Apple Mac OS X Server v10.5 Leopard - Administration des services réseau - Mac OS X Server v10.5 Leopard

Mac OS X Server 

Administration des services réseau 

Pour Leopard version 10.5

apple Apple Inc. 

© 2007 Apple Inc. Tous droits réservés. 

Le propriétaire ou l’utilisateur autorisé d’une copie 

valide du logiciel Mac OS X Server version 10.2 peut 

reproduire cette publication à des fins d’apprentissage 

de l’utilisation de ce logiciel. La présente publication ne 

peut être reproduite ou transmise en totalité ou en partie 

à des fins commerciales, telles que la vente de copies 

ou la prestation d’un service d’assistance payant. 

Tous les efforts nécessaires ont été mis en œuvre pour 

que les informations contenues dans ce manuel soient 

les plus exactes possibles. Apple n’est pas responsable 

des erreurs d’écriture et d’impression. 

Apple 

1 Infinite Loop 

Cupertino, CA 95014-2084 

408-996-1010 

www.apple.com 

En l’absence du consentement écrit d’Apple, l’utilisation 

à des fins commerciales de ce logo via le clavier (Option 

+ 1) pourra constituer un acte de contrefaçon et/ ou de 

concurrence déloyale. 

Apple, le logo Apple, AirPort, AppleScript, AppleShare, 

AppleTalk, Bonjour, Firewire, iCal, iTunes, Mac, Macintosh, 

Mac OS, QuickTime, WebObjects, Xgrid, Xsan et 

Xserve sont des marques d’Apple Inc. déposées aux 

États-Unis et dans d’autres pays. 

Finder est une marque d’Apple Inc. 

Java et tous les logos et marques dérivés de Java sont 

des marques ou des marques déposées de Sun Microsystems, 

Inc. aux États-Unis et dans d’autres pays. 

UNIX est une marque déposée de The Open Group. 

Les autres noms de sociétés et de produits mentionnés 

ici sont des marques de leurs détenteurs respectifs. La 

mention de produits tiers n’est effectuée qu’à des fins 

informatives et ne constitue en aucun cas une approbation 

ni une recommandation. Apple n’assume aucune 

responsabilité vis-à-vis des performances ou de l’utilisation 

de ces produits. 

F019-0941/01-09-2007

1 Table 

des matières 

Préface 11 À propos de ce guide 

11 Nouveautés de la version 10.5 

11 Contenu de ce guide 

12 Utilisation du guide 

13 Utilisation de l’aide à l’écran 

13 Guides d’administration de Mac OS X Server 

15 Affichage des guides PDF à l’écran 

15 Impression des guides PDF 

15 Obtenir des mises à jour de documentation 

16 Pour obtenir des informations supplémentaires 

Chapitre 1 17 Connexion de votre réseau à Internet 

17 À propos d’Assistant réglages passerelle 

18 Exécution de l’Assistant réglages passerelle 

19 Connexion d’un réseau local câblé à Internet 

21 Connexion d’un réseau local câblé et de clients sans fil à Internet 

23 Connexion d’un réseau local sans fil à Internet 

Chapitre 2 27 Utilisation du service DHCP 

28 Présentation générale de la configuration 

29 Avant de configurer le service DHCP 

29 Création de sous-réseaux 

29 Assignation dynamique d’adresses IP 

29 Utilisation d’adresses IP statiques 

30 Localisation du serveur DHCP 

30 Interaction avec d’autres serveurs DHCP 

31 Utilisation de plusieurs serveurs DHCP sur un réseau 

31 Assignation d’adresses IP réservées 

31 Obtention d’informations supplémentaires sur le processus DHCP 

31 Activation du service DHCP 

31 Configuration du service DHCP 

32 Création de sous-réseaux dans le service DHCP 

33 Configuration de réglages d’historique 

3

33 Démarrage du service DHCP 

34 Gestion du service DHCP 

34 Arrêt du service DHCP 

34 Modification de réglages de sous-réseau dans le service DHCP 

35 Suppression de sous-réseaux du service DHCP 

35 Désactivation temporaire de sous-réseaux 

36 Modification des durées de bail d’adresse IP d’un sous-réseau 

36 Configuration du serveur DNS d’un sous-réseau DHCP 

37 Configuration des options LDAP d’un sous-réseau 

37 Configuration des options WINS d’un sous-réseau 

39 Assignation d’adresses IP statiques à l’aide de DHCP 

39 Suppression ou modification de mappages d’adresses statiques 

40 Surveillance du service DHCP 

40 Vérification de l’état du service DHCP 

41 Affichage d’entrées d’historique DHCP 

41 Affichage de la liste des clients DHCP 

41 Configurations réseau courantes qui utilisent DHCP 

45 Configuration de DHCP pour l’utilisation d’une URL de serveur LDAP supplémentaire 

47 Service DHCP pour clients Mac OS X à l’aide de DHCP avec une adresse manuelle 

47 Autres sources d’informations 

Chapitre 3 49 Utilisation du service DNS 

50 À propos des zones DNS 

50 Zones principales 

50 Zones secondaires 

51 Zones de redirection 

51 À propos des enregistrements de machine DNS 

52 À propos de Bonjour 

53 Avant de configurer le service DNS 

53 Configuration initiale du service DNS 

56 Activation du service DNS 

57 Mise à niveau de la configuration DNS 

57 Configuration du service DNS 

58 Configuration de réglages de zone 

60 Configuration de réglages de zone secondaire 

60 Configuration de réglages Bonjour 

61 Configuration de réglages DNS 

62 Démarrage du service DNS 

62 Gestion du service DNS 

63 Vérification de l’état du service DNS 

63 Affichage des historiques du service DNS 

63 Modification du niveau de détail de l’historique DNS 

64 Arrêt du service DNS 

4 Table des matières

64 Activation ou désactivation des transferts entre zones 

65 Activation de la récursivité 

66 Gestion de zones DNS 

66 Ajout d’une zone principale 

67 Ajout d’une zone secondaire 

68 Ajout d’une zone de redirection 

68 Modification d’une zone 

68 Suppression d’une zone 

69 Importation d’un fichier de zone BIND 

70 Gestion d’enregistrements DNS 

70 Ajout d’un enregistrement d’alias à une zone DNS 

71 Ajout d’un enregistrement de machine à une zone DNS 

72 Ajout d’un enregistrement de service à une zone DNS 

72 Modification d’un enregistrement dans une zone DNS 

73 Suppression d’un enregistrement d’une zone DNS 

73 Sécurisation du serveur DNS 

74 Mystification du DNS 

74 Exploration de serveur 

75 Profilage du service DNS 

75 Déni de service 

76 Talonnage de service 

76 Administration du service Bonjour sur zone élargie 

77 Tâches d’administration de réseau courantes qui utilisent le service DNS 

77 Configuration du DNS pour le service de courrier 

80 Configuration d’un espace de noms derrière une passerelle NAT 

81 Répartition de la charge du réseau (permutation circulaire) 

81 Configuration d’un réseau TCP/IP privé 

82 Hébergement de plusieurs services Internet à une seule adresse IP 

82 Hébergement de plusieurs domaines sur le même serveur 


Chapitre 4 85 Utilisation du service de coupe-feu 

85 À propos du service de coupe-feu 

87 Pratiques élémentaires en matière de coupe-feu 

88 Démarrage du coupe-feu 

88 À propos des règles de coupe-feu 

89 Une règle de coupe-feu, qu’est-ce que c’est ? 

91 Utilisation de plages d’adresses 

91 Mécanisme et ordre des règles 

92 Adresses IP multiples 

92 Modification de règles de coupe-feu IPv6 


95 Activation du service de coupe-feu 

Table des matières 5

95 Configuration du service de coupe-feu 

95 Configuration de réglages de groupes d’adresses 

96 Configuration de réglages de services 

97 Configuration des réglages de journalisation 

98 Configuration des réglages avancés 

98 Démarrage du service de coupe-feu 

99 Gestion du service de coupe-feu 

99 Arrêt du service de coupe-feu 

99 Création d’un groupe d’adresses 

100 Modification ou suppression d’un groupe d’adresses 

100 Duplication d’un groupe d’adresses 

101 Ajout d’éléments à la liste des services 

101 Modification ou suppression d’éléments dans la liste Services 

102 Configuration de règles de coupe-feu avancées 

103 Modification ou suppression de règles de coupe-feu avancées 

104 Modification de l’ordre de règles de coupe-feu avancées 

104 Dépannage de règles de coupe-feu avancées 

105 Activation du mode furtif 

105 Coupe-feu adaptatif 

105 Réinitialisation du coupe-feu aux réglages par défaut 

106 Surveillance du service de coupe-feu 

106 Vérification de l’état du service de coupe-feu 

107 Affichage des règles de coupe-feu actives 

107 Affichage de l’historique du service de coupe-feu 

108 Affichage des paquets refusés 

109 Affichage des paquets journalisés par les règles de coupe-feu 

109 Exemples de coupe-feu pratiques 

109 Utilisation du coupe-feu avec le service NAT 

110 Blocage de l’accès web à des utilisateurs Internet 

111 Journalisation de l’accès à Internet par les utilisateurs du réseau local 

111 Blocage du courrier indésirable 

112 Autorisation d’un client à accéder à un serveur de fichiers Apple 

113 Tâches d’administration de réseau courantes qui utilisent le service de coupe-feu 

113 Lutte contre les attaques par déni de service 

114 Contrôle ou activation de l’utilisation du réseau poste à poste 

114 Contrôle ou activation de l’utilisation de jeux en réseau 

115 Prévention de la propagation de virus réseau 

115 Référence des ports TCP et UDP 


Chapitre 5 121 Utilisation du service NAT 

121 Utilisation de NAT avec d’autres services réseau 

122 Vue d’ensemble de la configuration du réseau local pour NAT 


123 Activation du service NAT 

123 Configuration du service NAT 

124 Configuration de la redirection de port 

125 Exemples de redirection de port 

126 Test des règles de redirection de port 

127 Démarrage et arrêt du service NAT 

127 Création d’une passerelle sans NAT 

128 Surveillance du service NAT 

128 Affichage de la vue d’ensemble de l’état de NAT 

128 Tâches d’administration de réseau courantes qui utilisent le service NAT 

128 Liaison d’un réseau local à Internet par une adresse IP 

131 Configuration d’un tournoi de jeu en réseau 

131 Configuration de serveurs virtuels 


Chapitre 6 135 Utilisation du service VPN 

136 VPN et la sécurité 

136 Protocoles de transport 

137 Méthode d’authentification 

137 Utilisation du service VPN avec des utilisateurs se trouvant dans un domaine LDAP 

de tierce partie 

137 Avant de configurer le service VPN 

138 Configuration d’autres services réseau pour VPN 


139 Activation du service VPN 

140 Configuration du service VPN 

140 Configuration des réglages L2TP 

141 Configuration des réglages PPTP 

142 Configuration de réglages d’informations sur les clients 

143 Configuration des réglages de journalisation 

143 Démarrage du service VPN 

144 Gestion du service VPN 

144 Arrêt du service VPN 

144 Configuration de définitions de routage de réseau VPN 

146 Limitation de l’accès VPN à des utilisateurs ou groupes spécifiques 

146 Limitation de l’accès au VPN à des adresses IP entrantes spécifiques 

148 Instructions de configuration supplémentaires 

150 Surveillance du service VPN 

150 Affichage de la vue d’ensemble de l’état de VPN 

150 Modification du niveau de détail des historiques du service VPN 

151 Affichage de l’historique VPN 

151 Affichage des connexions des clients VPN 

152 Tâches d’administration de réseau courantes qui utilisent le service VPN 


152 Liaison d’un ordinateur de la maison à un réseau distant 

154 Accès à une ressource informatique unique se trouvant derrière le coupe-feu d’un 

réseau distant 

154 Liaison de deux sites de réseau distant ou plus 


Chapitre 7 161 Utilisation du service RADIUS 

161 Avant de configurer le service RADIUS 

162 Configuration initiale du service RADIUS 

162 Activation du service RADIUS 

162 Configuration du service RADIUS 

163 Configuration de RADIUS à l’aide de l’assistant de configuration 

164 Ajout de bornes d’accès AirPort à un serveur RADIUS 

165 Configuration à distance de bornes d’accès AirPort 

165 Configuration de RADIUS de manière à ce qu’il utilise des certificats 

166 Archivage des historiques du service RADIUS 

166 Démarrage ou arrêt du service RADIUS 

166 Gestion du service RADIUS 

166 Vérification de l’état du service RADIUS 

167 Affichage d’historiques du service RADIUS 

167 Modification de l’accès au service RADIUS 

168 Suppression de bornes d’accès AirPort 

168 Modification d’un enregistrement de borne d’accès AirPort 

168 Enregistrement du fichier de connexion à Internet d’une borne d’accès AirPort 

Chapitre 8 171 Utilisation du service NTP 

171 Comme NTP fonctionne 

172 Utilisation de NTP sur votre réseau 

172 Configuration du service NTP 

173 Configuration de NTP sur des clients 


Chapitre 9 175 Prise en charge d’un réseau local virtuel 

175 Configuration de l’adhésion des clients à un réseau local virtuel 


Chapitre 10 177 Prise en charge d’IPv6 

178 Services compatibles avec IPv6 

178 Prise en charge des adresses IPv6 dans Admin Serveur 

178 Adresses IPv6 

178 Notation 

179 Adresses IPv6 réservées 

179 Modèle d’adressage IPv6 

179 Types d’adresses IPv6 


Glossaire 183 

Index 197 

180 Création d’une passerelle d’IPv4 à IPv6 



À propos de ce guide 

Préface 

Ce guide explique comment configurer et administrer 

les services réseau de Mac OS X Server. 

Mac OS X Server 10.5 comprend plusieurs services réseau qui permettent de gérer et 

de maintenir votre réseau. 

Nouveautés de la version 10.5 

Mac OS X Server 10.5 offre les améliorations majeures suivantes en matière de services 

réseau : 

Â Nouvelle fonctionnalité RADIUS : Mac OS X Server 10.5 utilise RADIUS pour l’autorisation 

de l’accès des utilisateurs aux bornes d’accès AirPort. 

Â Nouvel assistant de configuration des services : Mac OS X Server 10.5 comporte 

maintenant un assistant de configuration des services pour NAT et RADIUS. 

Â Bonjour amélioré : Mac OS X Server 10.5 permet d’administrer Bonjour. 

Â Coupe-feu révisé et amélioré : Mac OS X Server 10.5 utilise un coupe-feu adaptatif 

qui configure des règles de coupe-feu dynamiquement et qui ne requiert aucune 

configuration. 

Contenu de ce guide 

Ce guide comprend les chapitres suivants : 

Â Le chapitre 1, « Connexion de votre réseau à Internet, » explique comment utiliser 

Assistant réglages de passerelle pour relier un réseau à Internet. 

Â Le chapitre 2, « Utilisation du service DHCP, » explique comment configurer et utiliser 

DHCP pour assigner des adresses IP sur un réseau. 

Â Le chapitre 3, « Utilisation du service DNS, » explique comment utiliser Mac OS X 

Server comme serveur de noms de domaine. 

Â Le chapitre 4, « Utilisation du service de coupe-feu, » explique comment préserver 

la sécurité d’un réseau à l’aide d’un coupe-feu. 

11

Â Le chapitre 5, « Utilisation du service NAT, » explique comment configurer et utiliser 

NAT pour connecter de nombreux ordinateurs à Internet avec une seule adresse IP 

publique. 

Â Le chapitre 6, « Utilisation du service VPN, » explique comment configurer et utiliser 

VPN pour autoriser les utilisateurs distants à accéder à votre réseau local privé de 

façon sécurisée. 

Â Le chapitre 7, « Utilisation du service RADIUS, » explique comment configurer et utiliser 

le service RADIUS pour autoriser les utilisateurs et les groupes Open Directory 

à accéder aux bornes d’accès AirPort d’un réseau. 

Â Le chapitre 8, « Utilisation du service NTP, » explique comment faire de votre serveur 

un serveur d’horloge. 

Â Le chapitre 9, « Prise en charge d’un réseau local virtuel, » parle de la prise en charge 

de réseaux locaux virtuels pour certaines configurations matérielles de serveur. 

Â Le chapitre 10, « Prise en charge d’IPv6, » parle d’IPv6 et des services qui prennent 

en charge l’adressage IPv6. 

Un glossaire propose en outre une brève définition des termes utilisés dans ce guide. 

Remarque : étant donné qu’Apple publie souvent de nouvelles versions et mises à jour 

de ses logiciels, les illustrations de ce document peuvent être différentes de celles qui 

s’affichent à l’écran. 

Utilisation du guide 

Chaque chapitre couvre un service réseau différent. Lisez tous les chapitres qui parlent 

des services que vous comptez fournir à vos utilisateurs. Apprenez comment le service 

fonctionne, ce qu’il permet de faire, les stratégies d’utilisation, la manière de le configurer 

pour la première fois et de l’administrer par la suite. 

Jetez aussi un œil aux chapitres relatifs aux services qui ne vous sont pas familiers. Vous 

constaterez peut-être que certains des services que vous n’avez encore jamais utilisés 

peuvent vous permettre de gérer votre réseau de manière plus efficace et d’en améliorer 

les performances pour les utilisateurs. 

La plupart des chapitres se terminent par une rubrique appelée « Autres sources 

d’informations », qui vous indique les sites web et autres documents de référence 

dans lesquels figurent d’autres informations sur le service concerné. 

12 Préface À propos de ce guide

Utilisation de l’aide à l’écran 

Vous pouvez obtenir des instructions à l’écran tout en gérant Leopard Server. L’aide 

peut être affichée sur un serveur ou sur un ordinateur administrateur. (Un ordinateur 

administrateur est un ordinateur Mac OS X sur lequel est installé le logiciel d’administration 

de serveur Leopard Server.) 

Pour obtenir de l’aide dans le cas d’une configuration avancée de Leopard Server : 

m Ouvrez Admin Serveur ou Gestionnaire de groupe de travail, puis : 

Â Utilisez le menu Aide pour rechercher une tâche à exécuter. 

Â Choisissez Aide > Aide Admin Serveur ou Aide > Aide Gestionnaire de groupe de travail 

avant d’explorer les rubriques d’aide et d’effectuer des recherches. 

L’aide à l’écran contient des instructions issues de Administration du serveur et d’autres guides 

d’administration avancés décrits dans « Guides d’administration de Mac OS X Server ». 

Pour visualiser les rubriques d’aide les plus récentes concernant les serveurs : 

m Assurez-vous que le serveur ou l’ordinateur administrateur est connecté à Internet 

pendant que vous consultez l’Aide. 

Visualisation Aide extrait automatiquement les rubriques d’aide les plus récentes 

depuis Internet et les stocke en mémoire cache. Lorsque vous n’êtes pas connecté 

à Internet, Visualisation Aide affiche les rubriques d’aide mises en cache. 

Guides d’administration de Mac OS X Server 

Premiers contacts traite de l’installation et de la configuration des configurations standard 

et de groupe de travail de Mac OS X Server. Pour les configurations avancées, 

consultez Administration du serveur, qui regroupe la planification, l’installation, la configuration 

et l’administration du serveur en général. Une série de guides supplémentaires, 

énumérés ci-dessous, décrit la planification, la configuration, ainsi que la gestion 

avancée des services individuels. Vous pouvez obtenir ces guides au format PDF sur 

le site web de documentation de Mac OS X Server : 

www.apple.com/fr/server/documentation. 

Ce guide ... explique comment : 

Premiers contacts et 

Installer Mac OS X Server et le configurer pour la première fois. 

Feuille d’opération d’installation 

et de configuration 

Administration de ligne 

de commande 

Administration des services 

de fichier 

Administration du service iCal 

Installer, configurer et gérer Mac OS X Server à l’aide de fichiers 

de configuration et d’outils en ligne de commande UNIX. 

Partager certains volumes ou dossiers de serveur entre les clients 

du serveur, à l’aide des protocoles AFP, NFS, FTP et SMB. 

Configurer et gérer le service de calendrier partagé d’iCal. 

Préface À propos de ce guide 13

Ce guide ... explique comment : 

Administration du service iChat 

Configuration de la sécurité 

de Mac OS X 

Configuration de la sécurité 

de Mac OS X Server 

Administration du service 

de messagerie 

Administration des services 

de réseau 

Administration d’Open Directory 

Administration de Podcast Producer 

Administration du service 

d’impression 

Administration de QuickTime 

Streaming et Broadcasting 

Administration du serveur 

Administration de Mise à jour 

de logiciels et d’Imagerie système 

Mise à niveau et migration 

Gestion des utilisateurs 

Administration des 

technologies web 

Informatique à haute performance 

et administration Xgrid 

Glossaire Mac OS X Server 

Configurer et gérer le service de messagerie instantanée d’iChat. 

Renforcer la sécurité des ordinateurs (clients) Mac OS X, comme 

l’exigent les entreprises et les organismes publics. 

Renforcer la sécurité de Mac OS X Server et de l’ordinateur sur lequel 

il est installé, comme l’exigent les entreprises et les organismes publics. 

Configurer et gérer les services de messagerie IMAP, POP et SMTP 

sur le serveur. 

Installer, configurer et administrer les services DHCP, DNS, VPN, NTP, 

coupe-feu IP, NAT et RADIUS sur le serveur. 

Configurer et gérer les services d’annuaire et d’authentification 

et configurer les clients autorisés à accéder aux services d’annuaire. 

Configurer et gérer le service Podcast Producer destiné à enregistrer, 

traiter et distribuer des podcasts. 

Héberger les imprimantes partagées et gérer les files d’attente 

et travaux d’impression associés. 

Capturer et encoder du contenu QuickTime. Configurer et gérer 

le service QuickTime Streaming en vue de diffuser des données 

multimédias en temps réel ou à la demande. 

Mettre en place l’installation et la configuration avancées du logiciel 

serveur et gérer des options qui s’appliquent à plusieurs services 

ou à l’intégralité du serveur. 

Utiliser NetBoot, NetInstall et Mise à jour de logiciels pour automatiser 

la gestion du système d’exploitation et des autres logiciels 

utilisés par les ordinateurs clients. 

Utiliser des réglages de données et de services correspondant 

à une version antérieure de Mac OS X Server ou de Windows NT. 

Créer et gérer des comptes utilisateur, des groupes et des ordinateurs. 

Configurer les préférences gérées des clients Mac OS X. 

Configurer et gérer des technologies web telles que les blogs, 

WebMail, wiki, MySQL, PHP, Ruby on Rails (RoR) et WebDAV. 

Configurer et gérer des grappes de calcul de systèmes Xserve 

et d’ordinateurs Mac. 

Savoir à quoi correspondent les termes utilisés pour les produits 

de serveur et les produits de stockage. 


Affichage des guides PDF à l’écran 

Lorsque vous lisez la version PDF d’un guide à l’écran, vous pouvez : 

Â Afficher les signets pour visualiser le plan du guide et cliquer sur un signet pour 

accéder directement à la section correspondante. 

Â Rechercher un mot ou une phrase pour afficher une liste des endroits où ce mot ou 

cette phrase apparaît dans le document. Cliquez sur un de ces endroits pour afficher 

la page correspondante. 

Â Cliquer sur une référence croisée pour accéder directement à la rubrique référencée. 

Cliquer sur un lien pour visiter le site web à partir de votre navigateur. 

Impression des guides PDF 

Si vous devez imprimer un guide, procédez comme suit pour économiser du papier 

et de l’encre : 

Â Économisez de l’encre ou du toner en évitant d’imprimer la couverture. 

Â Si vous disposez d’une imprimante couleur, économisez de l’encre en choisissant 

une option d’impression en niveaux de gris ou en noir et blanc dans une des sections 

de la zone de dialogue Imprimer. 

Â Réduisez le volume du document imprimé et économisez du papier en imprimant 

plusieurs pages par feuille. Dans la zone de dialogue Imprimer, réglez Échelle sur 115 % 

(155 % pour Premiers contacts). Choisissez ensuite Mise en page dans le menu local sans 

titre. Si votre imprimante prend en charge l’impression recto verso (duplex), sélectionnez 

l’une des options proposées. Sinon, choisissez 2 dans le menu local Pages par feuille et, 

si vous le souhaitez, Simple extra fine dans le menu Bordure. (Si vous utilisez Mac OS X 

10.4 ou antérieur, le réglage Échelle se trouve dans la zone de dialogue Format d’impression 

et les réglages relatifs à la mise en page dans la zone de dialogue Imprimer.) 

Il peut s’avérer utile d’agrandir les pages imprimées même si vous n’imprimez pas en 

recto verso, car la taille des pages PDF est inférieure à celle du papier d’imprimante standard. 

Dans la zone de dialogue Imprimer ou dans la zone de dialogue Format d’impression, 

essayez de régler Échelle sur 115 % (155 % pour Premiers contacts qui possède des 

pages de la taille d’un CD). 

Obtenir des mises à jour de documentation 

Apple publie régulièrement des pages d’aide révisées ainsi que de nouvelles éditions 

de ses guides. Certaines pages d’aide révisées sont des mises à jour des dernières éditions 

de ces guides. 

Â Pour afficher les nouvelles rubriques d’aide à l’écran d’une application de serveur, 

assurez-vous que votre serveur ou votre ordinateur administrateur est connecté à 

Internet et cliquez sur le lien des dernières rubriques d’aide ou de mise à jour dans 

la page d’aide principale de l’application. 

Préface À propos de ce guide 15

Â Pour télécharger les guides les plus récents au format PDF, rendez-vous sur le site 

web de documentation sur Mac OS X Server à l’adresse : 

www.apple.com/fr/server/documentation/ 

Pour obtenir des informations supplémentaires 

Pour plus d’informations, consultez les ressources suivantes : 

Â Documents Ouvrez-moi : mises à jour importantes et informations spécifiques. 

Recherchez-les sur les disques du serveur. 

Â Site web de Mac OS X Server (www.apple.com/fr/server/macosx) : passerelle vers 

des informations détaillées sur de nombreux produits et technologies. 

Â Site web de service et d’assistance Mac OS X Server 

(www.apple.com/fr/support/macosxserver) : accès à des centaines d’articles 

du service d’assistance d’Apple. 

Â Site web de formation d’Apple (www.apple.com/fr/training) : cours dirigés par un professeur 

et autoformations pour affiner vos compétences en matière d’administration de serveur. 

Â Groupes de discussions Apple, (discussions.apple.com) : un moyen de partager 

questions, connaissances et conseils avec d’autres administrateurs. 

Â Site web des listes d’envoi Apple, (www.lists.apple.com) : abonnez-vous à des listes d’envoi 

afin de pouvoir communiquer par courrier électronique avec d’autres administrateurs. 

Â Site web d’OpenLDAP (www.openldap.org) : découvrez le logiciel open source utilisé 

par Open Directory pour fournir le service de répertoires LDAP. 

Â Site Web de Kerberos du MIT (web.mit.edu/kerberos/www/) : obtenez des informations 

élémentaires et des spécifications sur les protocoles utilisés par Open 

Directory pour fournir une authentification par signature unique robuste. 

Â Site web de Berkeley DB (www.oracle.com/database/berkeley-db/) : consultez les 

descriptions de fonctionnalités et la documentation technique relatives à la base 

de données open source qu’Open Directory utilise pour stocker les données des 

répertoires LDAP. 

Â RFC3377, “Lightweight Directory Access Protocol (v3): spécification technique” 

(www.rfc-editor.org/rfc/rfc3377.txt) : accédez à huit autres documents RFC (Request 

for Comment) qui contiennent des informations d’ensemble et des spécifications 

détaillées sur le protocole LDAPv3. 


1 Connexion 

de votre réseau 

à Internet 

1 

Utilisez Assistant réglages passerelle pour vous guider dans 

la configuration initiale de votre serveur comme passerelle 

entre votre réseau privé et Internet. 

Assistant réglages passerelle vous guide dans la configuration de votre serveur de 

façon à le connecter à Internet. Les modifications ultérieures à la configuration du 

service se font à l’aide d’Admin Serveur. Pour obtenir des instructions sur les services 

réseau, consultez la section correspondante dans le présent manuel. 

À propos d’Assistant réglages passerelle 

Assistant réglages passerelle vous aide à configurer rapidement et simplement 

Mac OS X Server 10.5 de façon à partager votre connexion Internet avec votre réseau 

local. Une fois que vous avez configuré certains réglages, l’assistant peut commencer 

le partage de la connexion au serveur. 

Selon vos choix en matière de configuration, l’assistant effectue les opérations suivantes 

lors de la configuration du serveur : 

Â Il assigne au serveur une adresse IP statique par interface réseau interne. 

L’adresse assignée est 192.168.x.1. La valeur de x est déterminée par l’ordre de l’interface 

réseau dans la sous-fenêtre Préférences de système de réseau. Par exemple, pour 

la première interface de la liste, x est égal à 0, pour la seconde interface, x est égal à 1. 

Â Il active DHCP pour l’allocation d’adresses sur le réseau interne en supprimant 

les sous-réseaux DHCP existants. 

Â Il désactive certaines adresses internes (192.168.x.x) pour l’utilisation de DHCP. 

Lorsque VPN n’est pas démarré, chaque interface peut allouer des adresses allant 

de 192.168.x.2 à 192.168.x.254. 

Â (Facultatif) Il active VPN de façon à autoriser les clients externes autorisés à se connecter 

au réseau local. 

Lorsque VPN L2TP est activé, vous devez saisir le secret partagé (la phrase clé) 

que les connexions client devront utiliser. 

17

Â Il désactive certaines adresses internes (192.168.x.x) pour l’utilisation de VPN. 

Si VPN est sélectionné, la moitié des adresses IP allouées dans la plage d’adresses 

DHCP sont réservées pour les connexions VPN. Les adresses 192.168.x.128 à 

192.168.x.254 sont allouées aux connexions VPN. 

Â Il active le coupe-feu de façon à améliorer la sécurisation du réseau interne. 

Des groupes d’adresses autorisant tout le trafic à partir des plages d’adresses DHCP 

nouvellement crées vers toute adresse de destination sont ajoutés pour chaque 

interface de réseau interne. 

Â Il active la traduction des adresses réseau (en anglais « Network Address Translation » 

ou « NAT ») sur le réseau interne et ajoute une règle de déviation NAT au coupe-feu 

IP pour diriger le trafic réseau vers l’ordinateur qui convient. Cela protège aussi 

le réseau interne contre les connexions externes non autorisées. 

Â Il active DNS sur le serveur, configuré de façon à mettre les recherches en cache afin 

d’améliorer la réponse DNS pour les clients internes. 

Avant de configurer ces réglages, vous pouvez passer en revue les modifications proposées 

avant de les utiliser et d’écraser les réglages existants. 

Les modifications ultérieures à la configuration du service se font à l’aide d’Admin Serveur. 

Pour des informations sur les services réseau, consultez la section correspondante dans 

le présent manuel. 

Si vous exécutez à nouveau Assistant réglages passerelle, il écrase les réglages manuels 

que vous avez faits. 

Exécution de l’Assistant réglages passerelle 

Assistant réglages passerelle se lance dans la sous-fenêtre Vue d’ensemble du service 

NAT d’Admin Serveur. 

Pour lancer Assistant réglages passerelle : 

1 Ouvrez Admin Serveur et connectez-vous au serveur. 

2 Cliquez sur Réglages, puis sur Services. 

3 Cochez la case NAT, puis cliquez sur Enregistrer. 

4 Cliquez sur le triangle situé à gauche du serveur. 

La liste des services apparaît. 

5 Dans la liste Serveurs développée, sélectionnez NAT. 

6 Cliquez sur Vue d’ensemble. 

7 Cliquez sur Assistant réglages de passerelle. 

18 Chapitre 1 Connexion de votre réseau à Internet

8 Suivez les instructions de l’assistant, cliquez sur Continuer après chaque page, lisez 

attentivement le résumé de configuration final et assurez-vous que les réglages sont 

corrects avant de finaliser la configuration. 

AVERTISSEMENT : bien que vous puissiez utiliser l’Assistant de configuration de service 

pour configurer des serveurs distants, vous pourriez couper votre accès au serveur 

distant en tant qu’administrateur par accident. 

Connexion d’un réseau local câblé à Internet 

Vous pouvez utiliser l’Assistant réglages passerelle pour connecter un réseau local câblé 

à Internet. Votre réseau local peut être composé d’un nombre quelconque d’ordinateurs 

connectés les uns aux autres par des concentrateurs et des commutateurs Ethernet, 

mais le réseau local doit avoir un point de contact avec Internet (la passerelle). 

Votre passerelle dispose d’une connexion à Internet et d’une connexion au réseau local. 

Tous les autres ordinateurs accèdent à Internet par la passerelle. Vous pouvez configurer 

votre serveur Mac OS X comme passerelle vers Internet, mais celui-ci doit disposer 

de deux ports Ethernet (en0 et en1). Ethernet en0 doit être connecté à Internet et en1 

au réseau local. 

Une fois fait, les ordinateurs du réseau local : 

Â peuvent obtenir des adresses IP et des réglages réseau configurés par DHCP ; 

Â peuvent accéder à Internet si la passerelle est connectée à Internet ; 

Â ne sont pas accessibles par des connexions réseau non autorisées provenant 

d’Internet ; 

Â sont accessibles par Internet par les clients VPN autorisés (si VPN est configuré) ; 

Â peuvent bénéficier de la mise en cache des recherches DNS dans la passerelle, 

ce qui accélère la résolution DNS. 

Pour connecter un réseau local câblé à Internet : 

1 Branchez la connexion à Internet au port Ethernet 1 (en0). 

2 Branchez la connexion à votre réseau local au port Ethernet 2 (en1). 



5 Cochez la case NAT. 

6 Cliquez sur Enregistrer. 




Chapitre 1 Connexion de votre réseau à Internet 19

9 Cliquez sur Vue d’ensemble, puis cliquez sur Assistant réglages de passerelle. 

10 Cliquez sur Continuer. 

Si votre serveur dispose de configurations DHCP, DNS, NAT et VPN existantes, vous êtes 

invité à écraser ces configurations. Si vous voulez écraser les configurations existantes, 

cliquez sur Écraser pour continuer. 

11 Dans le menu local Interface WAN vers la passerelle, sélectionnez Ethernet 1 (en0) 

comme interface WAN, puis cliquez sur Continuer. 

12 Dans la liste des interfaces réseau, cochez la case Ethernet 2 de votre interface LAN, 

puis cliquez sur Continuer. 

Votre interface LAN est celle qui est connectée à votre réseau local. Tous les ordinateurs 

du réseau local partagent la connexion Internet du serveur par l’interface WAN du serveur. 

Si votre serveur dispose de plus d’une interface (port Ethernet 2, port Ethernet 3, etc.), 

sélectionnez celles que vous voulez activer. 

13 (Facultatif) Si vous voulez faire de votre serveur passerelle un point d’entrée VPN vers 

votre réseau local, cochez la case Activer VPN pour ce serveur. 

Si vous activez VPN, vous devez disposer d’un secret partagé. Un secret partagé est une 

phrase clé que les utilisateurs doivent fournir pour se connecter de façon sécurisée à la 

passerelle VPN. Il doit s’agir d’une phrase clé très sûre, pas du mot de passe d’un utilisateur 

ou administrateur du serveur de passerelle. 

Pour définir une phrase clé très sûre, utilisez Assistant mot de passe dans Préférences 

de comptes. Pour en savoir plus, consultez la rubrique Configuration de la sécurité de 

Mac OS X Server. 

Pour plus d’informations, consultez le chapitre 6, « Utilisation du service VPN ». 


15 Vérifiez et confirmez votre configuration. 


NAT et tous les services qui en dépendent sont configurés et démarrés. 

17 Cliquez sur Fermer. 

Options 

Vous pouvez affiner les réglages de cette configuration de base, mais toute configuration 

supplémentaire se fait dans Admin Serveur. 

Par exemple, vous pouvez utiliser Admin Serveur pour assigner des adresses IP 

à certains ordinateurs. Pour ce faire, ajoutez des mappages d’adresses statiques 

dans les réglages relatifs au service DHCP. Pour en savoir plus, consultez le chapitre 2, 

« Utilisation du service DHCP ». 


Vous pouvez modifier des réglages relatifs au coupe-feu pour permettre des connexions 

au réseau local à partir d’Internet. Pour ce faire, modifiez les réglages relatifs au coupefeu, 

ouvrez les ports IP dont vous avez besoin et configurez la redirection de ports (en 

éditant des fichiers UNIX à la ligne de commande) pour désigner l’ordinateur du réseau 

local qui doit accepter le trafic entrant. 

Connexion d’un réseau local câblé et de clients sans fil 

à Internet 

Vous pouvez utiliser l’Assistant réglages de passerelle pour connecter un réseau local 

câblé et des clients sans fil à Internet. Votre réseau local peut être composé d’un nombre 

quelconque d’ordinateurs connectés les uns aux autres par des concentrateurs et des 

commutateurs Ethernet, mais le réseau local doit avoir un point de contact avec Internet 

(la passerelle). 

Votre réseau local doit aussi posséder une borne d’accès AirPort pour connecter 

les ordinateurs sans fil au réseau câblé. Vos clients sans fil doivent pouvoir se connecter 

au réseau sans fil de la borne d’accès AirPort pour être reliés au réseau local câblé. 

Une fois fait, les ordinateurs du réseau local et ceux connectés à la borne d’accès AirPort : 



Â ne sont pas accessibles par les connexions réseau non autorisées provenant 

de la connexion câblée vers Internet ; 




Pour connecter un réseau local câblé et de clients sans fil à Internet : 


2 Branchez la connexion à votre réseau local au port Ethernet 2 (en1). 

3 Connectez le port de la borne d’accès AirPort (le port WAN, s’il y en a deux) au réseau câblé. 

4 À l’aide d’Utilitaire AirPort, configurez la borne d’accès de façon à ce qu’elle se connecte 

par Ethernet et reçoive son adresse par DHCP. 

Vous pouvez l’ouvrir à partir du dossier /Applications/Utilitaires/. 

5 Sélectionnez votre borne d’accès, puis choisissez Configuration manuelle dans le menu 

Borne d’accès. 

6 Saisissez le mot de passe de la borne d’accès, si nécessaire. 

7 Cliquez sur Internet dans la barre d’outils, puis sur Connexion Internet. 

8 Dans le menu local Se connecter via, choisissez Ethernet. 


9 Dans le menu local Configurer IPv4, choisissez Utilisation de DHCP. 

10 Dans le menu local Partage de connexion, choisissez Désactivé (mode pont). 

11 Pour modifier des réglages relatifs à la borne d’accès, cliquez sur Mettre à jour. 










20 Comme interface WAN (Internet), désignez Ethernet 1. 

21 Comme interface LAN (partage), désignez Ethernet 2. 

Votre interface LAN est celle qui est connectée à votre réseau local. Tous les ordinateurs 

du réseau local partagent la connexion Internet du serveur par l’interface WAN du serveur. 



22 Faites éventuellement de cette passerelle un point d’entrée VPN vers votre réseau local. 




ou administrateur du serveur passerelle. 




Pour en savoir plus sur VPN, consultez le chapitre 6, « Utilisation du service VPN ». 

23 Vérifiez et confirmez les modifications. 

Options 




à certains ordinateurs. Pour ce faire, ajoutez des mappages d’adresses statiques dans 

l’onglet Réglages de la section DHCP. Pour en savoir plus, consultez le chapitre 2, 

« Utilisation du service DHCP ». 




ouvrez les ports IP dont vous avez besoin et configurez la réexpédition de ports 

dans la sous-fenêtre NAT pour désigner l’ordinateur du réseau local qui doit accepter 

le trafic entrant. 

Connexion d’un réseau local sans fil à Internet 

Connecter des clients sans fil à Internet par une passerelle Mac OS X Server offre 

les avantages suivants par rapport à l’utilisation des fonctions intégrées d’une borne 

d’accès AirPort : 

Â Contrôle du coupe-feu avancé. 

Â Allocation d’adresses IP statiques par DHCP. 

Â Mise en cache DNS. 

Â Connexions VPN entrantes vers le réseau local. 

Si vous n’avez pas besoin de ces fonctions, utilisez la borne d’accès AirPort pour connecter 

vos clients sans fil à Internet sans utiliser un serveur Mac OS X Server entre la borne d’accès 

et Internet. 

Pour profiter des fonctionnalités de la passerelle, utilisez la borne d’accès comme 

un pont entre vos clients sans fil et la passerelle. Chaque client se connecte à la borne 

d’accès et celle-ci envoie le trafic réseau au travers de la passerelle. 

Tous les clients sans fil doivent pouvoir se connecter au réseau sans fil de la borne 

d’accès AirPort pour être reliés à la passerelle. 

Une fois fait, les ordinateurs connectés à la borne d’accès AirPort : 



Â ne sont pas accessibles par les connexions réseau non autorisées provenant 

de la connexion câblée vers Internet ; 




Pour connecter un réseau local câblé et de clients sans fil à Internet : 


2 Connectez le port de la borne d’accès AirPort (le port WAN, s’il y en a deux) au port 

Ethernet 2 (en1). 

3 À l’aide d’Utilitaire AirPort, configurez la borne d’accès de façon à ce qu’elle se connecte 

par Ethernet et reçoive son adresse par DHCP. 

Vous pouvez l’ouvrir à partir du dossier /Applications/Utilitaires/. 


4 Sélectionnez votre borne d’accès, puis choisissez Configuration manuelle dans 

le menu Borne d’accès. 

5 Saisissez le mot de passe de la borne d’accès, si nécessaire. 

6 Cliquez sur Internet dans la barre d’outils, puis cliquez sur Connexion Internet. 

7 Dans le menu local Se connecter via, choisissez Ethernet. 

8 Dans le menu local Configurer IPv4, choisissez Utilisation de DHCP. 

9 Dans le menu local Partage de connexion, choisissez Désactivé (mode pont). 

10 Pour modifier des réglages relatifs à la borne d’accès, cliquez sur Mettre à jour. 










19 Comme interface WAN (Internet), désignez Ethernet intégré 1. 

20 Comme interface LAN (partage), désignez Ethernet intégré 2. 

Votre interface LAN est celle qui est connectée à votre réseau local. Les ordinateurs du 

réseau local partagent la connexion Internet du serveur par l’interface WAN du serveur. 



21 Faites éventuellement de cette passerelle un point d’entrée VPN vers votre réseau local. 




ou administrateur du serveur passerelle. 




Pour en savoir plus sur VPN, consultez le chapitre 6, « Utilisation du service VPN ». 

22 Vérifiez et confirmez les modifications. 


Options 




à certains ordinateurs. Pour ce faire, ajoutez des mappages d’adresses statiques 

dans l’onglet Réglages de la section DHCP. Pour en savoir plus, consultez le chapitre 2, 

« Utilisation du service DHCP » 



ouvrez les ports IP dont vous avez besoin et configurez la réexpédition de ports 

dans la sous-fenêtre NAT pour désigner l’ordinateur du réseau local qui doit accepter 

le trafic entrant. 


2 Utilisation 

du service DHCP 

2 

Ce chapitre décrit comment configurer et gérer le service 

DHCP dans Mac OS X Server. 

Si votre organisation possède plus de clients que d’adresses IP, vous pouvez tirer avantage 

de l’utilisation du service Dynamic Host Configuration Protocol (DHCP). Les adresses 

IP sont assignées en fonction des besoins et, quand elles ne sont plus nécessaires, 

peuvent être utilisées par d’autres clients. Vous pouvez utiliser une combinaison 

d’adresses IP statiques et dynamiques dans votre réseau. 

Le service DHCP vous permet d’administrer et de distribuer des adresses IP à des 

ordinateurs à partir de votre serveur. Lorsque vous configurez le serveur DHCP, 

vous assignez un bloc d’adresses IP pouvant être distribuées aux clients. 

Chaque fois qu’un ordinateur configuré de façon à utiliser DHCP démarre, il recherche 

un serveur DHCP sur le réseau. S’il trouve un serveur DHCP, l’ordinateur client lui demande 

une adresse IP. Le serveur DHCP cherche une adresse IP disponible et l’envoie à l’ordinateur 

accompagnée d’une durée de bail (période pendant laquelle l’ordinateur client est 

autorisé à utiliser l’adresse) et d’informations de configuration. 

Pour en savoir plus sur l’allocation statique et dynamique d’adresses IP, consultez la section 

« Avant de configurer le service DHCP » à la page 29. 

Les organisations peuvent tirer profit des fonctionnalités du service DHCP, par exemple 

la possibilité de définir les options d’ordinateurs relatives à Domain Name System (DNS) 

et au protocole Lightweight Directory Access Protocol (LDAP) sans devoir configurer 

chaque client séparément. 

Vous pouvez utiliser le module DHCP d’Admin Serveur pour : 

Â configurer et administrer le service DHCP ; 

Â créer et administrer des sous-réseaux ; 

Â configurer des options DNS, LDAP et Windows Internet Naming Service (WINS) 

pour des ordinateurs clients ; 

Â visualiser des baux d’adresses DHCP. 

27

Présentation générale de la configuration 

Voici un aperçu des principales étapes pour configurer le service DHCP. 

Remarque : si vous avez utilisé l’Assistant réglages de passerelle pour configurer les 

ports de votre serveur quand vous avez installé Mac OS X Server, certaines informations 

DHCP sont déjà configurées. Suivez les étapes de cette section pour terminer 

la configuration du service DHCP. Vous trouverez plus d’informations sur les réglages 

de chaque étape dans la section « Gestion du service DHCP » à la page 34. 

Étape 1 : Avant de commencer 

Pour connaître les points à garder à l’esprit lors de la configuration du service DHCP, 

lisez la section « Avant de configurer le service DHCP » à la page 29. 

Étape 2 : Activez le service DHCP 

Avant de configurer le service DHCP, activez-le. Consultez la rubrique « Activation du service 

DHCP » à la page 31. 

Étape 3 : Créez des sous-réseaux 

Utilisez Admin Serveur pour créer un groupe d’adresses IP partagées par les ordinateurs 

clients de votre réseau. Créez une plage d’adresses partagées par sous-réseau. 

Ces adresses sont assignées par le serveur DHCP lorsqu’un client en fait la demande. 

Consultez la rubrique « Création de sous-réseaux dans le service DHCP » à la page 32. 

Étape 4 : Configurez les réglages relatifs à l’historique DHCP 

Vous pouvez consigner les activités et les erreurs de votre service DHCP pour vous 

aider à identifier les motifs d’utilisation et les problèmes liés à votre serveur. 

Le service DHCP enregistre les messages de diagnostic dans le fichier d’historique système. 

Pour éviter que ce fichier ne devienne trop volumineux, vous pouvez supprimer 

la plupart des messages en modifiant les réglages d’historique dans la sous-fenêtre Journalisation 

des réglages relatifs au service DHCP. Consultez la rubrique « Configuration 

de réglages d’historique » à la page 33. 

Étape 5 : Démarrez le service DHCP 

Après avoir configuré le service DHCP, démarrez-le pour le rendre disponible. Consultez 

la rubrique « Démarrage du service DHCP » à la page 33. 

28 Chapitre 2 Utilisation du service DHCP

Avant de configurer le service DHCP 

La présente section fournit des informations sur la manière de créer des sous-réseaux, 

d’assigner des adresses IP statiques et dynamiques, de localiser votre serveur sur le réseau 

et d’éviter des adresses IP réservées. 

Création de sous-réseaux 

Les sous-réseaux sont des regroupements d’ordinateurs d’un réseau destinés à en simplifier 

l’administration. Vous pouvez organiser les sous-réseaux comme vous le souhaitez. 

Par exemple, vous pouvez créer des sous-réseaux pour différents groupes au sein 

de votre organisation ou pour les différents étages de votre bâtiment. 

Une fois que vous avez regroupé les ordinateurs au sein de sous-réseaux, vous pouvez 

configurer les options de tous les ordinateurs d’un sous-réseau à la fois plutôt que de 

définir les options des différents ordinateurs séparément. 

Chaque sous-réseau a besoin d’une façon de se connecter à d’autres sous-réseaux. 

Un appareil nommé routeur connecte généralement les sous-réseaux entre eux. 

Assignation dynamique d’adresses IP 

Avec l’allocation dynamique d’adresses, une adresse IP est assignée pour une période 

de temps limitée (la durée de bail) ou jusqu’à ce que l’ordinateur n’ait plus besoin de 

l’adresse IP, selon ce qui se présente en premier. 

L’utilisation de baux courts permet au protocole DHCP de réattribuer des adresses IP 

sur les réseaux comportant plus d’ordinateurs que d’adresses IP. Les baux sont renouvelés 

si l’adresse n’est plus utilisée par un autre ordinateur. 

Les adresses allouées à des clients de réseaux privés virtuels (en anglais « Virtual Private 

Network » ou « VPN ») sont distribuées comme les adresses DHCP, mais elles ne proviennent 

pas de la même plage d’adresses que les adresses DHCP. Si vous prévoyez d’utiliser 

VPN, laissez certaines adresses non allouées par DHCP pour VPN. Pour en savoir plus sur 

VPN, consultez le chapitre 6, « Utilisation du service VPN, » à la page 135. 

Utilisation d’adresses IP statiques 

Les adresses IP statiques sont assignées à un ordinateur ou un périphérique, puis ne 

changent plus. Vous pouvez assigner des adresses IP statiques à des ordinateurs connectés 

en permanence à Internet, par exemple les serveurs web. Les autres périphériques 

qui doivent être disponibles en permanence aux utilisateurs du réseau, par exemple les 

imprimantes, peuvent aussi recevoir des adresses IP statiques. 

Les adresses IP statiques peuvent être configurées manuellement en saisissant l’adresse IP 

sur l’ordinateur (ou le périphérique) auquel l’adresse est assignée ou en configurant DHCP 

de façon à assigner la même adresse à un ordinateur ou périphérique à chaque demande. 

Chapitre 2 Utilisation du service DHCP 29

Les adresses IP statiques configurées manuellement permettent d’éviter d’éventuels 

problèmes que certains services peuvent rencontrer avec les adresses assignées par 

DHCP et ne sont pas pénalisées par le délai de DHCP lors de l’assignation d’une adresse. 

Les adresses assignées par DHCP permettent d’apporter des modifications à la configuration 

des adresses directement sur le serveur DHCP plutôt que sur chaque client. 

N’incluez pas des adresses IP statiques assignées manuellement dans les plages distribuées 

par DHCP. 

Vous pouvez configurer DHCP de façon à ce qu’il assigne toujours la même adresse 

à un ordinateur. Pour en savoir plus, consultez la rubrique « Assignation d’adresses IP 

statiques à l’aide de DHCP » à la page 39. 

Localisation du serveur DHCP 

Lorsqu’un ordinateur recherche un serveur DHCP, il diffuse un message. Si votre serveur 

DHCP ne se trouve pas sur le même sous-réseau que l’ordinateur, vérifiez que les 

routeurs qui connectent vos sous-réseaux peuvent rediriger les diffusions des clients 

et les réponses du serveur DHCP. 

Un agent de relais ou routeur capable de relayer les communications BootP sur votre 

réseau fera l’affaire pour DHCP. Si vous ne disposez pas d’un moyen de relayer les 

communications BootP, placez le serveur DHCP sur le même sous-réseau que le client. 

Interaction avec d’autres serveurs DHCP 

Il se peut qu’il y ait déjà des serveurs DHCP sur votre réseau, par exemple des bornes 

d’accès AirPort. 

Mac OS X Server peut coexister avec d’autres serveurs DHCP tant que chaque serveur 

DHCP utilise un groupe d’adresses IP unique. Il se peut toutefois que vous souhaitiez 

que votre serveur DHCP fournisse une adresse de serveur LDAP pour l’autoconfiguration 

des clients dans les environnements gérés. 

Comme les bornes d’accès AirPort ne peuvent pas fournir d’adresse de serveur LDAP, si 

vous voulez utiliser l’autoconfiguration, vous devez configurer les borne d’accès AirPort 

en mode pont Ethernet et faire fournir le service DHCP par Mac OS X Server. 

Si les bornes d’accès AirPort sont sur des sous-réseaux différents, vos routeurs doivent 

être configurés de façon à rediriger les diffusions des clients et les réponses du serveur 

DHCP comme décrit plus haut. 

Pour que les bornes d’accès AirPort disposent du service DHCP, vous devez saisir les 

adresses de serveur LDAP des ordinateurs manuellement. Vous ne pouvez pas utiliser 

l’autoconfiguration des clients. 


Utilisation de plusieurs serveurs DHCP sur un réseau 

Il peut y avoir plusieurs serveurs DHCP sur le même réseau. Ils doivent toutefois être 

configurés correctement pour éviter des interférences entre eux. Chaque serveur doit 

disposer de son propre groupe unique d’adresses IP à distribuer. 

Assignation d’adresses IP réservées 

Certaines adresses IP ne peuvent pas être assignées, notamment les adresses réservées 

pour le rebouclage et la diffusion. Votre fournisseur d’accès à Internet ne vous assignera 

pas ces adresses. Si vous tentez de configurer DHCP de façon à utiliser ces adresses, vous 

serez averti que ces adresses ne sont pas valides et serez invité à saisir des adresses valides. 

Obtention d’informations supplémentaires sur le processus DHCP 

Mac OS X Server utilise un processus démon nommé bootpd chargé de l’allocation 

d’adresses du service DHCP. Pour en savoir plus sur bootpd et ses options de configuration 

avancées, consultez la page man de bootpd. 

Activation du service DHCP 

Avant de pouvoir configurer les réglages DHCP, vous devez activer le service DHCP 

dans Admin Serveur. 

Pour activer le service DHCP : 


2 Cliquez sur Réglages. 

3 Cliquez sur Services. 

4 Cochez la case DHCP. 


Configuration du service DHCP 

Configurez le service DHCP en configurant les éléments suivants dans Admin Serveur : 

Â Sous-réseau. Créez un groupe d’adresses IP partagées par des ordinateurs 

de votre réseau. 

Â Niveau d’historique. Configurez le niveau d’historique des événements DHCP. 

Les sections qui suivent décrivent les tâches requises pour la configuration de ces réglages. 

La section finale indique comme démarrer le service DHCP une fois que vous avez fini. 


Création de sous-réseaux dans le service DHCP 

Les sous-réseaux sont des regroupements, sur un même réseau, d’ordinateurs organisés 

par emplacement (par exemple, selon les différents étages d’un bâtiment) ou par l’emploi 

des ressources (par exemple, tous les étudiants en classe de seconde). Au moins une 

plage d’adresses IP est assignée à chaque sous-réseau. 

Pour créer un sous-réseau : 




3 Dans la liste Serveurs développée, sélectionnez DHCP. 

4 Cliquez sur Sous-réseaux. 

5 Cliquez sur le bouton Ajouter (+). 

6 Saisissez un nom parlant pour le nouveau sous-réseau. 

7 Saisissez une adresse IP de début et de fin pour la plage du sous-réseau. 

Les adresses doivent être consécutives et ne peuvent pas chevaucher d’autres plages 

de sous-réseau. 

8 Saisissez le masque de sous-réseau de la plage d’adresses réseau. 

9 Dans le menu local, sélectionnez l’interface réseau qui hébergera le service DHCP. 

10 Saisissez l’adresse IP du routeur de ce sous-réseau. 

Si le serveur que vous configurez est le routeur du sous-réseau, saisissez l’adresse IP 

du réseau local de ce serveur comme adresse du routeur. 

11 Définissez une durée de bail en heures, jours, semaines ou mois. 

12 Si vous voulez définir des informations DNS, LDAP ou WINS pour ce sous-réseau, saisissez-les 

maintenant. 

Pour plus d’informations, consultez les sections « Configuration du serveur DNS d’un 

sous-réseau DHCP » à la page 36, « Configuration des options LDAP d’un sous-réseau » 

à la page 37 et « Configuration des options WINS d’un sous-réseau » à la page 37. 


14 Pour activer le sous-réseau, cochez la case Activer. 



Configuration de réglages d’historique 

Vous pouvez choisir le niveau de détail des historiques du service DHCP : 

Â Faible (erreurs uniquement) : indique les conditions pour lesquelles vous devez prendre 

une mesure immédiate (par exemple, si le serveur DHCP ne peut pas démarrer). 

Ce niveau correspond à la signalisation bootpd en mode silencieux avec le drapeau « -q ». 

Â Moyen (erreurs et messages) : vous averti des conditions dans lesquelles les données 

sont incohérentes mais sans que cela n’empêche le serveur DHCP de fonctionner. 

Ce niveau correspond à la signalisation bootpd par défaut. 

Â Élevé (tous les événements) : enregistre toutes les activités du service DHCP, y compris 

les fonctions de routine. Ce niveau correspond à la signalisation bootpd en mode 

détaillé avec le drapeau « -v ». 

Pour configurer le niveau de détail d’historique : 






5 Dans le menu local Niveau d’historique, sélectionnez l’option de journalisation souhaitée. 


Démarrage du service DHCP 

Il faut démarrer le service DHCP pour fournir des adresses IP aux utilisateurs. Vous devez 

avoir créé et activé au moins un sous-réseau. 

Pour démarrer le service DHCP : 





4 Cliquez sur le bouton Démarrer DHCP (sous la liste Serveurs). 

Si le service de coupe-feu est en service, un avertissement vous demandant de vérifier 

que tous les ports utilisés par DHCP sont ouverts s’affiche. Cliquez sur OK. 

Le service reste actif jusqu’à ce que vous l’arrêtiez. Il redémarre lorsque votre serveur 

redémarre. 

À partir de la ligne de commande 

Vous pouvez également démarrer le service DHCP à l’aide de la commande serveradmin 

dans Terminal. Pour plus d’informations, consultez le chapitre sur les services de fichiers 

du guide Administration de ligne de commande. 


Gestion du service DHCP 

La présente section décrit comment configurer et gérer le service DHCP sousMac OS X 

Server. Cela couvre le démarrage du service, la création de sous-réseaux et la configuration 

de réglages facultatifs, par exemple LDAP ou DNS pour un sous-réseau. 

Arrêt du service DHCP 

Lorsque vous démarrez ou arrêtez DHCP, il faut avoir créé et activé au moins un sous-réseau. 

Pour arrêter le service DHCP : 





4 Cliquez sur le bouton Arrêter DHCP (sous la liste Serveurs). 

5 Cliquez sur Arrêter. 

Modification de réglages de sous-réseau dans le service DHCP 

Utilisez Admin Serveur pour modifier des réglages de sous-réseau DHCP. Vous pouvez 

modifier la plage d’adresses IP, le masque de sous-réseau, l’interface réseau, le routeur 

et la durée de bail. 

Pour modifier des réglages de sous-réseau : 






5 Sélectionnez un sous-réseau. 

6 Apportez les modifications souhaitées. 

Ces modifications peuvent être l’ajout d’informations DNS, LDAP ou WINS. Vous pouvez 

également redéfinir des plages d’adresses ou rediriger l’interface réseau qui répond aux 

demandes DHCP. 


Si DHCP est en service, vous êtes invité à redémarrer DHCP pour que vos modifications 

soient prises en compte. À défaut, vos modifications ne seront prises en compte que 

lors du redémarrage de DHCP. 


Suppression de sous-réseaux du service DHCP 

Vous pouvez supprimer des sous-réseaux et des plages d’adresses IP de sous-réseau 

afin qu’elles ne soient plus distribuées aux ordinateurs. 

Pour supprimer des sous-réseaux ou des plages d’adresses : 







6 Cliquez sur le bouton Supprimer (–). 




lors du prochain redémarrage de DHCP. 

Désactivation temporaire de sous-réseaux 

Vous pouvez désactiver temporairement un sous-réseau sans perdre ses réglages. Aucune 

adresse IP de la plage du sous-réseau n’est alors distribuée à aucun ordinateur sur l’interface 

sélectionnée jusqu’à ce que vous réactiviez le sous-réseau. 

Pour désactiver un sous-réseau : 






5 Décochez la case Activer en regard du sous-réseau que vous voulez désactiver. 






Modification des durées de bail d’adresse IP d’un sous-réseau 

Vous pouvez modifier la durée pendant laquelle les ordinateurs peuvent disposer 

des adresses IP sur un sous-réseau. 

Pour modifier la durée de bail d’un sous-réseau : 







6 Dans le menu local Durée de bail, sélectionnez un laps de temps (heures, jours, semaines 

ou mois). 

7 Dans le champ Durée de bail, saisissez un nombre. 





Configuration du serveur DNS d’un sous-réseau DHCP 

Vous pouvez spécifier les serveurs DNS et le nom de domaine par défaut qu’un sous-réseau 

doit utiliser. Le service DHCP fourni ces informations aux ordinateurs du sous-réseau. 

Pour définir les options DNS d’un sous-réseau : 







6 Cliquez sur DNS. 

7 Saisissez l’adresse IP des serveurs de noms principal et secondaire que les clients DHCP 

doivent utiliser. 

8 Saisissez le domaine par défaut du sous-réseau. 






Configuration des options LDAP d’un sous-réseau 

Vous pouvez utiliser DHCP pour fournir automatiquement à vos clients des informations 

sur le serveur LDAP plutôt que de configurer manuellement les informations LDAP 

sur chaque client. L’ordre dans lequel les serveurs LDAP apparaissent dans la liste détermine 

l’ordre de recherche dans la politique de recherche Open Directory automatique. 

Si vous utilisez ce serveur Mac OS X Server comme maître LDAP, les informations de 

configuration nécessaires sont proposées par défaut dans les options LDAP. Si votre serveur 

maître LDAP est un autre ordinateur, vous devez connaître le nom de domaine ou 

l’adresse IP de la base de données LDAP que vous souhaitez utiliser ainsi que la base de 

recherche LDAP. 

Pour définir les options LDAP d’un sous-réseau : 







6 Cliquez sur LDAP. 

7 Saisissez le nom de domaine ou l’adresse IP du serveur LDAP de ce sous-réseau. 

8 Saisissez la base de recherche pour les recherches LDAP. 

9 Si vous utilisez un port non standard, saisissez le numéro du port LDAP. 

10 Si nécessaire, sélectionnez LDAP via SSL. 

Utilisez cette option pour sécuriser les communications LDAP. 





Configuration des options WINS d’un sous-réseau 

Vous pouvez donner plus d’informations aux ordinateurs sous Windows d’un sousréseau 

en ajoutant des réglages propres à Windows aux données de configuration 

réseau fournies par DHCP. Ces réglages propres à Windows permettent aux clients 

Windows de parcourir leur voisinage réseau. 

Vous devez connaître le nom de domaine ou l’adresse IP des serveurs Windows Internet 

Naming Service/NetBIOS Name Server (WINS/NBNS) principal et secondaire (il s’agit 

généralement de l’adresse IP du serveur DHCP) ainsi que le type de nœud NetBIOS sur 

TCP/IP (NBT). 


Types de nœud possibles : 

Â Hybride (nœud-h) : consulte le serveur WINS puis diffuse. 

Â Homologue (nœud-p) : consulte le serveur WINS pour la résolution du nom. 

Â Diffusion (nœud-b) : diffuse pour la résolution du nom (le plus fréquemment utilisé). 

Â Mélangé (nœud-m) : diffuse pour la résolution du nom puis consulte le serveur WINS. 

Le serveur NetBIOS Datagram Distribution (NBDD) utilise NBNS pour router les datagrammes 

vers les ordinateurs qui se trouvent sur un autre sous-réseau. 

L’identifiant d’étendue NetBIOS isole la communication NetBIOS sur un réseau. L’identifiant 

d’étendue NetBIOS est ajouté à la fin du nom NetBIOS de l’ordinateur. Tous les ordinateurs 

qui portent le même identifiant d’étendue NetBIOS peuvent communiquer. 

Le serveur NBDD et l’identifiant d’étendue NetBIOS ne sont généralement pas utilisés, 

mais il se peut que vous deviez les utiliser si la configuration de vos clients Windows 

et l’infrastructure réseau Windows l’exigent. 

Pour définir des options WINS pour un sous-réseau : 







6 Cliquez sur WINS. 

7 Saisissez le nom de domaine ou l’adresse IP des serveurs WINS/NBNS principal 

et secondaire de ce sous-réseau. 

8 Saisissez le nom de domaine ou l’adresse IP du serveur NBDD pour ce sous-réseau. 

9 Dans le menu local, sélectionnez le type de nœud NBT. 

10 Saisissez l’identifiant d’étendue NetBIOS. 






Assignation d’adresses IP statiques à l’aide de DHCP 

Vous pouvez assigner la même adresse aux mêmes ordinateurs. Cela aide à simplifier 

la configuration lors de l’utilisation de DHCP et vous permet de disposer de serveurs 

ou de services statiques. 

Pour qu’un ordinateur conserve la même adresse IP, vous devez connaître l’adresse 

Ethernet de l’ordinateur (on parle aussi d’adresse MAC or d’adresse matérielle). 

Chaque interface réseau a sa propre adresse Ethernet. 

Si un ordinateur est connecté à un réseau câblé et à un réseau sans fil, il utilise 

une adresse Ethernet différente pour chacune des connexions réseau. 

Pour assigner des adresses IP statiques : 





4 Cliquez sur Cartes statiques. 

5 Cliquez sur Ajouter un ordinateur. 

6 Saisissez le nom de l’ordinateur. 

7 Dans la liste Interfaces réseau, cliquez sur la colonne pour saisir les informations suivantes : 

Adresse MAC de l’ordinateur qui a besoin d’une adresse statique. 

Adresse IP que vous voulez assigner à l’ordinateur. 

8 Si votre ordinateur dispose d’autres interfaces réseau qui nécessitent une adresse IP 

statique, cliquez sur le bouton Ajouter (+) et saisissez l’adresse IP que vous voulez 

assigner à chacune des interfaces. 

9 Cliquez sur OK. 





Suppression ou modification de mappages d’adresses statiques 

Vous pouvez modifier les mappages statiques ou les supprimer si nécessaire. 

Pour modifier le mappage d’adresses statique : 






4 Cliquez sur Cartes statiques. 

5 Sélectionnez le mappage à modifier ou supprimer. 

6 Cliquez sur le bouton Modifier ou Supprimer. 

Si vous modifiez le mappage, apportez les modifications souhaitées, puis cliquez sur OK. 


Si DHCP tourne, vous êtes invité à redémarrer DHCP pour que vos modifications soient 

prises en compte. À défaut, vos modifications ne seront prises en compte que lors du 

prochain redémarrage de DHCP. 

Surveillance du service DHCP 

Vous pouvez utiliser les méthodes suivantes pour surveiller et dépanner le service DHCP : 

Â Surveiller les ordinateurs qui utilisent le service en affichant la liste des clients. 

Â Surveiller les fichiers d’historique générés par le service. 

Â Utiliser les historiques du service pour résoudre des problèmes de réseau. 

Les sections qui suivent décrivent ces aspects du service DHCP. 

Vérification de l’état du service DHCP 

La vue d’ensemble de l’état affiche le résumé suivant du service DHCP. 

Â Si le service est en cours d’exécution. 

Â Le nombre de clients dont il dispose. 

Â Quand le service a été démarré. 

Â Le nombre d’adresses IP qui sont assignées de façon statique à partir de vos sous-réseaux. 

Â Quand la base de données client a été mise à jour pour la dernière fois. 

Pour afficher l’état du service DHCP : 





4 Cliquez sur Vue d’ensemble pour savoir si le service est en cours d’exécution, quand 

il a été démarré, le nombre de clients connectés et quand la base de données a été 

mise à jour pour la dernière fois. 


Affichage d’entrées d’historique DHCP 

Si vous avez activé la journalisation pour le service DHCP, vous pouvez consulter 

l’historique système à la recherche d’erreurs DHCP. 

L’historique présenté correspond au contenu du fichier system.log filtré pour bootpd. 

Utilisez le champ Filtre pour rechercher des entrées particulières. 

Pour afficher des entrées d’historique DHCP : 





4 Cliquez sur Historique. 

5 Pour rechercher des entrées, utilisez le champ Filtrer (dans l’angle supérieur droit). 

Affichage de la liste des clients DHCP 

La fenêtre Clients DHCP affiche les informations suivantes sur chaque client : 

Â L’adresse IP assignée au client. 

Â Le nombre de jours de durée de bail restants (ou le nombre d’heures et minutes, 

s’il reste moins de 24 heures)..... 

Â L’identifiant du client DHCP (il est généralement identique à l’adresse matérielle). 

Â Le nom de l’ordinateur. 

Â L’adresse matérielle. 

Pour afficher la liste des clients DHCP : 





4 Cliquez sur Clients. 

Pour trier la liste selon différents critères, cliquez sur un en-tête de colonne. 

Configurations réseau courantes qui utilisent DHCP 

La section qui suit contient des exemples de configurations DHCP pour différents 

usages de réseau. Il y a, par exemple, une configuration pour un groupe de travail, 

une configuration pour un laboratoire d’étudiants et une configuration pour un café. 

Lorsque vous configurez un réseau privé, vous choisissez des adresses IP dans les blocs 

d’adresses IP réservées par l’Internet Assigned Numbers Authority (IANA) destinées aux 

intranets privés : 


Â 10.0.0.0–10.255.255.255 (préfixe 10/8) 

Â 172.16.0.0–172.31.255.255 (préfixe 172.16/12) 

Â 192.168.0.0–192.168.255.255 (préfixe 192.168/16) 

Attribution via DHCP d’adresses IP à des ordinateurs derrière une passerelle NAT 

Vous pouvez utiliser DHCP pour attribuer des adresses IP à des ordinateurs qui se trouvent 

derrière une passerelle Network Address Translation (NAT). 

Bien que cela ne soit pas strictement nécessaire (car NAT peut être utilisé avec des adresses 

IP statiques au lieu de DHCP), cela permet une configuration aisée des ordinateurs. 

Pour en savoir plus, consultez la rubrique « Liaison d’un réseau local à Internet par 

une adresse IP » à la page 128. 

Configuration pour un groupe de travail 

Imaginez un groupe de travail possédant son propre groupe d’adresses DHCP. Il peut 

y avoir une imprimante connectée à un réseau IP, un serveur de fichiers et un serveur 

Open Directory (sur le réseau ou pas) pour la gestion des utilisateurs. 

Pour utiliser DHCP dans cette configuration, vous devez disposer des éléments suivants : 

Â Coupe-feu configuré et opérationnel qui permet les connexions LDAP et d’imprimante 

(impression IP). 

Pour en savoir plus, consultez le chapitre 4, « Utilisation du service de coupe-feu ». 

Â Serveur Open Directory ou LDAP configuré et opérationnel sur lequel des utilisateurs 

sont définis. 

Pour plus d’informations, consultez les sections Administration d’Open Directory 

et Gestion des utilisateurs. 

Dans cet exemple, la configuration de DHCP implique le mappage d’adresses IP 

statiques et des réglages clients réseaux supplémentaires. Exemple de configuration: 

Â Pour une imprimante devant recevoir une adresse IP statique, assurez-vous que la 

plage d’adresses DHCP allouées ne contient pas l’adresse IP réellement statique de 

l’imprimante. Si l’imprimante peut être configurée de façon à accepter une adresse 

par DHCP, ne vous inquiétez pas pour un éventuel chevauchement. 

Pour en savoir plus, consultez la rubrique « Utilisation d’adresses IP statiques » à la page 29. 

Â Pour un serveur de fichiers devant toujours recevoir la même adresse, utilisez le mappage 

IP statique de Mac OS X Server pour toujours assigner la même adresse IP à son 

adresse Ethernet. 

Pour en savoir plus, consultez la rubrique « Assignation d’adresses IP statiques à l’aide 

de DHCP » à la page 39. 

Â Concernant la configuration DHCP, définissez les options LDAP des clients DHCP. Cela 

donne automatiquement aux ordinateurs les informations de répertoire dont ils ont 

besoin. 


Pour en savoir plus, consultez la rubrique « Configuration des options LDAP d’un 

sous-réseau » à la page 37. 

Â Pour la configuration des clients sur des ordinateurs clients Mac OS X, assurez-vous 

que la méthode de configuration IPv4 dans la sous-fenêtre Réseau des Préférences 

Système est définie sur DHCP. 

Cette configuration permet aux ordinateurs d’être gérés par un serveur LDAP ou Open 

Directory en obtenant leurs informations de configuration réseau par DHCP. Ils peuvent 

avoir accès par une adresse IP réellement statique ou par des adresses IP assignées en 

permanence sur le même réseau. Cela permet également de centraliser la configuration 

de tous les ordinateurs. 

Configuration d’un laboratoire d’étudiants 

L’exemple de configuration d’un laboratoire d’étudiants est très semblable à l’exemple 

de configuration d’un groupe de travail, si ce n’est que NetBoot y est en outre ajouté 

comme service supplémentaire utilisant DHCP. 

Outre le fait que DHCP permet de centraliser la configuration réseau, NetBoot standardise 

les environnements de démarrage en démarrant chaque ordinateur à partir d’une 

image disque se trouvant sur un serveur NetBoot central. 

Cette configuration est identique à l’exemple de configuration d’un groupe de travail, 

à quelques exceptions près, à savoir : 

Â Il peut exister des ressources à adresse statique. 

Cela dépend de la composition du laboratoire. Vous pouvez disposer d’une imprimante 

ou d’un serveur de fichiers de classe, mais si vous utilisez un chariot mobile 

qui se déplace de classe en classe, vous n’emporterez pas un serveur et une imprimante 

dans chaque classe. 

Â NetBoot doit être activé et configuré ainsi que les réglages de coupe-feu nécessaires 

à sa prise en charge. 

Tout client sur le réseau peut être configuré de façon à démarrer à partir du serveur 

NetBoot. De nouveaux ordinateurs peuvent être déployés en sélectionnant l’image 

NetBoot comme disque de démarrage pour l’ordinateur. Aucune autre configuration 

n’est nécessaire et vous pouvez facilement affecter une autre fonction à un ordinateur 

sans avoir à en modifier le disque dur. 

Avec cette configuration, les ordinateurs du réseau peuvent être gérés par un serveur LDAP 

ou Open Directory en obtenant leurs informations de configuration réseau par DHCP. 

De plus, l’environnement informatique de tous les ordinateurs est configuré de façon 

centralisée. De nouveaux ordinateurs peuvent être ajoutés ou remplacés très facilement. 


Configuration d’un café 

La configuration d’un café est un exemple de configuration avec environnement d’adressage 

dynamique, une configuration qui ne requiert pas de gestion des utilisateurs et qui 

ne fournit aucun service à l’exception des services d’accès web, d’accès DNS et autre. 

Cet exemple se caractérise par un grand nombre d’utilisateurs mobiles qui arrivent, 

se connectent à Internet, puis repartent. 

Cette configuration peut facilement être utilisée dans des situations similaires, par 

exemple un réseau sans fil dans une école supérieure ou un bureau câblé mis à 

la disposition des consultants de passage dans une entreprise. 

AVERTISSEMENT : si vous hébergez temporairement des utilisateurs non authentifiés, 

assurez-vous que les informations sensibles de votre réseau local sont protégées 

derrière un coupe-feu ou se trouvent sur un autre réseau. 

Pour utiliser DHCP dans cette configuration, vous devez disposer d’un coupe-feu opérationnel 

configuré uniquement pour le trafic sortant d’accès web et les recherches sortantes 

DNS. Il se peut que vous deviez placer ce réseau derrière votre coupe-feu et vous 

assurer que le trafic réseau des adresses IP allouées par DHCP est contrôlé et surveillé 

de façon stricte. 

Pour en savoir plus, consultez le chapitre 4, « Utilisation du service de coupe-feu » 

Dans cet exemple, vous pourriez configurer le service DHCP de la façon suivante : 

Â Activez la configuration automatique du réseau. Configurez les clients DHCP 

de façon à ce qu’ils reçoivent la configuration réseau par DHCP. 

Â Ne configurez pas d’options dont les clients ne doivent pas bénéficier. Ne donnez 

pas aux clients DHCP plus d’informations sur votre organisation que nécessaire à 

l’aide de LDAP. Il est possible de configurer les clients Windows de façon à ce qu’ils 

aient plus d’options réseau. 

Pour en savoir plus, consultez la rubrique « Configuration des options WINS d’un sousréseau 

» à la page 37. 

Â Limitez l’utilisation des ressources. Avoir un grand nombre d’utilisateurs sur 

un sous-réseau peut consommer beaucoup de bande passante. Réduisez donc 

le nombre de clients DHCP pouvant se connecter simultanément en limitant le 

nombre d’adresses pouvant être allouées. 

Pour en savoir plus, consultez la rubrique « Création de sous-réseaux dans le service 


Â Gardez une rotation des adresses élevée. Définissez des durées de bail sur les adresses 

aussi courtes que possible. De la sorte, les adresses peuvent être réallouées rapidement 

lors des allers et venues des utilisateurs. 


Pour en savoir plus, consultez la rubrique « Création de sous-réseaux dans le service 


Â Surveillez votre trafic. Gardez un œil attentif sur les connexions et les clients DHCP, 

la journalisation de paquets de règles de coupe-feu ou les autres outils de surveillance. 

Les points d’accès ouverts constituent un danger s’ils ne sont pas bien gardés. 

Configuration de DHCP pour l’utilisation d’une URL de serveur LDAP 

supplémentaire 

Le module DHCP de l’application Admin Serveur ne permet aux administrateurs de 

spécifier qu’une seule URL de serveur LDAP par sous-réseau. Si vous voulez spécifier 

plusieurs URL de serveur LDAP, vous pouvez modifier le fichier /etc/bootpd.plist ou 

utiliser l’outil de ligne de commande serveradmin (dans la fenêtre Terminal). 

Modification du fichier /etc/bootpd.plist pour l’ajout de plusieurs URL de serveur LDAP 

Une fois que vous avez créé un sous-réseau à l’aide de DHCP dans Admin Serveur 

et spécifié une URL de serveur LDAP, vous pouvez consulter et modifier les réglages 

en modifiant le fichier /etc/bootpd.plist : 

1 Ouvrez le fichier /etc/bootpd.plist dans un éditeur de texte. 

2 Localisez la balise au sein de la balise de la clé dhcp_ldap_url. 

dhcp_ldap_url 

 

ldap://serveur.exemple.com/dc=serveur,dc=exemple,dc=com 

 

3 Ajoutez une URL de serveur LDAP en insérant une balise sous la balise 

existante et en saisissant votre URL de serveur LDAP entre la balise d’ouverture 

et la balise de fermeture . 

dhcp_ldap_url 

 

ldap://serveur.exemple.com/dc=serveur,dc=exemple,dc=com 

ldap://serveur2.exemple.com/dc=serveur2,dc=exemple,dc=com 

 

4 Enregistrez le fichier bootpd.plist et fermez l’éditeur. 

5 Si DHCP est en cours d’exécution, redémarrez le service DHCP afin qu’il puisse charger 

la nouvelle configuration. 

Dans Terminal, saisissez : 

$ sudo serveradmin stop DHCP 

$ sudo serveradmin start DHCP 

Utilisation de serveradmin avec plusieurs URL de serveur LDAP 

Une fois que vous avez créé un sous-réseau à l’aide de DHCP dans Admin Serveur 

et spécifié une URL de serveur LDAP, vous pouvez consulter et modifier les réglages 

à l’aide de serveradmin. Procédez comme suit. 


1 Vérifiez tous les réglages de sous-réseau DHCP dans Terminal en saisissant : 

$ sudo serveradmin settings dhcp:subnets 

Exemples de résultats (extrait) : 

... 

dhcp:subnets:_array_id:498D8E6D-88A8-4048-8B3C- 

14D96F317447:dhcp_ldap_url:_array_index:0 = "http://ldapxxx:123/ 

basename1" 

... 

2 Préparez un fichier contenant les commandes serveradmin destinées à ajouter une 

seconde URL de serveur LDAP. 

Comme les différents éléments de la matrice dhcp_ldap_url ne sont pas accessibles individuellement, 

vous ne pouvez pas utiliser la commande create/delete de serveradmin. 

Exemple de contenu de fichier : 



basename1" 


14D96F317447:dhcp_ldap_url:_array_index:1 = "http://ldapyyy:234/ 

basename2" 

Remarque : les index de la matrice commencent à 0. L’ancienne entrée d’URL doit 

être présente même si vous ne faites qu’en ajouter une seconde. Les entrées doivent 

être dans le bon ordre. 

3 Utilisez l’outil serveradmin pour appliquer les réglages provenant du fichier en saisissant : 

$ sudo serveradmin settings < nomdefichier 

Exemple de résultats (les réglages sont confirmés) : 



basename1" 


14D96F317447:dhcp_ldap_url:_array_index:1 = "http://ldapyyy:234/ 

basename2" 

4 Si DHCP tourne, redémarrez le service DHCP afin qu’il puisse charger la nouvelle configuration 

en saisissant : 

$ sudo serveradmin stop DHCP 

$ sudo serveradmin start DHCP 


Service DHCP pour clients Mac OS X à l’aide de DHCP avec une 

adresse manuelle 

La section DHCP d’Admin Serveur permet d’activer ou de désactiver chaque plage 

d’adresses de sous-réseau. Lorsque le sous-réseau est activé, le serveur DHCP alloue 

des adresses dans sa plage et distribue d’autres informations sur le réseau aux clients 

qui sont définis sur « Via DHCP ». 

Lorsque le sous-réseau est désactivé, le serveur DHCP n’alloue pas d’adresses pour 

le groupe de plages d’adresses de sous-réseau, mais il distribue d’autres informations 

sur le réseau (par exemple, les adresses des serveurs DNS et LDAP) aux clients qui sont 

définis sur « Utilisation de DHCP avec une adresse manuelle » (mappages statiques), 

tant que l’adresse du client se trouve dans la plage du sous-réseau. 

Activer et désactiver le sous-réseau désactive l’allocation automatique d’adresses pour 

la plage d’adresses mais pas les réponses du serveur DHCP aux clients dont l’adresse 

se trouve dans la plage du sous-réseau. 

Autres sources d’informations 

Les documents RFC (Request for Comments) offrent des vues d’ensemble de protocoles 

ou de services particuliers et expliquent le comportement normal du protocole. 

Si vous êtes un administrateur de serveur débutant, certaines des informations générales 

qui figurent dans les documents RFC vous seront certainement utiles. 

En revanche, si vous êtes un administrateur de serveur confirmé, vous trouverez des 

détails techniques concernant un protocole particulier dans le document RFC correspondant. 

Vous pouvez rechercher les documents RFC par leur numéro à l’adresse 

www.ietf.org/rfc.html (en anglais). 

Pour obtenir des détails sur DHCP, consultez le document RFC 2131. 

Pour en savoir plus sur des options de configuration avancées, consultez la page man 

de bootpd. 


3 Utilisation 

du service DNS 

3 

Le présent chapitre décrit comment configurer, sécuriser 

et gérer le service DNS sur votre réseau. 

Lorsque vos clients veulent se connecter à une ressource réseau, par exemple un serveur 

web ou un serveur de fichiers, ils l’identifient généralement par son nom de domaine (par 

exemple, www.exemple.com) plutôt que par son adresse IP (par exemple, 192.168.12.12). 

Le système Domain Name System (DNS) est une base de données distribuée qui met 

en correspondance des adresses IP et des noms de domaine pour que vos clients puissent 

trouver les ressources par leur nom plutôt que par leur adresse IP. 

Un serveur DNS maintient la liste des noms de domaine et des adresses IP associées 

à chaque nom de domaine. Lorsqu’un ordinateur a besoin de connaître l’adresse IP 

correspondant à un nom, il envoie un message au serveur DNS, également appelé 

serveur de noms. 

Le serveur de noms cherche l’adresse IP et la renvoie à l’ordinateur. Si le serveur de 

noms ne trouve pas l’adresse IP en local, il envoie des messages à d’autres serveurs 

de noms sur Internet pour l’obtenir. 

La configuration et la maintenance d’un serveur DNS sont une tâche complexe. C’est 

la raison pour laquelle de nombreux administrateurs confient le service DNS à leur fournisseur 

d’accès à Internet (FAI). Dans ce cas, il suffit de saisir l’adresse IP du serveur de 

noms fournie par votre FAI dans les préférences réseau. 

Si votre FAI ne gère pas les requêtes DNS relatives à votre réseau et au moins une 

des affirmations suivantes est vraie, vous devez configurer votre propre service DNS : 

Â Vous ne pouvez pas utiliser le DNS de votre FAI ni d’aucune autre source. 

Â Vous prévoyez d’apporter des modifications fréquentes à l’espace de noms et préférez 

le gérer vous-même. 

Â Votre réseau dispose d’un serveur de messagerie et vous éprouvez des difficultés 

à le coordonner avec le FAI qui gère votre domaine. 

Â Vous avez des craintes en matière de sécurité parce que les noms et les adresses des 

ordinateurs de votre réseau sont accessibles par une organisation externe (votre FAI). 

49

Mac OS X Server utilise Berkeley Internet Name Domain (BIND) 9.2.2 pour son implémentation 

des protocoles DNS. BIND est une implémentation « open-source » et est 

utilisée par la plupart des serveurs de noms sur Internet. 

À propos des zones DNS 

Les zones sont l’unité organisationnelle de base du système DNS. Les zones contiennent 

des enregistrements et sont définies d’après la manière dont elles acquièrent 

ces enregistrements et la manière dont elles répondent aux requêtes DNS. 

Il existe trois zones de base : 

Â Principale 

Â Secondaire 

Â Redirection 

Il existe d’autres types de zones, mais elles ne sont pas décrites ici. 

Zones principales 

Une zone principale possède la copie principale des enregistrements de la zone 

et fournit des réponses faisant autorité aux requêtes de recherche. 

Zones secondaires 

Une zone secondaire est une copie d’une zone principale et est stockée sur un serveur 

de noms secondaire. Elle a les caractéristiques suivantes : 

Â Chaque zone secondaire possède la liste des serveurs principaux qu’elle contacte pour 

des mises à jour des enregistrements dans la zone principale. Les zones secondaires doivent 

être configurées de façon à demander la copie des données de la zone principale. 

Â Les zones secondaires utilisent des transferts entre zones pour obtenir des copies 

des données de zone principale. 

Â Les serveurs de noms secondaires peuvent répondre aux requêtes de recherche 

comme c’est le cas des serveurs principaux. 

En utilisant plusieurs zones secondaires reliées à une zone principale, vous pouvez distribuer 

la charge que représentent les requêtes DNS sur plusieurs ordinateurs et vous 

assurer que les demandes de recherche obtiennent une réponse lorsque le serveur 

de noms principal est éteint. 

Les zones secondaires ont également un intervalle d’actualisation. Cet intervalle détermine 

la fréquence à laquelle la zone secondaire recherche d’éventuelles modifications 

auprès de la zone principale. Vous pouvez modifier l’intervalle d’actualisation de la zone 

dans le fichier de configuration de BIND. Pour en savoir plus, consultez la documentation 

de BIND. 

50 Chapitre 3 Utilisation du service DNS

Zones de redirection 

Une zone de redirection dirige les requêtes de recherche adressées à cette zone à 

d’autres serveurs DNS. Les zones de redirection ne font pas de transferts entre zones. 

Les serveurs de zone de redirection sont souvent utilisés pour fournir des services DNS 

à un réseau privé situé derrière un coupe-feu. Dans ce cas, le serveur DNS doit avoir 

accès à Internet et un serveur DNS situé devant le coupe-feu. 

Les zones de redirection mettent également en cache les réponses aux requêtes 

qu’elles transmettent. Cela peut améliorer les performances des recherches pour 

les clients qui utilisent la zone de redirection. 

Admin Serveur ne prend pas en charge la création et la modification d’une zone de redirection. 

Pour créer une zone de redirection, vous devez configurer BIND manuellement à l’aide 

de la ligne de commande. Pour obtenir plus de détails, consultez la documentation de BIND. 

À propos des enregistrements de machine DNS 

Chaque zone contient un certain nombre d’enregistrements. Ces enregistrements 

sont nécessaires quand un ordinateur traduit un nom de domaine (par exemple, 

www.exemple.com) en numéro IP. Les navigateurs web, les clients de courrier électronique 

et les autres applications réseau utilisent ces enregistrements de zone pour contacter 

le serveur qui convient. 

Les enregistrements de zone principale sont consultés par d’autres sur Internet afin 

que ces derniers puissent se connecter à vos services réseau. 

Plusieurs types d’enregistrements DNS sont disponibles pour la configuration par 

Admin Serveur : 

Â Adresse (A) : stocke l’adresse IP associée au nom de domaine. 

Â Nom canonique (CNAME) : stocke un alias en relation avec le vrai nom du serveur. 

Par exemple, mail.apple.com pourrait être l’alias d’un ordinateur portant le vrai nom 

canonique MailSrv473.apple.com. 

Â Échangeur de courrier (MX) : stocke le nom de domaine de l’ordinateur utilisé pour 

le courrier électronique dans une zone. 

Â Serveur de noms (NS) : stocke le serveur de noms faisant autorité pour une zone. 

Â Pointeur (PTR) : stocke le nom de domaine d’une adresse IP (recherche inversée). 

Â Texte (TXT) : stocke la chaîne de texte en réponse aux requêtes DNS. 

Â Service (SRV) : stocke des informations sur les services qu’un ordinateur fournit. 

Â Infos sur le matériel (HINFO) : stocke des informations sur le matériel et les logiciels 

d’un ordinateur. 

Chapitre 3 Utilisation du service DNS 51

Mac OS X Server simplifie la création de ces enregistrements en mettant l’accent sur 

l’ordinateur ajouté à la zone plutôt que sur les enregistrements proprement dits. Lorsque 

vous ajoutez un enregistrement d’ordinateur à une zone, Mac OS X Server crée 

les enregistrements de zone qui se traduisent en une adresse d’ordinateur. Grâce à 

ce modèle, vous pouvez vous concentrer sur ce que vos ordinateurs font dans votre 

domaine plutôt que sur les types d’enregistrement qui s’appliquent à ses fonctions. 

Si vous devez avoir accès à d’autres types d’enregistrements, vous devez modifier les 

fichiers de configuration BIND manuellement. Pour obtenir plus de détails, consultez 

la documentation de BIND. 

À propos de Bonjour 

Avec Bonjour, vous pouvez partager pratiquement tout, y compris des fichiers, des 

données multimédia, des imprimantes et d’autres périphériques, de façon innovante 

et simple. Il simplifie les activités réseau traditionnelles telles que le partage de fichiers 

et l’impression en permettant de découvrir les serveurs de fichiers et les imprimantes 

réseau compatibles avec Bonjour de façon dynamique. 

Bonjour commence par simplifier le processus intrinsèquement complexe qu’est la 

configuration des périphériques d’un réseau. Pour communiquer avec d’autres périphériques 

par IP, un périphérique a besoin d’informations spéciales telles qu’une adresse IP, 

un masque de sous-réseau, une adresse DNS, un nom DNS et des chemins de recherche 

préconfigurés. Comprendre ces détails énigmatiques et procéder ensuite à la configuration 

peut s’avérer compliqué pour un utilisateur lambda. 

Lorsqu’un nouvel ordinateur ou périphérique est ajouté à un réseau par autoconfiguration, 

comme un serveur DHCP, Bonjour configure le périphérique à l’aide d’une technique 

appelée l’adressage lien-local (si un serveur DHCP est disponible, Bonjour utilise 

l’adresse IP assignée). 

Avec l’adressage lien-local, l’ordinateur sélectionne une adresse IP au hasard parmi 

la plage d’adresses réservées par l’Internet Assigned Numbers Authority (IANA) pour 

l’adressage lien-local et s’assigne cette adresse. Ces adresses se trouvent dans la plage 

169.254.xxx.xxx. 

Le périphérique envoie ensuite un message par le réseau pour déterminer si un autre 

périphérique utilise cette adresse. Si l’adresse est utilisée, le périphérique sélectionne des 

adresses au hasard jusqu’à ce qu’il en trouve une qui soit disponible. Une fois que le périphérique 

s’est assigné une adresse IP, il peut envoyer et recevoir du trafic IP sur le réseau. 


Avant de configurer le service DNS 

La présente section contient des informations qu’il faut prendre en compte avant de 

configurer le système DNS sur votre réseau. Comme les problèmes liés à l’administration 

du système DNS sont complexes et nombreux, ne configurez pas le service DNS 

sur votre réseau si vous n’êtes pas un administrateur DNS expérimenté. 

Le livre DNS and BIND, 5th edition (en anglais) de Paul Albitz et Cricket Liu (O’Reilly and 

Associates, 2006) est une bonne source d’informations sur le système DNS. 

Remarque : Apple peut vous aider à trouver un consultant réseau capable d’implémenter 

le service DNS. Vous pouvez contacter Services professionnels Apple et Apple Consultants 

Network sur le web à l’adresse www.apple.com/fr/services ou consultants.apple.com. 

Pensez à créer un alias de courrier électronique, comme « hostmaster », qui reçoit le 

courrier et le remet à la personne qui gère le serveur DNS sur votre site. Cela permet 

aux utilisateurs et aux autres administrateurs DNS de vous contacter au sujet de problèmes 

liés au DNS. 

Vous devez configurer au moins un serveur de noms principal et un serveur de noms 

secondaire. De la sorte, si le serveur de noms principal s’éteint, le serveur de noms 

secondaire peut prendre le relais. Un serveur secondaire obtient ses informations 

du serveur principal en copiant périodiquement toutes les informations de domaine 

du serveur principal. 

Une fois qu’un serveur de noms a reçu la paire nom/adresse d’un hôte situé dans un 

autre domaine (en dehors du domaine qu’il sert), les informations sont mises en cache, 

ce qui permet de stocker les adresses IP des noms résolus récemment pour une utilisation 

ultérieure. 

Les informations DNS sont généralement mises en cache sur votre serveur de noms 

pour une période déterminée que l’on nomme la durée de vie (en anglais « Time-to-Live 

value » ou « TTL value »). Lorsque la durée de vie d’une paire nom de domaine/adresse 

IP a expiré, l’entrée est supprimée de la mémoire cache du serveur de noms et votre 

serveur demande les informations dont il a besoin. 

Configuration initiale du service DNS 

Si vous utilisez un serveur de noms DNS externe et que vous avez saisi son adresse IP 

dans l’Assistant réglages de passerelle, vous ne devez rien faire d’autre. 

Si vous configurez votre propre serveur DNS, suivez les étapes de la présente section. 

Étape 1 : Enregistrez votre nom de domaine 

L’enregistrement des noms de domaine est gérée par l’IANA. L’enregistrement IANA 

permet de s’assurer que les noms de domaine sont uniques sur Internet (pour en savoir 

plus, consultez le site web www.iana.org). 


Si vous n’enregistrez pas votre nom de domaine, votre réseau ne peut pas communiquer 

sur Internet. 

Une fois que vous avez enregistré un nom de domaine, vous pouvez créer des sousdomaines 

si vous configurez un serveur DNS sur votre réseau pour gérer les noms et 

les adresses IP des sous-domaines. 

Par exemple, si vous enregistrez le nom de domaine exemple.com, vous pourriez créer 

des sous-domaines tels que hote1.exemple.com, mail.exemple.com ou www.exemple.com. 

Un serveur dans un sous-domaine pourrait être nommé principal.www.exemple.com ou 

sauvegarde.www.exemple.com. 

Le serveur DNS d’exemple.com gère les informations relatives à ses sous-domaines 

comme les noms des hôtes (ordinateurs), les adresses IP statiques, les alias et les échangeurs 

de courrier. 

Si votre FAI gère votre service DNS, vous devez l’informer des modifications que vous 

apportez à votre nom de domaine, y compris aux sous-domaines ajoutés. 

La plage des adresses IP utilisées avec un domaine doit être clairement définie avant 

la configuration. Ces adresses doivent être utilisées exclusivement pour un seul domaine, 

jamais par un autre domaine ou sous-domaine. Coordonnez la plage d’adresses avec 

votre administrateur réseau ou FAI. 

Étape 2 : Apprenez et planifiez 

Si vous découvrez le DNS, apprenez et essayez de comprendre les concepts, les outils 

et les fonctionnalités DNS de Mac OS X Server et de BIND. Reportez-vous à la section 

« Autres sources d’informations » à la page 83. 

Une fois que vous êtes prêt, planifiez votre service DNS. Posez-vous les questions suivantes : 

Â Avez-vous besoin d’un serveur DNS local ? Est-ce que votre FAI fournit le service 

DNS ? Pouvez-vous plutôt utiliser des noms DNS de multidiffusion ? 

Â De combien de serveurs avez-vous besoin ? De combien de serveurs supplémentaires 

avez-vous besoin à des fins de sauvegarde DNS ? Par exemple, devez-vous désigner 

un deuxième voire un troisième ordinateur pour la sauvegarde du service DNS ? 

Â Quelle est votre stratégie en matière de sécurité pour lutter contre l’utilisation non 

autorisée ? 

Â À quelle fréquence devez-vous programmer des inspections ou des tests périodiques 

des enregistrements DNS pour vérifier l’intégrité des données ? 

Â Combien de services ou périphériques (par exemple, sites web intranet ou imprimantes 

réseau) ont besoin d’un nom ? 


Il y a deux façons de configurer le service DNS sous Mac OS X Server : 

Â Utilisez la rubrique Admin Serveur. Cette méthode est recommandée. Pour obtenir 

des instructions, consultez la rubrique « Configuration du service DNS » à la page 57. 

Â Modifiez le fichier de configuration BIND. BIND est l’ensemble de programmes utilisés 

par Mac OS X Server qui implémente le système DNS. L’un de ces programmes est name 

daemon ou named. Pour installer et configurer BIND, vous devez modifier le fichier 

de configuration et le fichier de zone. Le fichier de configuration est /etc/named.conf. 

Le nom du fichier de zone s’inspire du nom de la zone. Par exemple, le fichier 

de zone exemple.com est /var/named/exemple.com.zone. 

Si vous modifiez le fichier named.conf pour configurer BIND, ne modifiez pas 

les réglages inet de l’instruction de contrôle. Si vous le faites, Admin Serveur 

ne pourra pas extraire d’informations d’état sur le DNS. 

Les réglages inet ressemblent à ceci : 

controls { 

inet 127.0.0.1 port 54 allow {any;} 

keys { "rndc-key"; }; 

}; 

Important : dans Mac OS X Server 10.5, les fichiers de configuration et de zone utilisés 

par Admin Serveur ont changé. Si vous modifiez le fichier named.conf et des fichiers 

de zone manuellement dans Terminal, les informations sont utilisées par le DNS. Les 

informations n’apparaissent toutefois pas dans la sous-fenêtre Zones DNS d’Admin 

Serveur. En outre, les modifications apportées dans Admin Serveur ne sont pas répercutées 

sur le fichier named.conf. 

Étape 3 : Activez le service DNS 

Avant de configurer le service DNS, activez le service DNS. Consultez la rubrique 

« Activation du service DNS » à la page 56. 

Étape 4 : Créez une zone DNS et ajoutez des enregistrements de machine 

Utilisez Admin Serveur pour configurer les zones DNS. Consultez la rubrique 

« Configuration de réglages de zone » à la page 58. Après avoir ajouté une zone principale, 

Admin Serveur crée un enregistrement de serveur de noms portant le même nom 

que la source d’autorité (SOA). 

Pour chaque zone que vous créez, Mac OS X Server crée une zone de recherche inversée. 

Les zones de recherche inversée traduisent les adresses IP en noms de domaine (à l’inverse, 

les recherches normales traduisent des noms de domaine en adresses IP). 

Utilisez Admin Serveur pour ajouter des enregistrements à votre zone. Créez un enregistrement 

d’adresse pour chaque ordinateur ou périphérique (par exemple, pour chaque imprimante 

ou serveur de fichiers) qui possède une adresse IP statique et a besoin d’un nom. 

Différents enregistrements de zone DNS sont créés à partir des entrées de machine DNS. 


Étape 5 : Configurez des zones secondaires 

Si nécessaire, utilisez Admin Serveur pour configurer des zones secondaires. Consultez 

la rubrique « Configuration de réglages de zone secondaire » à la page 60. 

Étape 6 : Configurez Bonjour 

Utilisez Admin Serveur pour configurer les réglages de Bonjour. Consultez la rubrique 

« Configuration de réglages Bonjour » à la page 60. 

Étape 7 : Configurez la journalisation 

Utilisez Admin Serveur pour spécifier les informations que le service DNS doit journaliser 

et l’emplacement du fichier d’historique. Consultez la rubrique « Modification 

du niveau de détail de l’historique DNS » à la page 63. 

Étape 8 : (Facultatif) Configurez un enregistrement d’échange de courrier (MX) 

Si vous fournissez le service de courrier par Internet, configurez un enregistrement 

MX pour votre serveur. Consultez la rubrique « Configuration du DNS pour le service 

de courrier » à la page 77. 

Étape 9 : Configurez votre coupe-feu 

Configurez votre coupe-feu pour vous assurer que votre service DNS est protégé contre 

les attaques et accessible par vos clients. Consultez le chapitre 4, « Utilisation du service 

de coupe-feu ». 

Étape 10 : Démarrez le service DNS 

Mac OS X Server comporte une interface simple pour le démarrage et l’arrêt du service 

DNS. Consultez la rubrique « Démarrage du service DNS » à la page 62. 

Activation du service DNS 

Avant de configurer des réglages DNS, activez le service DNS dans Admin Serveur. 

Pour activer le service DNS : 




4 Cochez la case DNS. 



Mise à niveau de la configuration DNS 

Mac OS X Server 10.5 a été modifié de façon à gérer les entrées DNS de manière plus 

efficace. Pour bénéficier de ces modifications, les enregistrements DNS crées dans 

les versions antérieures de Mac OS X Server doivent être mis à niveau. 

Une fois que vous avez effectué la mise à niveau à Mac OS X Server 10.5 et activé le DNS 

dans Admin Serveur, la sous-fenêtre de mise à niveau apparaît la première fois que vous 

cliquez sur DNS. (La sous-fenêtre de mise à niveau n’apparaît que si vous avez effectué 

la mise à niveau vers Mac OS X Server 10.5. Elle n’apparaît pas si Mac OS X Server 10.5 

a été installé directement.) 

La sous-fenêtre de mise à niveau comporte deux options : 

Â « Ne pas mettre à niveau » : si vous choisissez de ne pas effectuer la mise à niveau 

de votre configuration, vous ne pouvez pas utiliser Admin Serveur pour configurer 

le DNS automatiquement. Vous pouvez configurer les fichiers manuellement en utilisant 

le fichier /etc/named.conf pour la configuration du DNS et le fichier /var/named 

pour la configuration des zones. 

Â « Mise à niveau de » : l’option de mise à niveau convertit les enregistrements 

de fichier DNS puis donne accès aux sous-fenêtres DNS d’Admin Serveur. 

Lors de la mise à niveau, des fichiers de sauvegarde sont crées. Si les fichiers doivent 

être restaurés, cela peut être fait manuellement. Les fichiers de sauvegarde sont enregistrés 

dans les mêmes dossiers que les fichiers originaux. 

Configuration du service DNS 

Configurez le service DNS en configurant les trois groupes de réglages suivants dans 

Admin Serveur : 

Â Zones. Permet de configurer une zone principale et des ordinateurs qui figurent dans 

la zone et de configurer une copie de la zone principale stockée sur un serveur de noms 

secondaire. Définit également des informations qui déterminent si vous autorisez 

les transferts entre zones. 

Â Bonjour. Permet de configurer la navigation Bonjour automatique. 

Â Réglages. Permet de configurer et de gérer les historiques relatifs au service DNS 

et de définir la récursivité du service DNS. 

Les sections suivantes décrivent comment définir ces réglages. La section finale explique 

comme démarrer le service DNS une fois que vous avez fini. 


Configuration de réglages de zone 

Utilisez Admin Serveur sur le contrôleur de grappe de serveurs pour créer un fichier 

de zone DNS local et y ajouter des enregistrements pour mettre en correspondance 

des nœuds de grappe de serveurs avec les adresses IP correspondantes. Le service 

Open Directory sur le contrôleur de grappe de serveurs a besoin de ces informations 

pour activer la configuration de serveur automatique. 


par Admin Serveur ont changé. Si vous modifiez le fichier named.conf et des fichiers 

de zone manuellement dans Terminal, les informations sont utilisées par le DNS. Les 

informations n’apparaissent toutefois pas dans la sous-fenêtre Zones DNS d’Admin Serveur. 

De plus, les modifications apportées dans Admin Serveur ne sont pas répercutées 

sur le fichier named.conf.Il est recommandé d’utiliser Admin Serveur. 

Pour configurer des réglages de zone du service DNS : 




3 Dans la liste Serveurs développée, sélectionnez DNS. 

4 Cliquez sur Zones. 

5 Cliquez sur Ajouter une zone, puis choisissez « Ajouter une zone principale (maître) ». 

6 Sélectionnez la nouvelle zone. 

7 Dans le champ Noms dans la zone principale, saisissez le nom de la zone. 

Il s’agit du nom de domaine complet du serveur principal. 

8 Saisissez l’adresse de courrier électronique de l’administrateur de la zone. 

9 Sélectionnez « Autorise le transfert entre zones » pour autoriser les zones secondaires 

à obtenir des copies des données de zone principale. 

10 Ajoutez des serveurs de noms à cette zone en cliquant sur le bouton Ajouter (+) 

et en saisissant le nom dans le champ Serveurs de noms. 

11 Ajoutez des échangeurs de courrier à cette zone en cliquant sur le bouton Ajouter (+) 

et en saisissant le nom dans le champ échangeurs de courrier. 

Le contenu de ce champ sert de base à l’enregistrement MX de l’ordinateur. 

12 Spécifiez un numéro d’ordre de serveur de messagerie dans le champ Priorité. 

Les serveurs de messagerie source essayent de distribuer en priorité le courrier aux 

serveurs ayant les numéros les plus bas. Pour plus d’informations, consultez la rubrique 

« Configuration du DNS pour le service de courrier » à la page 77. 

13 Cliquez sur Expiration et saisissez le nombre d’heures pour chaque réglage. 


Saisissez la durée de validité de la zone. Il s’agit de la durée de vie de la zone (sa valeur 

TTL). Celle-ci détermine pendant combien de temps les informations reçues en réponse 

aux requêtes peuvent être conservées en cache dans les systèmes DNS distants avant 

d’envoyer une nouvelle requête au serveur faisant autorité. 

Saisissez l’intervalle de temps entre les actualisations des zones secondaires à partir 

de la zone principale. 

Saisissez l’intervalle de temps entre chaque nouvelle tentative en cas d’échec 

de la zone secondaire. 

Saisissez combien de temps après l’actualisation les données de zone expirent. 

14 Cliquez sur Ajouter un enregistrement, puis choisissez « Ajouter un alias (CNAME) ». 

Pour afficher la liste des enregistrements d’une zone, cliquez sur le triangle à gauche 

de la zone. 

15 Sélectionnez newAlias sous la zone principale, puis saisissez les informations sur l’alias. 

Dans le champ Nom de l’alias, saisissez le nom correspondant. Le contenu de ce champ 

sert de base aux enregistrements CNAME de l’ordinateur. Les enregistrements pointeurs 

de recherche inversée de l’ordinateur sont créés automatiquement. 

Le nom de domaine complet de l’ordinateur apparaît sous le nom de l’alias. 

Ajoutez autant d’alias que vous voulez. 

16 Cliquez sur Ajouter un enregistrement, puis choisissez « Ajouter une machine (A) ». 

17 Sélectionnez newMachine sous la zone principale, puis saisissez les informations 

suivantes sur la machine. 

Dans le champ Nom de machine, saisissez le nom d’hôte de l’ordinateur. Le contenu 

de ce champ sert de base à l’enregistrement A de l’ordinateur. Les enregistrements 

pointeurs de recherche inversée de l’ordinateur sont créés automatiquement. 

Cliquez sur le bouton Ajouter (+), puis saisissez l’adresse IP de l’ordinateur. 

Saisissez toutes les informations sur le matériel et les logiciels de l’ordinateur dans 

les zones de texte correspondantes. Il s’agit des bases pour l’enregistrement HINFO 

de l’ordinateur. 

Saisissez des commentaires sur l’ordinateur dans la zone de texte Commentaire. 

Le contenu de ce champ sert de base à l’enregistrement TXT de l’ordinateur. Vous pouvez 

stocker pratiquement toute chaîne de texte dans la zone des commentaires (jusqu’à 

255 caractères ASCII). Vous pouvez notamment décrire l’emplacement physique de l’ordinateur 

(par exemple, « Serveur de l’étage, armoire B »), le propriétaire de l’ordinateur 

(par exemple, « Ordinateur de Jean ») ou écrire toute autre information sur l’ordinateur. 

18 Cliquez sur Ajouter un enregistrement, puis choisissez « Ajouter un service (SRV) ». 

19 Sous la zone principale, sélectionnez Homepage, puis saisissez les informations sur le service. 



Configuration de réglages de zone secondaire 

Une zone secondaire est une copie d’une zone principale stockée sur un serveur de 

noms secondaire. Chaque zone secondaire maintient la liste des serveurs principaux 

qu’elle contacte pour des mises à jour des enregistrements dans la zone principale. 

Les zones secondaires doivent être configurées pour demander la copie des données 

de la zone principale. Les zones secondaires utilisent des transferts de zone pour obtenir 

des copies des données de zone principale. 

Les serveurs de noms secondaires peuvent répondre aux requêtes de recherche 

comme les serveurs principaux. 

Pour ajouter une zone secondaire : 

1 Assurez-vous que le serveur principal est configuré correctement et que les transferts 

entre zones sûrs sont activés sur le serveur principal, puis ouvrez Admin Serveur et 

connectez-vous au serveur. 





5 Cliquez sur Ajouter une zone, puis choisissez « Ajouter une zone secondaire (esclave) ». 


7 Dans le champ Noms dans la zone secondaire, saisissez le nom de la zone. 

Le nom de la zone est identique à celui de la zone principale définie sur le serveur 

de noms principal. 

8 Sous la liste Adresses de la zone principale, cliquez sur le bouton Ajouter (+). 

9 Saisissez les adresses IP de chaque serveur principal dans la zone secondaire. 


Configuration de réglages Bonjour 

Avec Bonjour, vous pouvez facilement connecter un ordinateur ou tout autre périphérique 

électronique à un réseau Ethernet câblé ou sans fil ou créer des réseaux instantanés 

comportant plusieurs périphériques sans configuration réseau supplémentaire. 

Pour configurer des réglages Bonjour du service DNS : 





4 Cliquez sur Bonjour. 


5 Pour activer la recherche Bonjour en zone élargie, cochez « Activer l’accès automatique 

aux clients via Bonjour pour le domaine », puis saisissez l’adresse du réseau. 

Toutes les zones principales fournissent ce domaine aux clients pour la recherche Bonjour. 


Configuration de réglages DNS 

Utilisez la sous-fenêtre Réglages de DNS pour définir le niveau de détail de l’historique 

du service DNS. Vous avez le choix entre un historique très détaillé à des fins de débogage 

et un historique moins détaillé qui ne contient que les avertissements critiques. 

Définissez des requêtes récursives auxquelles le serveur DNS répond entièrement (ou 

donne une erreur). Sans réponde à la requête, celle-ci est réexpédiée aux adresses IP 

que vous avez ajoutées dans la liste Adresses IP du réexpéditeur. 

Pour configurer des réglages DNS : 






5 Dans le menu local Niveau de détail de l’historique, sélectionnez le niveau de détail 

souhaité : 

Â Sélectionnez Critique pour ne consigner que les erreurs critiques comme les erreurs 

matérielles. 

Â Sélectionnez Erreur pour consigner toutes les erreurs à l’exception des messages 

d’avertissement. 

Â Sélectionnez Avertissement pour consigner tous les avertissements et toutes les erreurs. 

Â Sélectionnez Note pour ne consigner que les messages, les avertissements et 

les erreurs les plus importants. 

Â Sélectionnez Information pour consigner la plupart des messages. 

Â Sélectionnez Déboguer pour consigner tous les messages. 

L’emplacement de l’historique est /Bibliothèque/Logs/. 

6 Sous la liste « Accepter les requêtes récursives sur les réseaux suivants », cliquez sur 

le bouton Ajouter (+) pour ajouter les réseaux à partir desquels les requêtes récursives 

sont acceptées, puis saisissez l’adresse des réseaux dans la liste. 

7 Sous la liste « Adresses IP du réexpéditeur », cliquez sur le bouton Ajouter (+) pour ajouter 

les réseaux auxquels les requêtes non autorisées sont réexpédiées, puis saisissez 

l’adresse des réseaux dans la liste. 



Démarrage du service DNS 

Utilisez Admin Serveur pour démarrer le service DNS. 

N’oubliez pas de redémarrer le service DNS lorsque vous apportez des modifications 

au service DNS dans Admin Serveur. 

Pour démarrer le service DNS : 





4 Cliquez sur Démarrer DNS (sous la liste Serveurs). 

Le démarrage du service peut prendre quelques secondes. 

Gestion du service DNS 

Cette section décrit les tâches courantes que vous aurez probablement à effectuer une 

fois le service DNS configuré sur votre serveur. Vous trouverez les informations relatives 

à la configuration initiale à la rubrique « Configuration du service DNS » à la page 57. 

Les fonctionnalités plus avancées nécessitent la configuration de BIND à l’aide de la ligne 

de commande et ne font pas l’objet du présent manuel. 

Vous pouvez surveiller l’état du DNS pour : 

Â résoudre des problèmes de résolution de noms ; 

Â vérifier la fréquence d’utilisation du service DNS ; 

Â rechercher d’éventuelles utilisations non autorisées voire malveillantes du service DNS. 

La présente section décrit les tâches de surveillance courantes suivantes relatives 

au service DNS. 

Â « Vérification de l’état du service DNS » à la page 63. 

Â « Affichage des historiques du service DNS » à la page 63. 

Â « Modification du niveau de détail de l’historique DNS » à la page 63. 

Â « Arrêt du service DNS » à la page 64. 

Â « Activation ou désactivation des transferts entre zones » à la page 64. 

Â « Activation de la récursivité » à la page 65. 


Vérification de l’état du service DNS 

Vous pouvez utiliser Admin Serveur pour vérifier l’état du service DNS. 

Pour vérifier l’état du service DNS : 





4 Cliquez sur Vue d’ensemble pour vérifier si le service est en service, quand il a été 

démarré et le nombre de zones allouées. 

5 Cliquez sur Historique pour examiner l’historique du service. 

Utilisez le champ Filtre au-dessus de l’historique pour rechercher des entrées spécifiques. 

Affichage des historiques du service DNS 

Le service DNS crée des entrées pour les messages d’erreur et d’alerte dans l’historique 

système. Le fichier d’historique s’appelle named.log. Vous pouvez filtrer le contenu de 

l’historique afin de restreindre le nombre d’entrées affichées et accéder plus facilement 

à celles qui vous intéressent. 

Pour afficher les historiques, procédez de la manière suivante : 





4 Cliquez sur Historique et utilisez le champ Filtre au-dessus de l’historique pour rechercher 

des entrées spécifiques. 

Modification du niveau de détail de l’historique DNS 

Vous pouvez modifier le niveau de détail de l’historique du service DNS. Vous avez le 

choix entre un historique très détaillé à des fins de débogage et un historique moins 

détaillé qui ne contient que les avertissements critiques. 

Pour modifier le niveau de détail de l’historique : 







5 Dans le menu local Niveau d’historique, sélectionnez le niveau de détail souhaité 

comme suit : 

Â Sélectionnez Critique pour ne consigner que les erreurs critiques comme les erreurs 

matérielles. 

Â Sélectionnez Erreur pour consigner toutes les erreurs à l’exception des messages 

d’avertissement. 

Â Sélectionnez Avertissement pour consigner tous les avertissements et toutes 

les erreurs. 

Â Sélectionnez Note pour ne consigner que les messages, les avertissements et 

les erreurs les plus importants. 

Â Sélectionnez Information pour consigner la plupart des messages. 

Â Sélectionnez Déboguer pour consigner tous les messages. 


Arrêt du service DNS 

Utilisez Admin Serveur pour arrêter le service DNS. 

Pour arrêter le service DNS : 





4 Cliquez sur Arrêter DNS (sous la liste Serveurs). 

5 Cliquez sur Arrêter. 

L’arrêt du service peut prendre quelques secondes. 

Activation ou désactivation des transferts entre zones 

Dans le DNS, les données de zone sont répliquées sur les différents serveurs DNS faisant 

autorité à l’aide de transferts entre zones. Les serveurs DNS secondaires utilisent 

les transferts entre zones pour obtenir leurs données auprès des serveurs DNS principaux. 

Vous devez donc activer les transferts entre zones si vous voulez utiliser des serveurs 

DNS secondaires. 

Pour activer ou désactiver les transferts entre zones : 







5 Sélectionnez la zone principale que vous voulez modifier. 

6 Cliquez sur Général. 

7 Cochez ou décochez « Autorise le transfert entre zones » pour autoriser les zones 

secondaires à obtenir des copies des données de zone principale. 


Activation de la récursivité 

La récursivité traduit entièrement les noms de domaine en adresses IP. Les applications 

dépendent du serveur DNS pour réaliser cette opération. Les autres serveurs DNS qui 

interrogent vos serveurs DNS n’ont pas besoin de réaliser la récursivité. 

Pour empêcher les utilisateurs malveillants de modifier les enregistrements de la zone 

principale (opération que l’on nomme l’empoisonnement du cache) et pour empêcher 

l’utilisation du serveur sans autorisation pour le service DNS, vous pouvez restreindre 

la récursivité. Toutefois, si vous restreignez la récursivité sur votre réseau privé, vos utilisateurs 

ne pourront pas utiliser votre service DNS pour rechercher des noms en dehors 

de vos zones. 

Ne désactivez la récursivité que si : 

Â aucun client n’utilise le serveur DNS pour la résolution de noms ; 

Â aucun serveur ne l’utilise pour la redirection. 

Pour activer la récursivité : 






5 Cliquez sur le bouton Ajouter (+) sous la liste « Accepter les requêtes récursives sur 

les réseaux suivants ». 

6 Saisissez les adresses IP des serveurs desquels le DNS doit accepter des requêtes récursives. 

Vous pouvez également saisir des plages d’adresse IP. 


Si vous activez la récursivité, n’oubliez pas de la désactiver pour les adresses IP externes 

mais de l’activer pour les adresses IP de réseau local en modifiant le fichier named.conf 

de BIND. Toutes les modifications que vous apportez au fichier named.conf n’apparaissent 

toutefois pas dans la section DNS d’Admin Serveur. Vous pouvez désactiver entièrement 

la récursivité en supprimant toutes les entrées de la liste des réseaux. Pour en savoir plus 

sur BIND, consultez www.isc.org/sw/bind. 


Gestion de zones DNS 

Les zones DNS se gèrent à l’aide d’Admin Serveur. Les sections suivantes décrivent 

comment gérer et modifier des zones DNS. 

Â « Ajout d’une zone principale » à la page 66 

Â « Ajout d’une zone secondaire » à la page 67 

Â « Ajout d’une zone de redirection » à la page 68 

Â « Modification d’une zone » à la page 68 

Â « Suppression d’une zone » à la page 68 

Ajout d’une zone principale 

Utilisez Admin Serveur pour ajouter une zone principale à votre serveur DNS. 

Pour ajouter une zone principale : 






5 Cliquez sur Ajouter une zone, puis choisissez « Ajouter une zone principale (maître) ». 


7 Dans le champ Noms dans la zone principale, saisissez le nom de la zone. 

Il s’agit du nom de domaine complet du serveur principal. 

8 Saisissez l’adresse de courrier électronique de l’administrateur de la zone. 

9 Sélectionnez « Autorise le transfert entre zones » pour autoriser les zones secondaires 

à obtenir des copies des données de zone principale. 

10 Ajoutez des serveurs de noms à cette zone en cliquant sur le bouton Ajouter (+) 

et en saisissant le nom dans le champ Serveurs de noms. 

11 Ajoutez des échangeurs de courrier à cette zone en cliquant sur le bouton Ajouter (+) 

et en saisissant le nom dans le champ échangeurs de courrier. 

Le contenu de ce champ sert de base à l’enregistrement MX de l’ordinateur. 

12 Dans le champ Priorité, spécifiez le numéro d’ordre d’un serveur de messagerie. 

Les serveurs de messagerie source essayent de distribuer en priorité le courrier aux 

serveurs ayant les numéros les plus bas. Pour plus d’informations, consultez la rubrique 

« Configuration du DNS pour le service de courrier » à la page 77. 


13 Cliquez sur Expiration et saisissez le nombre d’heures pour chaque réglage. 

Saisissez la durée de validité de la zone. Il s’agit de la durée de vie de la zone (sa valeur 

TTL). Celle-ci détermine pendant combien de temps les informations reçues en réponse 

aux requêtes peuvent être conservées en cache dans les systèmes DNS distants avant 

d’envoyer une nouvelle requête au serveur faisant autorité. 

Saisissez l’intervalle de temps entre les actualisations des zones secondaires à partir 


Saisissez l’intervalle de temps entre chaque nouvelle tentative en cas d’échec de la zone 

secondaire. 

Saisissez au bout de combien de temps après l’actualisation les données de zone expirent. 


Ajout d’une zone secondaire 

Utilisez Admin Serveur pour ajouter une zone secondaire à votre serveur DNS. 

Effectuez les étapes suivantes sur le serveur secondaire. Avant d’effectuer ces étapes, 

vérifiez que le serveur principal est configuré correctement et que les transferts entre 

zones sont activés sur le serveur principal. 

Pour ajouter une zone secondaire : 

1 Sur le serveur secondaire, ouvrez Admin Serveur et connectez-vous au serveur principal. 





5 Cliquez sur Ajouter une zone, puis sur « Ajouter une zone secondaire (esclave) ». 


7 Dans le champ Noms dans la zone secondaire, saisissez le nom de la zone. 

Le nom de la zone est identique à celui de la zone principale définie sur le serveur 

de noms principal. 

8 Sous la liste d’adresses Zone principale, cliquez sur le bouton Ajouter (+). 

9 Saisissez les adresses IP de chaque serveur principal dans la zone secondaire. 



Ajout d’une zone de redirection 

Une zone de redirection dirige toutes les requêtes de recherche vers d’autres serveurs 

DNS. La zone de redirection met également en cache les requêtes de recherche antérieures 

pour améliorer la vitesse. 

Utilisez Admin Serveur pour ajouter une zone de redirection à votre serveur DNS. 

Pour ajouter une zone de redirection : 






5 Sous la liste Adresses IP du réexpéditeur, cliquez sur le bouton Ajouter (+). 

6 Saisissez les adresses IP des serveurs maîtres de la zone de redirection. 

Une zone de redirection dirige toutes les requêtes de recherche vers d’autres serveurs 

DNS. La zone de redirection met également en cache les requêtes de recherche antérieures 

pour améliorer la vitesse. 


Modification d’une zone 

Utilisez Admin Serveur pour modifier des réglages de zone. Il se peut que vous deviez 

modifier l’adresse électronique de l’administrateur ou le nom de domaine d’une zone. 

Pour modifier une zone : 






5 Sélectionnez la zone que vous voulez modifier. 

6 Modifiez les informations sur la zone comme vous le souhaitez. 


Suppression d’une zone 

Lorsque vous supprimez une zone, tous les enregistrements associés sont également 

supprimés. 

Pour supprimer une zone : 







5 Sélectionnez la zone que vous voulez supprimer. 

6 Cliquez sur Supprimer sous la liste Zones. 


Importation d’un fichier de zone BIND 

Il se peut que vous disposiez déjà d’un fichier de zone BIND provenant d’un serveur 

DNS d’une autre plate-forme. Si c’est le cas, plutôt que de saisir les informations dans 

Admin Serveur manuellement, vous pouvez utiliser le fichier de zone BIND directement 

dans Mac OS X Server. 

L’utilisation d’un fichier de zone nécessite : 

Â des autorisations d’accès root au fichier de configuration BIND (/etc/named.conf) ; 

Â le répertoire de la zone de travail (/var/named/) ; 

Â des connaissances élémentaires de BIND et de l’application Terminal. 

À défaut, utilisez les outils DNS d’Admin Serveur. 


par Admin Serveur ont changé. Si vous modifiez le fichier named.conf et des fichiers de 

zone manuellement dans Terminal, les informations sont utilisées par le DNS. Les informations 

n’apparaissent toutefois pas dans la sous-fenêtre Zones DNS d’Admin Serveur. 

De plus, les modifications apportées dans Admin Serveur ne sont pas répercutées sur 

le fichier named.conf.Il est recommandé d’utiliser Admin Serveur. 

Pour importer un fichier de zone : 

1 Ajoutez la directive de zone au fichier de configuration BIND, /etc/named.conf. 

Vous devez disposer de privilèges root pour modifier le fichier named.conf. 

Par exemple, pour la zone xyz.com décrite dans le fichier de zone db.xyz.com dans le 

dossier de zone de travail /var/named/, la directive de zone pourrait ressembler à ceci : 

zone "xyz.com" IN { 

// Zone de recherche avant pour xyz.com 

type master; 

// Il s’agit d’une zone principale 

file "db.xyz.com"; // Les infos sur la zone sont stockées dans / 

var/named/db.xyz.com 

allow-update { none; }; 

}; 

2 Confirmez que le fichier de zone doit être ajouté au dossier de zone de travail /var/named/. 

3 Redémarrez le service DNS à l’aide d’Admin Serveur. 


Gestion d’enregistrements DNS 

Chaque zone contient un certain nombre d’enregistrements qui sont nécessaires lorsqu’un 

ordinateur client traduit un nom de domaine (par exemple, www.exemple.com) en numéro IP. 

Les navigateurs web, les clients de courrier électronique et les autres applications 

réseau utilisent les enregistrements d’une zone pour contacter le serveur qui convient. 

Les sections suivantes décrivent comment ajouter, modifier et supprimer des enregistrements 

DNS. 

Â « Ajout d’un enregistrement d’alias à une zone DNS » à la page 70. 

Â « Ajout d’un enregistrement de machine à une zone DNS » à la page 71. 

Â « Ajout d’un enregistrement de service à une zone DNS » à la page 72. 

Â « Modification d’un enregistrement dans une zone DNS » à la page 72. 

Â « Suppression d’un enregistrement d’une zone DNS » à la page 73. 

Ajout d’un enregistrement d’alias à une zone DNS 

Vous devez ajouter des enregistrements pour chaque ordinateur dont la zone principale 

DNS est responsable. N’ajoutez pas d’enregistrements pour les ordinateurs que 

cette zone ne contrôle pas. 

Un enregistrement d’alias, ou enregistrement de nom canonique (CNAME), est utilisé 

pour créer des alias qui pointent vers d’autres noms. Si vous voulez que cet ordinateur 

ait plus d’un nom, ajoutez des enregistrements d’alias à la zone. 

Pour ajouter un enregistrement d’alias DNS : 






5 Sélectionnez la zone à laquelle l’enregistrement doit être ajouté. 

6 Cliquez sur Ajouter un enregistrement, puis choisissez Ajouter un alias (CNAME). 

Cela ajoute l’enregistrement d’alias à la zone. 

7 Sélectionnez newAlias sous la zone, puis saisissez les informations sur l’alias. 

Dans le champ Nom de l’alias, saisissez le nom de l’alias. Le contenu de ce champ sert 

de base aux enregistrements CNAME de l’ordinateur. Les enregistrements pointeurs 

de recherche inversée de l’ordinateur sont créés automatiquement. 

Pour utiliser le nom de domaine complet de l’ordinateur, cochez la case Intégralement 

qualifié. 



Ajoutez autant d’alias que vous le souhaitez en ajoutant d’autres enregistrements d’alias. 

Ajout d’un enregistrement de machine à une zone DNS 




Un enregistrement de machine, ou enregistrement d’adresse (A), est utilisé pour associer 

un nom de domaine à une adresse IP. C’est pourquoi il ne peut y avoir qu’une seule 

machine par adresse IP car les adresses IP doivent être uniques au sein d’une zone. 

Pour ajouter un enregistrement de machine DNS : 








Cela ajoute l’enregistrement de machine à la zone. 

7 Sélectionnez newMachine sous la zone, puis saisissez les informations suivantes sur 

la machine. 

Dans le champ Nom de machine, saisissez le nom d’hôte de l’ordinateur. Le contenu 

de ce champ sert de base à l’enregistrement A de l’ordinateur. Les enregistrements 


Cliquez sur le bouton Ajouter (+), puis saisissez l’adresse IP de l’ordinateur. 

Saisissez toutes les informations sur le matériel et les logiciels de l’ordinateur dans 

les zones de texte correspondantes. Il s’agit des bases pour l’enregistrement HINFO 

de l’ordinateur. 

Saisissez des commentaires sur l’ordinateur dans la zone de texte Commentaire. 

Le contenu de ce champ sert de base à l’enregistrement TXT de l’ordinateur. 

Vous pouvez stocker jusqu’à 255 caractères ASCII dans la zone des commentaires. Vous 

pouvez décrire l’emplacement physique de l’ordinateur (par exemple, « Serveur de l’étage, 

armoire B »), le propriétaire de l’ordinateur (par exemple, « Ordinateur de Jean ») ou écrire 

toute autre information sur l’ordinateur. 



Ajout d’un enregistrement de service à une zone DNS 




Les enregistrements de service (SRV) sont utilisés pour définir l’hôte et le port cible 

sur lequel le service DNS travaillera. 

Pour ajouter un enregistrement de service DNS : 







6 Cliquez sur Ajouter un enregistrement, puis choisissez Ajouter un service (SRV). 

Cela ajoute l’enregistrement de service à la zone. 

7 Sous la zone, sélectionnez Homepage, puis saisissez les informations sur le service. 


Modification d’un enregistrement dans une zone DNS 

Chaque fois que vous modifiez l’espace de noms du domaine, vous devez mettre 

à jour les enregistrements DNS. Les mises à niveau du matériel ou l’ajout à un nom 

de domaine peuvent aussi nécessiter la mise à jour des enregistrements DNS. 

Vous pouvez dupliquer un enregistrement puis le modifier pour aller plus vite lors 

de la configuration. 

Pour modifier un enregistrement : 






5 Cliquez sur le triangle à gauche de la zone qui contient l’enregistrement d’ordinateur 

à modifier. 

La liste des enregistrements apparaît. 

6 Sélectionnez l’enregistrement à modifier et apportez les modifications souhaitées aux 

champs sous la liste. 



Suppression d’un enregistrement d’une zone DNS 

Lorsqu’un ordinateur n’est plus associé à un nom de domaine ou à une adresse utilisable, 

supprimez les enregistrements associés. 

Pour supprimer un enregistrement : 






5 Cliquez sur le triangle à gauche de la zone qui contient l’enregistrement d’ordinateur 

à supprimer. 


6 Sélectionnez l’enregistrement à supprimer et cliquez sur Supprimer sous la liste. 


Sécurisation du serveur DNS 

Les serveurs DNS sont souvent la cible d’utilisateurs d’ordinateurs malveillants (pirates). 

Les serveurs DNS sont la cible de plusieurs types d’attaques. En prenant des précautions 

supplémentaires, vous pouvez éviter des problèmes et les temps d’arrêt associés 

aux pirates. 

Plusieurs types d’attaques contre la sécurité sont associés au service DNS : 

Â La mystification du DNS. 

Â La prospection de serveur (en anglais « server mining »). 

Â Le profilage du service DNS (en anglais « profiling »). 

Â Le déni de service (en anglais « denial of service » ou « DoS »). 

Â Le talonnage de service (en anglais « piggybacking »). 


Mystification du DNS 

La mystification du DNS consiste à ajouter de fausses données dans le cache du 

serveur DNS. Cela permet aux pirates : 

Â de rediriger les véritables requêtes de nom de domaine vers des adresses IP alternatives. 

Par exemple, un enregistrement A falsifié relatif à une banque pourrait pointer le navigateur 

d’un utilisateur d’ordinateur vers une autre adresse IP contrôlée par le pirate. 

Un faux double du site web d’origine pourrait y pousser les utilisateurs à donner leurs 

numéros de compte et mots de passe au pirate. 

De plus, un enregistrement de courrier électronique falsifié pourrait permettre à un 

pirate d’intercepter les courriers envoyés à un à partir d’un domaine. Si le pirate réexpédie 

ensuite ce courrier au bon serveur de messagerie après avoir copié le courrier, 

personne ne pourrait s’en apercevoir. 

Â d’empêcher la résolution correcte des noms de domaine et l’accès à Internet. 

Ce sont les attaques de mystification du DNS les plus bénignes. Elles font juste croire 

qu’un serveur DNS ne fonctionne par correctement. 

La manière la plus efficace de se protéger de ces attaques est la vigilance. Cela couvre 

la mise à jour régulière des logiciels et l’analyse régulière des enregistrements DNS. 

En cas de découverte d’exploits sur la version courante de BIND, des corrections sont 

apportées et une mise à jour Security Update est publiée pour Mac OS X Server. Appliquez 

tous ces correctifs de sécurité. Des analyses régulières de vos enregistrements 

DNS peuvent aussi aider à prévenir de telles attaques. 

Exploration de serveur 

L’exploration de serveur consiste à obtenir une copie d’une zone principale complète 

en demandant un transfert de zone. Dans ce cas, un pirate prétend être une zone 

secondaire à une autre zone principale et demande une copie de tous les enregistrements 


Avec une copie de votre zone principale, le pirate peut savoir quels types de services 

un domaine fournit et les adresses IP des serveurs qui les fournissent. Il peut alors tenter 

des attaques spécifiques sur ces services. Il s’agit d’une reconnaissance avant une 

autre attaque. 

Pour se défendre contre une attaque de ce type, spécifiez quelles adresses IP sont autorisées 

à demander des transferts entre zones (vos serveurs de zone secondaire) et interdisez-le 

à tous les autres. 

Les transferts entre zones se font par TCP sur le port 53. Pour limiter les transferts entre 

zones, bloquez toutes les demandes de transfert de zone sauf celles qui proviennent 

de vos serveurs DNS secondaires. 


Pour spécifier des adresses IP de transfert entre zones : 

1 Créez un filtre de coupe-feu qui n’autorise que les adresses IP derrière votre coupe-feu 

à accéder au port TCP 53. 

2 Suivez les instructions de la section « Configuration de règles de coupe-feu avancées » 

dans le chapitre 4, « Utilisation du service de coupe-feu, » en utilisant les réglages suivants : 

Â Paquet : Autoriser 

Â Port : 53 

Â Protocole :TCP 

Â IP source : l’adresse IP de votre serveur DNS secondaire 

Â IP de destination : l’adresse IP de votre serveur DNS principal 

Profilage du service DNS 

Une autre technique de reconnaissance fréquemment utilisée par les utilisateurs malveillants 

consiste à profiler votre service DNS. Un pirate fait d’abord une demande de 

version BIND. Le serveur répond en indiquant quelle version de BIND est en service. 

Le pirate compare ensuite la réponse à des exploits et vulnérabilités connus dans cette 

version de BIND. 

Pour se défendre contre ce type d’attaque, configurez BIND de façon à ce qu’il réponde 

autre chose que ce qu’il est. 

Pour modifier la réponse donnée lorsqu’on demande la version de BIND : 

1 Ouvrez un éditeur de texte de ligne de commande (par exemple vi, emacs ou pico). 

2 Ouvrez le fichier named.conf en modification. 

3 Aux crochets d’options du fichier de configuration, ajoutez ce qui suit : 

version "[votre texte, par exemple, « c’est notre affaire ! »]"; 

4 Enregistrez named.conf. 

Déni de service 

Ce type d’attaque est fréquent et aisé. Un pirate envoie tellement de demandes de 

service et de requêtes qu’un serveur utilise toute sa puissance de traitement et toute 

sa bande passante réseau pour tenter de répondre. Le pirate empêche donc l’utilisation 

légitime du service en le surchargeant. 

Il est difficile d’empêcher ce type d’attaque avant qu’elle ne commence. Une surveillance 

constante de la charge de travail du service DNS et du serveur permet à un administrateur 

de détecter l’attaque tôt et de réduire ses effets néfastes. 

La manière la plus simple de se prémunir contre ce type d’attaque consiste à bloquer 

l’adresse IP incriminée à l’aide de votre coupe-feu. Consultez la rubrique « Configuration de 

règles de coupe-feu avancées » à la page 102. Malheureusement, cela signifie que l’attaque 

est déjà en cours et que le serveur répond aux requêtes du pirate et consigne les activités. 


Talonnage de service 

Ce type d’attaque n’est pas tant réalisée par des intrus malveillants que par des utilisateurs 

d’Internet communs qui apprennent l’astuce d’autres utilisateurs. S’ils trouvent 

que le temps de réponse du DNS de leur propre FAI est trop long, ils configurent leur 

ordinateur de façon à ce qu’il interroge un autre serveur DNS que les serveurs DNS 

de leur FAI. Dans les faits, cela se traduit par un nombre plus élevé d’utilisateurs qui 

accèdent au serveur DNS qu’initialement prévu. 

Vous pouvez vous protéger contre ce type d’attaque en limitant ou désactivant la récursivité 

DNS. Si vous prévoyez de fournir le service DNS aux utilisateurs de votre propre 

réseau local, ils ont besoin de la récursivité pour résoudre des noms de domaine, mais 

ne fournissez pas ce service aux utilisateurs d’Internet. 

Pour empêcher entièrement la récursivité, consultez « Activation de la récursivité » 

à la page 65. 

Le juste milieu le plus fréquent consiste à autoriser la récursivité pour les requêtes provenant 

d’adresses IP qui figurent dans votre propre plage mais d’interdire la récursivité 

aux adresses externes. 

BIND vous permet de spécifier cela dans son fichier de configuration, named.conf. 

Modifiez votre fichier named.conf de façon à ce qu’il contienne ce qui suit : 

options { 

... 

allow-recursion{ 

127.0.0.0/8; 

[votre propre plage d’adresses IP, par exemple 192.168.1.0/27]; 

}; 

}; 

Pour en savoir plus, consultez la documentation de BIND. 

Administration du service Bonjour sur zone élargie 

Si votre ordinateur ou périphérique prend en charge Bonjour, il va automatiquement 

diffuser et découvrir les services fournis par les autres ordinateurs ou périphériques qui 

utilisent Bonjour. Vous pouvez mettre en réseau rapidement et simplement des ordinateurs 

et des périphériques qui prennent en charge Bonjour. 

La recherche Bonjour peut être gérée et sécurisée à l’aide d’Admin Serveur. Vous pouvez 

gérer la recherche Bonjour en désignant un domaine Bonjour pour tous les ordinateurs 

et périphériques qui utilisent Bonjour. Lorsque vous activez cette fonctionnalité, 

toutes les zones principales fournissent le domaine de recherche Bonjour désigné aux 

ordinateurs clients afin qu’ils puissent rechercher les services Bonjour. 


Pour activer la recherche Bonjour : 





4 Cliquez sur Bonjour. 

5 Cochez la case « Activer l’accès automatique aux clients via Bonjour pour le domaine » et 

saisissez un nom de domaine pour la recherche Bonjour (par exemple, bonjour.societe.com). 


Tâches d’administration de réseau courantes qui utilisent 

le service DNS 

Les sections qui suivent illustrent des tâches d’administration de réseau courantes 

qui nécessitent le service DNS. 

Configuration du DNS pour le service de courrier 

Pour fournir le service de courrier sur votre réseau, vous devez configurer le DNS de 

façon à ce que le courrier entrant soit envoyé au bon hôte de courrier sur votre réseau. 

Lorsque vous configurez le service de courrier, vous définissez une série d’hôtes, appelés 

échangeurs de courrier ou hôtes MX (« Mail Exchanger »), chacun possédant un niveau 

de priorité déterminé. L’hôte possédant la priorité la plus élevée reçoit d’abord le courrier. 

Si cet hôte est indisponible, l’hôte possédant la priorité suivante reçoit le courrier, 

et ainsi de suite. 

Imaginons que le nom d’hôte du serveur de messagerie soit fiable dans le domaine exemple.com. 

Sans enregistrement MX, les adresses électroniques des utilisateurs contiendraient 

le nom de l’ordinateur faisant office de serveur de messagerie, comme ceci : 

nom@fiable.exemple.com 

Pour modifier le serveur de messagerie ou rediriger le courrier, vous devez prévenir 

les expéditeurs potentiels que vos utilisateurs ont une nouvelle adresse ou vous pouvez 

créer un enregistrement MX pour chaque domaine que vous voulez faire gérer 

par votre serveur de messagerie et diriger le courrier vers le ordinateur qui convient. 

Lorsque vous configurez un enregistrement MX, ajoutez la liste des ordinateurs potentiels 

qui peuvent recevoir du courrier pour un domaine. De la sorte, si le serveur est 

occupé ou éteint, le courrier est envoyé à un autre ordinateur. 


Chaque ordinateur qui figure sur la liste se voit assigner un numéro d’ordre (sa priorité). 

Celui qui porte le plus petit numéro est essayé en premier. Si cet ordinateur n’est 

pas disponible, le système consulte l’ordinateur qui possède le numéro inférieur suivant, 

et ainsi de suite. 

Lorsqu’un ordinateur reçoit le courrier, il le conserve et l’envoie au serveur de messagerie 

principal une fois que ce dernier est à nouveau disponible, puis le serveur de messagerie 

principal distribue le courrier. 

Voici un exemple d’enregistrement MX contenant trois ordinateurs pouvant recevoir 

du courrier pour le domaine exemple.com : 

exemple.com 

10 fiable.exemple.com 

20 secours.exemple.com 

30 dernier-recours.exemple.com 

Les enregistrements MX sont également utilisés pour le courrier sortant. Lorsque votre serveur 

de courrier envoie du courrier, il consulte l’enregistrement MX pour voir si la destination 

est locale ou sur Internet, puis le processus décrit ci-avant se répète en sens inverse. 

Si le serveur principal à la destination n’est pas disponible, votre serveur de messagerie 

essaye chaque serveur qui figure dans la liste d’enregistrement MX de la destination 

jusqu’à ce qu’il en trouve un qui accepte le courrier. 

La configuration du DNS pour le service de courrier implique la création d’enregistrement 

MX dans le DNS pour vos serveurs de messagerie. Si votre FAI fournit le service 

DNS, contactez-le afin qu’il puisse activer vos enregistrement MX. Suivez les étapes cidessous 

uniquement si vous fournissez votre propre service DNS. 

Il se peut que vous souhaitiez configurer plusieurs serveurs à des fins de redondance. 

Si c’est le cas, créez un enregistrement MX par serveur auxiliaire. 

Pour activer des enregistrements MX de votre serveur de courrier : 







6 Cliquez sur le triangle situé à gauche de la zone. 




Cela ajoute un enregistrement de machine à la zone. 

8 Dans le champ Nom de machine, saisissez le nom d’hôte de l’ordinateur. 

Si vous voulez utiliser le nom de domaine complet de l’ordinateur, cochez la case Intégralement 

qualifié et saisissez le nom de domaine complet de l’ordinateur. 

Le contenu de ce champ sert de base à l’enregistrement A de l’ordinateur. Les enregistrements 


9 Cliquez sur le bouton Ajouter (+) et saisissez l’adresses IP de l’ordinateur. 

10 Dans les zones de texte correspondantes, saisissez des informations sur le matériel 

et les logiciels de l’ordinateur. 

11 Dans la zone de texte Commentaire, saisissez des commentaires sur l’ordinateur. 

Le contenu de ce champ sert de base à l’enregistrement TXT de l’ordinateur. 

Vous pouvez stocker jusqu’à 255 caractères ASCII dans la zone des commentaires. Vous 

pouvez décrire l’emplacement physique de l’ordinateur (par exemple, « Serveur de l’étage, 

armoire B »), le propriétaire de l’ordinateur (par exemple, « Ordinateur de Jean ») ou écrire 

toute autre information sur l’ordinateur. 


13 Pour ajouter d’autres noms pour cet ordinateur, cliquez sur Ajouter un enregistrement 

puis choisissez Ajouter un alias (CNAME). 

Ajoutez autant d’alias que vous voulez pour votre serveur. 

14 Dans le champ Nom de l’alias, saisissez le nom alternatif de votre ordinateur. 

Si vous voulez utiliser le nom de domaine complet de l’alias, cochez la case Intégralement 

qualifié et saisissez le nom de domaine complet. 

Le contenu de ce champ sert de base aux enregistrements CNAME de l’ordinateur. Les enregistrements 


15 Dans le champ Destination, saisissez le nom de l’ordinateur pour lequel vous créez l’alias. 

Si vous voulez utiliser le nom de domaine complet de la destination, cochez la case 

Intégralement qualifié et saisissez le nom de domaine complet. 


17 Dans la liste Serveurs développée, sélectionnez Courrier. 

18 Cliquez sur Réglages, puis sur Avancé. 

19 Cliquez sur Hébergement. 


21 Dans le champ Alias d’hôte local, saisissez le nom de l’alias que vous venez de créer. 

22 Cliquez sur OK, puis sur Enregistrer. 


23 Répétez les étapes 7 à 22 pour chaque serveur de courrier. 


Configuration d’un espace de noms derrière une passerelle NAT 

Si vous vous trouvez derrière une passerelle de traduction d’adresses réseau (en anglais 

« Network Address Translation » ou « NAT »), vous disposez d’un jeu d’adresses IP spécial 

qui ne sont utilisables qu’au sein de l’environnement NAT. Si vous deviez assigner un nom 

de domaine à ces adresses au-delà de la passerelle NAT, aucun nom de domaine ne serait 

traduit vers le bon ordinateur. Pour en savoir plus sur NAT, consultez le chapitre 5, 

« Utilisation du service NAT, » à la page 121. 

Vous pouvez toutefois exécuter un service DNS derrière la passerelle en assignant des 

noms d’hôte aux adresses IP NAT. De la sorte, si vous vous trouvez derrière la passerelle 

NAT, vous pouvez saisir des noms de domaine au lieu des adresses IP pour accéder aux 

serveurs, aux services et aux stations de travail. 

Votre serveur DNS devrait aussi disposer d’une zone de redirection pour envoyer 

des requêtes DNS au-delà de la passerelle NAT pour permettre la résolution de 

noms en dehors de la zone de routage couverte. 

Les réglages réseau de vos clients doivent mentionner le serveur DNS situé derrière 

la passerelle NAT. Le processus de configuration de l’un de ces réseaux est identique 

à celui d’un réseau privé. Pour en savoir plus, consultez la rubrique « Liaison d’un réseau 

local à Internet par une adresse IP » à la page 128. 

Si vous configurez un espace de noms derrière la passerelle, les noms saisis par les utilisateurs 

qui se trouvent au-delà de la passerelle NAT ne seront pas traduits dans les adresses 

qui y sont assignées. Configurez les enregistrements DNS en dehors de la zone couverte 

par NAT de façon à ce qu’ils pointent vers la passerelle NAT et utilisent la redirection de 

port NAT pour accéder aux ordinateurs qui se trouvent derrière la passerelle NAT. Pour en 

savoir plus, consultez la rubrique « Configuration de la redirection de port » à la page 124. 

La fonctionnalité DNS multidiffusion de Mac OS X vous permet d’utiliser, sur votre sousréseau 

local, des noms d’hôte possédant le suffixe .local sans devoir activer le DNS. Tout 

service ou périphérique qui prend en charge Multicast DNS permet l’utilisation d’un 

espace de noms défini par l’utilisateur sur votre sous-réseau local sans devoir installer 

ni configurer le DNS. 


Répartition de la charge du réseau (permutation circulaire) 

BIND permet une répartition de la charge simple en utilisant une méthode de permutation 

d’adresses connue sous le nom de permutation circulaire. Il vous suffit de configurer 

un ensemble d’adresses IP pour plusieurs hôtes fournissant le même contenu par écriture 

miroir et BIND utilise ces adresses l’une à la suite de l’autre lorsqu’il répond à des requêtes. 

La permutation circulaire ne surveille pas la charge des serveurs ni la puissance de traitement. 

Elle utilise seulement l’une à la suite de l’autre une série d’adresses pour un nom 

d’hôte donné. 

La permutation circulaire s’active en ajoutant des entrées d’adresse IP à un nom d’hôte 

donné. Par exemple, imaginons que vous souhaitiez distribuer le trafic serveur web 

entre trois serveurs de votre réseau qui fournissent tous le même contenu par écriture 

miroir. Ces serveurs possèdent les adresses IP 192.168.12.12, 192.168.12.13 et 192.168.12.14. 

Vous devriez ajouter trois enregistrements de machine avec trois adresses IP différentes, 

mais le même nom de domaine. 

Lorsque le service DNS détecte plusieurs entrées pour le même hôte, son comportement 

par défaut consiste à répondre aux requêtes en les envoyant aux adresses de cette liste 

l’une à la suite de l’autre. La première requête reçoit les adresses dans l’ordre A, B, C. 

La requête suivante reçoit l’ordre B, C, A, puis C, A, B, et ainsi de suite. 

Pour diminuer les effets de la mise en cache locale, vous pouvez réduire la durée de vie 

de la zone à une durée de vie assez courte. 

Configuration d’un réseau TCP/IP privé 

Si votre réseau local dispose d’une connexion à Internet, configurez votre serveur et 

vos ordinateurs avec des adresses IP et d’autres informations propres à Internet. Vous 

obtiendrez ces adresses IP auprès de votre FAI. 

S’il n’est pas prévu de connecter votre réseau local à Internet et que vous souhaitez utiliser 

TCP/IP pour transmettre des informations sur votre réseau, vous pouvez configurer 

un réseau TCP/IP privé. Lorsque vous configurez un réseau privé, vous devez choisir des 

adresses IP dans les blocs d’adresses IP réservées par l’IANA pour les intranets privés : 

Â 10.0.0.0–10.255.255.255 (préfixe 10/8) 

Â 172.16.0.0–172.31.255.255 (préfixe 172.16/12) 

Â 172.16.0.0–172.31.255.255 (préfixe 192.168/16) 

Important : si vous pensez devoir vous connecter à Internet à l’avenir, inscrivez-vous 

dans un registre Internet et utilisez les adresses IP fournies par le registre lors de la configuration 

de votre réseau privé. Sinon, lorsque vous vous connecterez à Internet, tous 

les ordinateurs de votre réseau devront être reconfigurés. 


Si vous configurez un réseau TCP/IP privé, vous pouvez également fournir le service 

DNS. Si vous configurez TCP/IP et le DNS sur votre réseau local, vos utilisateurs pourront 

accéder facilement à des services de fichier, web, de courrier et autres sur votre réseau. 

Hébergement de plusieurs services Internet à une seule adresse IP 

Il est possible de faire fournir tous les services Internet (par exemple, le service de courrier 

ou web) par un seul et même serveur. Ces services peuvent tous fonctionner sur 

un seul ordinateur à une seule adresse IP. 

Vous pouvez avoir plusieurs noms d’hôte dans la même zone pour un seul serveur. 

Par exemple, le nom de domaine www.exemple.com peut être traduit dans la même 

adresse IP que ftp.exemple.com ou mail.exemple.com. Ce domaine semble correspondre 

à plusieurs serveurs à toute personne qui accède à ces services, mais il s’agit en réalité 

d’un seul et même serveur à une seule et même adresse IP. 

La configuration d’enregistrements DNS pour ce service est facile : il suffit d’ajouter des 

alias à l’enregistrement de machine DNS. La configuration de noms DNS pour ces services 

n’active ou ne configure pas les services. Elle fournit simplement des noms faciles 

à retenir pour tous les services offerts. Cela peut simplifier l’installation et la configuration 

du logiciel client de chaque service. 

Par exemple, pour chaque service que vous voulez montrer, vous : 

Â Créez mail.exemple.com pour la saisie dans les clients de courrier. 

N’oubliez pas de cocher la case Serveur de courrier dans la sous-fenêtre Machine. 

Â Créez www.exemple.com pour la saisie dans les navigateurs web. 

Â Créez afp.exemple.com pour le partage Apple File Sharing dans le Finder. 

Â Créez ftp.exemple.com pour la saisie dans les clients FTP. 

Au fur et à mesure que vos besoins grandiront, vous pouvez toujours ajouter des ordinateurs 

au réseau pour prendre en charge ces services. Il vous suffira de supprimer l’alias 

de l’enregistrement DNS de la machine et de créer un enregistrement pour la nouvelle 

machine sans devoir modifier les réglages de vos client. 

Hébergement de plusieurs domaines sur le même serveur 

Vous pouvez faire fournir tous les services Internet (par exemple, le service de courrier 

ou web) pour différents noms de domaine par un seul et même serveur. Par exemple, 

vous pouvez faire en sorte que le nom de domaine www.exemple.com soit traduit dans 

la même adresse IP que www.serveur.org. Ce domaine semble correspondre à plusieurs 

serveurs à toute personne qui accède à ces domaines, mais il s’agit en réalité d’un seul 

et même serveur à une seule et même adresse IP. 

La configuration d’enregistrements DNS pour ce service est facile : il suffit d’ajouter 

une zone DNS puis d’y ajouter vos noms d’hôte et informations sur le serveur. 


La configuration des noms DNS de ces services n’active ni ne configure le service pour 

ces noms de domaine. Cette configuration est utilisée avec l’hébergement de domaines 

virtuel dans les services de courrier et web. 


Pour en savoir plus sur DNS et BIND 

Consultez les sections suivantes : 

Â DNS and BIND, 5th edition, par Paul Albitz et Cricket Liu (O’Reilly and Associates, 2006) 

Â Le site web de l’International Software Consortium : 

www.isc.org et www.isc.org/sw/bind 

Â Le répertoire de ressources DNS Resources Directory : 

www.dns.net/dnsrd 

Documents RFC 





En revanche, si vous êtes un administrateur de serveur confirmé, vous trouverez des détails 

techniques concernant un protocole particulier dans le document RFC correspondant. 


www.ietf.org/rfc.html. 

Â A, PTR, CNAME, MX (pour en savoir plus, consultez RFC 1035). 

Â AAAA (pour en savoir plus, consultez RFC 1886). 


4 Utilisation 

du service de coupe-feu 

4 

Ce chapitre décrit comment configurer et gérer le service 

de coupe-feu dans Mac OS X Server. 

Le service de coupe-feu est le logiciel qui protège les applications réseau qui tournent 

sur votre ordinateur Mac OS X Server. 

Activer le service de coupe-feu, c’est comme construire un mur pour limiter l’accès à 

votre réseau. Le service de coupe-feu analyse les paquets IP entrants et les rejette ou 

les accepte sur la base de règles que vous utilisez pour configurer le service de coupe-feu. 

Vous pouvez restreindre l’accès à tout service IP exécuté par le serveur ou personnaliser 

des règles pour les clients entrants ou pour une plage d’adresses IP client. 

À propos du service de coupe-feu 

Le service de coupe-feu se configure à l’aide d’Admin Serveur. Vous pouvez également 

configurer certains réglages en éditant manuellement des fichiers de configuration. 

85

L’illustration ci-dessous montre un exemple de processus de coupe-feu. 

L’ordinateur avec l’adresse 

IP 10.221.41.33 tente de se 

connecter au serveur via 

Internet (port 80). 

Le serveur commence 

à rechercher les règles. 

Existe-t-il une 

règle pour 

le port 80 ? 

Oui 

Existe-t-il une 

règle contenant 

l’adresse IP 

10.221.41.33 ? 

Non 

Localisez la règle 

Tout port avec 

la plage la 

plus spécifique 

comprenant 

l’adresse 

10.221.41.33. 

Oui 

Que précise 

la règle ? 

Autoriser 

Refuser 

La connexion 

est réalisée. 

La connexion 

est refusée. 

Les services, tels que les services web et FTP, sont identifiés sur le serveur par un numéro 

de port TCP (Transmission Control Protocol) ou UDP (User Datagram Protocol). Lorsqu’un 

ordinateur tente de se connecter à un service, le service de coupe-feu analyse la liste des 

règles afin de retrouver le numéro de port correspondant. 

Lorsqu’un paquet arrive à une interface réseau et que le coupe-feu est activé, le paquet 

est comparé à chaque règle, en commençant par celle portant le numéro le plus petit 

numéro (la plus haute priorité). Lorsqu’une règle s’applique au paquet, l’action spécifiée 

dans la règle (comme autoriser ou refuser) est exécutée. Ensuite, selon l’action, d’autres 

règles peuvent être appliquées. 

Les règles que vous définissez sont appliquées aux paquets TCP et UDP. Vous pouvez en 

outre définir des règles destinées à restreindre les protocoles Internet Control Message Protocol 

(ICMP) ou Internet Group Management Protocol (IGMP) en créant des règles avancées. 

Important : la première fois que vous démarrez le service de coupe-feu, seuls les ports 

essentiels à l’administration à distance du serveur sont ouverts, notamment le shell sécurisé 

(22) et quelques autres. D’autres ports sont ouverts de manière dynamique pour autoriser 

des réponses spécifiques à des requêtes lancées par le serveur. Pour autoriser l’accès 

à distance à d’autres services sur votre ordinateur, ouvrez d’autres ports à l’aide de la section 

Services de la sous-fenêtre Réglages. 

86 Chapitre 4 Utilisation du service de coupe-feu

Si vous prévoyez de partager des données par Internet et ne disposez pas d’un routeur 

ou coupe-feu dédié pour protéger vos données contre les accès non autorisés, vous devez 

utiliser le service de coupe-feu. Ce service convient bien aux petites et moyennes entreprises, 

aux écoles et aux petits bureaux ou aux bureaux à domicile. 

Les organisations plus importantes disposant d’un coupe-feu peuvent utiliser le service 

de coupe-feu pour exercer plus de contrôle sur leurs serveurs. Par exemple, les groupes 

de travail d’une grande entreprise ou les écoles d’un groupement d’écoles peuvent utiliser 

le service de coupe-feu pour contrôler l’accès à leurs propres serveurs. 

Le service de coupe-feu procède également à l’inspection dynamique des paquets, ce qui 

détermine si un paquet entrant est une réponse légitime à une requête sortante ou fait 

partie d’une session en cours. Cela autorise les paquets qui, autrement, seraient refusés. 

Pratiques élémentaires en matière de coupe-feu 

Par défaut, Mac OS X Server utilise un modèle simple pour réaliser un coupe-feu sécurisé 

et pratique. Si un coupe-feu est trop restrictif, le réseau qui se trouve derrière lui peut être 

trop isolé. À l’inverse, si un coupe-feu est trop laxiste, il ne sécurise pas les ressources qui 

se trouvent derrière lui. 

Adhérer aux aspects suivants du modèle élémentaire donne un maximum de flexibilité 

et d’utilité avec un minimum de risque involontaire : 

Â Autoriser les activités IP essentielles. 

Les activités IP essentielles couvrent les activités réseau nécessaires pour utiliser IP 

et fonctionner dans un environnement IP. Ces activités couvrent des opérations comme 

bouclage et sont exprimées sous la forme de règles de haute priorité (portant de petits 

numéros) que vous pouvez consulter dans la sous-fenêtre Avancé des réglages du service 

de coupe-feu. Ces règles sont configurées pour vous. 

Â Autoriser des activités spécifiques à un service. 

On entend par activités spécifiques à un service les paquets réseau destinés à des 

ports service spécifiques, comme le service web ou le service de courrier. En autorisant 

le trafic à accéder à des ports sur lesquels des services déterminés sont configurés, 

vous autorisez l’accès au travers du coupe-feu service par service. 

Ces services sont exprimés sous la forme de règles de priorité moyenne et correspondent 

aux cases à cocher de la sous-fenêtre Service des réglages de coupe-feu. Vous devez 

apporter ces modifications sur la base de vos propres réglages et groupes d’adresses. 

Â Refuser les paquets qui ne sont pas déjà autorisés. 

Il s’agit de l’attrape-tout final. Si un paquet ou du trafic destiné à un port n’est pas sollicité, 

le paquet ou trafic est éliminé et n’est pas autorisé à atteindre sa destination. Cela 

est exprimé sous la forme de règles de basse priorité (portant un grand numéro) que 

vous pouvez consulter dans la sous-fenêtre Avancé des réglages du service de coupefeu. 

Un jeu de règles de refus de base destinées au coupe-feu est créé par défaut. 

Chapitre 4 Utilisation du service de coupe-feu 87

Démarrage du coupe-feu 

Bien que le coupe-feu soit traité comme un service par Admin Serveur, il n’est pas 

implémenté sous la forme d’un processus exécuté comme les autres services. Il s’agit 

simplement d’un jeu de comportements au sein du noyau, contrôlé par les outils ipfw 

et sysctl. Pour démarrer et arrêter le coupe-feu, Admin Serveur définit un interrupteur 

à l’aide de l’outil sysctl. 

Lors du démarrage de l’ordinateur, un élément de démarrage nommé IPFilter recherche 

le drapeau IPFILTER dans le fichier /etc/hostconfig. Si le drapeau est définit, l’outil 

sysctl est utilisé pour activer le coupe-feu comme suit : 

$ sysctl -w net.inet.ip.fw.enable=1 

À défaut, il désactive le coupe-feu comme suit : 

$ sysctl -w net.inet.ip.fw.enable=0 

Les règles chargées dans le coupe-feu sont conservées, quel que soit ce réglage. Elles 

sont ignorées lorsque le coupe-feu est désactivé. 

Comme la plupart des éléments de démarrage, l’élément de démarrage IPFilter s’ouvre 

dans un ordre prédéterminé et uniquement après que certains éléments de démarrage 

prérequis aient démarré. Dans Mac OS X Server, la fenêtre d’ouverture de session est présentée 

alors que des éléments de démarrage peuvent toujours être en cours de démarrage. 

C’est pourquoi il est possible d’ouvrir une session avant que le coupe-feu n’ait activé 

ses réglages configurés. 

L’élément de démarrage qui configure le coupe-feu devrait, en principe, avoir terminé 

quelques minutes après le démarrage du système. 

À propos des règles de coupe-feu 

Lorsque vous démarrez le service de coupe-feu, la configuration par défaut refuse 

l’accès aux paquets entrants provenant d’ordinateurs distants, à l’exception de ceux 

qui entrent par les ports destinés à la configuration à distance. Cela donne un niveau 

de sécurité élevé. Des règles à état sont également en place afin que les réponses aux 

requêtes sortantes émises par votre ordinateur soit également autorisées. 

Vous pouvez ensuite ajouter des règles IP pour autoriser l’accès au serveur aux clients 

qui demandent l’accès à des services. Pour apprendre comment les règles IP fonctionnent, 

lisez la section suivante. Pour apprendre comment créer des règles IP, consultez 

« Gestion du service de coupe-feu » à la page 99. 


Une règle de coupe-feu, qu’est-ce que c’est ? 

Une règle de coupe-feu, c’est un ensemble de caractéristiques de paquet IP couplé à 

une action à exécuter pour chaque paquet qui répond aux caractéristiques. Parmi ces 

caractéristiques, il peut y avoir le protocole, l’adresse source ou de destination, le port 

source ou de destination ou l’interface réseau. 

Les adresses peuvent être exprimées sous la forme d’une adresse IP unique ou d’une 

plage d’adresses. 

Un port de service peut être exprimé sous la forme d’une valeur unique, d’une liste 

de valeurs ou d’une plage de valeurs. 

L’adresse IP et le masque de sous-réseau ensemble déterminent la plage d’adresses IP 

à laquelle la règle s’applique et peuvent être définis de manière à s’appliquer à toutes 

les adresses. 

Adresse IP 

Les adresses IP sont composées de quatre segments de valeurs comprises entre 0 et 

255 (la plage d’un nombre de 8 bits) séparés par des points (par exemple, 192.168.12.12). 

Les segments d’une adresses IP vont du plus général ou plus particulier. Par exemple, 

le premier segment peut être commun à tous les ordinateurs d’une entreprise alors 

que le dernier segment peut n’appartenir qu’à un seul ordinateur se trouvant à un 

certain étage d’un certain bâtiment. 

Masque de sous-réseau 

Le masque de sous-réseau indique les segments de l’adresse IP spécifié qui peuvent 

varier sur un réseau et dans quelle mesure. Le masque de sous-réseau est exprimé 

dans la notation Classless InterDomain Routing (CIDR). Il est composé de l’adresse IP 

suivie par un barre oblique (/) et d’un nombre compris entre 1 et 32 appelé le préfixe IP. 

Le préfixe IP identifie le nombre de bits significatifs utilisé pour identifier un réseau. 

Par exemple, 192.168.2.1/16 signifie que les 16 premiers bits (les deux premiers groupes 

de chiffres séparés par un point) sont utilisés pour représenter le réseau (de sorte que 

toutes les machines du réseau commencent par 192.168) et que les 16 bits restants (les 

deux derniers nombres séparés par des points) sont utilisés pour identifier les hôtes. 

Chaque machine possède un groupe de nombres final unique. 

Les masques de sous-réseau peuvent être exprimés dans une autre notation, en l’occurrence, 

l’adresse IP suivie par un deux-points (:) et par le masque de réseau. Le masque 

de réseau est un groupe de 4 nombres compris entre 0 et 255 et séparés par des points 

équivalents à la barre oblique dans la notation CIDR. 


Les adresses avec des masques de sous-réseau dans la notation CIDR correspondent à 

des masque de sous-réseau de notation d’adresse. 

CIDR 

Correspond au masque 

de réseau 

Nombre d’adresses 

dans la plage 

/1 128.0.0.0 4.29x10 9 

/2 192.0.0.0 2.14x10 9 

/3 224.0.0.0 1.07x10 9 

/4 240.0.0.0 5.36x10 8 

/5 248.0.0.0 1.34x10 8 

/6 252.0.0.0 6.71x10 7 

/7 254.0.0.0 3.35x10 7 

/8 255.0.0.0 1.67x10 7 

/9 255.128.0.0 8.38x10 6 

/10 255.192.0.0 4.19x10 6 

/11 255.224.0.0 2.09x10 6 

/12 255.240.0.0 1.04x10 6 

/13 255.248.0.0 5.24x10 5 

/14 255.252.0.0 2.62x10 5 

/15 255.254.0.0 1.31x10 5 

/16 255.255.0.0 65536 

/17 255.255.128.0 32768 

/18 255.255.192.0 16384 

/19 255.255.224.0 8192 

/20 255.255.240.0 4096 

/21 255.255.248.0 2048 

/22 255.255.252.0 1024 

/23 255.255.254.0 512 

/24 255.255.255.0 256 

/25 255.255.255.128 128 

/26 255.255.255.192 64 

/27 255.255.255.224 32 

/28 255.255.255.240 16 

/29 255.255.255.248 8 

/30 255.255.255.252 4 

/31 255.255.255.254 2 

/32 255.255.255.255 1 


Utilisation de plages d’adresses 

Lorsque vous créez un groupe d’adresses à l’aide d’Admin Serveur, vous saisissez une 

adresse IP et un masque de sous-réseau. Les trois types de notations d’adresses autorisés 

sont : 

Â Un adresse unique : 192.168.2.1 

Â Une plage exprimée dans la notation CIDR : 192.168.2.1/24 

Â Une plage exprimée dans la notation de masque de réseau : 192.168.2.1:255.255.255.0 

Admin Serveur affiche la plage d’adresses qui en résulte. Vous pouvez modifier la plage 

en modifiant le masque de sous-réseau. 

Lorsque vous indiquez une plage de valeurs potentielles pour un segment d’une 

adresse, ce segment est appelé un caractère de remplacement. Le tableau qui suit 

contient des exemples de plages d’adresses créées à des fins spécifiques. 

Objectif 

Créer une règle qui spécifie 

une adresse IP unique. 

Créer une règle qui laisse le 

quatrième segment comme 

caractère de remplacement. 

Créer une règle qui laisse une partie 

du troisième segment et tout 

le quatrième segment comme 

caractère de remplacement. 

Créer une règle qui s’applique 

à toutes les adresses entrantes. 

Exemple 

Adresse IP 

Saisissez ceci dans 

le champ pour 

l’adresse 

10.221.41.33 10.221.41.33 ou 

10.221.41.33/32 

Plage d’adresses 

affectée 

10.221.41.33 

(adresse unique) 

10.221.41.33 10.221.41.33/24 10.221.41.0 à 

10.221.41.255 

10.221.41.33 10.221.41.33/22 10.221.40.0 à 

10.221.43.255 

Sélectionnez 

« Quelconque » 

Toutes les adresses IP 

Mécanisme et ordre des règles 

Les règles de la sous-fenêtre Service de Réglages de coupe-feu fonctionnent avec 

les règles illustrées dans la sous-fenêtre Avancé. 

Généralement, les règles générales de la sous-fenêtre Avancé bloquent l’accès à tous 

les ports. Il s’agit de règles de basse priorité (portant des numéros élevés) qui sont 

appliquées après les règles de la sous-fenêtre Services. 

Les règles créées dans la sous-fenêtre Services donnent accès à des services spécifiques et 

sont de plus haute priorité. Elles l’emportent sur celles créées dans la sous-fenêtre Avancé. 

Si vous créez plusieurs règles dans la sous-fenêtre Avancé, l’ordre des règles est déterminé 

par le numéro de règle. Ce numéro correspond à l’ordre de la règle dans la sousfenêtre 

Avancé. 


Les règles peuvent être réorganisées en les faisant glisser dans la liste de la sous-fenêtre 

Avancé de Réglages de coupe-feu. 

Pour la plupart des utilisations normales, ouvrir l’accès à des services déterminés dans 

la sous-fenêtre Avancé suffit. Si nécessaire, vous pouvez ajouter des règles à l’aide de 

la sous-fenêtre Avancé. 

Adresses IP multiples 

Un serveur peut prendre en charge plusieurs adresses IP multiconnectées, mais le service 

de coupe-feu applique un ensemble de règles à toutes les adresses IP de serveur. 

Si vous créez plusieurs adresses IP alias, les règles que vous créez s’appliquent à toutes 

ces adresses IP. 

Modification de règles de coupe-feu IPv6 

Lorsque vous configurez et utilisez le service de coupe-feu dans Server Admin, par 

défaut, ipfw et ip6fw sont démarrés. Tout le trafic IPv6 à l’exception du trafic local 

est toutefois bloqué. 

Vous pouvez ignorer les règles IPv6 en utilisant l’outil ip6fw, mais vos règles seront 

écrasées après le redémarrage du service de coupe-feu ou du serveur. 

Vous pouvez contrôler la manière dont le coupe-feu dans Server Admin gère le coupefeu 

IPv6 avec les deux clés suivantes dans le fichier /etc/ipfilter/ip_address_groups.plist : 

IPv6Mode 

DenyAllExceptLocal 

IPv6Control 

 

La clé IPv6Mode vous permet de contrôler quelles règles IPv6 doivent être appliquées. 

Il existe trois réglages possibles pour la chaîne IPv6Mode : 

Â DenyAllExceptLocal 

Â DenyAll 

Â NoRules 

Par défaut, la chaîne de la clé IPv6Mode est réglée sur DenyAllExceptLocal. Ce réglage 

s’applique aux règles suivantes, ce qui refuse tout trafic IPv6 mais autorise le trafic sur 

le réseau local : 

add 1 allow udp from any to any 626 

add 1000 allow all from any to any via lo0 

add 1100 allow all from any to ff02::/16 

65000 deny ipv6 from any to any 

Si vous réglez la chaîne IPv6Mode sur DenyAll, seule la règle suivante est appliquée, 

ce qui bloque tout le trafic IPv6. 

65000 deny ipv6 from any to any 


Si vous réglez la chaîne IPv6Mode sur NoRules, aucune règle n’est créée pour IPv6. 

Si votre réseau est entièrement en IPv6, il se peut que vous vouliez utiliser cette règle 

et utiliser l’outil ip6fw pour créer des règles de redéfinition pour IPv6 et créer un script 

qui applique à nouveau les règles au redémarrage du service de coupe-feu ou du serveur. 

La clé IPv6Control vous permet de définir une valeur booléenne qui détermine si ip6fw 

démarre ou s’arrête lorsque ipfw démarre ou s’arrête. Si cette valeur est réglée sur vrai, 

ip6fw démarre et s’arrête quand ipfw démarre ou s’arrête. Si cette valeur est réglée sur 

faux, seul ipfw démarre ou s’arrête. Par défaut, la valeur est réglée sur vrai. 


Une fois que vous avez décidé des types de règles à configurer, suivez les étapes ci-dessous 

pour configurer le service de coupe-feu. Si vous avez besoin d’aide pour effectuer ces étapes, 

consultez « Configuration du service de coupe-feu » à la page 95 et d’autres rubriques 

citées dans les étapes. 

Étape 1 : Apprenez et planifiez 

Si vous êtes un nouveau venu dans l’utilisation du service de coupe-feu, apprenez et 

comprenez les concepts liés au coupe-feu, les outils et les fonctionnalités de Mac OS X 

Server et de BIND. Pour en savoir plus, consultez la rubrique « À propos des règles de 

coupe-feu » à la page 88. 

Déterminez ensuite à quels services vous voulez donner accès. Pour les services de 

courrier, web et FTP il faut généralement donner un accès aux ordinateurs qui se trouvent 

sur Internet. Les services de fichiers et d’impression peuvent plus probablement 

être restreints à votre sous-réseau local. 

Une fois que vous avez décidé des services à protéger à l’aide du service de coupe-feu, 

déterminez les adresses IP auxquelles vous voulez donner accès à votre serveur et les 

adresses IP auxquelles vous voulez refuser l’accès à votre serveur. Configurez ensuite 

les règles nécessaires. 

Étape 2 : Activez le service de coupe-feu 

Dans Admin Serveur, sélectionnez Coupe-feu puis cliquez sur Démarrer le coupe-feu. 

Par défaut, cela bloque tous les ports entrants à l’exception de ceux utilisés pour configurer 

le serveur à distance. Si vous configurez le serveur localement, désactivez immédiatement 

l’accès depuis l’extérieur. 

Important : si vous ajoutez ou modifiez une règle après avoir démarré le service de 

coupe-feu, la nouvelle règle a un effet sur les connexions déjà établies avec le serveur. 

Par exemple, si vous refusez l’accès à votre serveur FTP après avoir démarré le service 

de coupe-feu, les ordinateurs connectés à votre serveur FTP seront déconnectés. 


Étape 3 : Configurez les réglages relatifs aux groupes d’adresses du coupe-feu 

Créez le groupe d’adresses IP auquel les règles de coupe-feu s’appliqueront. Par défaut, 

un groupe d’adresses IP est créé pour toutes les adresses IP entrantes. Les règles appliquées 

à ce groupe affectent l’ensemble du trafic réseau entrant. Consultez la rubrique 

« Configuration de réglages de groupes d’adresses » à la page 95. 

Étape 4 : Configurez les réglages relatifs au service de coupe-feu 

Activez des règles de service pour chaque groupe d’adresses. Dans la sous-fenêtre Services, 

vous pouvez activer des règles sur la base de groupes d’adresses comme numéros IP 

de destination. Consultez la rubrique « Configuration de réglages de services » à la page 96. 

Étape 5 : Configurez les réglages relatifs à la journalisation du coupe-feu 

Utilisez les réglages de journalisation pour activer la journalisation des événements du service 

de coupe-feu. Vous pouvez également définir les types et le nombre de paquets à journaliser. 

Consultez la rubrique « Configuration des réglages de journalisation » à la page 97. 

Étape 6 : Configurez les réglages avancés du coupe-feu 

Configurez les règles de coupe-feu avancées qui sont utilisées pour configurer plus 

avant tous les autres services, renforcer la sécurité de votre réseau et affiner le trafic 

réseau au travers du coupe-feu. Consultez la rubrique « Configuration de règles de 

coupe-feu avancées » à la page 102. 

Par défaut, tout le trafic UDP est bloqué, à l’exception du trafic en réponse à une 

requête sortante. Appliquez des règles aux ports UDP avec parcimonie, si vous en 

appliquez, car refuser certaines réponses UDP pourrait empêcher le fonctionnement 

normal du réseau. 

Si vous configurez des règles pour les ports UDP, ne cochez pas la case « Journaliser 

tous les paquets acceptés » dans la sous-fenêtre Réglages de journalisation du coupefeu, 

dans Admin Serveur. Comme UDP est un protocole sans connexion, tout paquet 

adressé à un port UDP est journalisé si vous cochez cette case. 

Pour apprendre comment les règles IP fonctionnent, lisez « À propos des règles de coupefeu 

» à la page 88. 

Étape 7 : Activez le service de coupe-feu 

Le service de coupe-feu s’active dans Admin Serveur. Consultez la rubrique « Démarrage 

du service de coupe-feu » à la page 98. 

Important : si vous ajoutez ou modifiez une règle après avoir démarré le service 

de coupe-feu, la nouvelle règle affecte les connexions déjà établies avec le serveur. 

Par exemple, si vous refusez tout accès à votre serveur FTP après avoir démarré le service 



Activation du service de coupe-feu 

Avant de pouvoir configurer les réglages de coupe-feu, vous devez activer le service 

de coupe-feu dans Admin Serveur. 

Pour activer le service de coupe-feu : 




4 Cochez la case Coupe-feu. 


Configuration du service de coupe-feu 

L’on configure le service de coupe-feu en configurant les réglages suivants dans la sousfenêtre 

Réglages du service de coupe-feu dans Server Admin. 

Â Groupes d’adresses : permet de configurer les groupes d’adresses IP auxquelles 

les règles de coupe-feu s’appliquent. 

Â Services : permet de spécifier quels services sont autorisés à envoyer et recevoir 

des informations au travers du coupe-feu. 

Â Journalisation : permet d’activer la journalisation des événements du service 

de coupe-feu et de définir le type et le nombre de paquets à journaliser. 

Â Avancée : (facultatif) permet de configurer des règles avancées et de définir l’ordre 

des règles. 

Les sections qui suivent décrivent les tâches requises pour la configuration de ces 

réglages. La section finale montre comment démarrer le service de coupe-feu une 

fois que vous l’avez configuré. 

Configuration de réglages de groupes d’adresses 

Vous pouvez définir des groupes d’adresses IP pour vos règles de coupe-feu. Vous 

pouvez ensuite utiliser ces groupes pour organiser et cibler les règles. 

Le groupe d’adresses Quelconque couvre toutes les adresses. Deux autres groupes 

d’adresses IP sont présents par défaut. Ils sont destinés à l’ensemble de la plage de réseau 

10 d’adresses privées et à l’ensemble de la plage réseau 192.168 d’adresses privées. 

Les adresses peuvent être affichées sous la forme d’adresses individuelles (192.168.2.2), 

d’adresses IP et masque de sous-réseau en notation CIDR (192.168.2.0/24) ou d’adresses 

IP et masque de sous-réseau en notation de masque de réseau 

(192.168.2.0:255.255.255.0). 


Pour configurer des réglages de groupe d’adresses 




3 Dans la liste Serveurs développée, sélectionnez Coupe-feu. 

4 Cliquez sur Réglages, puis sur Groupes d’adresses. 

5 Sous la sous-fenêtre Groupe d’adresses, cliquez sur le bouton Ajouter (+). 

6 Dans le champ Nom du groupe, saisissez le nom du groupe. 

7 Saisissez les adresses et le masque de sous-réseau auxquels vous voulez appliquer les règles. 

Utilisez les boutons Ajouter (+) et Supprimer (–). 

Pour indiquer une adresse IP, utilisez la valeur « Quelconque ». 



Configuration de réglages de services 

Par défaut, le service de coupe-feu autorise toutes les connexions UDP et bloque les 

connexions TCP entrantes sur les ports qui ne sont pas essentiels pour l’administration 

à distance du serveur. De plus, par défaut, des règles à état qui autorisent des réponses 

spécifiques à des requêtes sortantes sont en place. 

Avant d’activer le service de coupe-feu, assurez-vous que vous avez défini des règles 

autorisant l’accès à partir d’adresses IP de votre choix. À défaut, personne ne pourra 

accéder à votre serveur. 

Vous pouvez autoriser facilement les services standard à passer au travers du coupe-feu 

sans configuration avancée ni complète. Parmi les services Standard, il existe les services 

suivants : 

Â Accès SSH 

Â Service web 

Â Service de fichiers Apple 

Â Service de fichiers Windows 

Â Service FTP 

Â Partage d’imprimantes 

Â DNS/Multicast DNS 

Â ICMP Echo Reply (pings entrants) 

Â IGMP 

Â VPN PPTP 

Â VPN L2TP 


Â Diffusion en continu de données QTSS 

Â Partage de musique iTunes 

Important : si vous ajoutez ou modifiez une règle après avoir démarré le service de 

coupe-feu, la nouvelle règle a un effet sur les connexions déjà établies avec le serveur. 

Par exemple, si vous refusez tout accès à votre serveur FTP après avoir démarré le service 


Pour configurer les services coupe-feu standard : 






5 Dans le menu local Modifier les services pour, sélectionnez un groupe d’adresses. 

6 Pour le groupe d’adresses, choisissez d’autoriser tout le trafic provenant de n’importe 

quel port ou de n’autoriser que le trafic sur les ports spécifiés. 

7 Pour chaque service que le groupe d’adresses doit utiliser, sélectionnez Autoriser. 

Si vous ne voyez pas le service dont vous avez besoin, ajoutez un port et une description 

à la liste des services. 

Pour créer une règle personnalisée, consultez « Configuration des réglages avancés » 



Configuration des réglages de journalisation 

Vous pouvez sélectionner les types de paquets à journaliser. Vous pouvez ne journaliser 

que les paquets auxquels l’accès est refusé, que les paquets auxquels l’accès est 

autorisé ou les deux. 

Chaque option de journalisation peut générer de nombreuses entrées d’historique 

mais il est possible de limiter le volume. Vous pouvez : 

Â Ne journaliser que les paquets autorisés ou les paquets refusés, plutôt que tous 

les paquets. 

Â Ne journaliser les paquets que le temps qu’il faut. 

Â Utiliser la sous-fenêtre Réglages de journalisation pour limiter le nombre total de paquets. 

Â Ajouter une règle de comptage dans la sous-fenêtre Réglages avancés pour enregistrer 

le nombre de paquets qui répondent aux caractéristiques que vous voulez mesurer. 


Pour configurer des historiques du coupe-feu : 





4 Cliquez sur Réglages, puis sur Journalisation. 

5 Cochez la case Activer la journalisation et choisissez de journaliser les paquets autorisés, 

les paquets refusés ou un nombre déterminé de paquets. 


Configuration des réglages avancés 

Utilisez la sous-fenêtre Réglages avancés d’Admin Serveur pour configurer des règles 

spécifiques au service de coupe-feu. Il s’agit d’une étape de configuration facultative 

pour le service de coupe-feu. 

Pour en savoir plus, consultez la rubrique « Configuration de règles de coupe-feu 

avancées » à la page 102. 

Démarrage du service de coupe-feu 

Par défaut, le service de coupe-feu bloque les connexions TCP entrantes et refuse les 

paquets UDP, à l’exception de ceux reçus en réponse à des requêtes sortantes du serveur. 

Avant d’activer le service de coupe-feu, assurez-vous que vous avez défini des règles 

autorisant l’accès à partir d’adresses IP de votre choix. À défaut, personne ne pourra 

accéder à votre serveur. 

Si vous ajoutez ou modifiez une règle après avoir démarré le service de coupe-feu, la nouvelle 

règle a un effet sur les connexions déjà établies avec le serveur. Par exemple, si vous 

refusez tout accès à votre serveur FTP après avoir démarré le service de coupe-feu, les ordinateurs 

connectés à votre serveur FTP seront déconnectés. 

Pour démarrer le service de coupe-feu : 





4 Cliquez sur le bouton Démarrer le coupe-feu sous la liste Serveurs. 


Gestion du service de coupe-feu 

Une fois que vous avez configuré le service de coupe-feu, vous pouvez utiliser Admin 

Serveur pour la gestion quotidienne. 

Arrêt du service de coupe-feu 

L’on utilise Admin Serveur pour arrêter le service de coupe-feu. 

Pour arrêter le service de coupe-feu : 





4 Cliquez sur Arrêter le coupe-feu. 

Création d’un groupe d’adresses 

Utilisez Admin Serveur pour créer des groupes d’adresses pour le service de coupe-feu. 

Pour créer un groupe d’adresses : 






5 Sous la liste Groupes d’adresses IP, cliquez sur le bouton Ajouter (+). 

6 Dans le champ Nom du groupe, saisissez le nom du groupe. 

7 Saisissez les adresses et le masque de sous-réseau auxquels vous voulez appliquer les règles. 

Utilisez les boutons Ajouter (+) et Supprimer (–). 

Pour indiquer une adresse IP, utilisez la valeur « Quelconque ». 




Modification ou suppression d’un groupe d’adresses 

Vous pouvez modifier des groupes d’adresses pour modifier la plage d’adresses IP 

affectées. Le groupe d’adresses par défaut couvre toutes les adresses. Vous pouvez supprimer 

des groupes d’adresses de la liste des règles du coupe-feu. Les règles associées 

à ces adresses sont également supprimées. 


d’adresses IP et masque de réseau en notation CIDR (192.168.2.0/24) ou d’adresses IP 

et masque de réseau en notation de masque de réseau (192.168.2.0:255.255.255.0). 

Pour modifier ou supprimer un groupe d’adresses : 






5 Dans la liste Groupes d’adresses IP, sélectionnez le nom du groupe. 

6 Faites votre choix parmi les suivants : 

Pour modifier un groupe d’adresses IP, cliquez sur le bouton Modifier (/) sous la liste. 

Pour supprimer un groupe d’adresses IP, cliquez sur le bouton Supprimer (–) sous la liste. 

7 Modifiez le nom du groupe ou les adresses comme vous le souhaitez, puis cliquez sur OK. 


Duplication d’un groupe d’adresses 

Vous pouvez dupliquer des groupes d’adresses de la liste des règles du coupe-feu. 

Cela peut accélérer la configuration de groupes d’adresses similaires. 

Pour dupliquer un groupe d’adresses : 






5 Dans la liste Groupes d’adresses IP, sélectionnez le nom du groupe. 

6 Sous la liste Groupes d’adresses IP, cliquez sur le bouton Dupliquer. 


Ajout d’éléments à la liste des services 

Vous pouvez ajouter des ports personnalisés à la liste Services. Cela vous permet d’ouvrir 

des ports spécifiques à vos groupes d’adresses sans devoir créer de règle IP avancée. 

Pour ajouter des éléments à la liste Services : 






5 Sous la liste Services, cliquez sur le bouton Ajouter (+). 

6 Saisissez le nom de la règle pour le service. 

7 Saisissez un port unique (par exemple, 22) ou une plage de ports (par exemple, 650-750). 

8 Sélectionnez un protocole. 

Si vous voulez utiliser un autre protocole que TCP ou UDP, utilisez les réglages Avancés 

pour créer une règle personnalisée. 



Modification ou suppression d’éléments dans la liste Services 

Vous pouvez modifier ou supprimer des ports dans la liste Services. Cela vous permet 

de personnaliser les choix en matières de services pour une configuration plus aisée. 

Pour modifier la liste des services : 






5 Sélectionnez le service à modifier, puis procédez comme suit : 

Pour modifier la liste des services, cliquez sur le bouton Modifier (/) sous la liste des services. 

Pour modifier la liste des services, cliquez sur le bouton Supprimer (–) sous la liste des 

services. 

6 Modifiez le nom, le port ou le protocole comme vous le souhaitez, puis cliquez sur OK. 



Configuration de règles de coupe-feu avancées 

Utilisez la sous-fenêtre Réglages avancés d’Admin Serveur pour configurer des règles 

spécifiques au service de coupe-feu. Les règles de coupe-feu contiennent des adresses 

IP source et de destination avec des masques de sous-réseau. Elles spécifient également 

ce qu’il faut faire avec le trafic réseau entrant. Vous pouvez appliquer une règle 

à toutes les adresses IP, à une adresse IP spécifique ou à une plage d’adresses IP. 


d’adresses IP et masque de sous-réseau en notation CIDR (192.168.2.0/24) ou d’adresses 

IP et masque de sous-réseau en notation de masque de réseau (192.168.2.0:255.255.255.0). 

Pour configurer une règle de coupe-feu avancée : 







Vous pouvez également sélectionner une règle similaire à celle que vous voulez créer, 

cliquez sur Dupliquer, puis sur Modifier. 

6 Dans le menu local Action, indiquez si cette règle autorise ou refuse l’accès. 

Si vous choisissez Autre, saisissez l’action souhaitée (par exemple, Historique). 

7 Dans le menu local Protocole, choisissez un protocole. 

Si vous choisissez Autre, saisissez le protocole souhaité (par exemple, icmp, esp, ipencap). 

8 Dans le menu local Service, choisissez un service. 

Pour sélectionner un port de service non standard, sélectionnez Autre. 

9 Si vous le souhaitez, choisissez de journaliser tous les paquets qui répondent à la règle. 

10 Comme source du trafic filtré, sélectionnez un groupe d’adresses dans le menu local 

Adresse. 

Si vous ne voulez pas utiliser un groupe d’adresses, saisissez la plage d’adresses IP 

source (en notation CIDR) que vous voulez filtrer. 

Si vous voulez appliquer la règle à toutes les adresses, sélectionnez « Quelconque » 

dans le menu local. 

11 Si vous avez sélectionné un port de service non standard, saisissez le numéro 

du port source. 

12 Comme destination du trafic filtré, sélectionnez un groupe d’adresses dans le menu 

local Source. 



de destination (en notation CIDR). 

Si vous voulez appliquer la règle à toutes les adresses, sélectionnez « Quelconque » 

dans le menu local. 

13 Si vous avez sélectionné un port de service non standard, saisissez le numéro du port 

de destination. 

14 Dans le menu local de l’interface à laquelle cette règle s’appliquera, sélectionnez Entrée 

ou Sortie. 

« Entrée » fait référence aux paquets envoyés au serveur. 

« Sortie » fait référence aux paquets envoyés par le serveur. 

15 Si vous sélectionnez Autre, saisissez le nom de l’interface (en0, en1, fw1, etc.). 


17 Cliquez sur Enregistrer pour appliquer la règle immédiatement. 

Modification ou suppression de règles de coupe-feu avancées 

Vous pouvez modifier ou supprimer des règles de coupe-feu avancées. Si vous pensez 

que vous allez encore utiliser une règle et souhaitez simplement la désactiver, vous 

pouvez désélectionner la règle plutôt que la supprimer. 

Si vous modifiez une règle après avoir activé le service de coupe-feu, vos modifications 

ont un effet sur les connexions déjà établies avec le serveur. Par exemple, si des ordinateurs 

sont connectés à votre serveur web et que vous modifiez la règle de manière à 

refuser tout accès au serveur, les ordinateurs connectés sont déconnectés. 

Pour modifier une règle de coupe-feu avancée : 






5 Sélectionnez la règle à modifier, puis procédez comme suit : 

Pour modifier la liste des services, cliquez sur le bouton Modifier (/) sous la liste des services. 

Pour supprimer une règle, cliquez sur le bouton Supprimer (–) sous la liste des services. 

6 Modifiez la règle comme vous le souhaitez, puis cliquez sur OK. 



Modification de l’ordre de règles de coupe-feu avancées 

Le niveau de priorité d’une règle de coupe-feu avancée est déterminé par son ordre 

dans la liste Règles avancées. L’ordre des règles par défaut qui sont verrouillées ne peut 

pas être modifié dans la liste. 

Pour modifier l’ordre des règles : 






5 Faites glisser les règles pour les réorganiser dans l’ordre souhaité. 


Dépannage de règles de coupe-feu avancées 

Les réglages de configuration de coupe-feu avancés acceptent toute entrée, en partant 

du principe que vous configurez la règle correctement. 

Les éventuelles erreurs ne sont détectées qu’une fois que les règles sont enregistrées 

et qu’Admin Serveur applique toutes les règles à l’aide de la commande ipfw. Ensuite, 

la première règle comportant une erreur de syntaxe provoque l’arrêt de l’opération 

et l’ajout d’un message d’erreur à l’historique. 

Ce message d’erreur n’indique pas quelle règle n’est pas valide, mais toutes les règles 

valides avant la règle non valide sont chargées dans le coupe-feu. 

La section qui suit décrit comment vous pouvez déterminer quelle règle n’est pas valide. 

Pour déterminer quelle règle n’est pas valide : 

1 Lisez le message d’erreur dans l’historique. 

2 Attendez quelques minutes qu’Admin Serveur affiche les règles actives dans la sousfenêtre 

Vue d’ensemble du coupe-feu. 

3 Comparez la liste de règles actives de la sous-fenêtre Vue d’ensemble du coupe-feu 

avec la liste de règles de la section Réglages. 

4 Examinez le contenu du fichier /etc/ipfilter/ipfw.conf.apple pour voir quelles règles 

Admin Serveur a essayé de charger dans le coupe-feu. 

La première règle du fichier qui ne figure pas dans la sous-fenêtre Vue d’ensemble du 

coupe-feu est probablement celle qui n’est pas valide. Il peut toutefois y avoir d’autres 

règles non valides après celle-là. 

5 Si la règle correspond à une règle de la sous-fenêtre Réglages avancés, désactivez-la 

ou corrigez-la. 


Les règles désactivées apparaissent dans le fichier /etc/ipfilter/ipfw.conf.apple précédées 

par un caractère de commentaire afin qu’elles ne soient pas traitées par l’outil ipfw. 

Activation du mode furtif 

Vous pouvez cacher l’existence de votre coupe-feu en n’envoyant pas de notification 

d’échec de connexion lorsqu’une connexion est bloquée par le coupe-feu. On appelle cela 

le mode furtif. Ce dernier permet de cacher efficacement les ports fermés de votre serveur. 

Par exemple, si un intrus tente de se connecter à votre serveur, même si le port est bloqué, 

l’intrus sait qu’il y a un serveur et pourra essayer d’autres méthodes d’intrusion. 

Si le mode furtif est activé, plutôt que d’être rejeté, le pirate ne recevra pas de notification 

qu’une tentative de connexion a eu lieu. 

Pour activer le mode furtif : 






5 Sélectionnez Activer pour TCP, Activer pour UDP ou les deux, selon vos besoins. 


Coupe-feu adaptatif 

Mac OS X 10.5 utilise un coupe-feu adaptatif qui génère une règle de coupe-feu de manière 

dynamique si un utilisateur échoue 10 fois de suite à ouvrir une session. La règle ainsi générée 

bloque l’ordinateur de l’utilisateur pendant 15 minutes, ce qui empêche l’utilisateur 

de tenter d’ouvrir une session. 

Le coupe-feu adaptatif vous aide à empêcher que votre ordinateur ne soit attaqué par 

des utilisateurs non autorisés. Le coupe-feu adaptatif ne nécessite aucune configuration 

et est actif dès que vous activez votre coupe-feu. 

Réinitialisation du coupe-feu aux réglages par défaut 

Il se peut qu’un serveur devienne injoignable pour l’administration à distance à cause 

d’une erreur de configuration du coupe-feu. Dans ce cas, vous devez remettre le coupefeu 

dans son état par défaut afin qu’Admin Serveur puisse y accéder. 

Cette procédure de récupération nécessite l’utilisation de l’interface de ligne de commande 

et doit être effectuée par un administrateur ayant un accès physique au serveur. 

Pour restaurer les réglages par défaut du coupe-feu : 

1 Déconnectez le serveur de l’Internet externe. 


2 Redémarrez le serveur en mode utilisateur unique en maintenant les touches 

Commande + S enfoncées lors du démarrage. 

3 Supprimez ou renommez le fichier de groupes d’adresses /etc/ipfilter/ip_address_groups.conf. 

4 Supprimez ou renommez le fichier de configuration ipfw /etc/ipfilter/ipfw.conf. 

5 Forcez la suppression définitive des règles de coupe-feu en saisissant ce qui suit dans 

le Terminal : 

$ ipfw -f flush 

6 Modifiez le fichier /etc/hostconfig et réglez IPFILTER=-YES-. 

7 Terminez la séquence de démarrage dans la fenêtre d’ouverture de session en saisissant exit: 

L’ordinateur démarre avec les règles de coupe-feu par défaut et le coupe-feu activé. 

Utilisez ensuite Admin Serveur pour affiner la configuration du coupe-feu. 

8 Ouvrez une session à l’aide du compte d’administrateur local de votre serveur pour 

confirmer que la configuration par défaut du coupe-feu est restaurée. 

9 Reconnectez votre hôte à Internet. 

Surveillance du service de coupe-feu 

Les coupe-feu sont la première ligne de défense d’un réseau contre les utilisateurs 

d’ordinateur malveillants (pirates). Pour maintenir la sécurité de vos ordinateurs et des 

informations de vos utilisateurs, vous devez surveiller l’activité du coupe-feu et identifier 

les menaces potentielles. La présente section explique comment journaliser et surveiller 

l’activité de votre coupe-feu. 

Vérification de l’état du service de coupe-feu 

Utilisez Admin Serveur pour vérifier l’état du service de coupe-feu. 

Pour vérifier l’état du service de coupe-feu : 





4 Cliquez sur Vue d’ensemble pour savoir si le service tourne, le nombre de règles statiques 

et dynamiques configurées, le nombre de paquets qui correspondent aux règles et le 

nombre d’octets dans les paquets correspondant aux règles traitées par le coupe-feu. 

5 Cliquez sur Historique pour examiner l’historique du service de coupe-feu. 

6 Pour afficher la liste des règles de coupe-feu actives, cliquez sur Règles actives. 

Cette liste contient le numéro de priorité de chaque règle, le nombre de paquets correspondants, 

le nombre d’octets dans les paquets correspondants et une description de la règle. 


Affichage des règles de coupe-feu actives 

Utilisez Admin Serveur pour afficher un résumé des règles de coupe-feu actives. 

La sous-fenêtre Règles actives affiche le nombre de paquets et d’octets associés 

à chaque règle. 

Lorsqu’une modification est apportée à la configuration du coupe-feu à l’aide d’Admin 

Serveur, les anciennes règles de coupe-feu sont supprimées définitivement, de nouvelles 

règles sont générées et enregistrées dans un Fichier et la commande ipfw est invoquée 

pour charger les règles dans le service. 

Pendant l’opération de suppression, le nombre de paquets et le nombre d’octets associés 

à chaque règle sont effacés. 

La sous-fenêtre Règles actives fournit un instantané de l’état du coupe-feu. Dans cette sousfenêtre, 

il se peut que des règles dynamiques soient affichées avec des règles statiques. 

Les règles dynamiques apparaissent et disparaissent d’une seconde à l’autre en réponse 

à l’activité du réseau. Elles résultent de règles possédant une clause de conservation de 

l’état (règles à état). La sous-fenêtre Règles actives indique le numéro de règle de la règle 

à état qui a été déclenchée pour créer la règle dynamique. 

Pour afficher les règles de coupe-feu actives : 





4 Cliquez sur Règles actives. 

La liste des règles apparaît avec une description de chaque règle au format du code 

ipfw, la priorité, le nombre de paquets et le nombre total d’octets traités. 

Affichage de l’historique du service de coupe-feu 

Chaque règle que vous configurez dans Admin Serveur correspond à une ou plusieurs 

règles dans le logiciel de coupe-feu sous-jacent. Les entrées d’historique indiquent quand 

la règle a été appliquée, l’adresse IP du client et du serveur et d’autres informations. 

L’affichage de l’historique indique le contenu du fichier /var/log/ipfw.log. Vous pouvez 

affiner l’affichage à l’aide du champ de filtrage du texte. 

Pour afficher l’historique du service de coupe-feu : 







Pour rechercher des entrées spécifiques, utilisez le champ Filtre au-dessus de l’historique. 

Voici quelques exemples d’entrées de l’historique du coupe-feu et comment il faut 

,les comprendre. 

Exemple d’historique 1 

Dec 12 13:08:16 ballch5 mach_kernel: ipfw: 65000 Unreach TCP 

10.221.41.33:2190 192.168.12.12:80 in via en0 

Cette entrée indique que le service de coupe-feu a utilisé la règle 65000 pour refuser 

(« unreach ») l’accès au serveur 192.168.12.12 au client distant à l’adresse 10.221.41.33:2190 

sur le port web 80 par le port Ethernet 0. 


Dec 12 13:20:15 mayalu6 mach_kernel: ipfw: 100 Accept TCP 10.221.41.33:721 

192.168.12.12:515 in via en0 

Cette entrée indique que le service de coupe-feu a utilisé la règle 100 pour autoriser 

l’accès au serveur 192.168.12.12 au client distant à l’adresse 10.221.41.33:721 sur le port 

d’impression LPR 515 par le port Ethernet 0. 


Dec 12 13:33:15 smithy2 mach_kernel: ipfw: 10 Accept TCP 

192.168.12.12:49152 192.168.12.12:660 out via lo0 

Cette entrée indique que la règle de détournement Network Address Translation (NAT) 

a été appliquée à un paquet sortant. Dans ce cas, il détourne la règle vers le port de 

service 660, le port que le démon NAT utilise. 

Affichage des paquets refusés 

L’affichage des paquets refusés peut vous aider à identifier des problèmes et à dépanner 

le service de coupe-feu. 

Pour afficher les paquets refusés : 






5 Assurez-vous que la case « Journaliser tous les paquets refusés » est cochée. 

6 Pour afficher les entrées d’historique, cliquez sur Historique. 

7 Dans le champ de filtrage du texte, saisissez le terme « unreach. » 


Affichage des paquets journalisés par les règles de coupe-feu 

L’affichage des paquets filtrés par les règles de coupe-feu peut vous aider à identifier 

des problèmes et à dépanner le service de coupe-feu. 

Pour afficher les paquets filtrés : 






5 Assurez-vous que la case « Journaliser tous les paquets acceptes » est cochée. 

Si vous n’avez pas activé la journalisation pour une règle déterminée, consultez 

« Modification ou suppression de règles de coupe-feu avancées » à la page 103. 

6 Pour afficher les entrées d’historique, cliquez sur Historique. 

7 Dans le champ de filtrage du texte, saisissez le terme « Accept ». 

Exemples de coupe-feu pratiques 

Les règles de coupe-feu que vous définissez fonctionnent ensemble pour sécuriser 

votre réseau. Les exemples qui suivent montrent comment utiliser des règles pour 

atteindre certains objectifs spécifiques. 

Utilisation du coupe-feu avec le service NAT 

Le service NAT doit être activé sur le coupe-feu. L’activation du service NAT crée une 

règle de détournement dans la configuration du coupe-feu. 

Bien qu’Admin Serveur autorise l’activation et la désactivation séparée du service NAT 

et du service de coupe-feu, le service NAT ne peut fonctionner que si le service NAT et 

le service de coupe-feu sont tous deux activés. Une composante essentielle du service 

NAT est la règle de détournement de paquets utilisée dans le coupe-feu. 

La règle de coupe-feu que vous définissez indique au coupe-feu comment router le trafic 

réseau venant du réseau qui se trouve derrière la passerelle NAT. Lorsque vous avez 

un réseau local derrière une passerelle NAT, vous devez créer ou connaître le groupe 

d’adresses qui correspond au réseau local. 

Pour des informations détaillées sur la configuration d’un réseau local NAT, consultez 

la section « Liaison d’un réseau local à Internet par une adresse IP » à la page 128. 


Blocage de l’accès web à des utilisateurs Internet 

La présente section décrit comment vous pouvez autoriser des utilisateurs de votre 

sous-réseau à accéder au service web de votre serveur et refuser l’accès au public 

général d’Internet. 

Dans cet exemple, le réseau local a une plage d’adresses IP de 10.0.1.1 à 10.0.1.254, tandis 

que le service web du serveur se trouve à l’adresse 10.0.2.1 sur le port en2 du serveur. 

Pour bloquer l’accès au web avec une règle avancée : 

1 Dans Admin Serveur, créez un groupe d’adresses nommé « Réseau local » avec la plage 

d’adresses10.0.1.1/24. 

Celle-ci couvre toutes les adresses de la plage de sous-réseau 10.0.1.x. 

Pour en savoir plus, consultez la rubrique « Création d’un groupe d’adresses » à la page 99. 

2 Créez une règle avancée avec les réglages suivants : 

Â Action : Autoriser 

Â Protocole : TCP 

Â Service : Web 

Â Groupe d’adresses source : LAN 

Â Adresse de destination : Autre 10.0.2.1 

Â Interface : en2 

Pour en savoir plus, consultez la rubrique « Configuration de règles de coupe-feu 


Pour bloquer l’accès au web à l’aide de règles standard : 

1 Dans Admin Serveur, créez un groupe d’adresses nommé « Serveur web » avec la plage 

d’adresses 10.0.2.1. 



3 Dans le menu local Modifier les services pour, sélectionnez le groupe d’adresses 

« Serveur web ». 

4 Cochez la case « Autoriser uniquement le trafic de « Serveur web » vers ces ports ». 

5 Cochez la case HTTP - service Web. 



Journalisation de l’accès à Internet par les utilisateurs du réseau local 

La présente section décrit comment vous pouvez autoriser les utilisateurs de votre 

réseau local à accéder au service web d’un autre serveur et journaliser leurs tentatives 

d’accès au public général d’Internet. 

Dans cet exemple, le réseau local a une plage d’adresses IP privées de 10.0.1.1 à 10.0.1.254. 

Pour journaliser l’accès à Internet par les utilisateurs du réseau local : 






5 Dans le menu local Modifier les services pour, sélectionnez le groupe d’adresses 

« Quelconque ». 

6 Autorisez le trafic pour le groupe « Serveur web » sur le port désigné pour les services web. 

7 Cochez la case Autoriser le service web. 


9 Cliquez sur Consignation. 

10 Cochez la case Activer la journalisation. 

11 Cochez la case « Journaliser tous les paquets acceptés ». 

Les historiques sont visibles dans la sous-fenêtre Historique. 

Blocage du courrier indésirable 

La présente section décrit comment rejeter le courrier envoyé par un expéditeur de 

courrier indésirable possédant l’adresse IP 17.128.100.0 (par exemple) et accepter tous 

les autres messages électroniques. 

Important : pour bloquer le courrier électronique SMTP entrant, configurez des plages 

d’adresses spécifiques dans les règles que vous créez. Par exemple, si vous définissez 

une règle refusant le courrier provenant de toutes les adresses sur le port 25, vous 

empêchez la distribution du courrier à vos utilisateurs. 

Pour empêcher la distribution de courrier indésirable à vos utilisateurs : 







5 Dans le menu local « Modifier les services pour », sélectionnez le groupe d’adresses 

« Quelconque ». 

6 Cochez la case « Autoriser uniquement le trafic de « Quelconque » vers ces ports ». 

7 Cochez la case « SMTP de courrier standard » dans la liste des ports. 

8 Sélectionnez Groupes d’adresses. 

9 Pour créer une plage d’adresses, cliquez sur le bouton Ajouter (+) et saisissez le nom 

du groupe d’adresses dans le champ Nom du groupe. 

10 Pour indiquer l’adresse de l’expéditeur de courrier indésirable, saisissez 17.128.100.0 dans 

la liste « Adresses dans le groupe » en cliquant sur le bouton Ajouter (+) en en saisissant 

l’adresse. 



13 Dans le menu local « Modifier les services pour », sélectionnez le groupe d’adresses 

que vous venez de créer. 

14 Cochez la case « Autoriser uniquement le trafic de « nom_du_nouveau_groupe_d’adresses » 

vers ces ports. 

15 Pour désactiver le transfert de courrier, décochez la case « SMTP de courrier standard » 

dans la liste des ports. 


Autorisation d’un client à accéder à un serveur de fichiers Apple 

La présente section décrit comment autoriser un client possédant l’adresse IP 

10.221.41.33 (par exemple) à accéder à un serveur de fichiers Apple. 

Pour autoriser un client à accéder à un serveur de fichiers Apple : 






5 Dans le menu local « Modifier les services pour », sélectionnez « Quelconque ». 

6 Dans la sous-fenêtre du service, décochez la case « Service de fichiers Apple ». 

7 Sélectionnez Groupes d’adresses. 

8 Pour créer une plage d’adresses, cliquez sur le bouton Ajouter (+). 

9 Attribuez un nom au groupe d’adresses. 

10 Pour indiquer l’adresse du client, saisissez 10.221.41.33 dans le champ pour la plage 

d’adresses. 




13 Sélectionnez le groupe d’adresses que vous venez de créer. 

14 Pour activer l’accès aux fichiers, cochez la case « Service de fichiers Apple » dans 

la sous-fenêtre du service. 



le service de coupe-feu 

Votre coupe-feu constitue la première ligne de défense contre les personnes non autorisées 

sur le réseau, les utilisateurs malveillants et les attaques de virus réseau qui peuvent 

nuire à vos données et profiter de vos ressources réseau. La présente section décrit 

des utilisations courantes du service de coupe-feu dans l’administration d’un réseau. 

Lutte contre les attaques par déni de service 

Lorsque le serveur reçoit une demande de connexion TCP d’un client qui s’est vu refuser 

l’accès, par défaut, le serveur envoie une réponse refusant la connexion. Cela permet 

d’éviter que le client éconduit ne renvoie sans arrêt de nouvelles demandes. 

Un utilisateur malveillant peut toutefois générer une séries de demandes de connexion 

TCP à partir d’une adresse IP refusée et forcer le serveur à continuer à répondre, bloquant 

ainsi d’autres utilisateurs tentant de se connecter au serveur. C’est un des types d’attaques 

par déni de service existants. 

Important : les attaques par déni de service sont rares, ne procédez donc à ces réglages 

que si vous pensez que votre serveur pourrait être soumis à une telle attaque. 

Si vous refusez les réponses d’écho ICMP, les services qui utilisent le ping pour 

localiser les services réseau ne peuvent pas détecter votre serveur. 

Pour empêcher les attaques par déni de service par ping : 






5 Sélectionnez le groupe d’adresses « Quelconque ». 

6 Décochez la case « Réponse d’écho ICMP (ping) ». 



Contrôle ou activation de l’utilisation du réseau poste à poste 

Il arrive que les administrateurs réseau doivent contrôler l’utilisation des applications 

de partage de fichiers poste à poste (P2P). Ces applications peuvent utiliser beaucoup 

de bande passante et des ressources réseau de manière inadéquate ou disproportionnée. 

Le partage de fichiers P2P peut également présenter un risque en matière de sécurité 

ou de propriété intellectuelle pour une entreprise. 

Vous pouvez empêcher la mise en réseau P2P en bloquant le trafic entrant et sortant 

sur le port utilisé par l’application P2P. Vous devez déterminer le port utilisé par chacun 

des réseaux P2P en question. Par défaut, le coupe-feu de Mac OS X Server bloque tous 

les ports qui ne sont pas expressément ouverts. 

Vous pouvez limiter l’utilisation du réseau P2P aux adresses IP qui se trouvent derrière 

le coupe-feu. Pour ce faire, ouvrez le port P2P sur votre interface LAN mais continuez 

à bloquer le port sur l’interface connectée à Internet (l’interface WAN). Pour apprendre 

à créer une règle de coupe-feu, consultez « Configuration de règles de coupe-feu 


Contrôle ou activation de l’utilisation de jeux en réseau 

Il arrive que les administrateurs réseau doivent contrôler l’utilisation de jeux en réseau. 

Les jeux peuvent utiliser beaucoup de bande passante réseau et de manière inadéquate 

ou disproportionnée. 

Vous pouvez empêcher les jeux en réseau en bloquant le trafic entrant et sortant sur 

le port utilisé par le jeu. Vous devez déterminer le port utilisé par chacun des jeux en 

réseau en question. Par défaut, le coupe-feu de Mac OS X Server bloque tous les ports 

qui ne sont pas expressément ouverts. 

Vous pouvez limiter l’utilisation des jeux en réseau aux adresses IP qui se trouvent derrière 

le coupe-feu. Pour ce faire, ouvrez le port correspondant sur votre interface LAN 

mais continuez à bloquer le port sur l’interface connectée à Internet (l’interface WAN). 

Certains jeux nécessitent une connexion à un service de jeu pour fonctionner. Cela ne 

fonctionnera pas. Pour apprendre à créer une règle de coupe-feu, consultez 

« Configuration de règles de coupe-feu avancées » à la page 102. 

Vous pouvez ouvrir le coupe-feu à certains jeux et autoriser certains jeux en réseau 

à se connecter à d’autres joueurs et services de jeu au-delà du coupe-feu. Pour ce faire, 

ouvrez le port correspondant sur vos interfaces LAN et WAN. Certains jeux nécessitent 

que plus d’un port soit ouvert. Pour obtenir plus de détails sur la mise en réseau, consultez 

la documentation du jeu. Pour apprendre à créer une règle de coupe-feu, consultez 



Prévention de la propagation de virus réseau 

Un virus peut se propager rapidement sur votre réseau et infecter vos ordinateurs. 

Par exemple, si un ordinateur de votre réseau est infecté par un virus, cet ordinateur 

pourrait propager le virus à l’ensemble de votre réseau. 

Une des portes d’entrée que les virus utilisent pour se propager sur un réseau, c’est 

le courrier électronique. Vous pouvez empêcher la propagation des virus par le courrier 

électronique en analysant le courrier électronique avec clamav et en mettant à jour 

vos définitions de virus. 

Vous pouvez empêcher d’autres voies de propagation en n’utilisant que les services 

dont vous avez besoin, en utilisant une bonne topologie de réseau et en utilisant de 

bons mots de passe. 

La méthode la plus importante consiste à garder les ordinateurs de votre réseau à jour. 

Votre ordinateur doit être configuré pour rechercher les mises à jour une ou deux fois 

par semaine. 

Pour en savoir plus sur la prévention des virus réseau, consultez Configuration de la sécurité 

de Mac OS X Server. 

Référence des ports TCP et UDP 

Les tableaux qui suivent montrent les numéros de port TCP et UDP les plus fréquemment 

utilisés par les ordinateurs sous Mac OS X et Mac OS X Server. Vous pouvez utiliser 

ces ports quand vous configurez des règles d’accès. Pour accéder aux documents 

RFC référencés dans ces tableaux, consultez www.faqs.org/rfcs. 

Port TCP Utilisé pour Référence 

7 echo RFC 792 

20 Données FTP RFC 959 

21 Contrôle FTP RFC 959 

22 Shell sécurisé (SSH) 

Configuration des répliques Open Directory 

23 Telnet RFC 854 

25 SMTP (courrier électronique) RFC 821 

53 DNS RFC 1034 

79 Finger RFC 1288 

80 HTTP (web) RFC 2068 

88 Centre de distribution de clés Kerberos 5 RFC 1510 

106 Serveur de mots de passe Open Directory (avec 

le port 3659) 

110 POP3 (courrier électronique) RFC 1081 



111 Remote Procedure Call (RPC) RFC 1057 

113 AUTH RFC 931 

115 sftp 

119 NNTP (actualités) RFC 977 

123 Synchronisation de serveur d’horloge de réseau (NTP) RFC 1305 

137 Noms Windows 

138 Navigateur Windows 

139 Service de fichiers et d’impression Windows (SMB/CIFS) RFC 100 

143 IMAP (accès au courrier électronique) RFC 2060 

201-208 AppleTalk 

311 Protocole SSL pour Admin Serveur, administration 

web à distance IP AppleShare, Contrôle de serveur, 

Admin Serveur (servermgrd), Gestionnaire de groupe 

de travail (DirectoryService) 

389 LDAP (répertoire) RFC 2251 

407 Timbuktu 

427 SLP (emplacement des services) 

443 SSL (HTTPS) 

445 Microsoft Domain Server 

497 Dantz Retrospect 

514 shell, syslog 

515 LPR (désynchronisation de l’impression) RFC 1179 

532 netnews 

548 AFP (Apple File Service) 

554 Real-Time Streaming Protocol (QTSS) RFC 2326 

591 Accès au web FileMaker 

600–1023 Services basés sur RPC de Mac OS X (par exemple, 

NetInfo) 

625 Format de répertoire distant 

626 Administration IMAP (service de courrier Mac OS X 

et courrier électronique AppleShare IP 6.x) 

631 IPP (partage d’imprimantes) 

636 LDAPSSL 

660 Réglages de serveur, Server Manager 

687 Utilisateurs et groupes partagés AppleShare IP, 

Contrôle de serveur, Admin Serveur (servermgrd) 

749 Administration de Kerberos et changepw à l’aide 

de l’outil de ligne de commande kadmind 



985 Port statique NetInfo 

993 IMAP sur SSL (courrier) 

995 POP3 sur SSL (courrier) 

1085 WebObjects 

1099, 8043 RMI à distance et accès RMI/IIOP à JBoss 

1220 QTSS Admin 

1694 Basculement IP 

1723 VPN PPTP RFC 2637 

2049 NFS 

2399 Couche d’accès aux données FileMaker 

3004 iSync 

3031 Liaison de programmes, AppleEvents à distance 

3283 Apple Remote Desktop 2.0 

3306 MySQL 

3632 Compilateur distribué XCode 

3659 Serveur de mots de passe Open Directory (avec 

le port 106) 

3689 Partage de musique iTunes 

4111 XGrid 

5003 Liaison de noms et transport FileMaker 

5100 Partage de caméras, d’appareils photo et de scanneurs 

5190 iChat et transfert de fichiers iChat 

5222 Serveur iChat 

5223 Serveur iChat SSL 

5269 Serveur iChat, de serveur à serveur 

5298 iChat, sous-réseau local 

5432 Base de données Apple Remote Desktop 2.0 

5900 VNC Apple Remote Desktop 2.0 

7070 Real-Time Streaming Protocol (QTSS) 

7777 Serveur iChat , proxy de transfert de fichiers 

8000–8999 Service web 

8000-8001 Diffusion en continu de MP3 QTSS 

8005 Extinction à distance Tomcat 

8043, 1099 RMI à distance et accès RMI/IIOP à JBoss 

8080, 8443, 9006 Tomcat autonome et JBoss 



8080 Alternative pour le service web (valeur par défaut 

d’Apache 2) 

9007 Accès à distance du serveur web au port AIP 

16080 Service web avec redirection du cache des performances 

42000-42999 Flux radio iTunes 

Port UDP Utilisé pour Référence 

7 echo 

53 DNS 

67 Serveur DHCP (BootP), serveur NetBoot 

68 Client DHCP 

69 Trivial File Transfer Protocol (TFTP) 

111 Remote Procedure Call (RPC) 

123 Network Time Protocol RFC 1305 

137 Windows Name Service (WINS) 

138 Service de datagrammes de Windows (NETBIOS) 

161 Protocole SNMP (Simple Network Management Protocol) 

192 Administration AirPort 

427 SLP (emplacement des services) 

497 Retrospect 

500 VPN ISAKMP/IKE 

513 who 

514 Syslog 

554 Real-Time Streaming Protocol (QTSS) 

600–1023 Services basés sur RPC de Mac OS X (par exemple, 

NetInfo) 

626 Prise en charge du numéro de série 

985 NetInfo (lorsqu’un domaine partagé est créé à l’aide 

de NetInfo Domain Setup) 

1701 VPN L2TP 

3283 Apple Remote Desktop 1.2 

5353 Multicast DNS (mDNSResponder) 

2049 Service NFS (Network File System) 

3031 Liaison de programmes 

3283 Apple Network Assistant, Apple Remote Desktop 

4500 IKE NAT Traversal 

5060 Lancement d’iChat 


Port UDP Utilisé pour Référence 

5297, 5678 iChat local 

5353 Multicast DNS (mDNSResponder) 

6970 -6999 Diffusion en continu QTSS RTP 

7070 Alternative Real-Time Streaming Protocol (QTSS) 

16384-16403 RTP et RTCP audio/vidéo iChat 


Pour en savoir plus sur l’accès et l’implémentation de fonctionnalités de ipfw, l’outil 

qui contrôle le service de coupe-feu, consultez la page man de ipfw. 





En revanche, si vous êtes un administrateur de serveur confirmé, vous trouverez 

tous les détails techniques concernant un protocole particulier dans le document 

RFC correspondant. 

La section RFC du site web suivant contient plusieurs numéros RFC pour divers 

protocoles : www.ietf.org/rfc.html (en anglais). 

L’Internet Assigned Number Authority (IANA) maintient la liste des ports les plus connus 

et des ports TCP et UDP qui ont été assignés par l’organisation à différents protocoles. Vous 

trouverez cette liste à l’adresse : www.iana.org/assignments/port-numbers (en anglais). 

De plus, des adresses de multidiffusion importantes sont documentées dans 

le document RFC Assigned Numbers le plus récent à ce jour, à savoir RFC 1700. 


5 Utilisation 

du service NAT 

5 

Ce chapitre décrit comment configurer et gérer le service NAT 

dans Mac OS X Server. 

Network Address Translation (NAT) est un protocole que l’on utilise pour donner à plusieurs 

ordinateurs l’accès à Internet en n’utilisant qu’une seule adresse IP publique ou externe 

assignée. NAT vous permet de créer un réseau privé qui accède à Internet par un routeur 

ou une passerelle NAT. On appelle parfois le protocole NAT IP le masquage d’adresses IP. 

Le routeur NAT reçoit tout le trafic provenant de votre réseau privé et mémorise les adresses 

interne qui ont émis des requêtes. Lorsque le routeur NAT reçoit une réponse à une 

requête, il la redirige à l’ordinateur d’origine. Le trafic venant d’Internet n’atteint pas les 

ordinateurs qui se trouvent derrière le routeur NAT sauf si la redirection de port est activée. 

Utilisation de NAT avec d’autres services réseau 

L’activation de NAT sous Mac OS X Server nécessite souvent un contrôle détaillé sur 

DHCP, c’est pourquoi DHCP est configuré séparément dans Admin Serveur. Pour en 

savoir plus sur DHCP, consultez le chapitre 2, « Utilisation du service DHCP, » à la page 27. 

L’activation du service NAT crée aussi une règle de détournement dans la configuration 

du coupe-feu. Admin Serveur permet d’activer et de désactiver le service NAT 

et le service de coupe-feu séparément. Toutefois, pour que le service NAT fonctionne, 

le service NAT et le service de coupe-feu doivent être activés. Cela est dû au fait que 

la règle de détournement de paquets est une part essentielle de NAT. Cette règle est 

ajoutée au coupe-feu lors de l’activation du service NAT, mais le service de coupe-feu 

doit être activé pour la règle de détournement de paquets ou pour toute autre règle 

de coupe-feu, pour obtenir un quelconque effet. 

121

Vue d’ensemble de la configuration du réseau local pour NAT 

Pour configurer un segment de réseau comme réseau local NAT, vous devez exécuter plusieurs 

étapes. Chacune de ces étapes est nécessaire pour créer un réseau privé fonctionnant 

derrière une passerelle NAT. Vous trouverez un exemple détaillé de la configuration 

dans la section « Liaison d’un réseau local à Internet par une adresse IP » à la page 128. 

Vous pouvez également configurer NAT à l’aide de l’Assistant réglages de passerelle, 

qui configure chacun de ces services et démarre le service NAT. Pour en savoir plus, 

consultez la rubrique « À propos d’Assistant réglages passerelle » à la page 17. 

La section qui suit donne une vue d’ensemble du processus de configuration. 

Étape 1 : Choisissez votre passerelle NAT et les fonctions d’interface 

Vous devez localiser la passerelle NAT sur un ordinateur Mac OS X Server possédant 

au moins deux interfaces réseau : une pour se connecter à Internet (la port WAN) 

et une pour se connecter à votre segment de réseau privé (le port LAN). 

Étape 2 : Spécifiez la manière dont les clients du réseau local NAT doivent recevoir 

leur adresse IP 

Vous pouvez assigner votre propre adresse IP statique choisie dans les plages destinées 

aux réseaux locaux privés ou utiliser la fonctionnalité DHCP de Mac OS X Server 

pour assigner des adresses à votre place. 

Étape 3 : Configurez les réseaux de la passerelle 

Assignez votre adresse IP publique au port WAN et l’adresse de votre passerelle interne 

au port LAN. 

Étape 4 : Activez le service NAT 

Pour pouvoir configurer le service NAT, vous devez d’abord l’activer. Consultez 

la rubrique « Activation du service NAT » à la page 123. 

Étape 5 : Configurez les réglages relatifs à NAT 

Utilisez les réglages NAT pour configurer l’interface réseau. Consultez la rubrique 

« Configuration du service NAT » à la page 123. 

Étape 6 : Configurez les réglages relatifs à la redirection de port 

Utilisez l’application Terminal pour rediriger le trafic entrant adressé à votre réseau 

NAT vers une adresse IP spécifique derrière la passerelle NAT. Consultez la rubrique 

« Configuration de la redirection de port » à la page 124. 

Étape 7 : Démarrez le service NAT 

Après avoir configuré le service NAT, démarrez-le pour le rendre disponible. Consultez 

la rubrique « Démarrage et arrêt du service NAT » à la page 127. 

122 Chapitre 5 Utilisation du service NAT

Étape 8 : Démarrez le service de coupe-feu 

Pour que le service NAT fonctionne, vous devez activer le service NAT et le service 

de coupe-feu. Consultez la rubrique « Arrêt du service de coupe-feu » à la page 99. 

Étape 9 : (Conditionnel) Configurez et démarrez le service DHCP 

Si les adresses des clients vont être assignées dynamiquement, configurez le service 

DHCP et démarrez-le maintenant. Voir le chapitre 2, « Utilisation du service DHCP. » 

Activation du service NAT 

Pour pouvoir configurer les réglages NAT, vous devez activer le service NAT dans 

Admin Serveur. 

Pour activer le service NAT : 






Configuration du service NAT 

Utilisez Admin Serveur pour indiquer quelle interface réseau est connectée à Internet 

ou à tout autre réseau externe. 

Il ne faut pas confondre la configuration du service NAT et la configuration d’un segment 

de réseau comme réseau local NAT. 

Pour configurer le service NAT : 






5 Cochez la case « Transfert d’adresses IP et traduction d’adresse réseau (NAT) ». 

6 Dans le menu local « Interface réseau externe », choisissez l’interface réseau qui 

est connectée à Internet ou au réseau externe. 


Chapitre 5 Utilisation du service NAT 123

Configuration de la redirection de port 

Vous pouvez diriger le trafic adressé à votre réseau NAT vers une adresse IP derrière 

la passerelle NAT. Cela s’appelle la redirection de port. 

La redirection de port vous permet de configurer, sur le réseau interne, des ordinateurs 

qui gèrent les connexions entrantes sans exposer les autres ordinateurs aux connexions 

extérieures. Par exemple, vous pouvez configurer un serveur web derrière le service NAT 

et rediriger les demandes de connexion TCP entrantes adressées au port 80 vers le serveur 

web désigné. 

Vous ne pouvez pas rediriger le même port vers plusieurs ordinateurs, mais vous pouvez 

rediriger plusieurs ports vers un ordinateur. 

L’activation de la redirection de port requiert l’utilisation de l’application Terminal 

et un accès comme administrateur à des privilèges root par sudo. 

Vous devez également créer un fichier plist. Le contenu du fichier plist sert à générer 

le fichier /etc/nat/natd.conf.apple, qui est transmis au démon NAT lors du démarrage 

de ce dernier. 

Ne modifiez pas le fichier /etc/nat/natd.conf.apple directement. Si vous utilisez un 

éditeur de fichier plist plutôt qu’un éditeur de texte de ligne de commande, adaptez 

la procédure suivante en conséquence. 

Pour rediriger le trafic adressé à un port : 

1 Si le fichier /etc/nat/natd.plist n’existe pas, faites une copie du fichier plist par défaut 

du démon NAT. 

$ sudo cp /etc/nat/natd.plist.default /etc/nat/natd.plist 

2 À l’aide d’un éditeur de Terminal, ajoutez le bloc de texte XML suivant au fichier /etc/ 

nat/natd.plist devant les deux lignes à la fin du fichier ( et ), en remplaçant 

le texte en italique par vos propres réglages : 

redirect_port 

 

 

proto 

tcp ou udp 

targetIP 

ip_du_LAN 

targetPortRange 

plage_d’adresses_ip 

aliasIP 

ip_du_WAN 

aliasPortRange 

plage_d’adresses_ip_du_WAN 

 

 


3 Enregistrez les modifications de votre fichier. 

4 Dans le Terminal, tapez la commande suivante : 

$ sudo systemstarter stop nat 

$ sudo systemstarter start nat 

5 Vérifiez que vos modifications sont conservées en examinant le fichier /etc/nat/ 

natd.conf.apple. 

Les modifications apportées, à l’exception des commentaires et des réglages qu’Admin 

Serveur peut modifier, sont utilisés par les outils de configuration du serveur (Admin 

Serveur, Assistant réglages de passerelle et serveradmin). 

6 Configurez le service NAT dans Admin Serveur comme vous le souhaitez. 

Pour en savoir plus, consultez la rubrique « Configuration du service NAT » à la page 123. 


8 Démarrez le service NAT. 

Exemples de redirection de port 

Vous pouvez rediriger un ou plusieurs ports vers une adresse IP. Les ports WAN ne doivent 

pas être identiques aux ports LAN, mais ils doivent correspondre. 

Par exemple, si vous redirigez 10 ports consécutifs WAN, vous devez les rediriger vers 

10 ports consécutifs LAN, mais il ne doit pas nécessairement s’agir des 10 mêmes ports. 

Redirection d’un port unique 

Cet exemple montre le réglage permettant de rediriger les connexions au port TCP 80 

(service web) sur l’adresse WAN 17.128.128.128 vers le port TCP 80 (service web) sur 

l’adresse LAN privée 192.168.1.1. 

Le bloc de texte à ajouter au fichier /etc/nat/natd.plist est : 

redirect_port 

 

 

proto 

tcp 

targetIP 

192.168.1.1 


80 

aliasIP 

17.128.128.128 


80 

 

 


Redirection de plusieurs ports 

Cet exemple montre le réglage permettant de rediriger les connexions aux ports 

TCP et UDP 600-1023 (NetInfo, plage complète) sur l’adresse WAN 17.128.128.128 vers 

les ports correspondants sur l’adresse LAN privée 192.168.1.1. 

Le bloc de texte à ajouter au fichier /etc/nat/natd.plist est : 

redirect_port 

 

 

proto 

tcp 

targetIP 

192.168.1.1 


600-1023 

aliasIP 

17.128.128.128 


600-1023 

 

 

 

 

proto 

udp 

targetIP 

192.168.1.1 


600-1023 

aliasIP 

17.128.128.128 


60-1023 

 

 

Test des règles de redirection de port 

Une fois que vous avez configuré vos règles de redirection de port, vous pouvez 

les tester en accédant au service à partir de l’adresse IP publique de votre routeur NAT. 

Si vous pouvez accéder aux services, c’est que vous avez configuré et testé correctement 

votre règle de redirection de port. 

Par exemple, si un site web est hébergé sur un ordinateur possédant l’adresse IP privée 

192.168.1.10 et que votre routeur NAT possède l’adresse IP publique 219.156.13.13 et une 

règle de redirection de port qui rediriger le port 80 vers l’adresse IP 192.168.1.10, vous 

accédez au site web en tapant l’adresse IP publique (http://219.156.13.13) dans votre 

navigateur web. 


Si vos règles de redirection de port sont correctes, vous serez redirigé vers l’ordinateur 

qui héberge le site web (192.168.1.10). 

Démarrage et arrêt du service NAT 

Utilisez Admin Serveur pour démarrer et arrêter le service NAT sur votre interface 

réseau par défaut. Le démarrage du service NAT ne démarre pas DHCP sur l’interface 

NAT, vous devez donc gérer l’adressage LAN séparément. 

Il ne faut pas confondre le démarrage du service NAT et la configuration d’un segment 

de réseau comme réseau local NAT. 

Pour que le service NAT fonctionne, vous devez activer le service NAT et le service de coupefeu. 

Pour plus d’informations, reportez-vous à la section « Arrêt du service de coupe-feu » 


Pour démarrer le service NAT : 





4 Cliquez sur le bouton Démarrer le coupe-feu sous la liste Serveurs. 

Lorsque le service est activé, le bouton Arrêter NAT n’est pas disponible. 

Création d’une passerelle sans NAT 

Vous pouvez utiliser un ordinateur comme passerelle entre différents segments de réseau 

sans traduire les adresses IP de la plage publique vers la plage privée. Cela s’appelle la redirection 

d’adresses IP. Mac OS X Server prend en charge la redirection d’adresses IP, qui peut 

être configurée à l’aide d’Admin Serveur. 

Plusieurs configuration réseau peuvent utiliser une passerelle sans NAT. Par exemple, 

un serveur peut traduire des adresses IP privées en adresses publiques à l’aide de NAT, 

mais votre passerelle Mac OS X Server peut router les informations entre plusieurs 

sous-réseaux d’adresses privées. Il est également possible de placer un coupe-feu 

entre des segments de réseau dans votre propre réseau local. 

Toute situation dans laquelle vous voulez router du trafic réseau au travers du serveur 

sans masquer les adresses IP est une situation qui nécessite la redirection d’adresses IP. 

Les étapes requises pour la création d’une passerelle pour la redirection d’adresses sont les 

mêmes que celles pour la création d’un réseau local NAT. Cela signifie que les ports réseau 

doivent être configurés correctement et que le service de coupe-feu doit être activé. 


Pour configurer une passerelle sans le service NAT : 






5 Cochez la case « Transfert d’adresses IP uniquement ». 


Surveillance du service NAT 

Vous pouvez être amené à surveiller votre service NAT à des fins de dépannage 

et de sécurité. La présente section décrit comment accéder à la vue d’ensemble 

de l’état de NAT et comment surveiller l’activité de détournement de NAT. 

Affichage de la vue d’ensemble de l’état de NAT 

La vue d’ensemble de l’état de NAT vous permet de vérifier si le service est actif 

et combien de liens de protocole sont actifs. 

Pour afficher la vue d’ensemble : 





4 Cliquez sur Vue d’ensemble pour vérifier que le service est actif, quand il a démarré 

et le nombre de liens TCP, UDP et ICMP. 


le service NAT 

Les sections qui suivent illustrent des tâches d’administration de réseau courantes 

qui utilisent le service NAT. 

Liaison d’un réseau local à Internet par une adresse IP 

Pour lier un réseau local, vous devez disposer d’un ordinateur Mac OS X Server équipé 

de deux interfaces réseau : une pour se connecter à Internet et une pour se connecter 

à votre réseau privé. Les étapes ci-dessous utilisent la configuration suivante à titre 

d’exemple : 

Â Noms et fonctions de l’interface Ethernet : Ethernet intégré (connecté à Internet), 

logement Ethernet PCI 1 (connecté au réseau interne). 


Â Adresse IP publique ou Internet : 17.254.0.3 (à titre d’exemple uniquement, votre 

numéro IP est fourni par votre FAI). 

Â Adresse IP DNS publique ou Internet : 17.254.1.6 (à titre d’exemple uniquement, 

votre numéro IP est fourni par votre FAI). 

Â Plage d’adresses IP et masque de réseau du réseau privé : 192.168.0.2–192.168.0.254 

(également exprimé sous la forme 192.168.0.0/24 ou 192.168.0.0:255.255.255.0). 

Â Adresse IP du réseau privé du serveur : 192.168.0.1. 

Â Réglages relatifs aux adresses IP des clients du réseau local : configurez IPv4 à l’aide 

de DHCP. 

Ce dernier réglage n’est pas obligatoire car NAT peut être utilisé avec des adresses IP 

statiques plutôt qu’avec DHCP. La configuration de ce réglage rend toutefois la configuration 

des ordinateurs plus facile. 

Pour configurer votre réseau local NAT : 

1 Sur le serveur passerelle, ouvrez la sous-fenêtre Réseau des Préférences Système. 

2 Dans l’écran Réseau actif, vérifiez que l’interface « Ethernet intégré » se trouve tout en 

haut de la liste des interfaces. Si ce n’est pas le cas, faites-la glisser vers le haut de la liste. 

Cela définit la passerelle par défaut dans la table de routage. L’interface du haut de 

la liste est toujours configurée pour Internet ou le WAN. 

3 Vérifiez que l’adresse IP et les réglages d’« Ethernet intégré » correspondent bien 

aux réglages de l’adresse publique que vous avez reçue de votre FAI. 

Dans notre exemple, il s’agit des réglages suivants : 

Â Adresse IP : 17.254.0.3 

Â Masque de réseau : 255.255.252.0 

Â DNS : 17.254.1.6 

4 Vérifiez que l’adresse IP et les réglages de « Logement Ethernet PCI 1 » correspondent 

bien aux réglages de votre adresse locale. 

Dans notre exemple, il s’agit des réglages suivants : 

Â Adresse IP : 192.168.0.1 

Â Masque de réseau : 255.255.255.0 

Â DNS : 17.254.1.6 

5 Si nécessaire, cliquez sur Appliquer. 






9 Cliquez sur Sous-réseaux et créez un sous-réseau pour le réseau local interne avec 

les paramètres de configuration suivants : 

Â Nom du sous-réseau : 

Â Adresse IP de début : 192.168.0.2 

Â Adresse IP de fin : 192.168.0.254 

Â Masque de sous-réseau : 255.255.255.0 

Â Interface réseau : en1 

Â Routeur : 192.168.0.1 

Â Durée de bail : 

Â DNS : 17.254.1.6 

Pour des informations détaillées sur la configuration de DHCP, consultez la section 

« Création de sous-réseaux » à la page 29. 

10 Pour démarrer le service DHCP, cliquez sur le bouton Démarrer DHCP sous la liste Serveurs. 

11 Dans Admin Serveur, dans la liste Serveurs développée, sélectionnez NAT. 

12 Configurez NAT à l’aide du réglage suivant : 

Interface réseau externe :en0 

13 Si nécessaire, cliquez sur Enregistrer. 

14 Pour démarrer le service NAT, cliquez sur le bouton Démarrer NAT sous la liste Serveurs. 

15 Dans Admin Serveur, dans la liste Serveurs développée, sélectionnez Coupe-feu. 

16 Créez des règles de coupe-feu pour autoriser l’accès à et depuis votre réseau privé. 

Par exemple, créez un groupe d’adresses IP nommé « Réseau local privé » pour les 

adresses 192.168.0.0/16. 


17 Pour démarrer le service de coupe-feu, cliquez sur le bouton Démarrer Coupe-feu sous 

la liste Serveurs. 

18 Démarrez tous les services auxquels vous voulez que le réseau local privé accède (web, 

SSH, partage de fichiers, etc.) à l’aide du groupe « Réseau local privé ». 

Pour en savoir plus, consultez la rubrique « Configuration de réglages de services » 


19 Démarrez tous les services auxquels vous voulez qu’Internet accède (web, SSH, partage 

de fichiers, etc.) à l’aide du groupe « Quelconque ». 

Pour en savoir plus, consultez la rubrique « Configuration de réglages de services » à 

la page 96. 



Configuration d’un tournoi de jeu en réseau 

Certains jeux compatibles avec Internet permettent à plusieurs joueurs de se connecter 

en ligne via un réseau local. Cela s’appelle un tournoi de jeu en réseau. La configuration 

d’un tournoi de jeu en réseau est essentiellement identique au processus décrit 

dans « Liaison d’un réseau local à Internet par une adresse IP » à la page 128. 

Considérations spéciales : 

Â N’ouvrez que les ports nécessaires pour jouer au jeu compatible avec Internet. 

Â Si le jeu n’est joué qu’à l’intérieur du réseau local, n’ouvrez pas les ports du jeu sur 

le coupe-feu. 

Â Si des ordinateurs vont et viennent sur le réseau local, utilisez DHCP pour la configuration 

des adresses des clients. 

Configuration de serveurs virtuels 

Un serveur virtuel est un serveur passerelle qui envoie des services derrière un NAT vers 

de véritables serveurs sur chaque port. 

Imaginons que vous disposez d’une passerelle NAT nommée domaine.exemple.com 

portant l’adresse 17.100.0.1 configurée pour rediriger le trafic web (port 80) vers 

l’adresse 10.0.0.5 (port 80) derrière le coupe-feu et qui envoie les requêtes de paquets 

pour le trafic ssh (port 22) vers l’adresse 10.0.0.15 (port 22). 

Dans cet exemple, la passerelle NAT ne sert pas réellement le contenu web (le serveur 

à l’adresse 10.0.0.5) mais le serveur qui se trouve à l’adresse 10.0.0.5 n’est pas visible par 

les clients qui naviguent sur le site web. 

Vu d’Internet, vous n’avez qu’un seul serveur, mais vu de derrière la passerelle NAT, vous en 

avez autant que vous le souhaitez. Vous pouvez utiliser cette configuration pour la répartition 

de la charge ou comme schéma organisationnel pour la topographie du réseau. 

Les serveurs virtuels vous permettent également de rerouter facilement du trafic réseau 

vers d’autres ordinateurs du réseau local en reconfigurant simplement la passerelle. 

Les serveurs virtuels requièrent la configuration de trois services : 

Â NAT : le service NAT doit être configuré avec la redirection de port du port virtuel 

souhaité. 

Â DNS : l’enregistrement DNS du serveur doit accepter quelques alias de services 

communs et les traduire tous vers la même adresse IP. 

Â Coupe-feu : le coupe-feu doit autoriser le trafic sur certains ports particuliers pour 

avoir accès au réseau local NAT. 


Dans cet exemple, vous configurez une passerelle NAT et routez deux noms de domaine 

et des services vers différents ordinateurs se trouvant derrière le coupe-feu de la passerelle. 

Nous utilisons la configuration suivante : 

Â Noms et fonctions de l’interface Ethernet : Ethernet intégré (connecté à Internet), 

logement Ethernet PCI 1 (connecté au réseau interne). 

Â Adresse IP publique ou Internet : 17.100.0.1 (à titre d’exemple uniquement, votre 

numéro IP et vos informations de masque de réseau seront fournies par votre FAI). 


(également exprimé sous la forme 192.168.0.0/24 ou 192.168.0.0:255.255.255.0). 

Â Adresse IP du réseau privé du serveur passerelle : 192.168.0.1. 

Â Adresse IP du réseau privé du serveur web : 192.168.0.2. 

Â Adresse IP du réseau privé du serveur de courrier : 192.168.0.3. 

Â Réglages relatifs aux adresses IP des serveurs web et de courrier : configurez IPv4 

à l’aide de DHCP. 

Ce dernier réglage n’est pas obligatoire car NAT peut être utilisé avec des adresses IP 

statiques plutôt qu’avec DHCP. La configuration de ce réglage rend toutefois la configuration 

des ordinateurs plus facile. 

Pour configurer des serveurs virtuels : 





4 Cliquez sur Sous-réseaux et créez un groupe d’adresses pour le réseau local interne 

avec les paramètres de configuration suivants : 

Â Nom du sous-réseau : 

Â Adresse IP de début : 192.168.0.2 

Â Adresse IP de fin : 192.168.0.254 

Â Masque de sous-réseau : 255.255.255.0 

Â Interface réseau : en1 

Â Routeur : 192.168.0.1 

Â Durée de bail : 

Â DNS : 

Â Mappage statique (web) : mise en correspondance 

avec l’adresse 192.168.0.2 

Â Mappage statique (courrier) : mise en correspondance 

avec l’adresse 192.168.0.3 

Pour plus d’informations, consultez les sections « Création de sous-réseaux » à la page 29 

et « Assignation d’adresses IP statiques à l’aide de DHCP » à la page 39. 


5 Pour démarrer le service DHCP, cliquez sur le bouton Démarrer DHCP sous la liste Serveurs. 

6 Dans Admin Serveur, dans la liste Serveurs développée, sélectionnez NAT. 

7 Configurez NAT à l’aide du réglage suivant : 

Â Interface du réseau externe : en0 

Â Redirection de port : port TCP 80 (web) vers l’adresse 192.168.0.2 

Â Redirection de port : port TCP 25 (web) vers l’adresse 192.168.0.3 


9 Pour démarrer le service NAT, cliquez sur le bouton Démarrer NAT sous la liste Serveurs. 

10 Dans Admin Serveur, dans la liste Serveurs développée, sélectionnez Coupe-feu. 

11 Créez des règles de coupe-feu pour autoriser l’accès à votre réseau privé. 


12 Activez les deux services auxquels vous voulez qu’Internet accède (web et courrier 

SMTP) à l’aide du groupe « Quelconque ». 




14 Pour démarrer le service de coupe-feu, cliquez sur le bouton Démarrer Coupe-feu 

sous la liste Serveurs. 

15 Contactez votre fournisseur DNS (généralement votre FAI) pour ajouter deux alias 

à l’enregistrement DNS de votre serveur passerelle. 

Demandez un enregistrement A du nom de www.exemple.com vers l’adresse IP 17.100.0.1. 

Demandez un enregistrement MX du nom de mail.exemple.com vers la même adresse IP. 

Ces enregistrements s’ajoutent aux enregistrements A et CNAME existants pour votre 

domaine. 

Tout le trafic web vers www.exemple.com est maintenant redirigé vers le serveur 

interne à l’adresse 192.168.0.2 et le trafic de courrier entrant envoyé 

à mail.exemple.com est remis au serveur interne à l’adresse 192.168.0.3. 

Si vous voulez modifier les serveurs qui se trouvent derrière le NAT (par exemple, pour 

procéder à une mise à niveau matérielle), il suffit de remplacer l’adresse IP statique 

DHCP par les adresses Ethernet des nouveaux serveurs. Assignez simplement aux nouveaux 

serveurs les adresses IP internes existantes désignées pour le web et le courrier 

et la passerelle redirigera le trafic vers les nouveaux serveurs sans interruption. 



Pour en savoir plus sur natd 

Le processus démon qui contrôle le service NAT est natd. Pour obtenir des informations 

sur la manière d’accéder aux fonctionnalités de natd et les implémenter, consultez 

la page man de natd. 

Documents RFC 


ou de services particuliers et présentent de manière détaillée le comportement normal 

de chaque protocole. 



En revanche, si vous êtes un administrateur de serveur confirmé, vous trouverez tous 

les détails techniques concernant un protocole particulier dans le document RFC 

correspondant. 



Pour les descriptions de NAT, consultez : 

Â RFC 1631 

Â RFC 3022 


6 Utilisation 

du service VPN 

6 

Ce chapitre décrit comment configurer et gérer le service VPN 

dans Mac OS X Server 

En créant un réseau privé virtuel (en anglais « Virtual Private Network » ou « VPN ») 

sur votre serveur, vous pouvez donner aux utilisateurs un moyen plus sûr de communiquer 

à distance avec des ordinateurs de votre réseau. 

Le présent chapitre décrit la méthode d’authentification et les protocoles de transport 

VPN et explique comment configurer, gérer et surveiller le service VPN. Il ne contient pas 

d’informations sur la configuration de clients VPN pour l’utilisation de votre serveur VPN. 

Un VPN est composé de deux ordinateurs ou réseaux (nœuds) ou plus connectés par 

un lien privé de données chiffrées. Ce lien simule une connexion locale, comme si 

l’ordinateur distant était attaché au réseau local. 

Les VPN connectent de manière sécurisée les utilisateurs qui travaillent à distance (par 

exemple, à la maison) au réseau local par une connexion semblable à une connexion 

Internet. Du point de vue de l’utilisateur, la connexion VPN apparaît comme un lien 

privé dédié. 

La technologie VPN permet aussi de connecter par Internet une organisation à des filiales 

tout en maintenant des communications sécurisées. La connexion VPN par Internet 

agit alors comme un lien de réseau étendu (WAN) entre les différents sites. 

Les VPN offrent plusieurs avantages aux organisations dont les ressources informatiques 

sont réparties sur plusieurs sites. Par exemple, les utilisateurs ou nœuds à distance 

utilisent les ressources réseau de leur fournisseur d’accès à Internet (FAI) plutôt 

qu’un lien câblé direct au site principal. 

Les VPN permettent aux utilisateurs mobiles, dont l’identité à été vérifiée, d’accéder à 

des ressources informatiques privées (à des serveurs de fichiers, etc.) à l’aide de n’importe 

quelle connexion à Internet. Les VPN permettent aussi de relier plusieurs réseaux locaux 

entre eux sur de grandes distances en utilisant l’infrastructure Internet existante. 

135

VPN et la sécurité 

Les VPN améliorent la sécurité en exigeant une authentification forte de l’identité et 

le chiffrement du transport des données entre les différents nœuds à des fins de confidentialité 

et de dépendance des données. La section qui suit contient des informations 

sur les différentes méthodes de transport et d’authentification prises en charge. 

Protocoles de transport 

Il existe deux protocoles de transport chiffré : le protocole Layer Two Tunneling Protocol, 

Secure Internet Protocol (L2TP/IPSec) et le protocole Point–to–Point Tunneling Protocol 

(PPTP). Vous pouvez activer l’un ou l’autre de ces protocoles, ou les deux. Chacun 

a ses propres avantages et conditions requises. 

L2TP/IPSec 

L2TP/IPSec utilise le chiffrement IPSec fort pour faire transiter les données entre les 

différents nœuds réseau par un tunnel. Il repose sur le protocole L2F de Cisco. 

IPSec requiert des certificats de sécurité (auto-signés ou signés par une autorité de certificat 

comme Verisign) ou un secret partagé prédéfini entre les nœuds qui se connectent. 

Le secret partagé doit être saisi sur le serveur et le client. 

Le secret partagé n’est pas un mot de passe pour l’authentification et ne génère pas 

de clés de chiffrement pour établir des tunnels sécurisés entre les nœuds. Il s’agit d’un 

jeton que les systèmes de gestion de clés utilisent pour se faire mutuellement confiance. 

L2TP est le protocole VPN préféré sous Mac OS X Server parce qu’il possède un chiffrement 

de transport de qualité supérieure et parce qu’il peut être authentifié à l’aide de Kerberos. 

PPTP 

PPTP est un protocole VPN standard très utilisé sous Windows. PPTP offre un bon chiffrement 

(en cas d’utilisation de mots de passe forts) et prend en charge un certain 

nombre de schémas d’authentification. Il utilise le mot de passe fourni par l’utilisateur 

pour produire une clé de chiffrement. 

Par défaut, PPTP prend en charge le chiffrement 128 bits (fort). PPTP prend également 

en charge le chiffrement de sécurité 40 bits (faible). 

PPTP est nécessaire si vous avez des clients Windows sous des versions de Windows 

antérieures à XP ou si vous avez des clients Mac OS X 10.2.x ou antérieur. 

136 Chapitre 6 Utilisation du service VPN

Méthode d’authentification 

Le VPN L2TP de Mac OS X Server utilise Kerberos 5 ou le protocole Challenge Handshake 

Authentication Protocol version 2 (MS-CHAPv2) de Microsoft pour l’authentification. 

Le VPN L2TP de Mac OS X Server n’utilise que MS-CHAPv2 pour l’authentification. 

Kerberos est un protocole d’authentification sécurisé qui utilise un serveur Kerberos 

Key Distribution Server comme tierce partie de confiance pour authentifier un client 

auprès d’un serveur. 

La méthode d’authentification MS-CHAPv2 encode les mots de passe lorsqu’ils sont 

envoyés sur le réseau et les stocke sur le serveur sous forme brouillée. Cette méthode 

offre un bon niveau de sécurité lors des transmissions réseau. Il s’agit également du 

schéma d’authentification standard de Windows pour les VPN. 

Le VPN PPTP de Mac OS X Server peut également utiliser d’autres méthodes d’authentification. 

Chaque méthode a ses propres avantages et conditions requises. Ces autres 

méthodes d’authentification pour PPTP ne sont pas disponibles dans Admin Serveur. 

Si vous voulez utiliser un schéma d’authentification alternatif (par exemple, pour utiliser 

l’authentification SecurID de RSA Security), vous devez éditer le fichier de configuration 

VPN manuellement. Le fichier de configuration se trouve dans /Bibliothèque/ 

Preferences/SystemConfiguration/com.apple.RemoteAccessServers.plist 

Pour en savoir plus, consultez la rubrique « Utilisation de l’authentification SecurID avec 

un serveur VPN » à la page 149. 

Utilisation du service VPN avec des utilisateurs se trouvant dans 

un domaine LDAP de tierce partie 

Pour utiliser le service VPN pour des utilisateurs se trouvant dans un domaine LDAP 

de tierce partie (un domaine Active Directory ou Linux OpenLDAP), vous devez pouvoir 

utiliser l’authentification Kerberos. Si vous devez utiliser MSCHAPv2 pour authentifier 

des utilisateurs, vous ne pouvez pas proposer le service VPN aux utilisateurs qui se 

trouvent dans un domaine LDAP de tierce partie. 

Avant de configurer le service VPN 

Avant de configurer le service VPN, déterminez quel protocole de transport vous allez 

utiliser. Le tableau ci-dessous indique quels protocoles sont pris en charge par les différentes 

plateformes. 

Si vous avez 

Vous pouvez utiliser 

L2TP/IPSec 

Vous pouvez utiliser PPTP 

des clients Mac OS X 10.5 et 10.4.x X X 

des clients Mac OS X 10.3.x X X 

des clients Mac OS X 10.2.x 

X 

Chapitre 6 Utilisation du service VPN 137

Si vous avez 

Vous pouvez utiliser 

L2TP/IPSec 

Vous pouvez utiliser PPTP 

des clients Windows X (si Windows XP) X 

des clients Linux ou Unix X X 

Si vous utilisez L2TP, vous devez posséder un certificat de sécurité (émis par une autorité 

de certificat ou auto-signé) ou un secret partagé prédéfini entre les nœuds qui se 

connectent. Si vous utilisez un secret partagé, ce dernier doit également être sécurisé 

(compter au moins 8 caractères alphanumériques, y compris des signes de ponctuation 

mais sans espaces ; de préférence 12 ou plus) et être gardé secret par les utilisateurs. 

Si vous utilisez PPTP, assurez-vous que tous vos clients prennent en charge les connexions 

PPTP 128 bits pour une sécurité de transport maximale. N’utiliser que la sécurité de transport 

40 bits représente un risque sérieux pour la sécurité. 

Configuration d’autres services réseau pour VPN 

L’activation de VPN sous Mac OS X Server nécessite un contrôle détaillé de DHCP. DHCP 

se configure séparément dans Admin Serveur. Les adresses IP assignées aux clients VPN 

ne peuvent pas chevaucher les adresses assignées aux clients DHCP locaux. Pour en 

savoir plus sur DHCP, consultez le chapitre 2, « Utilisation du service DHCP, » à la page 27. 

Pour pouvoir activer VPN, il faut également configurer le service de coupe-feu. Les réglages 

de coupe-feu doivent permettre le passage du trafic réseau d’adresses IP externes 

au travers du coupe-feu vers le réseau local. Les réglages de coupe-feu peuvent être aussi 

ouverts ou fermés que vous le souhaitez. 

Par exemple, si vos clients VPN utilisent une grande plage d’adresses IP (si vous avez 

de nombreux utilisateurs qui se connectent par différents FAI), il se peut que vous 

deviez ouvrir le groupe d’adresses de coupe-feu « Quelconque » aux connexions VPN. 

Si vous voulez restreindre l’accès à une petite plage d’adresses IP, y compris à des 

adresses statiques, vous pouvez créer un groupe d’adresses qui reflète la plus petite 

plage et n’autoriser que le trafic VPN provenant de cette liste. Vous devez également 

ouvrir les ports de coupe-feu associés au type de VPN que vous utilisez (L2TP ou PPTP). 

De plus, un VPN utilisant L2TP doit autoriser le trafic des clients VPN sur le port UDP 

4500 (IKE NAT Traversal) si vous utilisez une passerelle NAT. 

Il se peut que votre configuration réseau nécessite également l’ouverture d’autres ports. 



Voici une vue d’ensemble des étapes requises pour configurer le service d’impression: 

Étape 1 : Avant de commencer 

Pour connaître les informations à garder à l’esprit lors de la configuration du service 

VPN, lisez « Avant de configurer le service VPN » à la page 137 et « Configuration 

d’autres services réseau pour VPN » à la page 138. 

Étape 2 : Activez le service VPN 

Pour pouvoir configurer le service VPN, vous devez d’abord l’activer. Consultez la rubrique 

« Activation du service VPN » à la page 139. 

Étape 3 : Configurez des réglages VPN L2TP 

Utilisez Admin Serveur pour activer L2TP sur IPSec, définir la plage d’allocation des 

adresses IP et définir le secret partagé ou le certificat de sécurité. Consultez la rubrique 

« Configuration des réglages L2TP » à la page 140. 

Étape 4 : Configurez des réglages VPN PPTP 

Utilisez Admin Serveur pour activer PPTP, pour spécifier la longueur des clés de chiffrement 

et pour spécifier la plage d’allocation des adresses IP. Consultez la rubrique 

« Configuration des réglages PPTP » à la page 141. 

Étape 5 : Configurez les réglages de journalisation VPN 

Utilisez les réglages de journalisation pour activer la journalisation VPN détaillée. 

Consultez la rubrique « Configuration des réglages de journalisation » à la page 143. 

Étape 6 : Configurez des réglages d’informations sur les clients VPN 

Utilisez Admin Serveur pour configurer des réglages réseau pour les clients VPN. Consultez 

la rubrique « Configuration de réglages d’informations sur les clients » à la page 142. 

Activation du service VPN 

Pour configurer le service VPN, vous devez d’abord activer le service VPN dans 


Pour activer le service VPN : 



3 Cochez la case VPN. 



Configuration du service VPN 

Il y a deux groupes de réglages relatifs au service VPN dans Admin Serveur : 

Â Connexions. Affiche des informations sur les utilisateurs qui sont connectés à l’aide 

de VPN. 

Â Réglages. Configure et gère les connexions du service VPN L2TP et PPTP. 

Les sections suivantes décrivent comment définir ces réglages. La section finale explique 

comment démarrer le service VPN une fois que vous avez configuré VPN. 

Configuration des réglages L2TP 

Utilisez Admin Serveur pour désigner L2TP comme protocole de transport. 

Si vous activez ce protocole, vous devez également configurer les réglages de connexion. 

Vous devez définir un secret partagé IPSec (si vous n’utilisez pas de certificat 

de sécurité signé), la plage d’allocation d’adresses IP à donner à vos clients ainsi que 

le groupe qui va utiliser le service VPN (si nécessaire). 

Si vous utilisez L2TP et PPTP, chaque protocole doit posséder sa propre plage d’adresses 

et celle-ci ne doit pas chevaucher d’autres plages. 

Lorsque vous configurez VPN, assurez-vous que le coupe-feu autorise le trafic VPN 

sur les ports requis avec les réglages suivants : 

Â Pour le groupe d’adresses « Quelconque », activez GRE, ESP, VPN L2TP (port 1701) 

et VPN ISAKMP/IKE (port 500). 

Â Pour le groupe d’adresses « 192.168-net », autorisez tout le trafic. 



Pour configurer des réglages L2TP : 



La liste des serveurs apparaît. 

3 Dans la liste Serveurs développée, sélectionnez VPN. 

4 Cliquez sur Réglages, puis sur L2TP. 

5 Cochez la case « Activer L2TP via IPsec ». 

6 Dans le champ « Adresse IP de début », saisissez l’adresse IP de début de la plage 

d’allocation VPN. 

Elle ne peut pas chevaucher la plage d’allocation DHCP, donc saisissez 192.168.0.128. 

7 Dans le champ « Adresse IP de fin », saisissez l’adresse IP de fin de la plage d’allocation VPN. 



8 (Facultatif) Vous pouvez répartir la charge VPN en cochant la case Activer la répartition 

de la charge et en saisissant une adresse IP dans le champ Adresse IP de la grappe. 

9 Sélectionnez un type d’authentification PPP. 

Si vous optez pour Service de répertoire et que votre ordinateur est lié à un serveur 

d’authentification Kerberos, dans le menu local Authentification, sélectionnez Kerberos. 

À défaut, sélectionnez MS-CHAPv2. 

Si vous optez pour RADIUS, saisissez les informations suivantes : 

Adresse IP primaire : saisissez l’adresse IP du serveur RADIUS principal. 

Secret partagé : saisissez le secret partagé du serveur RADIUS principal. 

Adresse IP secondaire : saisissez l’adresse IP du serveur RADIUS secondaire. 

Secret partagé : saisissez le secret partagé du serveur RADIUS secondaire. 

10 Saisissez le secret partagé ou sélectionnez le certificat à utiliser dans la section 

Authentification IPSec. 

Le secret partagé est un mot de passe commun qui authentifie les membres de 

la grappe. IPSec utilise le secret partagé comme une clé prépartagée pour établir 

des tunnels sécurisés entre les nœuds de la grappe. 


Configuration des réglages PPTP 

Utilisez Admin Serveur pour désigner PPTP comme protocole de transport. 

Si vous activez ce protocole, vous devez également configurer des réglages de connexion. 

Vous devez définir la longueur de la clé de chiffrement (40 bits ou 128 bits), la plage d’allocation 

d’adresses IP à donner à vos clients et le groupe qui va utiliser le service VPN (si 

nécessaire). 

Si vous utilisez L2TP et PPTP, chaque protocole doit posséder sa propre plage d’adresses 

et celle-ci ne doit pas chevaucher d’autres plages. 

Lorsque vous configurez VPN, assurez-vous que le coupe-feu autorise le trafic VPN 

sur les ports requis avec les réglages suivants : 

Â Pour le groupe d’adresses « Quelconque », activez GRE, ESP, VPN L2TP (port 1701) 

et IKE (port 500). 

Â Pour le groupe d’adresses « 192.168-net », autorisez tout le trafic. 




Pour configurer des réglages PPTP : 





4 Cliquez sur Réglages, puis sur PPTP. 

5 Cochez la case Activer PPTP. 

6 Si nécessaire, cochez la case « Autoriser les clés de cryptage 40 bits, outre celles de 

128 bits » pour autoriser à l’accès au VPN par clé chiffrée de 40 bits et de 128 bits. 

AVERTISSEMENT : les clés de chiffrement 40 bits sont bien moins sûres mais peuvent 

s’avérer nécessaires pour certaines applications de client VPN. 






9 Sélectionnez un type d’authentification PPP. 

Si vous optez pour Service de répertoire et que votre ordinateur est lié à un serveur 

d’authentification Kerberos, dans le menu local Authentification, sélectionnez Kerberos. 

À défaut, sélectionnez MS-CHAPv2. 

Si vous optez pour RADIUS, saisissez les informations suivantes : 

Adresse IP primaire : saisissez l’adresse IP du serveur RADIUS principal. 

Secret partagé : saisissez le secret partagé du serveur RADIUS principal. 

Adresse IP secondaire : saisissez l’adresse IP du serveur RADIUS secondaire. 

Secret partagé : saisissez le secret partagé du serveur RADIUS secondaire. 


Configuration de réglages d’informations sur les clients 

Lorsqu’un utilisateur se connecte à votre serveur par un VPN, cet utilisateur reçoit une 

adresse IP dans la plage allouée. Cette plage n’est pas servie par un serveur DHCP, vous 

devez donc configurer le masque de réseau, l’adresse DNS et des domaines de recherche. 

Pour configurer des réglages d’informations sur les clients : 






4 Cliquez sur Réglages, puis sur Informations sur les clients. 

5 Saisissez l’adresse IP du serveur DNS. 

Ajoutez l’adresse IP interne de l’ordinateur passerelle (généralement 192.168.x.1). 

6 Saisissez les domaines de recherche souhaités. 


Configuration des réglages de journalisation 

Vous avez le choix entre deux niveaux de détail pour les historiques du service VPN. 

Â Historiques non détaillés : décrivent les conditions pour lesquelles vous devez prendre 

une mesure immédiate (par exemple, si le service VPN ne peut pas démarrer). 

Â Historiques détaillés : enregistrent toutes les activités du service VPN, y compris 

les fonctions de routine. 

Par défaut, ce sont les historiques non détaillés qui sont activés. 

Pour régler le niveau de détail de la journalisation sur Historiques détaillés : 






5 Cochez la case Historiques détaillés pour activer la journalisation détaillée. 


Démarrage du service VPN 

Utilisez Admin Serveur pour démarrer le service VPN. 

Pour démarrer le service VPN : 





4 Cliquez sur le bouton Démarrer VPN sous la liste Serveurs. 

Cliquez sur Réglages, puis sur L2TP ou PPTP et vérifiez que la case « Activer L2TP 

via IPsec » ou « Activer PPTP » est cochée. 


Gestion du service VPN 

La présente section décrit les tâches associées à la gestion du service VPN. Ces dernières 

couvrent le démarrage, l’arrêt et la configuration du service. 

Arrêt du service VPN 

Utilisez Admin Serveur pour arrêter le service VPN. 

Pour arrêter le service VPN : 





4 Cliquez sur le bouton Arrêter VPN sous la liste Serveurs. 

Configuration de définitions de routage de réseau VPN 

En utilisant des définitions de routage de réseau, vous pouvez choisir de router les 

données provenant des clients VPN vers un groupe d’adresses au travers du tunnel 

VPN (qui est privé) ou par la connexion du FAI de l’utilisateur du VPN (qui est publique). 

Par exemple, vous pouvez router tout le trafic des clients VPN adressé à la plage d’adresses 

IP du réseau local par le tunnel sécurisé vers le réseau, mais router le trafic adressé à 

toutes les autres adresses par la connexion Internet normale non sécurisée de l’utilisateur. 

Cela vous permet de mieux contrôler ce qui transite par le tunnel VPN. 

Remarques importantes sur les définitions de routage VPN 

Â Si vous n’ajoutez aucune définition de routage, le trafic est routé par la connexion 

VPN par défaut. 

Â Si vous ajoutez des définitions de routage, la connexion VPN n’est plus définie comme 

la route par défaut et le trafic destiné aux adresses qui ne sont pas spécifiquement 

déclarées comme une route privée ne transiteront pas par la connexion VPN. 

Â Les recherches DNS transitent par la connexion VPN, quelles que soient les routes 

définies. 

Â L’ordre des définitions n’a pas d’importance. Les définitions appliquent uniquement 

la description qui correspond le mieux au paquet routé. 

Exemple 

Imaginons que les adresses IP de votre réseau local soient des adresses en 17.x.x.x. 

Si vous n’ajoutez pas de définitions de routage, le trafic réseau de chaque client VPN 

(comme les demandes d’URL des navigateurs web, les tâches d’impression des files 

d’attente des imprimantes LPR et la navigation sur les serveurs de fichiers) est routé 

de l’ordinateur client par le tunnel VPN vers le réseau 17.x.x.x. 


Vous décidez de ne plus gérer le trafic vers des sites web ou des serveurs de fichiers qui ne 

sont pas situés sur votre réseau. Vous pouvez spécifier quel trafic doit être adressé au réseau 

17.x.x.x et quel trafic doit transiter par la connexion Internet normale de l’ordinateur client. 

Pour limiter le trafic que le tunnel VPN gère, saisissez une définition de routage désignant 

le trafic adressé au réseau 17.x.x.x comme étant privé, ce qui l’envoie au travers 

du tunnel VPN. Dans la table de définitions de routage, vous devez saisir 17.0.0.0 

255.0.0.0 Private. 

Tout le trafic vers le réseau local est maintenant envoyé par la connexion VPN et, par défaut, 

le trafic adressé à toutes les autres adresses qui ne figurent pas dans la table des définitions 

de routage est envoyé par la connexion Internet non chiffrée de l’ordinateur client. 

Vous décidez ensuite que certaines adresses IP de la plage 17.x.x.x ne doivent pas être 

accessibles par la connexion VPN. Vous voulez que ce trafic transite par la connexion 

Internet de l’ordinateur client plutôt que par le tunnel VPN. Il se peut que les adresses 

soient devant le coupe-feu et pas accessibles à partir du réseau 17.x.x.x. 

Par exemple, si vous voulez utiliser les adresses de la plage 17.100.100.x, vous devez 

ajouter un nouvelle définition de routage comme suit : 17.100.100.0 255.255.255.0 Public. 

Comme la définition d’adresse est plus spécifique que 17.x.x.x, cette règle l’emporte 

sur la règle générale plus large et le trafic adressé à n’importe quelle adresse de 

la plage 17.100.100.x est envoyé par la connexion Internet de l’ordinateur client. 

En bref, si vous ajoutez des routes, toutes les routes que vous désignez comme privées 

passent par la connexion VPN, alors que celles que vous déclarez publiques ne passent 

pas par la connexion VPN. Toutes les autres routes non spécifiées ne passent pas non 

plus par la connexion VPN. 

Pour définir des définitions de routage : 





4 Cliquez sur Réglages, puis sur Informations sur les clients. 


6 Saisissez une plage d’adresses de destination pour les paquets à router en spécifiant : 

Une adresse de base (par exemple, 192.168.0.0). 

Un masque de réseau (par exemple, 255.255.0.0). 

7 Dans le menu local Type, sélectionnez la destination du routage. 

Privé route le trafic client au travers du tunnel VPN. 


Publique utilise l’interface normale sans tunnel. 



Limitation de l’accès VPN à des utilisateurs ou groupes spécifiques 

Par défaut, tous les utilisateurs du serveur ou du répertoire maître ont accès au VPN 

lorsqu’il est activé. Vous pouvez limiter l’accès au VPN à des utilisateurs spécifiques 

pour des raisons de sécurité ou pour simplifier l’administration. Vous pouvez limiter 

l’accès au VPN en utilisant la fonctionnalité des listes de contrôle d’accès (en anglais 

« Access Control Lists » ou « ACL ») de Mac OS X Server. 

Les listes de contrôle d’accès, ou listes ACL, permettent de donner l’accès à des services 

à des utilisateurs ou groupes sur une base individuelle. Vous pouvez, par exemple, 

utiliser une liste ACL pour autoriser un utilisateur à accéder à un serveur de fichiers ou 

à un shell d’ouverture de session spécifique tout en refusant l’accès à tous les autres 

utilisateurs du serveur. 

Pour limiter l’accès au VPN à l’aide de listes ACL : 


2 Cliquez sur Réglages, puis sur Accès. 


4 Cochez la case « Pour les services sélectionnés ». 

5 Dans la liste d’accès aux services, sélectionnez VPN. 

6 Sélectionnez « Autoriser les utilisateurs et groupes ci-dessous ». 

7 Pour afficher le tiroir des utilisateurs ou des groupes, cliquez sur le bouton Ajouter (+). 

8 Faites glisser des utilisateurs ou des groupes dans la liste d’accès. 


Limitation de l’accès au VPN à des adresses IP entrantes spécifiques 

Par défaut, le service de coupe-feu bloque les connexions VPN entrantes, mais vous 

pouvez donner un accès au VPN limité à certaines adresses IP pour des raisons de sécurité 

ou pour simplifier l’administration. 

Vous pouvez limiter l’accès au VPN en utilisant le service de coupe-feu de Mac OS X 

Server. Lors de la configuration du coupe-feu pour L2TP et PPTP, vous devez configurer 

GRE, ESP et IKE de manière à autoriser l’accès au VPN au travers du coupe-feu. 

Pour limiter l’accès au VPN en fonction de l’adresse IP : 







5 Sélectionnez Avancé, puis cliquez sur le bouton Ajouter (+). 

6 Dans le menu local Action, choisissez Autoriser. 

7 Dans le menu local Protocole, choisissez une option. 

Si vous utilisez L2TP pour l’accès au VPN, choisissez UDP. 

Si vous utilisez PPTP pour l’accès au VPN, choisissez TCP. 

8 Dans le menu local Service, choisissez VPN L2TP ou VPN PPTP. 

Le port de destination correspondant est ajouté au champ Port. 

9 (Facultatif) Cochez la case « Journaliser tous les paquets correspondant à cette règle ». 

10 Dans le menu local Adresse de la section Source, choisissez Autre et saisissez la plage 

d’adresses IP source (en notation CIDR) à laquelle vous voulez donner l’accès au VPN. 

Vous pouvez également spécifier un port dans le champ Port de la section Source. 

Les ordinateurs qui possèdent une adresse IP dans la plage d’adresses IP que vous avez 

spécifiée dans le champ pour l’adresse IP source qui communiquent sur le port source 

que vous avez spécifié peuvent se connecter au service VPN. 

11 Dans le menu local Adresse de destination, choisissez le groupe d’adresses qui contient 

le serveur VPN (comme destination du trafic filtré). 


de destination (en notation CIDR). 

12 Dans le menu local Interface à laquelle cette règle s’applique, choisissez Entrée. 

Entrée fait référence aux paquets qui arrivent au serveur. 



15 Dans le menu local Action, choisissez Autoriser. 

16 Dans le menu local Protocole, choisissez un protocole ou Autre. 

Si vous ajoutez GRE ou ESP, choisissez Autre et saisissez « Quelconque » dans le champ. 

Si vous ajoutez VPN ISAKMP/IKE, choisissez UDP. 

17 Dans le menu local Service, choisissez un service. 

Si vous ajoutez GRE, choisissez « GRE - protocole Generic Routing Encapsulation ». 

Si vous ajoutez ESP, choisissez « ESP - protocole Encapsulating Security Payload ». 

Si vous ajoutez VPN ISAKMP/IKE, choisissez « VPN ISAKMP/IKE. » Le port de destination 

500 est ajouté au champ Port. 

18 Dans le menu local Adresse de la section Source, choisissez « Quelconque ». 


19 Dans le champ Port de la section Source, saisissez « Quelconque ». 

20 Dans le menu local Adresse de la section Destination, choisissez « Quelconque ». 

21 Dans le champ Port de la section Destination, saisissez un numéro de port. 

Si vous ajoutez VPN ISAKMP/IKE, saisissez 500 si ce port n’est pas affiché. 

22 Dans le menu local Interface, choisissez « Autre » et saisissez « Quelconque » dans 

le champ Autre de la section Interface. 


24 Répétez les étapes 14 à 23 pour GRE, ESP et VPN ISAKMP/IKE. 

25 Cliquez sur Enregistrer pour appliquer le filtre immédiatement. 

Instructions de configuration supplémentaires 

La section qui suit décrit des procédures de scénarios facultatifs. Elles requièrent l’intégration 

à un service de répertoire existant ou à des services d’authentification de tierce partie. 

Activation de l’accès VPN PPTP pour les utilisateurs d’un domaine LDAP 

Dans Mac OS X 10.5, vous pouvez utiliser un outil de ligne de commande pour activer 

les connexions VPN PPTP pour les utilisateurs d’un domaine LDAP. 

Cela résout une situation dans laquelle les utilisateurs peuvent établir, à l’aide de PPTP, 

une connexion VPN à un serveur Mac OS X Server qui, une fois établie, n’est pas utilisée 

par le trafic réseau. Cette situation affecte Mac OS X Server 10.3, 10.4 et 10.5. 

Pour activer l’accès VPN PPTP pour les utilisateurs d’un domaine LDAP 

1 Exécutez l’outil /usr/sbin/vpnaddkeyagentuser en tant que root avec le nœud LDAP 

(le répertoire dans lequel les utilisateurs se trouvent) comme argument. 

Par exemple, si le serveur sur lequel tourne le service VPN est le maître LDAP, saisissez 

la commande suivante dans Terminal : 

$ sudo /usr/sbin/vpnaddkeyagentuser /LDAPv3/127.0.0.1 

Si le serveur sur lequel tourne le service VPN n’est pas un maître LDAP et que le répertoire 

LDAP se trouve sur un autre ordinateur, utilisez l’adresse IP du serveur LDAP dans 

la commande. 

Par exemple, si l’adresse du serveur LDAP est 17.221.67.87, saisissez la commande suivante 

dans Terminal : 

$ sudo /usr/sbin/vpnaddkeyagentuser /LDAPv3/17.221.67.87 

2 Lorsque le système vous y invite, saisissez le nom d’utilisateur et le mot de passe. 

Si le serveur VPN est le maître LDAP, saisissez le nom et le mot de passe de l’administrateur 

du serveur. 


Si le répertoire LDAP se trouve sur un autre serveur, saisissez le nom et le mot de passe 

de l’administrateur du serveur qui héberge le répertoire LDAP (ou le nom et le mot de 

passe de l’administrateur utilisé pour ajouter des utilisateurs au répertoire LDAP dans 

Gestionnaire de groupe de travail). 

L’outil ajoute un utilisateur au répertoire LDAP et configure des éléments de configuration 

dans le serveur VPN afin qu’il puisse prendre en charge PPTP. 

3 Dans la sous-fenêtre Réglages du service VPN d’Admin Serveur, configurez PPTP. 

4 Démarrez le service VPN. 

Utilisation de l’authentification SecurID avec un serveur VPN 

RSA Security fournit une authentification forte. Il utilise des jetons matériels et logiciels 

pour vérifier l’identité des utilisateurs. L’authentification SecurID est disponible pour les 

transports L2TP et PPTP. Pour connaître les détails et les offres des différents produits, 

visitez www.rsasecurity.com. 

Le service VPN prend en charge l’authentification SecurID mais celle-ci ne peut pas être 

configurée dans Admin Serveur. Si vous optez pour cet outil d’authentification, vous 

devez modifier la configuration VPN manuellement. 

Configurez SecurID : 

1 À partir de votre serveur SecurID, copiez le fichier sdconf.rec dans un nouveau dossier 

de votre serveur Mac OS X Server nommé /var/ace. 

Il existe plusieurs façons de le faire. En voici une : 

a Ouvrez Terminal (/Applications/Utilitaires/). 

b Saisissez sudo mkdir /var/ace. 

c Saisissez votre mot de passe d’administrateur. 

d Dans le Dock, cliquez sur Finder. 

e Dans le menu Aller, choisissez Aller > Aller au dossier. 

f Saisissez : /var/ace. 

g Cliquez sur Aller. 

h À partir de votre serveur SecurID, copiez le fichier sdconf.rec dans le dossier « ace ». 

i Si une zone de dialogue annonce que le dossier « ace » ne peut pas être modifié, 

cliquez sur Authentification pour autoriser la copie. 

2 Activez l’authentification SecurID EAP sur votre service VPN pour les protocoles avec 

lesquelles vous voulez l’utiliser. 

Pour l’utiliser avec PPTP, saisissez les deux commandes suivantes dans Terminal (sur deux 

lignes séparées) : 

# sudo serveradmin settings vpn:Servers:com.apple.ppp.pptp:PPP:AuthenticatorEAPPlugins:_array_index: 

0 = "EAP-RSA" 


# sudo serveradmin settings vpn:Servers:com.apple.ppp.pptp:PPP:AuthenticatorProtocol:_array_index:0 

= "EAP" 

Pour l’utiliser avec L2TP, saisissez les deux commandes suivantes dans Terminal (sur 

deux lignes séparées) : 

# sudo serveradmin settings vpn:Servers:com.apple.ppp.l2tp:PPP:AuthenticatorEAPPlugins:_array_index: 

0 = "EAP-RSA" 

# sudo serveradmin settings vpn:Servers:com.apple.ppp.l2tp:PPP:AuthenticatorProtocol:_array_index:0 

= "EAP" 

3 Complétez les tâches de configuration du service VPN restantes à l’aide d’Admin Serveur. 

Surveillance du service VPN 

La présente section décrit les tâches associées à la surveillance d’un service VPN actif. 

Cela couvre l’accès aux rapports d’état d’accès, la définition d’options de journalisation, 

l’affichage d’historiques et la surveillance de connexions. 

Affichage de la vue d’ensemble de l’état de VPN 

La vue d’ensemble de VPN vous permet d’accéder rapidement à un rapport sur l’état 

des service VPN activés. Ce rapport indique le nombre de clients L2TP et PPTP connectés, 

la méthode d’authentification sélectionnée et quand le service a démarré. 

Pour afficher la vue d’ensemble : 






Modification du niveau de détail des historiques du service VPN 

Vous avez le choix entre deux niveaux de détail pour les historiques du service VPN. 

Â Non détaillé : ces historiques ne décrivent que les conditions pour lesquelles vous devez 

prendre une mesure immédiate (par exemple, si le service VPN ne peut pas démarrer). 

Â Détaillé : ces historiques enregistrent toutes les activités du service VPN, y compris 

les fonctions de routine. 

Par défaut, ce sont les historiques non détaillés qui sont activés. 

Pour changer le niveau de détail des historiques VPN en Détaillé : 







5 Cochez la case Historiques détaillés pour activer la journalisation détaillée. 


Affichage de l’historique VPN 

Surveiller les historiques VPN vous aide à vous assurer que votre VPN fonctionne correctement. 

Les historiques VPN peuvent vous aider à résoudre des problèmes. La vue de 

l’historique montre le contenu du fichier /var/log/ppp/vpnd.log. Vous pouvez filtrer 

les enregistrements de l’historique à l’aide du champ de filtrage de texte de la sousfenêtre 

Historique de VPN. 

Pour afficher l’historique : 






Affichage des connexions des clients VPN 

Vous pouvez surveiller les connexions des clients VPN pour maintenir un accès sécurisé 

au VPN. En affichant l’écran des connexions client, vous pouvez voir : 

Â Les utilisateurs connectés 

Â L’adresse IP à partir de laquelle les utilisateurs sont connectés 

Â L’adresse IP que votre réseau a assigné aux utilisateurs 

Â Le type et la durée des connexions 

Vous pouvez trier la liste en cliquant sur les en-têtes de colonne. 

Pour afficher les connexions client : 





4 Cliquez sur Connexions. 



le service VPN 

Les sections qui suivent décrivent des tâches d’administration de réseau courantes 

qui utilisent le service VPN. 

Liaison d’un ordinateur de la maison à un réseau distant 

Vous pouvez utiliser VPN pour lier un ordinateur à un réseau distant en donnant accès au 

réseau distant comme si l’ordinateur était connecté physiquement au réseau local. Voici 

un exemple de configuration dans laquelle un ordinateur est lié à un réseau distant : 

Â Authentification des utilisateurs : l’utilisateur peut s’authentifier à l’aide d’un nom 

et d’un mot de passe. 

Â Type de VPN souhaité : L2TP 

Â Secret partagé : prDwkj49fd!254 

Â Adresse IP Internet ou publique de la passerelle VPN : passerelle.exemple.com 


(également exprimée sous la forme 192.168.0.0/24 ou 192.168.0.0:255.255.255.0) 

Â Adresses de début et de fin DHCP : 192.168.0.3–192.168.0.127 

Â Adresse IP DNS du réseau privé : 192.168.0.2 

Le résultat de cette configuration est un client VPN qui peut se connecter à un réseau 

local distant à l’aide de L2TP avec des droits d’accès complets. 

Étape 1 : Configurez VPN 





4 Cliquez sur Réglages, puis sur L2TP. 

5 Activez L2TP via IPsec. 






8 Dans la section Authentification IPSec, saisissez le secret partagé (prDwkj49fd!254). 

Le secret partagé est un mot de passe commun qui authentifie les membres de 

la grappe. IPSec utilise le secret partagé comme une clé prépartagée pour établir 

des tunnels sécurisés entre les nœuds de la grappe. 



10 Cliquez sur Informations sur les clients. 

11 Saisissez l’adresse IP du serveur DNS du réseau local interne (192.168.0.2). 

12 Laissez les définitions de routage vides. 

Tout le trafic provenant du client va transiter par le tunnel VPN. 


14 Cliquez sur Démarrer VPN sous la liste Serveurs. 

Étape 2 : Configurez le coupe-feu 

1 Créez un groupe d’adresses pour la plage d’allocation VPN. 


2 Ouvrez le coupe-feu aux connexions VPN externes en activant les connexions L2TP 

dans le groupe d’adresses « Quelconque ». 



3 Configurez le coupe-feu pour le groupe d’adresses VPN en autorisant ou refusant 

des ports et des services comme vous le souhaitez. 

4 Enregistrez vos modifications. 

5 Démarrez ou redémarrez le coupe-feu. 

Étape 3 : Configurez le client 

L’exemple qui suit illustre un client Mac OS X utilisant les préférences Réseau. 

1 Ouvrez Préférences Système, puis cliquez sur Réseau. 

2 Cliquez sur le bouton Ajouter (+) dans le bas de la liste des services des connexions 

réseau, puis choisissez VPN dans le menu local Interface. 

3 Dans le menu local Type de VPN, choisissez « L2TP via IPSec ». 

4 Saisissez le nom d’un service VPN dans le champ Nom du service, puis cliquez sur Créer. 

5 Saisissez le nom DNS ou l’adresse IP dans le champ Adresse du serveur. 

Adresse du serveur : passerelle.exemple.com 

Nom du compte : 

6 Cliquez sur Réglages d’authentification et saisissez les informations de configuration 

suivantes : 

Authentification des utilisateurs : utilisez Mot de passe 

Authentication des machines : utilisez Secret partagé 


L’utilisateur peut maintenant se connecter. 


Accès à une ressource informatique unique se trouvant derrière 

le coupe-feu d’un réseau distant 

Il faut distinguer l’accès à une ressource informatique se trouvant derrière un coupe-feu 

de l’autorisation d’un ordinateur client à devenir un nœud sur le réseau distant. 

Dans l’exemple précédent, l’ordinateur de l’utilisateur VPN devient un participant 

à part entière du réseau local distant. Dans le présent scénario, la ressource à laquelle 

l’on souhaite accéder est un serveur de fichiers unique, l’ordinateur de l’utilisateur VPN 

n’ayant pas d’autre contact avec le réseau local distant. 

Ce scénario assume des informations qui figurent à la section « Liaison d’un ordinateur 

de la maison à un réseau distant » à la page 152 et nécessite en outre celles-ci : 

Â Adresse IP du serveur de fichiers : 192.168.0.15 

Â Type du serveur de fichiers : partage de fichiers Apple 

Dans ce scénario, la procédure est similaire à celle utilisée dans la section « Liaison d’un 

ordinateur de la maison à un réseau distant » à la page 152, avec les exceptions suivantes : 

Â À l’étape 1, point 12, ne laissez pas les définitions de routage vides. 

Â Créez une route privée avec le numéro IP du serveur de fichiers (192.168.0.15 / 

255.255.255.255). 

Â À l’étape 2, point 3, configurez le coupe-feu de manière à ce qu’il n’accepte que 

les connexions sous le protocole Partage de fichiers Apple et le DNS provenant 

du groupe d’adresses VPN. 

Les utilisateurs VPN qui ont ouvert une session au travers de la passerelle VPN peuvent 

accéder au serveur de fichiers tandis qu’aucun autre trafic réseau ne peut transiter par 

la passerelle chiffrée. 

Liaison de deux sites de réseau distant ou plus 

Vous pouvez utiliser un VPN pour relier un ordinateur à un réseau principal ou pour 

relier plusieurs réseaux entre eux. 

Lorsque deux réseaux sont reliés par VPN, ils peuvent communiquer comme s’ils étaient 

connectés physiquement. Chacun des sites doit disposer de sa propre connexion à Internet 

mais les données privées sont transmises d’un site à l’autre sous une forme chiffrée. 

Ce type de lien est utile pour connecter des bureaux décentralisés au réseau local 

du site principal d’une organisation. 


À propos de l’outil d’administration VPN de site à site 

Relier plusieurs réseaux locaux distants à un réseau local principal nécessite l’utilisation 

d’un utilitaire de ligne de commande sous Mac OS X Server nommé s2svpnadmin 

(« site-to-site VPN admin » en anglais). 

L’utilisation de s2svpnadmin nécessite l’utilisation de (et une certaine familiarité avec) 

Terminal, tandis que l’administrateur doit avoir accès à des privilèges de root par sudo. 

Pour en savoir plus sur s2svpnadmin, consultez la page man de s2svpnadmin. 

Relier plusieurs réseaux locaux distants à un réseau local principal peut nécessiter la création 

d’un certificat de sécurité. L’outil s2svpnadmin peut créer des liens à l’aide de l’authentification 

par secret partagé (les deux sites ont un mot de passe dans leurs fichiers de 

configuration) ou à l’aide de l’authentification par certificat. Pour utiliser l’authentification 

par certificat, vous devez créer le certificat avant d’exécuter s2svpnadmin. 

Les connexions VPN de site à site ne peuvent être établies qu’à l’aide de connexions 

VPN L2TP/IPSec. Vous ne pouvez pas lier deux sites à l’aide de PPTP avec ces instructions. 

Le présent exemple utilise les réglages suivants : 

Â Type de VPN souhaité : L2TP 

Â Authentification : à l’aide d’un secret partagé 

Â Secret partagé : prDwkj49fd!254 

Â Adresse IP Internet ou publique de la passerelle réseau principale du VPN 

(« Site ) : A.B.C.D 

Â Adresse IP Internet ou publique de la passerelle réseau distante du VPN 

(« Site 2 ») : W.X.Y.Z 

Â Adresse IP privée du site 1 : 192.168.0.1 

Â Adresse IP privée du site 2 : 192.168.20.1 

Â Plage d’adresses IP du réseau privé et masque de réseau du site 1 : 192.168.0.0– 

192.168.0.255 (également exprimée sous la forme 192.168.0.0/16 ou 192.168.0.0:255.255.0.0) 

Â Plage d’adresses IP du réseau privé et masque de réseau du site 2 : 192.168.20.0– 

192.168.20.255 (également exprimée sous la forme 192.168.20.0/24 ou 

192.168.0.0:255.255.0.0) 

Â Adresse IP du DNS de l’organisation : 192.168.0.2 

Le résultat de cette configuration est un réseau local distant auxiliaire connecté 

à un réseau local principal par L2TP. 

Étape 1 : Exécutez s2svpnadmin sur les passerelles des deux sites 

1 Ouvrez Terminal et démarrez s2svpnadmin en saisissant : 

$ sudo s2svpnadmin 

2 Saisissez le nombre adéquat pour « Configurer un nouveau serveur de site à site ». 

3 Saisissez le nom de la configuration (les espaces ne sont pas autorisés). 


Dans notre exemple, vous pouvez saisir « site_1 » sur la passerelle du site 1, etc. 

4 Saisissez l’adresse IP publique de la passerelle. 

Dans notre exemple, saisissez A.B.C.D sur la passerelle du site 1 et W.X.Y.Z sur la passerelle 

du site 2. 

5 Saisissez l’adresse IP publique de l’autre site. 

Dans notre exemple, saisissez W.X.Y.Z sur la passerelle du site 2 et A.B.C.D sur la passerelle 

du site 1. 

6 Saisissez « s » pour l’authentification par secret partagé, puis saisissez le secret partagé : 

(« prDwkj49fd!254 »). 

Si vous utilisez l’authentification par certificat, saisissez « c » puis sélectionnez le certificat 

installé que vous voulez utiliser. 

7 Saisissez au moins une politique d’adressage pour la configuration. 

8 Saisissez l’adresse réseau du sous-réseau local (par exemple, 192.168.0.0 pour le site 1, 

192.168.20.0 pour le site 2). 

9 Pour la plage d’adresses, saisissez les bits de préfixe en notation CIDR. 

Dans notre exemple, la notation CIDR de la plage de sous-réseau est 192.168.2.0/24 

pour le site 1, vous devriez donc saisir 24. 

10 Saisissez l’adresse réseau du sous-réseau distant (par exemple, 192.168.20.0 pour le site 1, 

192.168.0.0 pour le site 2). 

11 Pour la plage d’adresses, saisissez les bits de préfixe en notation CIDR. 

Dans notre exemple, la notation CIDR de la plage de sous-réseau est 192.168.2.0/24 

pour le site 1, vous devriez donc saisir 24. 

12 Si vous voulez définir d’autres politiques, faites-le maintenant. À défaut, appuyez sur Retour. 

Si vous deviez connecter un plus grand nombre de sites ou que vous aviez une configuration 

d’adresses plus complexe (ne liant que certaines parties de votre réseau local principal 

au réseau local distant), vous devriez créer d’autres politiques pour cette configuration 

maintenant. 

Répétez les étapes relatives à la politique 7 à 12 pour les nouvelles politiques. 

13 Appuyez sur « y » pour activer la configuration de site. 

Vous pouvez vérifier vos réglages en affichant les détails de la configuration du serveur 

et en saisissant le nom de la configuration (dans notre exemple, « site_1 »). 

14 Quittez s2svpnadmin. 


Étape 2 : Configurez le coupe-feu sur les passerelles des deux sites 

1 Créez un groupe d’adresses ne contenant que l’adresse IP publique du serveur pour 

chaque serveur. 

Dans notre exemple, nommez le premier groupe Site 1 et saisissez l’adresse IP publique 

du serveur. Nommez ensuite le second groupe Site 2 et saisissez l’adresse IP publique 

de l’autre serveur. 


2 Ouvrez le coupe-feu aux connexions VPN externes en activant les connexions L2TP 

(port 1701) et IKE NAT Traversal (port 4500) dans le groupe d’adresses « Quelconque ». 



3 Créez les règles de filtrage IP avancées suivantes sur la passerelle des deux sites : 

Règle de filtrage 1 

Réglage 

Action : 

Autoriser 

Protocole : 

UDP 

Adresse source : Site 1 

Adresse de destination : Site 2 

Interface : Autre, saisissez « isakmp » 


Réglage 

Action : 

Autoriser 

Protocole : 

UDP 



Interface : Autre, saisissez « isakmp » 


Réglage 

Action : 

Autoriser 

Protocole : Autre, saisissez « esp » 




Réglage 

Action : 

Autoriser 

Protocole : Autre, saisissez « esp » 





Réglage 

Action : 

Autoriser 

Protocole : Autre, saisissez « ipencap » 




Réglage 

Action : 

Autoriser 

Protocole : Autre, saisissez « ipencap » 




Réglage 

Action : 

Autoriser 

Protocole : Autre, saisissez « gre » 




Réglage 

Action : 

Autoriser 

Protocole : Autre, saisissez « gre » 



Pour en savoir plus sur la création de règles avancées, consultez la section 


Ces règles autorisent le passage du trafic chiffré aux deux hôtes. 

4 Enregistrez vos modifications. 

5 Démarrez ou redémarrez le coupe-feu, si nécessaire. 

Étape 3 : Démarrez le service VPN sur la passerelle des deux sites 

1 Pour les deux passerelles VPN, ouvrez Admin Serveur et connectez-vous au serveur. 




Si vous avez utilisé s2svpnadmin correctement, le bouton Démarrer doit être activé 

et prêt à l’emploi. 

4 Cliquez sur Démarrer VPN. 


Vous devriez pouvoir accéder à un ordinateur se trouvant sur le réseau local distant 

à partir du réseau local. Pour vérifier le lien, utilisez ping ou tout autre moyen. 


Pour en savoir plus sur L2TP/IPSec 

Le groupe de travail Internet Engineering Task Force (IETF) travaille sur des normes formelles 

pour l’authentification des utilisateurs par L2TP/IPsec. Pour en savoir plus, consultez 

www.ietf.org/ids.by.wg/ipsec.html (en anglais). 

Documents RFC 











Â Pour une description de L2TP, consultez RFC 2661. 

Â Pour une description de PPTP, consultez RFC 2637. 

Â Pour Kerberos 5, consultez RFC 1510. 


7 Utilisation 

du service RADIUS 

7 

En configurant un serveur RADIUS avec Open Directory, vous 

pouvez sécuriser votre environnement sans fil contre les utilisateurs 

non autorisés. 

Les réseaux sans fil donnent aux entreprises plus de flexibilité en matière de réseaux 

en connectant les utilisateurs d’ordinateurs portables au réseau avec une couverture parfaite 

et en leur donnant la liberté de se déplacer dans l’entreprise tout en restant connectés 

au réseau. 

Le présent chapitre décrit comment configurer et utiliser le service destiné aux utilisateurs 

qui se connectent au réseau par des appels entrants avec authentification à distance 

« Remote Authentication Dial In User Service » ou « RADIUS » pour maintenir la sécurité 

de votre réseau sans fil et vous assurer qu’il n’est utilisé que par des utilisateurs autorisés. 

RADIUS est utilisé pour autoriser les utilisateurs et groupes Open Directory à accéder 

à des bornes d’accès AirPort sur un réseau. En configurant RADIUS et Open Directory, 

vous pouvez contrôler l’accès à votre réseau sans fil. 

RADIUS collabore avec Open Directory et le Serveur de mot de passe pour donner aux 

utilisateurs autorisés l’accès au réseau via une borne d’accès AirPort. Lorsqu’un utilisateur 

tente d’accéder à une borne d’accès AirPort, AirPort communique avec le serveur 

RADIUS en utilisant le protocole Extensible Authentication Protocol (EAP) pour authentifier 

et autoriser l’utilisateur. 

Les utilisateurs se voient donner accès au réseau si leurs informations d’authentification 

d’utilisateur sont valides et s’ils sont autorisés à utiliser la borne d’accès AirPort. Si un utilisateur 

n’est pas autorisé, il ne peut pas accéder au réseau via la borne d’accès AirPort. 

Avant de configurer le service RADIUS 

La présente section contient des informations qu’il faut prendre en compte avant 

de configurer le service RADIUS sur votre réseau. 

161

Configuration initiale du service RADIUS 

Si vous configurez votre propre serveur RADIUS, suivez les étapes de la présente section. 

Étape 1 : Activez le service RADIUS 

Avant de configurer le service RADIUS, activez-le. Consultez la rubrique « Activation 

du service RADIUS » à la page 162. 

Étape 2 : Ajoutez des bornes d’accès AirPort à un serveur RADIUS 

Déterminez quelles bornes d’accès AirPort vous voulez ajouter au serveur RADIUS. Consultez 

la rubrique « Ajout de bornes d’accès AirPort à un serveur RADIUS » à la page 164. 

Étape 3 : Configurez la borne d’accès AirPort à distance 

Utilisez Admin Serveur pour configurer les bornes d’accès AirPort. Consultez la rubrique 

« Configuration à distance de bornes d’accès AirPort » à la page 165. 

Étape 4 : Configurez RADIUS de manière à ce qu’il utilise des certificats 

Utilisez Admin Serveur pour configurer RADIUS de manière à ce qu’il utilise des certificats 

pour accorder sa confiance aux bornes d’accès. Consultez la rubrique « Configuration à 

distance de bornes d’accès AirPort » à la page 165. 

Étape 5 : Démarrez le service RADIUS 

Pour démarrer le service RADIUS, consultez « Démarrage ou arrêt du service RADIUS » 


Activation du service RADIUS 

Pour pouvoir configurer les réglages du service RADIUS, vous devez l’activer dans 


Pour activer le service RADIUS : 



3 Cochez la case RADIUS. 


Configuration du service RADIUS 

La présente section décrit comment ajouter des bornes d’accès AirPort à votre serveur 

RADIUS, configurer des bornes d’accès AirPort à distance et configurer RADIUS de manière 

à ce qu’il utilise des certificats pour accorder sa confiance aux bornes d’accès AirPort. 

Les sections suivantes décrivent comment définir ces réglages. La section finale indique 

comme démarrer le service RADIUS une fois que vous avez fini. 

162 Chapitre 7 Utilisation du service RADIUS

Configuration de RADIUS à l’aide de l’assistant de configuration 

Mac OS X Server 10.5 comporte un assistant de configuration pour le service RADIUS. 

L’assistant de configuration vous guide dans le processus de configuration de RADIUS 

et démarre RADIUS. 

Pour configurer RADIUS à l’aide de l’assistant de configuration : 




3 Dans la liste Serveurs développée, sélectionnez RADIUS. 


5 Cliquez sur Configurer le service Radius. 

6 Dans la sous-fenêtre « Certificat du serveur Radius », sélectionnez l’une des options 

suivantes : 

Si vous sélectionnez « choisir un certificat existant », sélectionnez le certificat que vous 

voulez utiliser dans le menu contextuel, puis cliquez sur Continuer. 

Si vous voulez créer un certificat auto-signé, sélectionnez « créer un certificat autosigné 

», puis cliquez sur Continuer. 

a Saisissez les informations relatives à l’identité. 

Le nom usuel est le nom de domaine complet du serveur qui utilise les services pour 

lesquels SSL est activé. 

b Saisissez les dates de validité de début et de fin. 

c Sélectionnez une taille pour la clé privée (la taille par défaut est 1024 bits). 

d Saisissez une phrase clé pour la clé privée, puis cliquez sur Enregistrer. 

Cette phrase clé devrait être plus sûre qu’un simple mot de passe. Vous devriez utiliser 

au moins 20 caractères, y compris un mélange de majuscules et de minuscules, 

des nombres et des signes de ponctuation. Ne répétez pas des caractères et n’utilisez 

pas de mots qui figurent dans le dictionnaire. 

e Cliquez sur Continuer. 

Un message expliquant les certificats auto-signés apparaît. 

f Cliquez sur Continuer. 

7 Dans la liste Bornes d’accès disponibles, sélectionnez la borne d’accès souhaitée, puis 

cliquez sur Ajouter. 

Si la borne d’accès a un mot de passe, saisissez-le dans le champ Mot de passe 

de la borne, puis cliquez sur Ajouter. 

Si vous voulez supprimer une borne d’accès de la liste Bornes d’accès sélectionnées, 

sélectionnez-la, puis cliquez sur Supprimer. 

Chapitre 7 Utilisation du service RADIUS 163


9 Dans la sous-fenêtre Utilisateurs autorisés de RADIUS, vous pouvez restreindre l’accès 

des utilisateurs. 

Si vous cochez la case « Autoriser tous les utilisateurs », tous les utilisateurs auront 

accès aux bornes d’accès sélectionnées. 

Si vous cochez la case « Restreindre l’accès aux membres du groupe », seuls les utilisateurs 

d’un groupe peuvent accéder aux bornes d’accès sélectionnées. 


11 Dans la sous-fenêtre de confirmation des réglages de RADIUS, assurez-vous que vos 

réglages sont corrects. 

Vous pouvez également imprimer ou enregistrer vos réglages de configuration RADIUS. 

12 Cliquez sur Confirmer. 

Ajout de bornes d’accès AirPort à un serveur RADIUS 

Utilisez la sous-fenêtre Réglages de RADIUS dans Admin Serveur pour ajouter des 

bornes d’accès AirPort qui vont utiliser le service RADIUS. Vous pouvez ajouter jusqu’à 

64 bornes d’accès à RADIUS. 

Pour ajouter des bornes d’accès AirPort à un serveur RADIUS : 

1 Sur l’ordinateur de gestion, ouvrez Admin Serveur. 




4 Cliquez sur Bornes d’accès. 

5 Sous la liste Bornes d’accès AirPort, cliquez sur Ajouter. 

6 Saisissez les informations suivantes sur la borne d’accès AirPort : 

Nom : spécifiez le nom de la borne d’accès AirPort. 

Type : spécifiez le modèle de la borne d’accès AirPort. 

Adresse IP : spécifiez l’adresse IP de la borne d’accès AirPort. 

Secret partagé et Vérifier : le secret partagé n’est pas un mot de passe pour l’authentification 

et ne génère pas de clés de chiffrement pour établir des tunnels entre les 

nœuds. Il s’agit d’un jeton que les systèmes de gestion de clés utilisent pour se faire 

mutuellement confiance. Le secret partagé doit être saisi sur le serveur et le client. 

7 Cliquez sur Ajouter. 


Configuration à distance de bornes d’accès AirPort 

Vous pouvez configurer à distance des bornes d’accès AirPort de manière à ce qu’elles 

utilisent un serveur RADIUS dans Admin Serveur. 

Pour configurer à distance des bornes d’accès AirPort de manière à ce qu’elles 

utilisent un serveur RADIUS : 






5 Sélectionnez la borne d’accès AirPort dans la liste Bornes d’accès AirPort, puis cliquez 

sur Modifier. 

Si vous êtes invité à saisir un mot de passe, tapez le mot de passe de l’administrateur 

de la borne d’accès. 


Configuration de RADIUS de manière à ce qu’il utilise des certificats 

Vous pouvez utiliser Admin Serveur pour configurer RADIUS de manière à ce qu’il 

utilise des certificats personnalisés. L’utilisation de certificats améliore la sécurité 

et la gérabilité des bornes d’accès AirPort. 

Pour utiliser un certificat personnalisé : 






5 Dans le menu contextuel Certificat RADIUS, sélectionnez un certificat. 

Si vous disposez d’un certificat personnalisé, choisissez Configuration personnalisée 

dans le menu contextuel Certificat et saisissez le chemin d’accès au fichier du certificat, 

au fichier de la clé privée et au fichier de l’autorité de certificat. Si la clé privée est chiffrée, 

saisissez la phrase clé de la clé privée, puis cliquez sur OK. 

Si vous ne disposez pas d’un certificat et souhaitez en créer un, cliquez sur Gérer les 

certificats. Pour en savoir plus sur la création de certificats, consultez la section Administration 

du serveur. 



Archivage des historiques du service RADIUS 

Le service RADIUS crée des entrées pour les messages d’erreur et d’alerte dans l’historique 

système. Vous pouvez archiver ces entrées d’historique à l’aide d’Admin Serveur. 

Pour archiver des historiques : 






5 Cochez la case « Archiver les fichiers d’historiques de rayon pour les derniers __ jours », 

puis saisissez le nombre de jours à archiver. 


Démarrage ou arrêt du service RADIUS 

Utilisez Admin Serveur pour démarrer ou arrêter le service RADIUS. Lorsque vous 

arrêtez le service, assurez-vous qu’aucun utilisateur n’est connecté aux bornes d’accès 

AirPort que votre serveur RADIUS gère. 

Pour démarrer ou arrêter le service RADIUS : 





4 Cliquez sur Démarrer RADIUS ou Arrêter RADIUS sous la liste Serveurs. 

L’arrêt ou le démarrage du service peut prendre quelques secondes. 

Gestion du service RADIUS 

La présente section décrit les tâches courantes que vous pouvez effectuer une fois 

que le service RADIUS est configuré sur votre serveur. 

Vérification de l’état du service RADIUS 

Vous pouvez utiliser Admin Serveur pour vérifier l’état du service RADIUS. 

Pour vérifier l’état du service RADIUS : 






4 Cliquez sur Vue d’ensemble pour vérifier si le service est en service, le nombre 

de bornes d’accès clientes et quand il a démarré. 

Affichage d’historiques du service RADIUS 

Le service RADIUS crée des entrées pour les messages d’erreur et d’alerte dans 

l’historique système. Vous pouvez filtrer le contenu de l’historique afin de restreindre 

le nombre d’entrées affichées et accéder plus facilement à celles qui vous intéressent. 

Pour afficher les historiques, procédez de la manière suivante : 





4 Cliquez sur Historiques. 

5 Sélectionnez l’historique à afficher (radiusconfig ou radiusd). 

Pour rechercher des entrées spécifiques, utilisez le champ Filtre au-dessous de l’historique. 

Modification de l’accès au service RADIUS 

Vous pouvez restreindre l’accès au service RADIUS en créant un groupe d’utilisateurs 

et en ajoutant ce groupe à la liste de contrôle d’accès de service (SACL) de RADIUS. 

Pour modifier l’accès au service RADIUS : 





4 Cliquez sur Réglages, puis cliquez sur « Modifier les utilisateurs autorisés ». 

5 Sélectionnez « Pour les services sélectionnés », puis RADIUS. 

6 Sélectionnez « Autoriser les utilisateurs et groupes ci-dessous ». 


8 Dans la liste Utilisateurs et groupes, faites glisser des utilisateurs ou des groupes d’utilisateurs 

dans la liste « Autoriser les utilisateurs et groupes ci-dessous ». 

Si vous voulez supprimer des utilisateurs de la liste « Autoriser les utilisateurs et groupes 

ci-dessous », sélectionnez les utilisateurs ou groupes d’utilisateurs, puis cliquez sur 

le bouton Supprimer ( - ). 

Seuls les utilisateurs qui figurent dans la liste peuvent utiliser le service RADIUS. 


Suppression de bornes d’accès AirPort 

Vous pouvez utiliser Admin Serveur pour supprimer des bornes d’accès AirPort 

du serveur RADIUS. 

Lorsque vous supprimez des bornes d’accès AirPort, assurez-vous que les bornes sont 

déconnectées du réseau. À défaut, des utilisateurs non autorisés pourraient avoir accès 

à votre réseau. 

Pour supprimer des bornes d’accès AirPort : 






5 Dans la liste Borne d’accès AirPort, sélectionnez la borne d’accès à supprimer, puis 

cliquez sur Supprimer. 

6 Confirmez que vous voulez supprimer la borne d’accès en cliquant de nouveau 

sur Supprimer. 

Modification d’un enregistrement de borne d’accès AirPort 

Vous pouvez utilisateur Admin Serveur pour modifier un enregistrement de borne 

d’accès AirPort de votre serveur RADIUS. 

Pour modifier un enregistrement de borne d’accès AirPort : 






5 Dans la liste Borne d’accès AirPort, sélectionnez la borne d’accès à modifier, puis 

cliquez sur Modifier. 

6 Modifiez les informations sur la borne d’accès, puis cliquez sur Enregistrer. 

Enregistrement du fichier de connexion à Internet d’une borne d’accès 

AirPort 

Vous pouvez utiliser Admin Serveur pour enregistrer le fichier de connexion à Internet 

d’une borne d’accès AirPort. 

Pour enregistrer le fichier de connexion à Internet d’une borne d’accès AirPort : 







5 Dans la liste Borne d’accès AirPort, sélectionnez la borne d’accès. 

6 Cliquez sur « Enregistrer le fichier de connexion à Internet ». 

7 Dans le champ Enregistrer sous, saisissez le nom du fichier. 

8 Dans le menu contextuel Emplacement, sélectionnez l’emplacement où vous voulez 

enregistrer le fichier. 

9 Dans le champ Nom de réseau sans fil (SSID), saisissez le nom du réseau sans fil. 



8 Utilisation 

du service NTP 

8 

Il est primordial d’utiliser le service NTP pour synchroniser 

les horloges pour éviter la confusion que peuvent provoquer 

les horodatages désynchronisés. 

Un horodatage correct est important des systèmes de partage de fichiers aux services 

de facturation. Il se peut toutefois que les horloges des ordinateurs d’un réseau affichent 

des heures très différentes. Le protocole Network Time Protocol (NTP) est utilisé 

pour synchroniser les horloges d’ordinateurs connectés en réseau avec une horloge 

de référence. NTP vous aide à vous assurer que tous les ordinateurs d’un réseau sont 

réglés sur la même heure. 

Lorsqu’un réseau isolé (ou même un seul ordinateur) est désynchronisé, les services 

qui utilisent les estampilles temporelles (comme le service de courrier ou le service 

web avec les cookies datés) envoient des estampilles temporelles fausses et désynchronisées 

aux autres ordinateurs sur Internet. 

Par exemple, un message électronique pourrait arriver des minutes voire des années 

avant son envoi (d’après l’estampille temporelle) et une réponse à ce message pourrait 

parvenir à destination avant l’envoi de l’original ! 

Comme NTP fonctionne 

NTP utilise le temps universel coordonné (en anglais « Universal Time Coordinated » ou 

« UTC ») comme temps de référence. Le temps universel coordonné est calculé à partir 

d’une résonance atomique, c’est pourquoi l’on appelle souvent les horloges synchronisées 

sur le temps universel coordonné des « horloges atomiques ». 

Sur Internet, les serveurs NTP faisant autorité (on les appelle des serveurs Stratum 1) gèrent 

l’heure courante du temps universel coordonné. D’autres serveurs subordonnés (on les 

appelle les serveurs Stratum 2 et 3) interrogent régulièrement les serveurs Stratum 1 et estiment 

le temps qu’ont pris l’envoi et la réception de la requête. Ils corrigent ensuite le résultat 

de la requête avec ces estimations pour régler l’heure des serveurs Stratum 2 ou 3. 

Ces estimations sont correctes à la nanoseconde près. 

171

Votre réseau local peut, à son tour, interroger des serveurs Stratum 3 pour connaître 

l’heure exacte. Un ordinateur client NTP de votre réseau va alors chercher l’heure de 

référence en temps universel coordonné et la convertit à l’aide de son propre réglage 

de fuseau horaire dans l’heure locale, puis règle son horloge interne en conséquence. 

Utilisation de NTP sur votre réseau 

Mac OS X Server peut agir comme client NTP pour recevoir l’heure faisant autorité de 

la part d’un serveur d’horloge Internet et comme serveur d’horloge faisant autorité dans 

un réseau. Vos clients locaux peuvent interroger votre serveur pour régler leur horloge. 

Si vous configurez votre serveur de manière à ce qu’il réponde aux requêtes en matière 

d’heure, configurez-le également de manière à ce qu’il interroge un serveur d’horloge 

faisant autorité sur Internet. 

Configuration du service NTP 

Si vous activez le service NTP sur votre réseau, assurez-vous que le serveur NTP que 

vous désignez peut accéder à un serveur d’horloge faisant autorité plus élevé dans 

la hiérarchie. Apple met un serveur d’horloge Stratum 2 à la disposition de ses clients 

à l’adresse time.apple.com. 

Assurez-vous que votre coupe-feu autorise les requêtes NTP vers un serveur d’horloge 

faisant autorité sur le port UDP 123 et les requêtes entrantes provenant des clients 

locaux sur le même port. Pour en savoir plus, consultez le chapitre 4, « Utilisation du 

service de coupe-feu ». 

Pour configurer le service NTP : 


2 Cliquez sur Réglages, puis sur Date et heure. 

3 Assurez-vous que votre serveur est configuré de manière à régler la date et l’heure 

automatiquement. 

4 Dans le menu contextuel, sélectionnez le serveur que vous voulez utiliser comme 

serveur d’horloge. 

5 Cliquez sur Général. 

6 Cochez la case « Serveur d’horloge de réseau (NTP) ». 


172 Chapitre 8 Utilisation du service NTP

Configuration de NTP sur des clients 

Si vous disposez d’un serveur d’horloge local, vous pouvez configurer vos clients 

de manière à ce qu’ils interrogent votre propre serveur d’horloge lorsqu’ils ont besoin 

de la date et l’heure réseau. Par défaut, les clients peuvent interroger le serveur d’horloge 

d’Apple. 

Utilisez les instructions qui suivent pour configurer vos clients de manière à ce qu’ils 

interrogent votre propre serveur d’horloge. 

Pour configurer NTP sur des clients : 

1 Ouvrez Préférences Système. 

2 Cliquez sur Date et heure. 

3 Cochez la case Régler automatiquement. 

4 Sélectionnez et supprimez le texte qui figure dans le champ plutôt que d’utiliser 

le menu contextuel. 

5 Saisissez le nom d’hôte de votre serveur d’horloge. 

Le nom d’hôte peut être soit un nom de domaine (comme heure.exemple.com) 

soit une adresse IP. 

6 Fermez les Préférences Système. 


Le groupe de travail, la documentation et la foire aux questions relatifs à NTP se trouvent 

à l’adresse www.ntp.org. 

La liste des serveurs NTP accessibles publiquement et leurs politiques d’utilisation 

se trouvent à l’adresse support.ntp.org/bin/view/Servers/WebHome. 

Documents RFC 











La spécification officielle de NTP version 3 est RFC 1305. 

Chapitre 8 Utilisation du service NTP 173

9 Prise 

en charge d’un réseau local 

virtuel 

9 

L’utilisation d’un réseau local virtuel (en anglais « Virtual Local 

Area Network » ou « VLAN ») permet d’empêcher les retards 

et la perte de données dans les environnements dans 

lesquels le trafic réseau est extrêmement important. 

Les réseaux locaux virtuels permettent à plusieurs ordinateurs se trouvant sur différents 

réseaux locaux physiques de communiquer entre eux comme s’ils se trouvaient 

sur le même réseau local. 

Cette solution présente comme avantages une utilisation plus efficace de la bande 

passante réseau et une meilleure sécurité, car le trafic de diffusion ou de multidiffusion 

n’est envoyé qu’aux ordinateurs situés sur le segment de réseau commun. 

Mac OS X Server prend en charge les réseaux locaux virtuels 802.1q sur les ports Ethernet 

et les cartes Gigabit Ethernet PCI secondaires disponibles ou intégrées aux serveurs Xserve. 

La prise en charge des réseaux locaux virtuels par le Xserve G5 est conforme à la norme 

standard IEEE 802.1q. 

Configuration de l’adhésion des clients à un réseau local virtuel 

Pour configurer et gérer des réseaux locaux virtuels, utilisez la zone VLAN de la sousfenêtre 

Réseau de Préférences Système. 

Assurez-vous que les ports utilisés par les appareils qui ne sont pas dans les réseaux locaux 

virtuels (c’est-à-dire non compatibles avec la norme 802.1q) sont configurés pour transmettre 

des cadres non balisés. Si un appareil Ethernet non compatible reçoit un cadre balisé, 

il n’est pas en mesure de comprendre la balise du réseau local virtuel et ignore le cadre. 

Remarque : la zone VLAN de la sous-fenêtre Réseau n’est visible que si votre matériel, 

comme les systèmes Xserve G5, prennent en charge cette fonctionnalité. 

175

Pour configurer un réseau local virtuel : 

1 Ouvrez une session sur votre serveur en tant qu’administrateur. 

2 Ouvrez la sous-fenêtre Réseau des Préférences Système. 

3 Cliquez sur le menu contextuel Action et sélectionnez « Gérer les interfaces virtuelles ». 

4 Cliquez sur le bouton Ajouter (+) et sélectionnez Nouveau réseau VLAN. 

5 Dans le champ Nom du réseau VLAN, saisissez le nom du réseau VLAN. 

6 Dans le champ Balise, saisissez une balise (un nombre entre 1 et 4094). 

Cette balise de réseau VLAN détermine l’identifiant du réseau VLAN (VID). Chaque 

réseau logique possède un identifiant du réseau VLAN unique. Les interfaces configurées 

avec le même identifiant de réseau VLAN se trouvent sur le même réseau virtuel. 

7 Sélectionnez l’interface. 

8 Cliquez sur Créer. 

9 Cliquez sur Terminé. 


Pour en savoir plus sur les réseaux locaux virtuels sur Internet 

Visitez www.ieee.org. La norme VLAN est définie par l’IEEE. 

Document de référence 

Un document de référence fournit une vue d’ensemble d’un protocole et contient 

des détails sur la manière dont le protocole doit se comporter. 


qui figurent dans un document de référence vous seront certainement utiles. 

En revanche, si vous êtes un administrateur de serveur confirmé, vous trouverez tous les 

détails techniques concernant un protocole particulier dans son document de référence. 

Le document de référence est disponible à l’adresse 

standards.ieee.org/getieee802/download/802.1Q-1998.pdf (en anglais). 

176 Chapitre 9 Prise en charge d’un réseau local virtuel

10 Prise 

en charge d’IPv6 

10 

Internet Protocol Version 6 (IPv6) est le protocole Internet 

nouvelle génération conçu pour remplacer le protocole 

Internet actuel. 

Le protocole Internet actuel, IP version 4 (IPv4 ou juste IP), commence à peiner pour suivre 

la croissance et la popularité d’Internet. Les principaux problèmes d’IPv4 sont les suivants : 

Â Adressage IP limité : les adresses IPv4 utilisent 32 bits, ce qui signifient qu’il n’y 

a que 4.300.000.000 d’adresses réseau. 

Â Charge de plus en plus lourde en matière de routage et de configuration : les 

coûts, la mémoire et le temps nécessaires pour router des informations IPv4 augmente 

rapidement comme de plus en plus d’ordinateurs se connectent à Internet 

à un débit de plus en plus élevé. 

Â Communication de bout en bout qui est systématiquement mise en échec : 

ce problème est en réalité une conséquence du problème d’adressage d’IPv4. Lorsque 

le nombre d’ordinateurs a augmenté et la pénurie d’adresses est devenue plus 

sévère, un autre service d’adressage et de routage a été développé : Network 

Address Translation (NAT). NAT s’interpose entre deux extrémités réseau. Cela contrarie 

un certain nombre de services réseau et est limitatif. 

IPv6 corrige certains de ces problèmes et aide à en éviter d’autres. Il améliore l’autoconfiguration 

du routage et du réseau, augmente le nombre d’adresses réseau à plus 

de 3x10 38 et rend l’utilisation de NAT superflue. 

IPv6 devrait remplacer graduellement IPv4 pendant une période de transition 

de plusieurs années au cours de laquelle les deux protocoles devraient coexister. 

Le présent chapitre énumère les services compatibles avec IPv6 utilisés par Mac OS X 

Server, donne des instructions permettant d’utiliser les adresses IPv6 dans ces services 

et explique les différents types d’adresses IPv6 et leur notation. 

177

Services compatibles avec IPv6 

Les services suivants, dans Mac OS X Server, prennent en charge l’adressage IPv6 : 

Â DNS (BIND) 

Â coupe-feu 

Â courrier (POP/IMAP/SMTP) 

Â Windows (SMB/CIFS) 

Â web (Apache 2) 

Un certain nombre d’outils en ligne de commande installés avec Mac OS X Server 

prennent en charge IPv6 (par exemple, ping6 et traceroute6). 

Prise en charge des adresses IPv6 dans Admin Serveur 

Les services ci-avant prennent en charge les adresses IPv6, mais pas dans Admin Serveur. 

Les adresses IPv6 ne fonctionnent pas si vous les saisissez dans les champs pour les adresses 

IP de Admin Serveur. Les adresses IPv6 de ces services peuvent être configurées à l’aide 

d’outils en ligne de commande et en éditant des fichiers de configuration. 

Adresses IPv6 

Les adresses IPv6 sont différentes des adresses IPv4. Il existe des différences concernant 

la notation des adresses, les adresses réservées, le modèle d’adresses et les types 

d’adresses. 

Notation 

Les adresses IPv4 font 4 octets de long et sont exprimées sous la forme de décimales. 

Les adresses IPv6, par contre, font 16 octets de long et peuvent être exprimées de différentes 

manières. 

Les adresses IPv6 sont généralement écrites sous la forme suivante : 

xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx 

L’adresse est subdivisée en paires d’octets séparées par des deux-points. Chaque octet 

est représenté sous la forme d’une paire de nombres hexadécimaux. L’adresse suivante 

est au format IPv6 : 

E3C5:0000:0000:0000:0000:4AC8:C0A8:6420 

Elle peut être abrégée comme suit : 

E3C5:0:0:0:0:4AC8:C0A8:6420 

178 Chapitre 10 Prise en charge d’IPv6

Les adresses IPv6 contiennent souvent des octets de valeur zéro, une notation abrégée 

est donc disponible. Dans la notation abrégée, les valeurs zéro de la représentation de 

texte sont supprimées et les deux-points sont écrits les uns à côté des autres, comme ceci : 

E3C5::4AC8:C0A8:6420 

Comme beaucoup d’adresses IPv6 sont des extensions d’adresses IPv4, les 4 derniers 

octets d’une adresse IPv6 (les 2 dernières paires d’octets) peuvent être écrits dans la notation 

IPv4. Dans cette notation mixte, l’exemple ci-avant peut être exprimé comme suit : 

E3C5::4AC8:192.168.100.32 

Adresses IPv6 réservées 

IPv6 réserve deux adresses que les nœuds réseau ne peuvent pas utiliser pour 

la communication : 

0:0:0:0:0:0:0:0 (adresse non spécifiée, interne au protocole) 

0:0:0:0:0:0:0:1 (adresse de bouclage, comme 127.0.0.1 dans IPv4) 

Modèle d’adressage IPv6 

Les adresses IPv6 sont assignées à des interfaces (par exemple, à votre carte Ethernet) 

et non à des nœuds (par exemple, votre ordinateur). 

Une même interface peut recevoir plusieurs adresses IPv6. Une même adresse IPv6 

peut en outre être assignée à plusieurs interfaces pour répartir la charge. 

Les routeurs n’ont pas besoin d’une adresse IPv6, il n’est donc pas nécessaire de configurer 

les routeurs pour les monodiffusions de point à point. 

IPv6 n’utilise pas les classes d’adresses IPv4. 

Types d’adresses IPv6 

IPv6 prend en charge les types d’adresses IP suivants : 

Â Monodiffusion (communication de un à un) 

Â Multidiffusion (communication de un à plusieurs) 

Â Diffusion à la cantonade 

IPv6 ne prend pas en charge la simple diffusion. La multidiffusion est préférée pour les 

diffusions réseau. Pour le reste, la monodiffusion et la multidiffusion d’IPv6 sont identiques 

à celles d’IPv4. Les adresses de multidiffusion d’IPv6 commencent par « FF » (255). 

La diffusion à la cantonade est une variante de la multidiffusion. La multidiffusion délivre 

les messages à tous les nœuds du groupe de multidiffusion. Par contre, la diffusion 

à la cantonade ne délivre les messages qu’à un seul nœud du groupe de multidiffusion. 

Chapitre 10 Prise en charge d’IPv6 179

Création d’une passerelle d’IPv4 à IPv6 

Mac OS X Server comporte une passerelle d’IPv4 à IPv6 qui permet le déploiement 

de services serveur utilisant IPv4 dans les réseaux IPv6 en vue de faciliter la transition 

d’un système à l’autre. 

Vous pouvez configurer la passerelle d’IPv4 à IPv6 en configurant « 6 à 4 » dans les 

préférences Réseau de votre serveur. 

Important : vous devez disposer d’une adresse IPv4 publique (une adresse IP fournie 

par votre FAI) et vous ne pouvez pas vous trouver derrière une passerelle ou NAT. 

Pour configurer une passerelle « 6 à 4 » : 

1 Ouvrez les Préférences Système et cliquez sur Réseau. 

2 Sous la liste Interfaces, cliquez sur le bouton Ajouter (+). 

3 Dans le menu contextuel Interface, choisissez « 6 à 4 ». 

4 Dans le champ Nom du service, saisissez un nom de service unique, puis cliquez sur Créer. 

5 Si vous disposez d’une adresse relais, choisissez Manuellement dans le menu contextuel 

Configuration, puis saisissez-la. À défaut, laissez le menu contextuel Configuration 

réglé sur Automatiquement. 

6 Cliquez sur Appliquer. 


Le site web du groupe de travail d’IPv6 est www.ipv6.org. 

Un groupe de passionnés d’IPv6 tient à jour la liste des applications qui prennent 

en charge IPv6 à l’adresse www.ipv6forum.com. 

Documents RFC 











180 Chapitre 10 Prise en charge d’IPv6

Il existe plus de 29 documents RFC liés à IPv6. Vous trouverez la liste à l’adresse 

www.ipv6.org/specs.html. 

Sous la liste « Accepter les requêtes récursives sur les réseaux suivants », cliquez sur 

le bouton Ajouter (+) pour ajouter des réseaux à partir desquels les requêtes récursives 

sont acceptées, puis saisissez l’adresse du réseau dans la liste. Sous la liste « Adresses IP 

du réexpéditeur », cliquez sur le bouton Ajouter (+) pour ajouter les réseaux auxquels 

les requêtes non autorisées doivent être envoyées, puis saisissez l’adresse du réseau 

dans la liste. 

Chapitre 10 Prise en charge d’IPv6 181

Glossaire 

Glossaire 

ACL Liste de contrôle d’accès. Liste maintenue par un système et définissant 

les autorisations dont disposent des utilisateurs et des groupes pour accéder 

aux ressources du système. 

administrateur de liste Administrateur d’une liste d’envoi. Les administrateurs de liste 

peuvent ajouter des abonnés à une liste d’envoi ou en supprimer et désigner d’autres 

administrateurs de liste. Ils ne sont pas nécessairement administrateurs de l’ordinateur 

local ou du domaine. 

adresse Nombre ou tout autre identifiant permettant d’identifier de façon unique 

un ordinateur sur un réseau, un bloc de données stockées sur un disque ou un 

emplacement dans la mémoire d’un ordinateur. Voir aussi adresse IP et adresse MAC. 

Adresse IP Adresse numérique unique qui identifie un ordinateur sur Internet. 

adresse IP dynamique Adresse IP attribuée pour une durée limitée ou jusqu’à 

ce que l’ordinateur client n’en ait plus besoin. 

adresse IP statique Adresse IP attribuée une seule fois à un ordinateur ou à un 

périphérique et qui ne change jamais. 

adresse MAC Adresse « Media Access Control » (contrôle d’accès au support). Adresse 

matérielle identifiant de façon unique chaque nœud d’un réseau. Dans le cas de 

périphériques AirPort, l’adresse MAC est appelée identifiant AirPort. 

attaque par déni de service Voir attaque par DoS. 

attaque par DoS Attaque par déni de service. Attaque Internet utilisant des milliers 

de pings réseau pour empêcher l’utilisation légitime d’un serveur. 

autorisations Réglages déterminant le type d’accès dont les utilisateurs bénéficient 

pour partager des éléments dans un système de fichiers. Vous pouvez attribuer quatre 

types d’autorisation pour un point de partage, un dossier ou un fichier : Lecture et 

écriture, Lecture seule, Écriture seule et Aucun accès. Voir aussi privilèges. 

183

autorité de certificat Autorité émettant et gérant des certificats numériques, afin 

d’assurer la transmission sécurisée des données à travers un réseau public. Voir aussi 

certificat, infrastructure de clé publique. 

bidouilleur Personne qui apprécie la programmation et explore les différentes 

manières de programmer de nouvelles fonctionnalités et d’augmenter les capacités 

d’un système informatique. Voir aussi pirate. 

bit Unité d’information unique de valeur égale à 0 ou 1. 

caractère Synonyme d’octet. 

caractère générique Plage de valeurs possibles pour tout segment d’une adresse IP. 

carte d’interface réseau Voir carte réseau. 

certificat Parfois appelé « certificat d’identité » ou « certificat de clé publique ». Fichier 

de format spécifique (Mac OS X Server utilise le format X.509) contenant la clé publique 

d’une paire de clés publique et privée, les informations d’identification de l’utilisateur, 

par exemple son nom et ses coordonnées, ainsi que la signature numérique émise par 

une Autorité de certificat ou l’utilisateur de la clé. 

CHAP Protocole Challenge Handshake Authentication Protocol. Protocole 

d’authentification courant. Voir aussi MS-CHAP. 

chemin de recherche Voir politique de recherche. 

chiffrement Processus de codification de données destiné à les rendre illisibles sans 

la connaissance d’un algorithme particulier. Généralement utilisé dans le cadre de 

communications secrètes ou confidentielles. Voir aussi déchiffrement. 

contrôle d’accès Méthode consistant à contrôler quels ordinateurs peuvent accéder 

à un réseau ou à des services réseau. 

coupe-feu Logiciel chargé de protéger les applications réseau exécutées sur votre 

serveur. Le service de coupe-feu IP, partie intégrante du logiciel Mac OS X Server, 

analyse les paquets IP entrants et accepte ou refuse ces paquets en s’appuyant sur 

un ensemble de filtres que vous créez. 

démon nfsd Processus de serveur NFS qui s’exécute de manière continue en arrièreplan 

et qui traite les requêtes de protocole NFS et de montage émises par des clients. 

nfsd peut avoir plusieurs segments. Plus le nombre d’unités d’exécution de serveur NFS 

est élevé, plus le nombre d’accès simultanés est élevé. 

184 Glossaire

DHCP Initiales de « Dynamic Host Configuration Protocol » (protocole de configuration 

dynamique d’hôtes). Protocole utilisé pour distribuer de manière dynamique des 

adresses IP à des ordinateurs clients. Chaque fois qu’un ordinateur client démarre, le 

protocole recherche un serveur DHCP, puis demande une adresse IP au serveur DHCP 

qu’il trouve. Le serveur recherche alors une adresse IP disponible et la transmet à 

l’ordinateur client en l’accompagnant d’une « durée de bail », durée pendant laquelle 

l’ordinateur client peut utiliser l’adresse. 

diffusion Dans un réseau, transmission d’un message ou de données pouvant être lues 

par tout client du réseau. La diffusion peut être réalisée en monodiffusion (envoi d’un 

message à un ordinateur spécifique) ou en multidiffusion (envoi d’un message à un 

sous-ensemble d’ordinateurs). Dans QuickTime Streaming Server, processus de 

transmission d’une copie de flux de données sur l’ensemble d’un réseau. 

DNS Domain Name System. Base de données distribuée qui fait correspondre des 

adresses IP à des noms de domaines. Un serveur DNS, appelé également serveur 

de noms, conserve la liste des noms et des adresses IP associées à chaque nom. 

Domain Name System Voir DNS. 

domaine DNS Nom unique d’un ordinateur, utilisé dans le système DNS (Domain 

Name System) pour convertir les adresses IP et les noms. Également appelé nom 

de domaine. 

domaine local Domaine de répertoire accessible uniquement par l’ordinateur 

sur lequel il réside. 

durée de bail DHCP Voir période de bail. 

Dynamic Host Configuration Protocol Voir DHCP. 

EAP Extensible Authentication Protocol. Protocole d’authentification qui prend 

en charge plusieurs méthodes d’authentification. 

enregistrement d’échange de courrier Voir enregistrement MX. 

enregistrement MX Enregistrement d’échange de courrier. Entrée d’un tableau DNS 

qui spécifie l’ordinateur qui gère le courrier pour un domaine Internet. Lorsqu’un 

serveur de messagerie doit distribuer du courrier à un domaine Internet, il demande 

l’enregistrement MX du domaine concerné. Le serveur envoie le message à l’ordinateur 

spécifié dans l’enregistrement MX. 

enregistrement pointeur Voir enregistrement PTR. 

enregistrement PTR Enregistrement pointeur. Type d’enregistrement DNS qui traduit 

les adresses IP (IPv4) en noms de domaine. Utilisé dans les recherches inversées DNS. 

Glossaire 185

enregistrement TXT Enregistrement de texte. Type d’enregistrement DNS qui stocke 

la chaîne de texte à envoyer comme réponse aux requêtes DNS. 

équilibrage de la charge Processus qui consiste à répartir sur plusieurs services les 

demandes de services réseau effectuées par les ordinateurs clients, afin d’optimiser 

les performances. 

étendue Groupe de services. Une étendue peut consister en un regroupement 

d’ordinateurs logique (tous les ordinateurs utilisés par le service de production par 

exemple) ou physique (tous les ordinateurs situés au premier étage par exemple). 

Vous pouvez utiliser une partie ou la totalité de votre réseau pour définir une étendue. 

Ethernet Technologie de mise en réseau locale avec laquelle les données sont 

transmises sous forme d’unités appelées paquets à l’aide de protocoles tels que TCP/IP. 

FAI Fournisseur d’accès à Internet. Entreprise qui vend un accès à Internet et qui 

fournit généralement un service d’hébergement web pour des applications de 

commerce électronique, ainsi que des services de messagerie. 

filtre Méthode de contrôle de l’accès à un serveur. Un filtre se compose d’une adresse 

IP et d’un masque de sous-réseau et, parfois, d’un numéro de port et d’un type d’accès. 

L’adresse IP et le masque de sous-réseau déterminent la plage d’adresses IP auquel le 

filtre s’applique. 

fournisseur d’accès à Internet Voir FAI. 

FTP Initiales de « File Transfer Protocol » (protocole de transfert de fichiers). Protocole 

permettant à des ordinateurs de transférer des fichiers sur un réseau. Les clients FTP, 

utilisant tout système d’exploitation capable de prendre en charge le protocole FTP, 

peuvent se connecter à un serveur de fichiers et télécharger des fichiers, en fonction 

de leurs autorisations d’accès. La plupart des navigateurs Internet et un certain nombre 

de graticiels permettent d’accéder aux serveurs FTP. 

gigaoctet Voir Go. 

Go Gigaoctet. 1 073 741 824 (2 30 ) octets. 

Groupe de travail Ensemble d’utilisateurs pour lesquels vous êtes chargé de définir 

les préférences et les privilèges d’accès en tant que groupe. Toutes les préférences que 

vous définissez pour un groupe sont stockées dans le compte du groupe. 

HTTP Hypertext Transfer Protocol. Protocole client/serveur pour le web. Le protocole 

HTTP permet aux navigateurs web d’accéder à un serveur web et de demander des 

documents hypermédias créés avec du code HTML. 

Hypertext Transfer Protocol Voir HTTP. 

186 Glossaire

IANA Initiales de « Internet Assigned Numbers Authority » (autorité d’attribution 

des numéros sur Internet). Organisation responsable de l’allocation des adresses IP, 

de l’attribution des paramètres de protocole et de la gestion des noms de domaine. 

ICMP Initiales de « Internet Control Message Protocol ». Protocole de messages 

de contrôle et de rapports d’erreurs utilisé entre serveurs hôtes et passerelles. Par 

exemple, certaines applications Internet exploitent le protocole ICMP pour envoyer 

un paquet en aller-retour entre deux hôtes pour déterminer les durées d’aller-retour 

et détecter ainsi des problèmes éventuels sur le réseau. 

identifiant Ethernet Voir adresse MAC. 

IEEE Initiales de « Institute of Electrical and Electronics Engineers, Inc. », un organisme 

dédié à la promotion de normes dans les domaines de l’informatique et de l’ingénierie 

électrique. 

IGMP Initiales de « Internet Group Management Protocol ». Protocole Internet utilisé 

par les hôtes et les routeurs pour envoyer des paquets à des listes d’hôtes cherchant 

à participer à un processus appelé multidiffusion. QTSS (QuickTime Streaming Server) 

exploite l’adressage par multidiffusion, tout comme le protocole SLP (Service Location 

Protocol). 

interface de ligne de commande Manière d’interagir avec l’ordinateur (par exemple, 

pour exécuter des programmes ou modifier des autorisations de système de fichiers) 

en saisissant des commandes de texte à une invite de shell. Voir aussi shell ; invite 

de shell. 

interface réseau Connexion matérielle de votre ordinateur à un réseau. Les connexions 

Ethernet, les cartes AirPort et les connexions FireWire en sont des exemples. 

Internet Ensemble de réseaux d’ordinateurs interconnectés qui communiquent 

à travers un protocole commun (TCP/IP). Internet est le système public de réseaux 

d’ordinateurs interconnectés le plus étendu au monde. 

Internet Assigned Numbers Authority Voir IANA. 

Internet Control Message Protocol Voir ICMP. 

Internet Group Management Protocol Voir IGMP. 

Internet Message Access Protocol Voir IMAP. 

Internet Protocol Voir IP. 

invite du shell Caractère qui apparaît au début d’une ligne dans une interface de ligne 

de commande et qui indique que l’on peut saisir une commande. 

Glossaire 187

IP Internet Protocol. Également désigné par IPv4. Méthode utilisée conjointement 

avec le protocole TCP (Transmission Control Protocol) pour envoyer des données 

d’un ordinateur à un autre via un réseau local ou via Internet. Le protocole IP envoie 

les paquets de données, alors que le protocole TCP se charge de leur suivi. 

IPSec Ajout de sécurité au protocole IP. Protocole chargé de la sécurité dans 

les transmissions de données pour les connexions L2TP VPN. IPSec agit au niveau 

de la couche réseau, assurant la protection et l’authentification des paquets IP entre 

les nœuds IPSec participants. 

IPv4 Voir IP. 

IPv6 Initiales de « Internet Protocol version 6 ». Protocole de communication de 

nouvelle génération destiné à remplacer le protocole IP (également appelé IPv4). 

IPv6 autorise un plus grand nombre d’adresses réseau et peut réduire les charges 

de routage à travers Internet. 

Ko Kilo-octet. 1 024 (2 10 ) octets. 

L2TP Initiales de « Layer Two Tunnelling Protocol ». Protocole de transport réseau 

utilisé pour les connexions VPN. Il s’agit avant tout d’une combinaison des protocoles 

L2F de Cisco et PPTP. Comme L2TP n’est pas un protocole de chiffrement, il utilise 

le complément IPSec pour le chiffrement des paquets. 

LAN Initiales de « Local Area Network » (réseau local). Réseau maintenu au sein d’un 

établissement, contrairement à un WAN (réseau étendu) qui relie des établissements 

géographiquement distincts. 

LDAP Initiales de « Lightweight Directory Access Protocol ». Protocole client-serveur 

standard permettant l’accès à un domaine de répertoire. 

Lightweight Directory Access Protocol Voir LDAP. 

ligne de commande Texte que vous tapez après une invite de shell lorsque vous 

utilisez une interface de ligne de commande. 

liste de contrôle d’accès Voir ACL. 

Mac OS X La dernière version du système d’exploitation d’Apple. Mac OS X allie 

la fiabilité d’UNIX à la facilité d’emploi de Macintosh. 

Mac OS X Server Plate-forme de serveur puissante, capable de gérer immédiatement 

les clients Mac, Windows, UNIX et Linux et offrant un ensemble de services de réseau 

et de groupes de travail extensible, ainsi que des outils perfectionnés de gestion à 

distance. 

masque de sous-réseau Nombre utilisé dans la mise en réseau IP pour indiquer 

la partie d’une adresse IP correspondant au numéro du réseau. 

188 Glossaire

Media Access Control Voir adresse MAC. 

mégaoctet Voir Mo. 

Microsoft Challenge Handshake Authentication Protocol Voir MS-CHAP. 

monodiffusion Transmission de données vers un destinataire ou client unique. 

Si un film est diffusé en monodiffusion à un utilisateur employant RSTP, celui-ci peut 

parcourir librement un film à la demande. 

Monodiffusion manuelle Méthode de transmission en direct d’un flux de données 

vers un client QuickTime Player unique ou vers un ordinateur qui exécute QTSS. Un 

fichier SDP est généralement créé par l’application de diffusion et doit ensuite être 

envoyé manuellement au spectateur ou au serveur d’enchaînement. 

mot de passe Chaîne alphanumérique utilisée pour authentifier l’identité d’un 

utilisateur ou pour autoriser l’accès à des fichiers ou à des services. 

MS-CHAP Initiales de « Microsoft Challenge Handshake Authentication Protocol » 

(protocole d’authentification par interrogation-réponse développé par Microsoft). 

Méthode d’authentification standard sous Windows pour les réseaux VPN. Cette 

méthode d’authentification encode les mots de passe envoyés sur le réseau et les 

stocke sous forme brouillée sur le serveur. Elle offre un bon niveau de sécurité lors 

des transmissions sur réseau. MS-CHAP est une version propriétaire de CHAP. 

multi-adressage Capacité à gérer plusieurs connexions réseau. Lorsque plusieurs 

connexions sont disponibles, Mac OS X sélectionne la meilleure connexion en fonction 

de l’ordre indiqué dans les préférences réseau. 

multidiffusion La transmission simultanée d’un message à un sous-ensemble 

d’ordinateurs sur un réseau. Voir aussi diffusion, monodiffusion. Dans Enchaînement 

QuickTime, mode efficace d’enchaînement, de type 1 à n. Les utilisateurs peuvent se 

joindre à une multidiffusion ou la quitter, mais ils ne peuvent pas interagir avec elle. 

multidiffusion DNS Protocole développé par Apple pour la découverte automatique 

d’ordinateurs, de périphériques et de services sur les réseaux IP. Appelé « Bonjour » 

(auparavant « Rendezvous ») par Apple, ce protocole, proposé comme standard Internet, 

est parfois appelé ZeroConf ou multidiffusion DNS. Pour en savoir plus, rendez-vous sur 

www.apple.com/fr/ ou www.zeroconf.org (en anglais). Pour savoir comment ce 

protocole est utilisé sous Mac OS X Server, reportez-vous à nom d’hôte local. 

NAT Initiales de « Network Address Translation » (conversion d’adresses réseau). 

Méthode de connexion de plusieurs ordinateurs à Internet (ou à tout autre réseau IP) 

à l’aide d’une seule adresse IP. NAT convertit les adresses IP que vous attribuez aux 

ordinateurs de votre réseau interne privé en une seule adresse IP valide pour les 

communications Internet. 

Glossaire 189

NetInfo Ancien protocole Apple permettant l’accès à un domaine de répertoire. 

Network Address Translation Voir NAT. 

NFS Network File System. Protocole client/serveur utilisant le protocole IP (Internet 

Protocol) pour permettre aux utilisateurs distants d’accéder à des fichiers comme s’ils 

se trouvaient sur leur disque. NFS peut exporter des volumes partagés vers des 

ordinateurs en se basant sur l’adresse IP ; il prend par ailleurs en charge 

l’authentification par signature unique avec Kerberos. 

nœud Emplacement destiné au traitement. Un nœud peut être un ordinateur ou un autre 

périphérique tel qu’une imprimante. Chaque nœud possède une adresse réseau unique. 

Dans Xsan, un nœud correspond à tout ordinateur connecté à un réseau de stockage. 

nom canonique Nom « réel » d’un serveur, si vous lui avez attribué un « surnom » ou 

un alias. Le serveur mail.apple.com, par exemple, peut avoir comme nom canonique 

MailSrv473.apple.com. 

nom d’hôte Nom unique d’un ordinateur, autrefois appelé nom d’hôte UNIX. 

nom d’hôte local Nom qui désigne un ordinateur sur un sous-réseau local. Il peut être 

utilisé sans système DNS global pour convertir les noms en adresses IP. Il est constitué 

de lettres minuscules, de nombres ou de tirets (sauf pour le dernier caractère) et se 

termine par « .local » (par exemple, ordinateur-jean.local). Bien que le nom par défaut 

soit dérivé du nom d’ordinateur, un utilisateur peut reprendre ce nom dans la sousfenêtre 

Partage des Préférences Système. Il peut aussi être aisément modifié et utilisé 

dans tous les cas où un nom DNS ou un nom de domaine complet est utilisé. Il ne peut 

être converti que sur le même sous-réseau que l’ordinateur qui l’utilise. 

nom d’utilisateur Nom complet d’un utilisateur, parfois appelé nom réel de l’utilisateur. 

nom de domaine Voir nom DNS. 

nom de l’ordinateur Nom par défaut utilisé pour l’enregistrement auprès des services 

SLP et SMB. L’explorateur réseau du Finder utilise SLP pour rechercher les ordinateurs 

qui rendent publics leurs services de partage de fichiers personnel et de partage de 

fichiers Windows. Il peut être réglé de façon à établir un pont entre les sous-réseaux 

en fonction des réglages de routeur réseau. Lorsque vous activez le partage de fichiers 

personnels, c’est le nom d’ordinateur que les utilisateurs voient dans la zone de dialogue 

« Se connecter au serveur » dans le Finder. Ce nom correspond au départ à « Ordinateur 

de » (par exemple, « Ordinateur de Jean »), mais il peut être 

modifié à loisir. Le nom d’ordinateur est utilisé pour parcourir les serveurs de fichiers 

du réseau, les files d’attente d’impression, la détection Bluetooth®, les clients Apple 

Remote Desktop et toute autre ressource réseau identifiant des ordinateurs par leur 

nom d’ordinateur plutôt que par leur adresse réseau. Ce nom sert également de base 

pour le nom d’hôte local par défaut. 

190 Glossaire

nom DNS Nom unique d’un ordinateur, utilisé dans le système DNS (Domain Name 

System) pour convertir les adresses IP et les noms. Également appelé nom de domaine. 

NTP Initiales de « Network Time Protocol » (protocole d’horloge réseau). Protocole 

réseau utilisé pour synchroniser les horloges d’ordinateurs connectés à un réseau avec 

une horloge de référence donnée. Ce protocole permet de s’assurer que tous les 

ordinateurs d’un réseau affichent tous la même heure. 

octet Unité basique de mesure des données équivalant à huit bits (ou chiffres 

binaires). 

Open Directory Architecture de services de répertoire Apple, capable d’accéder 

à des informations autorisées concernant des utilisateurs et des ressources réseau 

à partir de domaines de répertoire utilisant les protocoles LDAP ou Active Directory, 

ou des fichiers de configuration BSD et des services de réseau. 

Open Source Terme désignant le développement coopératif de logiciels par la 

communauté Internet. Le principe de base consiste à impliquer le maximum de 

personnes dans l’écriture et la mise au point du code en publiant le code source et en 

encourageant la formation d’une large communauté de développeurs qui feront part 

de leurs modifications et améliorations. 

paquet Unité de données constituée d’un en-tête, d’informations, d’un élément de 

détection d’erreurs et d’enregistrements complémentaires. QTSS utilise des paquets 

TCP, UDP et IP pour communiquer avec les clients. 

passerelle Nœud réseau faisant l’interface entre deux réseaux. Le terme fait souvent 

référence à un ordinateur assurant le lien entre un réseau local privé et un réseau WAN 

public, que ce soit avec ou sans NAT (Network Address Translation). Un routeur est un 

type particulier de passerelle qui relie des segments de réseau associés. 

période de bail Durée limitée pendant laquelle des adresses IP sont attribuées. 

L’utilisation de périodes courtes permet au protocole DHCP de réattribuer des adresses 

IP sur les réseaux comportant plus d’ordinateurs que d’adresses IP disponibles. 

pirate Utilisateur malveillant qui tente d’accéder sans autorisation à un système 

informatique, afin de perturber le fonctionnement d’ordinateurs et de réseaux ou bien 

de voler des informations. Comparer à pirate. 

Point to Point Tunneling Protocol Voir PPTP. 

politique de mot de passe Ensemble de règles déterminant la composition et la validité 

du mot de passe d’un utilisateur. 

Glossaire 191

politique de recherche Liste des domaines de répertoire parmi lesquels un ordinateur 

Mac OS X nécessitant des informations de configuration effectue ses recherches. 

Également, ordre dans lequel les domaines sont interrogés. Parfois appelée chemin 

de recherche. 

pont Appareil de mise en réseau d’ordinateurs qui connecte deux types de supports 

de mise en réseau, par exemple sans fil et Ethernet. Un pont agit comme une passerelle 

en transmettant du trafic réseau directement au support de destination sans le router 

ni le modifier d’aucune manière. Les deux côtés du pont réseau doivent posséder le 

même sous-réseau d’adresses IP. Un pont permet des relier de petits segments de 

réseau connexes de manière simple. 

port Sorte d’emplacement de messagerie virtuel. Un serveur utilise des numéros 

de port pour déterminer quelle application doit recevoir les paquets de données. 

Les coupe-feu utilisent des numéros de port pour déterminer si les paquets de 

données sont autorisés à transiter par un réseau local. Le terme « port » fait 

généralement référence à un port TCP ou UDP. 

pourriel Message électronique commercial non sollicité. Voir spam. 

PPTP Initiales de « Point to Point Tunneling Protocol ». Protocole de transport réseau 

utilisé pour les connexions VPN. Il constitue le protocole VPN standard sous Windows 

et utilise le mot de passe de l’utilisateur pour produire une clé de chiffrement. 

privilèges Droit d’accéder à des zones restreintes d’un système ou d’effectuer 

certaines tâches (telles que les tâches de gestion) du système. 

protocole Ensemble de règles qui déterminent la manière dont les données sont 

échangées entre deux applications. 

protocole Challenge Handshake Authentication Protocol Voir CHAP. 

QTSS QuickTime Streaming Server. Technologie permettant de diffuser des données 

en temps réel sur Internet. 

QuickTime Streaming Server (QTSS) Voir QTSS. 

récursivité Processus de conversion complète des noms de domaine en adresses IP. 

Une requête DNS non récursive permet la référence à d’autres serveurs DNS pour 

convertir l’adresse. En règle générale, les applications des utilisateurs dépendent 

du serveur DNS pour effectuer cette fonction, mais les autres serveurs DNS n’ont 

pas à effectuer de requête récursive. 

192 Glossaire

elais Dans QuickTime Streaming Server, un relais reçoit un flux entrant, puis le redirige 

vers un ou plusieurs serveurs d’enchaînement. Les relais peuvent réduire l’utilisation de 

la bande passante Internet et sont utiles pour les diffusions vers de nombreux 

spectateurs se trouvant dans différents emplacements. En termes de courrier Internet, 

un relais est un serveur de messagerie SMTP qui envoie le courrier entrant à un autre 

serveur SMTP, mais pas à sa destination finale. 

relais ouvert Serveur qui reçoit et réexpédie automatiquement le courrier vers un 

autre serveur. Les expéditeurs de courrier indésirable exploitent les serveurs relais 

ouverts afin d’éviter que leurs propres serveurs de messagerie ne figurent sur les listes 

noires référençant les sources de courrier indésirable. 

réseau local Voir LAN. 

secret partagé Valeur définie à chaque nœud d’une connexion VPN L2TP et servant 

de base de clé de chiffrement pour négocier les connexions d’authentification et de 

transport des données. 

Secure Sockets Layer Voir SSL. 

serveur Ordinateur fournissant des services (service de fichiers, service de courrier 

électronique ou service web, par exemple) à d’autres ordinateurs ou périphériques 

de réseau. 

serveur d’horloge Serveur réseau sur lequel les autres ordinateurs d’un réseau 

synchronisent leur horloge afin que tous les ordinateurs soient réglés sur la même 

heure. Voir aussi NTP. 

serveur de noms Serveur d’un réseau qui tient à jour une liste des noms de domaines 

et des adresses IP associées à chaque nom. Voir aussi DNS, WINS. 

serveur proxy Serveur placé entre une application cliente, telle qu’un navigateur web, 

et un serveur réel. Le serveur proxy intercepte toutes les requêtes envoyées au serveur 

réel pour vérifier s’il peut y répondre lui-même. Si ce n’est pas le cas, il transmet la 

requête au serveur réel. 

services de répertoire Services fournissant au logiciel système et aux applications 

un accès uniforme aux domaines de répertoire et à d’autres sources d’informations 

relatives aux utilisateurs et aux ressources. 

shell Programme exécutant d’autres programmes. Vous pouvez utiliser un shell pour 

communiquer avec l’ordinateur en tapant des commandes à l’invite du shell. Voir aussi 

interface de ligne de commande. 

Glossaire 193

SLP DA Initiales de « Service Location Protocol Directory Agent ». Protocole qui 

enregistre les services disponibles sur un réseau et permet aux utilisateurs d’y accéder 

aisément. Lorsqu’un service est ajouté au réseau, il utilise le protocole SLP pour 

s’enregistrer. SLP DA utilise un point de dépôt centralisé pour les services réseau 

enregistrés. 

SMTP Initiales de « Simple Mail Transfer Protocol » (protocole simple de transfert 

de courrier). Protocole servant à envoyer et à transférer du courrier électronique. 

Sa capacité à mettre les messages entrants en file d’attente est limitée. SMTP n’est ]] 

donc généralement utilisé que pour envoyer des messages, tandis que le protocole 

POP ou IMAP est utilisé pour recevoir des messages. 

sous-domaine Parfois appelé nom d’hôte. Partie du nom de domaine d’un ordinateur 

sur Internet. N’inclut pas l’indicateur de domaine ou de domaine de premier niveau 

(par exemple .com, .net, .fr, .be). Le nom de domaine « www.exemple.com » est 

constitué du sous-domaine « www », du domaine « exemple » et du domaine de 

premier niveau « com ». 

sous-réseau Regroupement, sur un même réseau, d’ordinateurs clients organisés par 

emplacement (par exemple, selon les différents étages d’un bâtiment) ou par emploi 

des ressources (par exemple, tous les étudiants en classe de seconde). L’utilisation des 

sous-réseaux simplifie l’administration du réseau global. Voir aussi sous-réseau IP. 

sous-réseau IP Partie d’un réseau IP, éventuellement un segment de réseau 

physiquement indépendant, partageant une adresse réseau avec d’autres parties 

du réseau et identifiée par un numéro de sous-réseau. 

spam Courrier non sollicité, indésirable. 

SSL Initiales de « Secure Sockets Layer » (couche sécurisée pour sockets réseau). 

Protocole Internet permettant d’envoyer des informations authentifiées et chiffrées 

à travers Internet. Les versions les plus récentes de SSL sont connues sous le nom 

de TLS (Transport Level Security). 

Stratum 1 Serveur Network Time Protocol (NTP) faisant autorité sur l’ensemble 

d’Internet qui gère l’heure en temps universel coordonné (UTC) courante. D’autres 

serveurs Stratum sont disponibles (2, 3, etc.). Chacun reçoit l’heure exacte d’un serveur 

Stratum portant un numéro moins élevé. 

TCP Initiales de « Transmission Control Protocol » (protocole de contrôle des 

transmissions). Méthode utilisée conjointement avec le protocole IP (Internet Protocol) 

pour envoyer des données, sous la forme d’unités de message, d’un ordinateur à un 

autre à travers Internet. Le protocole IP gère la livraison effective des données, tandis 

que le protocole TCP assure le suivi des unités de données (chaque message est divisé 

en unités, appelées « paquets », qui permettent leur acheminement efficace sur 

Internet). 

194 Glossaire

temps universel coordonné Voir UTC. 

texte clair Texte n’ayant pas été chiffré. 

texte en clair Données non chiffrées. 

time-to-live Voir TTL. 

transfert de zone Méthode selon laquelle les données d’une zone sont répliquées 

(copiées) sur des serveurs DNS d’autorité. Les serveurs DNS esclaves demandent des 

transferts de zone à leurs serveurs maîtres afin d’en acquérir les données. 

Transmission Control Protocol Voir TCP. 

TTL Time-to-live. Durée spécifiée pendant laquelle les informations DNS sont stockées 

dans la mémoire cache. Lorsqu’une paire nom de domaine/adresse IP se trouve en 

mémoire cache depuis plus longtemps que la durée TTL spécifiée, l’entrée est 

supprimée du cache du serveur de noms (mais pas du serveur DNS principal). 

type d’enregistrement Catégorie particulière d’enregistrements, faisant référence, par 

exemple, à des utilisateurs, des ordinateurs et des montages. Un domaine de répertoire 

peut contenir un nombre différent d’enregistrements pour chaque type 

d’enregistrements. 

UDP User Datagram Protocol. Méthode de communication qui utilise le protocole IP 

pour envoyer une unité de données (appelée datagramme) d’un ordinateur à un autre 

sur un réseau. Les applications réseau qui n’ont que de très petites unités de données 

à échanger peuvent utiliser le protocole UDP au lieu du TCP. 

User Datagram Protocol Voir UDP. 

UTC Initiales de « Universal Time Coordinated » (temps universel coordonné). Temps 

de référence normalisé. Le temps universel coordonné est calculé par résonance 

atomique, c’est pourquoi l’on appelle souvent les horloges synchronisées sur le temps 

universel coordonné des « horloges atomiques ». 

Virtual Private Network Voir VPN. 

VPN virtual Private Network. Réseau utilisant le chiffrement et d’autres technologies 

pour assurer des communications sécurisées à travers un réseau public, généralement 

Internet. Les VPN sont de façon générale moins chers que les réseaux privés réels à 

lignes privées, mais ils reposent sur l’utilisation du même système de chiffrement aux 

deux extrémités. Le chiffrement peut être assuré par un logiciel de coupe-feu ou par 

des routeurs. 

Glossaire 195

WAN Initiales de « Wide Area Network » (réseau étendu). Réseau maintenu au sein 

d’établissements géographiquement distincts, contrairement à un réseau LAN (réseau 

local) qui est limité à un établissement. Votre interface WAN correspond généralement 

à celle qui est connectée à Internet. 

Windows Internet Naming Service Voir WINS. 

WINS Initiales de « Windows Internet Naming Service » (service de noms Internet pour 

Windows). Service de résolution de noms utilisé par les ordinateurs Windows pour faire 

correspondre le nom des clients aux adresses IP. Un serveur WINS peut se trouver sur 

un réseau local ou à l’extérieur sur Internet. 

WLAN Initiales de « Wireless Local Area Network » (réseau local sans fil). 

zone de réexpédition Zone DNS ne conservant aucune donnée et chargée de 

réexpédier les requêtes DNS vers une autre zone. 

zone maîtresse Enregistrements de la zone DNS conservés par un serveur DNS 

principal. Une zone maîtresse est répliquée par des transferts de zone à des zones 

esclaves sur des serveurs DNS secondaires. 

196 Glossaire

Index 

Index 

A 

accès 

LDAP 37, 45, 148 

listes de contrôle d’accès (ACL) 146 

service de coupe-feu 110, 112 

service web 110 

utilisateurs sans fil 161 

VPN 146, 154 

administration VPN de site à site 155 

Admin Serveur 34, 45, 55, 137 

adressage lien-local 52 

adresse MAC 39 

adresses. Voir adresses IP 

adresses IP 

assignation 31 

et Bonjour 52 

BootP 30 

caractère de remplacement 91 

client 47 

composants 89 

configuration de DHCP 36, 39 

contrôle de l’accès pour VPN 146 

et le service de coupe-feu 89, 91 

durées de bail 29, 36 

dynamiques 27, 29 

groupes 95, 99, 100 

et partage Internet 80, 82 

multiples 92 

et NAT 80, 128 

permutation circulaire 81 

plages 91 

protocole IPv6 177, 178 

et la récursivité 65 

redirection de port 124 

réseaux TCP/IP 81 

service DNS 49, 54, 75 

statiques 27, 29, 39 

et VPN 29, 138 

adresses IP dynamiques 27, 29 

adresses IP statiques 27, 29, 39 

aide, utilisation 12, 13 

alias 

courrier électronique 53 

enregistrement de zone 70 

alias de courrier électronique, configuration du 

DNS 53 

Assistant réglages de passerelle 17 

attaque par déni de service 75, 113 

attaque par déni de service. Voir attaque DoS 

attribut de durée de vie (Time-to-Live ou TTL) 53 

attribut durée de vie (TTL) 81 

attribut TTL. Voir attribut de durée de vie (Time-to- 

Live) 

authentification 

EAP 161 

Kerberos 136, 137 

SecurID 149 

VPN 136 

Voir aussi RADIUS 

authentification MS-CHAPv2 137 

B 

BIND (Berkeley Internet Name Domain) 50, 51, 55, 

69, 75 

BootP (protocole Bootstrap) 30 

bootpd démon 31 

Bootstrap, protocole. Voir BootP 

borne d’accès AirPort 

connexion Internet 21 

et RADIUS 161, 162, 164, 168 

C 

caractère de remplacement dans les adresses IP 91 

certificats 136, 138, 155, 165 

chiffrement, protocoles VPN 136 

clients 

adresses IP pour 47 

anciens systèmes d’exploitation 136 

configuration du service NTP 173 

connexions de la maison au réseau 152 

liste des clients DHCP 41 

sans fil 23, 168 

VPN 138, 142, 151, 153 

Voir aussi utilisateurs 

CNAME (nom canonique) 51 

comptes mobiles 135 

197

configuration 

clients NTP 172 

groupes de travail 42 

modifications apportées aux fichiers de 

configuration Mac OS X Server 55 

modifications apportées aux fichiers Mac OS X 

Server 58 

NAT 80, 122, 123, 125, 126, 129, 130 

RADIUS 161, 165 

service de coupe-feu 93, 95, 96, 102, 103, 104, 

132 

VPN 138, 139, 140, 141, 144, 148 

Voir aussi DHCP; DNS 

configuration pour un café-restaurant 44 

configuration pour un laboratoire d’étudiants 43 

connexions VPN de la maison au réseau 152 

coupe-feu 105, 146, 154, 157 

Voir aussi service de coupe-feu 

coupe-feu adaptatif 105 

courrier non sollicité. Voir filtrage du courrier 

indésirable 

D 

définitions de routage VPN 144 

dépannage, règles du service de coupe-feu 104 

détection des messages indésirables 111 

détection des virus 115 

documentation 13, 15 

domaines de répertoire LDAP 37, 45, 137, 148 

Domain Name System. Voir DNS 

dscl, outil 45 

durées de bail, DHCP 29, 36 

Dynamic Host Configuration Protocol. Voir DHCP 

E 

EAP (Extensible Authentication Protocol) 161 

échangeur de courrier. Voir MX 

enregistrement, nom de domaine 53 

enregistrement de service (SRV). Voir enregistrement 

SRV 

enregistrement des noms de domaine 53 

enregistrement HINFO (Infos sur le matériel) 51 

enregistrement pointeur. Voir enregistrement PTR 

enregistrement PTR (enregistrement pointeur) 51 

enregistrements, gestion d’enregistrements de 

zone 70, 72, 73 

enregistrements de machine 51, 71 

enregistrement SRV (service) 51, 72 

enregistrement TXT 51 

Ethernet, connexions de réseaux locaux virtuels 175 

exploration de serveur 74 

Extensible Authentication Protocol. Voir EAP 

F 

FAI (fournisseur d’accès à Internet) 49, 54, 135 

fichiers de secret partagé 22, 24, 136, 138, 155 

fichiers partagés. Voir partage de fichiers 

fichiers plist 124 

filtres d’adresse IP 109 

Fournisseur d’accès à Internet. Voir FAI 

G 

groupes, accès au VPN 146 

groupes de travail, configuration pour 42 

H 

heure, synchronisation 171, 172 

historiques 

DHCP 33, 41 

DNS 61, 63 

RADIUS 167 

service de coupe-feu 97, 107, 111 

VPN 143, 150 

I 

IANA (Internet Assigned Numbers Authority) 53 

identifiant d’étendue NetBios 38 

identifiant Ethernet 39 

importation de fichiers de zone 69 

inspection dynamique de paquets 87 

Internet Assigned Numbers Authority (IANA). Voir 

IANA 

Internet Protocol. Voir adresses IP 

intranets 41 

ipfw, outil 88, 106 

IPSec (sécurité IP) 136, 139, 140, 155 

J 

jeux 114, 131 

K 

Kerberos 136, 137 

L 

L2TP/IPSec (Layer Two Tunneling Protocol, Secure 

Internet Protocol) 136, 138, 140, 155 

Layer Two Tunneling Protocol, Secure Internet 

Protocol (L2TP/IPSec). Voir L2TP/IPSec 

LDAP (Lightweight Directory Access Protocol) 37, 

45, 137, 148 

listes de contrôle d’accès (ACL) 146 

M 

Mac OS X Server 

modifications apportées aux fichiers de 

configuration 55, 58 

masquage d’adresses IP. Voir NAT 

masque de sous-réseau 89 

messages d’erreur. Voir dépannage 

méthode de permutation circulaire d’adresses IP 81 

198 Index

mise à niveau de la configuration DNS 57 

mode furtif du service de coupe-feu 105 

mots de passe, VPN 136 

MX (mail exchanger) 77 

mystification du DNS 74 

N 

NAT (Network Address Translation) 

arrêt 127 

configuration 80, 122, 123, 125, 126, 129, 130 

configuration d’un espace de noms 80 

configuration d’un serveur virtuel 131 

configuration pour les jeux 131 

et le service de coupe-feu 109, 121 

démarrage 123, 127 

et DHCP 42 

introduction 121 

et le protocole IPv6 177 

liaison au réseau local 128 

outils en ligne de commande 133 

partage Internet 18 

passerelle sans NAT 127 

surveillance 128 

vérification de l’état 128 

natd, démon 134 

navigateurs, réseau 52, 60, 76 

NBNS (NetBios Name Server) 37 

Network Address Translation. Voir NAT 

nom canonique (CNAME). Voir CNAME 

notation CIDR (Classless InterDomain Routing) 89 

NTP (Network Time Protocol) 171, 172 

O 

Open Directory 58, 161 

ordinateurs portables 135 

outils antivirus. Voir détection de virus 

outils en ligne de commande 

Admin Serveur 33, 45 

BootP 30 

dscl 45 

NAT 133 

prise en charge d’IPv6 178 

sudo 124 

sysctl 88 

transfert d’adresses IP 87 

VPN de site à site 155 

P 

paquets refusés 108 

partage de fichiers P2P (poste à poste). Voir P2P 114 

partage Internet 

Assistant réglages de passerelle 17 

clients sans fil AirPort 21, 23, 168 

connexion à réseau local câblé 21 

connexion d’un réseau local câblé 80 

connexion WLAN 23, 24 

contrôle de l’accès 110 

et IPv6 177 

méthode de l’adresse IP unique 82 

et NAT 121 

plusieurs domaines 82 

passerelles, mise en réseau 21, 23, 127 

Voir aussi NAT 

Point-to-Point Tunneling Protocol (PPTP). Voir PPTP 

ports 

réseau local NAT 122, 123 

réseau local virtuel 175 

service de coupe-feu 86 

VPN 139, 140 

pourriel (message électronique commercial non 

sollicité). Voir filtrage du courr 

PPTP (Point-to-Point Tunneling Protocol) 136, 138, 

141, 148, 155 

problèmes. Voir dépannage 

profilage du service DNS 75 

protocole IPv6 177, 178 

protocoles 

BootP 30 

EAP 161 

IPv6 177, 178 

LDAP 37, 45, 137, 148 

NTP 171, 172 

SMTP 111 

TCP 86, 96, 113 

UDP 86, 94 

VPN 136, 137, 140, 141, 148, 155 

Voir aussi DHCP 

R 

RADIUS (Remote Authentication Dial-In User Service) 

arrêt 166 

borne d’accès AirPort 162, 164, 168 


historiques 167 



vue d’ensemble de la configuration 162 

récursivité DNS 61, 65, 76 

redirection de port 124, 125, 126 

Remote Authentication Dial-In User Service 

(RADIUS). Voir RADIUS 

répartition de la charge 81 

répertoires. Voirdomaines, annuaire 

réseau étendu. consultez WAN 

réseau local virtuel. Voir VLAN 

réseau privé 41, 81 

Voir aussi VPN 

réseaux distants 155, 165 

réseaux locaux 135, 155, 175 

Voir aussi NAT 

Index 199

éseaux locaux. Voir réseaux locaux 

RSA Security 149 

S 

s2svpnadmin, outil 155 

sauvegardes pour la mise à niveau du DNS 57 

SecurID, authentification 149 

sécurité 

Bonjour 76 

DNS 73, 75 

IPSec 136, 139, 140, 155 

RADIUS 165 

réseau local virtuel 175 

VPN 136, 138, 155 

Voir aussi accès; authentification; service de 

coupe-feu 

serveradmin outil 34, 45 

serveur d’horloge 172 

Voir aussi NTP 

serveur de fichiers Apple 112 

serveur de mots de passe Open Directory 161 

serveur de noms 51, 53 

Voir aussi DNS 

serveur NBDD (NetBios Datagram Distribution) 38 

serveurs 

et DNS 30, 36 

emplacement 31 

NBDD 38 

NBNS 38 

plusieurs serveurs DHCP 31 

réinitialisation 105 

sécurisation DNS 73 

sécurisation du DNS 75 

serveur d’horloge 172 

serveur de fichiers Apple 112 

serveur de noms 51, 53 

virtuels 131, 132 

serveurs Stratum 171 

serveurs virtuels, passerelle NAT 131, 132 

service AFP (Apple Filing Protocol). Voir AFP 

service de coupe-feu 

affichage des règles actives 106, 107 

arrêt 99 

blocage du courrier indésirable 111 


configuration de règles avancées 102, 103, 104 

contrôle de l’accès 110, 112 

contrôle de l’utilisation de jeux 114 

coupe-feu adaptatif 105 

démarrage 88, 93, 95, 98 

dépannage de règles 104 

groupes d’adresses 95, 99, 100 

historique 111 

historiques 97, 107 

introduction 85, 86 

lutte contre les virus 115 

mode furtif 105 

et NAT 109, 121 

paquets filtrés 109 

paquets refusés 108 

partage de fichiers P2P 114 


ports 115 

prévention des attaques par déni de service 113 

réglages de services 96, 101 

réinitialisation du serveur 105 


et VPN 138 

vue d’ensemble de la configuration 93, 95 

vue d’ensemble des règles 88, 91, 93 

service de courrier 53, 77, 78 

service de messagerie 111, 115 

service de navigation Bonjour 52, 60, 76 

service DHCP (Dynamic Host Configuration Protocol) 

adresses IP 36, 39 

arrêt 34 

configuration 28, 29, 30, 31, 32 


durées de bail 29, 36 

emplacement des serveurs 31 

exemples de configurations 41, 42, 43, 44 


introduction 27, 29 

liste des clients 41 

mappages d’adresses statiques 39 

et NAT 42 

options LDAP 37, 45 

options WINS 37 


réglage du serveur DNS 36 

sous-réseaux 32, 34, 35, 36, 47 


et VPN 138 

service DNS (Domain Name System) 

adresses IP 49, 54, 75 

alias de courrier électronique 53 

arrêt 64 

BIND 50, 51, 55, 69, 75 

et Bonjour 52, 60, 76 




hébergement de plusieurs domaines 82 

hébergement de plusieurs services 82 



options du sous-réseau DHCP 36 


passerelle NAT 80 

récursivité 61, 65, 76 

réglages 61 

200 Index

épartition de la charge 81 

réseau TCP/IP privé 81 

sauvegardes pour la mise à niveau 57 

sécurisation du serveur 73, 75 

service de courrier 77, 78 



Voir aussi zones DNS 

service IPFilter. Voir service coupe-feu 

service NetBoot 43 

service sans fil. Voir borne d’accès AirPort; RADIUS 

services d’annuaire, Open Directory 58, 161 

services réseau, introduction 11 

service web, contrôle de l’accès 110 

SMTP (Simple Mail Transfer Protocol) 111 

sous-domaines 54 

sous-réseaux 

création 32 

désactivation 35, 47 

DHCP 32, 34, 35, 47 

et emplacement des serveurs 31 

options LDAP 37 

réglages de durée de bail 36 

suppression 35 

WINS 37 

spam. Voir filtrage du courrier indésirable 

sudo outil 124 

synchronisation de l’heure 171, 172 

sysctl, outil 88 

T 

talonnage de service 76 

TCP (Transmission Control Protocol) 86, 96, 113 

TCP/IP et les réseaux privés 81 

temps universel coordonné 171 

temps universel coordonné. Voir UTC 

transfert d’adresses IP 87 

Transmission Control Protocol. Voir TCP 

U 

UDP (User Datagram Protocol) 86, 94 

User Datagram Protocol, protocole. Voir UDP 

utilisateurs 

accès au VPN 146 

accès sans fil 161 

mobiles 135 

Voir aussi clients; RADIUS 

V 

virtual private network. Voir VPN 

VLAN (Virtual Local Area Network) 175 

VPN (Virtual Private Network) 

arrêt 144 

assignation d’adresses IP 29, 138 

authentification 136, 138 

clients 138, 142, 151, 153 

configurations supplémentaires 148 

connexions 22, 24, 150, 152 

contrôle de l’accès 146, 154 

définitions de routage 144 




et LDAP 137, 148 


protocoles pris en charge par plate-forme 138 

réglages L2TP 140 

réglages PPTP 141 

sécurité 136, 138, 155 

site à site 155 



W 

WAN (réseau étendu) 135 

WINS (Windows Internet Naming Service) 37 

WLAN (wireless local area network) 23, 24 

www.dns.net/dnsrd 83 

X 

Xserve G5 175 

Z 

zone de redirection DNS 51, 68 

zone principale DNS 50, 58, 66, 74 

zones DNS 

activation des transferts 64 

ajout 66, 67, 68 

configuration 58, 60 

désactivation des transferts 64 

enregistrement d’alias 70 


fichier de zone BIND 69 


modification 68 

redirection 51, 68 

sécurité 73 

suppression 68 

zone secondaire DNS 50, 60, 67 

Index 201

Apple Mac OS X Server v10.5 Leopard - Administration des services réseau - Mac OS X Server v10.5 Leopard - Administration des services réseau

Transformez vos PDF en papier électronique et augmentez vos revenus !

Apple Mac OS X Server v10.5 Leopard - Administration des services r&eacute;seau - Mac OS X Server v10.5 Leopard - Administration des services r&eacute;seau

Transformez vos PDF en papier électronique et augmentez vos revenus !

Delete template?

Save as template ?

Apple Mac OS X Server v10.5 Leopard - Administration des services réseau - Mac OS X Server v10.5 Leopard - Administration des services réseau