Tag: OSX

4 Replies

Mac OSX et les imprimantes

Bonjour,

Aujourd’hui encore nous allons nous promener dans l’antre magnifique de Mac OSX pour y regarder de plus près sur un problème commun aux Mac : Les imprimantes.

Dans la version simple, vous avez un Mac, vous êtes admin dessus, vous souhaitez installer une imprimante, rien de plus simple, en 3 cliques, c’est fini.
Mais, que ce passe t’il dans le monde professionnel quand l’utilisateur lambda ne dispose pas des droits administrateur ? Apple a pensé à tout rien.

Faisons un peu le point sur notre installation à nouveau :

  • Un serveur Mac OSX Lion avec gestion des droits dans LDAP
  • Des postes clients avec authentification sur le serveur (Snow leopard)
  • 2 imprimantes (1 USB, 1 réseau)

Une fois tout installé, ça fonctionne bien, sauf quand ça ne fonctionne pas en faite. Vous avez déjà probablement eu votre imprimante qui se met en pause (met en pause la job-list de l’imprimante) et, pour retirer la pause, vous devez entrer un login et un mot de passe administrateur.
Là, on commence à sourire, alors bon, réflexe de logique stupide : J’ai un compte Admin sur mon LDAP, il suffit que je mette mon login et mot de passe, et hop .

..

… Et ben non …

Il faut un compte admin LOCAL !!! Là, j’avoue, ça fait grave déchanter, bon je me dis : OK, c’est simple, doit y’avoir un paramètre pour autoriser les utilisateurs à mettre en pause ou résumer sans avoir les droits administrateur.

..

… Et ben non …

Encore une fois c’est une impasse … que faire alors ? Après quelques recherches on pourrait à l’aide de la commande dseditgroup, rajouter l’utilisateur dans le groupe lpadmin, pour qu’il ait les droits de mettre en pause ou résumer les imprimantes. Le problème étant que les comptes sont sur le serveur et les imprimantes sur les postes en direct. La solution que j’ai trouvée et testée est donc une solution certe, barbare, mais qui fonctionne très bien : L’édition du fichier de configuration de CUPS (OSX utilise CUPS pour gérer les imprimantes).

Attention, nous allons utiliser un éditeur de texte en ligne de commande pour cette manipulation, si vous ne connaissez pas, je vous invite a lire l’article suivant : Éditeur de texte dans le terminal
Pour ce faire, il vous faut :

  1. Ouvrir le terminal : Applications > Utilitaires > Terminal.app
  2. Escalader en root :
    • Si vous êtes en compte Administrateur sur LDAP ou la machine locale tapez : $>sudo -s
    • Si vous êtes avec un compte standard tapez : $>su [Nom_d’un_compte_admin] puis : $>sudo -s
  3. Éditez le fichier cupds.conf à l’aide de la commande : $>vi /etc/cups/cupsd.conf
  4. Allez à la ligne : <Policy Default>, c’est dans cette section que les paramètres sont gérés dans le cas d’imprimante local, aller savoir pourquoi ceci ne rentre pas dans la section autenticated ou kerberos ….
  5. Dans cette section, cherchez le bloc  :
    • <Limit Pause-Printer Resume-Printer Enable-Printer Disable-Printer Pause-Printer-After-Current-Job Hold-New-Jobs Release-Held-New-Jobs Deactivate-Printer Activate-Printer Restart-Printer Shutdown-Printer Startup-Printer Promote-Job Schedule-Job-After CUPS-Accept-Jobs CUPS-Reject-Jobs>
      AuthType Default
      Require user @AUTHKEY(system.print.operator) @admin @lpadmin
      Order deny,allow
      </Limit>
  6. Et modifiez le de la sorte :
    • <Limit Pause-Printer Resume-Printer Enable-Printer Disable-Printer Pause-Printer-After-Current-Job Hold-New-Jobs Release-Held-New-Jobs Deactivate-Printer Activate-Printer Restart-Printer Shutdown-Printer Startup-Printer Promote-Job Schedule-Job-After CUPS-Accept-Jobs CUPS-Reject-Jobs>
      #AuthType Default
      #Require user @AUTHKEY(system.print.operator) @admin @lpadmin
      #Order deny,allow
      Require valid-user
      Order allow,deny
      </Limit>
  7. Vous pouvez enregistrer le fichier et quittez, pour prendre en compte les paramètres fermez puis rouvrez la session ou utilisez les 2 lignes ci-dessous :
    • launchctl unload /System/Library/LaunchDaemons/org.cups.cupsd.plist
    • launchctl load /System/Library/LaunchDaemons/org.cups.cupsd.plist

Voilà, vous pouvez maintenant mettre en pause et résumer vos impressions sans avoir besoin du mot de passe administrateur.

Pour finir, qu’avons-nous fait ? Simples, nous avons supprimé la gestion des droits pour toutes les taches qui sont listés après le mot clé “Limit”.  La règle “Require valid-user” impose que l’utilisateur doit être authentifié pour y accéder, mais en même temps, la ligne suivante “Order allow,deny” signifie que par défaut on laisse passer tout le monde, et ceux qui ne passe pas on les refuse (personne ne tombe donc dans le deny).

J’espère que cet article vous aura plus, je reviendrais rapidement vers vous pour d’autres articles.

Cordialement,
Arck

 

You like it ? Share it !Share on FacebookTweet about this on TwitterShare on LinkedInShare on Google+Email this to someoneShare on RedditShare on TumblrPrint this page

3 Replies

MAC OSX Lion server – Pro ? Oui, enfin pas tout a fait.

Bonsoir,

Pour bien débuter ce blog, je vais vous faire un petit retour d’expérience sur une installation que je viens de finir, j’essaye d’être assez critiques et je suis possiblement passé à côté de solutions existantes, si tel est le cas, je vous invite a m’en informer 😀
Dans un premier temps, remettons-nous dans le contexte.

Il y a 2 ans de cela, j’ai initié une PME à la migration de leurs postes en Windows XP vers des Mac sous Snow Leopard. « Quelle idée ? » me direz vous, mais nous reviendrons sur mes raisons un peu plus tard.
Le point important ici est de noter qu’en cette fin de deuxième année de migration, durant la phase finale, nous avons mis en place le serveur OSX.

MAC OSX Server Lion, qu’es ce que c’est ?

  • Un Mac OSX Lion
  • Des outils serveur
  • Une suite d’application pour gérer tous ces outils.

Tout d’abord il faut le reconnaitre, c’est beau, du cliquodrome digne de Microsoft, mais avec des fenêtres de log tout de même. Quand vous avez fini l’installation, on peut redémarrer son serveur tout beau, tout neuf.

Bon, maintenant on peut le dire, en faite, MAC OSX Lion Server c’est MAC OSX Lion avec l’application Server dessus. En gros vous avez un serveur mais avec 80% des applications qui sont inutiles. Même si l’intérêt de disposer d’une version commune entre MAC OSX et MAC OSX Server me semble tout à fait justifié et important, celle de disposer de iLife sur la version serveur me semble à ce moment bien plus critiquable.

Quels services peut-on mettre en place sur son serveur OSX ? Beaucoup, pour une PME c’est un pack all-in-one de produit digne des grosses structures. Si vous êtes un peu technophile, vous pouvez fournir à votre entreprise le même fonctionnement que pour une grosse structure, mais, pour pas très cher. Chez nous un certain nombre ont été activés, pour faire simple :

  • Les comptes utilisateurs sur le serveur
  • Les calendriers
  • Les contacts
  • Les mails

Comme nous pouvons le voir, juste les services « de base », mais qui mine de rien sont primordiale aujourd’hui.
La mise en place de ces services seront à venir dans de futurs articles, pour l’instant continuons sur le retour d’expérience.

Avec OSX option Server, un service Pro : Oui, mais le collaboratif : Non.
Le point qui me choque le plus, c’est l’aspect PME collaboratif, qui est inexistant. L’entreprise dans laquelle j’ai mis le serveur en place, c’est : 8 postes + iPhone et iPad. Et la première problématique, les contacts. C’est pourtant simple, on souhaite un carnet d’adresses partagé pour y entrer le nom de tous nos clients et fournisseur, mais ceci est impossible en l’état. Il existe cependant LA solution simple que nous avons choisi de mettre en place, qui est : un compte « virtuel » qui sera ajouté sur tous les postes clients, mais nous aurions tout de même préféré pouvoir créer un carnet d’adresses qui est commun à plusieurs comptes. La configuration du CardDav est en effet simple, mais du coup, peu de possibilités de configuration.

Le problème est aussi présent pour les mails, dans l’entreprise nous avons pris le choix d’avoir une adresse mail par service et non par employé, du coup nous nous retrouvons avec le même problème que pour les contacts. Il reste la possibilité de faire des mailing-list mais ce n’est tout de même pas la même chose (Partage du compte en IMAP, etc ….).

Pour les comptes, nous n’avons pas détecté de soucis particuliers, ainsi que pour les calendar avec le système de « délégate », à la différence près que nous avons pris la solution d’utiliser le calendrier du compte « virtuel » utilisé pour les contacts dus aux spécificités de l’entreprise.

Maintenant, passons aux « détails » et problèmes que je rencontre et considère comme problématique avec OSX option Server :

  •  Lors de l’administration des postes locales sur lesquels nous utilisons les comptes utilisateur du serveur, lorsque je souhaite changer un paramètre ou prendre la main à distance sur l’une des machines, je dois disposer des login et mot de passe du compte « admin » de la machine sur laquelle j’essaye de me connecter ou que je suis en train d’administrer. Je n’ai pas trouvé de solution pour utiliser mon compte disposant des droits « admin » sur l’OpenLDAP (Outil utilisé pour la gestion des comptes utilisateur) pour me connecter sur les postes ou changer des paramètres. Ceci serait tout de même plus simple.
  •  Problème de Greylist lors de la configuration du serveur de Mail. Suite à mes recherches il semblerait que le plus simple est encore de le désactiver, pour cela il faut désactiver toute la partie détection de spam. Si quelqu’un a des infos dessus je suis preneur, si j’en trouve, je vous le dirais.
  •  Sur les iOS, nous sommes obligé de configurer les services du serveur comme n’importe qu’elle compte standard au lieu d’avoir un mode comme pour exchange ou iCloud ou tout ce concentre en une fenêtre et où l’on choisit les services sur lesquels ont décide de se connecter. 2 calendriers, 3 listes de contacts et 3 comptes mail et vous voilà avec 8 comptes configurés, ceci est à mon sens une grosse perte de temps.

En soient donc peu de reproches dans le fonctionnement même de l’option serveur de MAC OSX. l’avantage de notre structure est que l’infrastructure reste somme toute assez standard. De ce coté là, il faut reconnaitre, des points manques c’est indéniable, j’ai l’impression d’avoir utilisé toutes les possibilités offertes par Apple sur certains services et pas utilisé d’autres généralement, car la taille de ma structure ne le nécessite pas, mais au final on a un système propre et fonctionnel assez rapidement avec un besoin technique assez faible.
La migration vers le serveur nous a mis en avant 2 autres problèmes, non lié à Apple, mais sur lesquels je souhaite avertir les lecteurs si un jour ils souhaitent faire de même chez eux ou chez leurs clients.

La téléphonie : Lors de la migration l’idée a été de faire migrer la téléphonie sur la VoIP afin d’évoluer aussi ce point et de permettre une interconnexion entre les postes informatiques et la téléphonie forte (TAPI). L’idée autour de cela est simple :
Afficher le nom du contact sur l’écran de l’ordinateur et s’il existe dans le carnet d’adresses, afficher son nom et sa photo.
Pouvoir appeler un contact depuis son carnet d’adresses
Permettre au serveur de VoIP de se connecter aux carnets d’adresse du serveur pour faire des actions spécifiques suivant l’appelant.
Pour les deux premiers, je n’ai trouvé qu’une seule solution qui permet ces deux fonctionnalités gratuitement, mais il semble ne pas fonctionner, problèmes d’authentification. Si j’ai le temps je pense en refaire un sachant que ce n’est pas très compliqué à faire. Pour la troisième partie, c’est plus délicat, car il faut naviguer dans le CardDAV, heureusement un mec a fait un super fichier en PHP permettant de naviguer dans un CardDAV, sauf que celui d’Apple rejette systématiquement le script. Il semble donc qu’Apple a fait quelques modifications sur le serveur WebDav qui m’empêche cette fonctionnalité. Nous sommes donc actuellement encore avec la téléphonie et l’informatique bien séparées, en espérant trouver rapidement une solution.
PS : Des solutions payantes ont été trouvées, mais je les trouve onéreuse pour ce qu’elles offrent, et pas forcement intégré à OSX mais simplement en temps qu’application tierce.

Les Mails vers le Monde avec l’internet by Orange : Le serveur de Mail chez Apple, c’est parfait, on peut le rendre bien verbeux et je n’ai pas eu de problème depuis qu’il est en fonction. Le problème ici c’est Orange. Nous avons un forfait « Pro » chez Orange, intégré dans une flotte, notre service client est celui des grands comptes, nous ne sommes donc clairement pas dans le scope d’un particulier, mais tout de même en ADSL.
Les mails ça fonctionne, mais certaines base antispam commence à être très regardantes sur qui a le droit, ou pas d’envoyer des mails et voyez vous, c’est la que ça ce corse. Chez Orange, nous avons une adresse fixe depuis maintenant 6 ans, mais si vous faites un lookup de l’IP il vous dira que nous somme dans un spool d’adresse dynamique géré par orange, sauf que la, ça ce corse, des entreprises comme « Trend Micro » pour ne citer qu’eux rejette nos mails, car nous n’avons pas pour eux d’IP fixe. Qu’à cela ne tienne, je comprends leur peur des méchants spammers utilisant les machines des gens les ayant mal protégé, mais quand je fait l’effort de prendre contact avec eux, de leur montrer que plusieurs MX de domaines pointe vers cette IP, qu’elle est fixe depuis plus de 6 ans, etc, la réponse de leurs soi-disant « ingénieurs » m’horripile : Votre IP est marqué dynamique, demandez a votre FAI de changer les infos sur cette IP et on vous retirera de nos listes … Je ne vous fais pas un dessin de la suite, orange « ne comprend pas » de quoi vous voulez parler, chez eux vous avez bien une IP fixe, donc pas de problème, Bisoux et bonne nuit ! Je comprends, on peut repartir sur le fait que l’internet by **mettre ici le nom d’un FAI grand publique français (Free, Orange, SFR)** c’est pas du vrai internet, mais l’important est de bien comprendre que du coup vous risquez d’avoirs certains mails qui n’arriverons jamais à destination.
Pour finir avec ce point : Pourquoi ne pas utiliser le SMTP du FAI ? Simplement, car ce n’est pas LEURS affaires, les mails partent de chez moi et vont chez mes clients directement.

Voilà pour ce premier retour d’expérience, merci de m’avoir lu jusqu’ici.
Je vais essayer régulièrement de vous faire des tutos ou des petits articles sur telle ou telle fonctionnalité que j’ai mis en place.

À bientôt,
Cordialement,
Arck

You like it ? Share it !Share on FacebookTweet about this on TwitterShare on LinkedInShare on Google+Email this to someoneShare on RedditShare on TumblrPrint this page