Préparation de votre réseau et de votre connexion à Internet
Avant d’installer et de configurer Snow Leopard Server pour la première fois, vous
devez préparer les services DNS et DHCP pour votre serveur. Si vous configurez un
serveur indépendant pour une petite organisation, il est judicieux de le protéger contre
les attaques malveillantes provenant d’Internet.
38
Chapitre 2
Préparation pour Mac OS X Server
Configuration du DNS pour votre serveur
Pour autoriser des utilisateurs à accéder à votre serveur au moyen de son nom, les
serveurs DNS (domain name system, système de noms de domaine) de votre réseau
local doivent être configurés de façon à résoudre le nom DNS de votre serveur en son
adresse IP. Certains services proposés par votre serveur exigent également que les
serveurs DNS soient configurés pour résoudre l’adresse IP de votre serveur en son nom
DNS principal.
Conditions affectant la configuration du DNS
Si les utilisateurs accèdent à votre serveur uniquement à partir de votre réseau local
Votre serveur peut fournir le service DNS à votre réseau local (sous-réseau IP). Ce service DNS local
est configuré automatiquement lors de la configuration initiale du serveur si aucun service DNS
n’est détecté pour votre serveur. Le service DNS local comporte une entrée pour le nom DNS et
l’adresse IP de votre serveur que vous spécifiez lors de la configuration initiale.
Pour que vos clients puissent utiliser le service DNS local fourni par votre serveur, il peut être
nécessaire de configurer ce service DNS local et votre serveur DHCP (en général votre réseau
routeur) lorsque vous avez terminé la configuration initiale de votre serveur. Si tel est le cas, pour
en savoir plus, consultez le document « Mac OS X Server - Étapes suivantes » généré et placé sur le
bureau du serveur après la configuration initiale.
Si vous n’avez pas besoin d’autres services que le service DNS local de votre serveur, vous pouvez
passer à la rubrique suivante, « Configuration de DHCP pour votre serveur » à la page 41.
Si vous ne disposez pas d’un nom de domaine comme exemple.com
Si vous souhaitez autoriser les utilisateurs Internet à accéder aux services par leur nom, vous devez
être pourvu d’un domaine Internet enregistré, comme exemple.com. Vous pouvez en acheter
un auprès de votre fournisseur d’accès à Internet ou d’un registrar public de noms de domaine.
Demandez au registrar de configurer le domaine de sorte qu’il dirige vers l’adresse IP de votre
serveur. Pour obtenir des informations sur les registrars de noms de domaine, recherchez sur le
web.
39
Chapitre 2
Préparation pour Mac OS X Server
Conditions affectant la configuration du DNS
Si votre serveur ne dispose pas d’un nom DNS enregistré comme monserveur.exemple.com
Négociez avec votre fournisseur d’accès à Internet, le service informatique de votre organisation
ou le registrar public auprès duquel vous avez obtenu votre domaine afin qu’ils attribuent à votre
serveur un nom DNS pertinent. Le nom DNS du serveur constitue la base des adresses de tous
les services auxquels les utilisateurs peuvent accéder sur le serveur, notamment la messagerie
électronique, iChat, iCal, le carnet d’adresses, wiki, le partage de fichiers, les blogs, webmail et VPN.
Si vous configurez un serveur pour une petite organisation
Demandez à votre fournisseur d’accès à Internet ou au registrar public de votre domaine d’ajouter
une entrée DNS pour le nom DNS de votre serveur qui résout ce nom en l’adresse IP publique
de votre serveur. Demandez également une entrée de recherche inversée qui résout l’adresse IP
publique en nom DNS. Votre fournisseur d’accès à Internet vous procure une adresse IP publique
dans le cadre de votre service Internet.
Pour que les utilisateurs Internet puissent accéder aux services proposés par votre serveur au
moyen de votre nom de domaine, celui-ci doit toujours diriger vers votre serveur. Pour ce faire,
vous pouvez obtenir une adresse IP publique statique (fixe) pour votre serveur. Si votre fournisseur
d’accès à Internet ne vous a pas fourni une adresse IP statique, vous pouvez généralement
mettre à niveau votre serveur à cet effet moyennant paiement. En l’absence d’adresse IP statique,
l’adresse IP de votre serveur peut changer et les utilisateurs Internet ne peuvent plus atteindre
votre serveur par son nom.
Si vous configurez un serveur pour un service ou un groupe de travail d’une grande
organisation
Demandez à votre service informatique ou à l’administrateur du serveur DNS une adresse IP
statique (fixe) pour votre serveur. Demandez-leur d’ajouter une entrée DNS pour le nom DNS de
votre serveur qui résolve ce nom en l’adresse IP publique du serveur, et demandez également
une entrée de recherche inversée qui résolve l’adresse IP publique en nom DNS du serveur. Si
votre organisation ne dispose pas de ses propres serveurs DNS, vous pouvez demander à votre
fournisseur d’accès à Internet ou au registrar public de votre domaine d’ajouter ces entrées.
40
Chapitre 2
Préparation pour Mac OS X Server
Conditions affectant la configuration du DNS
Si votre serveur propose des services de messagerie ou des services web
Si votre serveur propose des services de messagerie ou des services web, vous pouvez faciliter
leur accès en demandant des entrées DNS pour des noms tels que messagerie.exemple.com et
www.exemple.com.
Si votre serveur propose un service de messagerie, demandez une entrée MX (mail
exchanger) pour ce serveur. Une entrée (ou un enregistrement) MX permet aux utilisateurs
de bénéficier d’une adresse électronique telle que mchen@exemple.com. Sans entrée MX, les
adresses électroniques doivent inclure le nom DNS complet de votre serveur (par exemple
mchen@monserveur.exemple.com).
Si des utilisateurs mobiles accèdent à certains services à partir d’Internet
Si vous souhaitez autoriser des utilisateurs mobiles à accéder à certains services sans utiliser VPN,
le nom DNS de votre serveur doit être identique sur votre réseau local et sur Internet. Vous devez
obtenir un nom DNS Internet enregistré pour votre serveur, comme décrit ci-dessus.
ÂSi vous ne disposez pas d’un serveur DNS pour votre réseau, Mac OS X Server fournit un service DNS
minimal pour votre réseau local. Ce service DNS est configuré automatiquement pour le nom
DNS que vous saisissez et pour l’adresse IP privée que vous spécifiez lors de la configuration du
serveur.
ÂSi votre organisation dispose d’un serveur DNS pour votre réseau local, demandez à votre service
informatique ou à l’administrateur de votre serveur DNS d’ajouter une entrée qui résolve le nom
DNS de votre serveur en son adresse IP sur le réseau local et demandez également une entrée
de recherche inversée qui résolve l’adresse IP du serveur en son nom DNS.
Les adresses IP privées commencent par les numéros 192.168., 10. ou de 172.16. à 172.31.254. Par
exemple, 192.168.1.12, 10.0.1.12 et 172.16.1.12 sont des adresses IP privées.
41
Chapitre 2
Préparation pour Mac OS X Server
Configuration de DHCP pour votre serveur
Les ordinateurs de la plupart des utilisateurs sont configurés par défaut pour obtenir
des adresses réseau auprès d’un serveur DHCP sur le réseau local. Le serveur DHCP
de votre réseau doit être configuré pour fournir des adresses réseau, notamment une
adresse IP pour chaque ordinateur, l’adresse IP du routeur ou de la passerelle et les
adresses IP d’un ou deux serveurs DNS pour votre réseau. Si la configuration de votre
serveur DHCP doit être modifiée, vous trouverez des informations à ce sujet dans le
document « Mac OS X Server - Étapes suivantes » généré et placé sur le bureau du
serveur après la configuration initiale.
Protection d’un petit réseau
Si vous disposez d’une borne d’accès AirPort Extreme (802.11n), de Time Capsule,
d’un routeur câble, d’un routeur DSL ou d’un autre routeur réseau, ou encore d’une
passerelle qui partage une connexion Internet entre les ordinateurs de votre réseau
local, ce périphérique isole votre réseau local d’Internet. Ces périphériques de partage
d’Internet protègent votre réseau local contre des attaques malveillantes via Internet
en bloquant les communications provenant de l’extérieur du réseau local. Les
ordinateurs connectés à Internet ne peuvent pas accéder à votre serveur, sauf si vous
configurez votre borne d’accès AirPort Extreme, votre Time Capsule, votre routeur ou
votre passerelle afin qu’ils autorisent l’accès à des services précis.
Remarque : vous pouvez autoriser les utilisateurs disposant de comptes sur votre
serveur à accéder à distance, de façon sécurisée, à tous les services de ce serveur
via Internet. Lorsque vous avez terminé la configuration initiale du serveur, utilisez
Préférences du serveur pour activer le service VPN. Pour en savoir plus, consultez la
rubrique « Gestion du service VPN » à la page 173.
42
Chapitre 2
Préparation pour Mac OS X Server
Protection de votre réseau avec AirPort Extreme
Si vous disposez d’une borne d’accès AirPort Extreme (802.11n) ou d’une Time Capsule,
Mac OS X Server peut les gérer automatiquement afin de protéger votre réseau local
tout en autorisant l’accès, depuis Internet, à certains services sélectionnés. Après la
configuration initiale, vous pouvez utiliser Préférences du serveur pour préciser les
services devant être accessibles depuis l’extérieur de votre réseau local. Mac OS X
Server configure votre borne d’accès AirPort Extreme ou votre Time Capsule afin
d’autoriser les demandes entrantes pour ces services particuliers à atteindre votre
serveur.
L’option Partage de connexion de votre borne d’accès AirPort Extreme ou de votre
Time Capsule doit être définie sur « Partager une adresse IP publique » (c’est-à-dire une
connexion Internet) afin que Mac OS X Server les gère. En outre, l’option avancée Mode
IPv6 doit être définie sur Tunnel.
Vous devez également vérifier que le mot de passe de la borne d’accès AirPort Extreme
ou de la Time Capsule est fiable et n’a pas conservé sa valeur par défaut public. Vous
devez connaître le mot de passe de la borne d’accès ou de la Time Capsule (et non le
mot de passe du réseau sans fil) pour activer la gestion automatique d’AirPort.
43
Chapitre 2
Préparation pour Mac OS X Server
Protection de votre réseau au moyen d’un routeur
Si vous disposez d’un routeur câble, d’un routeur DSL ou d’un autre routeur de réseau
configuré comme un appareil NAT, vous pouvez le configurer manuellement pour
protéger votre réseau local tout en autorisant l’accès, depuis Internet, à des services
sélectionnés. Vous devez configurer votre routeur afin qu’il réexpédie les demandes de
tels services à votre serveur. Cette procédure s’appelle réexpédition de port ou mappage
de ports car chaque service communique au moyen d’un port de communication
logique numéroté. Ces ports ne sont pas physiques comme le port Ethernet de votre
ordinateur.
Vous pouvez configurer manuellement le mappage de ports sur la plupart des routeurs
Internet en utilisant leur logiciel de configuration. Ce logiciel de configuration est
généralement constitué de plusieurs pages web. Utilisez un navigateur web sur un
ordinateur connecté à votre réseau local pour accéder à la page web de réglage du
mappage de ports ou de la réexpédition de port. Dans certains cas, vous pouvez
sélectionner des services standard, tels que web ou VPN, et spécifier que chacun
d’entre eux doit être associé à l’adresse IP de votre serveur. Dans d’autres cas, vous
devez saisir les numéros de port des services, puis saisir l’adresse IP de votre serveur
pour chacun d’entre eux.
Pour obtenir la liste des services et des ports correspondants en vue de configurer
le mappage ou la réexpédition de ports, consultez l’annexe « Services et ports » à la
page 209.
44
Chapitre 2
Préparation pour Mac OS X Server
Protection de votre réseau en transformant votre serveur en passerelle
Si vous ne disposez pas d’une borne d’accès AirPort ou d’un autre routeur mais si
votre serveur comporte deux ports Ethernet, vous pouvez transformer le serveur en
passerelle afin de partager une connexion Internet avec d’autres ordinateurs de votre
réseau local. Les ports Ethernet du réseau doivent être configurés comme suit, avant la
configuration initiale de Mac OS X Server :
L’un des ports Ethernet doit avoir une adresse IP publique sur Internet (et non une
Â
adresse IP privée comme 10.0.0.1 ou 192.168.1.1). Ce port est connecté à votre modem
DSL, à votre modem câble ou à une autre source Internet. En général, le premier port
Ethernet intégré de votre serveur est utilisé à cet effet.
Un autre port Ethernet doit être connecté à un commutateur réseau ou un
Â
concentrateur en fonctionnement dans votre réseau local privé. Ce port Ethernet
doit être non configuré et disposer d’une adresse IP manuelle ou d’une adresse IP
auto-attribuée commençant par 169.254.
Si l’adresse IP de ce port a été attribuée par un serveur DHCP, vous ne pouvez pas
transformer le serveur en passerelle lors de la configuration initiale de Mac OS X
Server. En effet, en tant que passerelle, ce serveur fournirait un service DHCP qui
pourrait entrer en conflit avec un serveur DHCP existant sur le même réseau.
Les autres ordinateurs connectés à ce réseau local partagent la connexion Internet
du serveur.
45
Chapitre 2
Préparation pour Mac OS X Server
Pour que les utilisateurs Internet puissent accéder aux services proposés par votre
serveur au moyen de votre nom de domaine, celui-ci doit toujours diriger vers votre
serveur. Il convient donc que vous obteniez une adresse IP statique (fixe) pour votre
serveur. Si votre fournisseur d’accès à Internet ne vous a pas fourni une adresse
IP statique, vous pouvez généralement mettre à niveau votre serveur à cet effet
moyennant paiement. En l’absence d’adresse IP statique, l’adresse IP de votre serveur
peut changer et les utilisateurs Internet ne peuvent plus atteindre votre serveur par
son nom.
La configuration de votre serveur comme passerelle effectue les opérations suivantes :
L’adresse IP privée 192.168.1.1 est attribuée au port Ethernet connecté au réseau local.
Â
Le service DHCP est activé et configuré pour fournir les adresses IP 192.168.1.100 à
Â
192.168.1.199 aux ordinateurs du réseau local. Le service DHCP attribue ces adresses
aux ordinateurs dont les ports Ethernet sont configurés avec l’option Utilisation de
DHCP.
Vous pouvez également donner les adresses 192.168.1.2 à 192.168.1.99 aux utilisateurs
afin qu’ils configurent eux-mêmes leur port Ethernet s’ils utilisent l’option
« Utilisation de DHCP avec une adresse manuelle ». Les adresses 192.168.1.200 à
192.168.1.220 sont réservées au service VPN de votre serveur.
Le service NAT est configuré pour partager la connexion Internet du serveur avec les
Â
ordinateurs du réseau local.
46
Chapitre 2
Préparation pour Mac OS X Server
Le coupe-feu du serveur est configuré pour bloquer les connexions entrantes
Â
provenant d’ordinateurs sur Internet. Le coupe-feu autorise les connexions sortantes
des ordinateurs présents sur le réseau local. Il autorise également les connexions
entrantes qui répondent à ces connexions sortantes. Lorsque la configuration est
terminée, vous pouvez utiliser la sous-fenêtre Sécurité de Préférences du serveur
pour autoriser les demandes entrantes, via le coupe-feu, de services précis.
Le service DNS est configuré pour le réseau local et il conserve dans son cache les
Â
recherches de nom DNS afin d’améliorer les performances des ordinateurs du réseau
local.