Groupe OpenDirectory, objectClass groupOfNames et olcAccess

Ceux qui me suivent sur Twitter ou autre ont su que j’ai déployé la solution iFolder chez l’un de mes clients, c’est un outil qui permet de faire de la synchro de fichier à la manière de Dropbox, mais depuis un serveur interne à la société (donc confidentialité des données et espace disque bien moins cher).

Lorsque j’ai déployé cet outil (dont je parlerais dans un prochain article), je me suis retrouvé confronté à un problème de taille lors de la synchronisation avec le LDAP fourni par l’OpenDirectory. iFolder comme d’autres est fait pour travailler avec des objets particuliers du LDAP, des unités d’organisation, des « groupOfNames » standard au LDAP, etc. Notre OpenDirectory utilise lui des containers pour stocker l’ensemble des utilisateurs ainsi que des groupes POSIX. Malheureusement iFolder n’est pas compatible avec cela.

Voici donc une solution maison permettant de synchroniser un groupe OpenDirectory avec un groupe plus commun en matière de LDAP.

Bien que l’article reste simple, quelques manipulations peuvent être quelque peu avancées… N’oubliez pas de faire une sauvegarde de votre OpenDirectory avant tout !

Continuer la lecture

Apéro Mac OS X sur Aix en Provence ?

Au temps de Twitter et des blogs, il n’est plus improbable de travailler ou d’échanger avec des personnes que l’on ne connait absolument pas. Bien que ce soit intéressant sur le fait d’échanger avec des personnes que nous n’aurions jamais rencontré autrement il y a un effet de bord que je trouve dommage, nous ne connaissons plus nos voisins !

Continuer la lecture

Xcode et les comptes standards

Si vous êtes comme moi, vous avez configuré votre compte utilisateur courant pour ne pas être un administrateur (ou tout au plus un sudoers) et vous avez un second compte présent uniquement pour les tâches administratives. Seul problème, Xcode semble avoir besoin de travailler sur un compte administrateur pour pouvoir fonctionner correctement. Voyons voir comment résoudre durablement ce problème.

Continuer la lecture

Conseils et avis pour profiter pleinement d’une formation Apple

En tant que formateur certifié Apple, je donne souvent cours dans les quelques centres de formation autorisés par Apple en France. Ce que je vous propose ici, c’est de vous livrer quelques points clefs pour profiter pleinement d’une formation officielle et améliorer vos chances de réussite à la certification.

Continuer la lecture

Création d’une autorité de certification

Dès qu’il est question de sécurité en informatique, il est commun d’utiliser des certificats de sécurité SSL. Mac OS X Server n’échappe pas à cette règle et propose plusieurs services pouvant être sécurisé de la sorte (web, ical, addressbook, mail…).

Pour qu’un certificat SSL soit validé par le système client, il faut qu’il ait été signé par un tiers de confiance. Ce tiers de confiance est généralement une société qui paye pour avoir son propre certificat dans votre machine (Mac OS X s’installe avec et connait ainsi l’empreinte du tiers de confiance).

Si l’utilisation d’un certificat signé par un tiers reconnu est réellement obligatoire pour la publication de services externe, dédiée au grand public, elle ne l’est pas forcément pour une utilisation interne à l’entreprise uniquement (entendre ici, sur des machines appartenant à l’entreprise, mais qui sont éventuellement mobile).

L’idée est simple, nous allons créer une autorité de certification interne à l’entreprise et faire en sorte que tous les Mac de l’entreprise soient installés avec le certificat racine qui servira à valider tous les certificats émis.

La différence avec un certificat autosigné unique est dans le fait qu’avec ce seul certificat racine vous allez pouvoir valider une infinité de certificats émis et donc créer un certificat par service voir un certificat par client et éventuellement pouvoir le révoquer.

L’objectif n’est donc pas simplement d’authentifier la communication avec un serveur, mais également d’identifier le client.

S’il est besoin de le dire, cet article ne s’adresse absolument pas aux débutants, mais aux administrateurs système déjà au fait de ce que représente cette infrastructure.

La solution choisie pour cet article est EJBCA, une application web Java qui répond à toutes les attentes d’une autorité de certification (création, révocations, etc.). Cet article portera uniquement sur l’installation du produit et non son utilisation.

Continuer la lecture

Mon avis personnel sur la fin de vie des Xserve

Il est assez rare que je commente une annonce Apple. Qu’elles soient bonnes ou mauvaises, j’ai toujours tenu ce blog à l’écart du nuage de commentaires portant sur les annonces Apple. Cependant hier nous avons eu droit à une très mauvaise annonce qui concerne tous les lecteurs de ce blog, la fin de vie des Xserves sans vraies solutions de remplacement.

Voici donc mon avis personnel sur cette annonce, avis totalement personnel et détaché de mon activité de formateur.
Continuer la lecture

Xsan sans baie RAID et sur un portable ?

Dans certains cas, il peut être nécessaire d’installer un Xsan sans avoir de baie Promise sous la main ni même d’ordinateur avec fibre optique. Dans le cas où l’on souhaite faire une petite démonstration de l’interface ou des liens avec d’autres services tel que le mail.

Peu importe la raison, il peut être difficile d’avoir un Xsan sous la main pour faire quelques tests.

Continuer la lecture

InstaDMG ou comment préparer une image de déploiement générique

En tant qu’administrateur système, nous avons la charge du système d’information de l’entreprise, de sa maintenant et de son amélioration. Une des tâches assez récurrentes est l’installation d’un poste client. Lorsque vous recevez un nouveau Mac, après un gros plantage ou simplement pour des changements de configurations logiciels, vous devez passer des heures à installer Mac OS X, les mises à jour, les logiciels, et cela pour chaque poste.
Continuer la lecture