Webinaire sur l’intégration des MacOS X dans Active Directory

J’ai dernièrement réalisé un webinaire sur la thématique de l’intégration des machines MacOS X dans Active Directory pour le compte de la société Cerberis. Nous avons pris en exemple l’intégration via les technologies Centrify avec le mode AutoZone de manière à simplifier l’intégration et l’accès des utilisateurs sur les systèmes. La fin du Webinaire comporte une démonstration avec des GPOs appliquées sur les MacOS, la relation entre les comptes AD et l’authentification sur les postes MacOS X et encore la migration des comptes locaux vers des comptes Active Directory afin de conserver l’environnement utilisateur d’un compte local après migration vers un compte AD.

Voici le webinaire:

SCCM supporte maintenant El Capitan (Mac OS X 10.11)

os-x-el-capitan

 

En direct du blog de l’équipe produit System Center Configuration Manager, SCCM supporte maintenant El Capitan – voir ceci: http://blogs.technet.com/b/configmgrteam/archive/2016/01/13/support-for-mac-os-x-10-11-in-configuration-manager.aspx

Vous pouvez consulter la page des téléchargements pour les clients SCCM hors Microsoft (Mac, Unix et Linux) ici: Clients SCCM hors Microsoft

 

 

Installation de Centrify Workstation for Mac 2016 sur EL CAPITAN (OSX 10.11) [Part 3/4] – Quelques manipulations après l’installation de l’agent Centrify

Installation de Centrify Workstation for Mac 2016 sur EL CAPITAN (OSX 10.11) [Part 3/4] – Quelques manipulations après l’installation de l’agent Centrify.

Lors de l’article précédent, nous avons installé l’agent Centrify sur une machine MacOS X afin que celle-ci bénéficie d’une véritable intégration à Active DIrectory – cad une intégration basée sur Kerberos et LDAP permettant également l’application de GPOs sur les systèmes MacOS, et non pas une intégration basée sur Samba.

Nous allons maintenant faire quelques paramétrages supplémentaires dans la première partie de cet article, puis nous traiterons la gestion des comptes locaux existants avant la migration dans la deuxième partie de cet article.

# Nous allons maintenant faire quelques vérifications et manipulations afin de parfaire cette installation

[1] Déplacement du compte machine de la machine MacOS X

Comme nous n’avons spécifié dans quelle UO créer le compte machine, celui-ci s’est créé dans le conteneur par défaut, à savoir « computers »:

clip_image002

Pour information, il est possible que votre administrateur Active Directory est défini un autre conteneur par défaut, mais dans la plupart des cas, il s’agit du conteneur « computers ».

Nous allons maintenant déplacer le compte ordinateur « ELCAPITAN » dans l’UO que nous avons prévue à cet effet au tout début, l’UO CENTRIFY/WORKSTATIONS:

clip_image004

[2] Vérification des informations dans l’annuaire

Réaliser un clic-droit sur le compte machine et choisir « Propriétés »

clip_image006

Vous pouvez parcourir les différents onglets afin d’avoir des informations sur le compte machine, la version de l’OS, la version de l’agent Centrify installée, etc.

clip_image008

Il est également possible de vérifier le type de zone Centrify rejointe, dans notre exemple, nous avons choisi le mode AutoZone qui permet de s’affranchir de la gestion des UIDs et du contrôle d’accès. Dans ce mode, les UIDs sont générés automatiquement par un dérivé du SID utilisateur, les UIDs sont gérés localement par l’agent, il n’y a pas d’UIDs stockés coté Active Directory – ce mode est tout à fait particulier et convient uniquement aux workstations, et je dirais même uniquement aux workstations MacOS.

En utilisant ce mode, tous les utilisateurs Active Directory peuvent ouvrir une session sur le poste MacOS (à moins que localement sur le MacOS on est spécifié le contraire dans le gestionnaire de login des Paramètres Systèmes – ou encore – il est possible d’utiliser le fichier de configuration centrifydc.conf en jouant sur les attributs pam.allow.users et pam.allow.groups ), il n’y a pas besoin de de donner le droit de ‘login » sur la machine, ceci est automatique pour tous les comptes utilisateurs présents dans Active Directory.

clip_image010

Il est également possible de constater via l’éditeur d’attributs, certaines propriétés avancées du compte machine, comme par exemple les différents servicePrincipalName qui seront utiles au protocole kerberos:

clip_image012

[3] Vérification des informations via l’outil Centrify DirectManage AccessManager

Lancer l’outil de gestion Centrify:

clip_image014

Il est facile de constater l’existence d’une nouvelle zone « Auto Zone » et de voir qu’elle contient un compte machine. Il est aussi possible de constater qu’il n’y a aucun moyen de gestion directe sur les droits d’accès ou sur la gestion des UIDs / GIDs comme il est possible via une zone Standard:

clip_image016

Comparaison avec une zone standard:

clip_image018

Pour bien comprendre les différences entre une Auto Zone et une Zone Standard, je vous conseille de consulter cette vidéo :

 

# Utilisation de comptes utilisateurs au niveau de machine MacOS X : Nous allons maintenant explorer les différentes possibilités pour utiliser les comptes utilisateurs sur la machine MacOS X

[1] Utilisation d’un compte local existant avant l’installation de l’agent

Il est bien sur possible de continuer à utiliser des comptes locaux, par exemple, nous avions un compte local « florent » qui est présent sur le MacOS X dans la base de comptes locale :

clip_image020

Par exemple, nous avons sur le bureau de cet utilisateur local quelques fichiers :

clip_image022

Si nous vérifions l’UID utilisé par le compte, nous constatons un UID local, qui est dans exemple 502:

clip_image024

[2] Utilisation d’un compte Active Directory sans lien avec la base de compte locale

Dans notre annuaire, nous avons par exemple un utilisateur « luc » qui n’existe pas dans la base de comptes locale :

clip_image026

il est possible d’utiliser ce compte et le mot de passe Active Directory pour se connecter sur la machine MacOS X:

clip_image028

Il est facile de constater que l’UID utilisé est un dérivé du SID du compte Active Directory généré par l’agent Centrify lui-même :

clip_image030

On peut constater la même chose au niveau de l’utilitaire « Users & Groups » dans les Préférences Système:

clip_image032

[3] Alignement d’un compte local existant avec un compte Active Directory : l’idée est ici de mapper un compte local existant avant la migration vers Centrify et l’installation de l’agent pour utiliser un compte utilisateur Active Directory le remplaçant tout en conservant le profil (/home/) de l’utilisateur local existant – cette manipulation est une opération très courante si vos machines MacOS X étaient déjà utilisées

Dans notre exemple, nous avons un compte local « dark »:

clip_image034

Personnalisons le bureau de cet utilisateur pour bien le repérer par la suite :

clip_image036

Cet utilisateur a un UID local, ici 502 :

clip_image038

Maintenant il faut créer un utilisateur avec le même login au niveau d’Active Directory :

clip_image040

Maintenant, reconnectons-nous sur le poste MacOS avec le compte local « dark », à ce stade l’agent Centrify vérifie s’il y a un compte équivalent côté Active Directory, ce qui est le cas et affiche le message suivant :

clip_image042

Cliquer simplement sur OK

Nous allons maintenant aligner les deux comptes en mappant le compte local avec le compte Active Directory et ce sans perdre les propriétés locales du compte existant.

Tout d’abord il faut s’authentifier sur la machine MacOS X avec un autre compte que le compte à aligner, par exemple le compte Florent puis il faut se rendre dans les Préférences Systèmes, puis dans les propriétés de l’agent Centrify :

clip_image044

Débloquer la configuration en cliquant sur le cadenas en bas à gauche et renseigner un compte avec des pouvoirs sur cette machine :

clip_image046

Puis sélectionner l’onglet « Account Migration » – ensuite sélectionner le compte à aligner avec le compte Active Directory, dans notre exemple il s’agit du compte « dark » et cliquer sur « Link »:

clip_image048

Un message d’avertissement apparait alors, cliquer sur OK :

clip_image050

Ce message est normal, il indique simplement que l’agent va supprimer le compte local (en fait il supprime l’entrée de ce compte dans l’index provenant de la liste du pointeur des comptes locaux OS X), pas de panique, cette manipulation ne supprime le profil local de l’utilisateur situé dans /users/ – cela va seulement supprimer l’existence du compte utilisateur local tout en conservant les données inhérentes au profil qui est conservé.

Automatiquement le mappage sur le compte Active Directory se réalise (basé sur le username), il faut alors cliquer sur « Apply »:

clip_image052

A la fin du processus, les deux comptes sont maintenant liés :

clip_image054

Fermer la session administrateur.

Maintenant, la mire de login ne propose plus le compte local « dark »:

clip_image056

Nous allons utiliser le login réseau et nous utiliserons le compte Active Directory « dark » pour se connecter sur la machine MacOS X:

clip_image058

Un message peut apparaitre vous demandant de mettre à jour la « keychain » du mot de passe – il faut alors choisir « update keychain » et renseigner votre ancien mot de passe ou tout simplement recréer une « keychain » pour le nouveau mot de passe si vous ne vous souvenez plus de votre ancien mot de passe local.

Comme convenu, nous avons conservé le profil utilisateur du compte local (/users/dark) mais il s’agit bien de l’utilisateur Active Directory avec un UID différent provenant du dérivé du SID compte utilisateur Active Directory :

clip_image060

A ce stade, l’utilisateur « dark » est maintenant capable d’utiliser sa machine MacOS X exactement comme avant, avec son bureau, ses raccourcis, etc. mais en bénéficiant de son compte Active Directory.

Dans le prochain et dernier article de cette série consacrée à MacOS X et Centrify, nous explorerons quelques possibilités en termes de GPOs Active Directory appliquées à MacOS X grâce aux technologies Centrify.

Installation de Centrify Workstation for Mac 2016 sur EL CAPITAN (MacOS X 10.11) [Part 1/4] – Préparation de l’environnement pour installation de l’agent Centrify

 

Installation de Centrify Workstation for Mac 2016 sur EL CAPITAN (MacOS X 10.11) [Part 1/4] – Préparation de l’environnement pour installation de l’agent Centrify.

La version 2016 de la Centrify Workstation for Mac est sortie courant Décembre 2015. L’agent livré avec cette version (CentrifyDC-5.3.0-mac10.9.dmg) est directement compatible avec la version OSX 10.11 (EL CAPITAN).

A noter, cette version de l’agent n’est plus compatible avec les versions 10.8.x d’OSX, pour supporter ces anciennes versions, il faut utiliser les agents fournis avec les anciennes versions de la Centrify Workstation for Mac (version 2015.1 ou version 2015 par exemple).

A savoir, le CD Centrify 2016 qui contient les agents ne contient que la version TGZ du paquet de l’agent Centrify. Une fois le paquet TGZ extrait, celui-ci contient un paquet TAR qui contient les éléments suivants :

clip_image002

Le fichier CentrifyDC-5.3.0-mac10.9.dmg est un disque image pour Mac OS X et contenant les éléments suivants :

• AD Check.app: une application graphique pour réaliser une vérification de l’environnement avant de lancer l’installation réelle de l’agent (ADCHECK)

• Un Guide d’utilisation pour les Administrateurs Mac OS X (Admin Guide for Mac OS X.pdf)

• Un installeur graphique de l’agent (CentrifyDC-5.3.0-x86_64.pkg) valide pour Mac OS 10.0.x, 10.10.x et 10.11

• Un Guide de prise en main rapide (Quick Start Guide for Mac OS X.pdf)

• Le document de « Release Notes » pour cette version de l’agent (Release Notes for Mac OS X.pdf)

Afin de bien préparer votre environnement, vous pouvez réaliser les actions suivantes :

[1] – Créer des UOs pour ranger vos objets dans AD

Je vous conseille de créer une arborescence comme celle-ci par exemple :

clip_image004

Dans notre exemple, nous mettrons plus tard les objets des comptes machines MacOS X dans l’UO « WORKSTATIONS »

Bien évidemment, sur ces UOs, il faudra que l’administrateur MacOS X est des droits d’administration suffisant, mais cela, c’est du design AD pur et dur.

[2] – Installer les outils d’administration sur une machine Windows

Vous devez installer mes outils d’administration (suivre le guide d’installation) afin d’avoir au moins deux outils d’installés :

Centrify DirectManage – Access Manager

Centrify DirectManage – Deployment Manager

[3] Renseigner les licences

Ouvrir l’outil « DirectManage Access Manager » et rajouter les licences pour la partie Mac OS en réalisant un clic droit sur le nœud supérieur et choisir « Manage Licenses »

clip_image006

Puis renseigner la clé de licences dans l’onglet « Update » – Il faut bien saisir la clé avec les tirets. Une fois les licences validées vous devez avoir une entrée telle que : « Unix Workstation Licenses ».

[4] – Vérifier la configuration de la machine MacOS X:

Aller dans les préférences systèmes :

clip_image008

Puis choisir Network/Réseau :

clip_image010

Renseigner les éléments réseau de manière à ce que le MacOS X soit compatible avec votre plan d’adressage IP réseau, renseigner les serveurs DNS qui adressent votre nom de domaine Active Directory.

clip_image012

clip_image014

Vous pouvez aussi modifier le nom hôte de votre système MacOS, car par défaut c’est le nom qui sera utiliser pour créer l’objet ordinateur représentant votre systèmes dans Active Directory – Pour cela, aller dans Préférences systèmes, puis choisir Partage/Sharing:

clip_image016

clip_image018

Votre changement doit être reflété si vous tapez la commande hostname dans un terminal:

clip_image020

Ensuite, nous allons activer la fonction de « Remote Login » dans Partage/Sharing (Préférences Systèmes):

clip_image021

clip_image023

A ce stade, un membre des administrateurs du MacOS pourra se connecter en SSH pour notamment transférer l’agent sur la machine avant installation.

[5] – Transfert de l’agent sur la machine

Il existe de nombreux moyens de transférer le fichier dmg de l’agent, mais comme nous sommes censés être en réseau nous allons utiliser l’outil WinSCP que vous pouvez télécharger ici: http://winscp.net/eng/download.php

Installer WinSCP sur la machine qui sert à l’administration Centrify (par exemple), puis lancer WinSCP et paramétrer une session SFTP pour transférer le package Centrify – choisir un nom utilisateur qui fait partie des Administrateurs locaux du MacOS (dans notre exemple, l’utilisateur a un login « florent »:

clip_image025

Transférer ensuite le package DMG sur le bureau de florent (répertoire Desktop):

clip_image027

Le package doit alors apparaitre sur le bureau de l’utilisateur :

clip_image029

Une fois ces éléments préparés, nous allons maintenant passer à l’installation de l’agent côté Mac OS X dans le prochain article.

Mountain Lion & 802.1X

Depuis le « Lion des montagnes », beaucoup de clients utilisant utilisant Active Directory comme référentiel d’authentification ont énormément de mal à faire fonctionner le 802.1X, c’est plutôt dommage…

Apple vient de fournir un update, la V 10.8.1 corrigeant ce problème de fonctionnement, je n’ai pas testé la chose, mais vu la levée de boucliers qui a eut lieu chez les administrateurs de plateformes OS X au travers des différentes organisations, je pense qu’Apple a forcement mis le paquet pour corriger ce problème…

Les sessions des Techdays 2012 sont en ligne !

  Les sessions des Microsoft Techdays 2012 sont en ligne ! Vous pourrez notamment retrouver mes deux sessions sur l’intégration Linux et Unix dans Active Directory et sur le déploiement d’AD RMS en entreprise. Il est également possible de télécharger les fichiers Powerpoint rattachés à ces présentations. N’hésitez pas à les visionner et à donner votre avis sur l’interface de gestion des commentaires et de notation.

# Session  » Windows & Linux: plus forts ensemble !  »

# Session  » Protéger le patrimoine informationnel de l’entreprise grâce à AD RMS  »

Lion & Active Directory: Trucs et astuces

MacWindows.com est un des sites de référence en terme de gestion de l’interopérabilité entre le monde Apple et Microsoft. L’arrivée de Lion apporte un nombre de bugs et de facteurs d’instabilité très important en ce qui concerne la connexion à des serveurs NAS ou la connexion à Active Directory. C’est pourquoi le blog MacWindows consacre une part très importante des derniers posts sur les différents trucs et astuces pour corriger ou contourner ces problèmes de connexion survenus depuis la sortie du dernier OS d’Apple. En effet, de nombreuses organisations utilisant le plug-in d’authentification à Active Directory découvrent des problèmes récurrents alors inconnus avec les versions précédentes. Les causes réelles de ces dysfonctionnements ne sont pas clairement expliquées par Apple, qui préfère annoncer pour l’instant des patchs pour les semaines à venir, sans garantir le support du fonctionnement tel que connu avant Lion. Si vous administrez du Lion sur votre réseau, je vous invite donc à regarder sur MacWindows.com si il n’y a pas quelques réponses à vos questions existentielles.

Centrify DirectExpress: Intégrer gratuitement les machines Mac, Linux et Unix dans Active Directory !!!

Centrify propose maintenant une version gratuite permettant de déployer et gérer l’intégration des environnement Mac, Linux et Unix dans Active Directory.

Bien sur, certaines fonctions ne sont pas présentes, donc pas de possibilité ici de gérer plusieurs UIDs/GIDs, de supporter les SmartCard ou de faire des GPOs sur les systèmes (fonctions intégrées dans la version payante) – néanmoins, il est possible ici de gratuitement intégrer les systèmes hétérogènes dans Active Directory.

Il donc possible de réaliser une intégration transparente dans l’annuaire Microsoft et donc de permettre aux utilisateur d’utiliser le même mot de passe sur tous les systèmes et de profiter d’un SSO utilisateur basé sur kerberos. Cela est déjà génial !

Centrify DirectExpress est téléchargeable [ ICI ]

Si vous voulez en savoir plus sur Centrify DirectExpress avant le déploiement, vous pouvez regarder la vidéo suivante:

Utilisation des SmartCard en environnement mixte Macintosh-Microsoft

Cette vidéo illustre la possibilité d’utiliser Active Directory et l’autorité de certification de Microsoft en tant que briques d’infrastructure centralisatrices pour l’utilisation des carte à puces de type Gemalto .NET dans des environnements mixtes de type Macintosh ou Microsoft. Cette possibilité est fournit grâce à l’utilisation combinée des drivers PKCS#11 et de la solution Centrify DirectControl: