>des</strong> informations sur les utilisateurs qui sont connectés à l’aide<br />
de VPN.<br />
 Réglages. Configure et gère les connexions du service VPN L2TP et PPTP.<br />
Les sections suivantes décrivent comment définir ces réglages. La section finale explique<br />
comment démarrer le service VPN une fois que vous avez configuré VPN.<br />
Configuration <strong>des</strong> réglages L2TP<br />
Utilisez Admin Serveur pour désigner L2TP comme protocole de transport.<br />
Si vous activez ce protocole, vous devez également configurer les réglages de connexion.<br />
Vous devez définir un secret partagé IPSec (si vous n’utilisez pas de certificat<br />
de sécurité signé), la plage d’allocation d’adresses IP à donner à vos clients ainsi que<br />
le groupe qui va utiliser le service VPN (si nécessaire).<br />
Si vous utilisez L2TP et PPTP, chaque protocole doit posséder sa propre plage d’adresses<br />
et celle-ci ne doit pas chevaucher d’autres plages.<br />
Lorsque vous configurez VPN, assurez-vous que le coupe-feu autorise le trafic VPN<br />
sur les ports requis avec les réglages suivants :<br />
 Pour le groupe d’adresses « Quelconque », activez GRE, ESP, VPN L2TP (port 1701)<br />
et VPN ISAKMP/IKE (port 500).<br />
 Pour le groupe d’adresses « 192.168-net », autorisez tout le trafic.<br />
Pour en savoir plus, consultez la rubrique « Configuration de réglages de <strong>services</strong> »<br />
à la page 96.<br />
Pour configurer <strong>des</strong> réglages L2TP :<br />
1 Ouvrez Admin Serveur et connectez-vous au serveur.<br />
2 Cliquez sur le triangle situé à gauche du serveur.<br />
La liste <strong>des</strong> serveurs apparaît.<br />
3 Dans la liste Serveurs développée, sélectionnez VPN.<br />
4 Cliquez sur Réglages, puis sur L2TP.<br />
5 Cochez la case « Activer L2TP via IPsec ».<br />
6 Dans le champ « Adresse IP de début », saisissez l’adresse IP de début de la plage<br />
d’allocation VPN.<br />
Elle ne peut pas chevaucher la plage d’allocation DHCP, donc saisissez 192.168.0.128.<br />
7 Dans le champ « Adresse IP de fin », saisissez l’adresse IP de fin de la plage d’allocation VPN.<br />
Elle ne peut pas chevaucher la plage d’allocation DHCP, donc saisissez 192.168.0.255.<br />
140 Chapitre 6 Utilisation du service VPN
8 (Facultatif) Vous pouvez répartir la charge VPN en cochant la case Activer la répartition<br />
de la charge et en saisissant une adresse IP dans le champ Adresse IP de la grappe.<br />
9 Sélectionnez un type d’authentification PPP.<br />
Si vous optez pour Service de répertoire et que votre ordinateur est lié à un serveur<br />
d’authentification Kerberos, dans le menu local Authentification, sélectionnez Kerberos.<br />
À défaut, sélectionnez MS-CHAPv2.<br />
Si vous optez pour RADIUS, saisissez les informations suivantes :<br />
Adresse IP primaire : saisissez l’adresse IP du serveur RADIUS principal.<br />
Secret partagé : saisissez le secret partagé du serveur RADIUS principal.<br />
Adresse IP secondaire : saisissez l’adresse IP du serveur RADIUS secondaire.<br />
Secret partagé : saisissez le secret partagé du serveur RADIUS secondaire.<br />
10 Saisissez le secret partagé ou sélectionnez le certificat à utiliser dans la section<br />
Authentification IPSec.<br />
Le secret partagé est un mot de passe commun qui authentifie les membres de<br />
la grappe. IPSec utilise le secret partagé comme une clé prépartagée pour établir<br />
<strong>des</strong> tunnels sécurisés entre les nœuds de la grappe.<br />
11 Cliquez sur Enregistrer.<br />
Configuration <strong>des</strong> réglages PPTP<br />
Utilisez Admin Serveur pour désigner PPTP comme protocole de transport.<br />
Si vous activez ce protocole, vous devez également configurer <strong>des</strong> réglages de connexion.<br />
Vous devez définir la longueur de la clé de chiffrement (40 bits ou 128 bits), la plage d’allocation<br />
d’adresses IP à donner à vos clients et le groupe qui va utiliser le service VPN (si<br />
nécessaire).<br />
Si vous utilisez L2TP et PPTP, chaque protocole doit posséder sa propre plage d’adresses<br />
et celle-ci ne doit pas chevaucher d’autres plages.<br />
Lorsque vous configurez VPN, assurez-vous que le coupe-feu autorise le trafic VPN<br />
sur les ports requis avec les réglages suivants :<br />
 Pour le groupe d’adresses « Quelconque », activez GRE, ESP, VPN L2TP (port 1701)<br />
et IKE (port 500).<br />
 Pour le groupe d’adresses « 192.168-net », autorisez tout le trafic.<br />
Pour en savoir plus, consultez la rubrique « Configuration de réglages de <strong>services</strong> »<br />
à la page 96.<br />
Chapitre 6 Utilisation du service VPN 141
Pour configurer <strong>des</strong> réglages PPTP :<br />
1 Ouvrez Admin Serveur et connectez-vous au serveur.<br />
2 Cliquez sur le triangle situé à gauche du serveur.<br />
La liste <strong>des</strong> serveurs apparaît.<br />
3 Dans la liste Serveurs développée, sélectionnez VPN.<br />
4 Cliquez sur Réglages, puis sur PPTP.<br />
5 Cochez la case Activer PPTP.<br />
6 Si nécessaire, cochez la case « Autoriser les clés de cryptage 40 bits, outre celles de<br />
128 bits » pour autoriser à l’accès au VPN par clé chiffrée de 40 bits et de 128 bits.<br />
AVERTISSEMENT : les clés de chiffrement 40 bits sont bien moins sûres mais peuvent<br />
s’avérer nécessaires pour certaines applications de client VPN.<br />
7 Dans le champ « Adresse IP de début », saisissez l’adresse IP de début de la plage<br />
d’allocation VPN.<br />
Elle ne peut pas chevaucher la plage d’allocation DHCP, donc saisissez 192.168.0.128.<br />
8 Dans le champ « Adresse IP de fin », saisissez l’adresse IP de fin de la plage d’allocation VPN.<br />
Elle ne peut pas chevaucher la plage d’allocation DHCP, donc saisissez 192.168.0.255.<br />
9 Sélectionnez un type d’authentification PPP.<br />
Si vous optez pour Service de répertoire et que votre ordinateur est lié à un serveur<br />
d’authentification Kerberos, dans le menu local Authentification, sélectionnez Kerberos.<br />
À défaut, sélectionnez MS-CHAPv2.<br />
Si vous optez pour RADIUS, saisissez les informations suivantes :<br />
Adresse IP primaire : saisissez l’adresse IP du serveur RADIUS principal.<br />
Secret partagé : saisissez le secret partagé du serveur RADIUS principal.<br />
Adresse IP secondaire : saisissez l’adresse IP du serveur RADIUS secondaire.<br />
Secret partagé : saisissez le secret partagé du serveur RADIUS secondaire.<br />
10 Cliquez sur Enregistrer.<br />
Configuration de réglages d’informations sur les clients<br />
Lorsqu’un utilisateur se connecte à votre serveur par un VPN, cet utilisateur reçoit une<br />
adresse IP dans la plage allouée. Cette plage n’est pas servie par un serveur DHCP, vous<br />
devez donc configurer le masque de ré<strong>seau</strong>, l’adresse DNS et <strong>des</strong> domaines de recherche.<br />
Pour configurer <strong>des</strong> réglages d’informations sur les clients :<br />
1 Ouvrez Admin Serveur et connectez-vous au serveur.<br />
2 Cliquez sur le triangle situé à gauche du serveur.<br />
142 Chapitre 6 Utilisation du service VPN
La liste <strong>des</strong> serveurs apparaît.<br />
3 Dans la liste Serveurs développée, sélectionnez VPN.<br />
4 Cliquez sur Réglages, puis sur Informations sur les clients.<br />
5 Saisissez l’adresse IP du serveur DNS.<br />
Ajoutez l’adresse IP interne de l’ordinateur passerelle (généralement 192.168.x.1).<br />
6 Saisissez les domaines de recherche souhaités.<br />
7 Cliquez sur Enregistrer.<br />
Configuration <strong>des</strong> réglages de journalisation<br />
Vous avez le choix entre deux niveaux de détail pour les historiques du service VPN.<br />
 Historiques non détaillés : décrivent les conditions pour lesquelles vous devez prendre<br />
une mesure immédiate (par exemple, si le service VPN ne peut pas démarrer).<br />
 Historiques détaillés : enregistrent toutes les activités du service VPN, y compris<br />
les fonctions de routine.<br />
Par défaut, ce sont les historiques non détaillés qui sont activés.<br />
Pour régler le niveau de détail de la journalisation sur Historiques détaillés :<br />
1 Ouvrez Admin Serveur et connectez-vous au serveur.<br />
2 Cliquez sur le triangle situé à gauche du serveur.<br />
La liste <strong>des</strong> serveurs apparaît.<br />
3 Dans la liste Serveurs développée, sélectionnez VPN.<br />
4 Cliquez sur Réglages, puis sur Journalisation.<br />
5 Cochez la case Historiques détaillés pour activer la journalisation détaillée.<br />
6 Cliquez sur Enregistrer.<br />
Démarrage du service VPN<br />
Utilisez Admin Serveur pour démarrer le service VPN.<br />
Pour démarrer le service VPN :<br />
1 Ouvrez Admin Serveur et connectez-vous au serveur.<br />
2 Cliquez sur le triangle situé à gauche du serveur.<br />
La liste <strong>des</strong> serveurs apparaît.<br />
3 Dans la liste Serveurs développée, sélectionnez VPN.<br />
4 Cliquez sur le bouton Démarrer VPN sous la liste Serveurs.<br />
Cliquez sur Réglages, puis sur L2TP ou PPTP et vérifiez que la case « Activer L2TP<br />
via IPsec » ou « Activer PPTP » est cochée.<br />
Chapitre 6 Utilisation du service VPN 143
Gestion du service VPN<br />
La présente section décrit les tâches associées à la gestion du service VPN. Ces dernières<br />
couvrent le démarrage, l’arrêt et la configuration du service.<br />
Arrêt du service VPN<br />
Utilisez Admin Serveur pour arrêter le service VPN.<br />
Pour arrêter le service VPN :<br />
1 Ouvrez Admin Serveur et connectez-vous au serveur.<br />
2 Cliquez sur le triangle situé à gauche du serveur.<br />
La liste <strong>des</strong> serveurs apparaît.<br />
3 Dans la liste Serveurs développée, sélectionnez VPN.<br />
4 Cliquez sur le bouton Arrêter VPN sous la liste Serveurs.<br />
Configuration de définitions de routage de ré<strong>seau</strong> VPN<br />
En utilisant <strong>des</strong> définitions de routage de ré<strong>seau</strong>, vous pouvez choisir de router les<br />
données provenant <strong>des</strong> clients VPN vers un groupe d’adresses au travers du tunnel<br />
VPN (qui est privé) ou par la connexion du FAI de l’utilisateur du VPN (qui est publique).<br />
Par exemple, vous pouvez router tout le trafic <strong>des</strong> clients VPN adressé à la plage d’adresses<br />
IP du ré<strong>seau</strong> local par le tunnel sécurisé vers le ré<strong>seau</strong>, mais router le trafic adressé à<br />
toutes les autres adresses par la connexion Internet normale non sécurisée de l’utilisateur.<br />
Cela vous permet de mieux contrôler ce qui transite par le tunnel VPN.<br />
Remarques importantes sur les définitions de routage VPN<br />
 Si vous n’ajoutez aucune définition de routage, le trafic est routé par la connexion<br />
VPN par défaut.<br />
 Si vous ajoutez <strong>des</strong> définitions de routage, la connexion VPN n’est plus définie comme<br />
la route par défaut et le trafic <strong>des</strong>tiné aux adresses qui ne sont pas spécifiquement<br />
déclarées comme une route privée ne transiteront pas par la connexion VPN.<br />
 Les recherches DNS transitent par la connexion VPN, quelles que soient les routes<br />
définies.<br />
 L’ordre <strong>des</strong> définitions n’a pas d’importance. Les définitions appliquent uniquement<br />
la <strong>des</strong>cription qui correspond le mieux au paquet routé.<br />
Exemple<br />
Imaginons que les adresses IP de votre ré<strong>seau</strong> local soient <strong>des</strong> adresses en 17.x.x.x.<br />
Si vous n’ajoutez pas de définitions de routage, le trafic ré<strong>seau</strong> de chaque client VPN<br />
(comme les deman<strong>des</strong> d’URL <strong>des</strong> navigateurs web, les tâches d’impression <strong>des</strong> files<br />
d’attente <strong>des</strong> imprimantes LPR et la navigation sur les serveurs de fichiers) est routé<br />
de l’ordinateur client par le tunnel VPN vers le ré<strong>seau</strong> 17.x.x.x.<br />
144 Chapitre 6 Utilisation du service VPN
Vous décidez de ne plus gérer le trafic vers <strong>des</strong> sites web ou <strong>des</strong> serveurs de fichiers qui ne<br />
sont pas situés sur votre ré<strong>seau</strong>. Vous pouvez spécifier quel trafic doit être adressé au ré<strong>seau</strong><br />
17.x.x.x et quel trafic doit transiter par la connexion Internet normale de l’ordinateur client.<br />
Pour limiter le trafic que le tunnel VPN gère, saisissez une définition de routage désignant<br />
le trafic adressé au ré<strong>seau</strong> 17.x.x.x comme étant privé, ce qui l’envoie au travers<br />
du tunnel VPN. Dans la table de définitions de routage, vous devez saisir 17.0.0.0<br />
255.0.0.0 Private.<br />
Tout le trafic vers le ré<strong>seau</strong> local est maintenant envoyé par la connexion VPN et, par défaut,<br />
le trafic adressé à toutes les autres adresses qui ne figurent pas dans la table <strong>des</strong> définitions<br />
de routage est envoyé par la connexion Internet non chiffrée de l’ordinateur client.<br />
Vous décidez ensuite que certaines adresses IP de la plage 17.x.x.x ne doivent pas être<br />
accessibles par la connexion VPN. Vous voulez que ce trafic transite par la connexion<br />
Internet de l’ordinateur client plutôt que par le tunnel VPN. Il se peut que les adresses<br />
soient devant le coupe-feu et pas accessibles à partir du ré<strong>seau</strong> 17.x.x.x.<br />
Par exemple, si vous voulez utiliser les adresses de la plage 17.100.100.x, vous devez<br />
ajouter un nouvelle définition de routage comme suit : 17.100.100.0 255.255.255.0 Public.<br />
Comme la définition d’adresse est plus spécifique que 17.x.x.x, cette règle l’emporte<br />
sur la règle générale plus large et le trafic adressé à n’importe quelle adresse de<br />
la plage 17.100.100.x est envoyé par la connexion Internet de l’ordinateur client.<br />
En bref, si vous ajoutez <strong>des</strong> routes, toutes les routes que vous désignez comme privées<br />
passent par la connexion VPN, alors que celles que vous déclarez publiques ne passent<br />
pas par la connexion VPN. Toutes les autres routes non spécifiées ne passent pas non<br />
plus par la connexion VPN.<br />
Pour définir <strong>des</strong> définitions de routage :<br />
1 Ouvrez Admin Serveur et connectez-vous au serveur.<br />
2 Cliquez sur le triangle situé à gauche du serveur.<br />
La liste <strong>des</strong> serveurs apparaît.<br />
3 Dans la liste Serveurs développée, sélectionnez VPN.<br />
4 Cliquez sur Réglages, puis sur Informations sur les clients.<br />
5 Cliquez sur le bouton Ajouter (+).<br />
6 Saisissez une plage d’adresses de <strong>des</strong>tination pour les paquets à router en spécifiant :<br />
Une adresse de base (par exemple, 192.168.0.0).<br />
Un masque de ré<strong>seau</strong> (par exemple, 255.255.0.0).<br />
7 Dans le menu local Type, sélectionnez la <strong>des</strong>tination du routage.<br />
Privé route le trafic client au travers du tunnel VPN.<br />
Chapitre 6 Utilisation du service VPN 145
Publique utilise l’interface normale sans tunnel.<br />
8 Cliquez sur OK.<br />
9 Cliquez sur Enregistrer.<br />
Limitation de l’accès VPN à <strong>des</strong> utilisateurs ou groupes spécifiques<br />
Par défaut, tous les utilisateurs du serveur ou du répertoire maître ont accès au VPN<br />
lorsqu’il est activé. Vous pouvez limiter l’accès au VPN à <strong>des</strong> utilisateurs spécifiques<br />
pour <strong>des</strong> raisons de sécurité ou pour simplifier l’administration. Vous pouvez limiter<br />
l’accès au VPN en utilisant la fonctionnalité <strong>des</strong> listes de contrôle d’accès (en anglais<br />
« Access Control Lists » ou « ACL ») de <strong>Mac</strong> <strong>OS</strong> X <strong>Server</strong>.<br />
Les listes de contrôle d’accès, ou listes ACL, permettent de donner l’accès à <strong>des</strong> <strong>services</strong><br />
à <strong>des</strong> utilisateurs ou groupes sur une base individuelle. Vous pouvez, par exemple,<br />
utiliser une liste ACL pour autoriser un utilisateur à accéder à un serveur de fichiers ou<br />
à un shell d’ouverture de session spécifique tout en refusant l’accès à tous les autres<br />
utilisateurs du serveur.<br />
Pour limiter l’accès au VPN à l’aide de listes ACL :<br />
1 Ouvrez Admin Serveur et connectez-vous au serveur.<br />
2 Cliquez sur Réglages, puis sur Accès.<br />
3 Cliquez sur Services.<br />
4 Cochez la case « Pour les <strong>services</strong> sélectionnés ».<br />
5 Dans la liste d’accès aux <strong>services</strong>, sélectionnez VPN.<br />
6 Sélectionnez « Autoriser les utilisateurs et groupes ci-<strong>des</strong>sous ».<br />
7 Pour afficher le tiroir <strong>des</strong> utilisateurs ou <strong>des</strong> groupes, cliquez sur le bouton Ajouter (+).<br />
8 Faites glisser <strong>des</strong> utilisateurs ou <strong>des</strong> groupes dans la liste d’accès.<br />
9 Cliquez sur Enregistrer.<br />
Limitation de l’accès au VPN à <strong>des</strong> adresses IP entrantes spécifiques<br />
Par défaut, le service de coupe-feu bloque les connexions VPN entrantes, mais vous<br />
pouvez donner un accès au VPN limité à certaines adresses IP pour <strong>des</strong> raisons de sécurité<br />
ou pour simplifier l’administration.<br />
Vous pouvez limiter l’accès au VPN en utilisant le service de coupe-feu de <strong>Mac</strong> <strong>OS</strong> X<br />
<strong>Server</strong>. Lors de la configuration du coupe-feu pour L2TP et PPTP, vous devez configurer<br />
GRE, ESP et IKE de manière à autoriser l’accès au VPN au travers du coupe-feu.<br />
Pour limiter l’accès au VPN en fonction de l’adresse IP :<br />
1 Ouvrez Admin Serveur et connectez-vous au serveur.<br />
2 Cliquez sur le triangle situé à gauche du serveur.<br />
La liste <strong>des</strong> <strong>services</strong> apparaît.<br />
146 Chapitre 6 Utilisation du service VPN
3 Dans la liste Serveurs développée, sélectionnez Coupe-feu.<br />
4 Cliquez sur Réglages.<br />
5 Sélectionnez Avancé, puis cliquez sur le bouton Ajouter (+).<br />
6 Dans le menu local Action, choisissez Autoriser.<br />
7 Dans le menu local Protocole, choisissez une option.<br />
Si vous utilisez L2TP pour l’accès au VPN, choisissez UDP.<br />
Si vous utilisez PPTP pour l’accès au VPN, choisissez TCP.<br />
8 Dans le menu local Service, choisissez VPN L2TP ou VPN PPTP.<br />
Le port de <strong>des</strong>tination correspondant est ajouté au champ Port.<br />
9 (Facultatif) Cochez la case « Journaliser tous les paquets correspondant à cette règle ».<br />
10 Dans le menu local Adresse de la section Source, choisissez Autre et saisissez la plage<br />
d’adresses IP source (en notation CIDR) à laquelle vous voulez donner l’accès au VPN.<br />
Vous pouvez également spécifier un port dans le champ Port de la section Source.<br />
Les ordinateurs qui possèdent une adresse IP dans la plage d’adresses IP que vous avez<br />
spécifiée dans le champ pour l’adresse IP source qui communiquent sur le port source<br />
que vous avez spécifié peuvent se connecter au service VPN.<br />
11 Dans le menu local Adresse de <strong>des</strong>tination, choisissez le groupe d’adresses qui contient<br />
le serveur VPN (comme <strong>des</strong>tination du trafic filtré).<br />
Si vous ne voulez pas utiliser un groupe d’adresses, saisissez la plage d’adresses IP<br />
de <strong>des</strong>tination (en notation CIDR).<br />
12 Dans le menu local Interface à laquelle cette règle s’applique, choisissez Entrée.<br />
Entrée fait référence aux paquets qui arrivent au serveur.<br />
13 Cliquez sur OK.<br />
14 Cliquez sur le bouton Ajouter (+).<br />
15 Dans le menu local Action, choisissez Autoriser.<br />
16 Dans le menu local Protocole, choisissez un protocole ou Autre.<br />
Si vous ajoutez GRE ou ESP, choisissez Autre et saisissez « Quelconque » dans le champ.<br />
Si vous ajoutez VPN ISAKMP/IKE, choisissez UDP.<br />
17 Dans le menu local Service, choisissez un service.<br />
Si vous ajoutez GRE, choisissez « GRE - protocole Generic Routing Encapsulation ».<br />
Si vous ajoutez ESP, choisissez « ESP - protocole Encapsulating Security Payload ».<br />
Si vous ajoutez VPN ISAKMP/IKE, choisissez « VPN ISAKMP/IKE. » Le port de <strong>des</strong>tination<br />
500 est ajouté au champ Port.<br />
18 Dans le menu local Adresse de la section Source, choisissez « Quelconque ».<br />
Chapitre 6 Utilisation du service VPN 147
19 Dans le champ Port de la section Source, saisissez « Quelconque ».<br />
20 Dans le menu local Adresse de la section Destination, choisissez « Quelconque ».<br />
21 Dans le champ Port de la section Destination, saisissez un numéro de port.<br />
Si vous ajoutez VPN ISAKMP/IKE, saisissez 500 si ce port n’est pas affiché.<br />
22 Dans le menu local Interface, choisissez « Autre » et saisissez « Quelconque » dans<br />
le champ Autre de la section Interface.<br />
23 Cliquez sur OK.<br />
24 Répétez les étapes 14 à 23 pour GRE, ESP et VPN ISAKMP/IKE.<br />
25 Cliquez sur Enregistrer pour appliquer le filtre immédiatement.<br />
Instructions de configuration supplémentaires<br />
La section qui suit décrit <strong>des</strong> procédures de scénarios facultatifs. Elles requièrent l’intégration<br />
à un service de répertoire existant ou à <strong>des</strong> <strong>services</strong> d’authentification de tierce partie.<br />
Activation de l’accès VPN PPTP pour les utilisateurs d’un domaine LDAP<br />
Dans <strong>Mac</strong> <strong>OS</strong> X 10.5, vous pouvez utiliser un outil de ligne de commande pour activer<br />
les connexions VPN PPTP pour les utilisateurs d’un domaine LDAP.<br />
Cela résout une situation dans laquelle les utilisateurs peuvent établir, à l’aide de PPTP,<br />
une connexion VPN à un serveur <strong>Mac</strong> <strong>OS</strong> X <strong>Server</strong> qui, une fois établie, n’est pas utilisée<br />
par le trafic ré<strong>seau</strong>. Cette situation affecte <strong>Mac</strong> <strong>OS</strong> X <strong>Server</strong> 10.3, 10.4 et 10.5.<br />
Pour activer l’accès VPN PPTP pour les utilisateurs d’un domaine LDAP<br />
1 Exécutez l’outil /usr/sbin/vpnaddkeyagentuser en tant que root avec le nœud LDAP<br />
(le répertoire dans lequel les utilisateurs se trouvent) comme argument.<br />
Par exemple, si le serveur sur lequel tourne le service VPN est le maître LDAP, saisissez<br />
la commande suivante dans Terminal :<br />
$ sudo /usr/sbin/vpnaddkeyagentuser /LDAPv3/127.0.0.1<br />
Si le serveur sur lequel tourne le service VPN n’est pas un maître LDAP et que le répertoire<br />
LDAP se trouve sur un autre ordinateur, utilisez l’adresse IP du serveur LDAP dans<br />
la commande.<br />
Par exemple, si l’adresse du serveur LDAP est 17.221.67.87, saisissez la commande suivante<br />
dans Terminal :<br />
$ sudo /usr/sbin/vpnaddkeyagentuser /LDAPv3/17.221.67.87<br />
2 Lorsque le système vous y invite, saisissez le nom d’utilisateur et le mot de passe.<br />
Si le serveur VPN est le maître LDAP, saisissez le nom et le mot de passe de l’administrateur<br />
du serveur.<br />
148 Chapitre 6 Utilisation du service VPN
Si le répertoire LDAP se trouve sur un autre serveur, saisissez le nom et le mot de passe<br />
de l’administrateur du serveur qui héberge le répertoire LDAP (ou le nom et le mot de<br />
passe de l’administrateur utilisé pour ajouter <strong>des</strong> utilisateurs au répertoire LDAP dans<br />
Gestionnaire de groupe de travail).<br />
L’outil ajoute un utilisateur au répertoire LDAP et configure <strong>des</strong> éléments de configuration<br />
dans le serveur VPN afin qu’il puisse prendre en charge PPTP.<br />
3 Dans la sous-fenêtre Réglages du service VPN d’Admin Serveur, configurez PPTP.<br />
4 Démarrez le service VPN.<br />
Utilisation de l’authentification SecurID avec un serveur VPN<br />
RSA Security fournit une authentification forte. Il utilise <strong>des</strong> jetons matériels et logiciels<br />
pour vérifier l’identité <strong>des</strong> utilisateurs. L’authentification SecurID est disponible pour les<br />
transports L2TP et PPTP. Pour connaître les détails et les offres <strong>des</strong> différents produits,<br />
visitez www.rsasecurity.com.<br />
Le service VPN prend en charge l’authentification SecurID mais celle-ci ne peut pas être<br />
configurée dans Admin Serveur. Si vous optez pour cet outil d’authentification, vous<br />
devez modifier la configuration VPN manuellement.<br />
Configurez SecurID :<br />
1 À partir de votre serveur SecurID, copiez le fichier sdconf.rec dans un nouveau dossier<br />
de votre serveur <strong>Mac</strong> <strong>OS</strong> X <strong>Server</strong> nommé /var/ace.<br />
Il existe plusieurs façons de le faire. En voici une :<br />
a Ouvrez Terminal (/Applications/Utilitaires/).<br />
b Saisissez sudo mkdir /var/ace.<br />
c Saisissez votre mot de passe d’administrateur.<br />
d Dans le Dock, cliquez sur Finder.<br />
e Dans le menu Aller, choisissez Aller > Aller au dossier.<br />
f Saisissez : /var/ace.<br />
g Cliquez sur Aller.<br />
h À partir de votre serveur SecurID, copiez le fichier sdconf.rec dans le dossier « ace ».<br />
i Si une zone de dialogue annonce que le dossier « ace » ne peut pas être modifié,<br />
cliquez sur Authentification pour autoriser la copie.<br />
2 Activez l’authentification SecurID EAP sur votre service VPN pour les protocoles avec<br />
lesquelles vous voulez l’utiliser.<br />
Pour l’utiliser avec PPTP, saisissez les deux comman<strong>des</strong> suivantes dans Terminal (sur deux<br />
lignes séparées) :<br />
# sudo serveradmin settings vpn:<strong>Server</strong>s:com.apple.ppp.pptp:PPP:AuthenticatorEAPPlugins:_array_index:<br />
0 = "EAP-RSA"<br />
Chapitre 6 Utilisation du service VPN 149
# sudo serveradmin settings vpn:<strong>Server</strong>s:com.apple.ppp.pptp:PPP:AuthenticatorProtocol:_array_index:0<br />
= "EAP"<br />
Pour l’utiliser avec L2TP, saisissez les deux comman<strong>des</strong> suivantes dans Terminal (sur<br />
deux lignes séparées) :<br />
# sudo serveradmin settings vpn:<strong>Server</strong>s:com.apple.ppp.l2tp:PPP:AuthenticatorEAPPlugins:_array_index:<br />
0 = "EAP-RSA"<br />
# sudo serveradmin settings vpn:<strong>Server</strong>s:com.apple.ppp.l2tp:PPP:AuthenticatorProtocol:_array_index:0<br />
= "EAP"<br />
3 Complétez les tâches de configuration du service VPN restantes à l’aide d’Admin Serveur.<br />
Surveillance du service VPN<br />
La présente section décrit les tâches associées à la surveillance d’un service VPN actif.<br />
Cela couvre l’accès aux rapports d’état d’accès, la définition d’options de journalisation,<br />
l’affichage d’historiques et la surveillance de connexions.<br />
Affichage de la vue d’ensemble de l’état de VPN<br />
La vue d’ensemble de VPN vous permet d’accéder rapidement à un rapport sur l’état<br />
<strong>des</strong> service VPN activés. Ce rapport indique le nombre de clients L2TP et PPTP connectés,<br />
la méthode d’authentification sélectionnée et quand le service a démarré.<br />
Pour afficher la vue d’ensemble :<br />
1 Ouvrez Admin Serveur et connectez-vous au serveur.<br />
2 Cliquez sur le triangle situé à gauche du serveur.<br />
La liste <strong>des</strong> serveurs apparaît.<br />
3 Dans la liste Serveurs développée, sélectionnez VPN.<br />
4 Cliquez sur Vue d’ensemble.<br />
Modification du niveau de détail <strong>des</strong> historiques du service VPN<br />
Vous avez le choix entre deux niveaux de détail pour les historiques du service VPN.<br />
 Non détaillé : ces historiques ne décrivent que les conditions pour lesquelles vous devez<br />
prendre une mesure immédiate (par exemple, si le service VPN ne peut pas démarrer).<br />
 Détaillé : ces historiques enregistrent toutes les activités du service VPN, y compris<br />
les fonctions de routine.<br />
Par défaut, ce sont les historiques non détaillés qui sont activés.<br />
Pour changer le niveau de détail <strong>des</strong> historiques VPN en Détaillé :<br />
1 Ouvrez Admin Serveur et connectez-vous au serveur.<br />
2 Cliquez sur le triangle situé à gauche du serveur.<br />
La liste <strong>des</strong> serveurs apparaît.<br />
3 Dans la liste Serveurs développée, sélectionnez VPN.<br />
150 Chapitre 6 Utilisation du service VPN
4 Cliquez sur Réglages, puis sur Journalisation.<br />
5 Cochez la case Historiques détaillés pour activer la journalisation détaillée.<br />
6 Cliquez sur Enregistrer.<br />
Affichage de l’historique VPN<br />
Surveiller les historiques VPN vous aide à vous assurer que votre VPN fonctionne correctement.<br />
Les historiques VPN peuvent vous aider à résoudre <strong>des</strong> problèmes. La vue de<br />
l’historique montre le contenu du fichier /var/log/ppp/vpnd.log. Vous pouvez filtrer<br />
les enregistrements de l’historique à l’aide du champ de filtrage de texte de la sousfenêtre<br />
Historique de VPN.<br />
Pour afficher l’historique :<br />
1 Ouvrez Admin Serveur et connectez-vous au serveur.<br />
2 Cliquez sur le triangle situé à gauche du serveur.<br />
La liste <strong>des</strong> serveurs apparaît.<br />
3 Dans la liste Serveurs développée, sélectionnez VPN.<br />
4 Cliquez sur Historique.<br />
Affichage <strong>des</strong> connexions <strong>des</strong> clients VPN<br />
Vous pouvez surveiller les connexions <strong>des</strong> clients VPN pour maintenir un accès sécurisé<br />
au VPN. En affichant l’écran <strong>des</strong> connexions client, vous pouvez voir :<br />
 Les utilisateurs connectés<br />
 L’adresse IP à partir de laquelle les utilisateurs sont connectés<br />
 L’adresse IP que votre ré<strong>seau</strong> a assigné aux utilisateurs<br />
 Le type et la durée <strong>des</strong> connexions<br />
Vous pouvez trier la liste en cliquant sur les en-têtes de colonne.<br />
Pour afficher les connexions client :<br />
1 Ouvrez Admin Serveur et connectez-vous au serveur.<br />
2 Cliquez sur le triangle situé à gauche du serveur.<br />
La liste <strong>des</strong> serveurs apparaît.<br />
3 Dans la liste Serveurs développée, sélectionnez VPN.<br />
4 Cliquez sur Connexions.<br />
Chapitre 6 Utilisation du service VPN 151
Tâches d’administration de ré<strong>seau</strong> courantes qui utilisent<br />
le service VPN<br />
Les sections qui suivent décrivent <strong>des</strong> tâches d’administration de ré<strong>seau</strong> courantes<br />
qui utilisent le service VPN.<br />
Liaison d’un ordinateur de la maison à un ré<strong>seau</strong> distant<br />
Vous pouvez utiliser VPN pour lier un ordinateur à un ré<strong>seau</strong> distant en donnant accès au<br />
ré<strong>seau</strong> distant comme si l’ordinateur était connecté physiquement au ré<strong>seau</strong> local. Voici<br />
un exemple de configuration dans laquelle un ordinateur est lié à un ré<strong>seau</strong> distant :<br />
 Authentification <strong>des</strong> utilisateurs : l’utilisateur peut s’authentifier à l’aide d’un nom<br />
et d’un mot de passe.<br />
 Type de VPN souhaité : L2TP<br />
 Secret partagé : prDwkj49fd!254<br />
 Adresse IP Internet ou publique de la passerelle VPN : passerelle.exemple.com<br />
 Plage d’adresses IP et masque de ré<strong>seau</strong> du ré<strong>seau</strong> privé : 192.168.0.0–192.168.0.255<br />
(également exprimée sous la forme 192.168.0.0/24 ou 192.168.0.0:255.255.255.0)<br />
 Adresses de début et de fin DHCP : 192.168.0.3–192.168.0.127<br />
 Adresse IP DNS du ré<strong>seau</strong> privé : 192.168.0.2<br />
Le résultat de cette configuration est un client VPN qui peut se connecter à un ré<strong>seau</strong><br />
local distant à l’aide de L2TP avec <strong>des</strong> droits d’accès complets.<br />
Étape 1 : Configurez VPN<br />
1 Ouvrez Admin Serveur et connectez-vous au serveur.<br />
2 Cliquez sur le triangle situé à gauche du serveur.<br />
La liste <strong>des</strong> serveurs apparaît.<br />
3 Dans la liste Serveurs développée, sélectionnez VPN.<br />
4 Cliquez sur Réglages, puis sur L2TP.<br />
5 Activez L2TP via IPsec.<br />
6 Dans le champ « Adresse IP de début », saisissez l’adresse IP de début de la plage<br />
d’allocation VPN.<br />
Elle ne peut pas chevaucher la plage d’allocation DHCP, donc saisissez 192.168.0.128.<br />
7 Dans le champ « Adresse IP de fin », saisissez l’adresse IP de fin de la plage d’allocation VPN.<br />
Elle ne peut pas chevaucher la plage d’allocation DHCP, donc saisissez 192.168.0.255.<br />
8 Dans la section Authentification IPSec, saisissez le secret partagé (prDwkj49fd!254).<br />
Le secret partagé est un mot de passe commun qui authentifie les membres de<br />
la grappe. IPSec utilise le secret partagé comme une clé prépartagée pour établir<br />
<strong>des</strong> tunnels sécurisés entre les nœuds de la grappe.<br />
152 Chapitre 6 Utilisation du service VPN
9 Cliquez sur Enregistrer.<br />
10 Cliquez sur Informations sur les clients.<br />
11 Saisissez l’adresse IP du serveur DNS du ré<strong>seau</strong> local interne (192.168.0.2).<br />
12 Laissez les définitions de routage vi<strong>des</strong>.<br />
Tout le trafic provenant du client va transiter par le tunnel VPN.<br />
13 Cliquez sur Enregistrer.<br />
14 Cliquez sur Démarrer VPN sous la liste Serveurs.<br />
Étape 2 : Configurez le coupe-feu<br />
1 Créez un groupe d’adresses pour la plage d’allocation VPN.<br />
Pour en savoir plus, consultez la rubrique « Création d’un groupe d’adresses » à la page 99.<br />
2 Ouvrez le coupe-feu aux connexions VPN externes en activant les connexions L2TP<br />
dans le groupe d’adresses « Quelconque ».<br />
Pour en savoir plus, consultez la rubrique « Configuration de réglages de <strong>services</strong> »<br />
à la page 96.<br />
3 Configurez le coupe-feu pour le groupe d’adresses VPN en autorisant ou refusant<br />
<strong>des</strong> ports et <strong>des</strong> <strong>services</strong> comme vous le souhaitez.<br />
4 Enregistrez vos modifications.<br />
5 Démarrez ou redémarrez le coupe-feu.<br />
Étape 3 : Configurez le client<br />
L’exemple qui suit illustre un client <strong>Mac</strong> <strong>OS</strong> X utilisant les préférences Ré<strong>seau</strong>.<br />
1 Ouvrez Préférences Système, puis cliquez sur Ré<strong>seau</strong>.<br />
2 Cliquez sur le bouton Ajouter (+) dans le bas de la liste <strong>des</strong> <strong>services</strong> <strong>des</strong> connexions<br />
ré<strong>seau</strong>, puis choisissez VPN dans le menu local Interface.<br />
3 Dans le menu local Type de VPN, choisissez « L2TP via IPSec ».<br />
4 Saisissez le nom d’un service VPN dans le champ Nom du service, puis cliquez sur Créer.<br />
5 Saisissez le nom DNS ou l’adresse IP dans le champ Adresse du serveur.<br />
Adresse du serveur : passerelle.exemple.com<br />
Nom du compte : <br />
6 Cliquez sur Réglages d’authentification et saisissez les informations de configuration<br />
suivantes :<br />
Authentification <strong>des</strong> utilisateurs : utilisez Mot de passe <br />
Authentication <strong>des</strong> machines : utilisez Secret partagé <br />
7 Cliquez sur OK.<br />
L’utilisateur peut maintenant se connecter.<br />
Chapitre 6 Utilisation du service VPN 153
Accès à une ressource informatique unique se trouvant derrière<br />
le coupe-feu d’un ré<strong>seau</strong> distant<br />
Il faut distinguer l’accès à une ressource informatique se trouvant derrière un coupe-feu<br />
de l’autorisation d’un ordinateur client à devenir un nœud sur le ré<strong>seau</strong> distant.<br />
Dans l’exemple précédent, l’ordinateur de l’utilisateur VPN devient un participant<br />
à part entière du ré<strong>seau</strong> local distant. Dans le présent scénario, la ressource à laquelle<br />
l’on souhaite accéder est un serveur de fichiers unique, l’ordinateur de l’utilisateur VPN<br />
n’ayant pas d’autre contact avec le ré<strong>seau</strong> local distant.<br />
Ce scénario assume <strong>des</strong> informations qui figurent à la section « Liaison d’un ordinateur<br />
de la maison à un ré<strong>seau</strong> distant » à la page 152 et nécessite en outre celles-ci :<br />
 Adresse IP du serveur de fichiers : 192.168.0.15<br />
 Type du serveur de fichiers : partage de fichiers <strong>Apple</strong><br />
Dans ce scénario, la procédure est similaire à celle utilisée dans la section « Liaison d’un<br />
ordinateur de la maison à un ré<strong>seau</strong> distant » à la page 152, avec les exceptions suivantes :<br />
 À l’étape 1, point 12, ne laissez pas les définitions de routage vi<strong>des</strong>.<br />
 Créez une route privée avec le numéro IP du serveur de fichiers (192.168.0.15 /<br />
255.255.255.255).<br />
 À l’étape 2, point 3, configurez le coupe-feu de manière à ce qu’il n’accepte que<br />
les connexions sous le protocole Partage de fichiers <strong>Apple</strong> et le DNS provenant<br />
du groupe d’adresses VPN.<br />
Les utilisateurs VPN qui ont ouvert une session au travers de la passerelle VPN peuvent<br />
accéder au serveur de fichiers tandis qu’aucun autre trafic ré<strong>seau</strong> ne peut transiter par<br />
la passerelle chiffrée.<br />
Liaison de deux sites de ré<strong>seau</strong> distant ou plus<br />
Vous pouvez utiliser un VPN pour relier un ordinateur à un ré<strong>seau</strong> principal ou pour<br />
relier plusieurs ré<strong>seau</strong>x entre eux.<br />
Lorsque deux ré<strong>seau</strong>x sont reliés par VPN, ils peuvent communiquer comme s’ils étaient<br />
connectés physiquement. Chacun <strong>des</strong> sites doit disposer de sa propre connexion à Internet<br />
mais les données privées sont transmises d’un site à l’autre sous une forme chiffrée.<br />
Ce type de lien est utile pour connecter <strong>des</strong> bureaux décentralisés au ré<strong>seau</strong> local<br />
du site principal d’une organisation.<br />
154 Chapitre 6 Utilisation du service VPN
À propos de l’outil d’administration VPN de site à site<br />
Relier plusieurs ré<strong>seau</strong>x locaux distants à un ré<strong>seau</strong> local principal nécessite l’utilisation<br />
d’un utilitaire de ligne de commande sous <strong>Mac</strong> <strong>OS</strong> X <strong>Server</strong> nommé s2svpnadmin<br />
(« site-to-site VPN admin » en anglais).<br />
L’utilisation de s2svpnadmin nécessite l’utilisation de (et une certaine familiarité avec)<br />
Terminal, tandis que l’administrateur doit avoir accès à <strong>des</strong> privilèges de root par sudo.<br />
Pour en savoir plus sur s2svpnadmin, consultez la page man de s2svpnadmin.<br />
Relier plusieurs ré<strong>seau</strong>x locaux distants à un ré<strong>seau</strong> local principal peut nécessiter la création<br />
d’un certificat de sécurité. L’outil s2svpnadmin peut créer <strong>des</strong> liens à l’aide de l’authentification<br />
par secret partagé (les deux sites ont un mot de passe dans leurs fichiers de<br />
configuration) ou à l’aide de l’authentification par certificat. Pour utiliser l’authentification<br />
par certificat, vous devez créer le certificat avant d’exécuter s2svpnadmin.<br />
Les connexions VPN de site à site ne peuvent être établies qu’à l’aide de connexions<br />
VPN L2TP/IPSec. Vous ne pouvez pas lier deux sites à l’aide de PPTP avec ces instructions.<br />
Le présent exemple utilise les réglages suivants :<br />
 Type de VPN souhaité : L2TP<br />
 Authentification : à l’aide d’un secret partagé<br />
 Secret partagé : prDwkj49fd!254<br />
 Adresse IP Internet ou publique de la passerelle ré<strong>seau</strong> principale du VPN<br />
(« Site ) : A.B.C.D<br />
 Adresse IP Internet ou publique de la passerelle ré<strong>seau</strong> distante du VPN<br />
(« Site 2 ») : W.X.Y.Z<br />
 Adresse IP privée du site 1 : 192.168.0.1<br />
 Adresse IP privée du site 2 : 192.168.20.1<br />
 Plage d’adresses IP du ré<strong>seau</strong> privé et masque de ré<strong>seau</strong> du site 1 : 192.168.0.0–<br />
192.168.0.255 (également exprimée sous la forme 192.168.0.0/16 ou 192.168.0.0:255.255.0.0)<br />
 Plage d’adresses IP du ré<strong>seau</strong> privé et masque de ré<strong>seau</strong> du site 2 : 192.168.20.0–<br />
192.168.20.255 (également exprimée sous la forme 192.168.20.0/24 ou<br />
192.168.0.0:255.255.0.0)<br />
 Adresse IP du DNS de l’organisation : 192.168.0.2<br />
Le résultat de cette configuration est un ré<strong>seau</strong> local distant auxiliaire connecté<br />
à un ré<strong>seau</strong> local principal par L2TP.<br />
Étape 1 : Exécutez s2svpnadmin sur les passerelles <strong>des</strong> deux sites<br />
1 Ouvrez Terminal et démarrez s2svpnadmin en saisissant :<br />
$ sudo s2svpnadmin<br />
2 Saisissez le nombre adéquat pour « Configurer un nouveau serveur de site à site ».<br />
3 Saisissez le nom de la configuration (les espaces ne sont pas autorisés).<br />
Chapitre 6 Utilisation du service VPN 155
Dans notre exemple, vous pouvez saisir « site_1 » sur la passerelle du site 1, etc.<br />
4 Saisissez l’adresse IP publique de la passerelle.<br />
Dans notre exemple, saisissez A.B.C.D sur la passerelle du site 1 et W.X.Y.Z sur la passerelle<br />
du site 2.<br />
5 Saisissez l’adresse IP publique de l’autre site.<br />
Dans notre exemple, saisissez W.X.Y.Z sur la passerelle du site 2 et A.B.C.D sur la passerelle<br />
du site 1.<br />
6 Saisissez « s » pour l’authentification par secret partagé, puis saisissez le secret partagé :<br />
(« prDwkj49fd!254 »).<br />
Si vous utilisez l’authentification par certificat, saisissez « c » puis sélectionnez le certificat<br />
installé que vous voulez utiliser.<br />
7 Saisissez au moins une politique d’adressage pour la configuration.<br />
8 Saisissez l’adresse ré<strong>seau</strong> du sous-ré<strong>seau</strong> local (par exemple, 192.168.0.0 pour le site 1,<br />
192.168.20.0 pour le site 2).<br />
9 Pour la plage d’adresses, saisissez les bits de préfixe en notation CIDR.<br />
Dans notre exemple, la notation CIDR de la plage de sous-ré<strong>seau</strong> est 192.168.2.0/24<br />
pour le site 1, vous devriez donc saisir 24.<br />
10 Saisissez l’adresse ré<strong>seau</strong> du sous-ré<strong>seau</strong> distant (par exemple, 192.168.20.0 pour le site 1,<br />
192.168.0.0 pour le site 2).<br />
11 Pour la plage d’adresses, saisissez les bits de préfixe en notation CIDR.<br />
Dans notre exemple, la notation CIDR de la plage de sous-ré<strong>seau</strong> est 192.168.2.0/24<br />
pour le site 1, vous devriez donc saisir 24.<br />
12 Si vous voulez définir d’autres politiques, faites-le maintenant. À défaut, appuyez sur Retour.<br />
Si vous deviez connecter un plus grand nombre de sites ou que vous aviez une configuration<br />
d’adresses plus complexe (ne liant que certaines parties de votre ré<strong>seau</strong> local principal<br />
au ré<strong>seau</strong> local distant), vous devriez créer d’autres politiques pour cette configuration<br />
maintenant.<br />
Répétez les étapes relatives à la politique 7 à 12 pour les nouvelles politiques.<br />
13 Appuyez sur « y » pour activer la configuration de site.<br />
Vous pouvez vérifier vos réglages en affichant les détails de la configuration du serveur<br />
et en saisissant le nom de la configuration (dans notre exemple, « site_1 »).<br />
14 Quittez s2svpnadmin.<br />
156 Chapitre 6 Utilisation du service VPN
Étape 2 : Configurez le coupe-feu sur les passerelles <strong>des</strong> deux sites<br />
1 Créez un groupe d’adresses ne contenant que l’adresse IP publique du serveur pour<br />
chaque serveur.<br />
Dans notre exemple, nommez le premier groupe Site 1 et saisissez l’adresse IP publique<br />
du serveur. Nommez ensuite le second groupe Site 2 et saisissez l’adresse IP publique<br />
de l’autre serveur.<br />
Pour en savoir plus, consultez la rubrique « Création d’un groupe d’adresses » à la page 99.<br />
2 Ouvrez le coupe-feu aux connexions VPN externes en activant les connexions L2TP<br />
(port 1701) et IKE NAT Traversal (port 4500) dans le groupe d’adresses « Quelconque ».<br />
Pour en savoir plus, consultez la rubrique « Configuration de réglages de <strong>services</strong> »<br />
à la page 96.<br />
3 Créez les règles de filtrage IP avancées suivantes sur la passerelle <strong>des</strong> deux sites :<br />
Règle de filtrage 1<br />
Réglage<br />
Action :<br />
Autoriser<br />
Protocole :<br />
UDP<br />
Adresse source : Site 1<br />
Adresse de <strong>des</strong>tination : Site 2<br />
Interface : Autre, saisissez « isakmp »<br />
Règle de filtrage 2<br />
Réglage<br />
Action :<br />
Autoriser<br />
Protocole :<br />
UDP<br />
Adresse source : Site 2<br />
Adresse de <strong>des</strong>tination : Site 1<br />
Interface : Autre, saisissez « isakmp »<br />
Règle de filtrage 3<br />
Réglage<br />
Action :<br />
Autoriser<br />
Protocole : Autre, saisissez « esp »<br />
Adresse source : Site 1<br />
Adresse de <strong>des</strong>tination : Site 2<br />
Règle de filtrage 4<br />
Réglage<br />
Action :<br />
Autoriser<br />
Protocole : Autre, saisissez « esp »<br />
Adresse source : Site 2<br />
Adresse de <strong>des</strong>tination : Site 1<br />
Chapitre 6 Utilisation du service VPN 157
Règle de filtrage 5<br />
Réglage<br />
Action :<br />
Autoriser<br />
Protocole : Autre, saisissez « ipencap »<br />
Adresse source : Site 1<br />
Adresse de <strong>des</strong>tination : Site 2<br />
Règle de filtrage 6<br />
Réglage<br />
Action :<br />
Autoriser<br />
Protocole : Autre, saisissez « ipencap »<br />
Adresse source : Site 2<br />
Adresse de <strong>des</strong>tination : Site 1<br />
Règle de filtrage 7<br />
Réglage<br />
Action :<br />
Autoriser<br />
Protocole : Autre, saisissez « gre »<br />
Adresse source : Site 1<br />
Adresse de <strong>des</strong>tination : Site 2<br />
Règle de filtrage 8<br />
Réglage<br />
Action :<br />
Autoriser<br />
Protocole : Autre, saisissez « gre »<br />
Adresse source : Site 2<br />
Adresse de <strong>des</strong>tination : Site 1<br />
Pour en savoir plus sur la création de règles avancées, consultez la section<br />
« Configuration de règles de coupe-feu avancées » à la page 102.<br />
Ces règles autorisent le passage du trafic chiffré aux deux hôtes.<br />
4 Enregistrez vos modifications.<br />
5 Démarrez ou redémarrez le coupe-feu, si nécessaire.<br />
Étape 3 : Démarrez le service VPN sur la passerelle <strong>des</strong> deux sites<br />
1 Pour les deux passerelles VPN, ouvrez Admin Serveur et connectez-vous au serveur.<br />
2 Cliquez sur le triangle situé à gauche du serveur.<br />
La liste <strong>des</strong> <strong>services</strong> apparaît.<br />
3 Dans la liste Serveurs développée, sélectionnez VPN.<br />
Si vous avez utilisé s2svpnadmin correctement, le bouton Démarrer doit être activé<br />
et prêt à l’emploi.<br />
4 Cliquez sur Démarrer VPN.<br />
158 Chapitre 6 Utilisation du service VPN
Vous devriez pouvoir accéder à un ordinateur se trouvant sur le ré<strong>seau</strong> local distant<br />
à partir du ré<strong>seau</strong> local. Pour vérifier le lien, utilisez ping ou tout autre moyen.<br />
Autres sources d’informations<br />
Pour en savoir plus sur L2TP/IPSec<br />
Le groupe de travail Internet Engineering Task Force (IETF) travaille sur <strong>des</strong> normes formelles<br />
pour l’authentification <strong>des</strong> utilisateurs par L2TP/IPsec. Pour en savoir plus, consultez<br />
www.ietf.org/ids.by.wg/ipsec.html (en anglais).<br />
Documents RFC<br />
Les documents RFC (Request for Comments) offrent <strong>des</strong> vues d’ensemble de protocoles<br />
ou de <strong>services</strong> particuliers et présentent de manière détaillée le comportement normal<br />
de chaque protocole.<br />
Si vous êtes un administrateur de serveur débutant, certaines <strong>des</strong> informations générales<br />
qui figurent dans les documents RFC vous seront certainement utiles.<br />
En revanche, si vous êtes un administrateur de serveur confirmé, vous trouverez tous<br />
les détails techniques concernant un protocole particulier dans le document RFC<br />
correspondant.<br />
Vous pouvez rechercher les documents RFC par leur numéro à l’adresse<br />
www.ietf.org/rfc.html.<br />
 Pour une <strong>des</strong>cription de L2TP, consultez RFC 2661.<br />
 Pour une <strong>des</strong>cription de PPTP, consultez RFC 2637.<br />
 Pour Kerberos 5, consultez RFC 1510.<br />
Chapitre 6 Utilisation du service VPN 159
7 Utilisation<br />
du service RADIUS<br />
7<br />
En configurant un serveur RADIUS avec Open Directory, vous<br />
pouvez sécuriser votre environnement sans fil contre les utilisateurs<br />
non autorisés.<br />
Les ré<strong>seau</strong>x sans fil donnent aux entreprises plus de flexibilité en matière de ré<strong>seau</strong>x<br />
en connectant les utilisateurs d’ordinateurs portables au ré<strong>seau</strong> avec une couverture parfaite<br />
et en leur donnant la liberté de se déplacer dans l’entreprise tout en restant connectés<br />
au ré<strong>seau</strong>.<br />
Le présent chapitre décrit comment configurer et utiliser le service <strong>des</strong>tiné aux utilisateurs<br />
qui se connectent au ré<strong>seau</strong> par <strong>des</strong> appels entrants avec authentification à distance<br />
« Remote Authentication Dial In User Service » ou « RADIUS » pour maintenir la sécurité<br />
de votre ré<strong>seau</strong> sans fil et vous assurer qu’il n’est utilisé que par <strong>des</strong> utilisateurs autorisés.<br />
RADIUS est utilisé pour autoriser les utilisateurs et groupes Open Directory à accéder<br />
à <strong>des</strong> bornes d’accès AirPort sur un ré<strong>seau</strong>. En configurant RADIUS et Open Directory,<br />
vous pouvez contrôler l’accès à votre ré<strong>seau</strong> sans fil.<br />
RADIUS collabore avec Open Directory et le Serveur de mot de passe pour donner aux<br />
utilisateurs autorisés l’accès au ré<strong>seau</strong> via une borne d’accès AirPort. Lorsqu’un utilisateur<br />
tente d’accéder à une borne d’accès AirPort, AirPort communique avec le serveur<br />
RADIUS en utilisant le protocole Extensible Authentication Protocol (EAP) pour authentifier<br />
et autoriser l’utilisateur.<br />
Les utilisateurs se voient donner accès au ré<strong>seau</strong> si leurs informations d’authentification<br />
d’utilisateur sont vali<strong>des</strong> et s’ils sont autorisés à utiliser la borne d’accès AirPort. Si un utilisateur<br />
n’est pas autorisé, il ne peut pas accéder au ré<strong>seau</strong> via la borne d’accès AirPort.<br />
Avant de configurer le service RADIUS<br />
La présente section contient <strong>des</strong> informations qu’il faut prendre en compte avant<br />
de configurer le service RADIUS sur votre ré<strong>seau</strong>.<br />
161
Configuration initiale du service RADIUS<br />
Si vous configurez votre propre serveur RADIUS, suivez les étapes de la présente section.<br />
Étape 1 : Activez le service RADIUS<br />
Avant de configurer le service RADIUS, activez-le. Consultez la rubrique « Activation<br />
du service RADIUS » à la page 162.<br />
Étape 2 : Ajoutez <strong>des</strong> bornes d’accès AirPort à un serveur RADIUS<br />
Déterminez quelles bornes d’accès AirPort vous voulez ajouter au serveur RADIUS. Consultez<br />
la rubrique « Ajout de bornes d’accès AirPort à un serveur RADIUS » à la page 164.<br />
Étape 3 : Configurez la borne d’accès AirPort à distance<br />
Utilisez Admin Serveur pour configurer les bornes d’accès AirPort. Consultez la rubrique<br />
« Configuration à distance de bornes d’accès AirPort » à la page 165.<br />
Étape 4 : Configurez RADIUS de manière à ce qu’il utilise <strong>des</strong> certificats<br />
Utilisez Admin Serveur pour configurer RADIUS de manière à ce qu’il utilise <strong>des</strong> certificats<br />
pour accorder sa confiance aux bornes d’accès. Consultez la rubrique « Configuration à<br />
distance de bornes d’accès AirPort » à la page 165.<br />
Étape 5 : Démarrez le service RADIUS<br />
Pour démarrer le service RADIUS, consultez « Démarrage ou arrêt du service RADIUS »<br />
à la page 166.<br />
Activation du service RADIUS<br />
Pour pouvoir configurer les réglages du service RADIUS, vous devez l’activer dans<br />
Admin Serveur.<br />
Pour activer le service RADIUS :<br />
1 Ouvrez Admin Serveur et connectez-vous au serveur.<br />
2 Cliquez sur Réglages, puis sur Services.<br />
3 Cochez la case RADIUS.<br />
4 Cliquez sur Enregistrer.<br />
Configuration du service RADIUS<br />
La présente section décrit comment ajouter <strong>des</strong> bornes d’accès AirPort à votre serveur<br />
RADIUS, configurer <strong>des</strong> bornes d’accès AirPort à distance et configurer RADIUS de manière<br />
à ce qu’il utilise <strong>des</strong> certificats pour accorder sa confiance aux bornes d’accès AirPort.<br />
Les sections suivantes décrivent comment définir ces réglages. La section finale indique<br />
comme démarrer le service RADIUS une fois que vous avez fini.<br />
162 Chapitre 7 Utilisation du service RADIUS
Configuration de RADIUS à l’aide de l’assistant de configuration<br />
<strong>Mac</strong> <strong>OS</strong> X <strong>Server</strong> 10.5 comporte un assistant de configuration pour le service RADIUS.<br />
L’assistant de configuration vous guide dans le processus de configuration de RADIUS<br />
et démarre RADIUS.<br />
Pour configurer RADIUS à l’aide de l’assistant de configuration :<br />
1 Ouvrez Admin Serveur et connectez-vous au serveur.<br />
2 Cliquez sur le triangle situé à gauche du serveur.<br />
La liste <strong>des</strong> <strong>services</strong> apparaît.<br />
3 Dans la liste Serveurs développée, sélectionnez RADIUS.<br />
4 Cliquez sur Vue d’ensemble.<br />
5 Cliquez sur Configurer le service Radius.<br />
6 Dans la sous-fenêtre « Certificat du serveur Radius », sélectionnez l’une <strong>des</strong> options<br />
suivantes :<br />
Si vous sélectionnez « choisir un certificat existant », sélectionnez le certificat que vous<br />
voulez utiliser dans le menu contextuel, puis cliquez sur Continuer.<br />
Si vous voulez créer un certificat auto-signé, sélectionnez « créer un certificat autosigné<br />
», puis cliquez sur Continuer.<br />
a Saisissez les informations relatives à l’identité.<br />
Le nom usuel est le nom de domaine complet du serveur qui utilise les <strong>services</strong> pour<br />
lesquels SSL est activé.<br />
b Saisissez les dates de validité de début et de fin.<br />
c Sélectionnez une taille pour la clé privée (la taille par défaut est 1024 bits).<br />
d Saisissez une phrase clé pour la clé privée, puis cliquez sur Enregistrer.<br />
Cette phrase clé devrait être plus sûre qu’un simple mot de passe. Vous devriez utiliser<br />
au moins 20 caractères, y compris un mélange de majuscules et de minuscules,<br />
<strong>des</strong> nombres et <strong>des</strong> signes de ponctuation. Ne répétez pas <strong>des</strong> caractères et n’utilisez<br />
pas de mots qui figurent dans le dictionnaire.<br />
e Cliquez sur Continuer.<br />
Un message expliquant les certificats auto-signés apparaît.<br />
f Cliquez sur Continuer.<br />
7 Dans la liste Bornes d’accès disponibles, sélectionnez la borne d’accès souhaitée, puis<br />
cliquez sur Ajouter.<br />
Si la borne d’accès a un mot de passe, saisissez-le dans le champ Mot de passe<br />
de la borne, puis cliquez sur Ajouter.<br />
Si vous voulez supprimer une borne d’accès de la liste Bornes d’accès sélectionnées,<br />
sélectionnez-la, puis cliquez sur Supprimer.<br />
Chapitre 7 Utilisation du service RADIUS 163
8 Cliquez sur Continuer.<br />
9 Dans la sous-fenêtre Utilisateurs autorisés de RADIUS, vous pouvez restreindre l’accès<br />
<strong>des</strong> utilisateurs.<br />
Si vous cochez la case « Autoriser tous les utilisateurs », tous les utilisateurs auront<br />
accès aux bornes d’accès sélectionnées.<br />
Si vous cochez la case « Restreindre l’accès aux membres du groupe », seuls les utilisateurs<br />
d’un groupe peuvent accéder aux bornes d’accès sélectionnées.<br />
10 Cliquez sur Continuer.<br />
11 Dans la sous-fenêtre de confirmation <strong>des</strong> réglages de RADIUS, assurez-vous que vos<br />
réglages sont corrects.<br />
Vous pouvez également imprimer ou enregistrer vos réglages de configuration RADIUS.<br />
12 Cliquez sur Confirmer.<br />
Ajout de bornes d’accès AirPort à un serveur RADIUS<br />
Utilisez la sous-fenêtre Réglages de RADIUS dans Admin Serveur pour ajouter <strong>des</strong><br />
bornes d’accès AirPort qui vont utiliser le service RADIUS. Vous pouvez ajouter jusqu’à<br />
64 bornes d’accès à RADIUS.<br />
Pour ajouter <strong>des</strong> bornes d’accès AirPort à un serveur RADIUS :<br />
1 Sur l’ordinateur de gestion, ouvrez Admin Serveur.<br />
2 Cliquez sur le triangle situé à gauche du serveur.<br />
La liste <strong>des</strong> <strong>services</strong> apparaît.<br />
3 Dans la liste Serveurs développée, sélectionnez RADIUS.<br />
4 Cliquez sur Bornes d’accès.<br />
5 Sous la liste Bornes d’accès AirPort, cliquez sur Ajouter.<br />
6 Saisissez les informations suivantes sur la borne d’accès AirPort :<br />
Nom : spécifiez le nom de la borne d’accès AirPort.<br />
Type : spécifiez le modèle de la borne d’accès AirPort.<br />
Adresse IP : spécifiez l’adresse IP de la borne d’accès AirPort.<br />
Secret partagé et Vérifier : le secret partagé n’est pas un mot de passe pour l’authentification<br />
et ne génère pas de clés de chiffrement pour établir <strong>des</strong> tunnels entre les<br />
nœuds. Il s’agit d’un jeton que les systèmes de gestion de clés utilisent pour se faire<br />
mutuellement confiance. Le secret partagé doit être saisi sur le serveur et le client.<br />
7 Cliquez sur Ajouter.<br />
164 Chapitre 7 Utilisation du service RADIUS
Configuration à distance de bornes d’accès AirPort<br />
Vous pouvez configurer à distance <strong>des</strong> bornes d’accès AirPort de manière à ce qu’elles<br />
utilisent un serveur RADIUS dans Admin Serveur.<br />
Pour configurer à distance <strong>des</strong> bornes d’accès AirPort de manière à ce qu’elles<br />
utilisent un serveur RADIUS :<br />
1 Ouvrez Admin Serveur et connectez-vous au serveur.<br />
2 Cliquez sur le triangle situé à gauche du serveur.<br />
La liste <strong>des</strong> <strong>services</strong> apparaît.<br />
3 Dans la liste Serveurs développée, sélectionnez RADIUS.<br />
4 Cliquez sur Bornes d’accès.<br />
5 Sélectionnez la borne d’accès AirPort dans la liste Bornes d’accès AirPort, puis cliquez<br />
sur Modifier.<br />
Si vous êtes invité à saisir un mot de passe, tapez le mot de passe de l’administrateur<br />
de la borne d’accès.<br />
6 Cliquez sur OK.<br />
Configuration de RADIUS de manière à ce qu’il utilise <strong>des</strong> certificats<br />
Vous pouvez utiliser Admin Serveur pour configurer RADIUS de manière à ce qu’il<br />
utilise <strong>des</strong> certificats personnalisés. L’utilisation de certificats améliore la sécurité<br />
et la gérabilité <strong>des</strong> bornes d’accès AirPort.<br />
Pour utiliser un certificat personnalisé :<br />
1 Ouvrez Admin Serveur et connectez-vous au serveur.<br />
2 Cliquez sur le triangle situé à gauche du serveur.<br />
La liste <strong>des</strong> <strong>services</strong> apparaît.<br />
3 Dans la liste Serveurs développée, sélectionnez RADIUS.<br />
4 Cliquez sur Réglages.<br />
5 Dans le menu contextuel Certificat RADIUS, sélectionnez un certificat.<br />
Si vous disposez d’un certificat personnalisé, choisissez Configuration personnalisée<br />
dans le menu contextuel Certificat et saisissez le chemin d’accès au fichier du certificat,<br />
au fichier de la clé privée et au fichier de l’autorité de certificat. Si la clé privée est chiffrée,<br />
saisissez la phrase clé de la clé privée, puis cliquez sur OK.<br />
Si vous ne disposez pas d’un certificat et souhaitez en créer un, cliquez sur Gérer les<br />
certificats. Pour en savoir plus sur la création de certificats, consultez la section <strong>Administration</strong><br />
du serveur.<br />
6 Cliquez sur Enregistrer.<br />
Chapitre 7 Utilisation du service RADIUS 165
Archivage <strong>des</strong> historiques du service RADIUS<br />
Le service RADIUS crée <strong>des</strong> entrées pour les messages d’erreur et d’alerte dans l’historique<br />
système. Vous pouvez archiver ces entrées d’historique à l’aide d’Admin Serveur.<br />
Pour archiver <strong>des</strong> historiques :<br />
1 Ouvrez Admin Serveur et connectez-vous au serveur.<br />
2 Cliquez sur le triangle situé à gauche du serveur.<br />
La liste <strong>des</strong> <strong>services</strong> apparaît.<br />
3 Dans la liste Serveurs développée, sélectionnez RADIUS.<br />
4 Cliquez sur Réglages.<br />
5 Cochez la case « Archiver les fichiers d’historiques de rayon pour les derniers __ jours »,<br />
puis saisissez le nombre de jours à archiver.<br />
6 Cliquez sur Enregistrer.<br />
Démarrage ou arrêt du service RADIUS<br />
Utilisez Admin Serveur pour démarrer ou arrêter le service RADIUS. Lorsque vous<br />
arrêtez le service, assurez-vous qu’aucun utilisateur n’est connecté aux bornes d’accès<br />
AirPort que votre serveur RADIUS gère.<br />
Pour démarrer ou arrêter le service RADIUS :<br />
1 Ouvrez Admin Serveur et connectez-vous au serveur.<br />
2 Cliquez sur le triangle situé à gauche du serveur.<br />
La liste <strong>des</strong> <strong>services</strong> apparaît.<br />
3 Dans la liste Serveurs développée, sélectionnez RADIUS.<br />
4 Cliquez sur Démarrer RADIUS ou Arrêter RADIUS sous la liste Serveurs.<br />
L’arrêt ou le démarrage du service peut prendre quelques secon<strong>des</strong>.<br />
Gestion du service RADIUS<br />
La présente section décrit les tâches courantes que vous pouvez effectuer une fois<br />
que le service RADIUS est configuré sur votre serveur.<br />
Vérification de l’état du service RADIUS<br />
Vous pouvez utiliser Admin Serveur pour vérifier l’état du service RADIUS.<br />
Pour vérifier l’état du service RADIUS :<br />
1 Ouvrez Admin Serveur et connectez-vous au serveur.<br />
2 Cliquez sur le triangle situé à gauche du serveur.<br />
La liste <strong>des</strong> <strong>services</strong> apparaît.<br />
3 Dans la liste Serveurs développée, sélectionnez RADIUS.<br />
166 Chapitre 7 Utilisation du service RADIUS
4 Cliquez sur Vue d’ensemble pour vérifier si le service est en service, le nombre<br />
de bornes d’accès clientes et quand il a démarré.<br />
Affichage d’historiques du service RADIUS<br />
Le service RADIUS crée <strong>des</strong> entrées pour les messages d’erreur et d’alerte dans<br />
l’historique système. Vous pouvez filtrer le contenu de l’historique afin de restreindre<br />
le nombre d’entrées affichées et accéder plus facilement à celles qui vous intéressent.<br />
Pour afficher les historiques, procédez de la manière suivante :<br />
1 Ouvrez Admin Serveur et connectez-vous au serveur.<br />
2 Cliquez sur le triangle situé à gauche du serveur.<br />
La liste <strong>des</strong> <strong>services</strong> apparaît.<br />
3 Dans la liste Serveurs développée, sélectionnez RADIUS.<br />
4 Cliquez sur Historiques.<br />
5 Sélectionnez l’historique à afficher (radiusconfig ou radiusd).<br />
Pour rechercher <strong>des</strong> entrées spécifiques, utilisez le champ Filtre au-<strong>des</strong>sous de l’historique.<br />
Modification de l’accès au service RADIUS<br />
Vous pouvez restreindre l’accès au service RADIUS en créant un groupe d’utilisateurs<br />
et en ajoutant ce groupe à la liste de contrôle d’accès de service (SACL) de RADIUS.<br />
Pour modifier l’accès au service RADIUS :<br />
1 Ouvrez Admin Serveur et connectez-vous au serveur.<br />
2 Cliquez sur le triangle situé à gauche du serveur.<br />
La liste <strong>des</strong> <strong>services</strong> apparaît.<br />
3 Dans la liste Serveurs développée, sélectionnez RADIUS.<br />
4 Cliquez sur Réglages, puis cliquez sur « Modifier les utilisateurs autorisés ».<br />
5 Sélectionnez « Pour les <strong>services</strong> sélectionnés », puis RADIUS.<br />
6 Sélectionnez « Autoriser les utilisateurs et groupes ci-<strong>des</strong>sous ».<br />
7 Cliquez sur le bouton Ajouter (+).<br />
8 Dans la liste Utilisateurs et groupes, faites glisser <strong>des</strong> utilisateurs ou <strong>des</strong> groupes d’utilisateurs<br />
dans la liste « Autoriser les utilisateurs et groupes ci-<strong>des</strong>sous ».<br />
Si vous voulez supprimer <strong>des</strong> utilisateurs de la liste « Autoriser les utilisateurs et groupes<br />
ci-<strong>des</strong>sous », sélectionnez les utilisateurs ou groupes d’utilisateurs, puis cliquez sur<br />
le bouton Supprimer ( - ).<br />
Seuls les utilisateurs qui figurent dans la liste peuvent utiliser le service RADIUS.<br />
Chapitre 7 Utilisation du service RADIUS 167
Suppression de bornes d’accès AirPort<br />
Vous pouvez utiliser Admin Serveur pour supprimer <strong>des</strong> bornes d’accès AirPort<br />
du serveur RADIUS.<br />
Lorsque vous supprimez <strong>des</strong> bornes d’accès AirPort, assurez-vous que les bornes sont<br />
déconnectées du ré<strong>seau</strong>. À défaut, <strong>des</strong> utilisateurs non autorisés pourraient avoir accès<br />
à votre ré<strong>seau</strong>.<br />
Pour supprimer <strong>des</strong> bornes d’accès AirPort :<br />
1 Ouvrez Admin Serveur et connectez-vous au serveur.<br />
2 Cliquez sur le triangle situé à gauche du serveur.<br />
La liste <strong>des</strong> <strong>services</strong> apparaît.<br />
3 Dans la liste Serveurs développée, sélectionnez RADIUS.<br />
4 Cliquez sur Bornes d’accès.<br />
5 Dans la liste Borne d’accès AirPort, sélectionnez la borne d’accès à supprimer, puis<br />
cliquez sur Supprimer.<br />
6 Confirmez que vous voulez supprimer la borne d’accès en cliquant de nouveau<br />
sur Supprimer.<br />
Modification d’un enregistrement de borne d’accès AirPort<br />
Vous pouvez utilisateur Admin Serveur pour modifier un enregistrement de borne<br />
d’accès AirPort de votre serveur RADIUS.<br />
Pour modifier un enregistrement de borne d’accès AirPort :<br />
1 Ouvrez Admin Serveur et connectez-vous au serveur.<br />
2 Cliquez sur le triangle situé à gauche du serveur.<br />
La liste <strong>des</strong> <strong>services</strong> apparaît.<br />
3 Dans la liste Serveurs développée, sélectionnez RADIUS.<br />
4 Cliquez sur Bornes d’accès.<br />
5 Dans la liste Borne d’accès AirPort, sélectionnez la borne d’accès à modifier, puis<br />
cliquez sur Modifier.<br />
6 Modifiez les informations sur la borne d’accès, puis cliquez sur Enregistrer.<br />
Enregistrement du fichier de connexion à Internet d’une borne d’accès<br />
AirPort<br />
Vous pouvez utiliser Admin Serveur pour enregistrer le fichier de connexion à Internet<br />
d’une borne d’accès AirPort.<br />
Pour enregistrer le fichier de connexion à Internet d’une borne d’accès AirPort :<br />
1 Ouvrez Admin Serveur et connectez-vous au serveur.<br />
168 Chapitre 7 Utilisation du service RADIUS
2 Cliquez sur le triangle situé à gauche du serveur.<br />
La liste <strong>des</strong> <strong>services</strong> apparaît.<br />
3 Dans la liste Serveurs développée, sélectionnez RADIUS.<br />
4 Cliquez sur Bornes d’accès.<br />
5 Dans la liste Borne d’accès AirPort, sélectionnez la borne d’accès.<br />
6 Cliquez sur « Enregistrer le fichier de connexion à Internet ».<br />
7 Dans le champ Enregistrer sous, saisissez le nom du fichier.<br />
8 Dans le menu contextuel Emplacement, sélectionnez l’emplacement où vous voulez<br />
enregistrer le fichier.<br />
9 Dans le champ Nom de ré<strong>seau</strong> sans fil (SSID), saisissez le nom du ré<strong>seau</strong> sans fil.<br />
10 Cliquez sur Enregistrer.<br />
Chapitre 7 Utilisation du service RADIUS 169
8 Utilisation<br />
du service NTP<br />
8<br />
Il est primordial d’utiliser le service NTP pour synchroniser<br />
les horloges pour éviter la confusion que peuvent provoquer<br />
les horodatages désynchronisés.<br />
Un horodatage correct est important <strong>des</strong> systèmes de partage de fichiers aux <strong>services</strong><br />
de facturation. Il se peut toutefois que les horloges <strong>des</strong> ordinateurs d’un ré<strong>seau</strong> affichent<br />
<strong>des</strong> heures très différentes. Le protocole Network Time Protocol (NTP) est utilisé<br />
pour synchroniser les horloges d’ordinateurs connectés en ré<strong>seau</strong> avec une horloge<br />
de référence. NTP vous aide à vous assurer que tous les ordinateurs d’un ré<strong>seau</strong> sont<br />
réglés sur la même heure.<br />
Lorsqu’un ré<strong>seau</strong> isolé (ou même un seul ordinateur) est désynchronisé, les <strong>services</strong><br />
qui utilisent les estampilles temporelles (comme le service de courrier ou le service<br />
web avec les cookies datés) envoient <strong>des</strong> estampilles temporelles fausses et désynchronisées<br />
aux autres ordinateurs sur Internet.<br />
Par exemple, un message électronique pourrait arriver <strong>des</strong> minutes voire <strong>des</strong> années<br />
avant son envoi (d’après l’estampille temporelle) et une réponse à ce message pourrait<br />
parvenir à <strong>des</strong>tination avant l’envoi de l’original !<br />
Comme NTP fonctionne<br />
NTP utilise le temps universel coordonné (en anglais « Universal Time Coordinated » ou<br />
« UTC ») comme temps de référence. Le temps universel coordonné est calculé à partir<br />
d’une résonance atomique, c’est pourquoi l’on appelle souvent les horloges synchronisées<br />
sur le temps universel coordonné <strong>des</strong> « horloges atomiques ».<br />
Sur Internet, les serveurs NTP faisant autorité (on les appelle <strong>des</strong> serveurs Stratum 1) gèrent<br />
l’heure courante du temps universel coordonné. D’autres serveurs subordonnés (on les<br />
appelle les serveurs Stratum 2 et 3) interrogent régulièrement les serveurs Stratum 1 et estiment<br />
le temps qu’ont pris l’envoi et la réception de la requête. Ils corrigent ensuite le résultat<br />
de la requête avec ces estimations pour régler l’heure <strong>des</strong> serveurs Stratum 2 ou 3.<br />
Ces estimations sont correctes à la nanoseconde près.<br />
171
Votre ré<strong>seau</strong> local peut, à son tour, interroger <strong>des</strong> serveurs Stratum 3 pour connaître<br />
l’heure exacte. Un ordinateur client NTP de votre ré<strong>seau</strong> va alors chercher l’heure de<br />
référence en temps universel coordonné et la convertit à l’aide de son propre réglage<br />
de fu<strong>seau</strong> horaire dans l’heure locale, puis règle son horloge interne en conséquence.<br />
Utilisation de NTP sur votre ré<strong>seau</strong><br />
<strong>Mac</strong> <strong>OS</strong> X <strong>Server</strong> peut agir comme client NTP pour recevoir l’heure faisant autorité de<br />
la part d’un serveur d’horloge Internet et comme serveur d’horloge faisant autorité dans<br />
un ré<strong>seau</strong>. Vos clients locaux peuvent interroger votre serveur pour régler leur horloge.<br />
Si vous configurez votre serveur de manière à ce qu’il réponde aux requêtes en matière<br />
d’heure, configurez-le également de manière à ce qu’il interroge un serveur d’horloge<br />
faisant autorité sur Internet.<br />
Configuration du service NTP<br />
Si vous activez le service NTP sur votre ré<strong>seau</strong>, assurez-vous que le serveur NTP que<br />
vous désignez peut accéder à un serveur d’horloge faisant autorité plus élevé dans<br />
la hiérarchie. <strong>Apple</strong> met un serveur d’horloge Stratum 2 à la disposition de ses clients<br />
à l’adresse time.apple.com.<br />
Assurez-vous que votre coupe-feu autorise les requêtes NTP vers un serveur d’horloge<br />
faisant autorité sur le port UDP 123 et les requêtes entrantes provenant <strong>des</strong> clients<br />
locaux sur le même port. Pour en savoir plus, consultez le chapitre 4, « Utilisation du<br />
service de coupe-feu ».<br />
Pour configurer le service NTP :<br />
1 Ouvrez Admin Serveur et connectez-vous au serveur.<br />
2 Cliquez sur Réglages, puis sur Date et heure.<br />
3 Assurez-vous que votre serveur est configuré de manière à régler la date et l’heure<br />
automatiquement.<br />
4 Dans le menu contextuel, sélectionnez le serveur que vous voulez utiliser comme<br />
serveur d’horloge.<br />
5 Cliquez sur Général.<br />
6 Cochez la case « Serveur d’horloge de ré<strong>seau</strong> (NTP) ».<br />
7 Cliquez sur Enregistrer.<br />
172 Chapitre 8 Utilisation du service NTP
Configuration de NTP sur <strong>des</strong> clients<br />
Si vous disposez d’un serveur d’horloge local, vous pouvez configurer vos clients<br />
de manière à ce qu’ils interrogent votre propre serveur d’horloge lorsqu’ils ont besoin<br />
de la date et l’heure ré<strong>seau</strong>. Par défaut, les clients peuvent interroger le serveur d’horloge<br />
d’<strong>Apple</strong>.<br />
Utilisez les instructions qui suivent pour configurer vos clients de manière à ce qu’ils<br />
interrogent votre propre serveur d’horloge.<br />
Pour configurer NTP sur <strong>des</strong> clients :<br />
1 Ouvrez Préférences Système.<br />
2 Cliquez sur Date et heure.<br />
3 Cochez la case Régler automatiquement.<br />
4 Sélectionnez et supprimez le texte qui figure dans le champ plutôt que d’utiliser<br />
le menu contextuel.<br />
5 Saisissez le nom d’hôte de votre serveur d’horloge.<br />
Le nom d’hôte peut être soit un nom de domaine (comme heure.exemple.com)<br />
soit une adresse IP.<br />
6 Fermez les Préférences Système.<br />
Autres sources d’informations<br />
Le groupe de travail, la documentation et la foire aux questions relatifs à NTP se trouvent<br />
à l’adresse www.ntp.org.<br />
La liste <strong>des</strong> serveurs NTP accessibles publiquement et leurs politiques d’utilisation<br />
se trouvent à l’adresse support.ntp.org/bin/view/<strong>Server</strong>s/WebHome.<br />
Documents RFC<br />
Les documents RFC (Request for Comments) offrent <strong>des</strong> vues d’ensemble de protocoles<br />
ou de <strong>services</strong> particuliers et présentent de manière détaillée le comportement normal<br />
de chaque protocole.<br />
Si vous êtes un administrateur de serveur débutant, certaines <strong>des</strong> informations générales<br />
qui figurent dans les documents RFC vous seront certainement utiles.<br />
En revanche, si vous êtes un administrateur de serveur confirmé, vous trouverez tous<br />
les détails techniques concernant un protocole particulier dans le document RFC<br />
correspondant.<br />
Vous pouvez rechercher les documents RFC par leur numéro à l’adresse<br />
www.ietf.org/rfc.html.<br />
La spécification officielle de NTP version 3 est RFC 1305.<br />
Chapitre 8 Utilisation du service NTP 173
9 Prise<br />
en charge d’un ré<strong>seau</strong> local<br />
virtuel<br />
9<br />
L’utilisation d’un ré<strong>seau</strong> local virtuel (en anglais « Virtual Local<br />
Area Network » ou « VLAN ») permet d’empêcher les retards<br />
et la perte de données dans les environnements dans<br />
lesquels le trafic ré<strong>seau</strong> est extrêmement important.<br />
Les ré<strong>seau</strong>x locaux virtuels permettent à plusieurs ordinateurs se trouvant sur différents<br />
ré<strong>seau</strong>x locaux physiques de communiquer entre eux comme s’ils se trouvaient<br />
sur le même ré<strong>seau</strong> local.<br />
Cette solution présente comme avantages une utilisation plus efficace de la bande<br />
passante ré<strong>seau</strong> et une meilleure sécurité, car le trafic de diffusion ou de multidiffusion<br />
n’est envoyé qu’aux ordinateurs situés sur le segment de ré<strong>seau</strong> commun.<br />
<strong>Mac</strong> <strong>OS</strong> X <strong>Server</strong> prend en charge les ré<strong>seau</strong>x locaux virtuels 802.1q sur les ports Ethernet<br />
et les cartes Gigabit Ethernet PCI secondaires disponibles ou intégrées aux serveurs Xserve.<br />
La prise en charge <strong>des</strong> ré<strong>seau</strong>x locaux virtuels par le Xserve G5 est conforme à la norme<br />
standard IEEE 802.1q.<br />
Configuration de l’adhésion <strong>des</strong> clients à un ré<strong>seau</strong> local virtuel<br />
Pour configurer et gérer <strong>des</strong> ré<strong>seau</strong>x locaux virtuels, utilisez la zone VLAN de la sousfenêtre<br />
Ré<strong>seau</strong> de Préférences Système.<br />
Assurez-vous que les ports utilisés par les appareils qui ne sont pas dans les ré<strong>seau</strong>x locaux<br />
virtuels (c’est-à-dire non compatibles avec la norme 802.1q) sont configurés pour transmettre<br />
<strong>des</strong> cadres non balisés. Si un appareil Ethernet non compatible reçoit un cadre balisé,<br />
il n’est pas en mesure de comprendre la balise du ré<strong>seau</strong> local virtuel et ignore le cadre.<br />
Remarque : la zone VLAN de la sous-fenêtre Ré<strong>seau</strong> n’est visible que si votre matériel,<br />
comme les systèmes Xserve G5, prennent en charge cette fonctionnalité.<br />
175
Pour configurer un ré<strong>seau</strong> local virtuel :<br />
1 Ouvrez une session sur votre serveur en tant qu’administrateur.<br />
2 Ouvrez la sous-fenêtre Ré<strong>seau</strong> <strong>des</strong> Préférences Système.<br />
3 Cliquez sur le menu contextuel Action et sélectionnez « Gérer les interfaces virtuelles ».<br />
4 Cliquez sur le bouton Ajouter (+) et sélectionnez Nouveau ré<strong>seau</strong> VLAN.<br />
5 Dans le champ Nom du ré<strong>seau</strong> VLAN, saisissez le nom du ré<strong>seau</strong> VLAN.<br />
6 Dans le champ Balise, saisissez une balise (un nombre entre 1 et 4094).<br />
Cette balise de ré<strong>seau</strong> VLAN détermine l’identifiant du ré<strong>seau</strong> VLAN (VID). Chaque<br />
ré<strong>seau</strong> logique possède un identifiant du ré<strong>seau</strong> VLAN unique. Les interfaces configurées<br />
avec le même identifiant de ré<strong>seau</strong> VLAN se trouvent sur le même ré<strong>seau</strong> virtuel.<br />
7 Sélectionnez l’interface.<br />
8 Cliquez sur Créer.<br />
9 Cliquez sur Terminé.<br />
Autres sources d’informations<br />
Pour en savoir plus sur les ré<strong>seau</strong>x locaux virtuels sur Internet<br />
Visitez www.ieee.org. La norme VLAN est définie par l’IEEE.<br />
Document de référence<br />
Un document de référence fournit une vue d’ensemble d’un protocole et contient<br />
<strong>des</strong> détails sur la manière dont le protocole doit se comporter.<br />
Si vous êtes un administrateur de serveur débutant, certaines <strong>des</strong> informations générales<br />
qui figurent dans un document de référence vous seront certainement utiles.<br />
En revanche, si vous êtes un administrateur de serveur confirmé, vous trouverez tous les<br />
détails techniques concernant un protocole particulier dans son document de référence.<br />
Le document de référence est disponible à l’adresse<br />
standards.ieee.org/getieee802/download/802.1Q-1998.pdf (en anglais).<br />
176 Chapitre 9 Prise en charge d’un ré<strong>seau</strong> local virtuel
10 Prise<br />
en charge d’IPv6<br />
10<br />
Internet Protocol Version 6 (IPv6) est le protocole Internet<br />
nouvelle génération conçu pour remplacer le protocole<br />
Internet actuel.<br />
Le protocole Internet actuel, IP version 4 (IPv4 ou juste IP), commence à peiner pour suivre<br />
la croissance et la popularité d’Internet. Les principaux problèmes d’IPv4 sont les suivants :<br />
 Adressage IP limité : les adresses IPv4 utilisent 32 bits, ce qui signifient qu’il n’y<br />
a que 4.300.000.000 d’adresses ré<strong>seau</strong>.<br />
 Charge de plus en plus lourde en matière de routage et de configuration : les<br />
coûts, la mémoire et le temps nécessaires pour router <strong>des</strong> informations IPv4 augmente<br />
rapidement comme de plus en plus d’ordinateurs se connectent à Internet<br />
à un débit de plus en plus élevé.<br />
 Communication de bout en bout qui est systématiquement mise en échec :<br />
ce problème est en réalité une conséquence du problème d’adressage d’IPv4. Lorsque<br />
le nombre d’ordinateurs a augmenté et la pénurie d’adresses est devenue plus<br />
sévère, un autre service d’adressage et de routage a été développé : Network<br />
Address Translation (NAT). NAT s’interpose entre deux extrémités ré<strong>seau</strong>. Cela contrarie<br />
un certain nombre de <strong>services</strong> ré<strong>seau</strong> et est limitatif.<br />
IPv6 corrige certains de ces problèmes et aide à en éviter d’autres. Il améliore l’autoconfiguration<br />
du routage et du ré<strong>seau</strong>, augmente le nombre d’adresses ré<strong>seau</strong> à plus<br />
de 3x10 38 et rend l’utilisation de NAT superflue.<br />
IPv6 devrait remplacer graduellement IPv4 pendant une période de transition<br />
de plusieurs années au cours de laquelle les deux protocoles devraient coexister.<br />
Le présent chapitre énumère les <strong>services</strong> compatibles avec IPv6 utilisés par <strong>Mac</strong> <strong>OS</strong> X<br />
<strong>Server</strong>, donne <strong>des</strong> instructions permettant d’utiliser les adresses IPv6 dans ces <strong>services</strong><br />
et explique les différents types d’adresses IPv6 et leur notation.<br />
177
Services compatibles avec IPv6<br />
Les <strong>services</strong> suivants, dans <strong>Mac</strong> <strong>OS</strong> X <strong>Server</strong>, prennent en charge l’adressage IPv6 :<br />
 DNS (BIND)<br />
 coupe-feu<br />
 courrier (POP/IMAP/SMTP)<br />
 Windows (SMB/CIFS)<br />
 web (Apache 2)<br />
Un certain nombre d’outils en ligne de commande installés avec <strong>Mac</strong> <strong>OS</strong> X <strong>Server</strong><br />
prennent en charge IPv6 (par exemple, ping6 et traceroute6).<br />
Prise en charge <strong>des</strong> adresses IPv6 dans Admin Serveur<br />
Les <strong>services</strong> ci-avant prennent en charge les adresses IPv6, mais pas dans Admin Serveur.<br />
Les adresses IPv6 ne fonctionnent pas si vous les saisissez dans les champs pour les adresses<br />
IP de Admin Serveur. Les adresses IPv6 de ces <strong>services</strong> peuvent être configurées à l’aide<br />
d’outils en ligne de commande et en éditant <strong>des</strong> fichiers de configuration.<br />
Adresses IPv6<br />
Les adresses IPv6 sont différentes <strong>des</strong> adresses IPv4. Il existe <strong>des</strong> différences concernant<br />
la notation <strong>des</strong> adresses, les adresses réservées, le modèle d’adresses et les types<br />
d’adresses.<br />
Notation<br />
Les adresses IPv4 font 4 octets de long et sont exprimées sous la forme de décimales.<br />
Les adresses IPv6, par contre, font 16 octets de long et peuvent être exprimées de différentes<br />
manières.<br />
Les adresses IPv6 sont généralement écrites sous la forme suivante :<br />
xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx<br />
L’adresse est subdivisée en paires d’octets séparées par <strong>des</strong> deux-points. Chaque octet<br />
est représenté sous la forme d’une paire de nombres hexadécimaux. L’adresse suivante<br />
est au format IPv6 :<br />
E3C5:0000:0000:0000:0000:4AC8:C0A8:6420<br />
Elle peut être abrégée comme suit :<br />
E3C5:0:0:0:0:4AC8:C0A8:6420<br />
178 Chapitre 10 Prise en charge d’IPv6
Les adresses IPv6 contiennent souvent <strong>des</strong> octets de valeur zéro, une notation abrégée<br />
est donc disponible. Dans la notation abrégée, les valeurs zéro de la représentation de<br />
texte sont supprimées et les deux-points sont écrits les uns à côté <strong>des</strong> autres, comme ceci :<br />
E3C5::4AC8:C0A8:6420<br />
Comme beaucoup d’adresses IPv6 sont <strong>des</strong> extensions d’adresses IPv4, les 4 derniers<br />
octets d’une adresse IPv6 (les 2 dernières paires d’octets) peuvent être écrits dans la notation<br />
IPv4. Dans cette notation mixte, l’exemple ci-avant peut être exprimé comme suit :<br />
E3C5::4AC8:192.168.100.32<br />
Adresses IPv6 réservées<br />
IPv6 réserve deux adresses que les nœuds ré<strong>seau</strong> ne peuvent pas utiliser pour<br />
la communication :<br />
0:0:0:0:0:0:0:0 (adresse non spécifiée, interne au protocole)<br />
0:0:0:0:0:0:0:1 (adresse de bouclage, comme 127.0.0.1 dans IPv4)<br />
Modèle d’adressage IPv6<br />
Les adresses IPv6 sont assignées à <strong>des</strong> interfaces (par exemple, à votre carte Ethernet)<br />
et non à <strong>des</strong> nœuds (par exemple, votre ordinateur).<br />
Une même interface peut recevoir plusieurs adresses IPv6. Une même adresse IPv6<br />
peut en outre être assignée à plusieurs interfaces pour répartir la charge.<br />
Les routeurs n’ont pas besoin d’une adresse IPv6, il n’est donc pas nécessaire de configurer<br />
les routeurs pour les monodiffusions de point à point.<br />
IPv6 n’utilise pas les classes d’adresses IPv4.<br />
Types d’adresses IPv6<br />
IPv6 prend en charge les types d’adresses IP suivants :<br />
 Monodiffusion (communication de un à un)<br />
 Multidiffusion (communication de un à plusieurs)<br />
 Diffusion à la cantonade<br />
IPv6 ne prend pas en charge la simple diffusion. La multidiffusion est préférée pour les<br />
diffusions ré<strong>seau</strong>. Pour le reste, la monodiffusion et la multidiffusion d’IPv6 sont identiques<br />
à celles d’IPv4. Les adresses de multidiffusion d’IPv6 commencent par « FF » (255).<br />
La diffusion à la cantonade est une variante de la multidiffusion. La multidiffusion délivre<br />
les messages à tous les nœuds du groupe de multidiffusion. Par contre, la diffusion<br />
à la cantonade ne délivre les messages qu’à un seul nœud du groupe de multidiffusion.<br />
Chapitre 10 Prise en charge d’IPv6 179
Création d’une passerelle d’IPv4 à IPv6<br />
<strong>Mac</strong> <strong>OS</strong> X <strong>Server</strong> comporte une passerelle d’IPv4 à IPv6 qui permet le déploiement<br />
de <strong>services</strong> serveur utilisant IPv4 dans les ré<strong>seau</strong>x IPv6 en vue de faciliter la transition<br />
d’un système à l’autre.<br />
Vous pouvez configurer la passerelle d’IPv4 à IPv6 en configurant « 6 à 4 » dans les<br />
préférences Ré<strong>seau</strong> de votre serveur.<br />
Important : vous devez disposer d’une adresse IPv4 publique (une adresse IP fournie<br />
par votre FAI) et vous ne pouvez pas vous trouver derrière une passerelle ou NAT.<br />
Pour configurer une passerelle « 6 à 4 » :<br />
1 Ouvrez les Préférences Système et cliquez sur Ré<strong>seau</strong>.<br />
2 Sous la liste Interfaces, cliquez sur le bouton Ajouter (+).<br />
3 Dans le menu contextuel Interface, choisissez « 6 à 4 ».<br />
4 Dans le champ Nom du service, saisissez un nom de service unique, puis cliquez sur Créer.<br />
5 Si vous disposez d’une adresse relais, choisissez Manuellement dans le menu contextuel<br />
Configuration, puis saisissez-la. À défaut, laissez le menu contextuel Configuration<br />
réglé sur Automatiquement.<br />
6 Cliquez sur Appliquer.<br />
Autres sources d’informations<br />
Le site web du groupe de travail d’IPv6 est www.ipv6.org.<br />
Un groupe de passionnés d’IPv6 tient à jour la liste <strong>des</strong> applications qui prennent<br />
en charge IPv6 à l’adresse www.ipv6forum.com.<br />
Documents RFC<br />
Les documents RFC (Request for Comments) offrent <strong>des</strong> vues d’ensemble de protocoles<br />
ou de <strong>services</strong> particuliers et présentent de manière détaillée le comportement normal<br />
de chaque protocole.<br />
Si vous êtes un administrateur de serveur débutant, certaines <strong>des</strong> informations générales<br />
qui figurent dans les documents RFC vous seront certainement utiles.<br />
En revanche, si vous êtes un administrateur de serveur confirmé, vous trouverez tous<br />
les détails techniques concernant un protocole particulier dans le document RFC<br />
correspondant.<br />
Vous pouvez rechercher les documents RFC par leur numéro à l’adresse<br />
www.ietf.org/rfc.html.<br />
180 Chapitre 10 Prise en charge d’IPv6
Il existe plus de 29 documents RFC liés à IPv6. Vous trouverez la liste à l’adresse<br />
www.ipv6.org/specs.html.<br />
Sous la liste « Accepter les requêtes récursives sur les ré<strong>seau</strong>x suivants », cliquez sur<br />
le bouton Ajouter (+) pour ajouter <strong>des</strong> ré<strong>seau</strong>x à partir <strong>des</strong>quels les requêtes récursives<br />
sont acceptées, puis saisissez l’adresse du ré<strong>seau</strong> dans la liste. Sous la liste « Adresses IP<br />
du réexpéditeur », cliquez sur le bouton Ajouter (+) pour ajouter les ré<strong>seau</strong>x auxquels<br />
les requêtes non autorisées doivent être envoyées, puis saisissez l’adresse du ré<strong>seau</strong><br />
dans la liste.<br />
Chapitre 10 Prise en charge d’IPv6 181
Glossaire<br />
Glossaire<br />
ACL Liste de contrôle d’accès. Liste maintenue par un système et définissant<br />
les autorisations dont disposent <strong>des</strong> utilisateurs et <strong>des</strong> groupes pour accéder<br />
aux ressources du système.<br />
administrateur de liste Administrateur d’une liste d’envoi. Les administrateurs de liste<br />
peuvent ajouter <strong>des</strong> abonnés à une liste d’envoi ou en supprimer et désigner d’autres<br />
administrateurs de liste. Ils ne sont pas nécessairement administrateurs de l’ordinateur<br />
local ou du domaine.<br />
adresse Nombre ou tout autre identifiant permettant d’identifier de façon unique<br />
un ordinateur sur un ré<strong>seau</strong>, un bloc de données stockées sur un disque ou un<br />
emplacement dans la mémoire d’un ordinateur. Voir aussi adresse IP et adresse MAC.<br />
Adresse IP Adresse numérique unique qui identifie un ordinateur sur Internet.<br />
adresse IP dynamique Adresse IP attribuée pour une durée limitée ou jusqu’à<br />
ce que l’ordinateur client n’en ait plus besoin.<br />
adresse IP statique Adresse IP attribuée une seule fois à un ordinateur ou à un<br />
périphérique et qui ne change jamais.<br />
adresse MAC Adresse « Media Access Control » (contrôle d’accès au support). Adresse<br />
matérielle identifiant de façon unique chaque nœud d’un ré<strong>seau</strong>. Dans le cas de<br />
périphériques AirPort, l’adresse MAC est appelée identifiant AirPort.<br />
attaque par déni de service Voir attaque par DoS.<br />
attaque par DoS Attaque par déni de service. Attaque Internet utilisant <strong>des</strong> milliers<br />
de pings ré<strong>seau</strong> pour empêcher l’utilisation légitime d’un serveur.<br />
autorisations Réglages déterminant le type d’accès dont les utilisateurs bénéficient<br />
pour partager <strong>des</strong> éléments dans un système de fichiers. Vous pouvez attribuer quatre<br />
types d’autorisation pour un point de partage, un dossier ou un fichier : Lecture et<br />
écriture, Lecture seule, Écriture seule et Aucun accès. Voir aussi privilèges.<br />
183
autorité de certificat Autorité émettant et gérant <strong>des</strong> certificats numériques, afin<br />
d’assurer la transmission sécurisée <strong>des</strong> données à travers un ré<strong>seau</strong> public. Voir aussi<br />
certificat, infrastructure de clé publique.<br />
bidouilleur Personne qui apprécie la programmation et explore les différentes<br />
manières de programmer de nouvelles fonctionnalités et d’augmenter les capacités<br />
d’un système informatique. Voir aussi pirate.<br />
bit Unité d’information unique de valeur égale à 0 ou 1.<br />
caractère Synonyme d’octet.<br />
caractère générique Plage de valeurs possibles pour tout segment d’une adresse IP.<br />
carte d’interface ré<strong>seau</strong> Voir carte ré<strong>seau</strong>.<br />
certificat Parfois appelé « certificat d’identité » ou « certificat de clé publique ». Fichier<br />
de format spécifique (<strong>Mac</strong> <strong>OS</strong> X <strong>Server</strong> utilise le format X.509) contenant la clé publique<br />
d’une paire de clés publique et privée, les informations d’identification de l’utilisateur,<br />
par exemple son nom et ses coordonnées, ainsi que la signature numérique émise par<br />
une Autorité de certificat ou l’utilisateur de la clé.<br />
CHAP Protocole Challenge Handshake Authentication Protocol. Protocole<br />
d’authentification courant. Voir aussi MS-CHAP.<br />
chemin de recherche Voir politique de recherche.<br />
chiffrement Processus de codification de données <strong>des</strong>tiné à les rendre illisibles sans<br />
la connaissance d’un algorithme particulier. Généralement utilisé dans le cadre de<br />
communications secrètes ou confidentielles. Voir aussi déchiffrement.<br />
contrôle d’accès Méthode consistant à contrôler quels ordinateurs peuvent accéder<br />
à un ré<strong>seau</strong> ou à <strong>des</strong> <strong>services</strong> ré<strong>seau</strong>.<br />
coupe-feu Logiciel chargé de protéger les applications ré<strong>seau</strong> exécutées sur votre<br />
serveur. Le service de coupe-feu IP, partie intégrante du logiciel <strong>Mac</strong> <strong>OS</strong> X <strong>Server</strong>,<br />
analyse les paquets IP entrants et accepte ou refuse ces paquets en s’appuyant sur<br />
un ensemble de filtres que vous créez.<br />
démon nfsd Processus de serveur NFS qui s’exécute de manière continue en arrièreplan<br />
et qui traite les requêtes de protocole NFS et de montage émises par <strong>des</strong> clients.<br />
nfsd peut avoir plusieurs segments. Plus le nombre d’unités d’exécution de serveur NFS<br />
est élevé, plus le nombre d’accès simultanés est élevé.<br />
184 Glossaire
DHCP Initiales de « Dynamic Host Configuration Protocol » (protocole de configuration<br />
dynamique d’hôtes). Protocole utilisé pour distribuer de manière dynamique <strong>des</strong><br />
adresses IP à <strong>des</strong> ordinateurs clients. Chaque fois qu’un ordinateur client démarre, le<br />
protocole recherche un serveur DHCP, puis demande une adresse IP au serveur DHCP<br />
qu’il trouve. Le serveur recherche alors une adresse IP disponible et la transmet à<br />
l’ordinateur client en l’accompagnant d’une « durée de bail », durée pendant laquelle<br />
l’ordinateur client peut utiliser l’adresse.<br />
diffusion Dans un ré<strong>seau</strong>, transmission d’un message ou de données pouvant être lues<br />
par tout client du ré<strong>seau</strong>. La diffusion peut être réalisée en monodiffusion (envoi d’un<br />
message à un ordinateur spécifique) ou en multidiffusion (envoi d’un message à un<br />
sous-ensemble d’ordinateurs). Dans QuickTime Streaming <strong>Server</strong>, processus de<br />
transmission d’une copie de flux de données sur l’ensemble d’un ré<strong>seau</strong>.<br />
DNS Domain Name System. Base de données distribuée qui fait correspondre <strong>des</strong><br />
adresses IP à <strong>des</strong> noms de domaines. Un serveur DNS, appelé également serveur<br />
de noms, conserve la liste <strong>des</strong> noms et <strong>des</strong> adresses IP associées à chaque nom.<br />
Domain Name System Voir DNS.<br />
domaine DNS Nom unique d’un ordinateur, utilisé dans le système DNS (Domain<br />
Name System) pour convertir les adresses IP et les noms. Également appelé nom<br />
de domaine.<br />
domaine local Domaine de répertoire accessible uniquement par l’ordinateur<br />
sur lequel il réside.<br />
durée de bail DHCP Voir période de bail.<br />
Dynamic Host Configuration Protocol Voir DHCP.<br />
EAP Extensible Authentication Protocol. Protocole d’authentification qui prend<br />
en charge plusieurs métho<strong>des</strong> d’authentification.<br />
enregistrement d’échange de courrier Voir enregistrement MX.<br />
enregistrement MX Enregistrement d’échange de courrier. Entrée d’un tableau DNS<br />
qui spécifie l’ordinateur qui gère le courrier pour un domaine Internet. Lorsqu’un<br />
serveur de messagerie doit distribuer du courrier à un domaine Internet, il demande<br />
l’enregistrement MX du domaine concerné. Le serveur envoie le message à l’ordinateur<br />
spécifié dans l’enregistrement MX.<br />
enregistrement pointeur Voir enregistrement PTR.<br />
enregistrement PTR Enregistrement pointeur. Type d’enregistrement DNS qui traduit<br />
les adresses IP (IPv4) en noms de domaine. Utilisé dans les recherches inversées DNS.<br />
Glossaire 185
enregistrement TXT Enregistrement de texte. Type d’enregistrement DNS qui stocke<br />
la chaîne de texte à envoyer comme réponse aux requêtes DNS.<br />
équilibrage de la charge Processus qui consiste à répartir sur plusieurs <strong>services</strong> les<br />
deman<strong>des</strong> de <strong>services</strong> ré<strong>seau</strong> effectuées par les ordinateurs clients, afin d’optimiser<br />
les performances.<br />
étendue Groupe de <strong>services</strong>. Une étendue peut consister en un regroupement<br />
d’ordinateurs logique (tous les ordinateurs utilisés par le service de production par<br />
exemple) ou physique (tous les ordinateurs situés au premier étage par exemple).<br />
Vous pouvez utiliser une partie ou la totalité de votre ré<strong>seau</strong> pour définir une étendue.<br />
Ethernet Technologie de mise en ré<strong>seau</strong> locale avec laquelle les données sont<br />
transmises sous forme d’unités appelées paquets à l’aide de protocoles tels que TCP/IP.<br />
FAI Fournisseur d’accès à Internet. Entreprise qui vend un accès à Internet et qui<br />
fournit généralement un service d’hébergement web pour <strong>des</strong> applications de<br />
commerce électronique, ainsi que <strong>des</strong> <strong>services</strong> de messagerie.<br />
filtre Méthode de contrôle de l’accès à un serveur. Un filtre se compose d’une adresse<br />
IP et d’un masque de sous-ré<strong>seau</strong> et, parfois, d’un numéro de port et d’un type d’accès.<br />
L’adresse IP et le masque de sous-ré<strong>seau</strong> déterminent la plage d’adresses IP auquel le<br />
filtre s’applique.<br />
fournisseur d’accès à Internet Voir FAI.<br />
FTP Initiales de « File Transfer Protocol » (protocole de transfert de fichiers). Protocole<br />
permettant à <strong>des</strong> ordinateurs de transférer <strong>des</strong> fichiers sur un ré<strong>seau</strong>. Les clients FTP,<br />
utilisant tout système d’exploitation capable de prendre en charge le protocole FTP,<br />
peuvent se connecter à un serveur de fichiers et télécharger <strong>des</strong> fichiers, en fonction<br />
de leurs autorisations d’accès. La plupart <strong>des</strong> navigateurs Internet et un certain nombre<br />
de graticiels permettent d’accéder aux serveurs FTP.<br />
gigaoctet Voir Go.<br />
Go Gigaoctet. 1 073 741 824 (2 30 ) octets.<br />
Groupe de travail Ensemble d’utilisateurs pour lesquels vous êtes chargé de définir<br />
les préférences et les privilèges d’accès en tant que groupe. Toutes les préférences que<br />
vous définissez pour un groupe sont stockées dans le compte du groupe.<br />
HTTP Hypertext Transfer Protocol. Protocole client/serveur pour le web. Le protocole<br />
HTTP permet aux navigateurs web d’accéder à un serveur web et de demander <strong>des</strong><br />
documents hypermédias créés avec du code HTML.<br />
Hypertext Transfer Protocol Voir HTTP.<br />
186 Glossaire
IANA Initiales de « Internet Assigned Numbers Authority » (autorité d’attribution<br />
<strong>des</strong> numéros sur Internet). Organisation responsable de l’allocation <strong>des</strong> adresses IP,<br />
de l’attribution <strong>des</strong> paramètres de protocole et de la gestion <strong>des</strong> noms de domaine.<br />
ICMP Initiales de « Internet Control Message Protocol ». Protocole de messages<br />
de contrôle et de rapports d’erreurs utilisé entre serveurs hôtes et passerelles. Par<br />
exemple, certaines applications Internet exploitent le protocole ICMP pour envoyer<br />
un paquet en aller-retour entre deux hôtes pour déterminer les durées d’aller-retour<br />
et détecter ainsi <strong>des</strong> problèmes éventuels sur le ré<strong>seau</strong>.<br />
identifiant Ethernet Voir adresse MAC.<br />
IEEE Initiales de « Institute of Electrical and Electronics Engineers, Inc. », un organisme<br />
dédié à la promotion de normes dans les domaines de l’informatique et de l’ingénierie<br />
électrique.<br />
IGMP Initiales de « Internet Group Management Protocol ». Protocole Internet utilisé<br />
par les hôtes et les routeurs pour envoyer <strong>des</strong> paquets à <strong>des</strong> listes d’hôtes cherchant<br />
à participer à un processus appelé multidiffusion. QTSS (QuickTime Streaming <strong>Server</strong>)<br />
exploite l’adressage par multidiffusion, tout comme le protocole SLP (Service Location<br />
Protocol).<br />
interface de ligne de commande Manière d’interagir avec l’ordinateur (par exemple,<br />
pour exécuter <strong>des</strong> programmes ou modifier <strong>des</strong> autorisations de système de fichiers)<br />
en saisissant <strong>des</strong> comman<strong>des</strong> de texte à une invite de shell. Voir aussi shell ; invite<br />
de shell.<br />
interface ré<strong>seau</strong> Connexion matérielle de votre ordinateur à un ré<strong>seau</strong>. Les connexions<br />
Ethernet, les cartes AirPort et les connexions FireWire en sont <strong>des</strong> exemples.<br />
Internet Ensemble de ré<strong>seau</strong>x d’ordinateurs interconnectés qui communiquent<br />
à travers un protocole commun (TCP/IP). Internet est le système public de ré<strong>seau</strong>x<br />
d’ordinateurs interconnectés le plus étendu au monde.<br />
Internet Assigned Numbers Authority Voir IANA.<br />
Internet Control Message Protocol Voir ICMP.<br />
Internet Group Management Protocol Voir IGMP.<br />
Internet Message Access Protocol Voir IMAP.<br />
Internet Protocol Voir IP.<br />
invite du shell Caractère qui apparaît au début d’une ligne dans une interface de ligne<br />
de commande et qui indique que l’on peut saisir une commande.<br />
Glossaire 187
IP Internet Protocol. Également désigné par IPv4. Méthode utilisée conjointement<br />
avec le protocole TCP (Transmission Control Protocol) pour envoyer <strong>des</strong> données<br />
d’un ordinateur à un autre via un ré<strong>seau</strong> local ou via Internet. Le protocole IP envoie<br />
les paquets de données, alors que le protocole TCP se charge de leur suivi.<br />
IPSec Ajout de sécurité au protocole IP. Protocole chargé de la sécurité dans<br />
les transmissions de données pour les connexions L2TP VPN. IPSec agit au niveau<br />
de la couche ré<strong>seau</strong>, assurant la protection et l’authentification <strong>des</strong> paquets IP entre<br />
les nœuds IPSec participants.<br />
IPv4 Voir IP.<br />
IPv6 Initiales de « Internet Protocol version 6 ». Protocole de communication de<br />
nouvelle génération <strong>des</strong>tiné à remplacer le protocole IP (également appelé IPv4).<br />
IPv6 autorise un plus grand nombre d’adresses ré<strong>seau</strong> et peut réduire les charges<br />
de routage à travers Internet.<br />
Ko Kilo-octet. 1 024 (2 10 ) octets.<br />
L2TP Initiales de « Layer Two Tunnelling Protocol ». Protocole de transport ré<strong>seau</strong><br />
utilisé pour les connexions VPN. Il s’agit avant tout d’une combinaison <strong>des</strong> protocoles<br />
L2F de Cisco et PPTP. Comme L2TP n’est pas un protocole de chiffrement, il utilise<br />
le complément IPSec pour le chiffrement <strong>des</strong> paquets.<br />
LAN Initiales de « Local Area Network » (ré<strong>seau</strong> local). Ré<strong>seau</strong> maintenu au sein d’un<br />
établissement, contrairement à un WAN (ré<strong>seau</strong> étendu) qui relie <strong>des</strong> établissements<br />
géographiquement distincts.<br />
LDAP Initiales de « Lightweight Directory Access Protocol ». Protocole client-serveur<br />
standard permettant l’accès à un domaine de répertoire.<br />
Lightweight Directory Access Protocol Voir LDAP.<br />
ligne de commande Texte que vous tapez après une invite de shell lorsque vous<br />
utilisez une interface de ligne de commande.<br />
liste de contrôle d’accès Voir ACL.<br />
<strong>Mac</strong> <strong>OS</strong> X La dernière version du système d’exploitation d’<strong>Apple</strong>. <strong>Mac</strong> <strong>OS</strong> X allie<br />
la fiabilité d’UNIX à la facilité d’emploi de <strong>Mac</strong>intosh.<br />
<strong>Mac</strong> <strong>OS</strong> X <strong>Server</strong> Plate-forme de serveur puissante, capable de gérer immédiatement<br />
les clients <strong>Mac</strong>, Windows, UNIX et Linux et offrant un ensemble de <strong>services</strong> de ré<strong>seau</strong><br />
et de groupes de travail extensible, ainsi que <strong>des</strong> outils perfectionnés de gestion à<br />
distance.<br />
masque de sous-ré<strong>seau</strong> Nombre utilisé dans la mise en ré<strong>seau</strong> IP pour indiquer<br />
la partie d’une adresse IP correspondant au numéro du ré<strong>seau</strong>.<br />
188 Glossaire
Media Access Control Voir adresse MAC.<br />
mégaoctet Voir Mo.<br />
Microsoft Challenge Handshake Authentication Protocol Voir MS-CHAP.<br />
monodiffusion Transmission de données vers un <strong>des</strong>tinataire ou client unique.<br />
Si un film est diffusé en monodiffusion à un utilisateur employant RSTP, celui-ci peut<br />
parcourir librement un film à la demande.<br />
Monodiffusion manuelle Méthode de transmission en direct d’un flux de données<br />
vers un client QuickTime Player unique ou vers un ordinateur qui exécute QTSS. Un<br />
fichier SDP est généralement créé par l’application de diffusion et doit ensuite être<br />
envoyé manuellement au spectateur ou au serveur d’enchaînement.<br />
mot de passe Chaîne alphanumérique utilisée pour authentifier l’identité d’un<br />
utilisateur ou pour autoriser l’accès à <strong>des</strong> fichiers ou à <strong>des</strong> <strong>services</strong>.<br />
MS-CHAP Initiales de « Microsoft Challenge Handshake Authentication Protocol »<br />
(protocole d’authentification par interrogation-réponse développé par Microsoft).<br />
Méthode d’authentification standard sous Windows pour les ré<strong>seau</strong>x VPN. Cette<br />
méthode d’authentification encode les mots de passe envoyés sur le ré<strong>seau</strong> et les<br />
stocke sous forme brouillée sur le serveur. Elle offre un bon niveau de sécurité lors<br />
<strong>des</strong> transmissions sur ré<strong>seau</strong>. MS-CHAP est une version propriétaire de CHAP.<br />
multi-adressage Capacité à gérer plusieurs connexions ré<strong>seau</strong>. Lorsque plusieurs<br />
connexions sont disponibles, <strong>Mac</strong> <strong>OS</strong> X sélectionne la meilleure connexion en fonction<br />
de l’ordre indiqué dans les préférences ré<strong>seau</strong>.<br />
multidiffusion La transmission simultanée d’un message à un sous-ensemble<br />
d’ordinateurs sur un ré<strong>seau</strong>. Voir aussi diffusion, monodiffusion. Dans Enchaînement<br />
QuickTime, mode efficace d’enchaînement, de type 1 à n. Les utilisateurs peuvent se<br />
joindre à une multidiffusion ou la quitter, mais ils ne peuvent pas interagir avec elle.<br />
multidiffusion DNS Protocole développé par <strong>Apple</strong> pour la découverte automatique<br />
d’ordinateurs, de périphériques et de <strong>services</strong> sur les ré<strong>seau</strong>x IP. Appelé « Bonjour »<br />
(auparavant « Rendezvous ») par <strong>Apple</strong>, ce protocole, proposé comme standard Internet,<br />
est parfois appelé ZeroConf ou multidiffusion DNS. Pour en savoir plus, rendez-vous sur<br />
www.apple.com/fr/ ou www.zeroconf.org (en anglais). Pour savoir comment ce<br />
protocole est utilisé sous <strong>Mac</strong> <strong>OS</strong> X <strong>Server</strong>, reportez-vous à nom d’hôte local.<br />
NAT Initiales de « Network Address Translation » (conversion d’adresses ré<strong>seau</strong>).<br />
Méthode de connexion de plusieurs ordinateurs à Internet (ou à tout autre ré<strong>seau</strong> IP)<br />
à l’aide d’une seule adresse IP. NAT convertit les adresses IP que vous attribuez aux<br />
ordinateurs de votre ré<strong>seau</strong> interne privé en une seule adresse IP valide pour les<br />
communications Internet.<br />
Glossaire 189
NetInfo Ancien protocole <strong>Apple</strong> permettant l’accès à un domaine de répertoire.<br />
Network Address Translation Voir NAT.<br />
NFS Network File System. Protocole client/serveur utilisant le protocole IP (Internet<br />
Protocol) pour permettre aux utilisateurs distants d’accéder à <strong>des</strong> fichiers comme s’ils<br />
se trouvaient sur leur disque. NFS peut exporter <strong>des</strong> volumes partagés vers <strong>des</strong><br />
ordinateurs en se basant sur l’adresse IP ; il prend par ailleurs en charge<br />
l’authentification par signature unique avec Kerberos.<br />
nœud Emplacement <strong>des</strong>tiné au traitement. Un nœud peut être un ordinateur ou un autre<br />
périphérique tel qu’une imprimante. Chaque nœud possède une adresse ré<strong>seau</strong> unique.<br />
Dans Xsan, un nœud correspond à tout ordinateur connecté à un ré<strong>seau</strong> de stockage.<br />
nom canonique Nom « réel » d’un serveur, si vous lui avez attribué un « surnom » ou<br />
un alias. Le serveur mail.apple.com, par exemple, peut avoir comme nom canonique<br />
MailSrv473.apple.com.<br />
nom d’hôte Nom unique d’un ordinateur, autrefois appelé nom d’hôte UNIX.<br />
nom d’hôte local Nom qui désigne un ordinateur sur un sous-ré<strong>seau</strong> local. Il peut être<br />
utilisé sans système DNS global pour convertir les noms en adresses IP. Il est constitué<br />
de lettres minuscules, de nombres ou de tirets (sauf pour le dernier caractère) et se<br />
termine par « .local » (par exemple, ordinateur-jean.local). Bien que le nom par défaut<br />
soit dérivé du nom d’ordinateur, un utilisateur peut reprendre ce nom dans la sousfenêtre<br />
Partage <strong>des</strong> Préférences Système. Il peut aussi être aisément modifié et utilisé<br />
dans tous les cas où un nom DNS ou un nom de domaine complet est utilisé. Il ne peut<br />
être converti que sur le même sous-ré<strong>seau</strong> que l’ordinateur qui l’utilise.<br />
nom d’utilisateur Nom complet d’un utilisateur, parfois appelé nom réel de l’utilisateur.<br />
nom de domaine Voir nom DNS.<br />
nom de l’ordinateur Nom par défaut utilisé pour l’enregistrement auprès <strong>des</strong> <strong>services</strong><br />
SLP et SMB. L’explorateur ré<strong>seau</strong> du Finder utilise SLP pour rechercher les ordinateurs<br />
qui rendent publics leurs <strong>services</strong> de partage de fichiers personnel et de partage de<br />
fichiers Windows. Il peut être réglé de façon à établir un pont entre les sous-ré<strong>seau</strong>x<br />
en fonction <strong>des</strong> réglages de routeur ré<strong>seau</strong>. Lorsque vous activez le partage de fichiers<br />
personnels, c’est le nom d’ordinateur que les utilisateurs voient dans la zone de dialogue<br />
« Se connecter au serveur » dans le Finder. Ce nom correspond au départ à « Ordinateur<br />
de » (par exemple, « Ordinateur de Jean »), mais il peut être<br />
modifié à loisir. Le nom d’ordinateur est utilisé pour parcourir les serveurs de fichiers<br />
du ré<strong>seau</strong>, les files d’attente d’impression, la détection Bluetooth®, les clients <strong>Apple</strong><br />
Remote Desktop et toute autre ressource ré<strong>seau</strong> identifiant <strong>des</strong> ordinateurs par leur<br />
nom d’ordinateur plutôt que par leur adresse ré<strong>seau</strong>. Ce nom sert également de base<br />
pour le nom d’hôte local par défaut.<br />
190 Glossaire
nom DNS Nom unique d’un ordinateur, utilisé dans le système DNS (Domain Name<br />
System) pour convertir les adresses IP et les noms. Également appelé nom de domaine.<br />
NTP Initiales de « Network Time Protocol » (protocole d’horloge ré<strong>seau</strong>). Protocole<br />
ré<strong>seau</strong> utilisé pour synchroniser les horloges d’ordinateurs connectés à un ré<strong>seau</strong> avec<br />
une horloge de référence donnée. Ce protocole permet de s’assurer que tous les<br />
ordinateurs d’un ré<strong>seau</strong> affichent tous la même heure.<br />
octet Unité basique de mesure <strong>des</strong> données équivalant à huit bits (ou chiffres<br />
binaires).<br />
Open Directory Architecture de <strong>services</strong> de répertoire <strong>Apple</strong>, capable d’accéder<br />
à <strong>des</strong> informations autorisées concernant <strong>des</strong> utilisateurs et <strong>des</strong> ressources ré<strong>seau</strong><br />
à partir de domaines de répertoire utilisant les protocoles LDAP ou Active Directory,<br />
ou <strong>des</strong> fichiers de configuration BSD et <strong>des</strong> <strong>services</strong> de ré<strong>seau</strong>.<br />
Open Source Terme désignant le développement coopératif de logiciels par la<br />
communauté Internet. Le principe de base consiste à impliquer le maximum de<br />
personnes dans l’écriture et la mise au point du code en publiant le code source et en<br />
encourageant la formation d’une large communauté de développeurs qui feront part<br />
de leurs modifications et améliorations.<br />
paquet Unité de données constituée d’un en-tête, d’informations, d’un élément de<br />
détection d’erreurs et d’enregistrements complémentaires. QTSS utilise <strong>des</strong> paquets<br />
TCP, UDP et IP pour communiquer avec les clients.<br />
passerelle Nœud ré<strong>seau</strong> faisant l’interface entre deux ré<strong>seau</strong>x. Le terme fait souvent<br />
référence à un ordinateur assurant le lien entre un ré<strong>seau</strong> local privé et un ré<strong>seau</strong> WAN<br />
public, que ce soit avec ou sans NAT (Network Address Translation). Un routeur est un<br />
type particulier de passerelle qui relie <strong>des</strong> segments de ré<strong>seau</strong> associés.<br />
période de bail Durée limitée pendant laquelle <strong>des</strong> adresses IP sont attribuées.<br />
L’utilisation de pério<strong>des</strong> courtes permet au protocole DHCP de réattribuer <strong>des</strong> adresses<br />
IP sur les ré<strong>seau</strong>x comportant plus d’ordinateurs que d’adresses IP disponibles.<br />
pirate Utilisateur malveillant qui tente d’accéder sans autorisation à un système<br />
informatique, afin de perturber le fonctionnement d’ordinateurs et de ré<strong>seau</strong>x ou bien<br />
de voler <strong>des</strong> informations. Comparer à pirate.<br />
Point to Point Tunneling Protocol Voir PPTP.<br />
politique de mot de passe Ensemble de règles déterminant la composition et la validité<br />
du mot de passe d’un utilisateur.<br />
Glossaire 191
politique de recherche Liste <strong>des</strong> domaines de répertoire parmi lesquels un ordinateur<br />
<strong>Mac</strong> <strong>OS</strong> X nécessitant <strong>des</strong> informations de configuration effectue ses recherches.<br />
Également, ordre dans lequel les domaines sont interrogés. Parfois appelée chemin<br />
de recherche.<br />
pont Appareil de mise en ré<strong>seau</strong> d’ordinateurs qui connecte deux types de supports<br />
de mise en ré<strong>seau</strong>, par exemple sans fil et Ethernet. Un pont agit comme une passerelle<br />
en transmettant du trafic ré<strong>seau</strong> directement au support de <strong>des</strong>tination sans le router<br />
ni le modifier d’aucune manière. Les deux côtés du pont ré<strong>seau</strong> doivent posséder le<br />
même sous-ré<strong>seau</strong> d’adresses IP. Un pont permet <strong>des</strong> relier de petits segments de<br />
ré<strong>seau</strong> connexes de manière simple.<br />
port Sorte d’emplacement de messagerie virtuel. Un serveur utilise <strong>des</strong> numéros<br />
de port pour déterminer quelle application doit recevoir les paquets de données.<br />
Les coupe-feu utilisent <strong>des</strong> numéros de port pour déterminer si les paquets de<br />
données sont autorisés à transiter par un ré<strong>seau</strong> local. Le terme « port » fait<br />
généralement référence à un port TCP ou UDP.<br />
pourriel Message électronique commercial non sollicité. Voir spam.<br />
PPTP Initiales de « Point to Point Tunneling Protocol ». Protocole de transport ré<strong>seau</strong><br />
utilisé pour les connexions VPN. Il constitue le protocole VPN standard sous Windows<br />
et utilise le mot de passe de l’utilisateur pour produire une clé de chiffrement.<br />
privilèges Droit d’accéder à <strong>des</strong> zones restreintes d’un système ou d’effectuer<br />
certaines tâches (telles que les tâches de gestion) du système.<br />
protocole Ensemble de règles qui déterminent la manière dont les données sont<br />
échangées entre deux applications.<br />
protocole Challenge Handshake Authentication Protocol Voir CHAP.<br />
QTSS QuickTime Streaming <strong>Server</strong>. Technologie permettant de diffuser <strong>des</strong> données<br />
en temps réel sur Internet.<br />
QuickTime Streaming <strong>Server</strong> (QTSS) Voir QTSS.<br />
récursivité Processus de conversion complète <strong>des</strong> noms de domaine en adresses IP.<br />
Une requête DNS non récursive permet la référence à d’autres serveurs DNS pour<br />
convertir l’adresse. En règle générale, les applications <strong>des</strong> utilisateurs dépendent<br />
du serveur DNS pour effectuer cette fonction, mais les autres serveurs DNS n’ont<br />
pas à effectuer de requête récursive.<br />
192 Glossaire
elais Dans QuickTime Streaming <strong>Server</strong>, un relais reçoit un flux entrant, puis le redirige<br />
vers un ou plusieurs serveurs d’enchaînement. Les relais peuvent réduire l’utilisation de<br />
la bande passante Internet et sont utiles pour les diffusions vers de nombreux<br />
spectateurs se trouvant dans différents emplacements. En termes de courrier Internet,<br />
un relais est un serveur de messagerie SMTP qui envoie le courrier entrant à un autre<br />
serveur SMTP, mais pas à sa <strong>des</strong>tination finale.<br />
relais ouvert Serveur qui reçoit et réexpédie automatiquement le courrier vers un<br />
autre serveur. Les expéditeurs de courrier indésirable exploitent les serveurs relais<br />
ouverts afin d’éviter que leurs propres serveurs de messagerie ne figurent sur les listes<br />
noires référençant les sources de courrier indésirable.<br />
ré<strong>seau</strong> local Voir LAN.<br />
secret partagé Valeur définie à chaque nœud d’une connexion VPN L2TP et servant<br />
de base de clé de chiffrement pour négocier les connexions d’authentification et de<br />
transport <strong>des</strong> données.<br />
Secure Sockets Layer Voir SSL.<br />
serveur Ordinateur fournissant <strong>des</strong> <strong>services</strong> (service de fichiers, service de courrier<br />
électronique ou service web, par exemple) à d’autres ordinateurs ou périphériques<br />
de ré<strong>seau</strong>.<br />
serveur d’horloge Serveur ré<strong>seau</strong> sur lequel les autres ordinateurs d’un ré<strong>seau</strong><br />
synchronisent leur horloge afin que tous les ordinateurs soient réglés sur la même<br />
heure. Voir aussi NTP.<br />
serveur de noms Serveur d’un ré<strong>seau</strong> qui tient à jour une liste <strong>des</strong> noms de domaines<br />
et <strong>des</strong> adresses IP associées à chaque nom. Voir aussi DNS, WINS.<br />
serveur proxy Serveur placé entre une application cliente, telle qu’un navigateur web,<br />
et un serveur réel. Le serveur proxy intercepte toutes les requêtes envoyées au serveur<br />
réel pour vérifier s’il peut y répondre lui-même. Si ce n’est pas le cas, il transmet la<br />
requête au serveur réel.<br />
<strong>services</strong> de répertoire Services fournissant au logiciel système et aux applications<br />
un accès uniforme aux domaines de répertoire et à d’autres sources d’informations<br />
relatives aux utilisateurs et aux ressources.<br />
shell Programme exécutant d’autres programmes. Vous pouvez utiliser un shell pour<br />
communiquer avec l’ordinateur en tapant <strong>des</strong> comman<strong>des</strong> à l’invite du shell. Voir aussi<br />
interface de ligne de commande.<br />
Glossaire 193
SLP DA Initiales de « Service Location Protocol Directory Agent ». Protocole qui<br />
enregistre les <strong>services</strong> disponibles sur un ré<strong>seau</strong> et permet aux utilisateurs d’y accéder<br />
aisément. Lorsqu’un service est ajouté au ré<strong>seau</strong>, il utilise le protocole SLP pour<br />
s’enregistrer. SLP DA utilise un point de dépôt centralisé pour les <strong>services</strong> ré<strong>seau</strong><br />
enregistrés.<br />
SMTP Initiales de « Simple Mail Transfer Protocol » (protocole simple de transfert<br />
de courrier). Protocole servant à envoyer et à transférer du courrier électronique.<br />
Sa capacité à mettre les messages entrants en file d’attente est limitée. SMTP n’est ]]<br />
donc généralement utilisé que pour envoyer <strong>des</strong> messages, tandis que le protocole<br />
POP ou IMAP est utilisé pour recevoir <strong>des</strong> messages.<br />
sous-domaine Parfois appelé nom d’hôte. Partie du nom de domaine d’un ordinateur<br />
sur Internet. N’inclut pas l’indicateur de domaine ou de domaine de premier niveau<br />
(par exemple .com, .net, .fr, .be). Le nom de domaine « www.exemple.com » est<br />
constitué du sous-domaine « www », du domaine « exemple » et du domaine de<br />
premier niveau « com ».<br />
sous-ré<strong>seau</strong> Regroupement, sur un même ré<strong>seau</strong>, d’ordinateurs clients organisés par<br />
emplacement (par exemple, selon les différents étages d’un bâtiment) ou par emploi<br />
<strong>des</strong> ressources (par exemple, tous les étudiants en classe de seconde). L’utilisation <strong>des</strong><br />
sous-ré<strong>seau</strong>x simplifie l’administration du ré<strong>seau</strong> global. Voir aussi sous-ré<strong>seau</strong> IP.<br />
sous-ré<strong>seau</strong> IP Partie d’un ré<strong>seau</strong> IP, éventuellement un segment de ré<strong>seau</strong><br />
physiquement indépendant, partageant une adresse ré<strong>seau</strong> avec d’autres parties<br />
du ré<strong>seau</strong> et identifiée par un numéro de sous-ré<strong>seau</strong>.<br />
spam Courrier non sollicité, indésirable.<br />
SSL Initiales de « Secure Sockets Layer » (couche sécurisée pour sockets ré<strong>seau</strong>).<br />
Protocole Internet permettant d’envoyer <strong>des</strong> informations authentifiées et chiffrées<br />
à travers Internet. Les versions les plus récentes de SSL sont connues sous le nom<br />
de TLS (Transport Level Security).<br />
Stratum 1 Serveur Network Time Protocol (NTP) faisant autorité sur l’ensemble<br />
d’Internet qui gère l’heure en temps universel coordonné (UTC) courante. D’autres<br />
serveurs Stratum sont disponibles (2, 3, etc.). Chacun reçoit l’heure exacte d’un serveur<br />
Stratum portant un numéro moins élevé.<br />
TCP Initiales de « Transmission Control Protocol » (protocole de contrôle <strong>des</strong><br />
transmissions). Méthode utilisée conjointement avec le protocole IP (Internet Protocol)<br />
pour envoyer <strong>des</strong> données, sous la forme d’unités de message, d’un ordinateur à un<br />
autre à travers Internet. Le protocole IP gère la livraison effective <strong>des</strong> données, tandis<br />
que le protocole TCP assure le suivi <strong>des</strong> unités de données (chaque message est divisé<br />
en unités, appelées « paquets », qui permettent leur acheminement efficace sur<br />
Internet).<br />
194 Glossaire
temps universel coordonné Voir UTC.<br />
texte clair Texte n’ayant pas été chiffré.<br />
texte en clair Données non chiffrées.<br />
time-to-live Voir TTL.<br />
transfert de zone Méthode selon laquelle les données d’une zone sont répliquées<br />
(copiées) sur <strong>des</strong> serveurs DNS d’autorité. Les serveurs DNS esclaves demandent <strong>des</strong><br />
transferts de zone à leurs serveurs maîtres afin d’en acquérir les données.<br />
Transmission Control Protocol Voir TCP.<br />
TTL Time-to-live. Durée spécifiée pendant laquelle les informations DNS sont stockées<br />
dans la mémoire cache. Lorsqu’une paire nom de domaine/adresse IP se trouve en<br />
mémoire cache depuis plus longtemps que la durée TTL spécifiée, l’entrée est<br />
supprimée du cache du serveur de noms (mais pas du serveur DNS principal).<br />
type d’enregistrement Catégorie particulière d’enregistrements, faisant référence, par<br />
exemple, à <strong>des</strong> utilisateurs, <strong>des</strong> ordinateurs et <strong>des</strong> montages. Un domaine de répertoire<br />
peut contenir un nombre différent d’enregistrements pour chaque type<br />
d’enregistrements.<br />
UDP User Datagram Protocol. Méthode de communication qui utilise le protocole IP<br />
pour envoyer une unité de données (appelée datagramme) d’un ordinateur à un autre<br />
sur un ré<strong>seau</strong>. Les applications ré<strong>seau</strong> qui n’ont que de très petites unités de données<br />
à échanger peuvent utiliser le protocole UDP au lieu du TCP.<br />
User Datagram Protocol Voir UDP.<br />
UTC Initiales de « Universal Time Coordinated » (temps universel coordonné). Temps<br />
de référence normalisé. Le temps universel coordonné est calculé par résonance<br />
atomique, c’est pourquoi l’on appelle souvent les horloges synchronisées sur le temps<br />
universel coordonné <strong>des</strong> « horloges atomiques ».<br />
Virtual Private Network Voir VPN.<br />
VPN virtual Private Network. Ré<strong>seau</strong> utilisant le chiffrement et d’autres technologies<br />
pour assurer <strong>des</strong> communications sécurisées à travers un ré<strong>seau</strong> public, généralement<br />
Internet. Les VPN sont de façon générale moins chers que les ré<strong>seau</strong>x privés réels à<br />
lignes privées, mais ils reposent sur l’utilisation du même système de chiffrement aux<br />
deux extrémités. Le chiffrement peut être assuré par un logiciel de coupe-feu ou par<br />
<strong>des</strong> routeurs.<br />
Glossaire 195
WAN Initiales de « Wide Area Network » (ré<strong>seau</strong> étendu). Ré<strong>seau</strong> maintenu au sein<br />
d’établissements géographiquement distincts, contrairement à un ré<strong>seau</strong> LAN (ré<strong>seau</strong><br />
local) qui est limité à un établissement. Votre interface WAN correspond généralement<br />
à celle qui est connectée à Internet.<br />
Windows Internet Naming Service Voir WINS.<br />
WINS Initiales de « Windows Internet Naming Service » (service de noms Internet pour<br />
Windows). Service de résolution de noms utilisé par les ordinateurs Windows pour faire<br />
correspondre le nom <strong>des</strong> clients aux adresses IP. Un serveur WINS peut se trouver sur<br />
un ré<strong>seau</strong> local ou à l’extérieur sur Internet.<br />
WLAN Initiales de « Wireless Local Area Network » (ré<strong>seau</strong> local sans fil).<br />
zone de réexpédition Zone DNS ne conservant aucune donnée et chargée de<br />
réexpédier les requêtes DNS vers une autre zone.<br />
zone maîtresse Enregistrements de la zone DNS conservés par un serveur DNS<br />
principal. Une zone maîtresse est répliquée par <strong>des</strong> transferts de zone à <strong>des</strong> zones<br />
esclaves sur <strong>des</strong> serveurs DNS secondaires.<br />
196 Glossaire
Index<br />
Index<br />
A<br />
accès<br />
LDAP 37, 45, 148<br />
listes de contrôle d’accès (ACL) 146<br />
service de coupe-feu 110, 112<br />
service web 110<br />
utilisateurs sans fil 161<br />
VPN 146, 154<br />
administration VPN de site à site 155<br />
Admin Serveur 34, 45, 55, 137<br />
adressage lien-local 52<br />
adresse MAC 39<br />
adresses. Voir adresses IP<br />
adresses IP<br />
assignation 31<br />
et Bonjour 52<br />
BootP 30<br />
caractère de remplacement 91<br />
client 47<br />
composants 89<br />
configuration de DHCP 36, 39<br />
contrôle de l’accès pour VPN 146<br />
et le service de coupe-feu 89, 91<br />
durées de bail 29, 36<br />
dynamiques 27, 29<br />
groupes 95, 99, 100<br />
et partage Internet 80, 82<br />
multiples 92<br />
et NAT 80, 128<br />
permutation circulaire 81<br />
plages 91<br />
protocole IPv6 177, 178<br />
et la récursivité 65<br />
redirection de port 124<br />
ré<strong>seau</strong>x TCP/IP 81<br />
service DNS 49, 54, 75<br />
statiques 27, 29, 39<br />
et VPN 29, 138<br />
adresses IP dynamiques 27, 29<br />
adresses IP statiques 27, 29, 39<br />
aide, utilisation 12, 13<br />
alias<br />
courrier électronique 53<br />
enregistrement de zone 70<br />
alias de courrier électronique, configuration du<br />
DNS 53<br />
Assistant réglages de passerelle 17<br />
attaque par déni de service 75, 113<br />
attaque par déni de service. Voir attaque DoS<br />
attribut de durée de vie (Time-to-Live ou TTL) 53<br />
attribut durée de vie (TTL) 81<br />
attribut TTL. Voir attribut de durée de vie (Time-to-<br />
Live)<br />
authentification<br />
EAP 161<br />
Kerberos 136, 137<br />
SecurID 149<br />
VPN 136<br />
Voir aussi RADIUS<br />
authentification MS-CHAPv2 137<br />
B<br />
BIND (Berkeley Internet Name Domain) 50, 51, 55,<br />
69, 75<br />
BootP (protocole Bootstrap) 30<br />
bootpd démon 31<br />
Bootstrap, protocole. Voir BootP<br />
borne d’accès AirPort<br />
connexion Internet 21<br />
et RADIUS 161, 162, 164, 168<br />
C<br />
caractère de remplacement dans les adresses IP 91<br />
certificats 136, 138, 155, 165<br />
chiffrement, protocoles VPN 136<br />
clients<br />
adresses IP pour 47<br />
anciens systèmes d’exploitation 136<br />
configuration du service NTP 173<br />
connexions de la maison au ré<strong>seau</strong> 152<br />
liste <strong>des</strong> clients DHCP 41<br />
sans fil 23, 168<br />
VPN 138, 142, 151, 153<br />
Voir aussi utilisateurs<br />
CNAME (nom canonique) 51<br />
comptes mobiles 135<br />
197
configuration<br />
clients NTP 172<br />
groupes de travail 42<br />
modifications apportées aux fichiers de<br />
configuration <strong>Mac</strong> <strong>OS</strong> X <strong>Server</strong> 55<br />
modifications apportées aux fichiers <strong>Mac</strong> <strong>OS</strong> X<br />
<strong>Server</strong> 58<br />
NAT 80, 122, 123, 125, 126, 129, 130<br />
RADIUS 161, 165<br />
service de coupe-feu 93, 95, 96, 102, 103, 104,<br />
132<br />
VPN 138, 139, 140, 141, 144, 148<br />
Voir aussi DHCP; DNS<br />
configuration pour un café-restaurant 44<br />
configuration pour un laboratoire d’étudiants 43<br />
connexions VPN de la maison au ré<strong>seau</strong> 152<br />
coupe-feu 105, 146, 154, 157<br />
Voir aussi service de coupe-feu<br />
coupe-feu adaptatif 105<br />
courrier non sollicité. Voir filtrage du courrier<br />
indésirable<br />
D<br />
définitions de routage VPN 144<br />
dépannage, règles du service de coupe-feu 104<br />
détection <strong>des</strong> messages indésirables 111<br />
détection <strong>des</strong> virus 115<br />
documentation 13, 15<br />
domaines de répertoire LDAP 37, 45, 137, 148<br />
Domain Name System. Voir DNS<br />
dscl, outil 45<br />
durées de bail, DHCP 29, 36<br />
Dynamic Host Configuration Protocol. Voir DHCP<br />
E<br />
EAP (Extensible Authentication Protocol) 161<br />
échangeur de courrier. Voir MX<br />
enregistrement, nom de domaine 53<br />
enregistrement de service (SRV). Voir enregistrement<br />
SRV<br />
enregistrement <strong>des</strong> noms de domaine 53<br />
enregistrement HINFO (Infos sur le matériel) 51<br />
enregistrement pointeur. Voir enregistrement PTR<br />
enregistrement PTR (enregistrement pointeur) 51<br />
enregistrements, gestion d’enregistrements de<br />
zone 70, 72, 73<br />
enregistrements de machine 51, 71<br />
enregistrement SRV (service) 51, 72<br />
enregistrement TXT 51<br />
Ethernet, connexions de ré<strong>seau</strong>x locaux virtuels 175<br />
exploration de serveur 74<br />
Extensible Authentication Protocol. Voir EAP<br />
F<br />
FAI (fournisseur d’accès à Internet) 49, 54, 135<br />
fichiers de secret partagé 22, 24, 136, 138, 155<br />
fichiers partagés. Voir partage de fichiers<br />
fichiers plist 124<br />
filtres d’adresse IP 109<br />
Fournisseur d’accès à Internet. Voir FAI<br />
G<br />
groupes, accès au VPN 146<br />
groupes de travail, configuration pour 42<br />
H<br />
heure, synchronisation 171, 172<br />
historiques<br />
DHCP 33, 41<br />
DNS 61, 63<br />
RADIUS 167<br />
service de coupe-feu 97, 107, 111<br />
VPN 143, 150<br />
I<br />
IANA (Internet Assigned Numbers Authority) 53<br />
identifiant d’étendue NetBios 38<br />
identifiant Ethernet 39<br />
importation de fichiers de zone 69<br />
inspection dynamique de paquets 87<br />
Internet Assigned Numbers Authority (IANA). Voir<br />
IANA<br />
Internet Protocol. Voir adresses IP<br />
intranets 41<br />
ipfw, outil 88, 106<br />
IPSec (sécurité IP) 136, 139, 140, 155<br />
J<br />
jeux 114, 131<br />
K<br />
Kerberos 136, 137<br />
L<br />
L2TP/IPSec (Layer Two Tunneling Protocol, Secure<br />
Internet Protocol) 136, 138, 140, 155<br />
Layer Two Tunneling Protocol, Secure Internet<br />
Protocol (L2TP/IPSec). Voir L2TP/IPSec<br />
LDAP (Lightweight Directory Access Protocol) 37,<br />
45, 137, 148<br />
listes de contrôle d’accès (ACL) 146<br />
M<br />
<strong>Mac</strong> <strong>OS</strong> X <strong>Server</strong><br />
modifications apportées aux fichiers de<br />
configuration 55, 58<br />
masquage d’adresses IP. Voir NAT<br />
masque de sous-ré<strong>seau</strong> 89<br />
messages d’erreur. Voir dépannage<br />
méthode de permutation circulaire d’adresses IP 81<br />
198 Index
mise à niveau de la configuration DNS 57<br />
mode furtif du service de coupe-feu 105<br />
mots de passe, VPN 136<br />
MX (mail exchanger) 77<br />
mystification du DNS 74<br />
N<br />
NAT (Network Address Translation)<br />
arrêt 127<br />
configuration 80, 122, 123, 125, 126, 129, 130<br />
configuration d’un espace de noms 80<br />
configuration d’un serveur virtuel 131<br />
configuration pour les jeux 131<br />
et le service de coupe-feu 109, 121<br />
démarrage 123, 127<br />
et DHCP 42<br />
introduction 121<br />
et le protocole IPv6 177<br />
liaison au ré<strong>seau</strong> local 128<br />
outils en ligne de commande 133<br />
partage Internet 18<br />
passerelle sans NAT 127<br />
surveillance 128<br />
vérification de l’état 128<br />
natd, démon 134<br />
navigateurs, ré<strong>seau</strong> 52, 60, 76<br />
NBNS (NetBios Name <strong>Server</strong>) 37<br />
Network Address Translation. Voir NAT<br />
nom canonique (CNAME). Voir CNAME<br />
notation CIDR (Classless InterDomain Routing) 89<br />
NTP (Network Time Protocol) 171, 172<br />
O<br />
Open Directory 58, 161<br />
ordinateurs portables 135<br />
outils antivirus. Voir détection de virus<br />
outils en ligne de commande<br />
Admin Serveur 33, 45<br />
BootP 30<br />
dscl 45<br />
NAT 133<br />
prise en charge d’IPv6 178<br />
sudo 124<br />
sysctl 88<br />
transfert d’adresses IP 87<br />
VPN de site à site 155<br />
P<br />
paquets refusés 108<br />
partage de fichiers P2P (poste à poste). Voir P2P 114<br />
partage Internet<br />
Assistant réglages de passerelle 17<br />
clients sans fil AirPort 21, 23, 168<br />
connexion à ré<strong>seau</strong> local câblé 21<br />
connexion d’un ré<strong>seau</strong> local câblé 80<br />
connexion WLAN 23, 24<br />
contrôle de l’accès 110<br />
et IPv6 177<br />
méthode de l’adresse IP unique 82<br />
et NAT 121<br />
plusieurs domaines 82<br />
passerelles, mise en ré<strong>seau</strong> 21, 23, 127<br />
Voir aussi NAT<br />
Point-to-Point Tunneling Protocol (PPTP). Voir PPTP<br />
ports<br />
ré<strong>seau</strong> local NAT 122, 123<br />
ré<strong>seau</strong> local virtuel 175<br />
service de coupe-feu 86<br />
VPN 139, 140<br />
pourriel (message électronique commercial non<br />
sollicité). Voir filtrage du courr<br />
PPTP (Point-to-Point Tunneling Protocol) 136, 138,<br />
141, 148, 155<br />
problèmes. Voir dépannage<br />
profilage du service DNS 75<br />
protocole IPv6 177, 178<br />
protocoles<br />
BootP 30<br />
EAP 161<br />
IPv6 177, 178<br />
LDAP 37, 45, 137, 148<br />
NTP 171, 172<br />
SMTP 111<br />
TCP 86, 96, 113<br />
UDP 86, 94<br />
VPN 136, 137, 140, 141, 148, 155<br />
Voir aussi DHCP<br />
R<br />
RADIUS (Remote Authentication Dial-In User Service)<br />
arrêt 166<br />
borne d’accès AirPort 162, 164, 168<br />
démarrage 162, 166<br />
historiques 167<br />
introduction 161<br />
vérification de l’état 166<br />
vue d’ensemble de la configuration 162<br />
récursivité DNS 61, 65, 76<br />
redirection de port 124, 125, 126<br />
Remote Authentication Dial-In User Service<br />
(RADIUS). Voir RADIUS<br />
répartition de la charge 81<br />
répertoires. Voirdomaines, annuaire<br />
ré<strong>seau</strong> étendu. consultez WAN<br />
ré<strong>seau</strong> local virtuel. Voir VLAN<br />
ré<strong>seau</strong> privé 41, 81<br />
Voir aussi VPN<br />
ré<strong>seau</strong>x distants 155, 165<br />
ré<strong>seau</strong>x locaux 135, 155, 175<br />
Voir aussi NAT<br />
Index 199
é<strong>seau</strong>x locaux. Voir ré<strong>seau</strong>x locaux<br />
RSA Security 149<br />
S<br />
s2svpnadmin, outil 155<br />
sauvegar<strong>des</strong> pour la mise à niveau du DNS 57<br />
SecurID, authentification 149<br />
sécurité<br />
Bonjour 76<br />
DNS 73, 75<br />
IPSec 136, 139, 140, 155<br />
RADIUS 165<br />
ré<strong>seau</strong> local virtuel 175<br />
VPN 136, 138, 155<br />
Voir aussi accès; authentification; service de<br />
coupe-feu<br />
serveradmin outil 34, 45<br />
serveur d’horloge 172<br />
Voir aussi NTP<br />
serveur de fichiers <strong>Apple</strong> 112<br />
serveur de mots de passe Open Directory 161<br />
serveur de noms 51, 53<br />
Voir aussi DNS<br />
serveur NBDD (NetBios Datagram Distribution) 38<br />
serveurs<br />
et DNS 30, 36<br />
emplacement 31<br />
NBDD 38<br />
NBNS 38<br />
plusieurs serveurs DHCP 31<br />
réinitialisation 105<br />
sécurisation DNS 73<br />
sécurisation du DNS 75<br />
serveur d’horloge 172<br />
serveur de fichiers <strong>Apple</strong> 112<br />
serveur de noms 51, 53<br />
virtuels 131, 132<br />
serveurs Stratum 171<br />
serveurs virtuels, passerelle NAT 131, 132<br />
service AFP (<strong>Apple</strong> Filing Protocol). Voir AFP<br />
service de coupe-feu<br />
affichage <strong>des</strong> règles actives 106, 107<br />
arrêt 99<br />
blocage du courrier indésirable 111<br />
configuration d’un serveur virtuel 132<br />
configuration de règles avancées 102, 103, 104<br />
contrôle de l’accès 110, 112<br />
contrôle de l’utilisation de jeux 114<br />
coupe-feu adaptatif 105<br />
démarrage 88, 93, 95, 98<br />
dépannage de règles 104<br />
groupes d’adresses 95, 99, 100<br />
historique 111<br />
historiques 97, 107<br />
introduction 85, 86<br />
lutte contre les virus 115<br />
mode furtif 105<br />
et NAT 109, 121<br />
paquets filtrés 109<br />
paquets refusés 108<br />
partage de fichiers P2P 114<br />
partage Internet 17<br />
ports 115<br />
prévention <strong>des</strong> attaques par déni de service 113<br />
réglages de <strong>services</strong> 96, 101<br />
réinitialisation du serveur 105<br />
vérification de l’état 106<br />
et VPN 138<br />
vue d’ensemble de la configuration 93, 95<br />
vue d’ensemble <strong>des</strong> règles 88, 91, 93<br />
service de courrier 53, 77, 78<br />
service de messagerie 111, 115<br />
service de navigation Bonjour 52, 60, 76<br />
service DHCP (Dynamic Host Configuration Protocol)<br />
adresses IP 36, 39<br />
arrêt 34<br />
configuration 28, 29, 30, 31, 32<br />
démarrage 31, 33<br />
durées de bail 29, 36<br />
emplacement <strong>des</strong> serveurs 31<br />
exemples de configurations 41, 42, 43, 44<br />
historiques 33, 41<br />
introduction 27, 29<br />
liste <strong>des</strong> clients 41<br />
mappages d’adresses statiques 39<br />
et NAT 42<br />
options LDAP 37, 45<br />
options WINS 37<br />
partage Internet 17<br />
réglage du serveur DNS 36<br />
sous-ré<strong>seau</strong>x 32, 34, 35, 36, 47<br />
vérification de l’état 40<br />
et VPN 138<br />
service DNS (Domain Name System)<br />
adresses IP 49, 54, 75<br />
alias de courrier électronique 53<br />
arrêt 64<br />
BIND 50, 51, 55, 69, 75<br />
et Bonjour 52, 60, 76<br />
configuration d’un serveur virtuel 131<br />
démarrage 56, 62<br />
enregistrements de machine 51, 71<br />
hébergement de plusieurs domaines 82<br />
hébergement de plusieurs <strong>services</strong> 82<br />
historiques 61, 63<br />
introduction 49<br />
options du sous-ré<strong>seau</strong> DHCP 36<br />
partage Internet 18<br />
passerelle NAT 80<br />
récursivité 61, 65, 76<br />
réglages 61<br />
200 Index
épartition de la charge 81<br />
ré<strong>seau</strong> TCP/IP privé 81<br />
sauvegar<strong>des</strong> pour la mise à niveau 57<br />
sécurisation du serveur 73, 75<br />
service de courrier 77, 78<br />
vérification de l’état 63<br />
vue d’ensemble de la configuration 53<br />
Voir aussi zones DNS<br />
service IPFilter. Voir service coupe-feu<br />
service NetBoot 43<br />
service sans fil. Voir borne d’accès AirPort; RADIUS<br />
<strong>services</strong> d’annuaire, Open Directory 58, 161<br />
<strong>services</strong> ré<strong>seau</strong>, introduction 11<br />
service web, contrôle de l’accès 110<br />
SMTP (Simple Mail Transfer Protocol) 111<br />
sous-domaines 54<br />
sous-ré<strong>seau</strong>x<br />
création 32<br />
désactivation 35, 47<br />
DHCP 32, 34, 35, 47<br />
et emplacement <strong>des</strong> serveurs 31<br />
options LDAP 37<br />
réglages de durée de bail 36<br />
suppression 35<br />
WINS 37<br />
spam. Voir filtrage du courrier indésirable<br />
sudo outil 124<br />
synchronisation de l’heure 171, 172<br />
sysctl, outil 88<br />
T<br />
talonnage de service 76<br />
TCP (Transmission Control Protocol) 86, 96, 113<br />
TCP/IP et les ré<strong>seau</strong>x privés 81<br />
temps universel coordonné 171<br />
temps universel coordonné. Voir UTC<br />
transfert d’adresses IP 87<br />
Transmission Control Protocol. Voir TCP<br />
U<br />
UDP (User Datagram Protocol) 86, 94<br />
User Datagram Protocol, protocole. Voir UDP<br />
utilisateurs<br />
accès au VPN 146<br />
accès sans fil 161<br />
mobiles 135<br />
Voir aussi clients; RADIUS<br />
V<br />
virtual private network. Voir VPN<br />
VLAN (Virtual Local Area Network) 175<br />
VPN (Virtual Private Network)<br />
arrêt 144<br />
assignation d’adresses IP 29, 138<br />
authentification 136, 138<br />
clients 138, 142, 151, 153<br />
configurations supplémentaires 148<br />
connexions 22, 24, 150, 152<br />
contrôle de l’accès 146, 154<br />
définitions de routage 144<br />
démarrage 139, 143<br />
historiques 143, 150<br />
introduction 135<br />
et LDAP 137, 148<br />
partage Internet 17<br />
protocoles pris en charge par plate-forme 138<br />
réglages L2TP 140<br />
réglages PPTP 141<br />
sécurité 136, 138, 155<br />
site à site 155<br />
vérification de l’état 150<br />
vue d’ensemble de la configuration 139<br />
W<br />
WAN (ré<strong>seau</strong> étendu) 135<br />
WINS (Windows Internet Naming Service) 37<br />
WLAN (wireless local area network) 23, 24<br />
www.dns.net/dnsrd 83<br />
X<br />
Xserve G5 175<br />
Z<br />
zone de redirection DNS 51, 68<br />
zone principale DNS 50, 58, 66, 74<br />
zones DNS<br />
activation <strong>des</strong> transferts 64<br />
ajout 66, 67, 68<br />
configuration 58, 60<br />
désactivation <strong>des</strong> transferts 64<br />
enregistrement d’alias 70<br />
enregistrements de machine 51, 71<br />
fichier de zone BIND 69<br />
introduction 50<br />
modification 68<br />
redirection 51, 68<br />
sécurité 73<br />
suppression 68<br />
zone secondaire DNS 50, 60, 67<br />
Index 201