Re: [Admin-ml] TimeMachine réseau -> avancement
François SCHOSSIG
fs.nospam1 at laposte.net
Lun 20 Avr 23:21:19 CEST 2009
Pour commencer, voici la situation : j'essaie de sauvegarder nos iMac
et nos MacBook, qui sont configurés avec deux partitions sur leur
disque interne, MacOS et Local, partition qui contient un dossier
Users. Sur la partition MacOS, il y a en plus (pour ne pas perturber
les utilisateurs) un lien symbolique /Users -> /Volumes/Users
Le disque Local est masqué grâce à SetFile.
Les utilisateurs ont des comptes mobiles OpenDirectory qui se créent
sur /Volumes/Local/Users, avec la synchronisation paramétrée en manuel
(et un CinchDefaults.plist non standard).
Côté serveur, j'ai commencé par un point de montage TimeMachine,
activé Time Machine et accessible en lecture écriture par
l'utilisateur admin_backup.
• Test I : j'ai d'abord essayé d'utiliser les préférences gérées, pour
indiquer :
- où mettre la sauvegarde,
- sauvegarder tous les volumes locaux,
- sauvegarder automatiquement,
- limiter la conservation des sauvegardes à 10000 Mo (il semblerait en
passant que cette limite ne soit pas la taille de l'image disque
générée, car il n'a pas bronché en générant une image disque de 13
Go !).
Problèmes : il ne sauvegarde pas, car il ne sait pas où est la
sauvegarde (même si les plist sur le poste contiennent bien les bonnes
informations...) : il faut lui redire où il doit sauvegarder et lui
donner un nom et mot de passe pour la sauvegarde, nom et mot de passe
stocké dans le trousseau Système. En plus, même si j'indique que le
lieu de sauvegarde est machine.domaine.eu, il s'obstine à stocker
machine.local. Dit autrement je m'attends à des surprises en VPN... En
plus, je n'ai pas trouvé de moyen de supprimer la sauvegarde de mon
disque MacOS. Cocher ne pas sauvegarder le système ne sauvegarde
effectivement pas le système, mais sauvegarde tout de même /
Applications.
• Test II : j'ai abandonné les préférences gérées, pour aller
configurer Time Machine sur le poste directement.
Constats :
- il faut être administrateur de la machine pour pouvoir sauvegarder,
- il faut que l'administrateur en question soit connu du serveur Time
Machine, pour pouvoir accéder au serveur,
- mais, on peut supprimer la sauvegarde du disque MacOS.
Mais le mot de passe est toujours stocké dans le trousseau Système,
donc potentiellement récupérable (voir mon autre message sur l'accès à
tous les fichiers de sauvegarde).
Deux solutions donc :
- créer un utilisateur administrateur par machine dans
l'OpenDirectory, en parallèle à l'utilisateur non administrateur,
- rendre chaque utilisateur administrateur de sa propre machine, ce
qui implique de mettre une croix sur la possibilité de freiner
l'utilisateur dans l'installation de n'importe quoi, dans sa
propension à modifier les configurations de son poste.
Mais finalement, en y réfléchissant, il est possible de mettre
d'autres gardes-fous à un utilisateur administrateur de sa machine :
- les préférences gérées peuvent être rendues obligatoires même aux
administrateurs et on peut y aller très fort (la plupart des
applications que nous utilisons sont finalement « bien » écrites et
respectent les plist imposées par le serveur, même en les combinant
avec les préférences non gérées : j'ai réussi à interdire à quasiment
toutes les applications la vérification automatique des maj sur
internet... même MS Office !).
- les réinstallations forcées par un DeployStudio peuvent embêter ceux
qui voudraient s'amuser à installer des machins,
- la limitation à 5 ou 10 Go de data par utilisateur permet de les
contenir un peu !
- et zut, on va arrêter de faire l'administrateur de PC en interdisant
beaucoup à nos chers utilisateurs de Mac : s'ils cassent leur
matériel, ils ne peuvent plus travailler et alors tant pis pour eux
(va falloir aiguiser les logs) !
Ouf, on voit qu'il est tard...
:-)
Donc conclusion, (avec une confirmation après les tests que je vais
faire demain matin), je pense que la solution que je vais choisir est
la suivante :
- chaque utilisateur en compte mobile va devenir administrateur de sa
machine,
- lors de la mise en place, je configure Time Machine directement sur
le poste, sans passer par les préférences gérées (à moins que je
n'arrive à envoyer com.apple.timemachine.plist sur les postes, à la
place de com.apple.MCX.timemachine.plist et qu'il en tienne compte...)
- interdire les adaptations des préférences gérées par les
administrateurs locaux.
La configuration à deux partitions MacOS et Local (contenant
l'utilisateur) permet de recloner un disque sans réfléchir...
Et hop !
À demain...
--
F. SCHOSSIG, ICT Manager
Assemblée des Régions d'Europe
http://www.aer.eu
Le 20 avr. 09 à 16:13, Matthieu Brunet a écrit :
> Heu... je ne comprends pas... tu as réglé time machine sur tous les
> postes avec le même utilisateur et le même mot de passe ?
> Et de toute façon, même si c'est le cas, les fichiers des autres
> utilisateurs sont toujours enregistrés avec les droits du
> propriétaires, donc invisibles aux autres, même à l'administrateur,
> non ?
> Enfin moi, personnellement, quand je veux aller voir le contenu
> d'une sauvegarde, je n'ai pas trouvé d'autres moyens que de passer
> en root, ou de me loguer sous le nom de l'utilisateur en question.
> Et root, c'est parce que les fichiers sont en local. Mais quand à
> copier une image disque time machine sur ma machine, j'ai essayé, il
> ne veut pas. utilisateur admin ou pas.
>
> Le 20 avr. 09 à 15:53, François SCHOSSIG a écrit :
>
>> En fait, le problème reste.
>> Je me suis trompé : le mot de passe est stocké dans le keychain
>> Système, ce qui est ennuyeux ! Bon, seulement un tout petit peu,
>> mais...
>>
>> Cela veut dire que si pour une raison ou pour une autre, on est
>> obligé de donner le mot de passe d'administration à un utilisateur
>> nomade, car il est bloqué à l'autre bout de l'Europe (c'est déjà
>> assez loin...), par exemple pour modifier une configuration réseau,
>> cet utilisateur pourrait :
>> - aller dans son trousseau,
>> - aller chercher le mot de passe de l'utilisateur de backup, dans
>> le trousseau système, grâce au mot de passe d'administrateur local,
>> - se connecter au serveur de fichier avec ce nom et mot de passe,
>> - télécharger l'image disque de sauvegarde qui l'intéresse (pas la
>> sienne dans ce cas...),
>> - puis ouvrir cette image disque toujours avec un nom et mot de
>> passe administrateur, en disant de ne pas tenir compte des droits...
>> Et hop, l'utilisateur en question a accès à tout.
>>
>> Je n'ai pas d'utilisateur qui saurait aller jusque là, mais sait-on
>> jamais...
>>
>> J'ai limité un part du problème lié au fait de donner le mot de
>> passe d'administration local : chaque ordinateur portable a un
>> administrateur local avec un mot de passe distinct des autres
>> ordinateurs portables...
> ______________________________________________
> Admin-ml mailing list
> Admin-ml at mosx.org
> http://coruscant.mosx.org/mailman/listinfo/admin-ml
Plus d'informations sur la liste de diffusion Admin-ml