Re: [Admin-ml] TimeMachine réseau -> avancement

François SCHOSSIG fs.nospam1 at laposte.net
Lun 20 Avr 23:21:19 CEST 2009


Pour commencer, voici la situation : j'essaie de sauvegarder nos iMac  
et nos MacBook, qui sont configurés avec deux partitions sur leur  
disque interne, MacOS et Local, partition qui contient un dossier  
Users. Sur la partition MacOS, il y a en plus (pour ne pas perturber  
les utilisateurs) un lien symbolique /Users -> /Volumes/Users
Le disque Local est masqué grâce à SetFile.
Les utilisateurs ont des comptes mobiles OpenDirectory qui se créent  
sur /Volumes/Local/Users, avec la synchronisation paramétrée en manuel  
(et un CinchDefaults.plist non standard).

Côté serveur, j'ai commencé par un point de montage TimeMachine,  
activé Time Machine et accessible en lecture écriture par  
l'utilisateur admin_backup.

• Test I : j'ai d'abord essayé d'utiliser les préférences gérées, pour  
indiquer :
- où mettre la sauvegarde,
- sauvegarder tous les volumes locaux,
- sauvegarder automatiquement,
- limiter la conservation des sauvegardes à 10000 Mo (il semblerait en  
passant que cette limite ne soit pas la taille de l'image disque  
générée, car il n'a pas bronché en générant une image disque de 13  
Go !).

Problèmes : il ne sauvegarde pas, car il ne sait pas où est la  
sauvegarde (même si les plist sur le poste contiennent bien les bonnes  
informations...) : il faut lui redire où il doit sauvegarder et lui  
donner un nom et mot de passe pour la sauvegarde, nom et mot de passe  
stocké dans le trousseau Système. En plus, même si j'indique que le  
lieu de sauvegarde est machine.domaine.eu, il s'obstine à stocker  
machine.local. Dit autrement je m'attends à des surprises en VPN... En  
plus, je n'ai pas trouvé de moyen de supprimer la sauvegarde de mon  
disque MacOS. Cocher ne pas sauvegarder le système ne sauvegarde  
effectivement pas le système, mais sauvegarde tout de même / 
Applications.

• Test II : j'ai abandonné les préférences gérées, pour aller  
configurer Time Machine sur le poste directement.
Constats :
- il faut être administrateur de la machine pour pouvoir sauvegarder,
- il faut que l'administrateur en question soit connu du serveur Time  
Machine, pour pouvoir accéder au serveur,
- mais, on peut supprimer la sauvegarde du disque MacOS.

Mais le mot de passe est toujours stocké dans le trousseau Système,  
donc potentiellement récupérable (voir mon autre message sur l'accès à  
tous les fichiers de sauvegarde).

Deux solutions donc :
- créer un utilisateur administrateur par machine dans  
l'OpenDirectory, en parallèle à l'utilisateur non administrateur,
- rendre chaque utilisateur administrateur de sa propre machine, ce  
qui implique de mettre une croix sur la possibilité de freiner  
l'utilisateur dans l'installation de n'importe quoi, dans sa  
propension à modifier les configurations de son poste.

Mais finalement, en y réfléchissant, il est possible de mettre  
d'autres gardes-fous à un utilisateur administrateur de sa machine :
- les préférences gérées peuvent être rendues obligatoires même aux  
administrateurs et on peut y aller très fort (la plupart des  
applications que nous utilisons sont finalement « bien » écrites et  
respectent les plist imposées par le serveur, même en les combinant  
avec les préférences non gérées : j'ai réussi à interdire à quasiment  
toutes les applications la vérification automatique des maj sur  
internet... même MS Office !).
- les réinstallations forcées par un DeployStudio peuvent embêter ceux  
qui voudraient s'amuser à installer des machins,
- la limitation à 5 ou 10 Go de data par utilisateur permet de les  
contenir un peu !
- et zut, on va arrêter de faire l'administrateur de PC en interdisant  
beaucoup à nos chers utilisateurs de Mac : s'ils cassent leur  
matériel, ils ne peuvent plus travailler et alors tant pis pour eux  
(va falloir aiguiser les logs) !

Ouf, on voit qu'il est tard...
:-)

Donc conclusion, (avec une confirmation après les tests que je vais  
faire demain matin), je pense que la solution que je vais choisir est  
la suivante :
- chaque utilisateur en compte mobile va devenir administrateur de sa  
machine,
- lors de la mise en place, je configure Time Machine directement sur  
le poste, sans passer par les préférences gérées (à moins que je  
n'arrive à envoyer com.apple.timemachine.plist sur les postes, à la  
place de com.apple.MCX.timemachine.plist et qu'il en tienne compte...)
- interdire les adaptations des préférences gérées par les  
administrateurs locaux.
La configuration à deux partitions MacOS et Local (contenant  
l'utilisateur) permet de recloner un disque sans réfléchir...

Et hop !
À demain...
--
F. SCHOSSIG, ICT Manager
Assemblée des Régions d'Europe
http://www.aer.eu

Le 20 avr. 09 à 16:13, Matthieu Brunet a écrit :

> Heu... je ne comprends pas... tu as réglé time machine sur tous les  
> postes avec le même utilisateur et le même mot de passe ?
> Et de toute façon, même si c'est le cas, les fichiers des autres  
> utilisateurs sont toujours enregistrés avec les droits du  
> propriétaires, donc invisibles aux autres, même à l'administrateur,  
> non ?
> Enfin moi, personnellement, quand je veux aller voir le contenu  
> d'une sauvegarde, je n'ai pas trouvé d'autres moyens que de passer  
> en root, ou de me loguer sous le nom de l'utilisateur en question.  
> Et root, c'est parce que les fichiers sont en local. Mais quand à  
> copier une image disque time machine sur ma machine, j'ai essayé, il  
> ne veut pas. utilisateur admin ou pas.
>
> Le 20 avr. 09 à 15:53, François SCHOSSIG a écrit :
>
>> En fait, le problème reste.
>> Je me suis trompé : le mot de passe est stocké dans le keychain  
>> Système, ce qui est ennuyeux ! Bon, seulement un tout petit peu,  
>> mais...
>>
>> Cela veut dire que si pour une raison ou pour une autre, on est  
>> obligé de donner le mot de passe d'administration à un utilisateur  
>> nomade, car il est bloqué à l'autre bout de l'Europe (c'est déjà  
>> assez loin...), par exemple pour modifier une configuration réseau,  
>> cet utilisateur pourrait :
>> - aller dans son trousseau,
>> - aller chercher le mot de passe de l'utilisateur de backup, dans  
>> le trousseau système, grâce au mot de passe d'administrateur local,
>> - se connecter au serveur de fichier avec ce nom et mot de passe,
>> - télécharger l'image disque de sauvegarde qui l'intéresse (pas la  
>> sienne dans ce cas...),
>> - puis ouvrir cette image disque toujours avec un nom et mot de  
>> passe administrateur, en disant de ne pas tenir compte des droits...
>> Et hop, l'utilisateur en question a accès à tout.
>>
>> Je n'ai pas d'utilisateur qui saurait aller jusque là, mais sait-on  
>> jamais...
>>
>> J'ai limité un part du problème lié au fait de donner le mot de  
>> passe d'administration local : chaque ordinateur portable a un  
>> administrateur local avec un mot de passe distinct des autres  
>> ordinateurs portables...
> ______________________________________________
> Admin-ml mailing list
> Admin-ml at mosx.org
> http://coruscant.mosx.org/mailman/listinfo/admin-ml



Plus d'informations sur la liste de diffusion Admin-ml