10.12 Sierra App Server et les comptes utilisateurs.

[pNaar]

Bonjour à la communauté Macg !

J'ai récemment décidé de m'attaquer à Mac OS Server. C'est ma première expérience et j'avance doucement à coups de tutoriels trouvés sur le net et de "comment je pourrais faire ça ?".

Il y a un point sur lequel je sèche et où j'aimerais vous demander conseil. J'ai entendu qu'il était possible, et c'est visiblement un des gros points d'un serveur, de centraliser les comptes utilisateurs sur le serveur ; de telle sorte qu'un utilisateur connecté au réseau local, et référencé sur le serveur, puisse avoir accès à sa session, quel que soit son point de connection sur un client du réseau local.
N'étant pas sûr de m'être bien exprimé, je vais essayer avec mes propres mots : j'ai 4 utilisateurs à la maison et 3 postes. Si je créé 4 sessions par postes, elles ne seront pas synchronisées (préférences, et autres documents qui ne dépendent pas d'une solution réseau (mails, cloud, documents non stockés sur un point de partage ...)). Je voudrais donc créer 4 sessions sur le serveur, et que depuis n'importe quel des 3 postes de travail, mes 4 utilisateurs puissent retrouver leur même environnement et mêmes préférences.

J'ai donc configuré mon serveur. J'ai activé Open directory, et arrivé aux utilisateurs, j'ai le choix entre utilisateur local et utilisateur réseau local. C'est là, chère communauté, que tu peux m'aider.
D'après ce que j'ai compris, un utilisateur local créé un utilisateur sur la machine seulement, à l'image de préférences système, ajout d'utilisateur. Un utilisateur réseau local est accessible depuis le réseau en "bindant" le mac distant en l'autorisant à se connecter à un compte serveur réseau. Je peux alors voir dans la page de session un choix "autres" me permettant d'entrer le nom de compte et mot de passe. Cependant voilà, lorsque je mets le nom et mot de passe, je charge bien une session, mais les préférences ne sont jamais portées d'une machine à l'autre. C'est une session vierge à chaque fois. J'ai essayé de glisser des documents dans documents, personnaliser l'environnement avec un fond d'écran ; ce n'est pas porté d'une machine à l'autre.
J'ai trouvé un élément nommé "compte mobile" dans les préférences des utilisateurs & groupes, mais je ne vois pas de différence à part que le nom apparait en lieu et place de "autres" dans la fenêtre d'ouverture de session.

Ma configuration est la suivante :
- 1 mac Mini sous la TV avec Sierra à jour (que j'aimerais être le seul à toucher à terme).
- 2 iMacs sous sierra à jour (ceux qui seraient amenés à être utilisés)
- 1 macbook air sous sierra à jour pourrait aussi être envisagé si mon concept est possible.

Voilà pour le topo ; mes questions sont les suivantes :
- après avoir fouillé sur ce forum j'ai vu un message où un des membres pointait vers ce lien : https://support.apple.com/fr-fr/HT206871. Est-ce que cela signifie simplement que ce que je veux faire n'est juste pas possible ? Si oui, avez vous des solutions différentes ?
- quelqu'un peut-il expliquer plus clairement que l'aide server, la différence entre un compte local, réseau local, et mobile ? De ce que j'ai compris le compte réseau local mobile est sensé synchroniser le dossier home entre le poste distant et le serveur. Mais pour une raison qui m'échappe ça ne fonctionne pas chez moi.
- j'ai même essayé depuis le mac mini avec server, de modifier mon utilisateur de test en allant dans les options avancées et modifier l'emplacement du répertoire de départ, en pointant sur afp://monmacmini.local/Users/test/ mais dans ce cas là, depuis mon ordinateur distant j'ai un échec de connexion.
- qu'est-ce que je fais mal ? J'ai essayé à tâtons en activant la fonction de DNS du serveur et laissant les réglages par défaut ; en partageant le répertoire de départ dans la fonction de partage de fichiers du serveur .. mais rien n'y fait.

Merci de votre aide d'avance.
Bon week end à tous.

 

[pNaar]

J'ai peut être avancé un peu ; il semblerait qu'il soit nécessaire de donner une partition de disque pour les services et comptes utilisateurs.
Je n'ai pas encore moyen de partitioner mon disque. Quelqu'un saurait si c'est absolument nécessaire ?

 

[da capo]

Salut.
Je ne suis pas spécialiste de Os X Server, loin de là mais sur le principe, quel que soit le système :
- un utilisateur local dispose d'un compte local (sur la machine) mais peut sous réserve d'authentification (politique défini au niveau du réseau) accéder à des ressources partagées sur un ou des serveurs. Cela implique que cet utilisateur local dispose d'un couple login/mot de passe connu du serveur.
- d'autres utilisateurs peuvent bénéficier de profils itinérants (ce que tu cherches à produire) : ils se connectent indifféremment d'une machine à l'autre car ils sont connus du serveur. Dans ce cas, ils peuvent sous réserve de configuration du serveur accéder directement à un espace personnel, comme à des espaces partagés.

Mais il est rare que l'environnement (fond d'écran, réglages particuliers) soit portable.

S'agissant plus particulièrement du dossier personnel "home", l'usage est de ne pas le porter sur la machine pour ne pas saturer les disques et ne pas retarder l'ouverture de session par des transferts de données volumineux.

A l'échelle d'une utilisation domestique, et indépendamment du confort que l'idée de comptes mobiles peut représenter, cette solution me parait inadaptée : les bibliothèques iTunes, les réglages personnels, la question des comptes iCloud, la question du bureau appartenant au profil ou non sont des freins importants.

On peut les dépasser certainement, mais à quel prix !
Beaucoup de concessions pour peu de gain à l'usage (à mon sens).

Pour finir, le compte mobile a un intérêt essentiellement lorsque les machines sont vraiment partagées et/ou lorsqu'il y a une nécessité liée à la sécurité des données qui implique le stockage en un espace unique.

Est-ce votre cas ?

Parfois, le mieux est l'ennemi du bien

 

[lolipale]

Bonjour,

Je vais jouer le rabat joie.
Les "profils itinérants" ("network accounts") ne doivent plus être utilisés dixit Apple.
Et je confirme bien que c'est l’emmerdement maximum avec OSX server.
Et si l'idée vous prends d'héberger le home directory sur un serveur Windows ... bonne chance :banghead:

Voir ici : https://support.apple.com/en-us/HT206871

 

[pNaar]

Bonsoir.
Merci pour vos informations.
Je croyais vraiment avoir croisé ces situations où des utilisateurs avaient les mêmes sessions sur différents postes distants sur un même réseau local ; leur permettant d'avoir le même environnement quel que soit le poste de travail. Mais c'était à l'époque de 10.5 à 10.7 si je ne me trompe pas.
Le transfert d'informations est en effet logique. Quel est l'intérêt d'un compte utilisateur réseau aujourd'hui alors ?

Merci du temps que vous avez déjà accordé.

 

[lolipale]

Quel est l'intérêt d'un compte utilisateur réseau aujourd'hui alors ?

Il y en avait évidemment un et vous l'avez très bien compris. Mais cela ne fonctionne pas dans les faits car cela implique que les postes soient exactement au même niveau (OS, Préférences, etc.). Or Apple fait varier sans cesse ses OS et ce qui était valable pour une machine ne l'est plus sur l'autre. Lorsque votre utilisateur va se connecter sur la toute dernière mouture de l'OS ou sur la dernière station de travail sortie, son profil (et ses préférences) vont évoluer. Le jour ou votre utilisateur retourne sur une station dont l'OS n'est pas identique à la version près ou sur une station plus ancienne, il va avoir quelques surprises et les emm... commencent. Tous les gestionnaires de parc ont abandonnés les profils itinérants avec mac OS. Les comptes mobiles (avec synchronisation du dossier de départ) font également partie des technologies à abandonner. Si vous avez 3 macs, pourquoi pas ? Mais si vous en avez 50, renoncez immédiatement. C'est mon humble avis.

 

[pNaar]

Merci de votre information.
Je n'ai effectivement que 3 macs et vais probablement essayer de simplifier tout ça.

Par simple curiosité ; si on se retrouve avec 20 macs pour 60 personnes par exemple. Comment font les administrateurs aujourd'hui ? Quelles sont les options utilisées ? Dans les écoles ou autre. Quelqu'un sait ?

 

[da capo]

Par simple curiosité ; si on se retrouve avec 20 macs pour 60 personnes par exemple. Comment font les administrateurs aujourd'hui ? Quelles sont les options utilisées ? Dans les écoles ou autre. Quelqu'un sait ?

Il n'utilisent pas os x server…

 

[lolipale]

Il n'utilisent pas os x server…

Une école aura tendance à utiliser un Active Directory (service d'annuaire) pour l'authentification, des comptes locaux sur les stations et un ensemble de scripts pour faire "monter" des points de partage (homes) pris sur un NAS ou un serveur Windows en fonction de chaque utilisateur. Cela permet un point central de sauvegardes. Mais cela a beaucoup de désavantages car les préférences sont différentes sur chaque poste et quid des favoris internet, comptes mails, etc. Cela oblige les étudiants à utiliser un webmail en général.
Certaines universités et écoles américaines utilisent Google Drive pour permettre aux étudiants de sauvegarder leurs travaux.
Apple ne fait aucun effort pour développer des solutions un tant soit peu professionnelles.

 

[pNaar]

Merci pour vos infos

 

[pNaar]

J'ai un peu cherché et je n'avance pas plus.
Je me vais me résoudre à laisser tomber mon idée originale.

Juste pour confirmer, tout le monde ici atteste qu'il n'y a pas moyen d'avoir une session complète à charger depuis le Server depuis Mac OS sierra ? Il n'existe pas de moyen de faire ça ?
La différence avec un Active directory serait à quel niveau du coup ? Pourquoi les écoles utiliseraient elles ce processus ?

 

[bompi]

Active Directory gère des informations sur les comptes mais n'est pas le responsable à proprement parler des sessions.
Tu peux très bien ne pas mettre les sessions sur le réseau et conserver l'authentification et l'affectation des divers droits par un annuaire.

De mon point de vue, ce que tu cherches à faire (tu n'es pas le premier) est illusoire. Même sous Windows, où l'on dispose de nombreux outils, d'une vaste expérience et de gros moyens, je n'ai jamais vu une gestion flottante des sessions parfaite d'un poste à l'autre.
De fait, certaines choses fonctionnent très bien, d'autres non.

Donc, plutôt que de vouloir tout faire d'un bloc, je te conseillerais de procéder par étape et de généraliser ce qui peut l'être facilement et de ne pas vouloir tout résoudre.
Tu peux donc gérer les comptes et leurs accréditations (leurs droits, leurs credentials) sans problème.
Tu devrais pouvoir créer des partages sans trop de problème non plus, ce qui fait que les documents sont accessibles de partout : c'est déjà pas mal.
Pour des applications assez souples et relativement indépendantes d'Apple, tu peux aussi envisager un partage. Ainsi, pour la messagerie, l'utilisation de Thunderbird est stable d'une version à l'autre de macOS que Mail, qui ne cesse d'évoluer (et de plantouiller) à chaque version majeure du système.

Tu peux aussi créer des scripts ad hoc lancés automatiquement à l'ouverture de session et que tu adapteras suivant le système, pour qu'ils mettent à jour tels fichiers de préférences, par exemple [soit des login hooks, toujours disponibles, soit des agents]

Bref : brique par brique tu peux te faire ta petite solution. Mais il vaut mieux abandonner la vision globale et l'outil à tout faire.
C'est compliqué quel que soit le système. Et c'est encore un peu plus problématique sur macOS, Apple se fichant pas mal des questions de compatibilité dans un sens ou dans l'autre : c'est le prix à payer pour les formidables et incessantes innovations du système.

 

[pNaar]

Active Directory gère des informations sur les comptes mais n'est pas le responsable à proprement parler des sessions.
Tu peux très bien ne pas mettre les sessions sur le réseau et conserver l'authentification et l'affectation des divers droits par un annuaire.

De mon point de vue, ce que tu cherches à faire (tu n'es pas le premier) est illusoire. Même sous Windows, où l'on dispose de nombreux outils, d'une vaste expérience et de gros moyens, je n'ai jamais vu une gestion flottante des sessions parfaite d'un poste à l'autre.
De fait, certaines choses fonctionnent très bien, d'autres non.

Donc, plutôt que de vouloir tout faire d'un bloc, je te conseillerais de procéder par étape et de généraliser ce qui peut l'être facilement et de ne pas vouloir tout résoudre.
Tu peux donc gérer les comptes et leurs accréditations (leurs droits, leurs credentials) sans problème.
Tu devrais pouvoir créer des partages sans trop de problème non plus, ce qui fait que les documents sont accessibles de partout : c'est déjà pas mal.
Pour des applications assez souples et relativement indépendantes d'Apple, tu peux aussi envisager un partage. Ainsi, pour la messagerie, l'utilisation de Thunderbird est stable d'une version à l'autre de macOS que Mail, qui ne cesse d'évoluer (et de plantouiller) à chaque version majeure du système.

Tu peux aussi créer des scripts ad hoc lancés automatiquement à l'ouverture de session et que tu adapteras suivant le système, pour qu'ils mettent à jour tels fichiers de préférences, par exemple [soit des login hooks, toujours disponibles, soit des agents]

Bref : brique par brique tu peux te faire ta petite solution. Mais il vaut mieux abandonner la vision globale et l'outil à tout faire.
C'est compliqué quel que soit le système. Et c'est encore un peu plus problématique sur macOS, Apple se fichant pas mal des questions de compatibilité dans un sens ou dans l'autre : c'est le prix à payer pour les formidables et incessantes innovations du système.

Merci beaucoup de ces informations.
Puis-je demander 2-3 détails ?

Que synchronise Active Directory et ne fait pas Open Directory ?
Si je me penche vers ce qu'on m'a conseillé jusque là ; je pourrais créer des dossiers sur un serveur, auquel les utilisateurs auront accès.

Mais quid des informations suivantes :
- réglages des comptes mail
- favoris de safari
- trousseaux d'accès (je veux dire par la mots de passe des applications et des logiciels)
- les contacts et les carnets d'adresse semblent pouvoir être partagés par serveur où fusionnés avec un système style gMail ou iCloud
-> ces informations sont-elles stockées sur l'oPen / Active Directory ? Ou ce sont juste des ID / Password pour accéder à des services partagés ?

Merci de toutes ces infos. Je n'ai pas tout parfaitement assimilé mais ça me fait avancer et Google m'aidera pour le reste.

 

[bompi]

Active Directory et OpenLDAP ont en commun d'être des annuaires que l'on peut interroger suivant diverses méthodes et au moins un même protocole (LDAP).
À part ça, ce sont des produits assez différents. Active Directory est l'outil utilisé pour gérer les domaines et forêts des réseaux d'ordinateurs Windows. OpenLDAP est plutôt utilisé pour le monde UNIX. À ma connaissance (restreinte), c'est quand même un annuaire plus limité.
Les deux disposent d'un système de réplication qui permet de propager les modifications ; c'est même une de leurs principales qualités.

Les réglages de Mail, comme la plupart des réglages, se trouvent dans la bibliothèque de l'utilisateur. Pareil pour le trousseau.
Mais c'est le type de données que j'éviterais de partager entre machines. Ou alors, il faut s'assurer que toutes les machines ont le même niveau de système, ce qui complique.

Tu devrais te contenter d'une vision minimaliste de ce "bureau mobile" ou alors t'appuyer sur des solutions spécifiques et fiables pour certains sujets.