{"id":1165,"date":"2016-01-04T10:29:41","date_gmt":"2016-01-04T08:29:41","guid":{"rendered":"http:\/\/www.identitycosmos.com\/?p=1165"},"modified":"2016-01-04T10:29:41","modified_gmt":"2016-01-04T08:29:41","slug":"installation-de-centrify-workstation-for-mac-2016-sur-el-capitan-osx-10-11-part-34-quelques-manipulations-apres-linstallation-de-lagent-centrify","status":"publish","type":"post","link":"https:\/\/identitycosmos.com\/index.php\/2016\/01\/04\/installation-de-centrify-workstation-for-mac-2016-sur-el-capitan-osx-10-11-part-34-quelques-manipulations-apres-linstallation-de-lagent-centrify\/","title":{"rendered":"Installation de Centrify Workstation for Mac 2016 sur EL CAPITAN (OSX 10.11) [Part 3\/4] – Quelques manipulations apr\u00e8s l’installation de l’agent Centrify"},"content":{"rendered":"

Installation de Centrify Workstation for Mac 2016 sur EL CAPITAN (OSX 10.11) [Part 3\/4] – Quelques manipulations apr\u00e8s l’installation de l’agent Centrify.<\/b><\/p>\n

Lors de l’article pr\u00e9c\u00e9dent, nous avons install\u00e9 l’agent Centrify sur une machine MacOS X afin que celle-ci b\u00e9n\u00e9ficie d’une v\u00e9ritable int\u00e9gration \u00e0 Active DIrectory – cad une int\u00e9gration bas\u00e9e sur Kerberos et LDAP permettant \u00e9galement l’application de GPOs sur les syst\u00e8mes MacOS, et non pas une int\u00e9gration bas\u00e9e sur Samba.<\/p>\n

Nous allons maintenant faire quelques param\u00e9trages suppl\u00e9mentaires dans la premi\u00e8re partie de cet article, puis nous traiterons la gestion des comptes locaux existants avant la migration dans la deuxi\u00e8me partie de cet article.<\/p>\n

# Nous allons maintenant faire quelques v\u00e9rifications et manipulations afin de parfaire cette installation<\/b><\/p>\n

[1] D\u00e9placement du compte machine de la machine MacOS X<\/p>\n

Comme nous n’avons sp\u00e9cifi\u00e9 dans quelle UO cr\u00e9er le compte machine, celui-ci s’est cr\u00e9\u00e9 dans le conteneur par d\u00e9faut, \u00e0 savoir “computers”:<\/p>\n

\"clip_image002\"<\/a><\/p>\n

Pour information, il est possible que votre administrateur Active Directory est d\u00e9fini un autre conteneur par d\u00e9faut, mais dans la plupart des cas, il s’agit du conteneur “computers”.<\/p>\n

Nous allons maintenant d\u00e9placer le compte ordinateur “ELCAPITAN” dans l’UO que nous avons pr\u00e9vue \u00e0 cet effet au tout d\u00e9but, l’UO CENTRIFY\/WORKSTATIONS:<\/p>\n

\"clip_image004\"<\/a><\/p>\n

[2] V\u00e9rification des informations dans l’annuaire<\/p>\n

R\u00e9aliser un clic-droit sur le compte machine et choisir “Propri\u00e9t\u00e9s”<\/p>\n

\"clip_image006\"<\/a><\/p>\n

Vous pouvez parcourir les diff\u00e9rents onglets afin d’avoir des informations sur le compte machine, la version de l’OS, la version de l’agent Centrify install\u00e9e, etc.<\/p>\n

\"clip_image008\"<\/a><\/p>\n

Il est \u00e9galement possible de v\u00e9rifier le type de zone Centrify rejointe, dans notre exemple, nous avons choisi le mode AutoZone qui permet de s’affranchir de la gestion des UIDs et du contr\u00f4le d’acc\u00e8s. Dans ce mode, les UIDs sont g\u00e9n\u00e9r\u00e9s automatiquement par un d\u00e9riv\u00e9 du SID utilisateur, les UIDs sont g\u00e9r\u00e9s localement par l’agent, il n’y a pas d’UIDs stock\u00e9s cot\u00e9 Active Directory – ce mode est tout \u00e0 fait particulier et convient uniquement aux workstations, et je dirais m\u00eame uniquement aux workstations MacOS.<\/p>\n

En utilisant ce mode, tous les utilisateurs Active Directory peuvent ouvrir une session sur le poste MacOS (\u00e0 moins que localement sur le MacOS on est sp\u00e9cifi\u00e9 le contraire dans le gestionnaire de login des Param\u00e8tres Syst\u00e8mes – ou encore – il est possible d’utiliser le fichier de configuration centrifydc.conf en jouant sur les attributs pam.allow.users et pam.allow.groups ), il n’y a pas besoin de de donner le droit de ‘login” sur la machine, ceci est automatique pour tous les comptes utilisateurs pr\u00e9sents dans Active Directory.<\/p>\n

\"clip_image010\"<\/a><\/p>\n

Il est \u00e9galement possible de constater via l’\u00e9diteur d’attributs, certaines propri\u00e9t\u00e9s avanc\u00e9es du compte machine, comme par exemple les diff\u00e9rents servicePrincipalName qui seront utiles au protocole kerberos:<\/p>\n

\"clip_image012\"<\/a><\/p>\n

[3] V\u00e9rification des informations via l\u2019outil Centrify DirectManage AccessManager<\/p>\n

Lancer l’outil de gestion Centrify:<\/p>\n

\"clip_image014\"<\/a><\/p>\n

Il est facile de constater l’existence d’une nouvelle zone “Auto Zone” et de voir qu’elle contient un compte machine. Il est aussi possible de constater qu’il n’y a aucun moyen de gestion directe sur les droits d’acc\u00e8s ou sur la gestion des UIDs \/ GIDs comme il est possible via une zone Standard:<\/p>\n

\"clip_image016\"<\/a><\/p>\n

Comparaison avec une zone standard:<\/p>\n

\"clip_image018\"<\/a><\/p>\n

Pour bien comprendre les diff\u00e9rences entre une Auto Zone et une Zone Standard, je vous conseille de consulter cette vid\u00e9o :
\n