Maitre Open Directory : bon, faut y aller maintenant !

Après avoir installé Mac OS X Server sur un Mac et vérifié vos DNS, vous allez peut-être vous poser LA grande question universelle : faut-il utiliser le service Maitre Open Directory ?

Et bien, aujourd’hui, il n’y a plus trop le choix, et la réponse sera donc « Oui ». Pas un petit, mais un gros OUI. Pire encore : si vous ne pensez pas à migrer dès maintenant vers un service d’annuaire, vous allez sûrement vous pourrir la vie plus tard.

Pour ceux qui ne savent pas encore ce qu’est Open Directory, il s’agit de la technologie de gestion des services de répertoire intégrée à Mac OS X et Mac OS X Server. Open Directory permet de rechercher des informations au sein de différentes technologies basées sur des annuaires, comme LDAP, Active Directory, NIS… Dans ces annuaires sont stockés des informations, comme les comptes utilisateurs, les groupes, des politiques de sécurité, et bien d’autres informations partagées entre les postes clients et les autres serveurs du réseau.

Mac OS X Server, dans sa configuration de base, proposait jusqu’à Leopard une base d’informations locales : Netinfo. Cette dernière pouvait être partagée sur le réseau, mais était complexe à mettre en oeuvre et pas très sécurisée. Depuis Mac OS X 10.2, Apple a développé sa propre technologie de service d’annuaire avec le service maitre Open Directory, un service qui s’est considérablement enrichi par la suite.

Alors, quels sont les avantages d’avoir un service maitre Open Directory ?
En exploitant une architecture informatique fondée sur un serveur maitre Open Directory, vous vous facilitez la vie pour la gestion de vos postes clients. En particulier, une fois qu’un client Mac OS X est lié à un serveur maître Open Directory (avec l’utilitaire Format de répertoire avant la 10.5, ou Utilitaire d’annuaire depuis Leo), la configuration de nombreux services peut se faire de façon quasi-automatique.

De plus, vous pouvez bénéficier de l’avantage d’un environnement en authentification unifiée (Single Sign On, ou SSO). Imaginez : vous démarrez votre poste, vous tapez votre nom et mot de passe, et hop, vous n’avez plus besoin de retaper ces identifiants pour vous connecter au serveur, ou à d’autres serveurs liés également à votre serveur maitre Open Directory. Plus de comptes éparpillés sur tous vos serveurs : un seul compte, qui marche partout ! Magique ! Vous pouvez même centraliser les données des utilisateurs sur vos serveurs, ou créer des comptes mobiles, forcer les préférences des utilisateurs, appliquer vos politiques de sécurité… Bref, administrer une grosse partie de votre parc informatique uniquement à partir du serveur.

Enfin, utiliser certains services sans Open Directory relève de la gageur. C’est le cas par exemple du service de partage de calendriers (iCal Server), qui ne peut fonctionner correctement sans une base d’utilisateurs partagée sur le réseau et des postes reliés au service Open Directory.

De l’organisation !
Le principal problème reste, évidemment, que la mise en route du service maitre Open Directory demande une configuration au poil de votre service DNS. Si ce n’est pas le cas, vous irez dans le mur direct… Mais si c’est fait correctement, vous en tirerez rapidement les bénéfices. Vous pouvez consulter cette fiche pratique rédigée par mes soins il y a quelques mois pour vous aider à mettre en route le DNS sur votre serveur (pour Leopard).

Il faut également s’assurer de la solidité et de la disponibilité du service, ce qui est possible à l’aide de répliques du maitre Open Directory. Elles assureront également la répartition de charge si votre architecture informatique est complexe.

Considérez surtout que vous devrez de plus en plus apporter toute votre attention à cette brique fondamentale de votre système d’informations. Si ce n’est pas encore le cas, plongez-vous rapidement dans la documentation de Mac OS X Server, formez-vous, ou contactez un consultant (ah oui, j’aime bien cette solution)… Et surtout, limitez l’utilisation des comptes uniquement locaux dans Mac OS X Server, car ils pourraient être un frein à l’évolution future de votre architecture informatique.

7 comments

  1. Marc dit :

    Merci pour ce point.

    Je veux juste ajouter un point peu diffusé par Apple, mon grain de sel à propos des répliques :

    Si vous souhaitez faire une réplique d’un maitre OD, il faut que les deux versions de Mac OSX serveur soit de la même release.

    Je suis confronté à un sacré problème : Sur un second site j’ai un nouveau xserve avec le 10.5 et impossible d’en faire une réplique. Donc je l’ai simplement connecté au master en 10.4 qui est sur le premier site.

    Mais lorsque la connection tombe entre les deux sites (ça arrive heureusement rarement), tous les utilsateurs du site avec le serveur en 10.5 sont coincés.

    La seule solution : acheter une nouvelle licence de Mac OSX serveur. (et la MAJ en 10.5 serveur n’existe pas).

    Aussi, j’ai bien essayé : cela ne fonctionne pas non plus dans l’autre sens : Un master en 10.5 pour une réplique en 10.4

    Marc

  2. ellipse dit :

    Pour les clients Mac OS sous Leopard, ça marche pas mal sauf les quotas d’impression…

    Par contre, j’ai pas mal de soucis pour les clients Windows. Malgré des modifications en règle par la GUI du Gestionnaire, le PDC basé sur l’OD s’obstine à déposer les « profils » Windows sur le répertoire par défaut…

    Donc, seule solution que je dois encore tester : monter un AD sous Windows et utiliser Mac OS X Serveur en-dessous.

  3. Johan dit :

    Petite question, quelqu’un a-t-il réussi à synchronisé un active directory avec un OD ? Chez nous l’archi est totalement tournée autour de AD et c’est inéchangeable. Tous les utilisateurs mac ont des comptes sur l’AD, mais maintenant j’aimerai ajouter un serveur OD sur 10.5 pour qu’ils bénéficient de ces avantages. Pour cela il me faudrait faire une réplication (LDAP) des données de l’un des 2 serveurs AD sur le serveur OD et ensuite ajouter Kerberos là dedans pour que le tout fonctionne en SSO. Existe-t-il un document de référence pour ce genre d’architecture ? Merci !

  4. El Doctor dit :

    Ah! 10.5 serveur est merveilleux! Il suffit de changer le rôle du serveur en « connecté à un service de répertoire », rentrer les bons paramètres du serveur PC et hop, le voilà dans Active Directory. Je sais, on croirait lire le manuel d’Apple : Yaka. Maintenant, entre dire et faire… En tout cas, je conseille de la rigueur dans l’AD : une ch’tit groupe pour les Popommes par exemple. Et comme dirait Lionel lors de Bidouille : je ne pourrai être tenu responsable du non fonctionnement suite à cette modification.

  5. FLabecot dit :

    Pour Johan,
    Tu ne peux faire de réplique AD avec un serveur OD car ces base ne sont pas identiques et la mécanique AD n’avait pas de documentation accessible aux développeurs. Cette fonctionnalité est annoncée sur SAMBA 4 mais cela a pris beaucoup de retard car sans doc, les développeurs travaillaient en reverse ingenering et si il est simple de démonter un mécanisme d’échange entre un client et un serveur en regardant passer les trames IP, la gestion d’une réplique d’annuaire est bien plus complexe.

    Si je ne me trompe pas, fin 2007, Microsoft a vendu les docs techniques au groupe de développeurs qui s’occupent de Samba (sous la pression de l’UE ) ce qui devrait leur permettre d’avancer plus vite. Fonction peut être implémentée dans snow léopard
    Un peu de patience . . .

  6. GG dit :

    Johan : pas besoin de faire de réplication, il suffit de se lier à un domaine Active Directory pour avoir accès à ses données. La réplication est inutile.

  7. Majid dit :

    J’ai un problème pour configurer mon serveur Ical version système 10.5.6
    et pourtant mon DNS et OD est bien configurer mais au moment ou je selection l’utilisateur pour le repertoir de ical; il se désélectionne et je ne trouve pas la solution.

    bien cordialement