Intégration et administration de Mac sous OS X en entreprise

Installation

Si les Mac sont livrés pour la plupart avec OS X pré-installé, et que c'est généralement suffisant pour une utilisation domestique, un bon réflexe consiste à repartir d'une disque vierge pour faire les bons choix en fonction du contexte.

Paramétrage

L'installation sur un poste vierge nécessite de se poser les bonnes questions dès le démarrage. Par exemple, le partitionnement des disques doit-il se faire en HFS+ (le système de fichiers par défaut) ou en ZFS (dont le support est encore expérimental) ? Le gain de performances n'est pas (encore) évident, mais ce choix peut conditionner pas mal de soucis d'entretien futurs dans un cas comme dans l'autre.

Concernant les comptes utilisateurs, à l'image des "skel" qu'on peut trouver en administration système sous Linux, des User templates permettent copier des règlages par défaut, afin de gagner un temps précieux à la création des comptes.

Optimisation

Le système de base est suffisamment bien ficelé pour qu'il n'y ait pas trop d'optimisations à faire, contrairement à d'autres systèmes d'exploitation. Cependant, quelques points sont à surveiller, afin de réduire le nombre d'incidents et la difficulté à les résoudre.

Un premier point permettant d'alléger le système est de supprimer la prise en charge des langues inutiles. Un outil tel que Monolingual pourra fortement aider à traquer ces fichiers non désirés, et ce même au sein des applications. Il faudra cependant réitérer l'opération régulièrement car des mises à jour peuvent réinstaller certaines langues.

La gestion des polices de caractères peut-être un élément important à prendre en compte également lors de la gestion de l'espace de travail utilisateur. En effet, OS X prévoit un certain nombre d'endroits où elles peuvent être stockées :

• /Library/Fonts : les polices de l'administrateur
• /System/Library/Fonts : les polices systèmes à ne pas toucher
• /Network/Library/Fonts : (très rarement exploité) les polices partagées en réseau dans une architecture OS X clients/serveur, afin faire monter sur les postes clients des polices communes spécifiques
• ~/Library/Fonts : les polices spécifiques d'un utilisateur

Une bonne gestion des polices installées par les applications (qui sont installées par l'administrateur uniquement) est de déplacer ces polices dans le dossier de l'administrateur : seul celui-ci pourra en modifier le contenu, ce qui évitera des problèmes ultérieurs.

Démarche similaire qu'avec Windows

Une fois la configuration type du poste de travail ou du serveur correctement paramétrée et optimisée, il peut être utile de réaliser l'image du système afin de :

• Ne pas avoir à refaire le travail à chaque nouveau poste
• Pouvoir rapidement remettre la configuration d'un poste à neuf

Contrairement à Windows, point besoin d'utiliser une solution payante quelconque (telle que Symantec Norton Ghost pour ne citer que lui), mais simplement les outils intégrés de base dans l'OS, tels que l'Utilitaire de Disques.

Déploiement

Une fois l'image prête et mise sur un support amovible, il suffit de se procurer de nouvelles machines prêtes à subir le même sort...

Descente de l'image

À l'image de la création de l'image disque, la descente de l'image sur un poste se fait simplement en branchant le disque de la machine sur laquelle descendre l'image et en utilisant l'Utilitaire de Disques pour y copier le contenu de notre image.

Si cette solution fonctionne bien dans la plupart des situations pour quelques machines, à partir d'un certain nombre cela peut devenir fastidieux. Le recours à des solutions telles que Deploy Studio Server (donationware) permet un paramétrage plus précis de la descente d'image, dans le cadre de l'automatisation de la procédure : nommage automatique des postes, lancement de scripts shell...

Connexion réseau

Il y a bien longtemps, dans un siècle maintenant lointain, était l'Appletalk. Aux balbutiements d'IP, pouvoir brancher directement des postes Mac et pouvoir sans configuration communiquer était une prouesse. C'est maintenant révolu, ce protocole étant reconnu trop "bavard", et IP ayant mûri.

À ce niveau, il faut donc compter avec TCP/IP pour paramétrer ses postes de travail... Moins attrayant, mais plus performant. Cependant qu'on se le dise, si AppleTalk n'a pas survécu à IP, Bonjour en est la réincarnation en implémentant le protocole Zéroconf, et permettant plus ou moins le même type de configuration rapide d'un réseau de Mac. L'avantage de Bonjour, c'est qu'une version Windows est disponible pour faire communiquer les Mac et les PC entre eux via ce protocole...

Un autre point intéressant est la prise en charge native du 802.1x, ne nécessitant pas de paramétrage compliqué pour fonctionner. Dans le cadre d'un accès au réseau (filaire ou sans fil) sécurisé de cette manière, c'est un argument de plus pour la simplicité d'intégration dans un parc.

Annuaire

LDAP

Si l'utilisation d'un annuaire s'avère trop lourde si l'on a à gérer moins de 10 postes, elle peut très vite s'avérer salvatrice dans tous les autres cas, avec tous les avantages que cela peut apporter en terme de centralisation des données (notamment d'identification, mais pas seulement). Les pré-requis pour la mise en place d'une telle architecture (qui ne sera pas développée ici, mais qu'un autre exposé traite en détail) sont :

• heure commune (NTP)
• DNS
• SSL si la sécurité des échanges s'avère nécessaire

Les solutions intéressantes pour la plateforme Mac (qui sont prises en charge) sont Open Directory et Active Directory (Microsoft).

Open Directory possède plus ou moins le même fonctionnement qu'Active Directory, aux différences philosophiques près. La gestion des comptes permet de définir des types tels que réseau (données de l'utilisateur sur le serveur), mobile (données présentes également sur le poste client pour les situations où le poste est "hors LAN", avec synchronisation sur le serveur) ou externe (données présentes uniquement sur le client).
Les préférences centralisées sont gérées via le système MCX qui est un équivalent du GPO d'Active Directory.

Il est cependant très possible de s'interfacer avec un serveur Active Directory, via le module spécifique existant dans OS X. La grosse différence dans l'utilisation se trouve principalement dans le fait qu'il n'est pas possible de gérer les préférences des postes Mac via le GPO, mais ce point peut être compensé par l'utilisation de l'outil Centrify qui permet de gérer les préférences de manière unifiées dans ce cas de figure.

Base commune

L'objectif de ces manoeuvres autour d'un annuaire de type LDAP est bien entendu de s'abstraire des différences entre les postes de travail du parc de l'entreprise et également de s'affranchir de la nécessité d'intervenir directement sur chaque poste, qu'il soit Windows ou Mac.

Suite [Politique de sécurité] >>>